Обнаружение самых последних атак

Многие средства обнаружения атак поставляются с обширными базами сигнатур атак, при помощи которых анализируется информация, поступающая из контролируемой системы. Фирмы, разрабатывающие или поставляющие эти продукты, имеют в своем штате квалифицированный персонал, который следит за публикациями в сети Internet и другими источниками с целью поиска Сообщений и другой информации о новых хакерских инструментах для реализации атаки и новых методах атак. Затем они используют эту информацию для разработки новых сигнатур, которые поставляются клиентам по защищенному каналу.

Взломан сайт Ватикана

"Через час после того, как в среду было опубликовано обращение папы Римского, в котором он напомнил католикам всего мира об опасностях, которые таят в себе современные технологии и, в частности, электронные СМИ, неизвестные хакеры взломали сайт радио Ватикана", — сообщило 29 января 2001 г. агентство Netoscope.ru со ссылкой на агентство Reuters. Обращение папы было приурочено к ежегодно отмечаемому Всемирному дню связи (World Communications Day). Этот день призван напоминать католикам о необходимости шире использовать современные средства массовой информации для пропаганды религиозных идей. В этом году римский понтифик особое внимание уделил Internet и электронным средствам массовой информации. Он, в частности, упомянул об опасности всеобъемлющей информационной доступности. В условиях богатого плюрализма воззрений особенно широко распространяются нигилизм, равнодушие и идея отсутствия абсолютной истины, что "чревато сомнениями в истинной вере и духовным обеднением". "В результате медиа-мир может иногда казаться не более дружественным для приобщения к христианским идеям, чем языческое окружение апостольских времен", — говорится в обращении. Что, по всей видимости, и не замедлили подтвердить неизвестные хакеры. По сведениям II Messaggero, во взломе подозревается некая хакерская группа из Бразилии. Как заявил отец Федерико Ломбарди, глава радио Ватикана, хакеры причинили сайту лишь небольшой ущерб и вскоре ресурс смог вернуться в нормальное рабочее состояние.

Облегчение управления защитой ваших систем неопытному персоналу

Не надо доказывать тот факт, что обеспечение информационной безопасности должно осуществляться квалифицированным персоналом. Однако на практике это не всегда так. Поэтому некоторые средства обнаружения атак предоставляют возможность персоналу, не имеющему достаточного опыта в части информационной безопасности, осуществлять управление параметрами, связанными с защитой информационной системой. Обычно это реализуется при помощи графического интерфейса с множеством всевозможных подсказок, которые ведут пользователей через весь процесс эксплуатации системы логическим и интуитивно понятным путем.

Нереальные ожидания

Выше приведены некоторые из задач, которые могут быть решены с помощью технологии обнаружения атак. Но не стоит думать, что она избавят вас от всех проблем.

Системы обнаружения атак — не панацея

Существует принцип "слабого звена", согласно которому защищенность всей системы равна защищенности самого слабого ее звена. Поэтому, несмотря на все ухищрения защитных механизмов, достаточно одной уязвимости на узле, чтобы нападающий смог получить доступ к нему и в перспективе скомпрометировать всю сеть. Не существует волшебных решений для устранения всех проблем, связанных с защитой сети, и технологии обнаружения атак не являются исключением из этого правила. Однако, как часть всестороннего управления защитой, они могут играть существенно важную роль в защите информационных систем.

Компенсация слабых механизмов идентификации и аутентификации

Хотя и есть утверждения, сделанные на основе исследований систем обнаружения атак, что сложнейший статистический анализ поведения (режима работы) пользователя может помочь в идентификации конкретного человека посредством наблюдения за его деятельностью в системе, этот факт довольно далек от того, что демонстрируется сейчас на практике. Поэтому по-прежнему приходится опираться на средства аутентификации и идентификации пользователей. Лучше всего это осуществляется усиленными механизмами аутентификации (включая биометрические схемы и аппаратные идентификаторы). Инфраструктура защиты, которая включает усиленные (механизмы аутентификации и идентификации, а также системы обнаружения атак, является более надежной, чем инфраструктура только с одной (той или другой) составляющей.

Взломан сайт Nasdaq

Как сообщило 29 декабря 2000 г. агентство Netoscope.ru, хакер по имени "prime suspectz" в субботу взломал сайт Nasdaq Stock Market и заменил содержание страницы Nasdaq-100 Index (100 наиболее популярных на бирже фирм, котирующихся на Nasdaq). Вместо информации о снижении и подъеме цен на акции на странице появилось оскорбительное послание, в котором сообщалось, насколько просто взломать сервер на базе программных продуктов Microsoft. Действительно, в мае 1999 года сайт Nasdaq был перенесен с системы серверов, созданных компаниями Sun Microsystems и Tandem Computers, на систему из 22 серверов Unisys Corp. Aquanta ES5000 на базе процессоров Pentium Ш Хеоп и под управлением программных продуктов Microsoft. Происшедший инцидент— уже второй взлом сайта Nasdaq с момента смены системы. В прошлом году группа хакеров, называющих себя "United Loan Gunmen", взломали сайты Nasdaq и American Stock Exchange, но не успели "стащить" ничего ценного. Представители Nasdaq сообщили, что система безопасности сайта оказалась на высоте и никуда, кроме Nasdaq-100 Index, хакеры пролезть не сумели. По данным Nasdaq, система финансовых транзакций и онлайновой игры на бирже не пострадала.