Безопасность и Internet - статьи

       

Как системы обнаружения атак "приноравливаются"


Ранум: Это не совсем правильная аналогия. Фильтрация, proxy, межсетевые экраны подобны броне вокруг Вашей сети. Системы обнаружения атак подобны хирургу, который сообщает Вам, что пуля прошла мимо вашей спины (т.е. не задела что-то важное - примечание переводчика). Первоначальная идея систем обнаружения атак состояла в том, что они были пассивными, т.е. "Системами Обнаружения Атак" ("Intrusion Detection System"), а не "Экспертами по Отражению Атак" ("Intrusion Countermeasure Expert" - ICE из Neuromancer). Межсетевые экраны и т.д. разработаны для активной или пассивной защиты, а системы обнаружения атак - для активного или пассивного обнаружения.

Карри: Это другой инструмент из защитного арсенала и он не должен рассматриваться как замена для любого из перечисленных механизмов. Конечно имеются некоторые перекрытия. Особенно с межсетевыми экранами. Последние уже выполняют некоторые ограниченные функции обнаружения атак, поднимая тревогу, когда "срабатывает" соответствующее правило. Системы обнаружения атак уникальны в том, что в отличие от межсетевых экранов, выполняющих множество различных функций (фильтрация пакетов, аутентификация пользователей, кэширование и т.д.), в них реализована всего одна функция, но реализована хорошо. Обнаружение атак в реальном масштабе времени, особенно на высоких сетевых скоростях, требует значительного количества выделенных ресурсов, которых не может обеспечить ни один из межсетевых экранов, кроме, пожалуй, самого дорогого и сложного.

Саттерфилд: Системы обнаружения атак в значительной степени дополняют названные технологии. В некоторых случаях они могут заменять фильтрацию, proxy и т.п. В других случаях это будет другой уровень защиты. Дистанционно управляемая система обнаружения атак позволяет контролировать потоки данных в реальном масштабе времени. Я полагаю, что это будет иметь огромное воздействие на то, как мы будем управлять сетями в будущем. Текущее управление сетью сосредоточено на идентификации и управлении структурой и конфигурацией сети. Управление, основанное только на этой информации, подобно управлению строительством скоростного шоссе без знания структуры движения на нем. Технология обнаружения атак позволяет контролировать поток данных аналогично наблюдению за структурой движения на скоростном шоссе.

Клаус: И обнаружение атак, и анализ защищенности - критичные компоненты эффективной стратегии защиты. Вы имеете межсетевой экран, так? Отлично. Вы знаете, работает он или нет? Вы имеете туннели через межсетевой экран, правильно? Они используются? Ваши внутренние системы были атакованы когда-нибудь? Откуда Вы это знаете? Что Вы должны делать после этого? Мир изменяется каждый день. Секрет эффективной защиты информации в разработке политики безопасности, введении ее в эксплуатацию, аудите и регулярном их пересмотре. Вы не сможете этого сделать без использования технологий обнаружения атак и анализа защищенности.

Спаффорд: Межсетевые экраны и фильтрация предназначены для того, чтобы предотвратить вторжение "плохих парней" из сети. Однако иногда эти механизмы терпят неудачу из-за ошибок разработки, аппаратных отказов, ошибок пользователей или просто невежества. Например, кто-то не понимает необходимости защиты сети и включает свой модем для доступа к рабочему компьютеру из дома. Межсетевой экран и proxy не могут не только защитить в этом случае, но и обнаружить этот случай. Системы обнаружения атак могут помочь в этом. Независимо от того, какова надежность фильтрации, пользователи зачастую находят способы обойти все Ваши преграды. Например, объекты ActiveX могут представлять новые направления для реализации угроз через межсетевые экраны. И, наконец, в большинстве систем наибольшую угрозу представляют люди, пользователи, действия которых должны также контролироваться.



Содержание раздела