Системы обнаружения атак на сетевом и операционном уровне
Как было отмечено выше, существуют два класса систем, обнаруживающих атаки на сетевом и операционном уровне [58]. Использование метода обнаружения атак в сетевом графике имеет определенные достоинства:
Принципиальное преимущество сетевых систем обнаружения атак состоит в том, что они идентифицируют нападение прежде, чем оно достигнет атакуемого узла. Эти системы проще для развертывания в крупных сетях, потому что они не требуют установки на различные платформы, используемые в организации. Кроме того, системы обнаружения атак на уровне сети практически не снижают производительности сети. Однако нельзя не отметить и некоторые недостатки:
Системы обнаружения атак на уровне хоста были созданы для работы под управлением конкретной операционной системы, что накладывает на них определенные ограничения. Используя знание того, как должна себя «вести» операционная система, средства обнаружения, построенные с учетом подобного подхода, иногда могут выявить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако часто это достигается большой ценой, потому что постоянная регистрация, необходимая для выполнения такого процесса, существенно снижает производительность защищаемого хоста. Подобные системы обнаружения атак сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации. Поэтому они в принципе не применимы для высококритичных систем, работающих в режиме реального времени (например, система «Операционный день банка» или система диспетчерского управления). Системы уровня ОС не видят отраженных атак, которые не достигают узлов за межсетевым экраном. Эта потерянная информация может быть наиболее важной при оценке и совершенствовании политики безопасности. Однако оба вышеуказанных подхода могут найти применение для защиты предприятия или организации. Если требуется защитить один или несколько узлов, то неплохим выбором могут быть системы обнаружения атак на уровне хоста. Если требуется защитить большую часть сетевых узлов организации, то лучшим выбором будут системы обнаружения атак на уровне сети, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемого при помощи сетевой системы обнаружения атак. Она сможет без дополнительной настройки защищать дополнительные узлы, меж тем как в случае применения системы, функционирующей на уровне хостов, понадобятся ее установка и настройка на каждый защищаемый хост. Идеальным решением была бы система обнаружения атак, сочетающая оба названных подхода. Данному требованию удовлетворяет разработка RealSecure компании Internet Security Systems Inc. В состав этой системы входят сетевой и системный агенты, обнаруживающие атаки на уровне сети и хоста соответственно. Существует еще одна классификация систем обнаружения атак. Она делит системы по способу анализа данных - в реальном масштабе времени или после совершения события. Как правило, системы обнаружения атак на уровне сети работают в режиме реального времени, в то время как системы, функционирующие на уровне хоста, обеспечивают автономный анализ регистрационных журналов ОС или приложений. Однако бывают и исключения. Например, системный агент вышеупомянутой системы RealSecure функционирует в реальном масштабе времени. Преимущества и недостатки каждого из подходов зависят от того, как будет применяться система обнаружения атак. Для высококритичных систем, таких как, например, «Банковский операционный день», обнаружение атак в режиме реального времени обязательно, поскольку злоумышленник может проникнуть в систему, сделать все необходимое и исчезнуть в течение нескольких минут или даже секунд. Автономный анализ в режиме off-line также имеет немаловажное значение. Он позволяет проводить более подробное исследование того, когда и как злоумыш-ленники проникли в вашу систему. Это дает возможность выработать эффективные меры противодействия нападавшим нарушителям. Такой анализ может быть реализован по-разному, начиная от простой генерации отчета с информацией обо всех или выбранных прошедших событиях и заканчивая воспроизведением (playback) в реальном времени всех действий, производимых при атаке (как это, например, реализовано в системе RealSecure). Методы реагирования Атака не только должна быть обнаружена, необходимо еще правильно и своевременно среагировать на нее. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории [58,59]:
Применение той или иной реакции зависит от многих факторов. Уведомление. Самым простым и широко распространенным методом уведомления является отправка администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Такая консоль может быть установлена не у каждого сотрудника, отвечающего в организации за безопасность; кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необходимо применение иных механизмов уведомления. Такими механизмами могут быть отправка сообщений по электронной почте, на пейджер, по факсу или телефону. Последние два варианта присутствуют в системе обнаружения атак RealSe-cure американской компании Internet Security Systems Inc. К категории «уведомление» относится также посылка управляющих последовательностей к другим системам, в частности сетевого управления, или к межсетевым экранам (Checkpoint Firewall-1, Raptor Firewall и т.д.). В первом случае используется стандартизованный протокол SNMP, а во втором — внутренние или стандартизованные (например, SAMP) протоколы. Сохранение. К категории «сохранение» относятся два варианта реагирования:
Первый вариант широко распространен и в других системах защиты. Для реализации второго бывает необходимо «пропустить» атакующего в сеть компании и зафиксировать все его действия. Это позволяет администратору безопасности затем воспроизвести в реальном масштабе времени (или с заданной скоростью) все действия, осуществленные атакующим, проанализировать «успешные» атаки и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства. Активное реагирование. К этой категории относятся следующие варианты реагирования:
Системы обнаружения атак могут предложить конкретные варианты реагирования: блокировку учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурацию межсетевых экранов и маршрутизаторов и т.д. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой, их надо использовать очень аккуратно, так как неправильное их применение может привести к нарушению работоспособности всей корпоративной информационной системы.
Популярное: Почему стероиды повышают давление?: Основных причин три... Почему двоичная система счисления так распространена?: Каждая цифра должна быть как-то представлена на физическом носителе... Как построить свою речь (словесное оформление):
При подготовке публичного выступления перед оратором возникает вопрос, как лучше словесно оформить свою... Почему люди поддаются рекламе?: Только не надо искать ответы в качестве или количестве рекламы... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (275)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |