Число обнаруживаемых атак

Я категорически не рекомендую использовать в качестве основного фактора выбора системы обнаружения атак число обнаруживаемых ею нападений. Ведь это очень субъективный параметр. В качестве примера можно привести следующую гипотетическую ситуацию. Допустим, у нас есть компьютер, ко­торый может быть заражен вирусами, и мы стоим перед выбором одного из двух антивирусных средств — AVP и AntiDIR. Первая система широко из­вестна в России и обнаруживает больше тридцати тысяч вирусов (на момент написания книги). Однако она не бесплатна. Вторая программа не требует оплаты и предназначена только для обнаружения и лечения всего одного ви­руса — DIR. Казалось бы, выбор очевиден — AVP. Однако на практике все обстоит не так просто. Если в качестве исходных данных я приму, что компь­ютер может быть заражен только одним единственным вирусом DIR, то выбор в пользу АУР уже не столь безусловен. Система AntiDIR в данном случае более предпочтительна. Во-первых, она бесплатна. А во-вторых, она быстрее обнаруживает и удаляет вирус DIR, поскольку оптимизирована специальная для его поиска и лечения. Хотя AVP находит и DIR и тысячи других штаммов, все его возможности являются избыточными в рассматриваемом случае. Можно провести и аналогию с системами обнаружения атак. Зачем нужна сети, в которой используется только платформа Windows, система обнаружения атак, обнаруживающая еще и атаки на Unix. Эти возможности являются лишними и возможно никогда не будут востребованы. Поэтому подходить к выбору системы обнаружения атак надо очень осторожно и не стоит полагаться только на количество обнаруживаемых нападений.

Место установки

Первый критерий — место возможной установки системы обнаружения атак. Как уже отмечалось в главе 6, существуют две основных точки установки систем обнаружения атак — на сегменте сети и на конкретном узле. В зависимости от того, какой ресурс должен быть защищен, может быть применена (см. табл. 8.1) либо система обнаружения атак уровня сети (network-based), либо система, функционирующая на уровне ОС, СУБД или приложений (host-based). Например, если необходимо обеспечить безопасность файлового сервера, то приоритетом должны пользоваться системы контроля целостности. Для серверов приложений на первое место выходят средства анализа журналов регистрации. При этом выбираемая система должна контролировать не только системные (EventLog или Syslog), но и любые другие журналы регистрации. Для защиты Web-сервера можно выбрать системы обнаружения атак, отталкиваясь от того, где он расположен. Например, если Web-сервер размещается в демилитаризованной зоне, в которой также находятся и другие узлы (SMTP-, FTP-, DNS-серверы), то вся DMS контролируется системой обнаружения атак уровня сети, а конкретный Web-сервер — системой анализа журналов регистрации. В том случае, если в DMS установлен только один Web-сервер, то целесообразнее применение интегрированного решения, объединяющего контроль журналов регистрации и обнаружение сетевых атак (например, RealSecure Server Sensor).

Если необходимо защищать как сетевые, так и системные ресурсы, то желательно выбирать систему обнаружения атак, имеющую сетевой и системный компоненты. Примером такой системы является семейство RealSecure, позволяющее обнаруживать атаки на уровне сети (RealSecure Network Sensor), ОС, СУБД и прикладного ПО (RealSecure OS Sensor или RealSecure Server Sensor). Другим представителем можно назвать решение компании Symantec, предлагающей системы NetProwler (обнаружение сетевых атак) иIntruder Alert (контроль журналов регистрации). Однако на момент написания книги эти системы не замыкались на единую консоль управления.

Источники информации и методы анализа

Источники информации (сетевой трафик, журналы регистрации, деятель­ность пользователей и т.д.) и методы анализа (обнаружение злоупотребле­ний и аномалий), которые позволяют сделать заключение о наличии атаки, были подробно описаны в главе 4.

Выполнение

Следующим распространенным критерием, влияющим на выбор системы обнаружения атак, является момент времени, в который осуществляется об­работка данных, получаемых из заданных источников информации.

Пакетная обработка

По данному принципу работают системы анализа защищенности, "класси­ческие" системы обнаружения атак на уровнях выше сетевого и системы контроля целостности. В пакетно-ориентированных, также называемых интервально-ориентированными (Batch или Interval Oriented), или статических подходах механизмы аудита ОС, СУБД и приложений (или механизмы сис­тем контроля целостности) регистрируют информацию о каждом событии, в соответствующих журналах, а система обнаружения атак периодически ана­лизирует эти журналы на предмет обнаружения злоупотреблений или ано­мальной деятельности (или несоответствия эталонным значениям контроль­ных сумм). Достоинства и недостатки средств, работающих в режиме пакетной обработки, описаны в табл. 8.2.

Таблица 8.2. Достоинства и недостатки систем обнаружения атак,

функционирующих в пакетном режиме