Дополнительные источники
В идеальном варианте следовало бы установить системы обнаружения атак на все компоненты информационной системы. Однако это невозможно сделать по многим причинам и не только по финансовым. На некоторых компонентах ИС в принципе невозможно установить систему обнаружения атак. Тем не менее, обнаруживать попытки с целью нарушить функционирование этих компонентов необходимо. В качестве примера можно привести пользовательское приложение, использующее для взаимодействия протокол SPX. Как я уже упоминал выше, системы обнаружения, задействующие в качестве источника информации сетевой трафик, обрабатывают только CP/IP-пакеты. Журнал регистрации и какие-либо механизмы контроля действий пользователей не предусмотрены. Поэтому приходится обращаться к дополнительным источникам информации.
Уведомления от пользователей
Один из основных источников дополнительной информации — это сообщения от пользователей, которыми не стоит пренебрегать. И хотя зачастую такие сообщения – всего лишь плод воображения неквалифицированных пользователей, иногда они могут помочь выявить проблемы, не обнаруживаемые другими способами. Примером такого сообщения можно назвать уведомление о появлении дубликата IP-адреса, которое может появиться на рабочей станции пользователя Windows NT. И если нет возможности своевременно отреагировать на сообщения пользователей информационной системы, то необходимо хотя бы зафиксировать их, чтобы в случае возникновения проблем можно было бы использовать сохраненные записи для дальнейшего разбирательства.
Списки рассылки
Списки рассылки (maillist) очень популярны как за рубежом, так и в России. Этот дополнительный источник абсолютно не требует никаких материальных затрат, кроме оплаты подключения к Internet, т. к. сообщения о новых способах атак и уязвимостях распространяются абсолютно бесплатно всем заинтересованным лицам [Лукацкий2-99]. Такого рода бюллетени ведутся так называемыми командами реагирования (Response Team) на инциденты безопасности. Наиболее известными из них являются координационный центр Computer Emergency Response Team (CERT/CC), Computer Incident Advisory Capability (CIAC) и Forum of Incident Response and Security Teams (FIRST). Упомянутые группы собирают статистику об атаках и уязвимостях в программно-аппаратном обеспечении, находят эффективные способы противодействия им и публикуют информацию для всех заинтересованных лиц через списки рассылки или Web-серверы. Все группы реагирования и производители средств обнаружения нарушений политики безопасности контактируют с изготовителями программного и аппаратного обеспечения для разработки эффективных способов противодействия атакам. Однако информация об уязвимости официально публикуется не раньше, чем найдется ей "противоядие". Это основной недостаток всех способов поиска уязвимостей, который приводит к тому, что злоумышленники могут воспользоваться имеющейся информацией до того, как появится способ устранения найденной "бреши". В России до недавнего времени отсутствовали организации, которые бы занимались подобными исследованиями и публиковали информацию об обнаруженных уязвимостях для открытого доступа всех заинтересованных лиц. 15 сентября 1998 года РосНИИРОС объявил о начале действия проекта "CERT Russia", в рамках которого создан WWW-сервер, размещающий на своих страницах новости и обзоры об уязвимостях для российских специалистов. И хотя информации на этом сервере (http://www.cert.ru) на момент написания книги было немного, я надеюсь, что проект будет развиваться и получит поддержку и признание отечественных организаций, работающих на рынке информационной безопасности. Работы по созданию базы данных уязвимостей также было рекомендовано начать на конференции Ассоциации документальной электросвязи (АДЭ), проходившей 9-10 декабря 1998 года в Москве. Анализ информации, публикуемой зарубежными командами реагирования, показывает, что основное внимание уделяется исследованиям систем на платформе Unix и Windows NT. Такая распространенная в России сетевая операционная система, как Novell NetWare, практически не рассматривается. Поэтому сотрудники отделов информационной безопасности и управлений, автоматизации сталкиваются с трудностями при поиске информации об уязвимостях и атаках на данную ОС. Единственное, что можно посоветовать для решения этой проблемы — чаще посещать Web-сервер технической поддержки компании Novell, расположенный по адресу http://support.novell.com. Кроме того, недавно компанией была создана так называемая служба электронных инцидентов (electronic incident), содержащая информацию обо всех инцидентах, связанных с безопасностью в продуктах компании Novell. Эта служба расположена по адресу: http://support.novell.com/elecinc/elecinc.htm. С путями решения вопросов защиты, связанными с продуктами компании Microsoft, можно ознакомиться на Web-сервере технической поддержки по адресу http://www.microsoft.com/security/. Ниже приводятся сведения о наиболее известных компьютерных центрах, занимающихся вопросами информационной безопасности и, в частности, анализом защищенности информационных систем и поиском способов устранения найденных уязвимостей.
Популярное: Генезис конфликтологии как науки в древней Греции: Для уяснения предыстории конфликтологии существенное значение имеет обращение к античной... Как построить свою речь (словесное оформление):
При подготовке публичного выступления перед оратором возникает вопрос, как лучше словесно оформить свою... Почему люди поддаются рекламе?: Только не надо искать ответы в качестве или количестве рекламы... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (596)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |