Классификация компьютерных атак

Эффективная защита от потенциальных сетевых атак невозможна без их детальной классификации, облегчающей их выявление и задачу противодействия им. В настоящее время известно большое количество различных типов классификационных признаков. В качестве таких признаков может быть выбрано, например, разделение на пассивные и активные, внешние и внутренние атаки, умышленные и неумышленные и т. д. К сожалению, несмотря на то, что некоторые из существующих классификаций мало применимы на практике, их активно используют при выборе СОА и их эксплуатации.

Рассмотрение существующих классификаций:

удаленное проникновение (от англ. remotepenetration) — это тип атак, которые позволяют реализовать удаленное управление компьютером через сеть; например, атаки с использованием программ NetBus или BackOrifice;

локальное проникновение (от англ. localpenetration) — это тип атак, которые приводят к получению несанкционированного доступа к узлу, на который они направлены; примером такой атаки является атака с использованием программы GetAdmin;

удаленный отказ в обслуживании (от англ. remotedenialofservice) — тип атак, которые позволяют нарушить функционирование системы в рамках глобальной сети; пример такой атаки — Teardrop или trinOO;

локальный отказ в обслуживании (от англ. localdenialofservice) — тип атак, позволяющих нарушить функционирование системы в рамках локальной сети. В качестве примера такой атаки можно привести внедрение и запуск враждебной программы, которая загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений;

атаки с использованием сетевых сканеров (от англ. networkscanners) — это тип атак, основанных на использовании сетевых сканеров — программ, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки; пример: атака с использованием утилиты nmap;

атаки с использованием сканеров уязвимостей (от англ. vulnerabilityscanners) — тип атак, основанных на использовании сканеров уязвимостей — программ, осуществляющих поиск уязвимостей на узлах сети, которые в дальнейшем могут быть применены для реализации сетевых атак; примерами сетевых сканеров могут служить системы SATAN и ShadowSecurityScanner;

атаки с использованием взломщиков паролей (от англ. passwordcrackers) — это тип атак, которые основаны на использовании взломщиков паролей — программ, подбирающих пароли пользователей; например, программа LOphtCrack для ОС Windows или программа Crack для ОС Unix;

атаки с использованием анализаторов протоколов (от англ. sniffers) — это тип атак, основанных на использовании анализаторов протоколов — программах, «прослушивающих сетевой трафик. С их помощью можно автоматизировать поиск в сетевом трафике такой информации, как идентификаторы и пароли пользователей, информацию о кредитных картах и т. д.

Приведенная классификация является достаточно полной с практической точки зрения, так как она охватывает почти все возможные действия злоумышленника. Однако для противодействия сетевым атакам этого недостаточно, так как ее использование в данном виде не позволяет определять элементы сети, подверженные воздействию той или иной атаки, а также последствия, к которым может привести успешная реализация атак. В таком случае мы не включаем в анализ самый важный компонент, а именно — модель угроз безопасности, с построения которой должны начинаться все мероприятия по обеспечению защиты информации.

Аналогичным недостатком страдает и более компактная классификация, предложенная компанией InternetSecuritySystems, Inc., в которой содержится всего лишь пять типов атак:

сбор информации (от англ. informationgathering) ;

попытки несанкционированного доступа (от англ. unauthorizedaccessattempts) ;

отказ в обслуживании (от англ. denialofservice) ;

подозрительная активность (от англ. suspiciousactivity) ;

системные атаки (от англ. systemattack).

В своих продуктах, предназначенных для защиты сетей, серверов и рабочих станций (таких как, например, RealSecure, Systemscanner и др.) компания InternetSecuritySystems использует несколько других классификационных признаков возможных сетевых атак, они более эффективны с точки зрения защиты от вторжений. Опишем их подробнее.

По степени риска (от англ. RiskFactor); имеет большое практическое значение, так как позволяет ранжировать опасность атак по следующим классам:

высокий (High) — атаки, успешная реализация которых позволяет атакующему немедленно получить доступ к машине, получить права администратора или обойти межсетевые экраны (например, атака, основанная на использовании ошибки в ПО Sendmail версии 8. 6. 5, позволяет атакующему исполнять любую команду на сервере) ;

средний (Medium) — атаки, успешная реализация которых потенциально может дать атакующему доступ к машине. Например, ошибки в сервере NIS, позволяющие атакующему получить файл с гостевым паролем;

низкий (Low) — атаки, при успешной реализации которых атакующий может получить сведения, облегчающие ему задачу взлома данной машины. Например, используя сервис finger, атакующий может определить список пользователей сервера и, используя атаку по словарю, попытаться получить доступ к машине.

По типу атаки (AttackType); позволяет судить о том, может ли атака быть осуществлена удаленно, или только локально:

осуществляемые локально (HostBased) ;

осуществляемые удаленно (NetworkBased).

По подверженному данной атаке программному обеспечению (вангл. варианте Platforms Affected). Например: Microsoft Internet Explorer 5. 01, Microsoft Internet Explorer 5. 5, Microsoft Internet Explorer 6.

Кроме того, существует классификация по характеру действий, используемых в атаке:

«черные ходы» (Backdoors) — атаки, основанные на использовании недокументированных разработчиками возможностях ПО, которые могут привести к выполнению пользователем несанкционированных операций на атакуемом сервере;

атаки типа «отказ в обслуживании» (DenialofService, или DoS) — атаки, основанные на использовании ошибок, позволяющие атакующему сделать какой-либо сервер недоступным для легитимных пользователей;

распределенные атаки типа «отказ в обслуживании» (DistributedDenialofService) — несколько пользователей (или программ) посылают большое количество фиктивных запросов на сервер, приводя последний в нерабочее состояние;

потенциально незащищенная операционная система (OS Sensor) ;

неавторизованныйдоступ (Unauthorized Access Attempts).

К недостаткам приведенных классификационных признаков можно отнести то, что они не позволяют описать цель атаки, а также ее последствия. Например, классификационный признак «по характеру действий» содержит два класса атак типа «отказ в обслуживании», но в то же время не содержит классов, описывающих атак, направленных на перехват трафика.

Другой подход был применен в классификации, использованной в достаточно известном программном продукте Nessus, предназначенном для анализа безопасности серверов. Здесь используется классификация «по характеру уязвимости», используемой для реализации атаки:

«черные ходы» (Backdoors) ;

ошибки в CGI скриптах (CGI abuses) ;

атаки типа «отказ в обслуживании» (DenialofService) ;

ошибки в программах — FTP-серверах (FTP) ;

наличие на компьютере сервиса Finger или ошибки в программах, реализующих этот сервис (Fingerabuses) ;

ошибки в реализации межсетевых экранов (Firewalls) ;

ошибки, позволяющие пользователю, имеющему терминальный вход на данный сервер, получить права администратора (Gain a shellremotely) ;

ошибки, позволяющие атакующему удаленно получить права администратора (Gainrootremotely) ;

прочие ошибки, не вошедшие в другие категории (Misc) ;

ошибки в программах — NIS-серверах (NIS) ;

ошибки в программах — RPC-серверах (RPC) ;

уязвимости, позволяющие атакующему удаленно получить любой файл с сервера (Remotefileaccess) ;

ошибки в программах — SMTP-серверах (SMTP problems) ;

неиспользуемые сервисы (Uselessservices).

Кроме того, по типу программной среды они подразделяются на уязвимости в операционной системе, уязвимости в определенном сервисе и уязвимости в определенном программном обеспечении. Для определения уязвимости в операционной системе используется параметр Host/OS, уязвимости в конкретных сервисах и в определенном программном обеспечении классифицируются по группам.

В этой классификации более детально, по сравнению с предыдущими, проработаны атаки, использующие уязвимости в системном, прикладном и сетевом программном обеспечении. Однако данная классификация не охватывает всех существующих сетевых атак, за пределами рассмотрения остаются такие опасные атаки, как атаки типа «отказ в обслуживании», перехват данных и атаки, направленные на сетевое оборудование. Положительной чертой данной классификации является наличие класса «прочие ошибки, не вошедшие в другие категории», так как формально к любой атаке, в том числе новой, благодаря этому классу будет применима данная классификация. Однако, с другой стороны, этот класс бесполезен, поскольку не содержит никакой дополнительной информации.

Как видно из описанных классификаций, далеко не все они являются полными. В некоторых случаях под видом единой классификации делается попытка объединить несколько классификаций, проведенных по разным характеристическим параметрам.

Появление новых атак приводит к снижению эффективности применения существующих классификаций, поэтому их использование без внесения изменений не представляется возможным. Данная ситуация объясняется огромным количеством различных сетевых атак и постоянным появлением новых атак, некоторые из которых не подчиняются критериям существующих классификаций.

Таким образом, применение существующих классификаций нельзя назвать рациональным. Существует объективная необходимость в создании новой гибкой классификационной схемы возможных сетевых атак, построенной с учетом указанных выше недостатков.