Активний аудит

Завдання активного аудиту – оперативно виявляти підозрілу активність і надавати засоби для автоматичного реагування на неї.

Підозріла активність – це поведінка користувача або компоненту інформаційної системи, що є зловмисною відповідно до певної політики безпеки або нетиповою згідно з прийнятими критеріями.

Активність, яка не відповідає політиці безпеки, це або атаки, спрямовані на незаконне отримання повноважень, або дії, що виконуються в рамках наявних повноважень, але порушують політику безпеки.

Атаки порушують будь-яку осмислену політику безпеки. Іншими словами, активність, що атакує, є руйнівною незалежно від політики. Отже, для опису і виявлення атак можна застосовувати універсальні методи, інваріантні щодо політики безпеки, такі як сигнатури і їх виявлення у вхідному потоці подій за допомогою апарату експертних систем.

Сигнатура атаки – це сукупність умов, при виконанні яких атака вважається такою, що має місце, та викликає певне реагування.

Приклад сигнатури – “зафіксовано три послідовні невдалі спроби входу в систему з одного терміналу”, як результат асоційованої реакції – блокування терміналу до прояснення ситуації.

Дії, що виконуються в рамках наявних повно­важень, але порушують політику безпеки, називаються зловживанням повноваженнями.

Зловживання повноваженнями можливі через неадекватності засобів розмежування доступу вибраній політиці безпеки. Прикладом зловживань є неетична поведінка суперкористувача, що проглядає особисті файли інших користувачів. Аналізуючи реєстраційну інформацію, можна виявити подібні події і повідомити про них адміністратору безпеки, хоча для цього необхідні відповідні засоби політики безпеки.

Стосовно засобів активного аудиту розрізняють помилки першого і другого роду: пропуск атактапомилкові тривоги, відповідно. Небажаність помилок першого роду очевидна. Помилки другого роду не менш неприємні, оскільки відволікають адміністратора безпеки від дійсно важливих справ, побічно сприяючи пропуску атак.

Переваги сигнатурного підходу:

• висока продуктивність;

• мала кількість помилок другого роду;

• обґрунтованість рішень.

Основний недолік – невміння виявляти невідомі атаки і варіації відомих атак.

Нетипова поведінка виявляється статистичними методами. У простому випадку застосовують систему порогів, перевищення яких є підозрілим. У розвиненіших системах здійснюється зіставлення довготривалих характеристик роботи з короткостроковими.

Основні переваги статистичного підходу:

• універсальність і обґрунтованість рішень,

• потенційна здатність виявляти невідомі атаки, тобто мінімізація кількості помилок першого роду.

Недоліками цього підходу є:

• відносно висока частка помилок другого роду,

• невідстеженість у разі, коли неправомірна поведінка є типовою,

• невідстеженість у разі, коли типова поведінка плавно міняється від легального до неправомірного,

• невідстеженість у разі, коли типової поведінки немає (як показує статистика, таких користувачів приблизно 5-10%).

Засоби активного аудиту можуть розташовуватися на всіх лініях оборони ІС. На межі контрольованої зони вони можуть виявляти підозрілу активність у точках підключення до зовнішніх мереж. У мережі, в рамках інформаційних сервісів і сервісів безпеки, активний аудит в змозі виявити і присікти підозрілу активність зовнішніх і внутрішніх користувачів, виявити проблеми в роботі сервісів, викликані порушеннями безпеки та апаратно-програмними помилками. Отже, активний аудит здатний забезпечити захист від атак на доступність.