Защита компьютера от атак через интернет

ень   трудно
      обеспечить такой уровень детализации событий.  Технология  обнаружения
      атак на системном  уровне  может  также  контролировать  деятельность,
      которая обычно ведется только  администратором.  Операционные  системы
      регистрируют любое событие, при  котором  добавляются,  удаляются  или
      изменяются учетные записи пользователей. IDS системного  уровня  могут
      обнаруживать  соответствующее  изменение   сразу,   как   только   оно
      происходит.  IDS  системного  уровня  могут  также   проводить   аудит
      изменений политики безопасности, которые влияют  на  то,  как  системы
      осуществляют отслеживание в своих журналах регистрации и т.д.
      В конечном итоге системы обнаружения атак на  системном  уровне  могут
контролировать  изменения  в  ключевых  системных  файлах  или   исполняемых
файлах. Попытки  перезаписать  такие  файлы  или  инсталлировать  "троянских
коней" могут быть обнаружены и пресечены.  Системы  сетевого  уровня  иногда
упускают такой тип деятельности.
   3. Обнаружение  атак,  которые  упускают  системы  сетевого  уровня.  IDS
      системного уровня могут обнаруживать  атаки,  которые  не  могут  быть
      обнаружены средствами сетевого уровня. Например, атаки, осуществляемые
      с самого  атакуемого  сервера,  не  могут  быть  обнаружены  системами
      обнаружения атак сетевого уровня.
   4. Хорошо подходит для сетей с шифрованием и коммутацией.  Поскольку  IDS
      системного   уровня   устанавливается   на   различных   хостах   сети
      предприятия, она может преодолеть некоторые  из  проблем,  возникающие
      при эксплуатации систем  сетевого  уровня  в  сетях  с  коммутацией  и
      шифрованием.
      Коммутация   позволяет   управлять   крупномасштабными   сетями,   как
несколькими небольшими  сетевыми  сегментами.  В  результате  бывает  трудно
определить наилучшее место для установки IDS сетевого уровня.  Иногда  могут
помочь административные порты (managed  ports)  и  порты  отражения  (mirror
ports, span  ports)  трафика  на  коммутаторах,  но  эти  методы  не  всегда
применимы.  Обнаружение  атак  на  системном   уровне   обеспечивает   более
эффективную работу в коммутируемых  сетях,  т.к.  позволяет  разместить  IDS
только на тех узлах, на которых это необходимо.
      Определенные типы шифрования также представляют  проблемы  для  систем
обнаружения атак сетевого уровня. В зависимости от того, где  осуществляется
шифрование (канальное или абонентское), IDS сетевого уровня  может  остаться
"слепой" к  определенным  атакам.  IDS  системного  уровня  не  имеют  этого
ограничения.  К  тому  же  ОС,  и,  следовательно,  IDS  системного  уровня,
анализирует расшифрованный входящий трафик.
   5. Обнаружение и реагирование почти в  реальном  масштабе  времени.  Хотя
      обнаружение атак на системном уровне не  обеспечивает  реагирования  в
      действительно  реальном  масштабе   времени,   оно,   при   правильной
      реализации, может быть  осуществлено  почти  в  реальном  масштабе.  В
      отличие от устаревших систем, которые проверяют  статус  и  содержания
      журналов регистрации  через  заранее  определенные  интервалы,  многие
      современные IDS системного  уровня  получают  прерывание  от  ОС,  как
      только появляется новая запись в журнале регистрации. Эта новая запись
      может быть обработана  сразу  же,  значительно  уменьшая  время  между
      распознаванием атаки и реагированием на нее. Остается  задержка  между
      моментом записи операционной системой события в журнал  регистрации  и
      моментом распознавания ее системой  обнаружения  атак,  но  во  многих
      случаях злоумышленник может быть обнаружен и  остановлен  прежде,  чем
      нанесет какой-либо ущерб.
   6. Не требуют дополнительных аппаратных средств. Системы обнаружения атак
      на  системном   уровне   устанавливаются   на   существующую   сетевую
      инфраструктуру,  включая  файловые  сервера,  Web-сервера   и   другие
      используемые ресурсы. Такая возможность может сделать  IDS  системного
      уровня очень эффективными по стоимости, потому что они не требуют  еще
      одного узла в сети, которому необходимо уделять внимание, осуществлять
      техническое обслуживание и управлять им.
   7. Низкая цена. Несмотря на то, что  системы  обнаружения  атак  сетевого
      уровня обеспечивают анализ трафика всей сети, очень часто они являются
      достаточно дорогими. Стоимость одной системы  обнаружения  атак  может
      превышать $10000.  С  другой  стороны,  системы  обнаружения  атак  на
      системном  уровне  стоят  сотни  долларов  за  один  агент   и   могут
      приобретаться покупателем в случае необходимости  контролировать  лишь
      некоторые узлы предприятия, без контроля сетевых атак.

       1.5. Необходимость в обеих системах обнаружения атак сетевого и
                             системного уровней

      Оба  решения:  IDS  и  сетевого,  и  системного  уровней  имеют   свои
достоинства  и  преимущества,  которые  эффективно  дополняют  друг   друга.
Следующее  поколение  IDS,   таким   образом,   должно   включать   в   себя
интегрированные системные и сетевые  компоненты.  Комбинирование  этих  двух
технологий   значительно   улучшит   сопротивление   сети   к    атакам    и
злоупотреблениям,  позволит  ужесточить  политику  безопасности   и   внести
большую гибкость в процесс эксплуатации сетевых ресурсов.
      Рисунок, представленный ниже,  иллюстрирует  то,  как  взаимодействуют
методы обнаружения атак на системном и сетевом уровнях  при  создании  более
эффективной системы сетевой защиты. Одни события обнаруживаются  только  при
помощи сетевых систем.  Другие  –  только  с  помощью  системных.  Некоторые
требуют применения обоих типов обнаружения атак для надежного обнаружения.
                                    [pic]
   Рис.1. Взаимодействие метотодов обнаружения атак на системном и сетевом
                                   уровнях

             1.6. Список требования к системам обнаружения атак

                            следующего поколения

      Характеристики для систем обнаружения атак следующего поколения:
   1.  Возможности  обнаружения  атак  на  системном   и   сетевом   уровне,
      интегрированные в единую систему.
   2.  Совместно  используемая   консоль   управления   с   непротиворечивым
      интерфейсом  для  конфигурации   продукта,   политики   управления   и
      отображения отдельных событий,  как  с  системных,  так  и  с  сетевых
      компонентов системы обнаружения атак.
   3. Интегрированная база данных событий.
   4. Интегрированная система генерации отчетов.
   5. Возможности осуществления корреляции событий.
   6. Интегрированная он-лайновая помощь для реагирования на инциденты.
   7. Унифицированные и непротиворечивые процедуры инсталляции.
   8. Добавление возможности контроля за собственными событиями.
      В четвертом квартале 1998 года вышла RealSecureT версии  3.0,  которая
отвечает всем этим требованиям.
    . Модуль слежения RealSecure - обнаруживает атаки на  сетевом  уровне  в
      сетях Ethernet, Fast Ethernet, FDDI и Token Ring.
    . Агент RealSecure - обнаруживает атаки на серверах и  других  системных
      устройствах.
    .  Менеджер  RealSecure  -  консоль  управления,  которая   обеспечивает
      конфигурацию модулей слежения и агентов RealSecure и объединяет анализ
      сетевого трафика и системных журналов регистрации в реальном  масштабе
      времени. [2]



                        2. Атаками весь мир полнится


      Для защиты от разного рода атак можно применить две стратегии.  Первая
заключается в  приобретении  самых  расхваливаемых  (хотя  не  всегда  самых
лучших) систем защиты от  всех  возможных  видов  атак.  Этот  способ  очень
прост, но требует огромных денежных вложений. Ни один домашний  пользователь
или  даже  руководитель  организации  не  пойдет  на  это.  Поэтому   обычно
используется  вторая  стратегия,  заключающаяся  в  предварительном  анализе
вероятных угроз и последующем выборе средств защиты от них.
      Анализ угроз, или  анализ  риска,  также  может  осуществляться  двумя
путями. Сложный, однако более эффективный  способ  заключается  в  том,  что
прежде,  чем  выбирать  наиболее  вероятные  угрозы,  осуществляется  анализ
информационный  системы,  обрабатываемой  в  ней  информации,  используемого
программно-аппаратного обеспечения и т.д. Это  позволит  существенно  сузить
спектр потенциальных атак и тем самым повысить эффективность вложения  денег
в приобретаемые  средства  защиты.  Однако  такой  анализ  требует  времени,
средств и, что самое главное, высокой квалификации специалистов,  проводящих
инвентаризацию анализируемой  сети.  Немногие  компании,  не  говоря  уже  о
домашних пользователях, могут позволить  себе  пойти  таким  путем.  Что  же
делать?  Можно  сделать  выбор  средств  защиты  на  основе  так  называемых
стандартных  угроз,  то  есть  тех,  которые  распространены  больше  всего.
Несмотря на то  что  некоторые  присущие  защищаемой  системе  угрозы  могут
остаться без внимания, большая часть из них  все  же  попадет  в  очерченные
рамки. Какие же виды угроз и атак являются самыми распространенными?  Ответу
на этот вопрос и посвящена  данная  статья.  Чтобы  приводимые  данные  были
более  точны,  я  буду  использовать  статистику,  полученную  из  различных
источников.
      Цифры, цифры, цифры…
      Кто же чаще всего  совершает  компьютерные  преступления  и  реализует
различные  атаки?  Какие  угрозы  самые  распространенные?  Приведу  данные,
полученные  самым  авторитетным  в  этой  области  источником —   Институтом
компьютерной безопасности (CSI) и группой компьютерных  нападений  отделения
ФБР в Сан-Франциско. Эти данные  были  опубликованы  в  марте  2000  года  в
ежегодн

1 2 3 4 5 След.

скачать работу

Отправка СМС бесплатно