Оригинал взят у
psyont в
Россия разворачивает систему защиты компьютеров от хакерских атакОригинал взят у
dmgusev в
Россия разворачивает систему защиты компьютеров от хакерских атакВ контексте постоянно обсуждаемых хакерских угроз новость о создании Объединенной приборостроительной корпорацией (ОПК) системы обнаружения компьютерных атак представляется особенно своевременной.
Понятно, что тема компьютерной безопасности стратегически важной информации имеет большое значение. В частности, журнал «Политическая Россия» уже писал о развёртывании коммуникационной системы «Закрытый сегмент передачи данных» - образно говоря, «военного интернета». Что же ещё изобрели в плане безопасности российские специалисты и почему недостаточно обособить сеть, чтобы снизить риски до допустимой величины?
Разработчики из Центрального научно-исследовательского института экономики, информатики и систем управления (ЦНИИ ЭИСУ) поясняют:
«Программно-аппаратный комплекс позволяет оперативно отреагировать на вторжение и обезопасить сети, системы связи и управления, не дать их вывести из строя и быстро восстановить работоспособность сервисов».
Сообщения о применяемых методиках крайне скупы, известно лишь об анализе сетевого трафика «с помощью специальных сенсоров» (это, видимо, уже пересказ журналиста: какие сенсоры для трафика?), а также состояния защищаемых устройств. По данным пресс-службы ОПК, «антихакерский» комплекс в состоянии обнаруживать компьютерные атаки в режиме реального времени, а также сразу оценивать их критичность, после чего он «выявляет точку, откуда ведется вторжение». Как видите, терминология откровенно странная - вероятно, специально.
Давайте подумаем, как такая система может работать.
В общем виде защита компьютерной сети обсуждаемого уровня требует использования различных систем безопасности. Очевидно, что рост количества программных и аппаратных средств защиты сети радикально увеличивает объём информации, которую требуется анализировать. В результате без использования автоматических систем анализа системные администраторы сети должны заниматься анализом рутинной информации практически всё время, что явно непродуктивно. Другими словами, имеется противоречие между надёжностью защиты сети, что требует увеличения анализируемого объёма информации, и оперативностью управления сетью. Для оперативного же мониторинга состояния сети в режиме реального времени объём «сырой» информации слишком значителен для сколь-либо эффективного анализа «вручную».
Поэтому для обнаружения угроз используется большой ассортимент специализированного программного обеспечения: не только всем известные файерволы и антивирусы, но и системы сетевого мониторинга, анализаторы сетевых протоколов, системы обнаружения вторжений (IDS) и др. Однако все эти средства используются лишь периодически, в качестве средства устранения уже возникшей проблемы (иногда для профилактики, что несущественно).
Кроме того, подобные программы предназначены для выявления заранее известных и описанных в литературе угроз и, как следствие, далеко не всегда способны обнаружить новые виды угроз и могут пропустить даже модификации ранее известных.
Дисфункция сети может вызываться как намеренными вторжениями, так и техническими сбоями. Последние могут быть следствием как сбоев в аппаратуре, так и следствием человеческого фактора: можно нарушить работу сети, не имея намерения это делать. Таким образом, хорошо работающая защитная система должна обнаруживать все виды сбоев сети, как намеренные, так и технические, включая ранее неизвестные, что должно определяться косвенно, по различным признакам нарушения нормального функционирования сети. Кроме того, требуется выявление вредоносных воздействий, отложенных или «растянутых» во времени, что также можно выявить по косвенным признакам.
Стандартные системы безопасности предусматривают мониторинг следующих аспектов уязвимости сети: контроль доступа, надёжность хранения важной информации, аппаратурный уровень обеспечения безопасности (электронные ключи и др.), защищённость протоколов, отказоустойчивость системы. Для военных целей (с учётом современного уровня компьютерного противодействия) этого явно недостаточно.
Концепция обеспечения безопасности сети как поддержка заранее определённого оптимального состояния устарела, сети стали слишком сложными.
На современном уровне подход к обеспечению безопасности должен рассматривать сеть как сложную систему, имеющую не строго одно статическое функциональное состояние, а некий объем фазового пространства функциональности, каждое состояние внутри которого удовлетворяет требованиям безопасности. Анализ же рисков должен учитывать распределение стандартных процессов при нормальном функционировании сети, отклонения такого плана как раз и являются косвенными признаками рисков безопасности неизвестного ранее вида:
«В традиционной политике предоставления доступа правила доступа формулируются исходя из статического состояния системы: “Через эту дверь аутентифицированный субъект проходить может”. По мнению автора, необходимо учитывать и динамику: “Через эту дверь проходить можно, но не более одного раза в секунду для каждого субъекта, при условии, что информационная система находится в некотором состоянии Б”».
При этом в качестве основы логического аппарата моделирования событий рекомендуется использовать абдукцию: в отличие от индукции абдуктивный метод не ищет факты, подтверждающие заранее известную гипотезу, а направлен на установление определённой регулярности между известными фактами, которая может выступать в качестве предварительной гипотезы, а затем должна уточняться на основе дальнейшего анализа фактов, в том числе и с использованием индуктивного и дедуктивного методов. Реализовывать такую систему мониторинга и анализа безопасности системы логичнее всего на нейронных сетях.
Показательно, что в ЦНИИ ЭИСУ уточнили: системы тестировалась более двух лет. Такой длительный срок с большой вероятностью указывает на наличие самообучающихся элементов. Если такая система уже запущена, российскими безопасниками можно гордиться.
Новая система установлена более чем на 500 объектах, и это лишь на сегодняшний день:
«Наряду с этим ведутся работы по расширению перечня защищаемых объектов. В ближайшем будущем планируется выпустить комплексы, рассчитанные для работы на мобильных узлах связи, в том числе авиационного исполнения».
Очень хорошее дополнение к «военному интернету»!
А если учесть, что сейчас военные разработки имеют тенденцию со временем применяться и в гражданском жизни, то тема безопасности важна не только военным: государственное управление и коммерческие компании несколько позже также, следует ожидать, станут использовать отечественную систему защиты, в которой гарантированно нет иностранных шпионских «закладок».