BugTraq.Ru
Русский BugTraq
https://bugtraq.ru/library/books/icsa/chapter1/

Обзор методов обнаружения атак

Системы обнаружения атак представляют собой важный сегмент рынка технологий защиты. Согласно промышленным оценкам, рынок продуктов по обнаружению атак вырос с 40 млн. долларов в 1997 году [Yankee Group] до 100 млн. долларов в 1998 году [Aberdeen Group]. Как сообщается в докладах, рост этого рынка обусловлен увеличением количества "дыр" в защите компьютеров (с 1996 по 1998 год их количество возросло на 22% ["Third Annual CSI/FBI Computer Crime and Security Survey", Computer Security Institute, March, 1998.]). Согласно опросу ведущих предприятий промышленности, величина потерь при этом составила 136 млн. долларов. Продукты по обнаружению атак рассматриваются многими в качестве логического дополнения к межсетевым экранам (МСЭ), расширяя возможности системных администраторов в управлении безопасностью, которые включают аудит защиты, мониторинг, распознавание атак и реагирование на них.

В настоящей публикации мы представляем обзор этой технологии защиты, расширяя традиционный взгляд на системы обнаружения атак с тем, чтобы включить анализ уязвимостей. Эти технологии играют крайне важную роль в управлении защитой современной системы.

Что значит обнаружение атак?

Системы обнаружения атак помогают компьютерным системам подготовиться к приему и отражению атак. Они выполняют эту цель путем сбора информации о целом ряде системных и сетевых ресурсов, затем они анализируют собранную информацию на предмет идентификации проблем защиты. В некоторых случаях системы обнаружения атак позволяют пользователю устанавливать ответные реакции на злоупотребления в реальном масштабе времени.

Системы обнаружения атак выполняют целый ряд функций:

Некоторые системы имеют дополнительные характеристики, включающие:

Комбинация этих характеристик позволяет системным администраторам более эффективно осуществлять мониторинг, аудит и анализ систем и сетей. Эта непрерывная деятельность по анализу и аудиту является необходимой частью стандартной практики по управлению защитой.

Анализ уязвимостей и обнаружение атак

Системы поиска уязвимостей (также известные как сканеры безопасности или анализа защищенности) проводят всесторонние исследования систем с целью определения уязвимостей, которые могут привести к нарушениям защиты. При проведении этих исследований эти системы реализуют две стратегии. Первая - пассивная, - механизмы, действующие на уровне операционной системы и приложений, инспектируют конфигурационные файлы системы на предмет наличия неправильных параметров; файлы с системными паролями на предмет наличия легко угадываемых паролей, а также другие системные объекты на предмет нарушений политики безопасности. Следующие проверки в большинстве случаев являются активными, они осуществляют анализ на сетевом уровне, воспроизводя наиболее распространенные сценарии атак, и анализируют реакции системы на эти сценарии.

Результаты, полученные от средств анализа уязвимостей, представляют "мгновенный снимок" состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут надежно обнаруживать атаку в процессе ее развития, они могут определить то, что атака является возможной и, более того, иногда они могут определить, что атака имела место. Поскольку они предлагают возможности, аналогичные возможностям, предоставляемыми системами обнаружения атак, мы включили их в сферу технологий и продуктов обнаружения атак.

Продукты, которые могут быть успешно использованы в операционных средах

Главная задача средств поиска уязвимостей и обнаружения атак заключается в том, чтобы автоматизировать рутинные и утомительные функции управления защитой системы, и сделать их понятными для тех, кто не является экспертом в области защиты информации. Поэтому продукты разрабатываются с графическим интерфейсом, удобным и понятным для пользователя, что помогает администраторам безопасности легко и быстро осуществлять инсталляцию, конфигурацию и использование соответствующих продуктов. Большинство систем включают информацию об обнаруживаемых проблемах, включая указания на то, как устранить эти проблемы. Эта информация служит в качестве ценного руководства для тех, кому необходимо повысить свои профессиональные навыки в области защиты информации. Многие продавцы предлагают консультационные услуги и услуги по интеграции своих продуктов в технологию обработки информации организации для того, чтобы помочь покупателям успешно использовать данные системы с целью достижения своих конкретных целей в защите информации.

Таблица технологических характеристик

Данная таблица показывает характеристики систем обнаружения атак и анализа уязвимостей, описывая достоинства и недостатки каждой системы. Особенности каждой характеристики подробно обсуждаются в разделе: Обнаружение атак и анализ уязвимостей: Технические концепции и определения.





  Copyright © 2001-2024 Dmitry Leonov Design: Vadim Derkach