Введение в обнаружение атак и анализ защищенности

Ребекка Бейс, ICSA
перевод Алексея Лукацкого, Юрия Цаплева, НИП "Информзащита"

Предисловие

Системы и сети являются целями атак. Все чаще и чаще фиксируются атаки на ресурсы Internet с целью нарушения существующей политики безопасности. Системы анализа защищенности проверяют системы и сети в поиске проблем в их реализации и конфигурации, которые приводят к этим нарушениям. Системы обнаружения атак собирают различную информацию из разнообразных источников и анализируют ее на наличие различных нарушений политики безопасности. И анализ защищенности и обнаружение атак позволяет организациям защитить себя от потерь, связанных с нарушениями системы защиты.

Рынок систем обнаружения атак постоянно растет. Обнаружение атак - логическое дополнение межсетевых экранов, расширяющее возможности по управлению защитой системы, включая аудит, мониторинг, распознавание атак и реагирование на них.

Системы обнаружения выполняют ряд функций:

1. Мониторинг и анализ пользовательской и системной активности;
2. Аудит системной конфигурации и уязвимостей;
3. Контроль целостности системных файлов и файлов данных;
4. Распознавание шаблонов действий, отражающих известные атаки;
5. Статистический анализ шаблонов аномальных действий;
6. Управление журналами регистрации операционной системы, с распознаванием действий пользователя, характеризующих нарушения политики безопасности.

Выгоды от систем обнаружения атак и анализа защищенности следующие:

1. Улучшение целостности частей инфраструктуры информационной безопасности;
2. Улучшение механизмов системного мониторинга;
3. Рассмотрение действий пользователя начиная от точки входа в систему и заканчивая точкой выхода, с промежуточными точками воздействия;
4. Распознавание и уведомление об изменении системных файлов и файлов данных;
5. Определение ошибок конфигурации системы и, возможно, их исправление;
6. Распознавание специфичных типов атак и приведение персонала защиты в готовность;
7. Уведомление персонала о недавних изменениях в программах;

Не надо ждать невозможного от систем обнаружения атак и анализа защищенности. Они:

1. Не могут компенсировать слабые механизмы аутентификации и идентификации;
2. Не могут проводить исследования атак без человеческого участия;
3. Не могут компенсировать "слабости" сетевых протоколов;
4. Не могут компенсировать проблемы в обеспечиваемых системой, надежности и целостности;
5. Не могут анализировать весь трафик на загруженной сети;
6. Не могут иметь дела с атаками на уровне сетевых пакетов;
7. Не могут иметь дела с современными сетевыми устройствами и сетевыми технологиями.