информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Портрет посетителяЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / введение в обнаружение атак /
обзор методов обнаружения атак
ВВЕДЕНИЕ В ОБНАРУЖЕНИЕ АТАК
титул
оглавление
введение
обзор методов обнаружения атак
области применения систем обнаружения атак
что могут и чего не могут системы обнаружения атак
почему необходимо изучать системы обнаружения атак
наиболее часто задаваемые вопросы
технические концепции и определения
анализ уязвимостей
краткие итоги и заключение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Обзор методов обнаружения атак

Системы обнаружения атак представляют собой важный сегмент рынка технологий защиты. Согласно промышленным оценкам, рынок продуктов по обнаружению атак вырос с 40 млн. долларов в 1997 году [Yankee Group] до 100 млн. долларов в 1998 году [Aberdeen Group]. Как сообщается в докладах, рост этого рынка обусловлен увеличением количества "дыр" в защите компьютеров (с 1996 по 1998 год их количество возросло на 22% ["Third Annual CSI/FBI Computer Crime and Security Survey", Computer Security Institute, March, 1998.]). Согласно опросу ведущих предприятий промышленности, величина потерь при этом составила 136 млн. долларов. Продукты по обнаружению атак рассматриваются многими в качестве логического дополнения к межсетевым экранам (МСЭ), расширяя возможности системных администраторов в управлении безопасностью, которые включают аудит защиты, мониторинг, распознавание атак и реагирование на них.

В настоящей публикации мы представляем обзор этой технологии защиты, расширяя традиционный взгляд на системы обнаружения атак с тем, чтобы включить анализ уязвимостей. Эти технологии играют крайне важную роль в управлении защитой современной системы.

Что значит обнаружение атак?

Системы обнаружения атак помогают компьютерным системам подготовиться к приему и отражению атак. Они выполняют эту цель путем сбора информации о целом ряде системных и сетевых ресурсов, затем они анализируют собранную информацию на предмет идентификации проблем защиты. В некоторых случаях системы обнаружения атак позволяют пользователю устанавливать ответные реакции на злоупотребления в реальном масштабе времени.

Системы обнаружения атак выполняют целый ряд функций:

  • Мониторинг и анализ деятельности пользователей и вычислительных систем;
  • Аудит конфигураций системы и уязвимостей;
  • Оценка целостности наиболее важных системных файлов и файлов данных;
  • Распознавание шаблонов активности, отражающих известные атаки;
  • Статистический анализ шаблонов аномальной активности;
  • Управление журналами регистрации операционной системы с распознаванием деятельности пользователя, отражающей нарушения политики безопасности.

Некоторые системы имеют дополнительные характеристики, включающие:

  • автоматическую инсталляцию patch'ей ПО, поставляемых продавцом;
  • инсталляцию и работу серверов-ловушек для записи информации о нарушителях.

Комбинация этих характеристик позволяет системным администраторам более эффективно осуществлять мониторинг, аудит и анализ систем и сетей. Эта непрерывная деятельность по анализу и аудиту является необходимой частью стандартной практики по управлению защитой.

Анализ уязвимостей и обнаружение атак

Системы поиска уязвимостей (также известные как сканеры безопасности или анализа защищенности) проводят всесторонние исследования систем с целью определения уязвимостей, которые могут привести к нарушениям защиты. При проведении этих исследований эти системы реализуют две стратегии. Первая - пассивная, - механизмы, действующие на уровне операционной системы и приложений, инспектируют конфигурационные файлы системы на предмет наличия неправильных параметров; файлы с системными паролями на предмет наличия легко угадываемых паролей, а также другие системные объекты на предмет нарушений политики безопасности. Следующие проверки в большинстве случаев являются активными, они осуществляют анализ на сетевом уровне, воспроизводя наиболее распространенные сценарии атак, и анализируют реакции системы на эти сценарии.

Результаты, полученные от средств анализа уязвимостей, представляют "мгновенный снимок" состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут надежно обнаруживать атаку в процессе ее развития, они могут определить то, что атака является возможной и, более того, иногда они могут определить, что атака имела место. Поскольку они предлагают возможности, аналогичные возможностям, предоставляемыми системами обнаружения атак, мы включили их в сферу технологий и продуктов обнаружения атак.

Продукты, которые могут быть успешно использованы в операционных средах

Главная задача средств поиска уязвимостей и обнаружения атак заключается в том, чтобы автоматизировать рутинные и утомительные функции управления защитой системы, и сделать их понятными для тех, кто не является экспертом в области защиты информации. Поэтому продукты разрабатываются с графическим интерфейсом, удобным и понятным для пользователя, что помогает администраторам безопасности легко и быстро осуществлять инсталляцию, конфигурацию и использование соответствующих продуктов. Большинство систем включают информацию об обнаруживаемых проблемах, включая указания на то, как устранить эти проблемы. Эта информация служит в качестве ценного руководства для тех, кому необходимо повысить свои профессиональные навыки в области защиты информации. Многие продавцы предлагают консультационные услуги и услуги по интеграции своих продуктов в технологию обработки информации организации для того, чтобы помочь покупателям успешно использовать данные системы с целью достижения своих конкретных целей в защите информации.

Таблица технологических характеристик

Данная таблица показывает характеристики систем обнаружения атак и анализа уязвимостей, описывая достоинства и недостатки каждой системы. Особенности каждой характеристики подробно обсуждаются в разделе: Обнаружение атак и анализ уязвимостей: Технические концепции и определения.





Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach