BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/books/icsa/

Введение в обнаружение атак и анализ защищенности

Ребекка Бейс, ICSA
перевод Алексея Лукацкого, Юрия Цаплева, НИП "Информзащита"



Предисловие

Системы и сети являются целями атак. Все чаще и чаще фиксируются атаки на ресурсы Internet с целью нарушения существующей политики безопасности. Системы анализа защищенности проверяют системы и сети в поиске проблем в их реализации и конфигурации, которые приводят к этим нарушениям. Системы обнаружения атак собирают различную информацию из разнообразных источников и анализируют ее на наличие различных нарушений политики безопасности. И анализ защищенности и обнаружение атак позволяет организациям защитить себя от потерь, связанных с нарушениями системы защиты.

Рынок систем обнаружения атак постоянно растет. Обнаружение атак - логическое дополнение межсетевых экранов, расширяющее возможности по управлению защитой системы, включая аудит, мониторинг, распознавание атак и реагирование на них.

Системы обнаружения выполняют ряд функций:

  1. Мониторинг и анализ пользовательской и системной активности;
  2. Аудит системной конфигурации и уязвимостей;
  3. Контроль целостности системных файлов и файлов данных;
  4. Распознавание шаблонов действий, отражающих известные атаки;
  5. Статистический анализ шаблонов аномальных действий;
  6. Управление журналами регистрации операционной системы, с распознаванием действий пользователя, характеризующих нарушения политики безопасности.

Выгоды от систем обнаружения атак и анализа защищенности следующие:

  1. Улучшение целостности частей инфраструктуры информационной безопасности;
  2. Улучшение механизмов системного мониторинга;
  3. Рассмотрение действий пользователя начиная от точки входа в систему и заканчивая точкой выхода, с промежуточными точками воздействия;
  4. Распознавание и уведомление об изменении системных файлов и файлов данных;
  5. Определение ошибок конфигурации системы и, возможно, их исправление;
  6. Распознавание специфичных типов атак и приведение персонала защиты в готовность;
  7. Уведомление персонала о недавних изменениях в программах;

Не надо ждать невозможного от систем обнаружения атак и анализа защищенности. Они:

  1. Не могут компенсировать слабые механизмы аутентификации и идентификации;
  2. Не могут проводить исследования атак без человеческого участия;
  3. Не могут компенсировать "слабости" сетевых протоколов;
  4. Не могут компенсировать проблемы в обеспечиваемых системой, надежности и целостности;
  5. Не могут анализировать весь трафик на загруженной сети;
  6. Не могут иметь дела с атаками на уровне сетевых пакетов;
  7. Не могут иметь дела с современными сетевыми устройствами и сетевыми технологиями.


  Copyright © 2001-2020 Dmitry Leonov Design: Vadim Derkach