Geekly articles weekly

أنظمة كشف التسلل والوقاية العامة

مرحبا مرة اخرى تحسبا لبدء دورة "الهندسة العكسية" ، قررنا أن نطلعكم على مقال صغير عن أمن المعلومات ، والذي على الرغم من أن له علاقة غير مباشرة بالهندسة العكسية ، يمكن أن يكون مادة مفيدة للكثيرين.




يتطور السوق العالمي لمنتجات أمن المعلومات تحت تأثير مجموعة متنوعة سريعة النمو من التهديدات المعقدة والمعقدة ، مما يؤدي إلى تأثير مباشر على الأعمال التجارية ، وأصبح مطلوبًا ليس فقط للمؤسسات الكبيرة والمتوسطة الحجم ، ولكن أيضًا للمؤسسات الصغيرة. هذا هو الحال حاليًا عندما لا تتمكن أدوات الأمان التقليدية ، مثل جدار الحماية ومكافحة الفيروسات ، من توفير مستوى كافٍ من الحماية للشبكة الداخلية للمؤسسة ، لأن البرامج الضارة يمكنها "حجب" وإرسال الحزم التي تبدو تمامًا من وجهة نظر جدار الحماية شرعية. هناك العديد من الحلول التجارية التي يمكن أن توفر مستوى كافًا من الحماية للشبكة الداخلية للمؤسسة ، ولكننا سنركز اليوم على مجموعة من الحلول مثل أنظمة كشف التسلل وأنظمة منع الاختراق. في الأدب الإنجليزي ، هذه أنظمة كشف التسلل (IDS) وأنظمة منع التسلل (IPS).

الاختلافات بينهما هي فقط أنه يمكن للمرء أن يمنع الهجمات تلقائيًا ، والآخر يحذر من ذلك.

يمكن أن تكون حلول هذه الفئة إما تجارية (خاصة) أو مفتوحة المصدر ، ويمكن أن تكون في اليد اليمنى إضافة ممتازة للنظام العام لحماية المؤسسة. تتعلق فئة ميزات الأمان هذه بطريقة تتبع المحاولات غير المصرح بها للوصول إلى الموارد المحمية لمؤسسة ، والتي تسمى مراقبة التحكم في الوصول. ويهدف إلى تحديد وتسجيل العيوب الأمنية في البنية التحتية الداخلية - هجمات الشبكة ، ومحاولات الوصول غير المصرح به أو تصعيد الامتياز ، وتشغيل البرامج الضارة ، إلخ. وبالتالي ، مقارنةً بجدار الحماية الذي يتحكم في معاملات الجلسة فقط ، يقوم IDS و IPS بتحليل تدفقات البيانات الداخلية المنقولة ، وإيجاد فيها سلسلة من البتات يمكن أن تكون إجراءات أو أحداث ضارة. بالإضافة إلى ذلك ، يمكنهم مراقبة سجلات النظام وملفات سجل نشاط المستخدم الأخرى.

لكن أول الأشياء أولا. لذلك ، IDS هو نظام للكشف عن التسلل مصمم لتسجيل الأعمال المشبوهة على الشبكة وإخطار الموظف المسؤول عن أمن المعلومات عن طريق إرسال رسالة إلى وحدة التحكم الإدارية ، وإرسال رسالة بريد إلكتروني ، ورسالة SMS إلى الهاتف المحمول ، إلخ.

يتكون IDS التقليدي من أجهزة استشعار تقوم بفحص حركة مرور الشبكة أو تسجيلها وإرسالها إلى المحللين ، ويبحث المحللون عن البيانات الضارة في البيانات المستلمة ، وإذا نجحوا ، يرسلون النتائج إلى الواجهة الإدارية. بناءً على الموقع ، يتم تقسيم IDS إلى شبكة (IDS المستندة إلى الشبكة ، NIDS) ومضيف (يستند إلى المضيف ، HIDS). بالاسم ، من الواضح أن أحدهم يراقب كل حركة مرور الشبكة للقطعة حيث تم تثبيته ، والآخر داخل جهاز كمبيوتر واحد. للحصول على تصنيف أكثر قابلية للفهم لمعرفات الهوية ، من الضروري التمييز بين مجموعتين فرعيتين أخريين مقسومتين على نوع الحركة الجاري تحليلها: المعرفات القائمة على البروتوكول (PIDS) ، التي تحلل بروتوكولات الاتصال مع الأنظمة المرتبطة أو المستخدمين ، و IDS ، بناءً على بروتوكولات التطبيق (IDS المستندة إلى بروتوكول التطبيق ، APIDS) ، المصممة لتحليل البيانات المرسلة باستخدام بروتوكولات خاصة بالتطبيق.

بطبيعة الحال ، يمكن اكتشاف النشاط الضار في حركة المرور التي تم تحليلها بطرق مختلفة. لذلك ، توجد الخصائص التالية في IDS التي تميز الأنواع المختلفة من تقنيات IDS عن بعضها البعض ويمكن وصفها على النحو التالي:

  • معرفات التوقيع . تتبع أنماط محددة في حركة المرور والعمل مثل برامج مكافحة الفيروسات. عيوب هذا النهج: يجب أن تكون التوقيعات محدثة ولن تتمكن IDS من هذا النوع من اكتشاف الهجمات غير المألوفة. يمكن تقسيم هذه الفئة أيضًا إلى نوعين: IDS للتوقيع ، وقوالب التتبع - مقارنة حزم الشبكة بالتوقيعات ، وتتبع الحالة - مقارنة الإجراءات مع القوالب. أنا متأكد من أن مبدأ توقيع NIDS الذي يتتبع القوالب معروف ومفهوم. أما بالنسبة لمعرفات IDS المميزة التي تراقب الحالة ، فيجب أن نفهم هنا مفهوم الحالة التي تعمل بها IDS. أي تغيير في تشغيل النظام (تشغيل البرنامج ، إدخال البيانات ، التفاعل بين التطبيقات ، وما إلى ذلك) يؤدي إلى تغيير في الحالة. بالنسبة لـ IDS ، تكون الحالة الأولية قبل الهجوم ، والدولة التي تعرضت للخطر هي بعد الهجوم ، أي عدوى ناجحة.
  • معرفات القائم على الشذوذ . هذا النوع من IDS لا يستخدم التواقيع. يعتمد على سلوك النظام وقبل بدء العمل ، تحدث مرحلة تعلم نشاط النظام "العادي". لذلك ، فإنه قادر على اكتشاف هجمات غير مألوفة. يتم تقسيم الحالات الشاذة ، في المقابل ، في هذه الفئة إلى ثلاثة أنواع: إحصائية - تنشئ IDS ملفًا شخصيًا للأنشطة المعتادة للنظام ويقارن بين كل حركة المرور والأنشطة عبر هذا الملف الشخصي ؛ التشوهات بروتوكول - IDS يحلل حركة المرور لتحديد شظايا الاستخدام غير المشروع للبروتوكولات. تشوهات حركة المرور - تقوم IDS بالكشف عن الأنشطة غير المشروعة في حركة مرور الشبكة.
  • معرفات المستندة إلى القواعد . تستخدم بيانات IDS البرمجة القائمة على القواعد "IF status THEN action ". IDS المستندة إلى القواعد تشبه أنظمة الخبراء ، كما نظام الخبراء هو عمل مشترك لقاعدة المعرفة والاستنتاجات المنطقية والبرمجة القائمة على القواعد. في هذه الحالة ، تكون المعرفة هي القواعد ، ويمكن تسمية البيانات التي تم تحليلها بالحقائق التي تنطبق عليها القواعد. على سبيل المثال: "إذا قام مستخدم المسؤول بتسجيل الدخول إلى System1 وقام بإجراء تغيير على File2 ، فطلق" Utility3 "ثم أرسل إخطارًا" ، أي إذا قام المستخدم بتسجيل الدخول إلى النظام 1 وقام بإجراء تغيير على الملف 2 ، ثم قام بتشغيل الأداة المساعدة 3 ، ثم أرسل إشعارًا.

وبالتالي ، يمكن لـ IDS أن نحذر من أي نشاط ضار ، ولكن غالبًا ما تكون المهمة على وجه التحديد هي منع النشاط الضار في مرحلة مبكرة. IPS ، التي ذكرناها سابقا ، يمكن أن تساعد في هذا. أساليب عملها في الوقت المناسب (وقائية) واستباقية ، على عكس IDS ، الذي يؤدي وظائف المباحث. تجدر الإشارة إلى أن IPS هي فئة فرعية من IDS ، لذلك فهي تستند إلى طرق الكشف عن الهجوم. يمكن أن تعمل IPS على مستوى المضيف (HIPS) وعلى مستوى الشبكة (NIPS). يتم تنفيذ القدرة على منع الهجمات بسبب حقيقة أن IPS للشبكة ، كقاعدة عامة ، مدمج في الشبكة ويمرر كل حركة المرور من خلالها ، بالإضافة إلى واجهة خارجية تستقبل حركة المرور وواجهة داخلية تتجاوز حركة المرور إذا تم التعرف عليها آمنة. هناك أيضًا إمكانية التعامل مع نسخة من حركة المرور في وضع المراقبة ، ولكن بعد ذلك نفقد الوظيفة الرئيسية لهذا النظام.

على الصعيد العالمي ، يمكن تقسيم IPS إلى تلك التي تقوم بتحليل حركة المرور ومقارنتها مع التواقيع المعروفة وتلك ، بناءً على تحليل البروتوكول ، تبحث عن حركة مرور غير مشروعة استنادًا إلى معرفة الثغرات الموجودة مسبقًا. توفر الفئة الثانية الحماية ضد نوع غير معروف من الهجمات. بالنسبة لطرق الاستجابة للهجمات ، فقد تراكم عدد كبير منها ، ولكن يمكن تمييز ما يلي عن العناصر الرئيسية: حظر الاتصال باستخدام حزمة TCP مع إشارة RST أو من خلال جدار الحماية ، وإعادة تكوين معدات الاتصالات ، وكذلك حظر سجلات المستخدمين أو مضيف محدد في البنية التحتية .

في نهاية المطاف ، فإن الفكرة الأكثر فعالية لحماية البنية التحتية هي استخدام معرفات IPS و IPS معًا في منتج واحد - جدار حماية ، من خلال التحليل المتعمق لحزم الشبكة ، يكتشف الهجمات ويمنعها. تجدر الإشارة إلى أننا نتحدث فقط عن خط دفاع واحد ، كقاعدة عامة ، يقع خلف جدار الحماية. ولتحقيق حماية شاملة للشبكة ، من الضروري استخدام ترسانة كاملة من أدوات الحماية ، على سبيل المثال UTM (إدارة التهديدات الموحدة) - جدار حماية يعمل بشكل مشترك ، VPN ، IPS ، مكافحة الفيروسات ، أدوات التصفية وأدوات مكافحة البريد العشوائي.

في مواجهة عدد من المشكلات المعمارية ، كانت الجولة التالية من تطوير مثل هذه الأنظمة للبائعين العالميين هي جدار الحماية من الجيل التالي (NGFW ، Next Generation Firewall) ، الذي يفوز عن طريق التحليل الموازي لنفس حركة المرور باستخدام جميع أدوات الحماية ، مع تحليل حركة المرور للتحقق من مكافحة الفيروسات في الذاكرة ، ليس بعد حفظه على القرص الصلب ، ولكن أيضًا بسبب تحليل بروتوكولات OSI المستوى 7 ، والتي تسمح لك بتحليل تشغيل تطبيقات محددة.

Source: https://habr.com/ru/post/ar479584/

More articles:


All Articles