совсем отражает российскую специфику (все-таки Ernst & Young ориентирован на крупные и очень крупные компании, оставляя за пределами рассмотрения малый и средний бизнес), можно с уверенностью сказать, что технология обнаружения атак уже не является неизвестной лошадкой для отечественных специалистов в области защиты информации.
Однако если спросить специалистов, что же может делать система обнаружения атак, то в абсолютном большинстве случаев ответ будет следующим: "Как что? Обнаруживать атаки, например, Denial of Service, и реагировать на них". С одной стороны - это действительно так. Но с другой… Системы обнаружения атак перестали быть рядовым средством защиты. Теперь это современные многофункциональные комплексы, призванные решать большой спектр задач, некоторые из которых я и хотел бы рассмотреть в данной статье.
Резервирование межсетевого экрана
Очень часто злоумышленники выводят из строя межсетевые экраны с целью дальнейшего бесконтрольного проникновения в корпоративную сеть. Чтобы снизить вероятность такого проникновения можно использовать системы обнаружения атак, функционирующие на уровне сети, для временного резервирования функций межсетевого экрана. Системы указанного класса позволяют осуществить фильтрацию сетевого трафика по различным полям заголовка IP-пакета, что позволяет организовать достаточно мощный пакетный фильтр, мало чем уступающим возможностям настоящего межсетевого экрана.
Кроме того, системы обнаружения атак могут использоваться для временного замещения межсетевого экрана во время регламентных работ по обновлению программного обеспечения МСЭ или тестирования его настроек.

Контроль доступа к файлам
Для контроля доступа к файлам обычно применяются системы защиты информации от несанкционированного доступа, сертифицированные Государственной Технической Комиссией при Президенте РФ, например, Secret Net. Однако в некоторых случаях эти системы не могут быть использованы для контроля доступа к файлам, содержащим важную и критичную информацию (например, файлы паролей или базы данных). Связано это с тем, что все представленные на российском средства (как правило, отечественной разработки) не функционирует под управлением операционных систем семейства Unix и, в частности, ОС Solaris, Linux, HP UX и AIX. Эти системы идеально подходят для защиты платформы Windows и, иногда Netware, но становятся беспомощными для защиты Unix. На помощь приходят системы обнаружения атак, функционирующие на отдельных узлах (т.н. host-based IDS). При этом могут быть использованы как системы, анализирующие журналы регистрации (например, RealSecure Server Sensor), так и анализирующие системные вызовы (например, Entercept).
Контроль неблагонадежных сотрудников и утечки конфиденциальной информации
Нередки случаи, когда сотрудники компании используют служебный доступ в Internet в своих личных целях - для поиска работы, рассылки резюме, спама и других несанкционированных действий. Все это приводит к потере производительности труда, бесполезной трате рабочего времени, увеличению расходов на оплату услуг Internet и т.д. По предварительным оценкам, любая отечественная компания ежегодно теряет 825 долларов США на каждого сотрудника, проводящего в Internet всего один час (в день) своего рабочего времени по личным мотивам. И поверьте мне, это еще щадящие цифры. По другим данным 80% всех пользователей передают сообщения личного характера, используя рабочий компьютер.
Лишний раз напоминать об опасности утечки конфиденциальной информации через корпоративную электронную почту не приходится. За последний год до 90% организаций, имеющих доступ в Internet, сталкивались со случаями утечки конфиденциальной информации, включая исходные тексты разработанных в организации программ, договоров, финансовых документов, информации о клиентах и т.д., которая может происходить не только по электронной почте, но и просто обращаясь к какому-либо внешнему Web-серверу.
С целью предотвращения таких действий и обнаружения неблагонадежных сотрудников могут применяться средства контроля содержимого, известные на российском рынке, например, семейства MIMEsweeper или SurfControl. Однако в том случае, если возможности приобрести указанные средства нет, можно использовать специально настроенные для этой цели сетевые системы обнаружения атак. Механизм работы этих систем позволяет контролировать в сетевом трафике заданные ключевые слова и фразы (например, "конфиденциально", "резюме", "поиск работы"), передачу файлов с заданным именем (например, salary.xls) или расширением или обращения к определенным серверам (например, www.job.ru).

Антивирусная защита
Используя аналогичные механизмы, можно обнаруживать и некоторые разновидности вирусов и троянских коней, которые в последнее время заполонили российский сегмент Internet. Эпидемии червей Red Code, Blue Code, Nimda и т.д. лишний раз продемонстрировали всю недооценку использования антивирусных средств. Только один вирус I LOVE YOU, наследивший в 2000 году нанес ущерб в 15 миллиардов (!) долларов США во всем мире. Помимо вирусов и Internet-червей в сеть организации может проникнуть и другое опасное и даже враждебное содержание, что может привести к безвозвратной утере файлов и данных. Например, Java-апплеты и управляющие элементы ActiveX, и т.д.
Системы обнаружения атак могут быть применены и в данном случае. И хотя они в полном объеме не смогут заменить классическую антивирусную систему, но они смогут воздвигнуть дополнительную преграду на пути вирусов и троянских коней в вашу корпоративную сеть.

Контроль действий администратора
Всем известно, что в России IT-специалисты не всегда получают зарплату, соответствующую их знаниям. Кроме того, в некоторых организациях еще и "закручивают гайки", по максимуму ограничивая возможность администраторов к самосовершенствованию. В результате обида и недовольство сотрудников IT-подразделений растет. Это может быть вызвано также грубым словом со стороны руководства или отсутствием движения по служебной лестнице. В итоге, мстя, администраторы могут несанкционированно, а зачастую и бесконтрольно, изменять конфигурацию сетевого оборудования, важных серверов и других устройств с целью нанесения ущерба своей организации или шантажа своего руководства.
Системы обнаружения атак, функционирующие как на уровне сети, так и на уровне конкретного узла, могут быть использованы для контроля несанкционированных изменений защищаемых узлов со стороны пользователей, обладающих административными привилегиями. В данном случае эти системы выступают в качестве дополнительного средства контроля. Администраторы могут подчистить один журнал регистрации, второй… Но запись о проведенных несанкционированных действиях сохранится в третьем и нарушитель не уйдет от расплаты.
Контроль доступа к ресурсам Internet
Абсолютное большинство компаний сталкивается с потерей производительности труда и бесполезной тратой рабочего времени на посещение серверов, ненужных для выполнения непосредственных должностных обязанностей. Очень интересна статистика в этой области:
32,6% пользователей Internet не имеет четких целей при Web-серфинге;
28% пользователей совершают различные покупки в Internet-магазинах с работы;
Объем порнографического трафика, передаваемого в рабочее время (с 9 утра до 5 вечера) составляет 70% от всего объема порнотрафика в Internet.

С целью обнаружения таких злоупотреблений могут применяться средства контроля содержимого или межсетевые экраны. Однако зачастую возможности приобрести указанные средства нет. Поэтому часть функций, решаемых этими средствами в части контроля использования ресурсов Internet, можно переложить на системы обнаружения атак, контролирующие в сетевом трафике заданные ключевые слова или обращения к определенным серверам.

Обнаружение неизвестных устройств
Нередки случаи, когда злоумышленники подключают свои компьютеры или notebook'и к критичным сегментам сети с целью получения доступа к передаваемой конфиденциальной информации (например, паролям или платежным поручениям). Установленные на таких компьютерах анализаторы протоколов (снифферы) позволяют перехватывать весь сетевой трафик, циркулирующий между узлами критичного сегмента. Опасность таких несанкционированно подключенных устройств в том, что они без труда получают доступ к паролям пользователей (в т.ч. и администратора), передаваемых в незащищенном виде по большинству протоколов, построенных на базе стека TCP/IP. В частности беззащитными к чужому любопытству являются протоколы: HTTP, FTP, Telnet, POP3, IMAP и т.д. В т.ч. открытой остается и информация, передаваемая между SQL-сервером и клиентским программным обеспечением.
Очень часто сотрудники компаний, в которых доступ в Internet регламентируется и разграничивается с помощью различных защитных средств (например, межсетевых экранов или систем контроля содержания), подключают к своим компьютерам модемы и используют их для выхода в Internet в обход защитных механизмов. Также модемы очень часто используются для получения обновлений различных юридических и бухгалтерских программ (например, Консультант-Плюс или 1С:Бухгалтерия). И, наконец, модемы могут быть использованы для доступа к рабочему месту из дома. Это представляет большую угрозу для многих компаний, т.к. компьютеры, к которым подключены модемы, никак не защищены и любой злоумышленник, обнаруживший такой "черный ход", может воспользоваться им для несанкционированного доступа к ресурсам, требующим обязательной защиты. В своей практике мне, к сожалению, не приходилось сталкиваться с компаниями, в которых не находилось хотя бы одного модема, имеющего выход во внешний мир в обход требования политики безопасности.
Системы обнаружения атак позволяют обнаруживать в контролируемых сегментах сети посторонние адреса от "чужих" компьютеров и узлов, а также по непонятной причине возросший трафик от какой-либо рабочей станции ранее не замеченной в такой активности, что может свидетельствовать о работе с этого узла злоумышленника, проникшего на него через модем.

Анализ эффективности настроек межсетевого экрана
Межсетевой экран - необходимое средство для защиты информационных ресурсов корпоративной сети. Но обеспечить необходимый уровень сетевой безопасности можно только при правильной настройке межсетевого экрана. Установка межсетевого экрана без проведения необходимого обследования и имеющиеся уязвимости в сетевых сервисах и протоколах - приглашение для любого осведомленного злоумышленника.
Установка сетевых сенсоров системы обнаружения атак до и после межсетевого экрана позволяет проверить эффективность его настроек за счет сравнения числа атак, обнаруженных до и после МСЭ.
Анализ информационных потоков
Нередки ситуация, когда сотрудники отделов защиты информации и даже отделов телекоммуникаций не владеют достоверной информацией об используемых в защищаемых сегментах сети протоколах. С помощью систем обнаружения атак можно контролировать все используемые в сети протоколы и сервисы, а также частоту их использования, что позволяет построить схему информационных потоков в организации и карту сети, являющуюся залогом успешного создания инфраструктуры защиты информации в организации.
Анализ данных от сетевого оборудования
Журналы регистрации маршрутизаторов и иных сетевых устройств являются дополнительным источником информации об атаках, направленных на информационные ресурсы корпоративной сети. Однако эти журналы регистрации обычно не анализируются на предмет обнаружения в них следов несанкционированной деятельности, т.к. практически отсутствуют или очень дорого стоят средства (например, netForensics), решающие эту задачу.
Функцию сбора журналов регистрации и анализа событий в них может быть возложена на систему обнаружения атак, выступающую в качестве Syslog-сервера, которая сможет не только осуществить централизованный сбор, но и обнаружение атак и злоупотреблений в этих журналах. Кроме того, это дополнительная мера защиты журналов регистрации от несанкционированного изменения, т.к. события, фиксируемые маршрутизаторами сразу же передаются на сенсор системы обнаружения атак, что не позволяет злоумышленнику удалить или изменить компрометирующие его следы.

Сбор доказательств и расследование инцидентов
Системы обнаружения атак могут и должны быть использованы для сбора доказательств несанкционированной деятельности за счет следующих возможностей:
запись событий, происходящих во время атаки, для дальнейшего анализа и исследований;
имитация несуществующих приложений с целью введения злоумышленника в заблуждение (т.н. режим обманной системы);
расширенный анализ журналов регистрации прикладных и системных приложений, серверов баз данных и Web-серверов и т.д.;
возможность исследования событий безопасности перед выполнением каких-либо действий;
получение DNS-, MAC-, NetBIOS- и IP-адресов компьютера злоумышленника.