Documente Academic
Documente Profesional
Documente Cultură
Bucureti 2011
MULUMIRI
Adresez mulumirile cuvenite tuturor celor care, direct sau indirect, prin discuiile, sugestiile i expertiza oferit au contribuit la realizarea acestui demers tiinific i m-au susinut n finalizarea lui. Doresc s exprim cele mai sincere mulumiri i recunotin domului Prof. Dr. Ing. Victor-Valeriu Patriciu, conductorul tiinific al tezei mele de doctorat, pentru ncrederea acordat, precum i pentru sprijinul deplin i ndrumarea oferite pe tot parcursul programului de studii doctorale. Mulumesc domnului Conf. Dr. Ing. Iustin Priescu, din cadrul Universitii Titu Maiorescu, evaluarea acestei lucrri, precum i pentru sugestiile de cercetare, ncurajrile primite i suportul logistic oferit de-a lungul ntregii noastre colaborri. Mulumesc domnului Conf. Dr. Ing Ion Bica, eful catedrei Calculatoare i Sisteme Informatice Militare din cadrul Academiei Tehnice Militare, pentru orientrile oferite, precum i evaluarea critic a acestei lucrri. Doresc s adresez mulumiri Prof. Dr. Florentin Smarandache (University of New Mexico, USA), Dr. Pascal Djiknavorian (Universit Laval, Quebec, Canada) i Prof. Dr. Arnaud Martin (Universit de Rennes, Frana) pentru sprijinul acordat n aprofundarea aspectelor teoretice a Teoriei Dezert-Smarandache, pentru permisiunea oferit de a utiliza bibliotecile Matlab de fuziunea datelor, documentarea anumitor module, precum i sprijinul oferit n depanarea anumitor funcii ce au trebuit readaptate. In cele din urm, doresc sa aduc mulumiri familiei pentru susinerea, nelegerea i timpul acordat pe durata ntregii perioade de studiu.
CUPRINS
PREFA ...................................................................................................................................................................6 INTRODUCERE ........................................................................................................................................................7 DEFINIREA PROBLEMEI ............................................................................................................................................8 METODOLOGIA DE CERCETARE.................................................................................................................................9 ORGANIZAREA TEZEI DE DOCTORAT .......................................................................................................................10 SECURITATEA ACTUAL N INTERNET .......................................................................................................12 1.1 CONCEPTE GENERALE DE SECURITATE .............................................................................................................12 1.2 VULNERABILITI N REELE I SISTEME DE CALCUL .......................................................................................13 1.2.1 Protocoalele de comunicaie TCP i UDP...............................................................................................13 1.2.2 Posibilitatea de manipulare a datelor din pachetul IP ............................................................................14 1.2.3 Proiectri de soluii neadecvate ce permit scurgeri de informaii...........................................................14 1.2.4 Vulnerabiliti la nivelul protocoalelor de nivel aplicaie .......................................................................14 1.2.5 Vulnerabiliti la nivelul sistemelor de operare ......................................................................................15 1.2.6. Vulnerabiliti la nivelul serviciilor de infrastructur ale Internetlui ....................................................15 1.2.7 Vulnerabiliti la nivelul aplicaiilor .......................................................................................................15 1.2.8 Configurarea necorespunztoare a aplicaiilor i sistemelor..................................................................16 1.2.9 Factorul uman..........................................................................................................................................16 1.3 FAZELE DE COMPROMITERE ..............................................................................................................................17 1.4 TEHNICI DE SCANARE A REELELOR I SISTEMELOR .........................................................................................19 1.4.1 Tehnici de scanare a porturilor TCP .......................................................................................................19
1.4.1.1 Metode de scanare standard................................................................................................................................19 1.4.1.2 Metode de scanare TCP invizibil ......................................................................................................................20 1.4.1.3 Metode de scanare TCP fabricat (spoofed).......................................................................................................21
1.4.2 Scanarea porturilor UDP ........................................................................................................................23 1.5 ATACURI ASUPRA REELELOR I SISTEMELOR DE CALCUL................................................................................23 1.5.1 Atacuri asupra infrastructurii ..................................................................................................................24
1.5.1.1 Atacuri DoS........................................................................................................................................................25 1.5.1.2 Atacuri DoS asupra reelelor ..............................................................................................................................27 1.5.1.3 Atacuri DoS asupra sistemelor ...........................................................................................................................28 1.5.1.4 Atacuri pe baz de viermi...................................................................................................................................31
1.5.2 Atacuri asupra aplicaiilor i serviciilor..................................................................................................34 1.5.3 Atacuri asupra utilizatorilor ....................................................................................................................35 1.5.4 Scheme tipice de atacuri pe baz de mesaje de pot ..............................................................................36 1.5.5 Metodologii de clasificare a atacurilor ...................................................................................................41 1.6 COMPONENTA DE MONITORIZARE I PROCESUL DE SECURITATE .......................................................................42 1.6.1 Indicatori i avertismente.........................................................................................................................42 1.6.2 Procesul de securitate..............................................................................................................................44 1.6.3 Elementele procesului de monitorizare....................................................................................................45 PROCESE I POLITICI DE MONITORIZARE .................................................................................................46 2.1 PROCESUL DE MANAGEMENT AL RISCULUI. ......................................................................................................46 2.2. MODEL DE MONITORIZARE A SECURITII LA NIVELUL NTREGII ORGANIZAII ...............................................48 2.3 CONSIDERAII GENERALE ASUPRA POLITICILOR DE SECURITATE ......................................................................48 2.4 PROCESUL DE IMPLEMENTARE A UNUI PROGRAM DE MONITORIZARE ...............................................................50 2.4.1. Definirea strategiei de monitorizare .......................................................................................................51
2.4.1.1 Strategia de monitorizare la nivel organizaional i al misiunii sale ...................................................................52 2.4.1.2 Strategia de monitorizare la nivelul sistemelor informaionale...........................................................................52
2.4.5 Revizuirea i actualizarea programului de monitorizare.........................................................................67 TEHNOLOGII DE MONITORIZARE A SECURITII...................................................................................71 3.1 CLASE DE TEHNOLOGII DE MONITORIZARE A SECURITII ................................................................................71 3.1.1 Tehnologii pentru culegerea direct a datelor........................................................................................71 3.1.2 Tehnologii pentru agregare i analiz .....................................................................................................72 3.1.3 Tehnologii de automatizare .....................................................................................................................73 3.2. TEHNOLOGII DE SCANARE A VULNERABILITILOR .........................................................................................73 3.3 TEHNOLOGII PENTRU DETECIA INTRUZIUNILOR ..............................................................................................76 3.3.1 Analiza fiierelor de jurnalizare ..............................................................................................................78
3.3.1.1 Soluii de analiz offline.....................................................................................................................................78 3.3.1.2 Soluii de analiz online .....................................................................................................................................78 3.3.1.3 Exemplu utilizare OSSEC pentru analiza fiierelor............................................................................................80
3.3.2 Monitorizarea integritii fiierelor .........................................................................................................81 3.3.3 Monitorizarea integritii sistemelor (detecia rootkit) ...........................................................................82
3.3.3.1 Detectoare bazate pe semntur..........................................................................................................................82 3.3.3.2 Detectoare bazate pe integritate..........................................................................................................................82 3.3.3.3 Detectoare de tip crossview................................................................................................................................83 3.3.3.4 Detectoare bazate pe comportament ...................................................................................................................83
3.3.4 Detecia intruziunilor cu sisteme capcan (honeypot).............................................................................84 3.3.5 Detecia pe baz de anomalii..................................................................................................................85
3.3.5.1 IDES Sistem expert pentru detecia n timp real a intruziunilor ......................................................................87 3.3.5.2 Wisdom & Sense Detecia activitilor anormale n sesiuni de lucru pe staii.................................................88 3.3.5.3 Computer Watch.................................................................................................................................................88 3.3.5.4 NADIR Sistem automat pentru detecia abuzurilor i intruziunilor n reea ....................................................88 3.3.5.5 Hyperview Component de reea neuronal pentru detecia intruziunilor .......................................................88 3.3.5.6 DPEM Monitorizarea distribuit a execuiei unui program. ............................................................................90
3.4 TEHNICI DE MONITORIZARE A INFRASTRUCTURII PENTRU ORGANIZAII MARI ................................................102 3.4.1. Contracararea atacurilor generate de viermi Internet .........................................................................102 3.4.2 Monitorizarea fluxurilor de comunicaie pereche pentru detecia BotNet.............................................104 3.4.3 Urmrirea atacurilor DDoS ..................................................................................................................105 3.5. MONITORIZAREA SPAIULUI DE AMENINRI GLOBAL PE BAZA RESURSELOR PUBLICE .................................106 3.5.1 Network Telescope.............................................................................................................................106 3.5.2 Dshield/Internet Storm Center ...............................................................................................................108 3.5.3 ATLAS (Active Threat Level Analysis System) .......................................................................................108 3.5.4 Studii de caz ...........................................................................................................................................110
3.5.4.1 Monitorizarea ameninrilor pe baza datelor CAIDA......................................................................................110 3.5.4.2 Monitorizarea ameninrilor pe baza datelor Dshield (ISC) ............................................................................112
ARHITECTURA DE MONITORIZARE A SECURITII .............................................................................114 4.1 EVALUAREA STRII DE SECURITATE A INFRASTRUCTURII IT A CLIENTULUI ...................................................114 4.1.1 Inventarul tehnic i organizaional ........................................................................................................114 4.1.2 Stabilirea modelelor de ameninare i a zonelor de monitorizare .........................................................115 4.1.3 Consideraii specifice zonelor de monitorizare wireless .......................................................................117 4.1.4 Baza de date cu vulnerabiliti ..............................................................................................................117 4.1.5 Politica de securitate .............................................................................................................................118 4.1.6 Evaluarea nivelului de securitate a clientului........................................................................................118
4.1.7 Consideraii asupra administrrii senzorilor dispui n perimetrul clientului ......................................119 4.2 COMPONENTELE ARHITECTURII DE MONITORIZARE A SECURITII ...............................................................119 4.2.1 Sisteme E................................................................................................................................................120 4.2.2 Sisteme C i D ........................................................................................................................................121 4.2.3 Sisteme A i K.........................................................................................................................................121 4.2.4 Sisteme R................................................................................................................................................123 4.3 CONSIDERAII ASUPRA PERFORMANELOR I LIMITRILOR N GENERAREA EVENIMENTELOR ........................123 4.4 COLECTAREA EVENIMENTELOR ......................................................................................................................124 4.4.1. Agenii de tip protocol...........................................................................................................................125 4.4.2 Dispecerul..............................................................................................................................................126 4.4.3 Agenii aplicaie .....................................................................................................................................126 4.4.4 Conlucrarea dispecerilor i a agenilor de aplicaie .............................................................................127 4.5. FORMATAREA DE DATE I STOCAREA ............................................................................................................127 4.5.1 Structura de date staie (host) ................................................................................................................127 4.5.2 Structura de date pentru mesaj ..............................................................................................................128 4.6. ANALIZA DATELOR ........................................................................................................................................129 4.6.1 Corelaia ................................................................................................................................................130
4.6.1.1 Contexte de corelaie ........................................................................................................................................132 4.6.1.2 Definirea contextului ........................................................................................................................................132 4.6.1.3 Organizarea contextelor....................................................................................................................................133 4.6.1.4 Structuri de date pentru contexte ......................................................................................................................134 4.6.1.5 Starea contextelor .............................................................................................................................................135
4.6.2 Analiza structural.................................................................................................................................136 4.7 RAPORTAREA I RSPUNSUL LA INCIDENTE ....................................................................................................137 4.7.1 Consola arhitecturii de monitorizare.....................................................................................................137 4.7.2 Portalul pentru client .............................................................................................................................137 4.7.3 Procedurile de rspuns i escaladare ....................................................................................................138 4.8 RISCURI I AMENINRI LA ADRESA ARHITECTURII DE MONITORIZARE ..........................................................139 4.8.1 Meninerea gradului de anonimat.........................................................................................................140 4.8.2 Evitarea deteciei ...................................................................................................................................141 4.8.3 Generarea de trafic normal ...................................................................................................................141 4.8.4 Degradarea sau stoparea procesului de monitorizare...........................................................................141 4.8.5 Probleme organizaionale......................................................................................................................142 MONITORIZAREA SECURITII N CONDIII DE INCERTITUDINE ..................................................143 5.1 CATEGORII DE IMPERFECIUNE A DATELOR ....................................................................................................143 5.2 TEORIA DEMPSTER-SHAFER (TDS) ................................................................................................................145 5.2.1 Regula de combinare DS........................................................................................................................146 5.3 TEORIA DEZERT-SMARANDACHE (TDSM) .....................................................................................................148 5.3.1 Funciile generalizate de ncredere .......................................................................................................149 5.3.2 Modele DSm...........................................................................................................................................150 5.3.3 Regula de combinare clasic DSm ........................................................................................................150 5.3.4 Regula de combinare DSm hibrid (DSmH)..........................................................................................151 5.3.5 Regula de redistribuire proporional a conflictului .............................................................................152 5.3.6 Exemplu utilizare a regulilor de combinare ..........................................................................................153 5.3.7 Transformarea pignistic .......................................................................................................................154 5.4 EXPERIMENT DE MONITORIZARE A SECURITII UTILIZND TDSM I TDS ....................................................155 5.4.1 Modelarea deteciei de intruziuni utiliznd teoria DSm ........................................................................155 5.4.2 Descrierea experimentului.....................................................................................................................156 5.4.3 Interpretarea rezultatelor obinute ........................................................................................................158 CONTRIBUII I REZULTATE TIINIFICE OBINUTE .........................................................................162 CONCLUZII FINALE I ABORDRI VIITOARE ..........................................................................................168 BIBLIOGRAFIE ....................................................................................................................................................171 PUBLICAII PERSONALE .......................................................................................................................................171 BIBLIOGRAFIE GENERAL.....................................................................................................................................173
Prefa
Odat cu migrarea pe Internet a tot mai multor activiti ale societii contemporane, a aprut i necesitatea unei alte abordri a securitii sistemelor IT. Dac n urm cu un deceniu securitatea informatic era n mare parte orientat spre produse, avnd un caracter preponderent defensiv i reactiv, abordrile de succes actuale trateaz securitatea ca un proces continuu ce ncorporeaz elemente de natur tehnologic, procedural i uman. Obiectivul acestei teze este de a oferi un studiu aprofundat asupra problematicii complexe a monitorizrii securitii n sisteme i reele de calculatoare, a ameninrilor din spaiul virtual, a tehnologiilor ce pot fi utilizate n construirea soluiilor de monitorizare, de a identifica i evalua practicile i procedurile necesare n implementarea i operarea unor astfel de soluii, precum i de a evalua noi modele teoretice cu scopul de a adresa anumite limitri existente n soluiile tehnologice actuale. Pentru a conferi o aplicabilitate ridicat rezultatelor cercetrii, cadrul de studiu al problematicii, tematica abordat, precum i construirea modelelor de evaluare a noilor teorii a fost centrat n jurul nevoilor i problemelor tipice organizaiilor care au o component de operare n spaiul digital.
INTRODUCERE
n 2001, Lawrence K. Gershwin (National Intelligence Officer pentru tiin i Tehnologie n cadrul US National Intelligence Council) afirma c tehnologiile informaionale reprezint cea mai important transformare global de la nceputul revoluiei industriale (mijlocul secolului al 18-lea) [GER01]. La acel moment afirmaia mi s-a prut forat, ns dup 10 ani n care am asistat la proliferarea accentuat a tehnologiilor informaionale n toate domeniile vieii sociale, i n toate colurile lumii, la influena acestora asupra unor procese majore (globalizarea economic, comerul electronic, externalizarea pe scar larg a resurselor umane) sau evenimente din domenii ct mai diverse (unul de ordin recent fiind Primvara arab din 2011), nclin s-mi reconsider opinia iniial. Utilizarea pe scar larg a tehnologiilor informaionale, a determinat apariia unui nou spaiu de desfurare a multora dintre activitile umane - numit adesea spaiul virtual (cyberspace). Elementele de ordin infracional i confruntaional ale lumii fizice nu au fcut excepie la aceast transpunere a activitilor n spaiul virtual, proliferarea activitilor maliioase fiind nlesnit de limitrile structurale existente la nivelul arhitecturii Internet-ului, precum i de un ir nentrerupt de vulnerabiliti datorate unor factori precum: existena unui segment important de utilizatori Internet care nc ignor msuri elementare de securitate a sistemelor pe care le folosesc, adoptarea de ctre organizaii a unor practici de securitate limitate sau ineficiente, complexitatea crescut a aplicaiilor, considerente de pia ce determin companiile productoare de software de a livra soluiile ct mai rapid, limitnd astfel timpul de testare, precum i adoptarea de soluii ce sacrific securitatea pentru a oferi simplitate n utilizare. Securitatea sistemelor i reelelor este un element fundamental pentru funcionarea Internet-ului, ea permind totodat transformarea acestuia dintr-un proiect de cercetare academic, ntr-o infrastructur de baz a societii zilelor noastre. Dependena de tehnologiile informaionale a creat noi categorii de vulnerabiliti pentru alte componente ale infrastructurii sociale, iar un atac major asupra Internet-ului va crea nu numai ntreruperi n ceea ce privete comunicaiile, ci va avea implicaii i asupra altor infrastructuri critice (transporturi, energie, bancar, etc.). De aceea, securitatea infrastructurii Internet-ului a cptat atenie deosebit n toate zonele sociale (academic, media, corporaii, militar, politic, etc.). n ciuda progreselor fcute n zona securizrii tehnologiilor Internet, marea majoritatea a soluiilor de securitate, bazate exclusiv pe suport tehnologic, a continuat s fie n continuare ineficace, realizndu-se treptat c securitatea n spaiul virtual este n esen o problem uman. Astfel, practici de securitate pe care societatea uman le-a desvrit de-a lungul istoriei sale au nceput s fie transpuse i n spaiul virtual.
Definirea Problemei
Datorit complexitii i dinamicii schimbrilor pe planul tehnologiilor IT, precum i a creterii diversitii i complexitii ameninrilor la adresa oricrei organizaii conectate la Internet, strategiile de securitate construite exclusiv pe mecanisme de protec ie sunt sortite eecului. Abordarea securitii ca proces, i dintr-o perspectiv proactiv, orientat spre identificarea i alertarea timpurie asupra potenialelor ameninri, sau atacurilor aflate n faze iniiale, poate oferi timpul necesar elaborrii unui rspuns eficace nainte ca organizaia s fie afectat. Asigurarea eficacitii oricrui gen de proces (inclusiv procesul de securitate), presupune adesea definirea i implementarea unei componente care s urmreasc constant evoluia procesului, astfel nct s se poat efectua n timp util corecii i actualizri ca rspuns la schimbrile ce au loc n mediul de operare. Pe baza analizei datelor oferite de rapoartele Verizon Data Breach din ultimii ani, se poate determina faptul c majoritatea breelor de securitate sunt rezultatul ignoranei sau al tratrii securitii ca produs (odat achiziionat, se ateapt s funcioneze pe o durat ndelungat fr intervenie). Spre exemplu, n raportul din 2011 se arat c 86% dintre atacuri au fost descoperite de o ter parte, 96% puteau fi evitate prin implementarea de controale de securitate de nivel simplu sau intermediar, iar n 83% din cazuri atacatorul a profitat de existena unor anumite de deficiene de securitate [Ver10]. O abordare procesual care s asigure o vizibilitate asupra componentelor cu relevan n procesul de securitate, este monitorizarea securitii. Aceasta se definete ca fiind abilitatea de a colecta, i analiza n timp util evenimentele i informaiile de securitate disponibile la nivelul organizaiei, att din surse interne i externe, n scopul elaborrii unui rspuns eficace la ameninri i atacuri. Ca i n cazul altor componente ale procesului de securitate, pentru o implementare i utilizare adecvat i eficient a monitorizrii securitii, organizaia trebuie s elaboreze n prealabil o politic de monitorizare, i un program de monitorizare care va gestiona elementele de ordin tehnologic, procesual i organizaional implicate n procesul de monitorizare a securitii. Dei anumite elemente ale procesului de monitorizare au fost prezentate n literatura de specialitate de-a lungul ultimilor ani, exist limitri n ceea ce privete interoperabilitatea tehnologiilor de detecie, procesele de evaluare a eficienei controalelor folosite, integrarea tehnologiilor i proceselor, abordarea unitar a surselor cu relevan de securitate, i eficiena analizei evenimentelor de securitate cnd datele au un grad ridicat de incertitudine. Toate acestea au constituit motive ntemeiate n alegerea temei de cercetare tiinific i pentru elaborarea tezei de doctorat. Abordarea n prezent a monitorizrii securitii n reele i sisteme de calcul reprezint un subiect foarte bine ancorat n tendinele, relevante pe plan mondial, din domeniul larg al securitii informaionale. Este printre primele teze de doctorat din lume care se ocup exclusiv de domeniul monitorizrii securitii, din perspectiva complexitii i a unor cerine ridicate, specifice programelor moderne de cercetare tiinific.
Metodologia de cercetare
Pentru elaborarea tezei de doctorat s-a folosit urmtoarea metodologie de lucru: s-au studiat numeroase articole, documentaii, standarde, cri etc. cu factor de impact ridicat i de actualitate, care analizeaz i descriu multiple aspecte din sfera monitorizrii securitii. S-au tratat subiecte neabordate n literatura de specialitate de la noi din ar, ct i din strintate (de exemplu, elaborarea unui cadru pentru definirea de metrici de securitate a reelelor i sistemelor din perspectiv organizaional, sau cercetarea aplicabilitii n domeniul monitorizrii securitii a teoriilor matematice ce trateaz fuziunea datelor cu incertitudine ridicat), s-au preluat ct mai multe surse bibliografice, s-a fcut o unificare terminologic i o structurare a lor, obinndu-se n final o abordare complex i unitar, utilizat n definirea conceptului de monitorizare a securitii. Acestei abordri i s-au adugat actualizri i completri, mbuntiri i contribuii originale (prezentate n capitolul 6), o parte experimental care cuprinde construirea modelului de testare, generarea traficului de testare, elaborarea programelor de procesare a datelor, scheme i grafice, precum i studii de caz referitoare la monitorizarea spaiului de ameninri n Internet. Rezultatele obinute au fost posibile i datorit activitii intense de cercetare n domeniul securitii informatice desfurate n laborator, a participrii i comunicrii la numeroase conferine i manifestri tiinifice, a efecturii unor cursuri de pregtire i de specializare n strintate la firme i institute de prestigiu, precum i colaborrii permanente cu personalul academic din Academia Tehnic Militar precum i alte institute de cercetare i nvmnt superior din Romnia, Canada, Frana i SUA. Principalele direcii de cercetare tiinific abordate n cadrul tezei au fost: Elaborarea unui cadru de studiu al problematicii diverse i complexe legat de monitorizarea securitii Starea actual de securitate n Internet: terminologia de securitate i monitorizare a securitii, analiza spaiului de ameninri i vulnerabiliti, clase i scheme de atac; Politici i procese de securitate: programul de monitorizare a securitii, cadrul de metrici de evaluare a strii de securitate, oportuniti pentru mbuntirea proceselor de securitate Tehnologii de monitorizare a securitii: tehnologii de detecie, de scanare a vulnerabilitilor, verificare a conformrii cu politica de securitate, spaiul de ameninri, oportuniti de mbuntire a tehnologiilor Arhitecturi de monitorizare: Integrarea multiplelor componente tehnologice, i procesuale, considerente asupra generrii evenimentelor de securitate, colectrii i formatrii, datelor analiza i prezentarea datelor, rspunsul la incidentele Posibiliti de utilizare a noi modele matematice pentru a adresa limitri ale tehnologiilor curente n procesarea datelor de securitate ce prezint un nivel ridicat de incertitudine i conflict.
Teza de doctorat, elaborat pe parcursul a peste 180 de pagini, debuteaz cu aceast seciune introductiv, urmat de 5 capitole dedicate unor aspecte tehnologice i procesuale implicate n procesul de monitorizare a securitii, i se ncheie cu o evaluare final a rezultatelor i contribuiilor, cu un capitol de concluzii, precum i cu bibliografia utilizat. Lucrarea conine peste 220 de referine bibliografice circumscrise temei, precum i o list cu cele mai semnificative lucrri realizate i publicate de autor n domeniul tezei, n numr de 21. De menionat faptul c, unele dintre aceste lucrri sau bucurat de o apreciere deosebit din partea comunitii tiinifice internaionale pn n prezent, fiind citate n 2 teze de doctorat, 4 teze de master, i 9 articole publicate n jurnale i reviste de specialitate. Capitolul 1 este dedicat strii actuale de securitate n Internet. n prima parte se definesc conceptele generale de securitate i relaiile dintre acestea, dup care se prezint clasele majore de vulnerabiliti i fazele tipice prin care un atacator compromite un sistem. n continuare se descriu activitile asociate fiecrei faze de compromitere detaliindu-se tehnicile de scanare, clasificarea atacurilor, precum i modul de desfurarea a acestora. n finalul capitolului 1 se definete componenta de monitorizare a securitii, precum i rolul i locul su n cadrul procesului de securitate. n acest capitol se propun urmtoarele contribuii: definirea unui cadru pentru detecia intruziunilor i a procesului de monitorizare asociat acestuia, schematizarea atacurilor tipice pe baz de mesaje de pot, analiza comparativ a tehnicilor de scanare utilizate n propagarea viermilor n Internet Capitolul 2 vizeaz metodologia de creare a unui program de monitorizare a securitii plecnd de la analiza managementului de risc n organizaie. Sunt prezentate elemente precum stabilirea strategiei de monitorizare, stabilirea de msurtori i metrici, precum i politici de securitate specifice fiecrui nivel din organizaie. Capitolul 2 continu cu prezentarea procedurilor de rspuns la incidente precum i de revizuire i actualizare pe o baz continu a procesului de monitorizare a securitii. n cadrul acestui capitol se propun urmtoarele contribuii: Elaborarea unui cadru pentru definirea de metrici de securitate, definirea i evaluarea unui cadru pentru partajarea informaiilor de intruziune la nivel global, precum i definirea unui model de monitorizare complet a securitii ce include toate elementele cu relevan pentru procesul de securitate. Capitolul 3 prezint clasele de tehnologii de monitorizare disponibile n acest moment pentru implementarea un program de monitorizare complet a securitii la nivelul securitii. Se continu apoi cu prezentarea tehnologiilor de scanare a vulnerabilitilor i tehnologiile de detecie a intruziunilor bazate pe anomalii, semnturi, metode hibride, precum i pe analiza fiierelor de jurnalizare, monitorizarea integritii fiierelor i sistemelor. n partea final a capitolului 3 sunt tratate tehnologii specifice de monitorizare pentru reele mari avnd ca scop identificarea ameninrilor majore pentru infrastructura Internetului. Capitolul se ncheie cu un studiu de caz asupra monitorizrii ameninrilor din spaiu virtual pe baz de date provenind din surse publice. Se propun urmtoarele contribuii: sintetizarea i elaborarea unei evaluri asupra tehnologiilor de culegere a datelor utilizate n procesul de monitorizare a securitii, elaborarea unui studiu comparativ i a unei caracterizri structurale a tehnologiilor de detecie a intruziunilor i a implementrilor de sisteme IDS, evaluarea tehnicilor de urmrire a 10
atacurilor DDoS, precum i un studiu de caz pentru analiza spaiului de ameninri pe baza datelor publice oferite de sistemele de monitorizare global n Internet. Capitolul 4 este dedicat arhitecturii de monitorizare a securitii stabilit pe baza modelelor OSSIM, Counterpane i MCI Sentry. Se descriu componentele de baz ale arhitecturii: surse de evenimente, colectoare, baza de date cu mesajele de securitate n format comun i baza de cunotine, precum i modulele de analiz i aplicaiile pentru suportul rspunsului la incidentele de securitate identificate. Concomitent cu descrierea fiecrei componente se prezint i consideraii cu privire la performanele i limitrile acestora precum i aspecte legate de integrarea diverselor componente i tehnologii. O atenie deosebit n acest capitol se acord tehnicilor de corelaie care sunt utilizate n modulele de analiz ale arhitecturii. n cadrul acestui capitol se propun urmtoarele contribuii: elaborarea unei arhitecturi generice de monitorizare a securiti, precum i a unui set de consideraii pentru faza de implementare a arhitecturii, elaborarea unui studiu asupra tehnicilor de corelaie a datelor n procesul de monitorizare a securitii, studiul i evaluarea ameninrilor i riscurilor la adresa arhitecturii de monitorizare. Capitolul 5 este destinat studierii de noi modele matematice pentru adresarea mai eficient a cazurilor n care datele de monitorizare prezint un grad ridicat de incertitudine sau conflict. Se prezint un cadru de identificare a imperfeciunii datelor din sfera monitorizrii securitii plecnd de la clasificarea imperfeciunii informaiilor realizat de Smet. Apoi, se introduc modele matematice precum Teoria DempsterShafer i Teoria Dezert-Smarandache (TDSm) pentru fuziunea informaiilor ce prezint un grad ridicat de incertitudine. n partea final a capitolului 5 se urmrete verificarea aplicabilitii TDSm n eficientizarea deteciei intruziunilor n condiii de incertitudine ridicat. Pentru aceasta s-a construit un model experimental n care date de trafic legitim i atac sunt generate n regim controlat. Acestea sunt observate de un sistem IDS (Snort), care la rndul su genereaz alerte cu prioriti diferite. Pe baza acestor alerte se creeaz evenimente asociate unui spaiu de discernmnt i care se combin pe baza a diferite reguli de fuziune (Shafer, PCR5, DSmH). Validarea a constant n verificarea concordanei ntre realitate i rezultatul generat de pe baza regulilor de fuziune, precum i rapiditatea de detecie a schimbrilor care apar n mediu. n cadrul acestui capitol se propun urmtoarele contribuii: construirea unui cadru de identificarea imperfeciunii datelor n sfera monitorizrii securitii, studiul n premier al DSmT n vederea utilizrii n domeniul monitorizrii securitii, precum i crearea unui model experimental de evaluare a aplicabilitii TDSm n zona monitorizarea securitii. Capitolul 6 prezint o sintez a rezultatelor tiinifice i a contribuiilor obinute n perioada de pregtire a doctoratului i de elaborare a tezei. Capitolul 7 este dedicat analizei ndeplinirii obiectivelor propuse, prezint concluziile finale rezultate, precum i direciile viitoare de continuare a cercetrii n domeniul securitii monitorizrii i a altor domenii de securitate conexe.
11
Motto: Daca ii cunoti inamicul i pe tine, nu trebuie s te ngrijorezi de rezultatele a o sut de btlii. - Sun Tzu
CAPITOLUL 1
12
(controalelor) luate pentru a contracara ameninrile din spaiul virtual i minimizarea riscurilor, stabilirea membrilor organizaiei cu atribuii n procesul de implementare, se vor regsi ntr-un set de documente ce definesc politica de securitate. Politica de securitate este mijlocul prin care o organizaie asigur managementul implementrii i eficacitatea securitii [Jon10].
Primul nivel de atac presupune descoperirea serviciilor existente n reeaua int. Aceasta implic o serie de tehnici disponibile atacatorului pentru a obine informaii despre reeaua vizat cu ar fi [PPN05-02]: Sondri ping (ping sweeps) sondarea unui grup de adrese IP pentru a determina staiile active Scanri TCP/UDP prezentate pe larg n seciunea 1.4 Identificarea sistemului de operare Dorit particularitilor de implementare a stivei de protocoale de ctre fiecare productor, pe baz analizei pachetelor TCP schimbate cu o staie, se poate determina tipul de sistem de operare i eventual versiunea acestuia. Aceast informaia poate fi util atacatorului n a nelege rolul sistemului respectiv, i serviciile ce pot rula pe acesta.
14
15
Atacatorul poate rula un server de tiri (News) care trimite rspunsuri maliioase pentru a genera buffer overflow n aplicaiile client de pot. Vulnerabilitile la nivelul clienilor de navigare (IE, Firefox, Google Chrome, etc) pot fi exploatate n cazul n care utilizatorul acceseaz locaiilor web ce conin scripturi (JavaScript, PHP, ASP) ce implementeaz astfel de exploatri. Google (ce ruleaz principalul motor de cutare) realizeaz o scanare a coninutului paginilor indexate, ns posibilitatea de acces indirect (prin alte site-uri) permite eludarea acestui mecanism de protecie. De-a lungul timpului au fost identificate vulnerabiliti afectnd mai toate categoriile reprezentative de aplicaii utilizate n Internet cum ar fi: cele de accesare coninut media (Adobe Flash), aplicaiile de transmitere mesaje instant (Yahoo! Messenger, AOL Instant Messenger, MSN Messenger, Jabber, Trillian, Skype, Google Talk sau IRC), i chiar aplicaiile antivirus (AhnLab, Avast!, AVIRA, BitDefender, ClamAV, Computer Associates, F-Secure, Kaspersky, Mcafee, Sophos, Symantec, Trend Micro sau ZoneAlarm). Chiar dac aceste vulnerabiliti nu vizeaz n mod direct securitatea serviciilor de baz n reea, prin preluarea controlului asupra staiilor afectate de acest gen de vulnerabiliti, securitatea altor servicii poate fi compromis.
deosebite ce pot exploata vulnerabilitile factorului uman pentru a obine informaii greu accesibile prin mijloace exclusiv tehnice. Experii de securitate estimeaz c pe msur ce societatea devine din ce n ce mai dependent de informaii, ingineria social va rmne cea mai important ameninare la adresa oricrui sistem de securitate. Protecia presupune contientizarea utilizatorilor asupra valorii informaiilor, instruirea n ceea ce privete mijloacele de protecie i a modului n care inginerii sociali opereaz. Utilizarea pe scar larg a reelelor de socializare (cum ar fi Facebook, MySpace), nlesnete culegerea de informaii personale, permind elaborarea de atacuri direcionate de culegere de informaii.
Consolidarea are loc cnd atacatorul comunic cu victima prin intermediul back doorlui. Back door-ul poate lua forma unui serviciu de ascultare la care atacatorul se conecteaz. Odat ce sunt amplasate canalele de comunicaie acoperite ntre atacator i victim, abilitatea sistemelor de detecie sau a analistului de securitate de a detecta astfel de trafic este pus la mare ncercare. n aceast faz atacatorul are control complet asupra intei, singurele limitri sunt impuse de dispozitivele de filtrare a traficului din reea ntre atacatori i victime. Abuzul reprezint materializarea obiectivului atacului. Aceasta poate fi: furtul de informaie, construirea unei baze de atac ctre alte staii din organizaie, sau orice altceva ce atacatorul urmrete.
Faza de compromitere Recunoaterea Descriere Enumerare staii, servicii i versiuni de aplicaie Probabilitat ea de detecie Medie ctre mare Avantaje de partea atacatorului Atacatorii efectueaz descoperiri de staii i servicii pe durata de timp ndelungat utiliznd caracteristici normale de trafic Atacatorii pot exploata serviciile utiliznd criptare sau masca traficul de exploatare Avantaje de partea aprrii Atacatorul se desconspir prin diferenele ntre traficul lor i traficul utilizatorilor legitimi
Exploatarea
Accesul neautorizat, subversiv sau bree n servicii Instalarea de aplicaii pentru a obine privilegii suplimentare i / sau s-i mascheze prezena Comunic prin intermediul unei back door, n mod uzual, un canal acoperit
Medie
Preluarea controlului
Mare
Exploatrile nu apar ca trafic legitim, iar sistemele IDS au semnturile pentru a detecta majoritatea atacurilor Criptarea poate ascunde Traficul dinspre coninutul aplicaiilor serverul victim ctre instalate exterior poate fi supravegheat i identificat Avnd control total asupra ambelor capete de comunicaie activitatea atacatorului este limitat doar de controlul de acces al traficului oferit de dispozitivele aflate n calea de comunicaie Odat ce opereaz pe o main de ncredere, activitile atacatorului sunt mult mai dificile de observat Pe baza profilelor de trafic se pot determina caracteristici atipice corespunztoare utilizrii unui back door de ctre atacator . Sistemele de detecia intruziunilor pe staii pot identifica activiti n aceast faz Analitii cu abiliti superioare pot determina devieri de la caracteristicile de trafic ale sistemelor interne
Consolidarea
Abuzul
18
Figura 1.2 - Rezultatul scanrii TCP connect atunci cnd un port este deschis
SYN RST/ACK
Figura 1.3 - Rezultatul scanrii TCP connect atunci cnd un port este nchis
19
Scanarea standard TCP connect este o cale sigur pentru a identifica serviciile de reea accesibile. Dezavantajul este c acest tip de scanare este zgomotos, i este evitat de atacatorii experimentai. 1.4.1.1.2 Scanare SYN semi-deschis (half-open) Aceast metod difer de cea precedent prin trimiterea unui pachet RST (pentru a reseta conexiunea) n cel de-al treilea pas al fazei de stabilire a conexiunii. Deoarece adesea conexiunile nestabilite complet nu sunt jurnalizate de staiile int, atacatorii pot utiliza acest gen de scanare. n figurile de mai jos este prezentat schimbul de pachete ntre 2 sisteme cnd este lansat o scanare de acest tip, att n cazul unui port deschis ct i n cazul portului nchis.
SYN SYN/ACK RST
Figura 1.4 - Rezultatul scanrii half-open SYN flag atunci cnd un port este deschis
SYN RST/ACK
Figura 1.5 - Rezultatul scanrii half-open SYN flag atunci cnd un port este nchis
Scanarea SYN este rapid i sigur, dar necesit privilegii de acces la staiile Windows i Unix. 1.4.1.2 Metode de scanare TCP invizibil Metodele de scanare invizibile implic analiza proceselor ce au loc pe stiva TCP/IP a mainii int i rspunsul la pachetele cu anumii bii setai. Asemenea tehnici nu sunt eficiente la descoperirea porturilor deschise pe anumite sisteme de operare, dar furnizeaz un anumit grad de discreie i uneori nu sunt jurnalizate. 1.4.1.2.1 Scanare invers TCP RFC 793 stabilete c dac un port este nchis pe o staie, atunci trebuie trimis un pachet RST/ACK pentru a reseta conexiunea. Pentru a folosi acest lucru se trimit pachete sond cu diferii bii de stare TCP setai ctre fiecare port al mainii int. Exist trei tipuri de configuraii a biilor de flag, folosite n mod curent [McN07]: Sondare FIN (bitul TCP FIN setat) Sondare XMAS (biii TCP FIN, URG, i PUSH setai) Sondare NULL (fr bii de stare TCP fr flaguri TCP setate; Conform standardul RFC, dac nu este primit nici un rspuns de la portul mainii int, atunci portul este deschis sau staia este inactiv. Pentru toate porturile nchise de pe maina int, sunt recepionate pachete RST/ACK. Totui implementrile stivei TCP/IP
20
pe anumite sisteme de operare (cum sunt cele din familia Microsoft Windows) nu urmeaz complet standardul RFC 793 n acest sens, i deci nu exist rspuns RST/ACK la o ncercare de conectare pe un port nchis. n schimb, aceast tehnic este eficient n cazul sistemelor de operare de tip UNIX. 1.4.1.2.2 Scanare ACK O tehnic mai discret de scanare este cea de a identifica porturile TCP deschise prin trimiterea unui volum de pachete de sondare ACK ctre diferite porturi ale staiei int i analizarea informaiilor din antetul pachetelor RST recepionate.
Volum pachete sondare ACK Volum raspunsuri RST
Exist dou tipuri de tehnici de scanare ACK care implic [McN07]: Analiza cmpului TTL (time-to-live) al pachetelor recepionate - porturile deschise vor fi cele pentru care cmpul TTL este mai mic dect valoarea maxim a TTL din irul de pachete RST recepionate Analiza cmpului WINDOW al pachetelor recepionate porturile deschise vor avea cmpul WINDOW diferit de 0. Avantajul acestui tip de scanare este c detecia sa este foarte dificil, ns datorit faptului c se bazeaz pe particulariti ale implementrii stivei TCP/IP, nu are aplicabilitate larg . 1.4.1.3 Metode de scanare TCP fabricat (spoofed) Aceste metode de scanare permit ca pachetele de sondare s fie trimise prin intermediul staiilor vulnerabile pentru a ascunde adevrata surs care ncearc scanarea reelei. Un important avantaj al acestor metode este c pot permite accesul la configuraia firewalllui prin intermediul staiilor de ncredere, dar care sunt vulnerabile.
Este stabilita o conexiune pe portul FTP de control (TCP21) si este trimisa comanda de atac PORT Server FTP vulnerabil Serverul FTP incearca sa trimita date la portul specificat de pe serverul tinta, returnand un raspuns pozitiv daca portul este deschis
ATACATOR
Host tinta
21
1.4.1.3.1 Scanare FTP Multe servere FTP manipuleaz conexiunile folosind comanda PORT care permite transferul datelor la staia i portul specificat. Dac exist i un director pe care se poate scrie, atunci atacatorul poate introduce o serie de comenzi i alte date ntr-un fiier i apoi le transmite la o anumit staie i port. Spre exemplu cineva poate face upload unui mesaj email spam, pe un server FTP vulnerabil, i apoi mesajul este trimis la portul SMTP al serverului de email int [Nma--]. 1.4.1.3.2 Scanare Proxy Configuraia incorecta a unor staii poate permite utilizarea lor ca ageni n expedierea cererilor de scanare. Deoarece aceast soluie este consumatoare de timp, atacatorii prefer adesea s realizeze atacul asupra intei direct de pe staia proxy. 1.4.1.3.3 Scanare pe baza de sniffer Elementul ce determin eficiena acestui tip de scanare este configurarea interfeei de reea a staiei n modul promiscuous, dup care se ascult rspunsurile pe segmentul de reea. Exista dou mari avantaje ale utilizrii acestei metode de scanare[Ore08]: Daca atacatorul capt privilegii de administrator asupra unei maini din acelai segment de reea cu staia inta, sau cu firewall-ul care protejeaz inta, se pot trimite pachete TCP de la o adresa IP aleatoare din reea pentru a identifica staiile de ncredere i a obine accesul la firewall. Daca atacatorul are acces la un segment mare de reea partajat, poate realiza scanare fabricat n numele staiilor din segmentul respectiv la care nu are acces, sau care nu exist, pentru a scana eficient reele la distan ntr-un mod distribuit i invizibil.
Sunt trimise pachete sonda catre statia zombie si sunt analizate valorile ATACATOR antet IP Pachete TCP SYN sunt trimise porturilor de pe statia tinta, aparand ca fiind transmise de la statia zombie
Statie zombie
Daca portul este deschis, statia tinta trimite un SYN/ ACK catre zombie, care afecteaza valorile antet IP ale pachetelor trimise de atacator
Statie tinta
1.4.1.3.4 Scanarea antetului IP Scanarea antetului IP este o tehnic de scanare care implic abuzarea implementrilor stivei TCP/IP n majoritatea sistemelor de operare. Sunt implicate trei staii [Ore08]:
22
Staia zombie care este o main din Internet Staia int care va fi scanat Staia de scanare, sondeaz printr-o secven de pachete staia zombie, iar pe baza modificrilor n numerele de secven ale pachetelor recepionate se poate deduce dac porturile pe staia int sunt deschise
Figura 1.9 - Rezultatul scanrii inverse UDP cnd un port este deschis
Figura 1.10 - Rezultatul scanrii inverse UDP cnd un port este nchis
23
atacuri asupra utilizatorilor - vizeaz exploatarea factorului uman pentru a determina utilizatorul s execute aciuni care contravin procedurilor de securitate (de exemplu, prin rspunderea la mesajele de tip hoax, sau cele comerciale de tip SPAM), sau a induce utilizatorul n eroare asupra identitii transmitorului mesajului n scopul obinerii de informaii confideniale (de exemplu, mesajele de tip phishing)
24
ce lrgimea de band este o caracteristic a legturii fizice ntre reele. Astfel, atacatorii pot utiliza resursele abundente de band ale reelelor intermediare (de ISP) pentru a trimite mesaje ctre o victim cu o capacitate mai redus. Lipsa unui mecanism de contabilitate: Se presupune c valoarea cmpului adres surs din pachetul IP reprezint valoarea adresei IP a staiei care a generat pachetul. Aceast aseriune nu este validat sau impus n nici un punct al traseului de la surs ctre destinaie, crend premisele de falsificare a adresei surs numit i address spoofing. Aceasta ofer atacatorului posibilitatea de a scpa de rspunderea aciunilor sale, precum i un mijloc de a realiza atacuri mai puternice (vezi DDoS prin reflexie RDDoS, cum ar fi atacul Smurf).
1.5.1.1 Atacuri DoS Atacurile de tip denial of service (DoS) sunt parte integrant din realitatea Internetului de astzi. Obiectivul atacului este de a mpiedica utilizatorii legitimi de a accesa sistemul victim sau resursele reelei. Iniial, atacurile de acest tip au constituit o form de vandalism asupra serviciilor Internet, ns cu timpul au devenit mai rafinate, viznd anumite grupuri de utilizatori. Cteva exemple ilustrative sunt: atacul asupra infrastructurii Estoniei [Naz07-2], atacul asupra site-urilor de socializare (Twitter, Facebook), atacul asupra site-ului Wikileaks [Par10]. n literatura de specialitate, exist mai multe clasificri ale atacurilor DoS n funcie de factori cum ar fi: gradul de automatizare, tipul de vulnerabilitate exploatat, modul de efectuare a atacului, mecanismele de comunicare utilizate de atacatori [Mir02]. Lucrarea de fa prezint dou tipuri de clasificri: dup gradul de indirectare ntre atacator i victim, i dup tipul resurs exploatat. n funcie de gradul de indirectare ntre atacator i victim atacurile DoS se clasific dup cum urmeaz. A. Atacuri DoS directe Atacurile directe sunt forma cea mai simpl de generare a unui atac, prin care atacatorul trimite cereri de serviciu ctre victim cu o frecven foarte mare pentru a-i epuiza unele din resursele cheie (CPU, memorie, band). Aceasta conduce la refuzul de servicii pentru clienii legitimi ai victimei.
25
B. Atacuri DoS distribuite (DDoS) Un atac de tip DoS distribuit (DDoS) este un atac coordonat pe scar larg asupra disponibilitii serviciilor oferite de sistemul victim sau resursele reelei lansat indirect prin intermediul mai multor staii Internet compromise. Serviciile atacate sunt cele ale staiei victime primare n timp ce sistemele compromise utilizate n lansarea atacului sunt adesea numite victime secundare. Utilizarea victimelor secundare n desfurarea unui atac DDoS ofer atacatorului posibilitatea de a realiza un atac pe scar mai larg i cu efecte distructive mult mai mari, i face mult mai dificile operaiile de identificare a atacatorului iniial [Mir04]. Un atac DDoS utilizeaz mai multe sisteme n lansarea unui atac DoS coordonat mpotriva uneia sau mai multor inte.
C. Atacuri DoS bazate pe reflectori (RDoS) Detecia atacurilor poate fi ngreunat prin utilizarea reflectorilor n distribuirea traficului DoS. n esen, agenii nu vor trimite cererile ctre int, ci ctre nite intermediari, numii reflectori. Un reflector este orice staie IP care va rspunde la orice pachet trimis ctre el (un exemplu de reflector este un server web). Dac adresa intei este pus ca adres surs n pachetului trimis de agent ctre reflector, rspunsul reflectorului va fi trimis ctre int. Prin utilizarea acestui mecanism se mrete numrul de indirectri ntre atacator i int, i se realizeaz o dispersie a surselor de atac (orice main accesibil n mod public poate fi utilizat ca reflector), ceea ce ngreuneaz depistarea atacatorului [Pei04].
26
1.5.1.2 Atacuri DoS asupra reelelor Acestea sunt atacuri simple de efectuat ce consum lrgime de band prin inundare (flooding). Obiectivul atacatorului este de satura legturile de reea pentru a prbui ruter-ele i switch-urile sau inundarea cu trafic peste posibilitile de prelucrare. Din nefericire, uneltele necesare pentru un asemenea atac sunt disponibile pe Internet i chiar utilizatorii fr experien le pot folosi cu succes. Atacurile de inundare copleesc resursele victimei prin volumul lor. Deoarece pachetele de atac pot fi de orice tip, pot avea orice coninut, iar volumul mare de trafic mpiedic o analiz detaliat a traficului, strategia pentru contracararea acestui tip de atac presupune ca detecia i blocarea traficului de atac ct mai aproape de surse, ceea ce implic o conlucrare ntre furnizorii de servicii Internet. A. ICMP Flood Acest atac const din trimiterea unui numr mare de pachete ICMP ctre victim. Aceasta nu poate ine pasul cu volumul de informaie primit i poate observa o degradare a performanei. Implementri ale acestui tip de atac se gsesc n urmtoarele unelte DDoS: TFN, Stacheldraht, Shaft, TFN2K [Har09]. B. Smurf Flood Atacul Smurf este o variant de ICMP flood n care un pachet ICMP_ECHO_REQUEST avnd valoarea adresei surs setat cu adresa staiei int este trimis ctre o adres de broadcast. RFC pentru ICMP specific c nu trebuie generate pachete ICMP_ECHO_REPLY ctre adresele de broadcast, ns multe sisteme de operare i productori de rutere nu au ncorporat aceast cerin implementrile lor. Ca urmare, staia int va primi pachete ICMP_ECHO_REPLY de la toate staiile din reea [Sin10]. Astfel de atacuri sunt numite atacuri cu amplificare sau cu reflexie. Implementri ale acestui tip de atac se gsesc n urmtoarele unelte DDoS: TFN, Stacheldraht, TFN2K.
27
C. UDP Flood (Fraggle) Acest atac este posibil datorit naturii protocolului UDP care nu este orientat pe conexiune. Din moment ce nu este necesar nici un dialog n prealabil, un atacator poate trimite pachete ctre porturi aleatoare ale sistemului vizat. Victima va aloca resurse pentru determinarea aplicaiilor care ascult porturile pe care sosesc date, iar cnd realizeaz c nici o aplicaie nu face acest lucru, va trimite ca rspuns un pachet ICMP. Dac numrul de pachete aleatoare este suficient de mare exist posibilitatea ca sistemul s aib probleme. Implementri ale acestui tip de atac se gsesc n urmtoarele unelte DDoS: Trinoo, TFN, Stacheldraht, Shaft, TFN2K, Trinity. D. Chargen Acest atac este o variant a atacului de tip UDP Flood i folosete portul 19 (chargen) al unui sistem intermediar folosit ca amplificator. Atacatorul trimite un pachet UDP fals ctre un sistem intermediar care la rndul su rspunde cu un ir de caractere victimei, pe portul su echo. Victima trimite napoi un ecou al irului primit i bucla creat consum rapid banda dintre victim i sistemul intermediar. Implementri ale acestui tip de atac se gsesc n urmtoarele unelte DDoS: TFN, Stacheldraht, Shaft, TFN2K. E. E-mail bombing E-mail bombing nseamn trimiterea unui numr mare de mesaje electronice ctre un server cu scopul de a epuiza spaiul de pe disc i limea de band. Cu excepia atacului UDP, restul se pot evita prin msuri luate la nivelul sistemului de operare. Atacul UDP este dificil de contracarat ntruct exist o multitudine de aplicaii care ascult la o multitudine de porturi. Filtrarea cu ajutorul firewall-urilor ar avea un impact puternic asupra funcionalitii iar acest pre nu l vor plti foarte muli utilizatori. 1.5.1.3 Atacuri DoS asupra sistemelor Acestea sunt atacuri care epuizeaz o resurs cheie a sistemului determinnd fie incapacitatea acestora de a servi corespunztor cererile legitime ale utilizatorilor, fie
28
ntreruperea total a funcionrii sistemului. Atacurile exploateaz vulnerabiliti structurale ale protocoalelor de comunicaie TCP/IP, sau vulnerabiliti ale sistemului de operare, sau aplicaiilor rulate pe staia victim prin trimiterea de pachete avnd un tip sau coninut special. Deoarece vulnerabilitile pot fi exploatate n mod frecvent prin utilizarea unui numr redus de pachete, atacurile de vulnerabilitate au un volum de trafic sczut. Aceste caracteristici (pachet de tip special i volum redus), simplific strategia de tratare atacurilor de vulnerabilitate: detecia pe baz de semnturi a pachetelor speciale, i aplicarea de patch-uri pe sistemul victim. A. TCP SYN Atacul de tip TCP SYN este posibil datorit schimbului de mesaje de la nceputul protocolului TCP. Un client trimite o cerere (SYN) ctre un server, anunndu-i intenia de a porni o conversaie. La rndul su, serverul desemneaz o intrare n tabela cu conexiuni pe jumtate deschise i trimite napoi un mesaj de acceptare (SYN,ACK), semnaliznd astfel disponibilitatea sa. n acest moment clientul trebuie s rspund cu un pachet SYN-ACK ACK pentru a putea ncepe comunicaia de fapt. Un atacator ar putea s nu trimit niciodat aceast confirmare, cauznd umplerea tabelei de conexiuni, cererile legitime ulterioare fiind astfel blocate [Sin10].. Implementri ale acestui tip de atac se gsesc n urmtoarele unelte DDoS: TFN, Stacheldraht, Shaft, TFN2K, Trinity.
Figura 1.16 - Schimbul normal de mesaje n crearea unei conexiuni TCP (a). Atacul de tip TCP SYN (b)
B. PUSH-ACK Conform protocolului TCP, pentru a minimiza activitile auxiliare asociate transferului de date, segmentele TCP sunt pstrate n stiva TCP i trimise ctre destinaie cnd stiva se umple. Totui, prin trimiterea unei cereri cu bitul PUSH=1, se poate fora receptorul s descarce coninutul stivei nainte ca aceasta s se umple. Atacatorul poate exploata aceast potenial vulnerabilitate de protocol prin trimiterea de pachete PUSH, care este posibil s genereze probleme chiar n condiiile de ncrcare de trafic moderat [McN07]. Implementarea unui astfel de atac se regsete n uneltele DDoS mstream i Trinity. 29
C. Shrew Pin exploatarea gradului de determinism i de omogenitate din implementarea mecanismului de evitare a congestiei TCP/IP, atacul urmrete crearea de ntreruperi periodice i de scurt durat cu scopul de a sincroniza strile fluxurilor TCP i de a fora protocolul s intre repetat n starea transmission timeout. Efectul resimit de utilizatorii legitimi va fi un atac DoS, dar realizat cu un volum de trafic foarte mic, neobservabil de ctre mecanismele de detecie pentru atacurile DoS clasice.
I ~ RTT (timpul dus-ntors al unui pachet n reea) T ~ min(RTO) unde RTO (retransmission timeout) este timpul de ateptare pentru retransmiterea segmentului TCP.
Conform [RFC 2998], RTO se definete pe baza formulei RTO=SRTT+4*RTTVAR unde, SRTT (smoothed round-trip time) este media RTT, iar RTTVAR (round-trip time variation) este dispersia RTT. Experimentele au artat c aceste tipuri de atac poate genera o pierdere aproximativ a throughputlui de 87.8% pn s fie detectate. O posibil soluionare ar fi ca protocolul s aleag ntre manier nedeterminist minRTO [Sun08]. D. Ping of Death Acest atac const n trimiterea unui pachet ICMP mult mai mare dect pachetul maxim IP, i anume 64 KBytes. La destinaie, unele implementri nu pot decodifica pachetul, cauznd prbuirea sau reboot-ul sistemului. Vulnerabiliti n implementrile stivei TCP/IP ale sistemelor Windows timpurii, sau ale aplicaiilor (un caz recent fiind vulnerabilitatea MS11-057 n Internet Explorer 9) pot favoriza condiii pentru acest gen de atac [MS11-01]. ce predispuneau la astfel de atac au fost documentate n acest gen de atac au fost adresate in IE9 probleme recente au fost gsit E. Teardrop Datorit implementrii defectuoase, unele sisteme nu pot asambla fragmente de pachete care au deplasamente eronate. n loc s ignore elegant aceste pachete, aceste implementri blocheaz sau reboot-eaz sistemul. O implementare a acestui tip de atac se regsete n unealta DDoS Trinity.
30
F. Land Unele implementri TCP/IP cauzeaz blocarea sistemului cnd primesc pachete avnd aceeai adresa ca surs i destinaie. G. WinNuke Acest tip de atac este specific sistemelor de operare Windows. Atacatorul trimite date aleatoare la un port anume, ceea ce cauzeaz blocarea sau reboot-ul sistemului. 1.5.1.4 Atacuri pe baz de viermi n accepiunea clasic, un vierme este un agent infecios autonom cu replicare independent, capabil de a identifica noi victime (inte) i a le infecta prin intermediul reelei. [Sta02] Cu timpul, denumirea de vierme a fost extins i asupra altor categorii de ageni infecioi care, pentru a fi activai, necesit o aciune tipic, simpl pe care utilizatorul o execut n mod frecvent n interaciunea cu spaiul virtual (citirea email, utilizarea mediilor externe USB, etc.). Aceast extindere are la baz faptul c tehnologia este utilizat pe scar larg i n mod cvasi-permanent, ceea ce face ca activitile frecvente i probabile ale utilizatorilor s determine o rat de propagare acceptabil pentru atacator. Motivele care stau la baza proliferrii atacurilor bazate pe viermi sunt urmtoarele [Naz07-1]: Conveniena oferit de gradul nalt de automatizare n descoperirea intelor vulnerabile; Viteza de penetrare datorat auto-propagrii; Persistena - practica a artat cazuri de infectri cu Conficker chiar dup luni de zile de la lansarea lor, n ciuda faptului c patch-urile erau disponibile de o bun perioad de timp [Por09]; Acoperirea - majoritatea cazurilor precedente au artat o infectare la nivel global a Internetlui. Procesul de livrarea a agenilor infecioi pe sistemele victim a evoluat n mod deosibit de-a lungul anilor. O schimbare major o reprezint utilizarea mai multor vectori de propagare. Dac spre exemplu Slammer [MOO03] a utilizat o singur vulnerabilitate pentru a se propaga, Stuxnet [Mat11] a utilizat tehnici multiple pentru propagarea sa (memorii externe USB, exploatarea a 4 vulnerabiliti nepublicate i a dou existente folosite n propagarea altor viermi precum Conficker [Por09]). 1.5.1.4.1 Structura viermelui Structura unui vierme prezint urmtoarele categorii de componente de baz [Naz03]: Recunoaterea (sau scanarea) Aceast component este responsabil pentru descoperirea staiilor din reea care pot fi compromise prin metode cunoscute de vierme. Atac - Acesta este utilizat pentru a lansa atacuri mpotriva unui sistem int identificat valorificnd vulnerabiliti de tip: buffer overflow, string formatting, interpretri eronate ale Unicode, sau configuraii greite. 31
Comunicaie - Nodurile din reeaua de staii infectate pot comunica ntre ele. Aceast component ofer viermelui interfaa prin care pot fi trimise mesaje ntre noduri sau ctre o locaie central. Comand De ndat ce o staie este compromis, viermele poate rula comenzi operaionale utiliznd aceast component. Elementul de comand furnizeaz interfaa prin care un nod din reeaua de staii infectate poate genera sau primi comenzi. Culegere de informaii ofer informaiile necesare pentru a putea contacta alte noduri infectate ale reelei de staii controlate de vierme.
Fenotipul, sau comportamentul observabil al viermelui, este discutat n adesea n contextul celor mai vizibile componente: cea de scanare i cea de atac. Aceste dou componente sunt necesare n orice implementare de vierme care se propag pe scar larg, n timp ce toate celelalte componente sunt opionale. Prin utilizarea i a celorlalte trei componente, se poate conferi viermelui capaciti sporite cum ar fi: generarea de atacuri distribuite de tip DDoS, monitorizarea activitii la tastatur, sau controlul staiei compromise (BotNet) [Bot11]. 1.5.1.4.2 Identificarea intelor n funcie de strategia folosit pentru aflarea intelor se identific urmtoarele tipuri de scanri [PPN05-01]: Scanarea uniform cnd un vierme nu posed cunotine despre localizarea staiilor vulnerabile n Internet, cea mai simpl soluie este de a scana aleator ntregul spaiu de adrese pentru a gsi victime. Aceast strategie de scanare a fost folosit de viermi precum Code Red, Slammer, Conficker, Witty, Sasser [Moo03] [Fse04-2][PPN05-03]. Scanare de tip list int (hit list) este tipul de vierme care posed o list cu adrese IP ale anumitor staii vulnerabile din Internet. Un astfel de vierme scaneaz i infecteaz mai nti toate staiile vulnerabile definite n hit-list, iar apoi scaneaz aleator ntregul spaiu Internet pentru a infecta i alte staii vulnerabile. Acesta este doar un model teoretic, neexistnd o implementare practic pn n acest moment. [Zou03] Scanare topologic - se bazeaz pe adresele identificate pe staia victim pentru a determina noile inte de scanare. Un exemplu n acest caz l constituie primul vierme propagat n mas Morris. Scanare metaserver informaia de identificare a staiilor int este obinut prin interogarea altor sisteme sau aplicaii. Viermele Santy a utilizat Google pentru a identifica serverele web care rulau phpBB [Fse04-1] Scanare pasiv se ateapt ca poteniale victime s contacteze sursa de scanare. Foarte greu de depistat. O implementare de acest tip a fost viermele Gnuman care opera ca nod Gnutella [Smi09] Scanarea de tip divide-et-impera - un vierme cu scanare uniform poate utiliza o strategie de tip divide-et-impera astfel nct staiile infectate vor scana i infecta staii vulnerabile localizate n spaii de adrese IP diferite Scanarea de tip preferin local urmrete scanarea adreselor IP din vecintatea propriei adrese cu o probabilitate mai mare dect adresele dintr-un spaiu mult mai ndeprtat. n cazul n care viermele are dificulti n a scana o
32
reea aflat n spatele unui firewall, dar se aduce o staie infectat n zona protejat de firewall, acest tip de scanare va permite compromiterea rapid a tuturor staiilor vulnerabile din acea reea local. Un astfel de tip de scanare a fost utilizat de viermi precum Code Red 2, i Nimda [Che03] Scanarea secvenial - odat ce o staie vulnerabil este infectat, viermele selecteaz mai nti o adres IP de la care va ncepe o scanare secvenial. Blaster este un exemplu tipic de vierme care a utilizat aceast scanare Scanarea direcionat se utilizeaz n realizarea de atacuri selective n care obiectivul atacatorului este scanarea i infectarea staiilor din domeniul int. n acest sens, de interes pentru atacator este de propagare a viermelui n domeniul int, i nu de numrul de staii vulnerabile care sunt infectate n Internet. Un exemplu de vierme ce utilizeaz aceast scanare n anumite faze ale propagrii sale este Stuxnet [Mat11]
1.5.1.4.3 Evaluarea strategiilor de scanare Analiza impactului strategiilor de scanare asupra modului de propagare arat c [PPN05-01]: Scanarea de tip preferin local sporete viteza de propagare a viermelui cnd staiile vulnerabile nu sunt uniform distribuite. Probabilitatea optim pentru scanarea de tip preferin local crete cnd scanarea local este aplicat n subreele mari. Cnd staiile vulnerabile sunt uniform distribuite, scanrile de tip divide-etimpera, cea secvenial i cea uniform, sunt echivalente n ceea ce privete numrul total de staii infectate n orice moment. Utilizarea preferinei locale n selectarea punctului de start al unei scanri secveniale determin o scdere a vitezei de propagare a viermelui. n cazul n care densitatea de staii vulnerabile n domeniul int (raportul dintre numrul de staii vulnerabile i cel al adreselor IP din domeniu) este mai mare dect alte domenii, atunci folosirea unei scanri direcionate va crete viteza de propagare pe domeniul int fa de o scanare uniform. Pe baza acestor rezultate, este important ca n proiectarea sistemelor defensive s se caute prevenirea atacatorului de la identificarea unui numr mare de adrese IP de staii vulnerabile, sau obinerea unor informaii legate de spaiul de adrese alocat sau utilizat, care s permit reducerea spaiului de scanare [PPN05-03]. Un sistem de monitorizare i protecie mpotriva atacurilor lansate de viermi, trebuie s acopere un numr de blocuri de adrese IP suficient distribuite, pentru a avea o imagine corect a modului de propagare a viermilor ce folosesc o scanare neuniform (n special n cazul unei scanri secveniale ca cea folosit de Blaster). 1.5.1.4.4 Tehnici anti-detecie ale viermilor Pentru ca un vierme s afecteze o populaie ct mai mare, atacatorii au la dispoziie dou opiuni [PPN05-01]: Utilizarea unei strategii n care propagarea n faza iniial s fie mai rapid dect timpul necesar pentru generarea semnturilor pentru firewall-uri, menite s
33
limiteze propagarea (cum a fost cazul propagrilor Core Red, Conficker, Witty, Sasser). Utilizarea de tehnici care s asigure o vizibilitate redus pentru a evita detecia pe o perioad ct mai ndelungat (cum a fost cazul propagrii Stuxnet) [Mat11]. Aceast vizibilitate redus poate fi obinut prin tehnici cum ar fi: scanarea lent - marea majoritate a soluiilor de detecie a propagrii utilizate de furnizorii Internet vizeaz protecia mpotriva propagrilor epidemice, astfel c mecanismul de monitorizare al organizaiei int va trebui s fie capabil s detecteze astfel de situaii. polimorfism i criptare vizeaz auto modificarea sau criptarea pentru a evita detectoarele bazate pe semntur amestecarea schimbarea comportamentului cnd trece prin zona sistemelor IDS prezentnd caracteristici similare traficului curent, sau comportament normal DoS asupra sistemelor IDS sau asupra personalului de securitate se realizeaz prin producerea de trafic de diversiune pentru suprancrcarea IDS (forarea acestuia s genereze semnturi inutile, s nvee noi atacuri), i a personalului de securitate (care s analizeze un volum mare de alerte caracterizare un grad ridicat de confuzie).
34
Execuia maliioas a fiierelor - Codul vulnerabil la includerea extern a fiierelor (Remote File Inclusion) permite atacatorilor s includ cod i date ostile, rezultnd atacuri devastatoare. Execuia maliioas a fiierelor afecteaz scripturile PHP, XML i orice cadru (Framework) care accepta fiiere (sau nume de fiiere) de la utilizator. Expunerea referinelor directe - O referin direct la un obiect are loc atunci cnd un dezvoltator expune o referin la un obiect intern cum ar fi un fiier, director, record de baze de date, sau cheie, un URL sau parametru dintr-un form. Atacatorii pot manipula aceste referine pentru a accesa alte obiecte fr autorizaie. Cross Site Request Forgery (CSRF) - Un atac CSRF foreaz browser-ul victimei autentificate deja s trimit o cerere de pre-autentificate la o aplicaie web vulnerabil, care apoi foreaz browserul victimei s efectueze o aciune n beneficiul atacatorului. Scurgerile de informaii i manipularea incorect a erorilor - Aplicaiile pot oferi, fr a se dori, informaii despre configurare, modul intern de lucru, etc. Atacatorii pot folosi aceste informaii pentru a sustrage date de pe serverul n cauz, sau pentru a lansa atacuri mai importante. Compromiterea autentificrii i a managementului sesiunii - Conturile i sesiunile sunt de multe ori protejate insuficient. Atacatorii pot compromite parole, chei, sau sesiuni pentru a-i asuma identitatea altor utilizatori. Stocarea nesigur a datelor criptografice - Aplicaiile web folosesc rar funciile criptografice n mod corespunztor pentru a proteja datele i conturile. Atacatorii folosesc datele slab protejate pentru furt de identitate i alte infraciuni, cum ar fi fraudarea crilor de credit. Comunicaii nesecurizate - n mod frecvent aplicaiile nu cripteaz traficul din reea pentru a proteja transferul de date cu grad de confidenialitate sporit. Aceasta deschide posibilitatea ca sesiunea sa fie interceptata (cu ajutorul unui sniffer de exemplu). Imposibilitatea de a restriciona accesul URL - Frecvent, o aplicaie protejeaz anumite date sau funcionare ce se dorete a fi secret doar prin prevenirea afirii de link-uri sau URL-uri pentru accesul utilizatorilor neautorizai. Atacatorii pot utiliza aceast slbiciune pentru a accesa i de a efectua operaiuni neautorizate prin accesarea acelor adrese URL n mod direct.
35
securitate fictivi (icoana specific conexiunii criptate), sigle ale autoritilor de certificare precum Verisign. n paragraful urmtor se vor descrie scheme tipice de atac pe baz de mesaje de pot, al cror obiectiv este n principal determinarea utilizatorului de a executa aciunea dorit de atacator.
36
Start
Ghiciere adres
(Atac de tip dicionar)
Utilizatorul ofer adresa n scop legitim unei entiti; Destinatarul ns o d spre folosire i altora
Conturi ieftine achiziionate de la diveri FSI n scopul trimiterii unor mesaje spam
Atacul eueaz
Atacul eueaz
Atacul eueaz
(A1) Vierme
(A) Troian
(B) nelciune
(C) Spionare
37
Atacatorul folosete un cod ce exploateaz o vulnerabilitate pentru a determina executarea unui fisier atasat (vierme) fr vreo actiune a utilizatorului
Atacul eueaz
Troianul/Virmele captureaz fiiere senzitive, date de intare ale utilizatorului (parole) sau comunicaii n reea
Fr firewall sau host IDS. Informaia senzitiv este transmis atacatorului prin reea
Atacul eueaz
38
Atacul eueaz
Atacul eueaz
39
Figura 1.19 descrie continuarea secvenelor de atac din figura 1.18 prin transmiterea unui fiier ataat ce prezint n aparen elemente de utilitate pentru victim (cum ar fi: imagini, screen saver, vedere electronic, etc.), dar care instaleaz cod maliios n scopul prelurii controlului asupra sistemului victimei. Sistemele antivirus i IDS locale joac un rol important n blocarea multora din aceste scenarii de atac. Figura 1.20 prezint continuarea secvenei de atac din figura 1.18 ce se bazeaz exclusiv pe nelarea ncrederii utilizatorului. Singura vulnerabilitate vizat de acest tip de atac este cea uman. Atacatorul mizeaz pe legea probabilistic a numerelor mari trimind mesajul la un numr mare de utilizatori n speran c un numr din acetia vor fi convini de legitimitatea acestuia i vor urma direciile dorite de atacator. n cazul n care atacatorul folosete HTTPS, SSL (Secure Socket Layer) ofer protecie doar dac utilizatorul ia n considerare avertismentul asupra invaliditii certificatului. Aplicaiile comerciale ce ofer servicii private de protecie, pot fi de ajutor prin avertizarea utilizatorului cnd acesta este pe punctul de a trimite informaii confideniale ctre destinaii ndoielnice.
40
Figura 1.21 arat modul n care atacatorul poate obine informaii confideniale despre victim i activitile acesteia prin instalarea de aplicaii de tip spyware pe maina victimei. Aceasta poate fi realizat prin intermediul unui atac prealabil cu Troian sau vierme, sau alte mijloace. Acest tip de software poate fi adesea detectat de programe anti-spyware specializate, ct i de multe din programele antivirus comerciale. n plus, aplicaiile locale de tip firewall i IDS pot adesea preveni programul spyware s transmit informaii confideniale n exteriorul sistemului.
100
Conficker B
USB
Instalare vierme
ntrerupere
Soluie temporar: Buletin furnizor Remediere: Patch Soluie temporar: Buletin furnizor Remediere: Patch
100
Conficker B
Buffer Overflow
Instalare vierme
ntrerupere
41
Dup cum se poate observa, n accepiunea clasic IA este orientat ctre ameninri. n acest context se definete monitorizarea securitii ca fiind procesul de colectare, analiz i investigare a indicatorilor i avertismentelor pentru detecia i rspunsul la intruziuni (violri ale politicii de securitate) [PPN06-01]. Cu timpul, pentru eficientizarea procesului de monitorizare i pentru determinarea strii de securitate de ansamblu la nivelul ntregii organizaii, scopul monitorizrii a fost extins i asupra categoriilor de date asociate altor concepte de securitate cum ar fi vulnerabiliti, ageni de ameninare, controale de securitate, etc [PPN07-01]. Pe baza acestei abordri, se definete IA de natur digital n accepiune extins ca fiind monitorizarea strategic informaiilor disponibile la nivelul resurselor interne (trafic de reea, fiiere log de pe sisteme, activitate utilizatori, etc.) ct i externe (buletine de securitate, starea general de securitate, studii de cercetare asupra noilor clase de ameninri) pentru a adresa ntr-o manier proactiv i anticipativ riscurile i ameninrile la adresa organizaiei. Indicatorii se pot defini ca fiind aciuni observabile sau percepute care confirm sau neag inteniile i capabilitile agenilor de ameninare. n domeniul monitorizrii securitii, indicatorii sunt adesea concluziile oferite de produsele securitate, cum ar fi alertele generate de sistemele IDS. Avertismentele sunt rezultatul interpretrii de ctre analistul de securitate a indicatorilor. Analitii evalueaz indicatorii generai de produsele de securitate i transmit avertismente ctre factorii de decizie [PPN07-01]. n domeniul monitorizrii securitii, sunt elemente distincte, responsabile pentru colectarea i interpretarea indicatorilor, precum i transmiterea avertismentelor ctre factorii de decizie, i anume: Produsele efectueaz colectarea. Un produs este o component software sau hardware al crei scop este de a analiza pachetele din reea. Oamenii efectueaz interpretarea. n timp ce produsele pot oferii concluzii preliminare despre starea de securitate, oamenii sunt necesari pentru a oferi contextul. Determinarea contextului necesit plasarea rezultatelor oferite de produs ntr-o perspectiv adecvat, dat de natura mediului n care produsul opereaz. Procesele determin transmiterea informaiei ctre factorii de decizie. Factorii de decizie sunt persoanele care au autoritatea, responsabilitatea i capabilitatea de a rspunde la potenialele incidente.
Date disponibile (surse eterogene) Date Structurate I&W (Indicatori i Avertismente) Rspuns la incident
Colectare
Identificare
Evenimente
Validare
Notificare
43
Protecia
Securizare Infrastructur Mecanisme criptografice Management patch-uri Management configuraii Controlul Accesului
Rspuns
Validare incidentului Izolare incident Eradicare Incident Refacere post-incident Investigaii post incident
Proces Securitate
Detecie
Colectare Identificare
Procesul de securitate cuprinde urmtoarele patru mari componente: evaluarea, protecia, detecia i rspunsul [BPN09]. Evaluarea reprezint pregtirea pentru celelalte trei componente. Este menionat ca o component separat deoarece vizeaz n principal politici, proceduri, legi, regulamente, aspecte bugetare, atribuii manageriale, precum i evaluarea tehnic a propriei posturi de securitate. Euarea n a cuprinde unul din aceste elemente va afecta operaiile ulterioare. Evaluarea presupune stabilirea controalelor de securitate pentru limitarea riscurilor organizaiei. Protecia reprezint aplicarea contramsurilor pentru a reduce probabilitatea de compromitere. Un alt termen echivalent n literatura de specialitate este prevenirea, dei realitatea a dovedit c prevenirea poate eua. Monitorizarea securitii nu este o component activ a strategiei de control a accesului, ns o bun prevenire contribuie la realizarea unui monitorizri mult mai eficace. Detecia reprezint procesul de identificare a intruziunilor (violri ale politicii de securitate) sau a incidentelor de securitate. Elemente ale procesului de monitorizare, cum ar fi colectarea i identificarea, se vor regsi n aceast component. Rspunsul reprezint procesul de validare a rezultatelor deteciei i paii luai pentru remedierea intruziunilor. Activitile din aceast categorie includ aplicarea de patch-uri i devirusare, precum i urmrirea i chemarea n justiie a vinovailor. Abordrile anterioare urmreau restaurarea funcionalitii componentelor afectate de atac; cele mai recente urmresc i remedieri de natur legal prin colectarea dovezilor necesare unor aciuni juridice mpotriva atacatorului. 44
45
Motto: Nu cele mai puternice sau inteligente specii supravieuiesc, ci cele care se adapteaz cel mai bine la schimbare. - Charles Darwin
CAPITOLUL 2
46
Managementul riscului organizaional este un element cheie n programul de securitate informaional a organizaiei, i ofer un cadru eficace pentru selectarea controalelor de securitate corespunztoare fiecrui sistem informaional (controale de securizare necesare protejrii indivizilor, operaiilor i bunurilor organizaiei). Abordarea bazat pe risc n ceea ce privete selecia i specificaiile controalelor de securitate va avea n vedere eficacitatea, eficiena, i constrngerile de natur legislativ, politic organizaional, standarde, reglementri sau alte cerine venite din partea managementului executiv al organizaiei [PPIN08-02].
Urmtoarele activiti legate de managementul riscului organizaional (cunoscut ca i cadru de management al riscului) sunt definitorii pentru implementarea unui program de securitate informaional eficace i pot fi aplicate att pentru sistemele existente ct i cele ce vor fi create [BPN09]. Clasificarea sistemelor informaionale i a informaiilor procesate, memorate i transmise de acel sistem pe baza analizei impactului asupra operaiilor organizaiei. [NIST SP 800-60; FIPS 199]. Selectarea unui set iniial cu controale de securitate de baz (baseline) pentru sistemul informaional realizat pe baza clasificrii de securitate efectuat anterior; adaptarea i suplimentarea controalelor de securitate de baz pe msura nevoilor avnd n vedere evaluarea riscului de ctre organizaie i a condiiilor specifice locale. [FIPS 200; NIST SP 800-53]. Implementarea controalelor de securitate i documentarea modului de amplasare n sistemele informaionale i a mediului de operare [NIST SP 80070; NIST SP 800-100]. 47
Evaluarea controalelor de securitate utiliznd proceduri corespunztoare pentru a determina dac au fost implementate n mod corect, dac opereaz conform planului stabilit i produc rezultatele anticipate n ceea ce privete ndeplinirea cerinelor de securitate pentru sistem [NIST SP 800-53A]. Autorizarea operrii sistemului informaional avnd la baz determinarea riscului la adresa operaiilor, bunurilor, indivizilor precum i a altor organizaii ca rezultat al operrii sistemului respectiv, precum i obinerea deciziei n termeni de acceptabilitate a acestui risc [NIST SP 800-37]. Monitorizarea i evaluarea n mod constant a controalelor de securitate selectat pentru sistemul respectiv, incluznd evaluarea eficacitii, documentarea modificrilor efectuate asupra sistemului sau mediului n care opereaz acesta, efectuarea de analize de impact a securitii asupra schimbrii modificrilor asociate, i raportarea strii de securitate a sistemului ctre persoanele responsabile din organizaie [NIST SP 800-53A, NIST SP 800-37, NIST SP 800137].
Monitorizarea controalelor de securitate este una din componentele cadrului de management al riscului [NIST SP 800-37]. Obiectivul programului de monitorizare este de a determina dac setul de controale de securitate identificate ca fiind necesare, i apoi implementate pentru un sistem informaional, i menin eficacitatea n timp, avnd n vedere dinamica ameninrilor, tehnologiilor, precum i schimbrile care apar n organizaie. Monitorizarea reprezint o activitate important n evaluarea impactului de securitate al unui sistem informaional ce decurge din modificri planificate sau neplanificate n spaiul hardware, software, mediu de operare (incluznd spaiul de ameninare).
48
O politic are menirea s influeneze i s determine decizii i aciuni. Standarde cum ar fi BS7799-2/ISO27001, ISO17799/ISO27002, RFC 2196 i RFC 2504 pot fi utilizate ca punct de plecare n elaborarea unei politici de securitate solide pentru organizaie. De exemplu, Controlul A.10.8 al standardului BS7799-2 stabilete cerinele pentru organizaii de a dezvolta i implementa o politic de securitate, precum i controale n scopul reducerii riscurilor de securitate create de sistemul de pot. n mod similar, standardul ISO17799 identific un numr de riscuri de securitate specifice serviciului de pot.
n general o politic de securitate definete [Wol05]: Obiectivele de securitate: proprietile de confidenialitate, integritate i disponibilitate ateptat de la sistem Regulile de securitate care sunt impuse mecanismelor care pot modifica starea de securitate a sistemului, pentru a garanta proprietile de securitate. n elaborarea politicii de securitate a organizaiei se vor lua n considerare urmtoarele aspecte [Lig06][Ort98][Ou04] [ISA00] [Kil03][BPN09]: Consistena politicii aceasta trebuie s garanteze c plecnd de la o stare de securitate nu se poate ajunge ntr-o stare de insecuritate fr violarea regulilor de securitate. Dintre cauzele care pot determina inconsistene se amintesc: conflicte ntre regulile funcionale din cadrul sistemelor, obiective de securitate contradictorii, conflicte ntre regulile de securitate ale specificaiilor de sistem, conflicte ntre regulile funcionale i obiectivele de securitate.
49
Cunoaterea potenialilor atacatori - aceasta presupune identificarea motivaiilor acestora, estimarea aciunilor acestora i a pagubelor pe care le pot produce. Msurile de securitate nu pot face imposibil atacul, i de aceea scopul principal stabilirea de controale de securitate care s depeasc abilitatea i motivaia atacatorului. Costul resurselor necesare implementrii, meninerii, precum i al impactului asupra altor activiti i procese ale organizaiei. Cultura organizaiei - Este important ca organizaiile s dezvolte i adopte o politici care s reflecte cultura organizaiei i ofer totodat nivelul de securitate corespunztor riscurilor evaluate. Multe politici sunt dezvoltate utiliznd abloane sau exemple generice din alte organizaii. Politicile de securitate nepotrivite culturii i practicilor de activitate din organizaie conduc adesea la nerespectarea lor pe scar larg. Realismul i suportul conducerii - Politicile trebuie s fie realiste i sprijinite explicit de ctre conducere. De acea, stabilirea unui program de monitorizare centrat n jurul organizaiei i misiunii sale, va avea asigurat suportul conducerii. nainte de publicare, vor trebui adresate toate problemele i aspectele legate de gradul de acceptare din partea utilizatorilor, precum i costurile asociate schimbrilor sistemelor i practicilor curente. Culturalizarea politicii Securitatea este un comportament care se nva. Dac utilizatorii nu contientizeaz valoarea unei politici, nu o vor gsi necesar, i astfel nu o vor urma. Utilizatorii vor trebui s neleag o politic nainte de a li se cere s se conformeze acesteia. Un program de instruire eficace ar trebui s includ notificri prealabile asupra politicii din partea grupurilor responsabile cu elaborarea, i implementarea acesteia. De ndat ce este publicat, se vor prezenta msurile de monitorizare a conformrii utilizatorilor i perioada n care va intra n vigoare. Este important explicarea detaliat a procedurilor de obinere a exceptrilor de la politic i a raportrii nclcrii acesteia. Programul de instruire trebuie s includ notificri periodice ctre utilizatori i management asupra problemelor de neconformitate pn cnd acestea sunt rezolvate. Urmrirea conformrii i msuri disciplinare Odat cu politica este necesar i elaborarea procedurilor de monitorizare a conformrii i a msurilor disciplinare n caz de neconformare. Aceste proceduri de monitorizare au rolul de a detecta i rezolva interpretrile eronate sau nclcrile politicii. Procedurile de management a incidentelor trebuie s adreseze modul de investigare i colectare de evidene, i cazul n care trebuie implicate autoritile legale. Datele asupra gradului de conformare, excepii i violri trebuie comunicate n mod regulat conducerii asigurndu-se att informarea ct i sprijinul acestora.
determin starea de securitate a organizaiei detecteaz schimbrile n infrastructura informaional a organizaiei detecteaz schimbrile n mediile de operare menin vizibilitate asupra bunurilor asigur un grad ridicat de informare asupra vulnerabilitilor ofer informaii asupra ameninrilor asigur eficiena controalelor de securitate ntr-o manier care suport operarea n limitele de toleran de risc stabilite. Implementarea programului de monitorizare pentru a colecta datele necesare pentru metricile predefinite i raportarea celor identificate; automatizarea colectrii, analizei i rapoartelor unde acest lucru este posibil. Analiza datelor colectate, raportarea celor identificate i determinarea rspunsului corespunztor. n acest caz poate fi necesar colectarea de informaii adiionale pentru a suplimenta datele de monitorizare existente. Rspunsul tehnic, managerial i operaional pentru adresarea incidentelor sau acceptarea, transferul sau evitarea riscului. Revizuirea i actualizarea programului pe o baz continu, ajustnd strategia de monitorizare, eficientiznd capacitile de msurare pentru a crete vizibilitatea asupra bunurilor i vulnerabilitilor; crearea de controale de securitate n organizaie bazate pe datele de monitorizare; creterea rezilienei organizaionale.
51
2.4.1.1 Strategia de monitorizare la nivel organizaional i al misiunii sale Responsabilii cu evaluarea riscului vor determina riscul de toleran organizaional la nivel general precum i strategia de adresare a riscului n contextul organizaional. Strategia de monitorizare i programul sunt dezvoltate i implementate pentru suportul managementului de risc n concordan cu tolerana la risc a organizaiei. n mod uzual, strategia de monitorizare la nivelul organizaiei este dezvoltat la nivel organizaional, cu proceduri generale de implementare elaborate la nivelul misiunii sale. Aceast informaie este comunicat personalului de la toate nivelele, i se va reflecta n politicile i procedurile nivelelor misiune, i sistem. La nivelul organizaiei (management executiv) i al misiunii (operaiilor) strategia de monitorizare poate include politici i proceduri n suportul acesteia cum ar fi [NIST SP 800-137] : Politica de definire a metricilor cheie Politica pentru modificri i ntreinerea strategiei de monitorizare Politica i procedurile pentru evaluarea eficacitii controalelor de securitate Politica i procedurile pentru monitorizarea strii de securitate Politica i procedurile pentru raportarea strii de securitate (asupra eficienei controlului i strii de monitorizare Politica i procedurile pentru evaluarea riscurilor i de obinere a informaiilor asupra ameninrilor Politica i procedurile pentru managementul configuraiilor Politica i procedurile pentru analiza impactului de securitate Politica i procedurile pentru implementare i utilizarea aplicaiilor la nivelul organizaiei Politica i procedurile pentru stabilirea frecvenelor de monitorizare Politica i procedurile pentru determinarea dimensiunii eantionului i populaiilor ce fac obiectul monitorizrii Proceduri pentru determinarea msurilor de securitate i a evalurii riscurilor. Model pentru raportarea strii de securitate Politica i procedurile pentru instruirea personalului implicat n monitorizarea securitii. Instruirea include managementul i utilizarea aplicaiilor, recunoaterea i rspunsul la incidente i alerte pe baza metricilor, indicndu-se cnd riscul depete riscurile acceptabile. 2.4.1.2 Strategia de monitorizare la nivelul sistemelor informaionale Are la baz determinarea riscurilor asociate operrii fiecrui sistem sau poriune de infrastructur. Strategia i programul de monitorizare la nivelul sistemului sunt dezvoltate i implementate pentru suportul managementului de risc la nivelul ntregii organizaii, i nu doar la nivel sistem, n concordan cu riscul de toleran asociat sistemului, ct i celui organizaional. Informaia de securitate la acest nivel include evaluarea datelor legate de controalele de securitate la nivel sistem i metricile obinute pe baza acestor controale de securitate. Grupurile i departamentele care opereaz sistemele stabilesc strategia de monitorizare la nivel sistem lund n considerare factori tehnologici, arhitecturali,
52
specifici mediului de operare, dar i cerinele, politicile, procedurile i modelele stabilite la nivelul organizaional i al celei de misiune [PPN06-03]. n general, strategia i programul este definit la nivelul organizaional i al misiunii sale, iar politicile de implementare specifice sistemelor sunt dezvoltate la nivelul de baz. Monitorizarea la nivel sistem va adresa monitorizarea controalelor de securitate din punct de vedere al eficacitii, monitorizarea strii de securitate i a raportrii celor identificate. Dac iniial monitorizarea strii de securitate viza identificarea ameninrilor (detecia intruziunilor), conceptul a fost ulterior extins i ctre alte zone din sfera securitii IT cum ar fi: monitorizarea conformrii cu politica de securitate, monitorizarea eficacitii controalelor de securitate, monitorizarea vulnerabilitilor controalelor, etc [PPN09] O soluie de monitorizare complet, care va putea oferi informaii de starea securitii cat mai apropiate de realitate, va trebui s acopere toate aspectele de securitate prezentate n figura 2.3 cum ar fi [PNCN09].: Ameninri clasa de monitorizare ce urmrete detecia atacurilor (de exemplu: sistemele IDS), i constituie latura preponderent reactiv a soluiei complete de monitorizare a securitii Vulnerabiliti - clasa de monitorizare ce urmrete identificarea sistemelor vulnerabile (de exemplu: scanere de vulnerabiliti), i constituie o component preponderent proactiv a monitorizrii securitii Controale - clasa de monitorizare ce urmrete gradului de conformare cu politica de securitate i eficacitatea controalelor de securitate implementate. Aceasta constituie o component preponderent proactiv a monitorizrii securitii. Resurse - clasa de monitorizare ce urmrete realizarea i meninerea unui inventar actualizat al resurselor organizaiei, configuraiei, gradului curent de utilizare i operare a acestora (de exemplu: sisteme de management de reea, monitorizarea utilizare server, etc.). Aceasta constituie o component de suport a monitorizrii securitii. Risc - clasa de monitorizare ce urmrete evaluarea n timp real a riscului prezentat de intruziuni, pentru a ajuta la o mai bun prioritizare a rspunsului. Aceast este o component preponderent reactiv a soluiei complete de monitorizare a securitii. Un exemplu n acest sens ar fi componenta monitorizare a riscului utilizat de soluia de monitorizare OSSIM (Open Source Security Information Management) [PPN08]. Ageni de ameninare este clasa care are rolul de a anticipa noi categorii de ameninri, evoluia acestora. Un exemplu n acest sens ar fi: monitorizarea forumurilor, site-urilor de socializare precum i a altor resurse publice. Acest gen de clas de monitorizare este prezent n procesele de tip cyber intelligence. Ca element de baz, eficacitatea tuturor controalelor de securitate este evaluat n concordan cu planul de securitate al sistemului i cu metode specifice descrise n NIST 800-53A. Frecvena de evaluare este determinat de operatorii de sisteme pe baza cerinelor primite de la toate cele trei niveluri. Informaia de securitate de la nivel sistem este utilizat pentru a determina starea de securitate la toate cele trei niveluri. 53
Figura 2.3 Relaia dintre procesul de monitorizare a securitii i cel de management al riscului
54
Limitele de toleran a riscului pentru organizaie, Scoruri de risc asociat cu o anumit configuraie sistem Scorul de securitate a unei arhitecturi ce urmeaz a fi creat n contextul arhitecturii existente i a nevoilor organizaionale.
Un set corespunztor de metrici va fi orientat ctre un obiectiv i va avea urmtoarele caracteristici [NIST800-33]: Specific Msurabil Comparabil Determinabil Repetabil i Dependent de timp. 2.4.2.1 Standarde i metodologii pentru elaborarea metricilor de securitate Codurile de practic i standardele de securitate sunt utile ca un prim punct de plecare n definirea i implementarea unui program de metrici n organizaie. Acestea vizeaz cu precdere stabilirea de seturi de controale, ns modul de msurare a calitii i aplicabilitii acestor controale nu face obiectul acestora. [BS 7799, ISO 17799, NIST SP 800-33][BPN09] SECMET (Security Metrics Consortium) a fost nfiinat pentru definirea unor metrici de securitate standard pentru companii i a facilita adoptarea acestora de ctre factorii de decizii din companii. Un alt efort de standardizare este condus de MWG (Metrics Work Group) din cadrul ISSEA (International Systems Security Engineering Association). Acest grup este nsrcinat totodat i cu dezvoltarea de metrici pentru SSE-CMM (System Security Engineering-Capability Maturity Model). SSE-CMM a adoptat metodologia NIST SP 800-55 pentru dezvoltarea metricilor de securitate i proces. Grupul a propus 22 de arii de proces pentru dezvoltarea de metrici grupate n dou seciuni i anume: practici de baz de securitate, i practici de baz pentru proiecte i organizaii. ntre timp, organizaiile legislative din mai multe ri au elaborat proiecte i reglementri care necesit msurtori n domeniul securitii IT (HIPAA- Health Insurance Portability and Accountability Act, FISMA- Federal Information Security Management Act, The Data Protection Directive 95/46/EC a Parlamentului European). Cele mai importante metode utilizate n dezvoltarea metricilor de securitate sunt: metodologia de evaluare a performanelor IT (coordonat de Departamentul Aprrii USA), care are urmtoarele componente: capabiliti, nivel atribut i metrici specifice. model bazat pe capabiliti - un produs al SSE-CMM i adreseaz capabiliti funcionale cum ar fi: protecie, detecie i rspuns. model orientat ctre rolul utilizatorilor (stakeholders) - abordeaz problematica metricilor din perspectiva rolului organizaional al utilizatorilor (responsabilitatea, interesul i aciunile acestora).
56
Dificultatea n procesul de definire i elaborare a metricilor de securitate const n formularea i modelarea matematic a acestora. Metricile trebuie s fie de asemenea uor de obinut i de validat, i s acopere toate dimensiunile securitii IT incluznd organizaia, componenta tehnologic precum i pe cea operaional. 2.4.2.2 Metrici pentru evaluarea vulnerabilitilor de securitate Multe din strategiile de evaluare i validare a securitii sunt nc axate exclusiv pe proceduri de tip scanri de vulnerabiliti, teste de penetrare, sau alte mijloace de identificare a deficienelor n implementarea controalelor de securitate legate de protecia bunurilor organizaiei. Eficiena unor astfel de implementri este limitat n contextul numrului mare i a frecvenei ridicate de noi vulnerabiliti. Pentru a determina urgena i prioritatea de rspuns la vulnerabiliti, organizaiile au nevoie de modele care s ia n calcul severitatea acestora. CVSS (Common Vulnerability Scoring System) este un model care ofer un scor al gradului de risc i severitate al vulnerabilitii. Scorul este determinat pe baza unor metrici care acoper trei categorii distincte care pot fi msurate cantitativ i calitativ: 1. Metricile de baz conin atribute care sunt intrinseci fiecrei vulnerabiliti i nu variaz n funcie de timp sau mediu. 2. Metricile temporale conin caracteristici ale vulnerabilitii care se modific pe durata de via a vulnerabilitii. 3. Metricile de mediu conin acele caracteristici care sunt legate de o anumit configuraie a implementrii din mediul utilizatorului. Setul de metrici utilizat n CVSS a fost identificat pe baza unui compromis ntre uurina utilizrii, acurateei i acoperirea n detaliu, obinut dup testri extensive a multiple seturi de vulnerabiliti reale n diferite medii utilizator. [CVSS-09] A. Metricile de baz Setul de metrici de baz care acoper trsturile de baz ale unei vulnerabiliti sunt: Vector de acces (VA) - msoar dac vulnerabilitatea este exploatabil local sau la distan. Valorile posibile sunt {local, la distan} Complexitatea accesului (CA) - msoar gradul de complexitate al atacului necesar pentru exploatarea vulnerabilitii odat ce atacatorul are acces la sistemul int. Valorile posibile sunt {mare, mic} Autentificarea (A) - msoar dac atacatorul trebuie s fie autentificat de sistemul int pentru a putea exploata vulnerabilitatea. Valorile posibile sunt: {necesar, nenecesar} Impactul de confidenialitate (IC) - msoar impactul asupra confidenialitii n cazul unei exploatri cu succes a vulnerabilitii pe sistemul int. Valorile posibile sunt {fr impact, parial, complet}. Impactul de integritate (II) - msoar impactul asupra integritii n cazul unei exploatri cu succes a vulnerabilitii pe sistemul int. Valorile posibile sunt: {fr impact, parial, complet} Impactul de disponibilitate (ID) - msoar impactul asupra disponibilitii n cazul unei exploatri cu succes a vulnerabilitii pe sistemul int. Valorile posibile sunt: {fr impact, parial, complet}
57
Impactul de bias (prejudecat) (IB) - permite acordarea unei ponderi mai mari unuia dintre cele trei metrici menionate anterior n detrimentul celorlalte dou. Valoarea poate fi : Normal - IC, II, ID, au aceeai pondere Confidenialitate - dac IC are pondere mai mare dect II i ID Integritate - dac II are pondere mai mare dect IC i ID Disponibilitate - dac ID are pondere mai mare dect IC i II
B. Metricile temporale Metricile temporale reprezint trsturile dependente de timp ale vulnerabilitii i anume: Exploatabilitatea (E) - msoar complexitatea procesului de exploatare a vulnerabilitii pe sistemul int. Valorile posibile sunt: {nedovedit, n stadiu de validare a conceptului, funcional, mare}. Nivelul de remediere (NR) - msoar nivelul de disponibilitate a unei soluii. Valorile posibile sunt: {rezolvare permanent, rezolvare temporar, soluie de moment, i nedisponibil}. Confidena raportului (CR) - msoar gradul de confiden n existena vulnerabilitii i credibilitatea raportrii acesteia. Valorile posibile sunt: {neconfirmat, neverificat, i confirmat}.
58
C. Metricile de mediu Metricile de mediu reprezint trsturi specifice configuraiei implementrii i mediului de existen a vulnerabilitii: Potenial de distrugeri colaterale (PDC) - msoar potenialul de pierdere a unui echipament, distrugerea proprietii, pierderi de viei sau accidente umane Valorile posibile sunt: {fr, sczut, mediu, mare}. Distribuia intelor (DT) - msoar mrimea relativ a domeniului sistemelor int susceptibile la vulnerabilitate Valorile posibile sunt: {fr, sczut, mediu, mare}. Elaborarea scorului se face pe baza combinrii tuturor valorilor metricilor pe baza formelor specifice prezentate mai jos :
1. Scorul de baz (SB)- este calculat de furnizor dup cum urmeaz :
SB= round(10 * VA* CA *A * ((IC * IBC) + (II * IBI) + (IA * IBA))
Odat ce acesta este publicat, scorul de baz (SB) nu se va mai modifica i va reprezenta fundaia care va fi modificat de metricile temporare i mediu. Scorul de baz are ponderea cea mai mare n scorul final i reprezint nivelul de severitate a vulnerabilitii.
2.
i permite introducerea factorilor de reducere a scorului vulnerabilitii i va fi reevaluat la intervale de timp specifice pe durata de via a vulnerabilitii. Acest scor reprezint gradul de urgen al vulnerabilitii la un moment dat de timp.
3. Scorul de mediu (SM)- este calculat n mod opional de organizaiile utilizator i
Acest scor reprezint o valoare la un moment dat de timp reprezentativ pentru un mediu anume. Organizaia ar trebui s utilizeze acest scor, SM, pentru a prioritiza rspunsul la vulnerabilitate n cadrul mediului respectiv. CVSS difer de alte sisteme de scor a vulnerabilitilor cum ar fi Microsoft Threat Scoring System, Symantec Threat Scoring System, Cert Velnerability Scoring sau Sans Critical Vulnerability Analysing Scale Rating) prin faptul c ofer un cadru deschis de clasificare a vulnerabilitilor ntr-o manier consistent, ct i posibilitatea de personalizare a acestora pentru fiecare mediu utilizator. Pe msur ce CVSS se maturizeaz aceste metrici pot fi extinse sau ajustate pentru a-l face ct mai precis, flexibil i reprezentativ pentru modul de adresare a claselor de vulnerabiliti i a riscurilor asociate cu acestea. 2.4.2.3 Metrici pentru evaluarea controalelor de securitate n sistemele informaionale n multe organizaii, msurtorile legate de securitatea sistemelor informaionale sunt conduse adesea de echipe multiple care acioneaz n mod dependent pentru definirea, colectarea i analiza metricilor tehnice.
59
Aceste metrici includ vulnerabilitile identificate n scanrile de reea, raportarea incidentelor, estimarea pierderilor cauzate de evenimentele de securitate, rata de descoperire a defectelor de securitate n noile aplicaii software, alerte ale sistemului de intruziune, numrul de emailuri infectate de virui interceptate, i altele.
Metricile de securitate descrise n aceast seciune vizeaz integritatea i disponibilitatea reelei i sistemelor. Alte aspecte precum valoarea bunurilor informaionale sau costul pierderilor, nu fac subiectul analizei. n contextul unui model orientat pe rolul avut n organizaie (Modelul stakeholders), utilizatorii vor urmri diferite aspecte legate de securitatea sistemelor. Managementul de nivel executiv, ce corespunde nivelului organizaional i misiune din figura 2.1 i este responsabil cu performanele de nivel general ale organizaiei, va fi interesat de capacitatea sistemului de a asigura suportul operaiilor organizaiei i misiunilor acesteia. Avnd autoritatea de a aloca resurse (att financiare ct i de personal) pentru a adresa problemele de securitate a sistemelor i infrastructurii, acetia vor fi interesai n a avea rspunsul la urmtoarele ntrebri: Gradul de securitate al organizaiei comparativ cu al altora similare din acelai domeniu de activitate Evoluia n timp a securitii sistemelor Eficiena investiiilor efectuate n domeniul securitii sistemelor i infrastructurii Costurile i consecinele cnd se consider asumarea riscurilor asociate unor noi vulnerabiliti. Un exemplu de metrici de securitate la nivelul managementului ar fi:
60
Nivelul de serviciu al sistemelor - procentul de disponibilitate a serviciilor sistemelor msurat pe durata unui interval de timp specificat, precum i evoluia acestuia. Nivelul serviciului de reea - procentul de disponibilitate a serviciilor reelei msurat pe durata unui interval de timp specificat, precum i evoluia acesteia. Nivelul de satisfacere al cerinelor de business - procentul de nevoi de business satisfcute de infrastructura i sistemele existente. Numrul de compromiteri - numr de incidente pe durata unei perioade date, n care reeaua sau sistemele au fost compromise Impactul compromiterilor asupra organizaiei - pentru fiecare incident, numrul de ore, timpul i personalul afectat de degradarea sau ntreruperile cauzate de reea, sisteme sau serviciile de aplicaii. Costurile i beneficiile investiiilor - costurile directe i indirecte, precum i beneficiile ca urmare a investiiilor legate de securitatea sistemelor
Echipa de securitate pentru reea i sisteme este n mod uzual responsabil cu definirea controalelor de securitate i este interesat de modul n care programele, procedurile i politicile de securitate rezolv cerinele impuse n acest sens. Dac sistemele responsabile pentru compromitere erau conforme cu politica de securitate? Ce schimbri ar trebui fcute la politica i procedurile de securitate? Dac politica nu i atinge scopul ce aspecte comportamentale trebuie modificate la nivelul politicii pentru atingerea obiectivelor? Ce tehnologii ar putea ajuta prevenirea unor compromiteri viitoare? Care a fost impactul tehnic al compromiterii? Echipa de securitate operaional este responsabil cu meninerea unui nivel de securitate n limitele prevzute de politica de securitate i de regul utilizeaz n decursul activitilor de zi cu zi urmtoarele seturi de metrici: Structura vulnerabiliti - este numrul cumulativ de vulnerabiliti identificate n organizaie clasificate dup echipamentele conforme i neconforme cu politica de securitate ncercri de intruziune - este numrul de ncercri de intruziune ncercri de acces neautorizat - este procentul de accese neautorizate pentru diferite servicii de reea sau sisteme Rapoarte de conformitate detaliat - este numrul de utilizatori i echipamente conforme cu fiecare element al politicii de securitate Impactul de compromitere - va msura utilizatorii afectai (datorat serviciului degradat, ntrerupt), nivelul de date pierdut, modificat sau distrus; numrul de echipamente compromise; degradarea performanelor reelei i sistemelor. Scanri suspecte de porturi - numr de scanri suspecte din organizaie, timp de remediere, care este timpul ntre descoperirea compromiterii i ncheierea remedierii.
61
62
organizaiei, rutere, jurnale firewall, fiiere de log de pe staii, date de sesiune i date de trafic complete). Date vulnerabiliti sunt date generate de sistemele proprii de detecie a vulnerabilitilor. Pot fi n format fiier, ns cele mai multe organizaii au console pentru managementul i prezentarea acestora Notificri de neconformitate sunt generate de sistemele de monitorizate ce urmresc gradul de conformare a staiilor din organizaie cu politica intern sau cu alte reglementri (de exemplu: sistemele ce proceseaz pli electronice pe cri de credit trebuie s se conforme unor practici i standarde de domeniu cum are fi PCI (Payment Card Industry) Date activitate utilizatori pentru minimizarea riscului anumite organizaii monitorizeaz activitatea utilizatorilor cu privilegii sporite. De asemenea, avnd n vedere senzitivitatea datelor utilizate n procesul de monitorizare a securitii, se recomand monitorizarea activitii personalului i verificarea periodic a cazierului juridic a personalului implicat n acest proces Date management a reelei sunt date generate de sistemul de management ale reelei care poate oferi indicaii asupra activitilor atipice din reea. Date alarme proactive ale sistemelor pot fi date statistice de timp real generate n organizaiile mari pe baza alarmelor de monitorizare a aplicaiilor din organizaie (de exemplu: alarme simultane sau n volum neobinuit al sistemelor de procesare a tranzaciilor de business specifice)
2.4.3.2 Implementarea tehnic a soluiei de monitorizare O descriere detaliat a tehnologiilor de monitorizare ce pot fi utilizate pentru implementarea programului de monitorizare este descris n capitolul 3, iar modul de integrare a diverselor componente, precum, corelarea i raportarea este descris n capitolul 4.
63
reea (cum ar fi atacuri DOS, sau pe baz de viermi) o detecie i validare n cel mai scurt timp este necesar pentru a evita contaminarea pe scar larg. O detecie ct mai rapid poate ajuta organizaia s minimizeze impactul incidentului, micornd considerabil timpul i costurile de refacere. Aciunile ce se recomand n aceast faz sunt [CBU--][DOE--]: Monitorizarea buletinelor de notificare publicate de organizaii cum ar fi US CERT (Computer Emergency Response Team), US DOE-CIAC (US Department of Energy Computer Incident Advisory Capability) Monitorizarea alertelor i evenimentelor de securitate produse de diverse controale tehnice cum ar fi: firewalls, IDS, antivirus, fiiere jurnal de pe sisteme (web, email, etc) etc. Evaluarea datelor de incident din sursele iniiale cum ar fi rapoartele utilizator, sau ale personalului IT, i controalele tehnice pentru a avea o nelegere complet a mecanismului de intruziune . Construirea unui set de aplicaii ce va fi utilizat n identificarea intruziunii, i a altor activiti de analiz Stabilirea unui set de criterii de prioritizare pe baza cruia se identific nivelul corespunztor de rspuns pentru incidentele ce afecteaz reeaua i sistemele organizaiei. 3. Izolarea - Aceast faz vizeaz limitarea incidentului n vederea suprimrii intruziunii. n cazul incidentelor de tip malware (virui, viermi) izolarea are dou componente majore: stoparea propagrii (compromiterii de noi sisteme) i prevenirea efecturii de alte daune pe sistemele deja compromise. n adresarea incidentului, este important ca organizaia s decid asupra metodelor de izolare ce vor fi utilizate n faza iniial a rspunsului. Organizaiile vor trebui s aib strategii i proceduri disponibile pentru a lua deciziile legate de izolarea incidentului care s reflecte nivelul de risc acceptabil pentru organizaie. Politicile organizaionale trebuie s stabileasc clar persoana autorizat s ia decizii majore de izolare a incidentului i circumstanele aferente. Recomandrile specifice acestei faze includ urmtoarele: Identificarea staiilor compromise de incident. Pentru organizaiile mari trebuie stabilite n prealabil metodele i tehnicile de identificare a staiilor din reea Dac este cazul, i este posibil, se vor oferi utilizatorilor instruciuni pentru a identifica dac staiile client au fost compromise i msurile ce ar trebui luate. Totui, organizaiile nu trebuie s se bazeze exclusiv pe utilizatori chiar i n cazul izolrii incidentelor care afecteaz organizaia pe scar larg. Dac software-ul maliios nu poate fi identificat i izolat prin actualizarea softwarelui antivirus, organizaiile trebuie s fie pregtite s utilizeze alte mijloace pentru izolare. Organizaiile trebuie s fie n msur s trimit eantioane de cod maliios furnizorului de aplicaie pentru analiz, precum i s contacteze organizaiile de rspuns la incidente i furnizorii de antivirui atunci cnd este necesar consultarea n legtur cu modul de adresare a noilor ameninri. Pentru izolarea incidentului, organizaia trebuie s fie pregtit chiar i pentru ntreruperea total sau blocarea serviciilor utilizate de programul maliios, inclusiv a aplicaiilor i serviciilor de baz (web, e-mail, etc). Organizaia trebuie s fie n msur s rspund problemelor create de alte organizaii ca urmare a dezactivrii propriilor lor servicii n rspuns la un incident. 64
Dac situaia o impune, organizaia va dispune restricii suplimentare de conectivitate pe o durat limitat (de exemplu: suspendarea accesului la Internet, dezactivarea de porturi, rerutarea traficului, punerea n carantin a staiilor compromise) 4. Eradicarea - Principalul obiectiv al acestei faze este eliminarea ameninrii. Spre exemplu, n cazul atacurilor de tip malware se urmrete tergerea aplicaiei malware din sistemele compromise. Pentru atacurile de tip DoS, obiectivul este blocarea complet a traficului de atac. Datorit necesitii unor eforturi de eradicare relativ mari, organizaiile trebuie s fie pregtite s utilizeze concomitent diverse combinaii de tehnici de eradicare n situaii variate. Organizaiile trebuie sa aib n vedere desfurarea prealabil de activiti de instruire care stabileasc nivelul de ateptare pentru eforturile de eradicare i refacere n caz de incident. 5. Refacerea - Principalele aspecte ale acestei faze sunt restaurarea func ionalitii i a datelor pentru sistemele afectate de incident, i ridicarea restriciilor de conectivitate impuse pe durata fazei de izolare. Organizaiile trebuie s aib n considerare scenariile cele mai nefavorabile i modul de restaurare (spre exemplu: reinstalarea de la zero a sistemelor compromise, sau pe baza unei versiuni salvate anterior). Ridicarea restriciilor de conectivitate se face atunci cnd numrul de staii compromise, sau vulnerabile este suficient de mic, iar eventuale incidente secundare au consecine reduse. 6. Activiti post-incident - Deoarece incidentele de securitate ce afecteaz sistemele pot fi destul de costisitoare, este necesar ca organizaia s analizeze atent incidentul pentru a lua msuri de mbuntire a defensivei i modului de tratare a incidentelor n scopul prevenirii unor situaii similare. Pe baza acestor msuri, se vor determina schimbri n politica de securitate, schimbri n configuraiile sistemelor, ct i amplasarea de controale de detecie i prevenire a unor ameninri de acest gen. Datorit ritmului destul de ridicat al apariiei de noi ameninri, organizaiile trebuie s stabileasc capabiliti robuste i flexibile de prevenire i tratare a incidentelor pentru a adresa att ameninrile actuale ct i cele pe termen scurt, i cu posibiliti de modificare pentru a adresa ameninri viitoare pe termen lung [PPN06-02]. Aceast competiie continu ntre ameninri i defensiv impune organizaiilor s fie la curent n privina celor mai noi ameninri i a controalelor de securitate disponibile pentru contracararea lor. 2.4.4.2 Clasificarea incidentelor Definirea unei cadru formal pentru clasificarea incidentelor va permite colectarea ntr-o manier mai eficient a elementelor caracteristice incidentului ceea ce va permite [CBU--]: O reacie mai rapid la incidente O comunicare mai bun att ntre membri echipei de rspuns la incidente, ct i n relaia cu organizaiile naionale la care se raporteaz incidentele. Posibilitatea de a analiza diferite tendine i genera statistici
65
66
Organizaiile CERT naionale au create taxonomii pentru raportarea incidentelor, ns adopia a fost limitat doar la nivelul organizaiilor mari, din motive de complexitate, i de resurse suplimentare necesare documentrii detaliate asupra incidentului. ns cea mai important utilitate a unor astfel de clasificri formale a fost de a oferi organizaiilor o mai bun nelegere a terminologiilor precum i un cadru eficient pentru construirea programelor de educare a personalului propriu.
67
refacerii, precum i costurile indirecte (afectnd imaginea organizaiei sau competitivitatea acesteia) Utilizarea cadrului VerIS permite organizaiilor identificarea de trenduri pe baza crora pot lua decizii de mbuntire a strategiilor i tacticilor de securitate. Raportul de investigare a breelor de date pe care Verizon l produce anual (Verizon Data Breach Investigation Report), i care este utilizat pe scar larg de comunitatea de securitate pentru a nelege evoluia strii de securitate n Internet, utilizeaz date din rspunsurile la incident pe care Verizon le adreseaz i care sunt structurate pe baza cadrului VerIS. n mod tradiional evaluarea riscurilor are la baz scanrile de vulnerabiliti i testele de penetrare, care testeaz n mod selectiv ceea ce se poate ntmpla. VerIS poate aduce o nou dimensiune fazei de evaluare a procesului de management al riscului cea bazat pe evidene.
68
69
70
CAPITOLUL 3
Detecia Malware - Ofer posibilitatea de a identifica i raporta prezena de virui, troieni, spyware, sau a altor categorii de cod maliios pe sau destinat sistemului int. Organizaiile amplaseaz mecanisme de detecie Malware pe sistemele aflate n punctele de intrare/ieire ale organizaiei : firewall, servere email, servere web, servere de acces de distan i sistemele utilizator din reea pentru a detecta i terge codul maliios transportat prin sistemul de pot electronic, medii externe, sau acces web. Utilizate n conjuncie cu procedurile de management al configuraiei, precum i controale de integritate a softwareului, mecanismele de detecie Malware, pot fi foarte eficiente n prevenirea execuiei de cod neautorizat [NIST SP 800-83]. Managementul configuraiei - Permite administratorilor s configureze abloane de setri, s monitorizeze schimbri ale acestora i s le restaureze atunci cnd este necesar. Managementul numeroaselor configuraii ntlnite n sisteme i elementele de reea, a devenit imposibil de realizat utiliznd metode manuale. Automatizarea soluiilor de configurare precum i a instrumentelor de scanare a configuraiei sistemelor, ofer abilitatea de a determina conformitatea cu o configuraie de referin sigur [NIST SP 800-37]. Managementul reelei - Instrumentele din aceast categorie ajut la descoperirea staiilor, inventarul acestora, controlul schimbrilor, monitorizarea performanelor. Unele instrumente automatizeaz configurarea dispozitivelor i managementul schimbrii i valideaz conformitatea dispozitivului cu politicile preconfigurate [NIST SP800-115]. Managementul inventarului de echipamente i sisteme Instrumentele din aceast categorie (adesea combinnd instrumente configurare a sistemelor, cele de management de reea, sau a licenelor) ajut la meninerea inventarului, precum i managementul modificrilor, hardware i software din organizaie [NIST SP 800-18].
72
[NIST SP800-27]. Consola de securitate prezint informaii ntr-un format semnificativ i uor de interpretat.
73
Dintre beneficiile utilizrii acestora de ctre organizaie se amintesc [PNN10]: Reprezint instrumente proactive pentru identificarea propriilor vulnerabilitilor naintea atacatorilor Ofer informaii cu privire la modalitatea de eliminare a vulnerabilitilor descoperite Reprezint un mijloc relativ rapid i uor de utilizat cu ajutorul cruia se poate cuantifica gradul de expunere la vulnerabiliti al organizaiei Identific versiunile software ce trebuie actualizate, i n conjuncie cu instrumentele de management al patch-urilor se determin actualizrile necesare Valideaz conformitatea cu politica de securitate a organizaiei n ceea ce privete aplicaiile instalate, serviciile active, configuraiile sistemelor, etc. Dintre limitrile scanerelor de vulnerabiliti se amintesc [PNN10]: Genereaz un volum de trafic de reea mult mai mare scanerele de porturi, ceea ce necesit o planificare i utilizare adecvat pentru a nu avea impact negativ asupra activitilor operaionale ale organizaiei. Necesit actualizri constante ale bazei de date cu vulnerabiliti pentru a putea recunoate vulnerabilitile recente. Astfel, n alegerea scanerului de vulnerabiliti trebuie avut n vedere frecvena cu care actualizrile sunt disponibile Ineficiente n ceea ce privete detecia noilor tipuri de vulnerabiliti Pentru o organizaie tipic, practicile de securitate operaional curente recomand [NIST SP 800-40v2]: Scanarea de vulnerabiliti a staiilor la cel mult trei luni pentru sistemele fr importan critic pentru organizaie i infrastructur, i scanarea n regim continuu (monitorizarea permanent) a sistemelor critice (firewall-urilor, baze de date, etc). Folosirea mai multor tipuri de scanere de vulnerabiliti. O soluie poate fi o combinaie de scaner comercial i unul bazat pe surse deschise. Rezultatele obinute n urma scanrii vulnerabilitilor trebuie documentate, iar deficienele descoperite trebuie remediate dup cum urmeaz: Actualizarea sau aplicarea de patch-uri de urgen sistemelor vulnerabile pentru eliminarea vulnerabilitilor Deconectarea staiile neautorizate i dezactivarea serviciilor neutilizate Impunerea de controale de limitare a accesului la serviciile vulnerabile (la nivel de firewall, i staie), n cazul n care remedierea necesit timp, iar serviciul nu poate fi oprit. Revizuirea controalelor de securitate pentru a asigura o rat de vulnerabiliti sczut Unul din cele mai eficiente instrumente ce poate fi utilizat pentru scanarea de porturi i care posed i elemente de baz n scanarea vulnerabilitilor este Nmap [Nma--]. Nmap suport o gam variat de tehnici de scanare (ICMP, TCP, UDP), oferind totodat posibiliti avansate de identificare a protocolului serviciilor, a adreselor IP,
74
scanare ascuns, i analize de filtrare a traficului. Scanrile Nmap se desfoar n mai multe faze secveniale dup cum urmeaz : Prescanri de scripturi - motorul de scripting Nmap (MSN) utilizeaz o colecie de scripturi special destinate obinerii de informaii adiionale despre sistemele int. Este activat de opiunea sC i are loc doar cnd scripturile necesare sunt selectate (exemple de astfel de scripturi sunt: dhcp-discover i broadcastdns-service-discovery, care utilizeaz interogri de tip broadcast pentru a obine informaii de la serviciile standard de reea). Enumerarea intei - pe baza specificatorilor de staie oferii (poate fi combinaie de DNS, adrese IP, notaie CIDR), Nmap genereaz lista adreselor IP care vor fi scanate. Descoperirea staiilor - scanarea ncepe prin descoperirea staiilor active care astfel vor necesita o investigaie mai amnunit. Acest proces este numit descoperire staie (sau scanare ping). Nmap utilizeaz tehnici multiple de descoperire cum ar fi cereri ARP, sau combinaii de interogri mai elaborate bazate pe TCP i ICMP. Rezoluia DNS invers - dup determinarea staiilor ce se vor scana, vor obine numele DNS inverse ale tuturor staiilor active identificate de scanarea ping. Scanarea porturilor - este componenta principal a Nmap. Rspunsurile (sau lipsa de rspuns) asociate sondrilor trimise sunt utilizate pentru clasificarea strii porturilor (deschis, nchis sau filtrat) de pe staia int. Detecia versiunii - pentru porturile care au fost deschise, Nmap poate trimite o varietate de probe pentru a determina versiunea de software care ruleaz pe staia int, verificnd rspunsurile recepionate pe baza unei baze de date de semnturi de servicii cunoscute. Detecia sistemului de operare - are la baz caracteristici specifice de implementare ale standardelor de reea n diverse sisteme de operare. Pe baza msurrii acestei diferene este adesea posibil determinarea sistemului de operare care ruleaz pe staia int. Traceroute - Nmap conine o implementare optimizat de traceroute, identificnd n paralel rutele de reea pentru mai multe staii pe baza celor mai bune pachete de sondare generate n fazele de descoperire anterioare. Scripturi de scanare - majoritatea scripturilor motorului de scripting vor fi rulate n aceast faz, i au ca rol detectarea vulnerabilitilor serviciilor, identificarea de Malware, colectarea de informaii adiionale din bazele de date i alte servicii de reea, precum i detecia avansat a versiunii. Rezultatele de ieire - Nmap colecteaz toate informaiile obinute i le salveaz ntr-un fiier sau le afieaz pe ecran. Nessus este un pachet de testare a vulnerabilitilor ce poate realiza teste automate asupra unor reele int, incluznd scanri ICMP, TCP i UDP, testarea unor servicii de reea (Apache, MySQL, Oracle, Microsoft IIS, i altele), precum i capaciti de raportare a vulnerabilitilor identificate [Nes--]. Nessus este unul dintre cele mai utilizate instrumente de scanare i testare a reelelor. Nessus are dou componente (demon i client) ce lucreaz intr-o manier distribuit permind astfel un management i control eficient. Rapoartele generate de Nessus sunt uor de neles, concise coninnd uneori alerte de tip false pozitive, astfel fiind necesar ca personalul de securitate s parcurg manual raportul necesitnd totodat un nalt nivel de cunotine i experien. 75
Metasploit Framework (MSF) este o platform avansat de tip surs deschis pentru dezvoltarea, testarea i utilizarea de programe de tip exploatare. Iniial proiectul a pornit ca un joc de reea, dar s-a dezvoltat pe parcurs devenind un instrument puternic folosit n testele de penetrare, dezvoltarea de programe de exploatare i cutarea de vulnerabiliti. Mediul i scripturile de exploatare sunt scrise n Ruby i pot rula pe aproape orice sistem de tip Unix i Windows. Sistemul nsui poate fi accesat i controlat prin intermediul unui interpretor de comenzi sau a unei interfee web [Met--]. Dintre pachetele comerciale, cel mai reprezentativ este eEye Retina [Eey--]. Acesta scaneaz vulnerabilitile unei reele dispunnd de un sistem de management al remediilor prin care descoper i asist la repararea tuturor vulnerabilitilor de securitate cunoscute ntr-un sistem. Retina este uor de configurat i include instrumente avansate de raportare pentru a ajuta la izolarea i sistematizarea remediilor necesare. n afar de faptul c dispune de cea mai complet baz de date de vulnerabiliti cunoscute, Retina dispune i de o tehnologie proprietar numit CHAM (Common Hacking Attack Methods) care emuleaz un comportament de tip hacker pentru penetrarea n adncime a reelei. n acest fel, Retina poate practic detecta vulnerabiliti ascunse sau necunoscute anterior, oferind cunotinele pentru o securizare mai bun a reelei.
sistemele IDS ncearc s implementeze aceste capabiliti i s notifice asupra celor identificate. Arhitectura de principiu a unui sistem pentru detecia intruziunilor (IDS) este prezentat n figura urmtoare.
Senzori
Reea Staii Aplicaii
Analiza
Motor pt. semnturi Motor pt. profiluri
Cunotine
Semnturi Profiluri utilizator/ sisteme/ reea
Rspuns
Alerte Rspuns activ
n literatura de specialitate sunt disponibile mai multe clasificri ale sistemelor IDS, cele mai importante fiind dup proveniena datelor i dup tehnica de detecie folosit. n funcie de proveniena datelor utilizate n procesul de detecie (ceea ce dicteaz n mod implicit i amplasarea acestora), soluiile IDS se clasific n HIDS (IDS bazate pe informaii provenind de la staii) i NIDS (IDS bazate de datele de trafic din reea). Un sistem HIDS monitorizeaz starea staiei precum i aspecte ale comportamentului su dinamic cu scopul de a determina ncercri de violare a politicii de securitate a sistemului respectiv. HIDS utilizeaz n general o baz de date securizat cu obiecte sistem i atributele de referin asociate acestora (permisiune, dimensiune, date modificare, etc.). n procesul de monitorizare se compar atributele curente ale obiectelor cu cele de referin, din baza de date. Un sistem NDIS monitorizeaz pachetele de date din reea (Snort, Bro), sau statisticile de trafic furnizate de echipamentele din reea sau alte aplicaii (Novell Analyzer, Microsoft Network Monitor) pentru a determina indicatori asupra activitilor suspecte cum ar fi: scanri, propagri de viermi, atacuri DoS, etc.. n multe implementri de sisteme IDS comerciale, se combin aspecte specifice HIDS i cele NIDS, aceste implementri fiind numite i NNIDS (IDS de nod de reea). NNIDS opereaz ca un NIDS hibrid la nivel de staie ce proceseaz traficul destinat ctre maina respectiv. Aceste soluii hibride adreseaz limitrile de vizibilitate ale NIDS clasic n ceea ce privete traficul de reea criptat, oferind totodat o monitorizare eficient la nivelul serviciilor (Web, SMTP, SSH, etc.) pentru identificarea ncercrilor de violare a specificaiilor protocoalelor de nivel aplicaie [PPN07-01] . n funcie tehnica de detecie folosit, sistemele IDS au fost n mod tradiional grupate n dou clase mari: sisteme bazate pe anomalii i cele bazate pe semnturi. n timp, o serie de noi tehnici au fost recunoscute n literatura de specialitate i anume: 77
monitorizarea integritii, monitorizarea fiierelor de jurnalizare, tehnici capcan (honeypot), i tehnicile hibride. [Ame10] [Pfl11] n continuare se vor descrie tehnologii reprezentative de detecie a intruziunilor pe baza tehnicilor folosite.
78
secvenial evenimentele, funcia de corelaie temporar lipsete n acest caz [Swa--]. Logsurfer este o soluie mai eficient care permite schimbarea dinamic a regulilor n timp sau n funcie de contextul evenimentelor identificate. Soluia permite o multitudine de opiuni ce asigur un grad ridicat de flexibilitate, cum ar fi: specificarea de excepii, setare de timeout pentru reguli, specificarea de secvene de identificare care pot fi ignorate, trimiterea rezultatelor prin email ctre anumite maini, etc. Logsurfer+ este o extensie care permite generarea de alerte cnd se detecteaz lipsa de mesaje i permite de asemenea specificarea unui numr minim de evenimente care trebuie identificate pentru a genera o alert. Aceast ultim facilitate poate fi folosit pentru identificarea strilor anormale, ns este necesar o evaluare prealabil din partea utilizatorului pentru determinarea acestui prag de anomalie. [Dan--] SEC (Simple Event Correlator) este o soluie bazat pe surse deschise, independent de platform care poate fi utilizat pentru corelarea de evenimente. Ofer un mod flexibil de introducere a datelor (pipeuri numite, intrare standard STDIN, sau nume fiiere normale) [Sec--]. Se utilizeaz o list de reguli pe baza crora se caut potriviri n liniile de intrare. O regul SEC are urmtorul format [Ris05] Condiie de potrivire a evenimentului sunt exprimate ca expresii regulare i rutine Perl O list de aciuni - care vor fi efectuate n cazul satisfacerii condiiei de potrivire. Dintre tipurile de aciuni se amintesc: creare de contexte, invocarea unor programe externe, resetarea corelaiilor active. O valoare boolean - care controleaz aplicabilitatea regulii la un moment dat de timp. La momentul aplicrii unei reguli se poate specifica un nume de context, permindu-se astfel corelarea evenimentelor pe baz de context. Dei are reguli statice, SEC ofer operaii de corelare de nivel ridicat cum ar fi: potriviri explicite de perechi i numrarea operaiilor. Spre exemplu, pe baza regulii SingleWithThreshold se poate contoriza numrul de apariii al unui eveniment A pe durata unui interval de timp dat, iar contorul este comparat cu o valoare de prag specificat n regul. n cazul n care contorul depete valoarea de prag, o aciune se va executa. OSSEC este un sistem HIDS complex ce ofer i servicii de analiz a fiierelor de jurnalizare. Aceast aplicaie efectueaz procesarea fiierelor log n trei etape [Oss--]: Predecodare - extrage cmpuri cunoscute din fiierele log precum timpul evenimentului Decodare folosind decoderi definii de utilizator pentru a extrage informaii relevante din fiierele de jurnalizare care vor fi folosite n procesul de analiz Analiz efectueaz operaii de tip potrivire asupra informaiilor decodate pe baza unei structuri arborescente de reguli atomice sau compozite. Structura arborescent asigur utilizarea n procesul de analiz numai a sub-regulilor relevante pentru procesul de detecie respectiv. De exemplu, dac se analizeaz o intrare legat de un eveniment SSH, nu se va traversa prin sub-arborele de reguli pentru evenimente Apache. Un exemplu de procesare pe baza OSSEC a unei intrri dintr-un fiier de evenimente SSH este ilustrat n continuare. 79
3.3.1.3 Exemplu utilizare OSSEC pentru analiza fiierelor 1. OSSEC primete fiier de log SSH cu urmtoarea intrare
#intrare din fiier log Sep 14 17:32:06 mylinux sshd[1025]: Accepted password for root from 192.168.1.101 port 1618 ssh2
5. Se definete regula de analiz 133 prin care se dorete generarea unei alerte n caz de conectare din exteriorul reelei 192.168.254.0/24 la staia cu numele mylinux.
80
# Exemplu regula analiza # atributul level reprezint gradul de severitate <rule id = "111" level = "5"> <decoded_as>sshd</decoded_as> <description>Logging every decoded sshd message</description> </rule> <rule id="122" level="7"> <if_sid>111</if_sid> <match>^Failed password</match> <description>Failed password attempt</description> </rule> <rule id="133" level="18"> <if_sid>111</if_sid> <hostname>^mylinux</hostname> <srcip>!192.168.254.0/24</srcip> <description>Problema! Cineva din exterior s-a conectat ca la serverul mylinux </description> </rule>
6. Prin aplicarea regulii 133 asupra informaiilor decodate, se va genera o alert ntruct conexiunea SSH la staia mylinux s-a efectuat de la o adres (192.168.1.101) extern. OSSEC ofer o funcionalitate de baz acceptabil datorit numrului mare de decodere i reguli pentru serviciile de baz. De asemenea, ofer posibiliti de extensie pentru analiza fiierelor de jurnalizare a aplicaiilor proprietare prin definirea de noi decodere i reguli. Totui, prezint limitri n ceea ce privete capacitatea de detecie a evenimentelor de tip necunoscut.
81
Pe durata monitorizrii se va compara informaia de referin (din baza de date) cu atributele de stare actual ale fiierului, iar n caz de discrepan se genereaz un raport sau o alert. Pentru o securitate sporit a mecanismului de monitorizare a integritii, Tripwire cripteaz i semneaz propriile fiiere utiliznd dou chei criptografice pentru a detecta dac a fost compromis [Tri--]: Cheia de site - protejeaz fiierul de politic i cel de configurare Cheia local - protejeaz baza de date i rapoartele de discrepan generate. Pe lng utilitatea n descoperirea intruziunilor i a breelor de securitate, monitorizarea integritii fiierelor poate servi i la eficientizarea altor procese din organizaie cum ar fi managementul modificrilor i asigurarea conformitii cu politica de securitate [Tri10].
82
SVV (System Virginity Verifier) este un verificator de integritate a memoriei care compar componentele Windows utilizate n mod frecvent (de exemplu tabelele de funcii IRP, IDT, SSDT) cu o stare anterioar de referin valid. Acesta utilizeaz de asemenea componente euristice pentru a contoriza numrul de evenimente fals pozitive generate de aplicaii autorizate precum software-ul antivirus ce ruleaz pe sistem [Rut05-2]. 3.3.3.3 Detectoare de tip crossview Tehnica a fost propus iniial de Microsoft n proiectul Ghostbuster [Wan05] i permite detecia rootkit-urilor ascunse n diferite nivele ntre spaiul utilizator i cel kernel prin combinarea unor seturi variate de interogri ce confer perspective multiple asupra sistemului. Implementrile existente au la baz dou tipuri de scanri [Rut05-1]: Scanare inside the box - permite obinerea unei perspective de nivel utilizator prin interogarea API-urilor de enumerare OS, care se compar cu o alt perspectiv generat prin inspectarea direct a structurilor de date kernel. O diferen ntre rezultatele nivelului utilizator i cel kernel indic prezena rootkitului ntre aceste 2 spaii. Implementrile Revealer (Microsoft) i Blacklight (FSecure) utilizeaz acest tip de scanare pentru detecia proceselor i fiierelor ascunse. Scanare outside the box - compar rezultatul unei perspective de nivel kernel obinut pe sistemul verificat, cu rezultatul unei perspective similare, obinute pe un sistem neinfectat. O modalitate de a obine un sistem neinfectat este de a reboota sistemului monitorizat i ncrca un kernel neinfectat (utiliznd un mediu extern). O diferen ntre aceste dou perspective indic prezena rootkit-ului la nivel kernel. Eficacitatea acestei tehnici de detecie depinde n mare msur de modul de implementare a soluiei. O implementare pentru sisteme de tip Windows ce utilizeaz acest tip de scanare este Klister [Sec05]. 3.3.3.4 Detectoare bazate pe comportament Interceptarea apelurilor de funcii, mesajelor sau evenimentelor transferate ntre componentele software, poate constitui mijlocul prin care se poate modifica comportamentului sistemului de operare sau aplicaiilor. n literatura de specialitate, codul care se ocup cu interceptarea apelurilor de funcii, mesajelor sau evenimentelor se numete hook. VICE este un detector de rootkit pentru Windows care verific punctele de interceptare ale proceselor din spaiul utilizator ct i din cel kernel. VICE instaleaz un driver care scaneaz kernel-ul pentru identificarea elementelor de interceptare. Politica utilizat n cutarea punctelor de interceptare la nivel proces este bazat pe principiul conform cruia fiecare pointer de funcie trebuie s rezolve ctre o adres de cod n spaiul procesului sau al kernelui. n cutarea punctelor de interceptare n spaiul kernel, VICE verific urmtoarele structuri de date kernel [But04]: Tabelele IDT (Interrupt Descriptor Table) i SSDT (System Service Descriptor Table) pentru a confirma c pointerii de funcie rezolv ctre spaiul de cod kernel. Tabelele de funcii IRP (I/O Request Packet) n drivere i verific dac acestea pointeaz ctre zone de cod din spaiul driverului, iar apoi,
83
Tabele IAT(Import Address Table) i EAT (Export Address Table) din spaiul procesului pentru a identifica prezena unui element de interceptare.
Totui VICE are o rat mare de alarme false, deoarece multe aplicaii Windows ncorporeaz n construcia lor principii de interceptare. Patchtfinder utilizeaz o metod de creare a profilului cii de execuie la momentul rulrii. Idea acestei soluii are la baz observaia c rootkitul trebuie s adauge cod la o anumit cale de execuie pentru efectuarea unor activiti adiionale [Sec04]. Acesta utilizeaz trstura procesoarelor X86 de contorizare a numrului de instruciuni executate. Tehnica are cteva limitri n ceea ce privete: Performanele sistemului - modul de execuie al procesorului va necesita oprirea rulrii dup fiecare instruciune i apelarea unei rutine de ntrerupere de serviciu pentru actualizarea contorul de instruciune. Acurateea alertelor - metoda conduce ctre un comportament nedeterminist cnd este utilizat n sisteme de operare complexe (precum Windows) datorit ntreptrunderilor cilor de control, ceea ce conduce ctre alarme false [Rut04] .
sistemului de operare, pe care este instalat aplicaia capcan, prin aplicarea patchurilor i modificarea parametrilor implicii de acces: servicii, conturi, parole, resurse partajate n reea. Ca msur suplimentar este recomandat instalarea unui firewall local pe maina care ruleaz aplicaia capcan. Sistemele capcan cu nivel ridicat de interaciune, care ofer un mediu real la dispoziia atacatorilor trebuie protejate prin sisteme externe de protecie: limitarea benzii de comunicaie, instalarea unui sistem de detectare a intruziunilor, monitorizarea atent a tuturor aciunilor ntreprinse asupra sistemului capcan. Relevana. Majoritatea atacurilor, mai ales cele venite din exterior prin Internet sunt efectuate prin instrumente automate care ncearc s exploateze vulnerabiliti publice. Aceste atacuri pot fi relativ uor contracarate prin aplicarea unor msuri elementare de securitate cum ar fie modificarea parametrilor implicii de acces, instalarea unui firewall i a unui sistem de detectare a intruziunilor. Ameninarea serioas o prezint atacurile lansate de persoane cu cunotine avansate, care au informaii despre vulnerabiliti nc nedescoperite de productorii de software, i pentru care nu exist patchuri disponibile. Pentru a surprinde astfel de atacuri este necesar ajustarea particular a sistemului capcan pentru fiecare tip de atac ce se dorete a fi capturat. De exemplu, pentru a depista i demonstra o eventual fraud de date (cum ar fi efectuarea unei copieri neautorizate de numere de cri de credit), activitile detectate de scanare a reelei i penetrarea sistemului de acces la serverul capcan nu identific implicit i tentativa de furt a datelor. Aceast tentativ de fraud nu va fi captat dac sistemul capcan nu simuleaz valoarea cutat de infractor: baza de date central a sistemului de cri de credit. Rezolvarea acestui impediment, a lipsei de relevan a informaiilor oferite de capcan, va necesita particularizarea sistemului capcan astfel nct s poat obine probe solide (i din punct de vedere juridic) n ceea ce privete scopul atacatorului.
Posibil atac
Sistemele de detecie bazate pe anomalii se clasific dup cum urmeaz: A. Sisteme cu auto-instruire - sunt cele care pe baza observrii traficului sau activitii sistemului pe o durat mai lung de timp sunt capabile s construiasc profiluri a ceea ce reprezint normalitatea.
85
Serii atemporale reprezint detectorii care modeleaz comportamentul normal al sistemului pe baza utilizrii unui model stocastic care nu ia n calcul evoluia seriilor temporale. Modelarea regulilor sistemul studiaz traficul i formuleaz un set de reguli care descriu operarea normal a sistemului sau reelei. n faza de detecie, sistemul aplic regulile i genereaz alarm n cazul unei deviaii a caracteristicilor traficului observat fa de setul de reguli. Statistici descriptive sistemul colecteaz ntr-un profil statistici simple, descriptive, mono-mod pe baza unor parametrii ai sistemului, i construiete un vector distan pentru traficul observat i profil. Dac distana este suficient de mare, sistemul va genera alarm. Serii temporale Acest model este mult mai complex, lund n considerare evoluia seriilor temporale. Exemple de astfel de tehnici ar fi: lanuri Markov ascunse, reele neurale artificiale, etc. Reeaua neural artificial (RNA) este un exemplu de modelare de tip black-box. Traficul normal al sistemului este pus la dispoziia RNA, care nva caracteristicile traficului normal. Ieirea este aplicat traficului curent i este utilizat pentru formarea deciziei legat de detecia intruziunii, sau este transmis unui sistem expert de nivel superior pentru a lua decizia final.
B. Sisteme programate sistemele din aceast clas necesit o entitate extern (utilizator, administrator, etc.) pentru a instrui sistemul s detecteze anumite evenimente ce caracterizeaz anomalii. Statistici descriptive sistemele construiesc un profil de comportament normal statistic pentru parametrii sistemului prin colectarea de statistici descriptive pentru un numr de parametrii (de exemplu: numr de ncercri de login euate, numrul de conexiuni de reea, numrul de comenzi ce returneaz erori, etc.) Statistici simple statisticile colectate sunt utilizate de componente de nivel superior pentru a lua decizia de detecie a intruziunii. Bazate pe reguli simple utilizatorul furnizeaz sistemului reguli simple pentru a fi aplicate statisticilor colectate. Bazate pe prag acesta este cel mai simplu exemplu de detector programat ce utilizeaz statistici descriptive. Odat ce sistemul a colectat suficiente date, utilizatorul poate programa praguri predefinite (sub forma unor intervale simple) pe baza crora se vor genera alarme (de exemplu: numrul de ncercri nereuite consecutive > 3). Interzice implicit idea de baz pentru aceast clas este de a specifica n mod explicit circumstanele n care sistemul observat opereaz ntr-o manier de securitate sporit i s raporteze toate deviaiile de la acest mod de operare ca intruziuni. Aceasta reprezint o corespondena clar cu o politic de securitate de tip interzice implicit ceea ce nu e permis n mod explicit. Modelarea seriilor de stare n acest caz, politica pentru operarea ntr-un mod de sporit de securitate este codat ca un set de stri. Tranziiile ntre stri sunt implicit n model, i nu explicit ca n cazul codrii unei maini de stare n shell-ul unui sistem expert. Ca n orice main de stare, odat ce se verific o stare, motorul de detecie a intruziunii ateapt realizarea urmtoarei tranziii. Dac aciunea monitorizat (de exemplu: accese la fiier, deschiderea unor porturi de comunicaie ce prezint interes deosebit) solicit 86
o tranziie care nu este specificat n mod explicit, se va genera o alarm. Motoarele de verificare a regulilor sunt simple, ns nu la fel de puternice ca n cazul unui sistem expert. n continuare se prezint o serie de sisteme de detecie bazate pe anomalii. 3.3.5.1 IDES Sistem expert pentru detecia n timp real a intruziunilor IDES este un sistem clasic pentru detecia intruziunilor, fiind i unul din cele mai documentate [LJL88, LTG92]. Sistemul a fost dezvoltat de SRI International pentru a testa modelul [Den87]: Reprezint utilizatori, sesiuni de login, i alte entiti ca o secven ordonat de statistici <q0,j, .., qn,j>, unde qi,j (statistica i pentru ziua j) este un numr sau interval de timp. Comportamentul recent are preferin ridicat fa de cel vechi Ak,j este suma valorilor ce determin metrica statisticii k n ziua j qk,l+1= Ak,l+1 Ak,l + 2-rt *qk,l , unde t este numrul de intrri de log sau timp total, iar r un factor ajustat experimental Conceptul de baz care st n spatele IDES este c utilizatorii au un comportament relativ stabil n timp atunci cnd i desfoar activitile pe un sistem de calcul, iar comportamentul lor poate fi reprezentat pe baza unor diferite statistici. Activitatea curent a sistemului este corelat cu profilul calculat, iar deviaiile sunt raportate drept intruziuni. IDES proceseaz fiecare nou nregistrare de audit pe baza profilurilor utilizator i de grup. De asemenea, odat ce sesiune se ncheie, aceasta este verificat pe baza profilurilor cunoscute.
87
3.3.5.2 Wisdom & Sense Detecia activitilor anormale n sesiuni de lucru pe staii Sistemul utilizeaz o abordare unic n ceea ce privete modul de detecie a anomaliilor, prin studierea datelor de audit istorice pentru a produce reguli ce descriu tipul de comportament normal (de aici i denumirea de wisdom). Aceste reguli sunt apoi introduse ntr-un sistem expert care evalueaz datele de audit recente pentru a determina violri ale acestor reguli i genereaz alerte cnd regulile indic comportament anormal (sense) [VL89]. 3.3.5.3 Computer Watch Aceast aplicaie a fost dezvoltat de Departamentul de Securitatea Sistemelor din cadrul AT&T ca un pachet adiional pentru System V/MLS (o versiune de UNIX sistem V n clasa de securitate B1 dup Common Criteria). Aplicaia opereaz asupra datelor de audit i ofer utilizatorului un sumar asupra activitii sistemului, pe baza cruia acesta poate decide dac este necesar investigarea statisticilor ce par anormale. Aplicaia ofer i mecanismele prin care se pot face interogri la date de audit pentru obinerea de detalii asupra activitilor suspecte [DR90]. 3.3.5.4 NADIR Sistem automat pentru detecia abuzurilor i intruziunilor n reea Dezvoltat la laboratorul naional de la Los Alamos pentru uz intern (astfel c adreseaz probleme i cerine specifice acelei organizaii), NADIR a fost implementat pe o staie SunSPARC utiliznd un sistem de baze de date relaional Sybase. Sistemul colecteaz date de audit de la trei tipuri de noduri de serviciu, care sunt apoi procesate nainte de a fi introduse n baza de date ca informaie de audit. Fiecare nregistrare de audit introdus n sistem corespunde unui eveniment specific i conine urmtoarele informaii: data i timp, identificator de utilizator, eveniment, parametru de nregistrare, cod de eroare. Sistemul determin sptmnal profiluri individuale ale utilizatorilor ce sintetizeaz comportamentul utilizatorului. Aceste profiluri sunt comparate pe baza unui set de reguli de sistem expert determinate pe baza urmtoarelor surse: Experi de securitate i politica de securitate Analiza statistic a nregistrrilor de audit din sistem Sistemul produce o serie de rapoarte despre activitatea sa, pe baza crora se pot efectua investigaii mai amnunite. [JDS91, HJS+93] 3.3.5.5 Hyperview Component de reea neuronal pentru detecia intruziunilor Acest sistem are dou componente majore: un sistem expert uzual care monitorizeaz informaia de audit pentru a identifica caracteristici pentru intruziunile cunoscute, i o component bazat pe reele neuronale (ARN) care nva adaptiv comportamentul utilizatorului i genereaz alarme cnd informaia de audit deviaz de la comportamentul deja nvat.
88
Decizia de a utiliza ARN pentru a implementa funcia de detecie a anomaliilor pe baz statistic, se bazeaz pe urmtoarele ipoteze legate de caracteristicile informaiei de audit: informaia de audit reprezint o serie temporal multivariat, n care utilizatorul constituie procesul dinamic care emite o serie de evenimente ordonate secvenial. nregistrarea de audit care reprezint un eveniment const din dou tipuri de variabile: variabile cu valori dintr-un set finit (de exemplu: nume de staii) i variabile de valoare continu (de exemplu: utilizarea CPU) Seriile temporale au fost asociate intrrilor n ARN, iar o parte din ieirile reelei au fost conectate la intrare (ceea ce creeaz memoria intern n reea). ntre evaluri, datele din seriile temporale sunt introduse n reea realizndu-se percepia trecutului. ARN este conectat la dou sisteme expert: unul monitorizeaz operarea, instruirea reelei (prevenind nvarea eronat), i evalueaz ieirea acesteia; iar cellalt scaneaz informaia de audit pentru a identifica anumii indicatori ai atacului. Decizia de generare a unei alerte se genereaz pe baza ieirii din ambele sisteme expert [DBS92].
89
3.3.5.6 DPEM Monitorizarea distribuit a execuiei unui program. Metodele de detecie prezentate anterior se bazeaz cunoaterea caracteristicilor din atacuri precedente. Autorul acestui sistem propune o abordare diferit detecia intruziunilor urmrete evoluia corect a securitii sistemului, sau mai precis, a aplicaiilor privilegiate ce ruleaz pe sistemul respectiv. DPEM [Ko96] citete specificaiile de securitate pentru un comportament acceptabil al aplicaiilor privilegiate, i verific dac exist violri ale specificaiilor de securitate n informaia de audit. Prototipul DPEM monitorizeaz execuia programelor ntr-un sistem distribuit prin colectarea de urme ale execuiei de pe diverse staii. Arhitectura sistemului cuprinde urmtoarele componente: centralizator, un manager de specificaii, dispeceri de urme, colectori de urme i analizatori distribuii pe staiile din reea.
Posibil atac
Informaie de sincronizare
Adugare reguli
Sistemul de detecie este programat cu o regul de decizie explicit, unde programatorul a pre-filtrat zgomotul din spaiul de observare. Codul corespunztor regulii de detecie conine elemente de identificare clare care trebuie observate n cazul intruziunii. Sisteme de detecie bazate pe semnturi se clasific dup cum urmeaz: A. Sisteme bazate pe modelarea strilor intruziunea este codificat ca un numr de stri diferite, fiecare din ele trebuind a fi prezente n spaiul de observare pentru a se considera c intruziunea are loc. Prin natura lor, acestea sunt modele de serii temporale pot fi grupate n dou clase:
90
Tranziii de stare strile care alctuiesc intruziunea formeaz un lan simplu care trebuie s fie traversat de la un capt la cellalt. Reele Petri strile formeaz o structur arborescent generic, n care anumite stri preparatorii pot fi ndeplinite, indiferent de ordine i de poziia n model.
B. Sistem Expert - este destinat s evalueze starea de securitate a sistemului pe baza unui set de reguli ce descrie comportamentul intruziv. Adesea, sunt utilizate aplicaii de tip nlnuire nainte (forward-chaining), considerate a fi o alegere potrivit pentru sistemele n care se introduc n mod constant evenimente de audit. Aceste sisteme expert ofer flexibilitate, permind accesul utilizatorului la mecanisme foarte puternice cum ar fi unificarea. Aceste faciliti vin adesea n detrimentul unei scderi a vitezei de execuie n comparaie cu metodele mai simple. C. Sisteme bazate pe string matching este o metod simpl, de verificare a subirurilor de caractere din fluxul de date transmis ntre sisteme. Avantajul su const n simplitatea implementrii i se bazeaz pe algoritmii descrii n paragraful 4.6. D. Sisteme bazate pe reguli simple sunt similare sistemelor expert puternice, dar nu sunt la fel de avansate. Au ns o execuie mai rapid. n continuare se prezint o serie de sisteme de detecie bazate pe semnturi.
3.3.6.1 USTAT Analiza tranziiilor de stare [IKP95] Analiza tranziiilor de stare presupune c sistemul se afl iniial ntr-o stare de securitate, iar ca urmare a penetrrilor, modelate ca tranziii de stare, poate ajunge ntro stare final sinonim cu compromiterea. Sistemul preia de la utilizator specificaiile
91
tranziiilor de stare necesare pentru realizarea intruziunii, dup care evalueaz informaia de audit n conformitate cu aceste specificaii. Utilizatorul specific comportamentul intruziv pe care IDS ar trebui s-l detecteze ca o secven de tranziii de stare specifice. Ipotezele de operare a acestui model bazat pe analiza tranziiilor de stare sunt: Intruziunea trebuie s aib efect vizibil asupra strii sistemului Efectul vizibil trebuie s fie recunoscut fr cunotine din exterior (cum ar fi identitatea adevrat a atacatorului) Un impediment al modelului este c nu toate intruziunile ndeplinesc aceste condiii (de exemplu atacatorii care sunt impostori, ce utilizeaz un cont i o parol valide obinute n mod fraudulos). Un exemplu de scenariu de penetrare UNIX BSD 4.2 ce poate fi utilizat de atacator s obin privilegii administrative, i diagrama de tranziii de stare corespunztoare, sunt prezentate n tabelul i figura urmtoare.
Pas Comanda 1 % cp /bin/csh /usr/spool/mail/root 2 % chmod 4755 /usr/spool/mail/root 3 % touch x 4 %mail root < x 5 %/usr/spool/mail/root 6 Root % Descriere Presupune ca nu exist fiierul de mail pentru root Creeaz un setuid file Creeaz un fiier gol Mail fiierul x ctre root Execut shell ce permite accesul root
Tabel 3.1 Scenariu de penetrare
Figura 3.9 - Diagrama de tranziii de state corespunztoare scenariului de atac din Tabelul 3.1.
3.3.6.2 IDIOT - Intrusion Detection In Our Time Modelul sistemul se bazeaz pe reele Petri colorate pentru detecia de intruziunilor. Autorii propun o abordare structurat n aplicarea tehnicilor bazate pe semnturi n rezolvarea problemei deteciei intruziunilor [Kum95].
92
Modelul presupune c atacul este caracterizat de urmtoarele trsturi: Existen : atacurile genereaz urme (fiiere, sau alte entiti) Secven : atacul cauzeaz cteva evenimente secvenial Ordine parial: atacul cauzeaz dou sau mai multe secvene de evenimente care sunt n ordine parial n coordonate temporale. Durat: are durat limitat n timp Interval: evenimentele sunt distanate n timp Modelul definete un eveniment ca fiind una sau mai multe aciuni ce genereaz o singur nregistrare. Secvenele de evenimente pot fi ntreesute. Reeaua Petri va captura urmtoarele informaii: Fiecare semntur corespunde unui anumit CPA (Colored Petri Automaton) Nodurile sunt token-uri, arcele sunt tranziii Starea final a semnturii este cea de compromitere Adugarea de noi semnturi se poate face n mod dinamic, iar ordonarea CPA-urilor permite stabilirea ordinii de verificare a semnturilor de atac.
3.3.6.3 Snort Snort este o aplicaie pentru analiza de pachete multimod care poate fi folosit ca: sistem de colectare i procesare a pachetelor de trafic, sistem IDS, aplicaie pentru investigaii post-incident. Este foarte simplu (sursa are aproximativ 800kB), portabil (ruleaz pe majoritatea versiunilor de UNIX, Linux i Windows), destul de rapid (are o probabilitate ridicat de detecie a atacurilor cunoscute n reele de 1Gbps), configurabil (limbaj simplu pentru descrierea de reguli). Snort este totodat standardul de facto pentru IDS de reea din surse deschise, fiind foarte bine documentat. Versiunile Snort 2.x ofer o mbuntire a funciei de pattern-matching i detecie prin utilizarea unor algoritmi mai performani cum ar fi: Aho-Corasick sau Horspool. Actualmente Snort ofer suport doar pentru protocoalele uzuale de nivel 2-4 din 93
reelele TCP/IP (Ethernet, FDDI, Frame Relay, SLIP, PPP, ISDN, IP, ARP, TCP, UDP, ICMP), dar prin adugarea de noi decodere de tip plug-ins
Snort
Captur
Decoder pachete Pre-procesor (Plug-ins)
Alert tcp 1.1.1.1 any -> 2.2.2.2 Alert tcp 1.1.1.1 any -> 2.2.2.2 Alert tcp 1.1.1.1 any -> 2.2.2.2
Flux de pachete
Flux Date
Motor de detecie
Component livrare
(Plug-ins)
Alerte/Lo g
Antet regul
Opiuni
(flags: SF; msg: SYN-FIN (flags: S12; msg: Queso (flags: F; msg: FIN
3.3.6.4 OSSEC OSSEC este un sistem de detecie care ofer servicii de tip analiz de fiiere de jurnal, verificare integritate, detecie Rootkit, alerte pe baz de timp i rspuns activ. Arhitectural, soluia const dintr-o serie de agenii care colecteaz i transmit evenimentele ctre un server central. Aplicaia suport formate multiple de fiiere syslog, apache, snort, etc., iar evenimentele sunt procesate pe baz de reguli specificate n format XML.
94
OSSEC are dou moduri de operare: client/server (pentru o analiz centralizat) i local (cnd se monitorizeaz un singur sistem) Procesele interne OSSEC sunt: Analysisd este procesul principal, i este responsabil cu analiza datelor Remoted Recepioneaz fiierele de jurnalizare de la agenii ce ruleaz pe alte staii. Ruleaz implicit pe port UDP 1514, i i pentru comunicaia cu agenii OSSEC, canalul este criptat (folosind algoritmul blowfish i chei partajate) i traficul comprimat (folosind zlib).Pentru compatibilitate extins, clienii tradiionali syslog Logcollector consolideaz fiierele log (syslog, evenimente Windows, fiiere text, etc) Agentd expediaz fiierele de jurnalizare ctre server-ul OSSEC. Canalul de comunicaie dintre agent i server este criptat (folosind algoritmul blowfish i chei partajate), iar traficul este comprimat (folosind zlib). Maild transmite alertele email ctre utilizatori Execd Execut rspunsurile active asociate regulilor de detecie Monitord monitorizeaz starea agenilor, comprim i semneaz digital fiierele de jurnalizare Ossec-control efectueaz managementul proceselor OSSEC cum ar fi pornirea i oprirea lor. 3.3.6.5 RIPPER (Real Time Data Mining-based Intrusion Detection) Idea central a acestui sistem este utilizarea programelor de audit pentru extragerea de informaii detaliate ce descriu fiecare conexiune de reea sau fiecare sesiune pe o staie, i aplicarea programelor de data-mining pentru a nva reguli care captureaz comportamentul intruziv i activitile normale, i care reguli pot fi utilizate pentru detecia pe baz de semnturi i cea de anomalii [Lee99]. Data-mining se refer n general la procesul de extragere de modele descriptive din volume mari de date i utilizeaz o varietate de algoritmi din domeniul statisticii, pattern-matching, nvarea mainilor i baze de date.
95
Sistem expert simplu utilizeaz ca intrare vectori conexiune, vectori staie, profiluri de trafic normal (volume de date ntre staii, protocoale utilizate), cunotine de protocol (telnet, sendmail) i analizeaz datele pentru a determina indicii de comportament intruziv.
Datele sunt prezentate utilizatorului la consol sub forma unei liste sortate ce cuprinde vectorul de conexiune i un nivel de suspiciune determinat de sistemul expert. Rezultatele sunt arhivate ntr-o baz de date pentru suportul unor eventuale investigaii ulterioare. 3.3.7.4 NIDES Next Generation Intrusion Detection System NIDES [AFV95] este succesorul proiectului IDES i urmrete aceleai principii generale ca ultima versiune de IDES (are component solid de detecie a anomaliilor, dublat de o component de sistem expert bazat pe semnturi - PBEST). NIDES este construit pe o arhitectur client-server, este modularizat, avnd interfee bine definite ntre componente. Sistemul este centralizat, putnd efectua analiza pe o anumit staie numit NIDES host. Staiile int colecteaz datele de audit din diverse surse cu informaii de log de staie i de reea. 3.3.7.5 JiNao Detecia scalabil a intruziunilor pentru infrastructuri de reea critice Acest sistem [JCS97] are rolul de protecie a infrastructurii de reea ce utilizeaz OSPF. Modelul de ameninare presupune c anumite entiti care asigur rutarea pot fi compromise, cauznd stoparea sau deturnarea traficului. Detecia intruziunilor este operat utiliznd trei modele bazate pe: anomalii, semnturi i violri de protocol. 3.3.7.6 EMERALD Event Monitoring Enabling Responses to Anomalous Live Disturbances EMERALD [PV98] a fost conceput ca o arhitectur scalabil, distribuit de detecie a intruziunilor pe staii i n reea. Arhitectura conine i componente care permit sistemului s rspund n mod activ n principal la ameninrile ce vin din exteriorul organizaiei. Arhitectura vizeaz o reea de organizaie larg, compus din domenii cu relativ separaie administrativ, i cu niveluri de ncredere diferite inter-domenii. Autorii propun un sistem distribuit care opereaz pe trei niveluri distincte: Analiza de servicii ce acoper abuzurile componentelor individuale i serviciile reelei n limitele unui domeniu. Obiectivul acesteia este de a simplifica i descentraliza monitorizarea interfeelor de reea ale unui domeniu n scopul identificrii activitilor care indic abuzuri sau anomalii semnificative n operare. Elementele de arhitectur care asigur aceast funcionalitate sunt monitoarele de serviciu, care realizeaz o analiz local de timp real a infrastructurii (rutere, gateways) i serviciilor (subsisteme privilegiate cu interfee de reea). Monitoarele pot interaciona n mod pasiv cu mediul (de exemplu: citirea fiierelor de log), sau activ (prin sondare n vederea obinerii de informaii adiionale). Informaia disponibil la nivelul unui monitor local poate fi pus la 97
dispoziia altor monitoare pe baza unui mecanism de comunicaie bazat pe subscripii. Analiza la nivel de domeniu acoper abuzurile vizibile ntre servicii multiple i componente. Un monitor de nivel domeniu este responsabil pentru monitorizarea unei pri sau a ntregului domeniu. Acesta coreleaz informaiile de intruziune oferite de monitoarele de serviciu, oferind astfel o perspectiv mai bun asupra activiti maliioase la nivelul domeniului. Monitoarele de domeniu ndeplinesc i alte funcii cum ar fi: asigur reconfigurarea parametrilor sistemului, realizeaz interfaa cu alte monitoare din afara domeniului i raporteaz administratorilor ameninrile la adresa domeniului. Analiza de nivel organizaie care vizeaz abuzurile coordonate asupra mai multor domenii. Monitoarele de organizaie coreleaz rapoartele de activitate produse de un grup de domenii monitorizate i vizeaz n principal ameninrile de nivel global cum ar fi: atacuri DDoS i viermi, atacuri repetate mpotriva serviciilor de reea interdomenii, precum i atacuri coordonate din mai multe domenii asupra unui singur domeniu. Prin corelaii i publicarea ctre alte monitoare a rezultatelor de analiz, se realizeaz distribuirea la nivelul organizaiei a informaiei legate poteniale ameninri globale. Capacitatea sistemului de a realiza analiza evenimentelor inter-domenii este vital n contextul unor atacuri pe scar global, cum ar fi cele din clasa rzboiului informaional.
98
3.3.7.7 Bro Bro este un sistem pentru detecia n timp real a intruziunilor n reea prin monitorizarea pasiv a legturii de reea prin care se circul traficul de atac [Pax88]. Obiectivele urmrite de autor n proiectarea acestui sistem au fost: Abilitatea sistemului de a realiza o monitorizare de volum mare Procesarea rapid a pachetelor de intrare pe senzor astfel nct s se evite pierderea de date. Notificarea n timp real a utilizatorului asupra ncercrilor de atac sau a atacurilor n curs de desfurare Separarea mecanismului de politic, fcnd astfel posibil actualizarea politicilor de securitate Sistemul va fi extensibil fiind posibil adugarea de cunotine despre tipuri noi de atac Sistemul va ajuta utilizatorul n a evita efectuarea de erori n procesul de specificare a politicii de securitate Caracteristicile sistemului ar putea fi sintetizate dup cum urmeaz: Componentele majore sunt: motorul de evenimente (de analiz a protocolului) i interpretorul scripturilor de politici. Permite cutri pe baz de expresii regulate Poate analiza trafic n ambele direcii Poate detecta atacuri ce au loc pe durata mai multor faze Are un nivel de alarme false mai redus dect Snort 99
Lucrarea original ce descrie Bro [Pax88] este prima care adreseaz i problema atacurilor asupra monitorului i a capacitii acestuia de a rezista acestor atacuri.
Pentru a ilustra modul n care Bro rezist atacurilor, autorul mparte atacurile de reea n trei categorii: Atacuri de supra-ncrcare (sunt atacuri de tip DoS cu rolul de a provoca alterarea procesului de colecie prin pierderea de pachete de captur) Atacuri de blocare (sunt atacuri de tip DoS ce caut stoparea funcionalitatea monitorului sau a procesului de colecie ce ruleaz pe acesta) Atacuri de diversiune (atacuri ce urmresc generarea de alarme false pentru a masca alte atacuri)
100
W&S IDES, NIDES, EMERALD, JiNao,Haystack Hyperview MIDAS, NADIR, Haystack NSM ComputerWatch DPEM, Bro USTAT IDIOT NIDES, EMERALD, MIDAS, DIDS NSM NADIR, Haystack, Bro, Snort, JiNao, OSSEC Ripper
Tabel 3.2 - Clasificarea tehnicilor de detecie utilizate de IDS prezentate n seciunile 3.3.5-3.3.7
Semntur
Programate
Auto-instruire
101
tip de senzori pot oferi informaii despre activitatea viermelui la nivel global. Senzorii pentru traficul de ieire sunt plasai pe interfeele de ieire ale ruterului care conecteaz reeaua local la Internet. Scopul unui astfel de monitor este de a identifica caracteristicile de scanare ale unui potenial vierme din traficul de ieire. n cazul n care o staie din reeaua local este infectat, senzorii de ieire pentru aceast reea pot observa majoritatea traficului de scanare trimis ctre exterior de staia compromis.
Pentru o avertizare timpurie asupra unui potenial atac lansat de vierme, datele observate de senzorii distribuite trebuie colectate i transmise n timp real ctre un centru de avertizare (CA). Un alt motiv pentru implementarea unui sistem distribuit de monitorizare, l reprezint faptul c acelai vierme poate arta un comportament diferit, n funcie de particularitile staiei victim. De exemplu, rata de scanare a lui Slammer este limitat de lrgimea de band pe care calculatorul infectat o are la dispoziie (utiliznd protocolul UDP pentru propagare), pe cnd rata de scanare Conficker i a altor viermi cu scanare uniform este limitat de lrgimea de band a canalului de transmisie. Informaiile colectate de senzori pe durata unui interval de timp de monitorizare, i trimise ctre CA, sunt: Rata medie de scanare i distribuia scanrilor (oferite de senzorii de ieire) Numrul de scanri recepionate, precum i adresele IP ale staiilor care au trimit pachete de scanare (oferite de senzorii de ieire) CA colecteaz i consolideaz n timp real rapoartele de scanare generate de senzori pe parcursul fiecrui interval fiecare monitorizare. Pentru fiecare port TCP sau UDP, CA are un prag de alarm de monitorizare a traficului nelegitim. Pentru procesarea acestor date se pot utiliza tehnici multiple. Considernd propagarea exponenial care are loc n faza iniial, [Zou03] propune o strategia de detecie de identificare a unui trend n traficul de date prin activarea unui filtru Kalman care va estima rata de infecie pe baza informaiilor oferite de monitoare. Estimarea recursiv va continua pn cnd valoarea estimat pentru parametrul ratei de infecie se stabilizeaz. Dac rate de infecie estimat se stabilizeaz sau oscileaz uor n jurul unei valori constante pozitive, atunci s-a detectat prezena unui vierme. Dac oscileaz n jurul valorii zero, atunci traficul nelegitim identificat de senzori este interpretat ca zgomot .
103
Componentele arhitecturii BotHunter sunt [Bot11]: SLADE (Statistical payLoad Anomaly Detection Engine) - implementeaz un modul simplu de analiz a ncrcturii n fluxurile de trafic de intrare, urmrind divergene n distribuia octeilor pentru protocoalele care sunt tipice intruziunilor pe baz de malware. SCADE (Statistical sCan Anomaly Detection Engine) - efectueaz cteva scanri suplimentare de porturi tipice claselor malware att pentru fluxurile de intrare ct i cele de ieire. 104
Corelatorul BotHunter pe baza unei diagrame interne de stri care definete MCVI, efectueaz o corelaie a elementelor de dialog din traficul de intrare i a alarmelor de intruziune cu elemente dialogului din traficul de ieire. Considerentele avute n procesul de corelaie sunt [Gu07]: Identificarea secvenelor de comunicaie care sunt conforme cu MCVI Elementele de trafic identificate a genera tranziii de stare nu trebuie s fie n ordine stric (innd cont de ntrzieri n reea care pot afecta n mod diferit secvenele de pachete), trebuie s fie ntr-o anumit vecintate temporal Alerte de bot nu se genereaz doar pe baza elementelor de trafic externe, fiind nevoie de prezena elementelor de trafic interne. Fiecare flux va avea un scor de ncredere al infeciei calculat pe baza elementelor de dialog asociate fiecrei stri. Setul de semnturi - conine semnturi de exploatri cunoscute de viermi, malware, scripturi, schimburi de mesaje C&C, scanri externe. Semnturile provin din surse multiple cum ar fi: Bleeding Edge, comunitatea Snort, reguli specifice de bot Cyber-TA
deoarece informaia de marcare este pierdut la nivelul reflectorilor. Aceast clas necesit funcii de calculare a cii ultrarapide n rutere, deoarece fiecare pachet trebuie marcat. Nu este demonstrat dac funciile propuse sunt suficient de rapide pentru ruterele de backbone. Controlul cii - Spre deosebire de metodele cu marcare de pachete, aceste abordri bazate pe controlul cii presupun transmiterea de informaii despre atacuri DoS n pachete adiionale. Aceste pachete ar trebui trimise la o rat mult mai sczut dect pachetele de trafic manipulate de rutere. Spre deosebire de metoda anterioar, nu necesit schimbri n semantica cmpurilor existente n antetul pachetului. Aceasta este important deoarece rescrierea poate schimba semantica pachetelor. Prin creterea numrului de ci ntre atacatori i victim, a ratei de trimitere a pachetelor, coninutul pachetelor, numrul de victime atacate simultan i cantitatea de trafic legitim generat de atacatori, probabilitatea ca victima s descopere locaia real a atacatorului scade prin reducerea diferenelor ntre traficul legitim i cel de atac. Propunerile existente din aceast categorie se mpart n dou grupe: abordri bazate pe ICMP Traceback i abordri bazate pe rutare (BlackholeRouting, CenterTrack) Jurnalizarea pachetelor - Metodele bazate pe marcarea pachetelor i controlul cii pot fi pclite de atacator, deoarece nivelul atacului trebuie s ating o anumit limit pentru a putea determina calea dintre atacator i victim. Abordrile bazate pe nregistrarea de pachete consider un potenial pericol n fiecare pachet, i de aceea trebuie nregistrat. Totui, colectarea i procesarea tuturor pachetelor constituie o operaie foarte complex. De aceea, o serie de abordri vizeaz modul de sumarizare a traficului de pachete (DWARD, Multops, NetFlow, SPIE).
106
Pe baza acestui sistem s-au putut obine statistici despre atacuri de tip DDoS n desfurare (cnd telescopul recepioneaz de la victim/victime un volum mare de pachete SYN-ACK), precum i despre atacurile generate de propagarea viermilor (cnd telescopul recepioneaz un volum mare de cereri TCP SYN sau pachete UDP, i care are un trend exponenial pe durata iniial de propagare a viermelui). Utilitatea unei astfel de soluii const n posibilitatea identificrii unor atacuri majore n Internet la nc din fazele iniiale, de a estima potenialul impact, i analiza evoluia ulterioar i precum i a mecanismelor aplicate pentru izolarea i anihilarea atacului. n procesul de utilizare i interpretare a informaiilor oferite de o soluie telescop, trebuie s se aib n vedere ipotezele i limitrile acestuia [Smi09]: Un telescop utiliznd un spaiu de adrese distribuit va oferi o acuratee mai ridicat n extrapolarea observaiilor locale la nivelul ntregii infrastructuri Internet. Aceast soluie determin i o implementare mai complex, care trebuie s rezolve toate aspectele legate de sincronizare, de distribuia datelor, i de interpretarea statistic a datelor deoarece, la un moment dat, nu toate reele monitorizate au acelai grad de accesibilitate. Din pcate, soluiile disponibile n acest moment (CAIDA, WAIL) utilizeaz preponderent spaii de adres continue. Extrapolarea observaiilor fiind aplicabil doar n cazul atacurilor cu scanare uniform a Internetlui Datorit congestiei, adesea telescopul va raporta cu ntrziere scanrile, iar aceasta va afecta i rata de scanare estimat Prezen tehnologiei NAT (Network Address Translation) va avea ca urmare raportarea unui numr sczut de adrese IP distincte. O soluie n acest sens ar fi utilizarea cmpului IP ID pentru anumite sisteme de operare. Scanrile neuniforme (utiliznd anumite preferine cum ar fi cea de reea local utilizat n cazul viermelui Stuxnet) limiteaz vizibilitatea telescopului. Limita de via a staiilor infectate. Modul de construcie a viermelui, precum impactul aciunii viermelui sau al atacului DDoS asupra staiei poate afecta modul de scanare. De exemplu, Code Red oprete scanarea dup o anumit perioad, Witty afecteaz modul de operare a mainii infectate care n timp devine indisponibil, Stuxnet (utilizeaz o scanare direcionat, i se autoterge pentru a nu genera un volum de scanare ce poate atrage atenia) Erorile echipamentelor de msur. i n cazul CAIDA, s-au putut observa intervale de timp n care colecia de date este afectat de ntrzieri, congestie 107
Figura 3.21 - Consola de monitorizare globala ATLAS Distribuia geografica a atacurilor 23/09/2011 [Arb11-01]
Datele sunt capturate prin utilizarea de senzori distribuii global care ruleaz o serie de aplicaii de captur i analiz de date. Senzorii au capacitatea de a: Interaciona cu atacatorii pentru a determina inteniile acestora Captur de trafic complet i analiza acestuia Caracterizarea traficului de scanare Datele sunt apoi trimise la o locaie central pentru analiz detailat i prezentare la consol. Alte surse de date utilizate de ATLAS sunt: Trafic capturat de honeypots Fiiere log IDS Fiiere de scanare Statistici DoS la nivel Internet tiri i rapoarte de vulnerabilitate Eantioane de malware capturat Date despre infrastructura de phishing Date comanda i control botnets
108
Figura 3.22 - Consola de monitorizare globala ATLAS Distribuia dup servicii a atacurilor 23/09/2011 [Arb11-02]
Acoperirea global este n mare parte rezultatul FSA (Fingerprint Sharing Alliance), o alian creat n 2005 i care reunete furnizori de serviciu majori n Internet, care opereaz pe toate continentele. Programul FSA ofer participanilor un mecanism prin care pot partaja uor i rapid informaii despre atacuri ntre organizaii, i care adreseaz [FSA11]: Cerinele specifice de ordin legislativ Disponibilitatea datelor n timp real Vocabular comun de descriere a anomaliilor Modului de adresare a anomaliilor avnd n vedere complexitatea relaiilor ntre entitile implicate Un avantaj al acestei abordri de amprentare a anomaliilor este faptul c nu necesit investiii majore de infrastructur, putnd fi vzut mai degrab ca un limbaj standard care faciliteaz comunicarea de informaii despre atac. Informaia de caracterizare a anomaliei de reea observat de membru include contextul atacului i informaiile de contact pentru centru de operare de reea al prilor implicate. Contextul atacului este un set de statistici care identific n mod unic anomaliile de trafic observate. n plus, acesta ofer datele necesare interpretrii evenimentului i nelegerii ameninrii la adresa utilizatorilor. Poate include informaii precum:
109
Scopul : set de prefixe de reele atacate, informaii de corelaie spaial sau temporal asupra atacurilor Severitatea : rata de trafic de atac din volumul total de trafic Impactul: efectul atacului asupra echipamentelor de reea, serviciilor i utilizatorilor Informaii de contact persoane care au autoritatea i responsabilitatea pentru adresarea acestui gen de evenimente
110
Figura 3.24 - Evoluia iniial a numrului de IP scaneaz port TCP/445 - Sursa [Cai08].
Trendul din aceast perioad iniial indic prezen unui vierme care afecteaz infrastructura global a Internetlui, putndu-se estima i rata de infectare la nivel global. n cazul de fa, rata de infectare la nivelul Internetlui (calculata pe baza [PPN05-01]) este de = 18 = 114911 * 8/(14 * 3600) staii pe secund, unde 114911 este valoarea maxim atins a numrului de adrese IP ce scaneaz spaiul telescopulului de clas A (/8) (ntre ora 17 i 18), iar 14 reprezint numrul aproximativ de ore n care trendul de cretere este uniform. Propagarea Conficker B a fost observat ncepnd cu data de 29/12/2008, i a introdus tehnici suplimentare pentru rspndire. Conficker A i B au utilizat un algoritm de generare pseudo-aleatoare de nume de domenii, i ncrcau cod nou de pe un webserver cnd era identificat la respectivul nume de domeniu [Por09].
Distributie trafic observat de "Network Telescope"
60.00% 50.00% 40.00% 30.00% 20.00% 10.00% 0.00% 01/11/2008 01/12/2008 01/01/2009 01/02/2009 01/03/2009 01/04/2009 10.00% 5.00% 0.00% 25.00% 20.00% 15.00%
111
Pentru a exemplifica modul de utilizare a informaiilor colectate de telescop pentru analiza evoluiei viermelui, se va utiliza un eantion de date bazat pe traficul recepionat de telescop de durata unui interval de 1 or din zilele de 21/11/2008 (nceputul propagrii Conficker A), 18/03/2009 (dup Conficker C) i 25/04/2009 (dup Conficker E). Perioada aleas este ilustrativ pentru nelegerea caracteristicilor de propagare ale versiunii Conficker C (versiunea P2P) lansat pe 05/03/2009. Dup cum se poate observa aproape 25% din traficul recepionat pe 18/03 de telescop a fost de tip Conficker C ce a utilizat pentru propagare porturi TCP/UDP peste 5000. Numrul de pachete TCP cu portul destinaie 445 este n scdere, ceea ce sugereaz c Conficker C nu scaneaz vulnerabilitatea MS08-067. Pe 25/04 se observ o scdere a volumului de trafic Conficker C la 8% din traficul recepionat de telescop ceea ce indic o scdere a populaiei, ns distribuia pe porturi meninndu-se n acelai trend, ceea ce indic acelai gen de activitate. Volumul de pachete TCP 445 este n cretere ceea ce sugereaz c celelalte versiuni Conficker sondeaz din nou vulnerabilitatea MS08-067. 3.5.4.2 Monitorizarea ameninrilor pe baza datelor DShield (ISC) Pentru a ilustra utilitatea unei astfel de soluii n procesul de monitorizare de tip intelligence se va analiza evoluia numrului de scanri pentru portul TCP 445 pe o durat reprezentativ din activitatea viermelui Conficker [Aco09].
Activitatea de scanare Conficker (port TCP 445)
220,000 200,000 180,000 160,000 140,000 120,000 100,000 80,000 60,000 40,000 20,000 0 05/11/08 12/11/08 19/11/08 26/11/08 03/12/08 10/12/08 17/12/08 24/12/08 31/12/08 07/01/09 14/01/09 21/01/09 28/01/09 04/02/09 11/02/09 18/02/09 25/02/09 04/03/09 11/03/09 18/03/09 25/03/09
Nr. Surse/zi
Evenimente
Figura 3.29 Activitatea de scanare pentru port TCP 445 11/2008 03/2009 (sursa [ISC--])
n ciuda limitrilor care afecteaz acurateea datelor n cazul (CAIDA i DShield), unele (menionate n seciunea 3.5.1), precum i accesului limitat la datele colectate (n cazul ATLAS i CAIDA), analiza trendului este n msur s ofere rezultate foarte utile mai ales prin prisma monitorizrii contextului general extern global i identificrii schimbrilor ca apar n spaiul ameninrilor.
112
Data
Eveniment
Stare observat
21/11/2008 nceputul propagrii viermelui Conficker A ce scaneaz uniform ntreg spaiul Internet exploatnd vulnerabilitatea MS08-067 Microsoft Windows accesibil via port TCP/445 29/12/2008
15/01/2009
20/02/2009
05/03/2009
Crete imediat a numrului de scanri. Majoritatea infeciilor se finalizeaz n primele zile. Dup cteva zile scade cu 25% n principal datorit msurilor de rspuns ale organizaiilor. Un numr mare de PC (n mare parte sisteme personale continu) s fie infectate Creterea a numrului de scanri datorat unui nou ncepe propagarea Conficker B. Acesta vector de propagare (USB) . Trendul de cretere se incorporeaz algoritmul de hashing MD6 hashing pentru a securiza comunicaia staiile menine n contextual unei reacii minime datorate srbtorilor de Anul Nou, precum i al faptului c infectate i punctele de ntlnire . Scopul urmrit a fost de a mpiedica botnet-urile rivale mainile preponderent afectate sunt cele personale. de a prelua controlul asupra staiilor infectate Microsoft ofer un program de dezinfecie Ofer o stabilizare a numrului de scanri. Faptul pentru versiunile iniiale c volumul se menine ridicat indic gradul nc ridicat de lips de interes al utilizatorilor finali n ceea ce privete problemele de securitate. Se lanseaz Conficker C Volumul de scanare i menine acelai trend deoarece populaia Conficker A,B existent , ct i cea vulnerabil i menin caracteristicile, iar Conficker C nu utilizeaz scanare TCP/445. Conficker C ncepe s preia controlul asupra Se observ o scdere accentuat n volumul de staiilor PC infectate cu Conficker B i B++. scanare datorat faptului ca versiunea C nu Conficker C organizeaz staiile infectate n utilizeaz scanarea TCP445. Scanarea nu a revenit reele P2P i ntrerupe scanarea aleatoare la nivelul lui 11/2008 deoarece exist nc o asupra portului TCP/445 populaie mare Conficker A
17/03/2009 ncepe migrarea PC infectate ctre Conficker Se observ o scdere justificat prin migrarea unor D sisteme cu versiunea A, direct ctre D
Tabel 3.2 Momente de referin n evoluia viermelui Conficker n perioada 11/2008-03/2009
113
Motto: Modul cum abordezi o problem este mai important dect problema n sine. - Voltaire
CAPITOLUL 4
despre: topologie, porturi deschise, aplicaii, vulnerabiliti, sisteme de operare. Este o opiune folosit pe scar larg deoarece informaiile se obin foarte rapid. White Box (cutie deschis) n acest caz clientul va oferi informaii legate de inventarul hardware, topologia infrastructurii sale, aplicaii, etc. Se recomand a fi utilizat n cazul n care se dorete generarea cilor de intruziune precum i cnd infrastructura foarte complex i utilizeaz controale care previn scanarea. Importana pentru procesele organizaiei clientului a fiecrei componente din infrastructura IT a acestuia. Deoarece aceast component prezint un grad ridicat de subiectivism, pentru a determina ct mai obiectiv impactul asupra clientului pe care-l poate avea o intruziune, se recomand ca analiza s se efectueze utiliznd o metod standard pentru clasificarea i taxonomia atacurilor de genul celei prezentate n seciunea 1.5.5 (o versiune simpl) sau 2.4.5 (dac se dorete o versiune mai complex).
Datele obinute la acest pas se vor salva n baza de cunotine (modulul nregistrare Configuraie Client).
115
Zona demilitarizat cuprinde staiile conectate la switch-ul DMZ. Senzorii plasai n aceast zon vor urmri n mare msur descoperirea atacurilor mpotriva serviciilor uzuale din DMZ (e-mail, web, DNS, FTP, etc), precum i atacuri iniiate din DMZ ctre alte zone. Produsele de detecie pe baza traficului de reea ofer un grad de eficien ridicat n monitorizarea staiilor DMZ, datorit nivelului sczut de trafic de zgomot i politicii de securitate relativ simple care guverneaz activitatea DMZ. Principala problem a senzorilor din DMZ o constituie manipularea traficului criptat. Senzorii generici nu pot inspecta coninutul traficului de web ce utilizeaz criptare SSL, dar exist anumite tehnici specializate pentru a oferi vizibilitate la nivel reea cum ar fi: senzorii cu chei escrow, dispozitive de accelerare a SSL i proxy reverse web. DMZ reprezint o reea cu nivel de ncredere mediu, deoarece staiile sunt sub controlul direct al organizaiei, dar sunt expuse utilizatorilor din Internet. O bun administrare va limita conectivitatea staiilor din DMZ ctre celelalte segmente, n special intranet. Zona wireless cuprinde toate staiile cu conectivitate wireless. Staiile din aceast zon au nivel de ncredere sczut, ca i cele din Internet, deoarece oricine aflat n raza de acces a punctului de acces wireless (WAP) se poate conecta n mod teoretic la segmentul wireless. Atacatorii externi din aceast zon pot fi grupai n dou categorii: Utilizatori de servicii fr plat, neautorizai (datorit unei configurri neadecvate) Poteniali spioni care doresc acces la informaii confideniale. Metodele i tehnicile de detecie disponibile pentru aceast sunt: Airdefense RogueWatch, Airdefense Guard, Snort-Wireless, WIDZ [Pfl11]. Strategiile curente vizeaz detecia atacurilor din aceast zon ctre intranet. Multe organizaii au soluii ineficiente pentru protecia clienilor din aceast zon. n ceea ce privete ameninrile externe din Internet, staiile din zona wireless adesea sunt tratate la fel ca i cele din Intranet.
116
Intranet-ul cuprinde toate staiile conectate la switch-ul intern i este delimitat de interfaa intern a firewall-ului. Staiile din aceast zon au nivelul de ncredere cel mai ridicat. Utilizatorii din Internet nu trebuie s acceseze direct aceste sisteme, dect dup ce au fost autentificai utiliznd un mecanism VPN. Se recomand monitorizarea n special pe baz de HIDS, deoarece intruziunile mpotriva staiilor intranet sunt cel mai adesea lansate din interior. NIDS sunt mai puin eficiente n aceast zon deoarece atacatorii interni nu scaneaz sisteme vulnerabile, nu caut s exploateze victima, nu copiaz informaia confidenial prin reea ctre staii externe, ci pot accesa informaia folosind un cont i parol valid i o pot copia pe un mediu extern. Metodele de detecie bazate pe NIDS vizeaz n special atacurile lansate din exterior. n cazul n care este necesar monitorizarea intranetului la nivel reea, se recomand urmtoarele abordri pentru a adresa limitri datorate complexitii intranetului i a volumului ridicat de trafic al acestuia: Datorit segmentrii reelelor interne i a faptului c n majoritatea cazurilor staiile de aceeai importan sunt grupate n acelai segment, senzorii se pot plasa n aceste subreele. Amplasarea de ageni de colectare pe staiile critice, care vor transmite traficul ctre un senzor centralizat.
117
Vulnerabiliti structurale acestea sunt vulnerabiliti interne ale unei aplicaii cum ar fi: condiii de concuren (race conditions), buffer overflow, erori de format de ir de caractere, etc. Aceast parte a bazei de date este cel mai uor de implementat, i actualizat. Majoritatea acestor procese pot fi automatizate avnd n vedere c informaia este accesibil prin intermediul subscrierii la anumite liste publice de pot, sau direct de pe anumite site-uri web unde se gsesc vulnerabiliti [CVE--]. n cazul utilizrii mai multor surse, este necesar validarea i corelarea acestora de ctre o echip abilitat n acest sens. Vulnerabiliti funcionale acestea depind n principal de mediul operaional (configuraii, condiiile operaionale, utilizatori, etc.). De exemplu, o partiie montat via NFS se consider a fi vulnerabilitate funcional n contextul n care atacatorul poate accesa un cont sau sistem care i permite montarea sistemului de fiiere. De aceea, se poate presupune c exist un numr mare de astfel de vulnerabiliti n sisteme, dar pot fi considerate ca inactive att timp ct cel puin o condiie necesar nu este satisfcut. Definirea, reprezentarea i actualizarea bazei de date reprezint o sarcin destul de dificil pentru aceast categorie de vulnerabiliti, i necesit conlucrarea unor echipe din mai multe domenii (aplicaii, sisteme de operare, reea, baze de date, etc.). Vulnerabiliti topologice includ vulnerabiliti datorate protocoalelor de comunicaie n reea (de exemplu: sniffing, spoofing, hijacking, etc). Pentru a putea fi introduse n baza de date, aceste vulnerabiliti trebuie s ofere suport pentru modelarea topologiei.
118
119
Sisteme K - responsabile cu managementul cunotinelor despre vulnerabiliti, semnturi de intruziuni, configuraia platformelor protejate, precum i alte informaii utile analistului de securitate Sisteme R - rspund la incidente, sau suport personalul de securitate n procesul de rspuns la incidente.
4.2.1 Sisteme E
n funcie de modul de creare a evenimentelor, sistemele de tip E se mpart n dou categorii [Els08]: Generatoare bazate pe evenimente (senzori). Evenimentele de securitate sunt create ca urmare a unei operaii specifice executate de sistemul de operare, de aplicaie sau a unei activiti detectate n reea. Generatoare bazate pe stare (pollers). Evenimentele sunt generate ca urmare a unui interogri externe cum ar fi: cerere ping, verificare a integritii datelor, verificarea strii unui daemon, etc. Senzorul este un agent autonom ce ruleaz ntr-un mediu potenial ostil, i care are urmtoarele caracteristici [Spa00]: ruleaz permanent, este configurabil i adaptabil, este scalabil, tolerant la defeciune, rezistent la atacuri, necesit resurse limitate, asigur o degradare treptat a serviciului, i permite o reconfigurare dinamic.
120
Exemple de senzorii utilizai n implementarea soluiilor de monitorizare sunt [PPN0701]: NIDS, HIDS Sisteme de filtrare (la nivel de reea, aplicaie sau utilizator) cum ar fi: sisteme firewall, rutere cu liste de control al accesului (ACLs), switch-uri ce implementeaz filtrare pe adrese de tip MAC, servere de autentificare (RADIUS). Honeypots, Snifere de reea, etc. Polerele genereaz un eveniment atunci cnd detecteaz o anumit stare pe un sistem ter. Un exemplu de polere l reprezint sistemele de management n reea. n contextul monitorizrii securitii, polerele vor verifica starea serviciilor (pentru a detecta situaii de tip DoS) i integritatea datelor (de exemplu coninutul unei pagini web). Principala limitare a acestui tip de sistem E o reprezint performana. n cazul n care polerul este configurat s interogheze multe staii int la intervale scurte de timp, consumul de resurse (CPU, band de reea) poate afecta operarea polerului.
4.2.2 Sisteme C i D
Sistemele de tip C au rolul de a colecta evenimentele generate de sistemele E i de a le translata ntr-un format standard ce permite o procesare consistent la nivelul ntregului spaiu monitorizat. Principalele riscuri arhitecturale ale sistemelor C le reprezint disponibilitatea i scalabilitatea, ns aceste riscuri se pot adresa utiliznd soluii tipice serverelor pentru rezolvarea unor astfel de probleme cum ar fi: folosirea unor soluii de tip cluster, HA (High Availability - de disponibilitate ridicat), i LB (Load Balanced de distribuire a ncrcturii) [OSS05]. n momentul de fa nu este definit un standard legat de formatarea datelor colectate, acest subiect fiind nc o problem nerezolvat n rndul comunitii de securitate. Sistemele de tip D sunt baze de date i reprezint componentele cu cel mai nalt grad de standardizare din arhitectura de monitorizare a securitii. MySQL este adesea opiunea pentru implementrile bazate pe surse deschise (cum ar fi OSSIM), iar Oracle sau MS SQL pentru implementri comerciale, sau foarte complexe (cum ar fi Counterpane). Aceste sisteme realizeaz totodat i normalizarea evenimentelor identificarea i combinarea evenimentelor duplicate generate de aceeai surs sau provenind de la surse distincte [PPN08]. Dintre problemele ce trebuie avute n vedere la implementarea acestei componente ntr-o arhitectur de monitorizare a securitii se amintesc: disponibilitatea, integritatea i confidenialitatea bazelor de date (acestea fiind aspecte tipice legate de bazele de date), precum i performana bazelor de date. Pentru ca arhitectura de monitorizare a securitii s rspund eficace la ncercrile de intruziune, evenimentele vor trebui stocate, procesate i analizate ct mai rapid.
4.2.3 Sisteme A i K
Sistemele K (n general baze de date) conin informaii i cunotine despre: politica de securitate, infrastructura monitorizat, vulnerabiliti, scenarii de intruziune i indicatori
121
122
Sistemele A au rolul de a analiza evenimentele stocate n sistemele de tip D n contextul cunotinelor oferite de sistemele K, cu scopul de a genera mesaje de alert cu un grad ct mai mare de acuratee. Noile tehnologii i aplicaii n Internet, precum i modificri n spaiul vulnerabilitilor, ameninrilor i al managementului de risc, necesit o revizuire constant a sistemelor A . Aceasta a determinat ca implementrile comerciale actuale ale acestor componente s fie proprietare (cum ar fi Socrates folosit de BT Counterpane [Cou02]), iar cele din surse deschise, dei destul de diverse, s fie limitate la stadiul de verificare a conceptului. [PPN09] Totodat, operarea acestor sisteme necesit o activitate uman intens (analiti de securitate), care s adreseze limitrile proceselor de analiz curente n situaii conflictuale (datorate unor scenarii de atac incorecte), contradictorii (cnd unii senzori au fost corupi i ofer evenimente fabricate), sau cu grad de nedeterminare ridicat (n cazul unor ncercri de intruziune n desfurare, sau reuite, care au evitat mecanismul de detecie) [PPN08]. Funciile oferite de aceste sistemele de tip A vor constitui pentru o lung durat de timp obiectul celor mai multe preocupri de cercetare din aria monitorizrii securitii, cum ar fi: modelarea i reprezentarea matematic a noilor ameninri, algoritmi de corelaie, mbuntirea ratei de alerte false, procesarea distribuit a alertelor, etc. Capitolul urmtor va prezenta i evalua un model matematic care ar putea fi folosit pentru a adresa limitri curente din aceast zon.
4.2.4 Sisteme R
n cazul n care se dorete implementarea unui rspuns automat la intruziune trebuie s se ia n considerare aspecte de ordin legislativ, contractual (de exemplu: n cazul n care un furnizor de servicii detecteaz un atac venind de la un client) ct i strategia de impunere a respectrii politicii de securitate (de exemplu: o staie care ruleaz procese importante pentru organizaie, i care a fost contaminat de un vierme, se pune n carantin automat, chiar cu riscul privrii utilizatorilor de serviciul respectiv) [NIST SP 800-61]. Acest gen de constrngeri au determinat ca n cele mai multe cazuri sistemele R s aib un rol preponderent de suport al echipei de securitate care rspunde la incidente cum ar fi: oferind documentaie despre modul de adresare a incidentului, rapoarte care s asiste echipa care rspunde la incident (oferind informaii despre impactul intruziunii asupra organizaiei, progresul de restaurare a serviciilor sau de dezinfectare a staiilor [OSS05]), aciune asupra sistemelor proprii afectate (de exemplu: punerea n carantin automat a staiilor afectate de un atac pe baz de vierme n desfurare) [Zou03].
RMON). Atunci cnd generarea unui volum mare de date va crea probleme de performan (de exemplu: colectarea fiierelor access_log pentru un centru de hosting web larg) se poate opta pentru filtrarea informaiei la nivelul sistemelor surs de tip E, dup efectuarea n prealabil unei evaluri [Bej04]. Din punct de vedere teoretic se dorete un volum maxim de date de la senzori a fi prezentate sistemelor colectoare. ns acest punct de vedere are limitri n ceea ce privete performana. Dac o astfel de abordare poate fi implementat n mod rezonabil pentru sistemele IDS, n cazul evenimentelor de securitate generate de sisteme de operare precum i de alte aplicaii sau echipamente din reea, soluia devine ineficient n practic (de exemplu, colectarea fiierelor log de acces la fiecare pagin web pentru o companie care ofer servicii webhosting)[Lar06]. Devine astfel necesar n cele mai multe cazuri prefiltrarea informaiei la nivelul sursei. Un astfel de filtru poate reduce semnificativ volumul de date colectate. Totui aplicarea unui filtru nainte de generarea de evenimente nseamn c o prim calificare este efectuat, aceasta fiind determinat de urmtorii factori [Voo07]: Specificaii structurale este cazul n care unele evenimente nu vor fi generate dup cum intereseaz componentele (hardware, sistem de operare, aplicaie) care nu sunt prezente n sistemul monitorizat. Acest tip de filtru este de obicei aplicabil echipamentelor de tip IDS, firewall sau de flitrare. Prefiltrri pe baza politicii de securitate este cazul filtrelor stabilite pentru a nu genera evenimente care sunt conforme politicii de securitate. De exemplu, scanrile de porturi iniiate de echipamentele proprii de securitate pentru verificarea vulnerabilitilor. Aceste filtre pot reduce n mod semnificativ resursele necesitate de colectori, ns au dou mari limitri: dificultatea meninerii filtrelor ntr-o arhitectur distribuit, n acest sens sunt necesare proceduri riguroase pentru controlul modificrilor pentru a asigura c filtrele sunt ntr-adevr conforme cu politica de securitate, ct i proceduri care s asigure c schimbrile n politica de securitate i arhitectura sistemelor sunt reflectate n aceste filtre. n plus, cum multe din aceste prefiltrri sunt necesare la nivelul aplicaie, varietatea aplicaiilor va determina o complexitate crescut n ceea ce privete managementul acestor fiiere de configurare [Cis11]. Un alt aspect este lipsa de reprezentare ct mai precis a realitii (statisticile vor fi mult mai puin fiabile iar unele investigaii post-incident vor fi lipsite de anumite informaii ceea ce va limita nelegerea a ceea ce s-a ntmplat.
Figura 4.4 - Exemple de arhitecturi HA, LB bazate pe detaliile oferite mai jos.
125
ctre sistemele E i de a furniza datele colectate ctre dispecer [Ngu02]. Simplicitatea unor astfel de ageni face ca implementarea i meninea s fie uor de efectuat. Formatul datelor de stocare este n general de tip fiier utiliznd ca metod de transfer ctre dispecer named pipes, sockets sau shared memory pentru a asigura o performan mai bun. Datorit simplicitii acestor aplicaii i a faptului c nu necesit partajare de date, se pot implementa cu uurin grupuri de ageni pentru sistemele foarte mari. Cel mai important aspect de securitate care trebuie avut n vedere este asigurarea integritii datelor colectate de ageni, n mod special dac aceste date sunt transferate printr-o reea partajat sau nesigur. Actualmente exist o multitudine de protocoale pentru colectarea informaiilor care ruleaz avnd ca suport nivelul UDP. n acest sens este necesar ncapsularea datelor printr-un tunel securizat pentru a avea sigurana integritii datelor pe durata transportului. [OSS--] Pentru a menine un nivel de performan ridicat precum i operarea eficient a HA i LB se recomand ca operaiile de criptare i decriptare s se efectueze pe un echipament dedicat la fiecare capt al comunicaiei.
4.4.2 Dispecerul
Dispecerul are rolul de a determina tipul surs al evenimentului de intrare i de a distribui mesajul original ctre agentul aplicaie corespunztor. Odat ce identificatorul specific pentru fiecare tip de surs este determinat, implementarea este relativ simpl. Operaiile autonome efectuate de dispecer sunt [Ngu02]: Ascult canalul de intrare pentru agenii protocol (socket, named pipes, massage queue) Execut o operaie pattern matching utiliznd o baz de date de abloane, care pentru o performan sporit poate fi prencrcate n memorie. Deoarece generatorii de evenimente pot utiliza formate de mesaje diferite n func ie de protocolul de transmisie, formatul nregistrrilor din baza de date va avea urmtoarele cmpuri: tip sistem E, protocol transmisie, pattern Transmite mesajul original ctre un agent de aplicaie specific sistemului E.
Ascult canalul de intrare de la dispecer Proceseaz mesajul original genernd nregistrarea generic de mesaj Transmite mesajul formatat ctre sistemele D.
126
n cazul unei platforme centralizate, operaiile pot fi combinate dup cum urmeaz:
if($line =~ /.*snort: \[\d+:\d+:\d+\] (.*) \[Classification: (.*)\] \[Priority:.*\]: \{(.*)\} (.*) -> (.*)/) { $msgtype = $msgtype[1]; $proto = getprotobyname($3); $src = $4; $dst = $5; $intrusion_type = $intrusion_type[SnortIntrusionType($2)]; $info = $1; }
n unele cazuri se poate combina funcionalitatea dispecerilor i agenilor de aplicaie pentru simplificare i o performan sporit.
127
Senzorii pot transmite informaiile despre staii n format IP sau FQDN (Fully Qualified Domain Name) Un sistem fizic poate avea mai multe adrese IP Un sistem fizic poate avea mai multe FQDN utiliznd tehnici de virtualizare a staiei Sistemele HA i LB pot raporta o singur adres IP sau FQDN pentru mai multe sisteme fizice.
Astfel identificarea unei staii pe baza adresei IP sau FQDN nu este fiabil. Mai mult, datorit unor considerente de performan, rezoluiile DNS inverse nu pot fi executate pentru fiecare IP/ FQDN identificate n fiierele log. Arhitectura propune crearea unui identificator independent de IP/ FQDN numit token de staie. Pentru o mai bun cutare i actualizare a structurilor de date de staie se recomand ca acestea s fie stocate ntr-o structur de tip hash table (i nu arbori sau liste). Tabelul hash va fi creat n memorie la pornirea sistemului i actualizat de fiecare dat cnd este identificat o nou adres IP/ FQDN.
n crearea mesajelor cu format comun sunt implicate i alte structuri de date. Relaiile ntre aceste structuri sunt prezentate n figura 4.6.
128
Tabel_Mesaj ID_Mesaj ID_Senzor ID_Tip_Mesaj Time ID_Host_Sursa ID_Host_Destinatie Protocol Port_Sursa Port_Destinatie Info ID_Intruziune ID_Tip_Intruziune Mesaj_Eveniment_Original
Tabel_Host
Sursa Destinatie
PK FK1 FK2
FK1
FK3
Tabel_Tip_Intruziune PK ID_Tip_Intruziune Desc_Tip_Intruziune PK FK1 FK2 Tabel_Senzori ID_Senzor ID_Tip_Senzor ID_Host Info PK Tabel_Tip_Senzor ID_Tip_Senzor Desc_Tip_Senzor
Tabelele implicate n construirea unui mesaj de format generic sunt urmtoarele: Tabelul cu staii (host table) descris anterior Tabelul cu senzori acesta are rolul de a identifica fiecare senzor din sistemul monitorizat. Fiecrui senzor i este atribuit un ID unic i un tip. Alte date opionale pot fi token-ul de staie i o descriere a senzorului. Tabelul tipului de senzor acesta are rolul de a oferii detalii pentru fiecare tip de senzori Tabelul tipului de mesaj acesta conine descrierea pentru fiecare identificator de tip de mesaj Tabel cu intruziuni acesta ofer identificarea pe baza unor referine multiple a genului de atac. De exemplu, BID (for BugTraq), CVE ID (for CVE) [CVE--]. Tabel tip intruziune acesta definete clasele de familii de intruziuni majore cum ar fi: filtrare, scanare, finger printing, acces, etc.
Analiza funcional va oferi informaii despre expunerea sistemului int la ncercarea de intruziune detectat. Analiza de comportament va integra elemente din politica de securitate pentru a determina dac ncercarea de intruziune este de fapt o aciune permis.
Obiectivul acestor operaii este de a genera alerte care nu doar verific calea structural de intruziune (de exemplu: scan, finger printing, exploatri, backdoors, etc.), dar care iau n considerare i politica de securitate definit, precum i importana sistemelor int [Cla09].
4.6.1 Corelaia
Corelaia se definete ca fiind o relaie cauzal, complementar, paralel, sau reciproc, ce vizeaz o coresponden structural, funcional sau calitativ ntre dou entiti comparabile. [PPN06-04] n cazul arhitecturii de monitorizare a securitii, corelaia are rolul de a valida evenimentele de securitate colectate, ct i de a ajuta n procesul de identificare a originii, magnitudinii i impactului unei intruziuni, prin efectuarea analizei secvenelor de evenimente i generarea de alerte simple, sintetizate i precise. Pentru aceasta este necesar a se efectua urmtoarele operaii [PPN06-04]: Identificarea duplicatelor - const n identificarea evenimentelor duplicate i etichetarea acestora pentru eficientizarea procesrii, simplificnd analiza efectuat de aplicaii sau personal. Pattern matching secvenial - reprezint operaia de baz a modului de corelare i const n identificarea unei secvene de mesaje care ar fi caracteristic unei ncercri de intruziune. Aceast operaie permite identificarea intruziunilor n curs de desfurare, precum i scenariilor de intruziune complexe. Pattern matching temporal - utilizat n principal pentru managementul contextului, precum i identificarea proceselor de intruziune distribuite sau care se desfoar pe o durat extins. Analiza expunerii sistemului i a severitii - ofer informaii despre vulnerabilitile sistemului int pentru detectarea ncercrilor de intruziune. Spre exemplu, arhitectura de monitorizare a securitii nu va genera alarme n legtur cu scenarii de intruziune bazate pe vulnerabiliti la care sistemul int nu este expus. Un alt element important l constituie severitatea intruziunii i anume impactul general asupra sistemului monitorizat. Aceasta ajuta la o mai bun stabilire a prioritilor n cazul n care trebuie s se rspund simultan la mai multe incidente. Verificarea conformrii cu politica de securitate - reprezint un filtru bazat pe comportament pentru eliminarea evenimentelor specifice n cazul n care acestea sunt conforme cu criteriile politicilor de securitate (log-in administrator, autorizare, restricii).
130
Alerta
Statistici
Data/Timp/ Conform PS
Stare sistem
Cale Intruziune
Analiza Mesaj
DISPECER
Mesaje Formatate
Contexte
Analiza Structurala
Analiza Functionala
Expunere Sistem
Analiza Comportament
131
4.6.1.1 Contexte de corelaie Pentru o identificare mai eficient a evenimentelor care aparin aceluiai scenariu de intruziune, se utilizeaz tehnica corelrii pe baz de context. Aceast tehnic are la baz o structur specific denumit context, iar toate operaiile de corelare sunt efectuate pe baza acestor structuri. Implementrile care utilizeaz aceast tehnic de corelare vor avea i o rat de alarme false mai sczut [PPN06-04]. Definiie: un context este o structur de date n care elementele membru satisfac un criteriu dat. De exemplu, contextul de tip destinaie pentru staia A va conine toate staiile X1, X2, .. Xn pentru care exist evenimente, unde Xi i=1,n este surs iar A este destinaie. Astfel oricare mesaj stocat n baza de date cu mesaje va face parte din unul sau mai multe contexte. Operaiile de corelare se vor efectua n paralel, astfel nct s ruleze simultan pentru fiecare context. Se pot implementa urmtoarele tipuri de management al contextului [Pie08]: Contexte independente i distincte - fiecare context va conine mesaje specifice fiecrui criteriu. O astfel de arhitectur va fi numit ir de contexte. Contexte ierarhice - se definesc contextele de nivel superior care se potrivesc unui numr limitat de criterii, apoi se creeaz sub-contextele pe baza diferitelor criterii, rezultnd astfel un arbore de contexte. In practic datorit cerinelor de performan i funcionalitate se va evalua eficiena fiecreia dintre cele dou abordri. n multe cazuri se va utiliza o arhitectur mixt, care mbin cele dou abordri. 4.6.1.2 Definirea contextului Criteriul de definire al contextului trebuie fcut n conformitate cu evenimentele de securitate la care arhitectura de monitorizare va trebui s rspund (operaii de scanare distribuit, finger printing, volum mare de ncercri de exploatare, ncercri de tip brut force, spamming, etc.). O arhitectur funcional a contextelor este prezentat n figura 4.9. Un prim criteriu este combinaia ID staie atacat, ID staie atacatoare [Gre99]. Sursa - prin definirea sursei drept criteriu de creare a contextelor, se vor putea detecta sondri de tip ping, sistemele intermediare folosite de atacatori sau compromise de viermi Destinaie - contextele create pe criteriul destinaie vor oferi informaii despre scanri (fie ele distribuite normal sau desfurate pe o durat extins) i vor permite observarea ncercrilor de intruziune precum i a celor reuite. Se vor defini dou iruri de contexte, unul cu context (potrivire) pe surs, iar cellalt cu context pe destinaie. Fiecare context al fiecrui ir va fi apoi considerat drept context rdcin pentru arborii de context. Criteriile pentru potrivire ctre ramurile cele mai mici ar fi: Token ID destinaie (pentru contextele create prin potrivirea ID-ului surs) sau Token ID surs (pentru contextele create prin potrivirea ID-urilor destinaie). Pe durata procesrii datelor, protocoalele i porturile sistemelor destinaie vor forma
132
criteriul nivelului urmtor al ramurilor de context. Aceasta se va efectua pentru izolarea operaiilor singulare de scanare dintr-un ir masiv repetat de ncercri de compromitere a sistemului printr-o aplicaie specific. n plus, aceasta permite i identificarea diferiilor pai ai intruziunii. Unul din scenariile de intruziune des ntlnite este scanarea porturilor urmat de identificarea versiunii pentru porturile deschise (fingerprinting), dup care este lansat exploatarea asupra sistemelor ce se presupun a fi vulnerabile [Nma--]. Pentru a identifica tipul de mesaj stocat, ce permite totodat efectuarea unei analize ct mai precise a mesajelor, se efectueaz generarea unui context de nivel urmtor pe baza ID-ului tipului de intruziune. Un exemplu de definire a ID_tip_intruziune este prezentat n tabelul 4.8.
ID_Tip_Intruziune
0 / Necunoscut Seciunea 1xx Identificare 100 / Filtrare 110 / Scanare de Baza 120 / Fingerprinting Seciunea 2xx Exploatare 200 / Exploatare Seciunea 3xx Denial of Service (DOS) 300 / Denial of Service 310 / Denial of Service Sectiunea 4xx Evitare Securitate 400 / Spoofing 410 / Continut 420 / Privilegii Seciunea 5xx Compromitere Sistem 510 / Accesare Cont 520 / Eroare Acces Date 530 / Integritate
Desc_Tip_Intruziune
Intruziune necunoscuta Identificare tinta Pachete filtrate de firewalls, ACLs, etc. Scanare de porturi Identificare tinta Grup de incercari intruziune Lansare exploatare Atacuri DOS cu succes Atac DOS patial Atac DOS global Incercari de evitare a politicii de securitate IP / MAC spoofing Evitare filtare de continut Incercari elevare privilegiu Incercari de compromitere a sistemului tinta Succes accesare cont Incercari de acces la date private Compromitere integritate sistem
Ultima ramur a contextelor conine ID-ul specific de intruziune (caracterizarea fiecrui mesaj). La acest nivel se realizeaz la o dimensionare atomic a fiecrui mesaj. Acest cmp face referin la tabelul de intruziune i va fi responsabil pentru legtura ntre motorul de corelare i informaia de stare a sistemului stocat n baza de cunotine.
4.6.1.3 Organizarea contextelor Deoarece fiecare operaie de corelare este efectuat n mod exclusiv pe contexte, structura acestora reprezint una dintre cele mai importante aspecte ale arhitecturii de monitorizare.
133
Arhitectura funcional este descris n paragraful precedent i este constituit dintr-un ir de arbori de contexte. Fiecare arbore conine patru nivele de ramuri dup cum este prezentat n figura 4.9.
4.6.1.4 Structuri de date pentru contexte Pentru o funcionare corespunztoare a arhitecturii definite anterior va fi necesar implementarea unei structuri care va asigura accesul la informaii i stocarea corespunztoare. Figura 4.10 descrie o schem de implementare a contextului utiliznd notaii specifice Perl. Exemplu de implementare definete urmtoarele cmpuri: Timp_start i timp_stop - aceste cmpuri se vor gsi n fiecare ramur a structurii de context i ofer informaii despre timpul de generare al primului i respectiv ultimului mesaj asociat acelui subarbore Numrul de mesaje duplicate (no_duplicate). Mesajele duplicate conin aceleai informaii cu excepia cmpului de timp. Celelalte cmpuri se regsesc n structurile de date asociate mesajului de tip generic i care au fost prezentate n figura 4.6.
134
4.6.1.5 Starea contextelor O alt important caracteristic a contextului o reprezint starea acestuia. Se definesc urmtoarele trei tipuri de stare [Mul09]: Activ - contextul se potrivete unui criteriu specific (de exemplu cel bazat pe timp), care poate fi caracteristic unui proces de intruziune n curs de desfurare. n mod uzual astfel de context va fi folosit pentru procesarea unui volum mare de date odat cu sosirea unui nou mesaj, iar analiza acestuia, efectuat de motorul de corelare, va trebui efectuat cu cea mai ridicat prioritate posibil. Inactiv - un astfel de context fie nu ndeplinete criteriul activ sau nu a recepionat codul specific de nchidere. Aceasta nseamn c nu este supus analizei de ctre motorul de corelare, dar va putea fi reactivat de urmtorul mesaj care se potrivete criteriului de context. nchis - n aceast stare contextul este ncheiat. Orice nou mesaj care potrivete contextual va crea un nou context.
135
Se efectueaz pentru evaluarea expunerii sistemului la intruziune i a impactului general al unei astfel de intruziuni asupra sistemului monitorizat Odat ce analiza structural ofer informaii despre ncercarea de intruziune n curs de desfurare, se face o cerere ctre seciunea din sistemul K cu Starea curent de securitate a clientului. Aceast cerere conine ID-ul intruziunii i token-ul staie al sistemului int. Rspunsul va conine urmtoarele informaii: Severitatea - o valoare dintr-o scar arbitrar cum ar fi: info, warning, minor, major, critical, etc.
136
Cod de ncheiere - dac contextual urmeaz s fie nchis (de exemplu inta nu este afectat de ncercarea de intruziune) Mesaj - un mesaj nou formatat care va fi adugat la contextual actual, n acest fel putndu-se activa module de analiz suplimentar.
Determin dac ncercarea este conform politicii de securitate. Acest gen de analiz se va utiliza pentru managementul accesului la conturi, dar poate fi implementat i n cazul auditrilor scanrilor de porturi. ntr-o astfel de situaie un cod de ncheiere este trimis ctre context. n mod tehnic, aceast analiz se va efectua n mod similar celei structurale - prin intermediul unor module specifice a cror structur este ncrcat din seciunea Politici de securitate a sistemului K.
137
de securitate, caracteristicile i nivelul critic al vulnerabilitilor, scenarii de intruziune i detalii de configurare i patching). Activitatea de securitate - prezint rapoarte de evoluie pe termen mediu i lung legate de tipuri de intruziune, frecvene, surse, consecine asupra sistemelor monitorizate. Activitile pe termen scurt pot fi folosite n suportul identificrii surselor recurente de atac sau a serviciilor urmrite cu precdere de atacator, pentru a elabora sau reevalua controalele de securitate asociate acestor aspecte. Starea de securitate - permite accesul la incidentele n curs de desfurare, sistemele atacate i a cilor de intruziune activate de atacatori. Interfaa ofer informaii despre procedurile de rspuns i escaladare disponibile la momentul respectiv pentru contracararea atacului.
138
139
fapt care va complica investigaiile de dup incident. Practica a artat c atacatorii exploateaz n esen consecinele unui management deficitar i lipsa de experien.
140
Una din puinele posibiliti pe care atacatorul le are s detecteze senzorii l reprezint exploatarea serviciului DNS. Presupunnd c atacatorul are vizibilitate sau controlul asupra serviciului DNS pentru un anumit bloc de reea, acesta poate trimite pachete de sondare n care adresa IP sursa este asociat cu serverul DNS respectiv. Dac senzorul este configurat s rezolve adresele IP din pachetele recepionate, va transmite cereri ctre serverul DNS care sunt interceptate de atacator. Metode mai eficiente pentru detecia sistemelor ce funcioneaz n regim de monitorizare sunt bazate pe protocolul ARP [San01], i presupun accesul la segmentul LAN n care senzorul este plasat. Atacurile asupra senzorului pot fi de tip: [CVE--] DoS - vizeaz resursele senzorului cum ar fi CPU, memoria, disc, band Exploatri de vulnerabiliti n aplicaiile de monitorizare rulate pe senzori Atacurile ndreptate asupra procesului urmresc att culegerea de informaii despre personal i echipamente utiliznd mijloace specifice ingineriei sociale, ct i perturbarea activitii n locaia unde se desfoar monitorizarea (Centrul Operaional de Securitate) prin mijloace specifice de diversiune cum ar fi de exemplu alarme de incendiu, ameninri cu bombe, etc. Soluia pentru astfel de situaii o reprezint o politic riguroas de revizuire a alertelor. Un politic de monitorizare solid se bazeaz pe principiul rspunderii analistului pentru tratarea fiecrei alerte generate.
142
Motto: Toate adevrurile sunt uor de neles odat ce au fost descoperite. Problema este s fie descoperite. - Galileo Galilei
CAPITOLUL 5
Imprecizia acoper aspectele legate de coninutul datelor cum ar fi: proprietatea, raportarea la lumea extern, neglijena, etc. Inconsistena acoper aspectele legate de contradicii, incoeren, etc. Incertitudinea este determinat de lipsa datelor i unele aspecte legate de imprecizie
Pe baza clasificrii lui Smet [Sme96], a imperfeciunii informaiilor, se identific urmtoarele aspecte ale imperfeciunii datelor n sfera monitorizrii securitii:
Cauza Clasa Caracteristica Descriere Exemplu Alarme generice ale sistemelor IDS (ce nu izoleaz cauza) Documentarea incomplet a unui incident anterior Sisteme introduse incomplet n baza de cunotine
Ambigue Date neafectate de erori Incomplete Deficiente Invalide Date afectate de erori Incorecte Fr sens Distorsionate Bazate pe premise incorecte Incoerente
Poate avea mai multe interpretri Anumite pri din date lipsesc Anumite pari de date eseniale procesrii lipsesc Neconformitate cu realitatea Date incorecte sau greite Date ce nu respect specificaiile protocoalelor Greit dar nu departe de adevr Datorate unei erori sistematice Concluzii diferite pe baza datelor Incoeren cu conotaie temporal Incompatibilitate ntre date Legat de realitate i de date Opinia agentului expert legat de validitatea datelor determinat pe baza informaiilor existente
Imprecizie
Alerte IDS false (false positives) Trafic injectat de atacator Trafic de atac la implementrile de protocol Rapoarte de stare ce iau n calcul date incorecte Reguli de detecie incorecte Un sistem de detecie genereaz alerte, n timp ce altul, avnd acelai cmp de vizibilitate, nu indic probleme. Monitor care la anumite intervale regulate nu raporteaz starea. Cazul procesul de analiz a evenimentelor n care entiti de date par imposibil de a coexista. Posibilitatea unui atac asupra organizaiei n evaluarea unei intruziuni n curs de desfurare, agentul (analist de securitate sau aplicaie) poate considera datele prezentate ca probabile, ndoielnice, posibile, nefiabile, or nerelevante.
Inconsisten
Date
Inconsistente
Teoriile tradiionale de tratare a informaiilor imperfecte (cum ar fi teoria clasic a probabilitilor), au limitri n ceea ce privete adresarea cazurilor complexe, cum ar fi de exemplu cele cu un grad ridicat de informaie vag, nesigur, imprecis, ambigu i
144
conflictual, iar multitudinea de preocupri n zona modelrii imperfeciunii (teoria posibilitilor bazate pe seturi fuzzy, teoria evidenelor, teoria probabilitilor imprecise, etc.) reflect recunoaterea asupra dimensiunilor multiple ale imperfeciunii. Avnd n vedere modul de generare a evenimentelor de securitate de ctre sistemele de detecie a intruziunilor (pe baza unor evidene sau indicatori observai n traficul de date, fiierele de jurnalizare, starea sistemului, etc.), precum i parametrul utilizat pentru evaluarea calitii alertelor generate (rata de alarme false, sau nivelul de ncredere n alerta generat), se alege teoria evidenelor pentru modelarea imperfeciunii datelor ce vor fi evaluate n cadrul experimentului. n contextul teoriei evidenelor, rezolvarea unei probleme de fuziune (combinare a informaiilor de alert avnd ca scop o estimare ct mai bun a strii de securitate a entitii monitorizate) presupune [Sma04]: Definirea clar a cadrului de discernmnt Alegerea corespunztoare a modelului Selectarea setului corespunztor pe care vor fi definite funciile de ncredere Alegerea unei reguli eficiente de combinare a funciilor de ncredere Stabilirea criteriului adoptat pentru luarea deciziei In cazul unei fuziuni dinamice (n care cadrul sau modelul se schimb n timp) se stabilesc condiiile n care se face schimbarea i detaliile de tranziie. n urmtoarele dou paragrafe vor fi prezentate modele matematice reprezentative pentru teoria evidenelor, precum i etapele rezolvrii problemei de fuziune.
145
Avnd n vedere izomorfismul ntre P ( A) i A, pentru simplicitate i consisten cu terminologia adoptat n alte teorii curente, se va utiliza o reprezentare bazat pe mulimi n definiiile ce vor urma. Definiie: Se numete setul de putere (power set) 2 (,) mulimea alctuit din toate submulimile lui creat pe baza urmtoarelor reguli: , 1 , K , n 2 .
Dac A, B 2 , atunci A B 2 .
2 nu conine nici un alt element cu excepia celor obinute utiliznd primele doua reguli.
Pentru = {1 , 2 , 3 } , se obine
2 = {,{1},{ 2 }, {3}, {1 2 }, { 2 3},{1 3}, {1 2 3}} , avnd cardinalitatea | 2 |= 8
Definiie: Se numete masa de ncredere de baz (numit simplu i funcia de mas), funcia m(.) : 2 [0,1] asociat unui corp de eviden B dup cum urmeaz: m() = 0 i
m( A) = 1
A2
(1)
valoarea m( A) este denumit masa generalizat de ncredere de baz a lui A . Definiie: A este un element focal al spaiului de fuziune 2 dac m( A) > 0 . Definiie: Se definesc funciile ncredere (credibilitate) i cea de plauzibilitate pentru A dup cum urmeaz:
Bel( A) =
m( B )
B A B2
Pl( A) =
m( B )
(2)
B A B2
Bel(A) reprezint masa total de informaii care implic existena lui A, iar Pl(A) este masa total de informaii consistent cu A.
1 1 k12
X ,Y 2 X Y = A
m1 ( X ) * m2 (Y ) ,
(3)
146
unde k12 =
(4)
X ,Y 2 X Y =
Efectul factorului de normalizare 1 k12 din (3) const n eliminarea componentelor de informaie conflictuale ntre cele dou surse combinate. Regula DS realizeaz o combinare de tip conjunctiv, este asociativ i comutativ, putnd fi astfel aplicabil pentru N>2 surse. De asemenea, n cazul cnd elementele focale sunt doar singletons (ipoteze singulare din ), regula devine una consistent cu una de tip Bayes n care m(.) P(.) . Regula prezint limitri n situaii cu conflict ridicat (valoarea lui k12 mare), iar cnd k12 = 1 , masa combinat m(.) nu este definit, iar cele dou surse de eviden sunt n contradicie total. Soluiile curente constau n aplicarea unor tehnici de selectare adhoc a unor valori prag asupra acceptrii (sau respingerii) rezultatelor de fuziune, sau aplicarea unei tehnici de tip actualizare asupra surselor. Departe de a adresa riscul prezentat de limitrile menionate anterior, aceste soluii transfer riscul n alte zone cum ar fi: modul de selectare a valorii de prag, modul de executare a actualizrii n absena unor date statistice, etc. O serie de eforturi au fost depuse n zona identificrii de noi reguli de combinare bazate pe modelul Shafer care s adreseze limitrile regulii de combinare. [Dub86] [Yag87] [Ina91] Cum monitorizarea securitii mediilor complexe genereaz uneori date impredictibile, se recomand o utilizare circumspect a regulii de combinare DS. Pentru exemplificarea modului de operare a acestei reguli de combinare, se consider un cadru de discernmnt = {1 , 2 } unde 1 este ipoteza de trafic de atac, iar 2 este ipoteza de trafic legitim, iar m1 (.) , m 2(.) sunt funciile de mas asociate unor sisteme IDS independente ale cror valori sunt exemplificate mai jos:
n cazul combinrii informaiilor provenind de la surse cu fiabilitate diferit, este necesar actualizarea prealabil a maselor, prin alocarea procentului corespunztor de nefiabilitate ctre ignoran. Considernd o surs nefiabil avnd funcia de mas m(.) , i un indice de fiabilitate [0,1] unde = 0 reprezint surs total nefiabil (sau ignorant), iar = 1 surs total fiabil, actualizarea valorilor funciei de mas se va efectua pe baza urmtoarelor formule:
147
(5)
Aceast ajustare necesit ns un proces adecvat de estimare a factorului de fiabilitate a fiecrei surse, bazat pe experimente statistice validate.
Dac A, B D , atunci A B D i A B D
D nu conine nici un alt element cu excepia ce lor obinute utiliznd regulile 1 i 2.
Cardinalitatea seturilor de hiper putere urmeaz irul de numere Dedekind. Cnd = {1 , 2 , 3 } , se obine D = { 0 , 1 , K , 18 } cu cardinalitatea | D |= 19 [Sma04].
0 = 1 = 1 2 3 2 = 1 2 3 = 1 3 4 = 2 3 5 = (1 2 ) 3 6 = (1 3 ) 2 7 = ( 2 3 ) 1 8 = (1 2 ) (1 3 ) ( 2 3 ) 9 = 1
10 = 2 11 = 3 12 = (1 2 ) 3 13 = (1 3 ) 2 14 = ( 2 3 ) 1 15 = 1 2 16 = 1 3 17 = 2 3 18 = 1 2 3
| |= 3 148
Pentru Modelul Shafer ( M0 () ), setul de hiper putere se reduce la setul de putere clasic ( D 2 )
| |= n
2 3 4 5
| 2 |= 2 n
4 8 16 32
| D |
5 19 167 7580
Definiie: Se definesc funciile ncredere (credibilitate) i cea de plauzibilitate pentru A n mod similar TDS i anume: Bel( A) = m( B) Pl( A) = m( B ) (7)
B A BG B A BG
G este o notaie generic pentru un set pe care funcia de mas este definit ( G poate fi 2 sau D n funcie de modelul ales pentru ). Aceste definiii sunt compatibile cu definiiile funciilor clasice de ncredere ale TDS cnd G = 2 pentru problemele de fuziune unde modelul Shafer M0 () este utilizabil [Sma09].
Pe parcursul capitolului, se vor utiliza diagramele Venn pentru reprezentarea grafic a relaiilor logice posibile ntre elementele lui G . O exemplificare a utilizrii acestora este efectuat n figura 5.5.
149
m(.)
eviden B1 i B 2 pe acelai cadru avnd funciile mas m1 (.) i m2 (.) corespunde consensului conjunctiv al surselor i este dat de formula:
C D ,
M f ()
(C ) m(C ) =
A, BD A B = C
m1 ( A)m2 ( B)
(8)
Datorit numrului mare de elemente n D cnd cardinalitatea lui crete (vezi tabelul 5.2), regula clasic de combinare va necesita foarte multe resurse computaionale i de memorie. Totui n cazul multor aplicaii practice, cardinalitatea nucleelor K 1 (m1 ) i K 2 (m2 ) (seturile de elemente focale A D unde m1 ( A) > 0 sau m2 ( A) > 0 ) este mult mai mic dect cea a lui D , putndu-se astfel realiza unele
150
optimizri de implementare a regulii de combinare clasic DSm [Sma04]. Regula de combinare este foarte uor de implementat. Pentru ilustrare se ofer algoritmul utilizat n implementarea toolkit-ului de funcii DSm realizat de A. Martin care opereaz pe un set redus ( Dr ) al lui D care conine numai nucleele ce trebuie combinate [Mar11].
Definiie: Se definete mulimea vid extins { M , } care include M (mulimea tuturor elementelor D care au fost forate a fi vide prin aplicarea constrngerilor asupra modelului M ) i mulimea vid clasic. Definiie: Se numete funcia caracteristic de existen ( A) a unui set A, funcia definit dup cum urmeaz:
( A) = 1 dac A i ( A) = 0 dac A
(9)
Avnd ca punct de plecare regula Dubois & Prade [Dub86], se definete pe modelul DSm hibrid ales M() cu k 2 surse de informaie independente regula de combinare DSm hibrid (DSmH) pentru A D ca fiind:
m DSmH ( A) = mM( ) ( A)
( A)[ S1 ( A) + S 2 ( A) + S 3 ( A)]
(10)
unde S1 ( A) m
M f ( )
S1 ( A)
X1 , X 2 ,K, X k D i =1 X1 X 2 K X k = A
m ( X
i k i
(11)
S 2 ( A)
X1 , X 2 ,K, X k i =1 [U = A ][(U ) ( A= I t )]
m ( X
)
(12)
S 3 ( A)
X1 , X 2 ,K, X k D i =1 X1 X 2 K X k = A X1 X 2 K X k
m ( X
i
(13)
cu U
S1 ( A) corespunde regulii de combinare clasic DSm pentru k surse independente bazate pe modelul liber M f () ;
151
S 2 ( A) reprezint masa tuturor seturilor relativ sau absolut vide care este transferat ctre ignorana relativ sau total asociat cu o constrngere de tip non-existen
S 3 ( A) transfer suma seturilor relative vide direct ntr-o form canonic disjunctiv de seturi nevide.
Regula de combinare pentru DSm hibrid generalizeaz regula de combinare clasic DSm i nu este echivalent regulii DS. Poate fi utilizat pentru orice model (modelul liber, modelul Shafer, sau orice model hibrid) atunci cnd manipuleaz funcii de ncredere generalizate precise. O extensie a acestei reguli pentru combinarea de funcii de ncredere generalizate imprecise este disponibil n [Sma04].
Date intrare:
S1 :
S3 :
S2 :
( X 1 , X 2 ) , S1 [] , S 2 [] , S 3 [] A = (X1 X 2 ) if ( A ) este constrngere then go to S 3 else S1 ( A) = S1 ( A) + m1 ( X 1 ) m 2 ( X 2 ) A = (X1 X 2 ) if ( A )este constrngere then go to S 2 else S 3 ( A) = S 3 ( A) + m1 ( X 1 ) m 2 ( X 2 ) A = (u ( X 1 ) u ( X 2 )) if ( A ) este constrngere then I t = I t + m1 ( X 1 ) m2 ( X 2 ) else S 2 ( A) = S 2 ( A) + m1 ( X 1 ) m 2 ( X 2 ) (X1, X 2 )
Figura 5.7 - Algoritm de aplicare a regulii de combinare DSmH asupra unei perechi
m12 ( X ) =
X 1 , X 2 G X1 X 2 = X
m1 ( X 1 )m2 ( X 2 )
(14)
k12 =
X 1 , X 2 G X X 2 =
Redistribuie masele n conflict (totale sau pariale) ctre seturile nevide implicate n conflict n mod proporional cu masele asociate de surse i n conformitate cu toate constrngerile de integritate.
152
Multiplele posibiliti de redistribuie a maselor n conflict, a dus la crearea unei serii de reguli de distribuie a conflictului (cunoscute sub numele de PCR1.. PCR6). Aceste reguli opereaz pentru orice grad de conflict, orice model, i situaii de fuziune static sau dinamic. n continuare este prezentat regula PCR5, considerat a fi cea mai eficient regul de combinare disponibil n acest moment. Formula PCR5 pentru s = 2 surse este [Sma06]
m PCR 5 ( ) = 0 i X G \ {}
m PCR 5 ( X ) = m12 ( X ) +
Y G \{ X } X Y =
m1 ( X ) 2 m2 (Y ) m ( X ) 2 m1 (Y ) + 2 ] m1 ( X ) + m2 (Y ) m2 ( X ) + m1 (Y )
(16)
B
0.3 0.3 =0.3*03+0.3*0.5+03*0.1 0.27
A B
0.1 0.5 =0.1*0.5 0.05
Masa de conflict k12 = 0.24 = m1 ( A)m2 ( B) + m1 ( B)m2 ( A) = 0.24 iar A i B sunt singurele elemente focale implicate n conflict, aa c ele vor primi o parte din masele conflictuale. PCR5 redistribuie masa de conflict 0.18 ctre A i B proporional cu masele m1 ( A) , respectiv m2 ( B) , iar masa de conflict 0.06 ctre A i B proporional cu masele m2 ( A) , respectiv m1 ( B ) .
153
Valorile pentru regula DS sunt calculate pe baza formulelor (3), (4) i se obin urmtoarele rezultate:
Centraliznd rezultatele n tabelul de mai jos, se observ c ignorana total m DS ( A B) obine prin redistribuire mas adiional, dei nu ar trebui s primeasc nimic din masa conflictual (conform ipotezei PCR5). Regula PCR5 este mai exact dect cea DS
B
0.355 0.270 0.366
A B
0.066 0.290 0.050
BetP{ A} =
| X A| m( X ) |X| X 2
(17)
unde | A | reprezint cardinalitatea lui A (i convenia ca | | / | |= 1 pentru a extinde definiia i pentru BetP{} ).
Definiie: Se definete cardinalitatea DSm ( CM ( A) ) pentru A D ca fiind numrul de pri ale lui A n diagrama Venn corespunztoare modelului M ales i lund n considerare setul de constrngeri i toate interseciile posibile.
Pe baza conceptului de cardinalitate DSm enunat, se definete transformarea pignistic generalizat ca fiind: A D ,
BetP{ A} =
C M ( X A) m( X ) CM ( X ) X D
(18)
154
unde CM ( X ) reprezint cardinalul DSm al propoziiei X pentru modelul DSm M al problemei considerate [Sma06].
Pentru reprezentarea problemei se utilizeaz modelul DSm hibrid M() descris pe baza diagramei Venn din figura 5.9.
155
(1 2 ) (1 3 ) ( 2 3 ) , 1 2 3 }.
Se consider c sistemul IDS are un factor de ncredere de 80% n alertele generate. Astfel funcia de mas de ncredere pentru fiecare alert va fi m(.) : G [0,1] m() = 0 m( A) = 0.8 unde A i reprezint rezultatul generat de sistemul IDS, iar m( I t ) = 0.2 reprezint masa asociat ignoranei totale). Pentru combinarea maselor se vor utiliza regulile DSmH i PCR5. De asemenea, se vor evalua rezultatele obinute pe baza acestor reguli cu rezultatul aplicrii regulii DS pe un modelul M 0 () corespunztor cu | |= 3 . Decizia se va lua pe baz transformrii pignistice generalizate (18)
156
$SNORT_HOME/etc/classification.config
........... config classification: misc-activity,Misc activity,4 config classification: successful-dos,Denial of Service,2 config classification: attempted-dos,Attempted Denial of Service,3 ...........
Pe o durat de 10 minute eantionat n intervale a cte 6 secunde fiecare, se creeaz urmtorul tip de trafic: Pentru primele 5 minute (eantioanele 1-50) se genereaz cu o probabilitate de 70% trafic normal, 15% trafic suspect, i 15% trafic de atac Primele ultimele 5 minute (eantioanele 51-100) se genereaz cu o probabilitate de 70% trafic de atac, 15% trafic suspect, i 15% trafic normal
...........
. 09/08-20:40:36.195766 [**] [1:382:7] ICMP PING Windows [**] [Classification: Misc activity] [Priority: 4] {ICMP} 192.168.254.4 -> 192.168.254.101 09/08-20:40:38.589998 [**] [1:10008:0] My Syn Flood Scenario [**] [Classification: Attempted Denial of Service] [Priority: 3] {TCP} 192.168.254.4:3507 -> 192.168.254.101:8084 09/08-20:40:40.650505 [**] [1:10008:0] My Syn Flood Scenario [**] [Classification: Attempted Denial of Service] [Priority: 3] {TCP} 192.168.254.4:3537 -> 192.168.254.101:8084 09/08-20:40:42.708614 [**] [1:10008:0] My Syn Flood Scenario [**] [Classification: Attempted Denial of Service] [Priority: 3] {TCP} 192.168.254.4:3567 -> 192.168.254.101:8084 09/08-20:40:43.597842 [**] [1:382:7] ICMP PING Windows [**] [Classification: Misc activity] [Priority: 4] {ICMP} 192.168.254.4 -> 192.168.254.101 09/08-20:40:44.722941 [**] [1:382:7] ICMP PING Windows [**] [Classification: Misc activity] [Priority: 4] {ICMP} 192.168.254.4 -> 192.168.254.101 .........
Pe baza definiiei funciei de mas (definit n paragraful precedent), se vor genera valorile funciei pentru fiecare eantion dup cum urmeaz: Dac nu exist nici o alert n eantion, atunci A = 1 (trafic legitim) Dac pentru alertele din eantionul de timp min(Priority)< de atac), altfel A = 2 (trafic suspect) Combinarea datelor se efectueaz dup cum urmeaz:
Date: m[100] - set de 100 nregistrri cu valorile de mas Model_DSmH, Model_Shafer Rezultat: Rezultate combinare Valoare_start= m[random(100)] Masa_SistemDS[0]= Valoare_start Masa_SistemDSmH[0]= Valoare_start Masa_SistemPCR5[0]= Valoare_start #(alege aleator o valoare din setul de nregistri for I=1 to 100 do Masa_SistemDS[I]:= Combinare_DS(Masa_SistemDS[I-1], m[I]) Masa_SistemDSmH[I]= Combinare_DSmH(Masa_SistemDSmH[I-1], m[I]) Masa_SistemPCR5[I]= Combinare_PCR5(Masa_SistemPCR5[I-1], m[I]) done 4
atunci A = 3 (trafic
157
Pentru implementarea aplicaiei de combinare utilizat n acest test, s-au utilizat rutine Matlab din biblioteca de funcii DST i DSmT realizat de Arnaud Martin [Mar11], precum i rutine create de Pascal Djiknavorian i disponibile n [Sma06][Sma09]. Probabilitile se vor calcula pe baza transformatei generale pignistice. Pentru detalii de implementare a acestor funcii, se poate consulta codul surs disponibil pe CD-ul ataat lucrrii. Rezultatele obinute sunt prezentate n figurile 5.13, 5.14 i 5.15.
158
159
Figura 5.14 Rezultatele fuziunii datelor de trafic utiliznd regula de combinare DSmH
160
Figura 5.15 Rezultatele fuziunii datelor de trafic utiliznd regula de combinare PCR5
161
Motto: Un punct, care ieri era nevzut, este inta atins azi i va fi punctul de plecare mine! - Macanlay
CAPITOLUL 6
Definirea unui cadru pentru detecia intruziunilor i a procesului de monitorizare asociat acestuia. Pentru a detecta intruziunile, trebuie nelese aciunile necesare pentru compromiterea unei inte. n acest sens se prezint un cadru cu fazele tipice prin care un atacator poate prelua controlul asupra unei victime, i se evalueaz oportunitile de monitorizare corespunztoare fiecrei faze. [PPN08] Extinderea unui model de clasificare a atacurilor n Internet. Odat cu progresele fcute n securizarea tehnologiilor i infrastructurii Internetului, s-a observat o complexitate sporit n elaborarea i managementul intruziunii din partea atacatorilor. n acest context este necesar utilizarea unor formalisme pentru caracterizarea atacurilor, astfel nct s se obin o descriere complet i consistent a acestora. Extinderea efectuat a vizat adugarea de atribute
162
necesare din perspectiva monitorizrii securitii care s ofere un management post incident mai eficient.
Construcia unor scheme pentru atacuri tipice pe baz de mesaje de pot. Avnd la baz principiul arborilor de atac, schemele prezint succesiunea de pai urmai att de atacator ct i de victim pentru ca atacurile s se ncheie cu succes. Schemele sunt utile pentru o nelegere adecvat a cilor de atac, dar i pentru a identifica modul n care tehnologiile disponibile la ora actual pot fi utilizate pentru a reduce vulnerabilitatea la diferitele clase de atacuri. [PPN0601] Elaborarea unei analize comparative a tehnicilor de scanare utilizate n propagarea viermilor. Obiectivul atacurilor pe baz de viermi este de a asigura infectarea a ct mai multor staii, iar detecia propagrii s fie ntrziat. Un rol important n acest sens l are strategia de scanare (de identificare a potenialelor victime), identificarea factorilor care influeneaz performanele de propagare putnd ajuta la elaborarea unei defensive eficiente. Pe baza analizei s-a identificat necesitatea ca sistemele defensive s urmreasc prevenirea atacatorului de la identificarea adreselor IP ale unui numr mare de staii vulnerabile, sau obinerea unor informaii legate de adresele alocate, care determin reducerea spaiului de scanare. [PPN05-01]
Capitolul 2: Construirea unui cadru de definire i implementare a monitorizrii securitii centrat n jurul organizaiei i a activitilor sale. Monitorizarea securitii la nivelul organizaiei se definete ca fiind procesul de meninere n mod constant a ateniei asupra securitii informaionale, vulnerabilitilor i ameninrilor, cu scopul de a oferi suport deciziilor legate de managementul riscului la adresa organizaiei. Obiectivul este de a realiza monitorizarea n mod constant a securitii reelelor i sistemelor informaionale ale organizaiei i de a rspunde prin acceptarea, evitarea, transferul sau adresarea riscurilor atunci cnd sunt schimbri. [PPN08]
Elaborarea unui cadru pentru definirea de metrici de securitate. Asemenea oricrui alt proces, managementul efectiv al securitii nu poate avea loc dac aceasta nu este msurat. Pornind de la modelul CVSS (Common Vulnerability Scoring System) s-a elaborat un cadru pentru definirea de metrici de securitate n organizaie. Aceast contribuie (publicat n [PPN06-05]) a constituit un punct de referin pentru comunitatea tiinific internaional, fiind printre primele cercetri efectuate n zona metricilor de securitate. Definirea i evaluarea unui cadru pentru partajarea informaiilor de intruziune la nivel global. Multe organizaii au implementat programe de rspuns la incidente de securitate, ns continu s trateze atacurile ca evenimente singulare fr a colecta informaii despre ele. Colectarea unor astfel de informaii ar oferi posibilitatea de a analiza evoluia n timp a ameninrilor la adresa organizaiei, precum i oportunitatea identificrii unor riscuri structurale care s poat fi evaluate i n procesul de analiz a riscului. VerIS (Verizon Incident Sharing) Framework permite colectarea i analiza ntr-o manier consistent a informaiilor despre atacuri, astfel nct organizaiile s aib o mai bun nelegere asupra a ceea ce s-a ntmplat, precum i a impactului, analiza
163
comparativ cu starea de securitate a altor organizaii similare (din aceeai industrie, regiune geografic, sau de aceeai dimensiune).
Definirea unui model de monitorizare complet a securitii. Dac iniial monitorizarea strii de securitate viza identificarea ameninrilor (detecia intruziunilor), conceptul a fost ulterior extins i ctre alte zone din sfera securitii IT cum ar fi: monitorizarea conformrii cu politica de securitate, monitorizarea eficacitii controalelor de securitate, monitorizarea vulnerabilitilor controalelor, etc. O soluie de monitorizare complet, care va putea oferi informaii de starea securitii ct mai apropiate de realitate, va trebui s acopere toate elementele cu relevan pentru procesul de securitate: ameninri, vulnerabiliti, controale de securitate, resurse, risc i ageni de ameninare [PNCN09]
Capitolul 3: Sintetizarea i elaborarea unei evaluri asupra tehnologiilor de culegere a datelor utilizate n procesul de monitorizare a securitii. Aceste tehnologii sunt responsabile pentru culegerea de date utilizate n procesul de monitorizare complet a securitii, acoperind toate elementele cu relevan pentru procesul de securitate i anume: vulnerabiliti, management patch-uri, evenimentele i incidentele de securitate, detecia de software maliios, managementul configuraiilor, managementul reelei, managementul inventarului de echipamente i sisteme [PPN07-01].
Elaborarea unui studiu comparativ i a unei caracterizri structurale a tehnologiilor de detecie a intruziunilor i a implementrilor de sisteme IDS. Tehnologiile au fost evaluate n funcie de tehnica sau principiul de detecie utilizat monitorizare fiiere de jurnalizare, monitoare de integritate (fiier sau sistem), anomalii, semnturi, hibride, capcan (honeypot), ct i n funcie de resursa monitorizat i amplasare. Implementarea i testarea tehnologiilor de detecie a intruziunilor. Tehnologii reprezentative pentru detecia intruziunilor au fost testate i evaluate pe durata cercetrii pentru a stabili eficacitatea, gradul de interoperabilitate, suportul pentru direcii ulterioare de cercetare (cum ar fi validarea aplicabilitii Teoriei Dezert-Smarandache pentru monitorizare n condiii de incertitudine a datelor prezentat n capitolul 5). Tehnologiile testate au fost Snort, Bro, SEC, OSSEC, Logwatch, Flister, Revealer, Vice, Tripwire, Afick. Sintetizarea i elaborarea unui studiu asupra tehnicilor de urmrire a atacurilor DDoS. O strategie eficient de construirea defensivei mpotriva atacurilor DDoS combin o serie de tehnici pentru a acoperi urmtoarele aspecte: prevenirea, detecia, urmrirea pachetelor fluxurilor sau traficului agregat creat de DDoS i suprimarea atacurilor. Clasele de tehnici de urmrire care au fost studiate includ marcarea pachetelor, controlul cii, i jurnalizarea pachetelor. [PNB09] Elaborarea unui studiu de caz pentru analiza spaiului de ameninri pe baza datelor publice oferite de sistemele de monitorizare global n Internet. Pe baza datelor de trafic observate de sistemele de monitorizare global (CAIDA i DShield/ISC) ncepnd cu data de 28 Noiembrie 2008, se identific apariia unui eveniment major n reea, prezentnd caracteristicile unei propagri epidemice de vierme (numit ulterior Conficker). Datele disponibile pentru urmtoarele luni indic schimbri n comportamentul viermelui pe msur ce apar noi variante care nlocuie sau coexist cu cele anterioare.
164
Capitolul 4: Elaborarea unei arhitecturi generice de monitorizare a securiti, precum i a unui set de consideraii pentru faza de implementare a arhitecturii. O arhitectur generic de monitorizare a securitii, stabilit pe baza modelelor OSSIM, Counterpane i MCI Sentry, are urmtoarele componente: surse de evenimente cu relevan pentru procesul de monitorizare, colectoare de evenimente, baza de date cu mesaje de securitate, module de analiz i aplicaii pentru suportul rspunsului la incidentele de securitate identificate. Se prezint o serie de considerente ce trebuie avute att n faza de proiectare ct i cea de implementare: integrarea componentelor enumerate anterior, n contextul asigurrii integritii, disponibilitii i securitii datelor, i a canalelor de comunicaie ntre componente, precum i ameninrile la adresa arhitecturii [PPN08].
Elaborarea unui studiu asupra tehnicilor de corelaie a datelor n procesul de monitorizare a securitii. Pe msur ce scenariile de atac devin mai complexe, datele de monitorizare oferite de senzori devin obiectul unei analize mai profunde. Tehnicile sunt n general grupate n dou categorii: abordri fr cunotine, care se regsesc n cele mai multe implementri curente (console de monitorizare, sau instrumente de analiz a fiierelor jurnal), i cea de-a doua categorie reprezentat de tehnicile bazate pe cunotine (furnizate de un expert, sau deduse pe baza unor tehnici de nvare). [PPN06-04] Sintetizarea i elaborarea unui studiu aspra riscurilor i ameninrilor la adresa arhitecturii de monitorizare. Pentru a crete gradul de complexitate intruziunilor, atacatorul va cuta s-i menin un grad de anonimat, s evite detecia. n caz c nu reuete, atacatorul va cuta s degradeze sau s stopeze colectarea de evidene, fapt care va complica investigaiile de dup incident. Concluziile indic faptul c majoritatea atacatorilor exploateaz n esen consecinele unui management deficitar i lipsa de experien a administratorilor arhitecturii.
Capitolul 5: Tratarea unor subiecte de noutate n literatura de specialitate din domeniul securitii informaionale: Odat cu creterea complexitii ecosistemului de securitate, procesul de monitorizare va avea la dispoziie mase mari de date i informaii, dar care vor fi caracterizate de un coninut din ce n ce mai ridicat de imperfeciune. Tratarea cazurilor complexe de imperfeciune a datelor pe baza teoriilor tradiionale (cum ar fi teoria clasic a probabilitilor) este inadecvat. n acest sens s-au explorat modele matematice alternative cum ar Teoria DezertSmarandache (TDSm) a raionamentului plauzibil i paradoxist care permite combinarea formal a oricrui fel de informaii: certe, incerte, paradoxale. [NPP11]
Construirea unui model experimental de evaluare a aplicabilitii TDSm n monitorizarea securitii: Una din problemele constante a tehnologiilor de detecie a intruziunilor este generarea de alarme false, care n multe cazuri influeneaz negativ procesul de analiz i decizie. Pentru a verifica aplicabilitatea TDSm n aceast direcie, s-a construit un model experimental n care date de trafic legitim i atac create n regim controlat sunt recepionate de un sistem IDS, care la rndul su genereaz alerte cu prioriti diferite. Pe baza acestor alerte se creeaz evenimente asociate unui spaiu de discernmnt,
165
care ulterior se combin pe baza a diferite reguli de fuziune (Shafer, PCR5, DSmH). Validarea a constant n verificarea concordanei ntre realitate (datele de trafic generate) i rezultatele obinute n urma fuziunii, precum i rapiditatea de detecie a schimbrilor care apar n mediu. [NPP11]
Construirea unui cadru de identificarea imperfeciunii datelor din sfera monitorizrii securitii. Pentru suportul evalurii aplicabilitii TDSm n monitorizarea securitii, s-a construit un cadru de identificare a imperfeciunii datelor din sfera monitorizrii securitii plecnd de la clasificarea imperfeciunii informaiilor realizat de Smet. Pe baza acestui cadru pe vor putea identifica i alte aspecte legate de monitorizarea securitii pentru care se va dori testarea aplicabilitii i eficacitii teoriei DSmT.
Rezultatele cercetrii obinute pe durata pregtirii tezei de doctorat, i prezentate n aceast lucrare, au fost publicate n peste 20 articole, studii sau cri din care: 5 articole cotate i indexate ISI 2 articole indexate IEEE Xplore 1 carte publicat la o editur cotat CNCSIS 1 articol cotat CNCSIS n reviste A, 1 articol cotat CNCSIS n reviste B+, 3 articole cotate CNCSIS n reviste B, 4 articole cotate n reviste C sau asimilate (cu ISSN / ISBN) Lista detaliat a lucrrilor publicate care conin rezultate ale cercetrii proprii desfurate n domeniul monitorizrii este prezentat n seciunea Publicaii personale din capitolul de Bibliografie. De asemenea, rezultate obinute au constituit puncte de referin pentru comunitatea tiinific internaional. Dintre lucrrile altor autori care valorific rezultatele cercetrii pe care am desfurat-o n sfera monitorizrii securitii se amintesc :
Lucrri de Doctorat Sebastian Sowa - Information-Security-Business-Performance-Measurement und -Management im Kontext von Compliance und Unternehmungszielen, PhD Thesis, Ruhr-Universitt Bochum, Germany, 2009; http://www-brs.ub.ruhr-uni-bochum.de/netahtml/HSS/Diss/SowaSebastian/diss.pdf Demetrius M. Kyriazanou - Ensuring Privacy in Personal Networks with Situational Awareness, PhD Thesis, National Technical University, Athens, Greece, 2009; http://artemis.cslab.ntua.gr/Dienst/Repository/2.0/Body/artemis.ntua.ece/PD2009-0056/pdf Lucrri de Master Vilhelm Verendel - Some Problems In Quantified Security, Thesis For The Degree Of Licentiate Of Engineering, Chalmers University Of Technology, Gteborg, Sweden 2010; http://www.cse.chalmers.se/~vive/QuantHypothesis/ Scott E. Schimkowitsch - Key Components of an Information Security Metrics Program Plan, Master of Science, University of Oregon, USA, 2009; https://scholarsbank.uoregon.edu/xmlui/bitstream/handle/1794/9479/Schimkowitsch2009.pdf?sequence=1 Laerte Peotta de Mello - Proposta de Metodologia de Gesto de Risco em Ambientes Corporativos na rea de TI - Master Thesis, Universidate de Brasilia, Brasilia, Brazil, 2008; http://repositorio.bce.unb.br/bitstream/10482/1628/1/2008_LaertePeottaDeMelo.pdf Pranitha Koya - A Framework for Security Assurances of Student Applicant Data in Educational Institutions - Masters of Science In Technology Project Management - Information Systems Security, University of Huston, USA, 2008; http://www.tech.uh.edu/caedc/documents/Pranitha_Koyai_2008%20(4).pdf
166
Articole publicate n jurnale de specialitate sau rapoarte tiinifice de referin T. Sree Ram Kumar, K. Alagarsamy - A Stake Holder Based Model for Software Security Metrics, IJCSI International Journal of Computer Science Issues, Vol. 8, Issue 2, March 2011, ISSN: 16940814; http://www.ijcsi.org/papers/IJCSI-8-2-444-448.pdf Clare E. Nelson - Security Metrics: An Overview, ISSA Journal, 2010; http://www.issa.org/images/upload/files/Nelson-Security%20Metrics-An%20Overview.pdf Catalin Boja, Mihai Doinea - Security Assessment of Web Based Distributed Applications, Informatica Economic vol. 14, no. 1/2010; http://revistaie.ase.ro/content/53/16%20Boja,%20Doinea.pdf US Department of Defence - Information Assurance Technology Analysis Center (IATAC) - State-ofthe-Art Report Measuring Cyber Security and Information Assurance, 2009; https://www.mocana.com/pdfs/iatac-measuring_cyber_security_and_information_assurance.pdf Vilhelm Verendel - Quantified security is a weak hypothesis: a critical survey of results and assumptions, NSPW '09 Proceedings of the 2009 workshop on New security paradigms workshop, ACM New York, NY, USA, 2009 http://dl.acm.org/citation.cfm?id=1719030.1719036&coll=DL&dl=GUIDE&CFID=45924325&CFTOKE N=73201276 Anoop Singhal, Xinming Ou - Techniques for enterprise network security metrics, Proceedings of the 5th Annual Workshop on Cyber Security and Information Intelligence Research Cyber Security and Information Intelligence Challenges and Strategies CSIIRW 09, ACM Press, 2009 http://www.mendeley.com/research/ccd-neural-network-processors-for-pattern-recognition/ Antonietta Stango, Neeli R. Prasad, Dimitris M. Kyriazanos - A Threat Analysis Methodology for Security Evaluation and Enhancement Planning, Emerging Security Information, Systems and Technologies, SECURWARE '09, 2009; http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?reload=true&arnumber=5210987 Meiring De Villiers - Reasonable Foreseeability in Information Security Law: A Forensic Analysis, Hastings Communications and Entertainment Law Journal, Australia, 2008 http://www.law.unsw.edu.au/staff/devilliersm/docs/Reasonable_Foreseeability_In_Information_Secur ity_Law_A_Forensic_Analysis.pdf Gordon Housworth - Structured IT risk remediation: Integrating security metrics and Design Basis Threat to overcome scenario spinning and fear mongering, ICG, 2007 http://spaces.icgpartners.com/index2.asp?page=4&category=6E687EFC376F4D04AD504AB754372 2E6
167
CAPITOLUL 7
168
proiectare, strategia productorilor fiind n principal orientat spre funcionalitatea vizibil, care asigur vnzarea produsului sau soluiei. n acest context, este de ateptat ca prezena unui numr mare, i n continu cretere de productori pe piaa aplicaiilor, s determine un numr ridicat de vulnerabiliti, i implicit de riscuri pentru utilizatori i organizaii. Mai mult, schimbrile din mediul organizaiei sau cel social pot genera noi riscuri. Spre exemplu, noua lege n domeniul sntii din SUA promoveaz ca modalitate de reducere a costurilor, utilizarea nregistrrilor medicale n format digital, i efectuarea de tranzacii digitale ntre furnizorii de servicii medicale (doctori, farmacii, laboratoare, case de asigurri, angajatori, departamentele de sntate public ale statului). Aceast schimbare va constitui o oportunitate pentru atacatori, avnd n vedere numrul mare de elemente ale acestui ecosistem, precum i faptul c multe oficii medicale nu au experien n zona securitii, sau utilizrii ntr-un context securizat a tehnologiilor. O soluie de adresare a acestor riscuri permanente ntr-o manier proactiv, i chiar anticipativ o reprezint monitorizarea securitii. Monitorizarea securitii reprezint procesul care permite identificarea schimbrilor din spaiul vulnerabilitilor i ameninrilor, precum i meninerea unei vizibiliti continue asupra eficacitii politicii i controalelor de securitate implementate. Dei conceptul de monitorizare a securitii a fost lansat de ceva vreme, iar unele companii ofer soluii ce monitorizeaz unele componente precum intruziuni, vulnerabiliti, conformitate cu anumite reglementri, existena unor abordri de monitorizare unitare i globale a ntreg spectrului de informaii cu relevan de securitate este nc n faze incipiente. Lucrarea de fa abordeaz n premier aspectele complexe din sfera monitorizrii securitii, oferind o perspectiv unitar i global asupra procesului, tehnologiilor, modului de implementare. Aceasta poate fi un ghid util pentru organizaii n nelegerea problematicii complexe de securitate actual, precum i n elaborarea unui program de monitorizare i implementarea acestuia. Conform simbolisticii taoiste Yin-Yang [Wik11], legate de mpletirea inevitabil a dualitii existente n toate lucrurile din natur, este de anticipat c monitorizarea securitii nu reprezint soluia perfect n adresarea problemelor de securitate ale organizaiei, aducnd pe lng beneficiile discutate i unele riscuri cum ar fi cel de acces neautorizat, sau de utilizare abuziv a datelor de monitorizare. Organizaia va trebui s adreseze aceste riscuri prin msuri tehnologice i procedurale care s asigure: securitatea datelor de monitorizare colectate, controlul i monitorizarea accesului la aceste date, anonimizarea acestora cnd sunt utilizate pentru cercetare sau partajate cu alte organizaii, verificarea regulat a personalului care are acces la date, disciplin n execuia procesului. n final, se prezint n sintez, problematica abordat n cadrul tezei: motivaia i definirea alegerii temei, precum i a direciilor de cercetare tiinific; studiul vulnerabilitilor n spaiul virtual definirea unui cadru pentru detecia intruziunilor i a procesului de monitorizare asociat acestuia. studiul atacurilor asupra infrastructurii Internet-ului schematizarea atacurilor tipice pe baz de mesaje de pot analiza comparativ a tehnicilor de scanare utilizate n propagarea viermilor
169
elaborarea unui cadru pentru definirea de metrici de securitate. prezentarea cadrului pentru partajarea informaiilor de intruziune la nivel global. definirea unui model de monitorizare complet a securitii. evaluarea tehnologiilor de culegere a datelor utilizate n procesul de monitorizare a securitii. studiu comparativ asupra tehnologiilor de detecie a intruziunilor i a implementrilor de sisteme IDS. abordri n monitorizarea spaiului de ameninri pe baza datelor publice oferite de sistemele de monitorizare global n Internet. prezentarea unei arhitecturi generice de monitorizare a securiti studiu asupra tehnicilor de corelaie a datelor n procesul de monitorizare a securitii. studiu asupra eforturilor de standardizare n vederea asigurrii interoperabilitii elementelor arhitecturii. construirea unui cadru de identificare a imperfeciunii datelor din sfera monitorizrii securitii. studiul unor noi modele matematice pentru eficientizarea monitorizrii securitii, i construirea unui model experimental de evaluare a aplicabilitii TDSm n monitorizarea securitii contribuii personale i rezultate tiinifice obinute n cadrul elaborrii tezei.
Contribuiile personale i rezultatele obinute ofer satisfacia necesar i creeaz premisele pentru continuarea i dezvoltarea activitii n aceast direcie, n special pentru optimizarea tehnologiilor i proceselor de monitorizare a securitii. Astfel, n cadrul unor proiecte de cercetare tiinific se afl n diferite faze de studiu i de cercetare urmtoarele teme: evaluarea riscurilor la adresa securitii i libertilor utilizatorilor ca urmare a tendinei de concentrare masiv a datelor personale, sau care permit determinarea de caracteristici personale (cutri pe Internet, activiti n reele sociale, nregistrri ale tranzaciilor financiare, medicale, etc.) studiul caracteristicilor specifice de monitorizare a securitii n medii de calcul virtuale (cloud computing) evaluarea extinderii procesului de monitorizare pentru a adresa probleme specifice scurgerilor accidentale sau sustragerilor de date studiul eficacitii utilizrii TDSm n combinarea datelor de alert a intruziunilor provenind din mai multe surse eterogene (HIDS, NIDS) construirea de metrici pentru un program de prevenire a pierderilor de date Rezultatele acestor cercetri vor fi comunicate n jurnale, sau conferine de specialitate, iar contribuiile personale i rezultatele tiinifice obinute, ct i cele viitoare, vor face subiectul unei cri referitoare la monitorizarea securitii n Internet. Teza a tratat problematica monitorizrii securitii reelelor i sistemelor conectate la Internet pe baza studierii unei bibliografii bogate, prin efectuarea de experimente practice, analize de date i prin obinerea de contribuii personale i de rezultate tiinifice n domeniul securitii informatice, domeniu de importan capital pentru asigurarea bunei funcionri a unei infrastructuri de baz a societii umane - Internetul.
170
BIBLIOGRAFIE
Publicaii Personale
[NPP11] Sebastian Nicolescu, Victor-Valeriu Patriciu, Iustin Priescu - Using DSm Theory to Address Conflicts and Uncertainty in Security Monitoring Process, International Journal of Information Security, ISSN 1615-5270 (trimis spre publicare) (Revist indexat ISI). Iustin Priescu, Rodica Neagu, Sebastian Nicolescu - Research Results of a Network Security Perimeter for Romanian E-Commerce Companies - UTM Megabyte Magazine, Vol 6, No. 2, pp. 2010, Bucharest, Romania, ISSN: 1841-7361 (revist cotat B) Iustin Priescu, Magdalena Negruiu, Marilena Ciobanau, Sebastian Nicolescu Perspectives on Financial Data Security in Offshoring Environments, Proceedings of 2009, International Conference on Economics, Business Management and Marketing, Singapore, pp. 117-122, ISBN 978-9-8108-3816-4. (Articol indexat ISI, MSES) Iustin Priescu, Victor Valeriu Patriciu, Sebastian Nicolescu - The Viewpoint Of ECommerce Security In The Digital Economy, International Conference on Future Computer and Communication, ICFCC 2009, Kuala Lumpur, Malaysia, IEEE Computer Society, pp. 431-433, ISBN 978-0-7695-3591-3, ISSN 1089-7789. (Articol indexat ISI, IEEE) Iustin Priescu, Sebastian Nicolescu, Ion Bica - Design Of Traceback Methods For Tracking DOS Attacks, International Association of Computer Science and Information Technology - Spring Conference, 2009. IACSITSC '09., Singapore, IEEE Computer Society, pp. 117-121, ISBN 978-0-7695-3653-8, ISSN 1089-7789. (Articol indexat ISI, IEEE) Ion Bica, Iustin Priescu, Sebastian Nicolescu Managing Enterprise Information Security with ISO/IEC 2700x Standards Family, The Ninth International Conference on Informatics in Economy Education, Research and Business Technology, Academy of Economic Studies and Romanian Association for Infromatics in Economy Training Promotion (INFOREC), pag. 923-931, ISBN 978-606-505-172-2, Bucharest, 2009 Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Security Monitoring of Company Networks, MTA Review , Vol. XVIII, No. 1, pp. 43-50, ISSN 1843-3391 Cod CNCSIS 842 (Revist cotat B), 2008
[PNN10]
[PNCN09]
[PPN09]
[PNB09]
[BPN09]
[PPN08]
Priescu Iustin, Sebastian Nicolescu - Managing Security Monitoring in Enterprise Networks, Buletinul Universitatii Petrol-Gaze din Ploiesti, Seria Matematica-InformaticaFizica, Vol. LX, No. 2/2008, pag. 53-58, ISSN 1224-4899, Ploiesti, Cod CNCSIS 37 (Revist cotat B), 2008 [PPIN08-01] Iustin Priescu, Victor-Valeriu Patriciu, Rzvan Ionescu, Sebastian Nicolescu - Current Perspectives On Information Security Management Systems, The 7th International Conference Communications 2008, Edition IEEE Communications International Conference, Organized by The Military Technical Academy, "Politehnica" University of Bucharest, Electronica 2000 Foundation, and The IEEE Romanian Section, Romania, ISBN 973-718-479-3, 2008 [PN08] [PPIN08-02] Iustin Priescu, Victor-Valeriu Patriciu, Rzvan Ionescu, Sebastian Nicolescu - Define Effectiveness Measurement Of Controls In Information Security Management Systems, The 7th International Conference Communications 2008, Edition IEEE Communications International Conference, Organized by The Military Technical Academy, "Politehnica" University of Bucharest, Electronica 2000 Foundation, and The IEEE Romanian Section, Romania, ISBN 973-718-479-3, 2008
171
[PPN07-01] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - The Current Perspectives On Security Monitoring In Enterprise Networks, 8th International Conference on Informatics in Economy (ICIE 2007), May 17-18, 2007, Bucharest [PN06] Iustin Priescu, Sebastian Nicolescu - Tendine actuale n criminalitatea informatic, Conferina Naional a Specialitilor n Domeniul Prevenirii i Combaterii Criminalitii Informatice, Piteti, 27-29 Noiembrie 2006
[PPN06-01] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - The Outlook Of ECommerce Security In The Digital Economy, The 2006 International Conference On Commerce, ASE, March 27-29, 2006, Bucharest [PPN06-02] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Securitatea Potei Electronice n Internet, Editura Academiei Tehnice Militare, Bucuresti, 2006, ISBN 973640-043-3 (Carte publicat n editutr recunoscut CNCSIS - cod 158) [PPN06-03] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Operational Security Metrics for Large Networks, International Journal Of Computers, Communications & Control, vol1, pp 349-354, ISSN 1841-9836, E-ISSN 1841-9844, 2006. Revist cotat A, Cod CNCSIS 849. (Articol indexat ISI) [PPN06-04] Iustin Priescu, Victor-Valeriu Patriciu, Sebastian Nicolescu - Data Correlation Techniques in Network Security Monitoring, 5th RoEduNet International Conference, June 1-3, 2006, Sibiu, Romania, ISBN 978-973-739-277-0 [PPN06-05] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Security Metrics for Enterprise Information Systems, JAQM (Journal of Applied Quantitative Methods), Issue 2, 2006, pp. 151-159, ISSN 1842-4562, Cod CNCSIS 700 (Revist cotat B+) [PPN05-01] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Internet Worms Propagation Modeling and Analysis, The 4th ROEDUNET International Conference: "Education/Training and Information/Communication Technologies - ROEDUNET '05, Trgu-Mure, Romania, pp. 218-224, ISBN 973-7794-26-5 (Articol indexat ISI) [PPN05-02] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Trace Back Flows Methods for Tracking DoS Attacks - The 15th International Conference on Control Systems and Computer Science, May 25-27, 2005, Bucharest Romania. [PPN05-03] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Internet Worms Spreading of Active Worms using Random Scanning Conferina de Matematici Aplicate i Industriale CAIM 2005, Societatea Romn de Matematic Aplicat i Industrial - ROMAI, ROMAI Journal, Vol. 1, Nr. 1, pag. 141-150, ISSN 1841-5512, EISSN 2065-7714, (Revist cotat B), 2005 [PPN04] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Security Considerations about E-Mail Encryption Protocols, International Conference on Computers and Communications (ICCC), May 27-29 2004, Oradea, Romania, pp. 315-319
172
Bibliografie general
[Aco09] [Afi--] [Alk08] [Ame10] Byron Acohido - The evolution of an extraordinary globe-spanning worm http://lastwatchdog.com/evolution-conficker-globe-spanning-worm/ Afick (Another File Integrity Checker) - http://afick.sourceforge.net/ Ghazi I. Alkhatib, David C. Rine - IGI Global, 2008 Suhair Hafez Amer, John A. Hamilton - Intrusion Detection Systems (IDS) Taxonomy A Short Review, Jurnal of Software Technology, Vol 13, No 2, 2010. http://journal.thedacs.com/issue/54/163 James P. Anderson Co - Computer Security Threat Monitoring and Surveillance, Technical Report. 1980 D Anderson, T Frivold, A Valdes - Next-generation intrusion-detection expert system (NIDES). Technical Report. Computer Science Laboratory, SRI, USA, May 1995 ATLAS Summary Report Global Attacks - http://atlas.arbor.net/summary/attacks Argus Project - An Architecture for Cooperating Intrusion Detection and Mitigation Applications, http://www.htc.honeywell.com/projects/argus/ Jacob Babbin et al - Security Log Management: Identifying Patterns in the Chaos, Syngress Publishing, 2006 Michael Bailey, Evan Cooke, Farnam Jahanian, Yunjing Xu, Manish Karir - A Survey of Botnet Technology and Defenses, Proceeding CATCH '09 Proceedings of the 2009 Cybersecurity Applications & Technology Conference for Homeland Security Basel Committee on Banking Supervision, Working Paper on the Regulatory Treatment of Operational Risk Bank for International Settlements, Basel Committee, 2001 (http://www.bis.org/publ/bcbs_wp8.pdf) R. Bejtlich - The Tao Of Network Security Monitoring: Beyond Intrusion Detection, Addison-Wesley, 2004, ISBN 0321246772 S. Berinato, G. Campbell, D. Lefler, Security Metrics - Influencing Senior Management, CSO Executive Council 2005 Bothunter Implementation - http://www.bothunter.net/ Darren Bounds - Packit - Network Injection and Capture http://packit.sourceforge.net/ B. P. Brown - Offshore Financial Services Handbook, Second Edition, Gresman Books, 1999 http://en.wikipedia.org/wiki/BS_7799 Axel Buecker, Hendrik H. Fulda, Dieter Riexinger, Deployment Guide Series: IBM Tivoli Security Compliance Manager, IBM Redbooks, 2005 Bugtraq SecurityFocus, www.securityfocus.com/ James Butler - VICE - Catch the hookers!, Black Hat, Las Vegas, July 2004. www.blackhat.com/presentations/bh-usa-04/bh-us-04-butler/bh-us-04-butler.pdf Jamie Butler, Greg Hoglund - Rootkits - Subverting the Windows Kernel, Addison Wesley Professional, 2005. ISBN 0321294319 Conficker/Conflicker/Downadup as seen from the UCSD Network Telescope http://www.caida.org/research/security/ms08-067/conficker.xml US Homeland Security Department - CERT Cyber Security Bulletins - http://www.uscert.gov/cas/bulletins/ Common Criteria: Part 1 - Introduction and general model, Version 2.1 1999, http://www.radium.ncsc.mil/tpep/library/ccitse/ccitse.html
[Bas01]
[Bej04] [Ber05] [Bot11] [Bou01] [Bro99] [BS02] [Bue05] [Bug--] [But04] [But05] [Cai08] [CBU--] [CCIMB99-031]
173
CERT Advisories- http://www.cert.org CERT, CERT/CC Statistics 1988-2011, CERT, 2011 (http://www.cert.org/stats/) Z. Chen, L. Gao, K. Kwiat -Modeling the spread of active worms, IEEE INFOCOM. 2003 Chkrootkit - http://www.chkrootkit.org/ R. Feiertag, C. Kahn, P. Porras, D. Schnackenberg, S. Staniford-Chen, B. Tung - A Common Intrusion Specification Language (CISL) 16/10/98 http://www.isi.edu/gost/cidf/drafts/language.txt C. Kahn, D. Bolinger, D. Schnackenberg - Communication in the Common Intrusion Detection Framework, v0.7, 8/98 http://www.isi.edu/gost/cidf/drafts/communication.txt B. Tung - CIDF APIs: Their Care and Feeding http://www.isi.edu/gost/cidf/drafts/api.txt C. Kahn, D. Bolinger, D. Schnackenberg - The Common Intrusion Detection Framework Architecture http://www.isi.edu/gost/cidf/drafts/architecture.txt Cisco - Cisco Security Information Event Management Deployment Guide http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns982/sbaSIEM_d eployG.pdf Rodney Claude - Investigative Tree Models, SANS White paper, http://www.sans.org/reading_room/whitepapers/incident/investigative-treemodels_33183 Bryce Cogswell, Mark Russinovich RootkitRevealer, http://technet.microsoft.com/enus/sysinternals/bb897445 Fred Cohen - The Use of Deception Techniques: Honeypots and Decoys, Handbook of Information Security, Vol 3, 2005 Converged Network Digest http://www.convergedigest.com/packetsystems/packetsysarticle.asp?ID=26912 Counterpane - Counterpane and Network Security Monitoring, http://bt.counterpane.com/presentation2.pdf Counterpane - Managed Security Monitoring, http://www.counterpane.com/msm.pdf Frdric Cuppens, Alexandre Mige - Alert correlation in a cooperative intrusion detection framework, Proceedings of the IEEE Symposium of Security and Privacy, 2002 MITRE Corporation, Common Vulnerabilities and Exposures, http://cve.mitre.org/ MONITOR LOGS WITH LOGSURFER+ http://www.dankalia.com/tutor/01005/0100501074.htm H. Debar, M. Becker, D. Siboni - A neural network component for an intrusion detection system. Proceedings of the 1992 IEEE Computer Sociecty Symposium on Research in Security and Privacy D. Denning - An Intrusion-Detection Model - IEEE Transactions on Software Engineering. 1987 John B. Dickson - Black Box versus White Box:Different App Testing Strategies, Denim Group White Paper, http://www.denimgroup.com/media/pdfs/BBvsWB_Minneapolis.pdf Pascal Djiknavorian, P. Valin, D. Grenier - Approximation in DSm theory for fusing ESM reports, Information Fusion (FUSION), 13th Conference, 2010
DoD Information Assurance Technology Analysis Center (IATAC) Measuring Cyber
[CIDF98-3]
[CIDF98-4] [CIDF98-5]
[Cis11]
[Cla09]
[Den87] [Dic08]
[Dji10] [DoD09]
174
Security and Information Assurance, State-of-the-Art Report (SOAR), May 8, 2009 https://www.mocana.com/pdfs/iatacmeasuring_cyber_security_and_information_assurance.pdf [DOE--] [Dou93] [Dow90] [Du03] US Department of Energy CIRC - Cyber Incident Response http://www.doecirc.energy.gov/ C. Dousson, P. Gaborit, M. Ghallab - Situation recognition: Representation and Algorithms. Proceedings of the 13th IJCAI, pp 166-172, August 1993 C. Dowel, Paul Ramstedt - The computer watch data reduction tool. Proceedings of the 13th National Computer Security Conference, 1990 X. Du, M. Shayman, R.A. Skoog - Using Neural networks in distributed Management to identify Control and Management to identify Control and management plane poison messages. University of Maryland, US. Research supported by DARPA, 2003 D. Dubois, H. Prade - On the unicity of Dempster rule of combination, International Journal of Intelligent Systems, Vol 1, pp 133-142, 1986 N. Duffield, M. Grossglauser - Trajectory Sampling for Direct Traffic Observation. Proceedings of the Conference on Applications, Technologies, Architectures, and Protocols for Computer Communication (ACM SIGCOMM00). Stockholm, Sweden, pp 271282. 2000 (http://portal.acm.org/citation.cfm?id=347555) Retina CS Management Products - http://www.eeye.com/products/retina/retina-insight Constantine Elster, Danny Raz - Covering All Bases with a Short Blanket: A Dynamic Monitoring Resource Allocation Scheme, INFOCOM Workshops 2008, IEEE J. Fan, K. Su - An Efficient Algorithm for Matching Multiple Patterns. ACM Magazine, 1993 S.Chen, S.Cheung, R.Crawford - GrIDS: A graph based intrusion detection system for large networks. Proceedings of the 19th National Information Systems Security Conference, 1996 Lista publicatii FIPS - http://csrc.nist.gov/publications/PubsFIPS.html *** - Fingerprint Sharing Alliance, http://www.arbornetworks.com/fingerprint-sharingalliance.html F-Secure - Net-Worm:W32/Santy.A, http://www.f-secure.com/v-descs/santy_a.shtml F-Secure - Net-Worm:W32/Sasser, http://www.f-secure.com/v-descs/sasser.shtml Abdoul Karim Ganame, Julien Bourgeois, Renaud Bidou, Francois Spies - A global security architecture for intrusion detection on computer networks Computers & Security 27 (2008) pp 3047 Gartner Security Study Reports - http://www.gartner.com R.M. Goodman, H. Latin - Automated knowledge acquisition from network management databases, IFIP International Symposium on Integrated Network Management (ISINM91), pp 541-549, 1991 Tim Greene - The RSA Hack FAQ, Network World, http://www.networkworld.com/news/2011/031811-rsa-hack-faq.html John Green, David Marchette, Stephen Northcutt, Bill Ralph - Analysis Techniques for Detecting Coordinated Attacks and Probes, Proceedings of the Workshop on Intrusion Detection and Network Monitoring Santa Clara, California, USA, 1999 Guofei Gu, Phillip Porras, Vinod Yegneswaran, Martin Fong, Wenke Lee - BotHunter: Detecting Malware Infection Through IDS-Driven Dialog, USENIX Security'07, 2007 Hansman, S., Hunt R., A taxonomy of network and computer attacks, Computer and Security (2005)
Mike Harwood - CompTIA Network+ Exam Cram, Third Edition, Pearson
[Dub86] [Duf00]
[Gar--] [Goo91]
[Gre11] [Gre99]
175
Certification, 2009 [Ht04] Antti Htl, Camillo Srs, Ronja Addams-Moring, Teemupekka Virtanen - Event Data Exchange and Intrusion Alert Correlation in Heterogeneous Networks, Proceedings of the 8th Colloquium for Information Systems Security Education West Point, NY, June 2004, pp 84-92 T. Heberlein, G. Dias, K. Levitt - A network security monitor. Proceedings of the 1990 IEEE Symposium on Research in Security and Privacy G. Hinson - 7 Myths About Security Metrics, ISSA Journal, 2006 J. Hochberg, K. Jackson, C.Stallings - NADIR: An automated system for detecting network intrusion and misuse. Computers & Security, 12(3), 1993 Hping2 Tool - http://www.hping.org/download.php B. Feinstein, G. Matthews, J. White - The Intrusion Detection Exchange Protocol (IDXP). 2002 The TUNNEL Profile for Blocks Extensible Exchange Protocol (BEEP) H. Debar, D. Curry, B. Feinstein - Intrusion Detection Message Exchange Format K. Ilgun, R. Kemmerer, P. Porras - State transition analysis: A rule-based intrusion detection approach. IEEE Transactions on Software Engineering, March 1995 T. Inagaki - Interdependence between safety-control policy and multiple-sensor schemes via Dempster-Shafer theory, IEEE Trans. on reliability, Vol 40, no 2, pp 182188, 1991 InnerWorkings - Offshoring Risks - How Will You Stay in Control? www.cio.com , 2009 J. Ioannidis, S. Bellovin - Implementing Pushback: Router Defence Against DDoS Attacks. Proceedings of Network and Distributed System Security Symposium, San Diego 2002. http://www.isoc.org/isoc/conferences/ndss/02/proceedings/papers/ioanni.pdf Internet Strom Center http://isc.sans.org http://www.17799central.com/ ISO/IEC. Information Technology Security Techniques, Code of Practice for Information Security Management (final draft), ISO, 2005 K. Jackson, D. DuBois, C. Stallings - An expert system application for network intrusion detection. Proceedings of the 14th National Computer Security Conference, 1991 Andrew Jaquith, Security Metrics: Replacing Fear, Uncertainty and Doubt, Addison Wesley, 2006 Robert Johnson; Mark Merkow - Security Policies and Implementation Issues, Jones & Bartlett Learning, 2010 Y. Frank Jou, F. Gong, C. Sargor - Architecture design of a scalable intrusion detection system for the emerging network infrastructure. 1997 Mitch Kabay - The Risks Digest, volume 19, issue 91 (http://catless.ncl.ac.uk/Risks/19.91.html) Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle, Mark Zajicek Organizational Models for Computer Security Incident Response Teams (CSIRTs), Handbook - December 2003 Gene H. Kim, Eugene H. Spafford - The design and implementation of tripwire: a file system integrity checker, CCS '94 Proceedings of the 2nd ACM Conference on Computer and Communications Security ACM New York, NY, USA, 1994
M.Kjaerland - A taxonomy and comparison of compute securityincidents from the
[Inn09] [Ioa02]
[Kim94]
[Kja05]
176
commercial and government sectors. Computers and Security, 25:522538, October 2005 [Ko96] Calvin Ko - Execution Monitoring of Security-critical Programs in a Distributed System: A Speciffication-based Approach. PhD thesis, Department of Computer Science, University of California at Davis, USA, 1996 Gerald L. Kovacich, Edward Halibozek, Security Metrics Management: How to Measure the Costs and Benefits of Security, Butterworth-Heinemann, 2005 C. Krgel, T. Toth, C. Kerer - Decentralized Event Correlation for Intrusion Detection, Proceedings of the 4th International Conference on Information Security and Cryptology, 2001 Sandeep Kumar - Classification and Detection of Computer Intrusions, PhD thesis, Purdue University, West Lafayette, Indiana, August 1995 Ulf Larson - Aspects of Adapting Data Collection to Intrusion Detection, Thesis For The Degree Of Licentiate Of Engineering, Chalmers University Of Technology, Sweden, 2006 Wenke Lee - A Data Mining Framework For Building Intrusion Detection Models. IEEE Symposium on Security and Privacy, May 1999 E. Lefevre, O. Colot, P. Vannoorenberghe - Belief functions combination and conflict management, Information Fusion Journal, Elsevier Publisher, Vol 3, No 2, pp 149-162, 2002 Jarred Adam Ligatti - Policy Enforcement via Program Monitoring, PhD Thesis, Princeton University, 2006 Logwatch - http://sourceforge.net/projects/logwatch/ Daniel Lough - A Taxonomy of Computer Attacks with Applications to Wireless Networks, PhD thesis, Virginia Polytechnic Institute and State University, 2001 T. Lunt, R. Jagannathan, R. Lee - IDES: The enhanced prototype, A real-time intrusion detection system. Technical Report, SRI Project 4185-010, 1988 T. Lunt, A. Tamaru, F. Gilham - A real-time intrusion-detection expert system (IDES). Technical Report Project 6784 - SRI International, 1992 R. Mahajan, S. Bellovin, S. Floyd, J. Ioannidis, V. Paxson, S. Shenker - Controlling High Bandwidth Aggregates in the Network. ACM SIGCOMM Computer Communication Review, Vol 32, Issue 3, July 2002. ACM Press, New York Kevin Mandia, Chris Prosise - Incident Response and Computer Forensics, 2nd ed. McGrawHill, 2003 Data Fusion Toolbox - http://bfas.iutlan.univ-rennes1.fr/wiki/index.php/Toolboxs Mathworks: Matlab. http://www.mathworks.com/products/matlab/ A. Matrosov, et al - Stuxnet Under the Microscope http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf Sjouke Mauw, Martijn Oostdijk - Foundations of Attack Trees, in Proc. ICISC, 2005, pp.186-198. ACM Nils McCarthy - Network Path Enumeration. http://www.mainnerve.com/lft/ Chris McNab - Network Security Assessment, Second Edition, O'Reilly Media, 2007 Metasploit Framework Penetration Testing Software - http://metasploit.com/ Microsoft Patterns & Practices Team - Microsoft Application Architecture Guide, Microsoft Press, 2009 Attacking DDoS at the Source Jelena Mirkovic, Gregory Prier, Peter Reiher Technical Report, UCLA, 2002
[Kov05] [Kr01]
[Kum95] [Lar06]
[Lee99] [Lef02]
[Man03] [Mar11] [Mat--] [Mat11] [Mau05] [Mcc01] [McN07] [Met--] [Mic09] [Mir02]
177
[Mir04] [Moo02-1]
Jelena Mirkovic; Sven Dietrich; David Dittrich; Peter Reiher - Internet Denial of Service: Attack and Defense Mechanisms, Prentice Hall, 2004 D. Moore, C. Shannon, J. Brown - Code-Red: a case study on the spread and victims of an Internet Worm In Proc. ACM/USENIX Internet Measurement Workshop, France, November, 2002 D. Moore - Network Telescopes: Observing Small or Distant Security Events. In 11th USENIX Security Symposium, 2002 D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, N. Weaver - Inside the Slammer Worm. IEEE Magazine on Security and Privacy, 1(4):33-39, July 2003 D. Moore, C. Shannon, G. Voelker, S. Savage - Network Telescopes: Technical Report. Cooperative Association for Internet Data Analysis CAIDA Technical Reports, 2004. (http://www.caida.org/outreach/papers/2004/tr-2004-04/tr-2004-04.pdf) B. Morin, H. Debar, L. Me, M. Ducasse - A Formal Data Model for IDS Alert Correlation. Proceedings of the 5th Intl Symposium on Recent Advances in Intrusion Detection (RAID02), October 2002 C. Morrow - Blackhole Routing with ICMP Backscatter. In UUNet Technical Whitepaper, 2002 Y. Moreno, R. Pastor-Satorras, A. Vespignani - Epidemic outbreaks in complex heterogeneous networks, The European Physical Journal B, 26/2002, pp 521-529 Microsoft - http://technet.microsoft.com/en-us/security/bulletin/ms11-057 Andreas Muller - Event Correlation Engine, Master Thesis, Switzerland, 2009 Nasscom BPO Newsline - The Indian BPO Sector Dealing with the Challenges, January 2008 Gonzalo Navarro, Mathieu Raffinot - Practical on-line search algorithms for texts and biological sequences. Cambridge University Press, 2002 J. Nazario - Defense and Detection Strategies against Internet Worms, Artech House, 2003 Jose Nazario - Estonian DDoS Attacks A summary to date http://asert.arbornetworks.com/2007/05/estonian-ddos-attacks-a-summary-to-date/ J Nazario, et al. - Future of Internet Worms http://www.crimelabs.net/docs/worms/worm.pdf Nessus Scanner Documentation http://www.tenable.com/products/nessus/documentation John V. Nguyen - Designing ISP Architectures, Prentice Hall, 2002 Agent Technologies and Web Engineering: Applications and Systems Peng Ning, Yun Cui, Douglas S. Reeves - Analysing Intensive Intrusion Alerts via Correlation. Proceedings of Recent Advances in Intrusion Detection, 2002 Peng Ning, Yun Cui, D. Reeves - Constructing attack scenarios through correlation of intrusion alerts. Proceedings of the 9th ACM conference on Computer and Communications security, 2002 P. Ning, D. Xu, C. G. Healey, R. St. Amant - Building Attack Scenarios through Integration of Complementary Alert Correlation Methods. Proceedings of the 11th Annual Network and Distributed System Security Symposium (NDSSS04). February 2004 Lista publicatii NIST SP - http://csrc.nist.gov/publications/PubsSPs.html Nmap Network Scanning - http://nmap.org/book/toc.html Stephen Northcutt, Judy Novak - Network Intrusion Detection, Third Edition, Sams, 2002
[Mor02]
[Mor02-1] [Mor02-2] [MS11-1] [Mul09] [Nass08] [Nav02] [Naz03] [Naz07-2] [Naz07] [Nes--] [Ngu02] [Nin02-01] [Nin02-02]
[Nin04]
178
[Oik06]
George Oikonomou, Peter Reiher, Max Robinson, Jelena Mirkovic: A Framework for Collaborative DDoS Defense, Proceedings of the Annual Computer Security Applications Conference (2006) Angela Orebaugh, Becky Pinkard - Nmap in the Enterprise Your Guide to Network Scanning, Syngress, 2008 Rodolphe Ortalo - A Flexible Method for Information System Security Policy Specification - Proceedings of the 5th European Symposium on Research in Computer Security Springer-Verlag London, UK 1998, ISBN:3-540-65004-0 OSSEC - http://www.ossec.net/ OSSIM The Open Source SIEM, http://alienvault.com/community/technicaldocumentation OSSTMM - Open Source Security Testing Methodology Manual http://www.isecom.org/osstmm/ Xinming Ou, Sudhakar Govindavajhala, Andrew Appel - Network Security Management with High-level Security Policies, Technical Report, Princeton University, 2004 Open Web Application Security Project https://www.owasp.org/index.php/Top_10_2010-Main Ben Parr - WikiLeaks Targeted in DDoS Attack as Latest Leak Hits the Web, http://mashable.com/2010/11/28/wikileaks-ddos-attack/ V. Paxson - Bro: a system for detecting network intruders in real-time. Computer Networks No 31, 1999 Cyrus Peikari; Anton Chuvakin - Security Warrior, O'Reilly Media, 2004 S. Persson - Managing Information Security with ISO/IEC 27001, 2005, atsec, www.atsec.com, 2007 Charles P. Pfleeger, Shari Lawrence Pfleeger Analyzing Computer Security: A Threat/Vulnerability/Countermeasure Approach Prentice Hall, 2011 Roberto Pietro, Luigi V Mancini - Intrusion Detection Systems, Series: Advances in Information Security, Vol 38, 2008 P.A. Porras, M.W. Fong, A. Valdes - A Mission-Impact-based Approach to INFOSEC Alarm Correlation. Supported by DARPA, SRI International Paper, 2002 Phillip Porras, Hassen Saidi, Vinod Yegneswaran - An Analysis of Conficker's Logic and Rendezvous Points, http://mtc.sri.com/Conficker/ P. Porras, A. Valdes - Live traffic analysis of TCP/IP gateways. Proceedings of the 1998 ISOC Symposium on Network and Distributed Systems Security I. Priescu - Electronic Commerce: From Paradigme to Implementation, Editura UTM, Bucharest, 2008. ISBN 978-606-8002-20-7 PwC - Financial services falling behind on data security, www.finextra.com, 2009 Xinzhou Qin, Wenke Leem - Statistical Causality of INFOSEC Alert Data. Proceedings of Recent Advances in Intrusion Detection, 2003 Suita documente RFC - http://tools.ietf.org/html/ Risto Vaarandi -Tools and Techniques for Event Log Analysis. PhD Thesis, Tallinn University of Technology, 2005 M. Roesch - Snort - lightweight intrusion detection for networks, 1999. Proceedings of LISA 99. 7-12 November 1999. USENIX http://portal.acm.org/citation.cfm?id=1039864
Joanna Rutkowska - Detecting Windows Server Compromises with Patchfinder 2,
[Ore08] [Ort98]
[Pie08] [Por02] [Por09] [Por98] [Pri08] [Pwc09] [Qin03] [RFC*] [Ris05] [Roe99]
[Rut04]
179
2004 [Rut05-1] [Rut05-2] Joanna Rutkowska - Thoughts about Cross-View based Rootkit Detection, June 2005. http://www.invisiblethings.org/papers/crossview_detection_thoughts.pdf Joanna Rutkowska - System Virginity Verifier: Defining the Roadmap for Malware Detection on Windows Systems, 2005. http://www.invisiblethings.org/papers/hitb05_virginity_verifier.ppt Daiji Sanai - Detection of Promiscuous Nodes Using ARP Packets. http://www.securityfriday.com/promiscuous_detection_01.pdf H. Schauer, A. Fernandez-Toro - ISO 27001:Interet de la mise en oeuvre dun SMSI, in Jurnees RSSI, Paris 2007 Mike Schiffman, Cisco CIAG, A Complete Guide to the Common Vulnerability Scoring System (CVSS), Forum Incident Response and Security Teams (http://www.first.org/) SEC (simple event correlator) - http://simple-evcorr.sourceforge.net/ SecuriTeam.com Exploits Details *** - Patchfinder 2 - Windows Server Compromises Detector, http://www.securiteam.com/tools/5FP0L00BPS.html *** - Klister - Windows Kernel Level Rootkit Detector, http://www.securiteam.com/tools/5GP0315FFW.html www.secnap.com/support/whitepapers/cyber-report-2010.html G. Shafer - A Mathematical Theory of Evidence, Princeton Univ. Press, Princeton, NJ, 1976 Chris Simmons, Sajjan Shiva, Dipankar Dasgupta, Qishi Wu - AVOIDIT: A Cyber Attack Taxonomy, IEEE Security and Privacy Magazine, 2010 Abhishek Singh - Demystifying Denial-Of-Service Attacks, Part One. http://www.symantec.com/connect/articles/demystifying-denial-service-attacks-partone System Log Analysis and Profiling System 2 http://www.openchannelsoftware.com/projects/SLAPS-2/ F. Smarandache, J. Dezert (Editors) - Applications and Advances of DSmT for Information Fusion, Am. Res. Press, Rehoboth, 2004 http://www.gallup.unm.edu/ smarandache/DSmT-book1.pdf F. Smarandache, J. Dezert (Editors) - Applications and Advances of DSmT for Information Fusion Vol 2, American Research Press, Rehoboth, August 2006. http://www.gallup.unm.edu/ smarandache/DSmT-book2.pdf F. Smarandache, J. Dezert (Editors) - Applications and Advances of DSmT for Information Fusion Vol. 3, American Research Press, Rehoboth, 2009. http://www.gallup.unm.edu/ smarandache/DSmT-book3.pdf S. E. Smaha - Haystack: An intrusion detection system. Proceedings of the IEEE Fourth Aerospace Computer Security Applications Conference, 1988 Ph. Smets, E.H. Mamdani, D. Dubois, H. Prade (Editors) - Non-Standard Logics for Automated Reasoning, Academic Press, 1988 Philippe Smets - Imperfect Information: Imprecision and Uncertainty, In Uncertainty Management in Information Systems, pp 225-254, 1996 Craig Smith, Ashraf Matrawy, Stanley Chow, Bassem Abdelaziz - Computer Worms: Architectures, Evasion Strategies, and Detection Mechanisms, Journal of Information Assurance and Security 4 (2009), pp 69-83 S. Snapp, S. Smaha, D. Teal, T. Grance - The DIDS (Distributed Intrusion Detection System) Prototype. Proceedings of the Summer USENIX Conference, June 1992.
[San01] [Sch07] [Sch09] [Sec07] [SEC--] [Sec04] [Sec05] [Sec11] [Sha76] [Sim10] [Sin10]
[Sla--] [Sma04]
[Sma06]
[Sma09]
[Sna92]
180
USENIX Association [Sno--] [Sno01] Snort http://www.snort.org A. Snoeren, Craig C. Partridge, L. Sanchez et al - Hash Based IP Traceback. Proceedings of ACM SIGCOMM01, 2001. http://www.acm.org/sigs/sigcomm/sigcomm2001/p1-snoeren.pdf www.facebook.com, www.twitter.com Michael G. Solomon, Mike Chapple, Information Security Illuminated, Jones and Bartlett Publishers, 2005 Dug Song - Packet Fragmentation. http://www.monkey.org/~dugsong/fragroute/ A Guide To The Sarbanes-Oxley Act - http://www.soxlaw.com/ Eugene H. Spafford, Diego Zamboni - Intrusion detection using autonomous agents, Computer Networks No 34, 2000 Systems Security Engineering-Capability Maturity Model Group, SSE-CMM Model Description Document version 3.0, International Systems Security Engineering Association, 2003 (http://www.sse-cmm.org/docs/ssecmmv3final.pdf) S. Staniford, V. Paxson, N. Weaver - How to Own the Internet in your spare time. 11th Usenix Security Symposium, San Francisco, August, 2002 R. Sterritt, A. H. Marshall, C. M. Shapcott, S. I. McClean - Exploring dynamic Bayesian belief networks for intelligent fault management systems. Proceedings of the IEEE International Conference Systems on Cybernetics, pp 3646-3652. Sept 2000 Saint Jude IDS - http://www.filetransit.com/view.php?id=97050 R. Stone - CenterTrack, an IP Overlay Network for Tracking DoS Floods. In USENIX Security Symposium, 2000 (http://www.usenix.org/publications/library/proceedings/sec2000/full_papers/stone/ston e.pdf) Haibin Sun, John C. S. Lui, David K. Y. Yau - Defending Against Low-Rate TCP Attacks: Dynamic Detection and Protection, 12th IEEE International Conference on Network Protocols (ICNP'04), Berlin, Germany, 2008 Simple Log Watcher - http://sourceforge.net/projects/swatch/ Security Bulletins and Reports - http://www.symantec.com Symantec W32.Blaster.Worm, http://www.symantec.com/security_response/writeup.jsp?docid=2003-081113-0229-99 Steven J. Templeton, Karl Levitt - A requires/provides model for computer attacks. Proceedings of New Security Paradigms Workshop, pp 31-38. 2000 Herbert Thompson, Scott Chase - The Software Vulnerability Guide, Course Technology PTR, 2005 Gina C. Tjhai - Anomaly-Based Correlation Of Ids Alarms, PhD Thesis, School of Computing and Mathematics Faculty of Science and Technology, University of Plymouth, UK Open Source Tripwire http://sourceforge.net/projects/tripwire/ *** - Enforcing IT Change Management Policy, Tripwire White Paper http://www.tripwire.com/register/enforcing-it-change-management-policy U.S. Army Intelligence Center & FH - Indicators In OOTW http://www.fas.org/irp/doddir/army/miobc/shts4lbi.htm US Air Force Computer Emergency Response Team - Incident Categories. 1996 Alfonso Valdes, Keith Skinner - Probabilistic alert correlation. Proceedings of Recent Advances in Intrusion Detection, 2001
[Sta02] [Ste00]
[Stj10] [Sto00]
[Sun08]
181
[Ver10] [Ver11]
Verizon VerIS Verizon Enterprise Risk and Incident Sharing Metrics Framework, https://verisframework.wiki.zoho.com/ Verizon Business - Data Breach Reports for 2008-2011, www.verizonbusiness.com, 2011 http://www.verizonbusiness.com/Products/security/dbir/ James Voorhees - Distilling Data in a SIM: A Strategy for the Analysis of Events in the ArcSight ESM, SANS White Paper Y. Wang, D. Beck, R. Roussev, C. Verbowski - Detecting Stealth Software with Strider GhostBuster. Microsoft Technical Report, Feb 2005 N. Weaver, V. Paxson, S. Staniford, R. Cunningham - A Taxonomy of Computer Worms, ACM Workshop on Rapid Malcode, Washington, DC, Oct 27, 2003 http://en.wikipedia.org/wiki/File:Yin_yang.svg Wireshark Packet Analyzer (v.1.6.2) - http://www.wireshark.org/ Gullik Wold - Title of paper: Key factors in making Information Security Policies Effective, Master Thesis 2005 Brian Wotring, Host Integrity Monitoring Using Osiris and Samhain, Syngress Publishing, 2005 S. Wright - Measuring the Effectiveness of Security using ISO 27001, White Paper, 2006 XYPRO Technology Corporation, HP NonStop Server Security, Digital Press, 2004 R. R. Yager - On the Dempster-Shafer framework and new combination rules, Information Sciences, Vol 41, pp 93-138, 1987 L. Zadeh - A Simple View of The Dempster-Shafer Theory of Evidence and Its Implication For The Rule Of Combination, AI Magazine 7, No2, pp 85-90, 1986 C.C. Zou, L. Gao, W. Gong, D. Towsley - Monitoring and Early Warning for Internet Worms. 10th ACM Symposium on Computer and Communication Security, Washington DC, 2003
[Voo07] [Wan05] [Wea03] [Wik11] [Wir--] [Wol05] [Wot05] [Wri06] [Xyp04] [Yag87] [Zad86] [Zou03]
182