информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Страшный баг в WindowsЗа кого нас держат?Портрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / библиотека / книги / введение в обнаружение атак /
наиболее часто задаваемые вопросы
ВВЕДЕНИЕ В ОБНАРУЖЕНИЕ АТАК
титул
оглавление
введение
обзор методов обнаружения атак
области применения систем обнаружения атак
что могут и чего не могут системы обнаружения атак
почему необходимо изучать системы обнаружения атак
наиболее часто задаваемые вопросы
технические концепции и определения
анализ уязвимостей
краткие итоги и заключение




Подписка:
BuqTraq: Обзор
RSN
БСК
Закон есть закон




Наиболее часто задаваемые вопросы

О системе обнаружении атак

Что такое система обнаружения атак?

Система обнаружения атак контролирует компьютерные системы на предмет вторжения (несанкционированных пользователей) или злоупотреблений (санкционированных пользователей, превышающих свои полномочия).

Каким образом это происходит?

Системы обнаружения атак осуществляют мониторинг целого ряда информационных источников систем, анализируя эту информацию разнообразными методами. Первый, наиболее распространенный заключается в сравнении этой информации с сигнатурами атак, каждая из которых отражает попытку обойти или дискредитировать средства защиты. Второй метод заключается в поиске проблем, имеющих отношение к санкционированным пользователям, превышающим свои полномочия (например, клерк из службы поставки, пытающийся найти важные записи в платежных ведомостях). Наконец, некоторые системы обнаружения атак осуществляют статистический анализ информации с целью поиска картин аномальной деятельности, которые, возможно (или могут) попадают в две предыдущие категории (например, попытки доступа в подозрительное время или необычное количество отказавших попыток входа в систему).

Но у нас уже есть МСЭ, зачем нам нужна еще система обнаружения атак?

МСЭ - это система защиты, аналогичная изгороди вокруг вашей сети и посту охраны на входных воротах. Это может помочь вам защититься от наиболее непривлекательных личностей, но не может сказать вам, что происходит внутри, когда это необходимо. Системы обнаружения атак аналогичны системам многосенсорного видео-мониторинга и системам сигнализации о взломе. Они осуществляют централизованный сбор необходимой информации, анализируют ее на наличие шаблонов подозрительной деятельности во многом таким же способом, как и охранник на посту управления, просматривающий данные, поступающие от камер видеонаблюдения, и в некоторых случаях, работают с проблемами, которые они обнаруживают. Большинство потерь вследствие инцидентов компьютерной защиты по-прежнему связано со злоупотреблениями внутри сети. Системы обнаружения атак, а не МСЭ, способны обнаруживать эту категорию нарушений защиты.

Что может обнаруживать система обнаружения атак, а МСЭ не может?

МСЭ являются мишенью для многих атак. В качестве двух наиболее действенных атак рассматриваются туннельные атаки и атаки на уровне приложений.

Атаки туннельного типа возникают вследствие свойств сетевых протоколов. МСЭ фильтруют пакеты и принимают решения пропуска или блокирования пакета, опираясь на информацию об используемом сетевом протоколе. Как правило, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол. Если "да", то пакету разрешается пройти. Это представляет проблему, когда хакер маскирует трафик, который должен быть выведен на экран МСЭ путем инкапсуляции его внутри пакетов, соответствующих другому сетевому протоколу.

Атаки на уровне приложений связаны с практикой использования уязвимостей в приложениях путем отправки пакетов, которые непосредственно связываются с этими приложениями. Таким образом, можно воспользоваться проблемой в Web-приложении путем посылки HTTP-команды, которая выполняет переполнение буфера в Web-приложении. Если МСЭ сконфигурирован на то, чтобы пропускать HTTP-трафик, пакет, содержащий атаку, будет пропущен.

Мы инвестировали довольно много средств в устройства защиты наших сетевых ресурсов: у нас есть токенная идентификация и аутентификация, у нас есть МСЭ. Зам нам еще нужна система обнаружения атак?

Даже, когда у вас имеется великолепная инфраструктура защиты, вам по-прежнему необходимы значительные гарантии, которые предоставляет только система обнаружения атак. Неважно, насколько хорошо разработаны отдельные средства защиты, они по-прежнему подвержены отказу вследствие аномалий в аппаратных средах или ПО, или из-за пользовательских проблем. Временами пользователи аннулируют защиту, предоставляемую различными средствами, делая ее недоступной или обходя ее. Системы обнаружения атак, из-за того, что они способны просматривать сообщения от других частей инфраструктуры защиты, могут обнаружить, когда происходит отказ. В некоторых случаях они могут сказать вам, что происходит до тех пор, пока не произойдет отказ.

О продуктах анализа защищенности

Что представляют собой системы анализа защищенности?

Системы анализа защищенности, также известные как "сканеры уязвимостей", это программные средства, которые осуществляют аудит защиты на системах, пытаясь найти признаки того, что сканируемая система является уязвимой к определенным атакам.

Каким образом они работают?

Системы поиска уязвимостей используют два подхода для определения местонахождения уязвимостей защиты и генерации отчетов о них. Первый подход, "пассивное сканирование", осуществляет проверку настроек (установок) системы, таких как права доступа к файлам, наследование наиболее важных файлов, настройки маршрута (в сети) и т.д. Второй подход, "активное" сканирование, на самом деле использует серии известных хакерских сценариев, регистрируя результаты атак. Некоторые системы также осуществляют проверки на подбор пароля для того, чтобы обнаружить плохие/слабые пароли, которые могут быть легко подобраны хакерами. В конечном итоге данные средства представляют свои находки на экране результатов и при помощи механизма генерации отчетов.

Что ценного добавлено в системы анализа защищенности?

Системы поиска уязвимостей представляют собой важнейшую часть управления системой защиты организации. Они позволяют системным администраторам использовать сравнение с эталоном системы защиты. Они позволяют проводить аудит системы защиты на периодической основе с целью определения состояния системы защиты в данный момент времени. Многие из них предоставляют возможность для проведения "дифференциального анализа" путем архивирования результатов сканирования, и последующего сравнения результатов последующих сканирований с архивными данными, сообщая, когда появляются новые уязвимости и неожиданные изменения.




Rambler's Top100
Рейтинг@Mail.ru



назад «     » вперед


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach