Пользователи системы обнаружения атак

Для разграничения доступа к системе обнаружения атак требуется так настроить операционную систему, под управлением которой функционирует система обнаружения атак, как это описано выше. Во-первых, необходимо ограничить круг пользователей, имеющих к ней доступ, чтобы никто кроме определенных лиц не имел к ней доступа. Это даст возможность предотвратить несанкционированную реконфигурацию системы обнаружения атак и нарушение ее функционирования. Как минимум, к системе обнаружения атак должны иметь доступ двое специалистов:

· администратор (или оператор) системы обнаружения атак, отвечающий за ее настройку и мониторинг контролируемых ресурсов;

· администратор операционной системы, поддерживающий ее функционирование, обновление системного ПО и т. д.

Во многих организациях эти сотрудники относятся к различным подразделениям: управлению безопасности (или отделу защиты информации) и управлению информатизации. В крупных компаниях с разветвленной структурой "руководство" системой обнаружения атак может выполняться не двумя, а большим числом специалистов. Например, настройку сенсоров осуществляет администратор, мониторинг сети — оператор, а за реагирование на обнаруженные атаки ответственен третий сотрудник (группы реагирования на инциденты). При этом операторы системы обнаружения атак не имеют возможности изменить ее конфигурацию. В противном случае указанные категории пользователей совмещаются в одном лице.

Если система обнаружения атак выполнена как программно-аппаратное решение с функциями маршрутизации (например, Cisco Secure Integrated Software или RealSecure for Nokia), то вместо администратора ОС с данным "симбионтом" работает администратор сети (из управления телекоммуникаций). За рубежом в последнее время получили широкое распространение услуги по аутсорсингу в области безопасности, т. е. управление средствами защиты специалистами третьих фирм, специализирующимися на предоставлении подобных услуг. В этом случае функции управления системой обнаружения атак и операционной системой возлагаются на персонал этих фирм.

Права доступа к системе обнаружения атак

В случае удаленного доступа к системе обнаружения атак, а также для укрепления надежности взаимодействия между ее компонентами (например, Между сенсором и консолью) необходимо использовать механизмы строгой аутентификации и криптографических преобразований. Причем эти механизмы нужны даже в том случае, если такое взаимодействие или доступ осуществляются из внутренней сети. Не стоит полагаться на такую возможность, как контроль доступа с определенных адресов. Во-первых, такой контроль не может быть осуществлен в сетях с динамическим выделением адресов (например, при помощи протокола DHCP). А во-вторых, адрес достаточно легко подменить, что позволит злоумышленнику выдать себя за одного из участников взаимодействия. Выходом из данной ситуации является технология UAM (User to Address Mapping), предложенная компанией Check Point и реализованная в ее решениях. С помощью разработанного Check Point интерфейса OPSEC SDK можно интегрировать названный механизм в системы обнаружения атак. Данная технология очень проста и позволяет эффективно осуществлять аутентификацию пользователей в сетях с динамическим выделением адресов. Аутентификация заключается в следующей последовательности действий:

1. После включения компьютер обращается к DHCP-серверу и получает свободный IP-адрес. Одновременно с этим информация о выделенном IP-адресе и соответствующем ему МАС-адресе и имени узла посылается на UAM-сервер.

2. При регистрации пользователя в сети на UAM-сервер передаются сведения об имени пользователя и имени узла, с которого осуществляется вход в систему.

3. Затем UAM-сервер сопоставляет данные, полученные на первом и втором шагах, и в результате имеет точное представление о том, по какому адресу в данный момент времени находится тот или иной пользователь.

4. При доступе к различным ресурсам система защиты оперирует не IP-адресами, а именами пользователей.

Политика безопасности

Политика безопасности (в части, касающейся инфраструктуры обнаружения атак) должна рассматривать следующий список как неявно заданные вопросы и содержать ответы на них.

· Описание контрольных сумм (хэш-функций) программного обеспечения системы обнаружения атак.

· Список пользователей, имеющих доступ к системе обнаружения атак.

· Меры, предпринимаемые по защите системы обнаружения атак.

· Расписание порядка резервирования компонентов системы обнаружения атак.

Все действия, связанные с системой обнаружения атак, должны быть зафиксированы в соответствующих документах, составляющих политику безопасности. Расположенный ниже список опять-таки содержит вопросы, на которые вы должны ответить, заполняя эти документы.

· Контролируемые ресурсы или анализируемые узлы.

· Наиболее вероятные атаки.

· Объекты (протоколы, адреса, порты, файлы и т. д.), доступные извне для защищаемого ресурса.

· Субъекты (пользователи, приложения и т. п.), использующие защищаемые ресурсы.

· Кто и как будет управлять системой обнаружения атак?

· Правила и шаблоны системы обнаружения атак.