Число обнаруживаемых атак
Я категорически не рекомендую использовать в качестве основного фактора выбора системы обнаружения атак число обнаруживаемых ею нападений. Ведь это очень субъективный параметр. В качестве примера можно привести следующую гипотетическую ситуацию. Допустим, у нас есть компьютер, который может быть заражен вирусами, и мы стоим перед выбором одного из двух антивирусных средств — AVP и AntiDIR. Первая система широко известна в России и обнаруживает больше тридцати тысяч вирусов (на момент написания книги). Однако она не бесплатна. Вторая программа не требует оплаты и предназначена только для обнаружения и лечения всего одного вируса — DIR. Казалось бы, выбор очевиден — AVP. Однако на практике все обстоит не так просто. Если в качестве исходных данных я приму, что компьютер может быть заражен только одним единственным вирусом DIR, то выбор в пользу АУР уже не столь безусловен. Система AntiDIR в данном случае более предпочтительна. Во-первых, она бесплатна. А во-вторых, она быстрее обнаруживает и удаляет вирус DIR, поскольку оптимизирована специальная для его поиска и лечения. Хотя AVP находит и DIR и тысячи других штаммов, все его возможности являются избыточными в рассматриваемом случае. Можно провести и аналогию с системами обнаружения атак. Зачем нужна сети, в которой используется только платформа Windows, система обнаружения атак, обнаруживающая еще и атаки на Unix. Эти возможности являются лишними и возможно никогда не будут востребованы. Поэтому подходить к выбору системы обнаружения атак надо очень осторожно и не стоит полагаться только на количество обнаруживаемых нападений. Место установки
Первый критерий — место возможной установки системы обнаружения атак. Как уже отмечалось в главе 6, существуют две основных точки установки систем обнаружения атак — на сегменте сети и на конкретном узле. В зависимости от того, какой ресурс должен быть защищен, может быть применена (см. табл. 8.1) либо система обнаружения атак уровня сети (network-based), либо система, функционирующая на уровне ОС, СУБД или приложений (host-based). Например, если необходимо обеспечить безопасность файлового сервера, то приоритетом должны пользоваться системы контроля целостности. Для серверов приложений на первое место выходят средства анализа журналов регистрации. При этом выбираемая система должна контролировать не только системные (EventLog или Syslog), но и любые другие журналы регистрации. Для защиты Web-сервера можно выбрать системы обнаружения атак, отталкиваясь от того, где он расположен. Например, если Web-сервер размещается в демилитаризованной зоне, в которой также находятся и другие узлы (SMTP-, FTP-, DNS-серверы), то вся DMS контролируется системой обнаружения атак уровня сети, а конкретный Web-сервер — системой анализа журналов регистрации. В том случае, если в DMS установлен только один Web-сервер, то целесообразнее применение интегрированного решения, объединяющего контроль журналов регистрации и обнаружение сетевых атак (например, RealSecure Server Sensor). Если необходимо защищать как сетевые, так и системные ресурсы, то желательно выбирать систему обнаружения атак, имеющую сетевой и системный компоненты. Примером такой системы является семейство RealSecure, позволяющее обнаруживать атаки на уровне сети (RealSecure Network Sensor), ОС, СУБД и прикладного ПО (RealSecure OS Sensor или RealSecure Server Sensor). Другим представителем можно назвать решение компании Symantec, предлагающей системы NetProwler (обнаружение сетевых атак) иIntruder Alert (контроль журналов регистрации). Однако на момент написания книги эти системы не замыкались на единую консоль управления.
Источники информации и методы анализа
Источники информации (сетевой трафик, журналы регистрации, деятельность пользователей и т.д.) и методы анализа (обнаружение злоупотреблений и аномалий), которые позволяют сделать заключение о наличии атаки, были подробно описаны в главе 4. Выполнение
Следующим распространенным критерием, влияющим на выбор системы обнаружения атак, является момент времени, в который осуществляется обработка данных, получаемых из заданных источников информации.
Пакетная обработка
По данному принципу работают системы анализа защищенности, "классические" системы обнаружения атак на уровнях выше сетевого и системы контроля целостности. В пакетно-ориентированных, также называемых интервально-ориентированными (Batch или Interval Oriented), или статических подходах механизмы аудита ОС, СУБД и приложений (или механизмы систем контроля целостности) регистрируют информацию о каждом событии, в соответствующих журналах, а система обнаружения атак периодически анализирует эти журналы на предмет обнаружения злоупотреблений или аномальной деятельности (или несоответствия эталонным значениям контрольных сумм). Достоинства и недостатки средств, работающих в режиме пакетной обработки, описаны в табл. 8.2. Таблица 8.2. Достоинства и недостатки систем обнаружения атак, функционирующих в пакетном режиме
Популярное: Модели организации как закрытой, открытой, частично открытой системы: Закрытая система имеет жесткие фиксированные границы, ее действия относительно независимы... Генезис конфликтологии как науки в древней Греции: Для уяснения предыстории конфликтологии существенное значение имеет обращение к античной... Организация как механизм и форма жизни коллектива: Организация не сможет достичь поставленных целей без соответствующей внутренней... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (557)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |