dma pemasangan. Mod PIO atau cara menangani fakta bahawa cakera keras telah mula perlahan. DMA, apakah itu? apa yang awak cakap ni


Seperti kebanyakan teknologi baharu, pengesanan pencerobohan mempunyai penerimaan bercampur-campur di kalangan ramai orang. Teknologi ini juga difahami secara samar-samar. Pengesanan serangan sangat kawasan yang luas, yang merangkumi banyak aspek, daripada penderia gerakan dan sistem pengawasan video kepada sistem pengesanan penipuan masa nyata. Kuliah ini tidak membenarkan kita bercakap tentang semua aspek teknologi ini. Oleh itu, saya hanya akan mempertimbangkan untuk mengesan serangan bukan fizikal pada sumber pengkomputeran atau rangkaian. Dan, sebelum memulakan cerita selanjutnya, saya akan memberikan definisi teknologi pengesanan serangan, yang akan saya bina.
Pengesanan Serangan ialah proses mengenal pasti dan bertindak balas terhadap aktiviti yang mencurigakan bertujuan untuk pengkomputeran atau sumber rangkaian.
Serang ialah sebarang tindakan penceroboh yang membawa kepada pelaksanaan ancaman dengan mengeksploitasi kelemahan sistem komputer.

Pengenalan kepada Sistem Pengesanan Pencerobohan
Laporan pencerobohan ke dalam rangkaian korporat dan serangan ke atas pelayan Web di kebelakangan ini muncul dengan kekerapan yang membimbangkan. Bilangan dan kerumitan teknologi maklumat yang ditawarkan di pasaran semakin meningkat secara berkala. Selalunya, penyerang mengatasi langkah keselamatan yang dipasang dalam syarikat atau bank (sistem pengesahan, tembok api, dll.) yang dipasang untuk menyekat akses kepada sumber rangkaian korporat. Apabila kemahiran mereka meningkat, penyerang menjadi lebih canggih dalam membangunkan dan menggunakan kaedah untuk menembusi halangan keselamatan. Sangat sukar untuk mengesan penyerang sedemikian. Mereka menyamar sebagai pengguna yang dibenarkan, menggunakan nod perantaraan untuk menyembunyikan alamat sebenar mereka, melakukan serangan yang diedarkan dalam masa (melalui beberapa jam) dan ruang (dari beberapa nod secara serentak), dsb. Banyak serangan dilakukan dalam masa yang sangat singkat (minit dan bahkan saat), yang juga tidak membenarkan mereka dikesan dan dicegah oleh langkah perlindungan standard.
Ini disebabkan oleh fakta bahawa kebanyakan sistem keselamatan komputer dibina di atasnya model klasik sistem kawalan capaian dibangunkan pada tahun 70an dan 80an. Menurut model ini, subjek (pengguna atau program), berdasarkan peraturan tertentu, dibenarkan atau dinafikan akses kepada objek (contohnya, fail). Namun, tindakan yang diambilsubjek ke atas objek, tidak dikawal dalam apa-apa cara dan oleh itu adalah mustahil, sebagai contoh, untuk menghalang penyalinan fail oleh pengguna yang mempunyai akses kepada fail ini dibenarkan. Pembangunan model ini memungkinkan untuk menghapuskan kelemahan ini dengan mengawal kerahsiaan (model Bell-Lapadula) atau integriti (model Beebe) aliran maklumat. Walau bagaimanapun, percanggahan semula jadi timbul antara kemudahan penggunaan sistem dan tahap keselamatan yang disediakannya. Anda perlu mengorbankan sesuatu. Sama ada kemudahan penggunaan sistem yang dilindungi, atau tahap keselamatannya. Amat sukar untuk berkompromi dan mencari konfigurasi sistem yang menggabungkan kedua-dua tahap keselamatan dan kemudahan penggunaan yang mencukupi.
Selain itu, model kawalan capaian tidak dapat membantu sekiranya berlaku serangan daripada pengguna atau proses (program) yang "berdedikasi", diberi kuasa yang telah melepasi prosedur pengesahan. Jika penyerang meneka atau memintas kata laluan anda (dan ini dilakukan dengan agak mudah), maka tiada sistem kawalan akses akan membantu menghalang pencurian atau penggantian maklumat yang tersedia kepada pengguna yang terjejas.
Baru-baru ini, apabila rangkaian korporat dan Internet tidak begitu meluas seperti hari ini, pentadbir sistem mampu untuk sesekali menyemak imbas senarai mel keselamatan (ISS X-Force, CERT Advisory, Bugtraq, dll.) dan, jika ditemui, kelemahan baharu , menghalang penyerang daripada menggunakannya dengan memasang tampalan baharu dan pembaikan terbaru untuk sistem pengendalian anda. Walau bagaimanapun, kemas kini ini mungkin telah dinyahpasang oleh pengguna atau pentadbir lain secara tidak sengaja atau semasa operasi. Selepas seminggu atau sebulan, pentadbir boleh menyemak semula sistemnya dan memasang "tampalan" yang diperlukan sekali lagi. Walau bagaimanapun, kini segala-galanya telah berubah, rangkaian dan teknologi maklumat berubah dengan pantas sehingga mekanisme perlindungan statik, yang termasuk sistem kawalan akses, tembok api dan sistem pengesahan, sangat terhad dan dalam banyak kes tidak dapat menyediakan perlindungan yang berkesan. Oleh itu, adalah perlu kaedah dinamik, membolehkan anda mengesan dan mencegah pelanggaran keselamatan.
Satu teknologi yang boleh digunakan untuk mengesan pelanggaran yang tidak dapat dikenal pasti menggunakan model kawalan akses ialah teknologi pengesanan pencerobohan.
Untuk menerangkan teknologi pengesanan pencerobohan, adalah perlu untuk secara konsisten menjawab empat soalan yang hampir sepenuhnya merangkumi semua aspek teknologi ini.

yang mana kaedah yang berkesan mendapatkan maklumat tentang serangan belum digunakan, keberkesanan sistem pengesanan serangan sebahagian besarnya bergantung kepada kaedah yang digunakan untuk menganalisis maklumat yang diterima. Sistem pengesanan pencerobohan yang pertama, dibangunkan pada awal 80-an, digunakan kaedah statistik pengesanan serangan. Walau bagaimanapun, matematik tidak berdiam diri, dan kini banyak teknik baru telah ditambah kepada analisis statistik, bermula dengan logik kabur dan berakhir dengan penggunaan rangkaian saraf.
Setiap kaedah yang diterangkan di bawah mempunyai beberapa kelebihan dan kekurangan, dan oleh itu kini secara praktikal sukar untuk mencari sistem yang melaksanakan hanya satu daripada kaedah yang diterangkan. Sebagai peraturan, kaedah ini digunakan dalam kombinasi.

Kaedah statistik
Dalam sistem yang dianalisis, profil pada mulanya ditentukan untuk semua subjeknya. Sebarang sisihan profil yang digunakan daripada rujukan dianggap sebagai aktiviti yang tidak dibenarkan. Kelebihan utama pendekatan statistik ialah penyesuaian kepada tingkah laku subjek dan penggunaan alat statistik matematik yang telah dibangunkan dan terbukti. Di samping itu, kaedah statistik adalah universal, kerana tiada pengetahuan tentang kemungkinan serangan dan kelemahan yang mereka eksploitasi diperlukan. Walau bagaimanapun, beberapa masalah timbul dengan teknik ini.
Pertama, sistem "statistik" boleh "dilatih" oleh penyerang dari semasa ke semasa supaya tindakan serangan dilihat seperti biasa. Kedua, sistem "statistik" tidak sensitif kepada susunan acara. Dan dalam beberapa kes, peristiwa yang sama, bergantung pada susunan di mana ia berlaku, boleh mencirikan aktiviti yang tidak normal atau normal. Akhirnya, sangat sukar untuk menetapkan nilai ambang untuk ciri yang dipantau oleh sistem pengesanan pencerobohan untuk mengenal pasti aktiviti anomali dengan secukupnya. Selain itu, kaedah ini tidak terpakai dalam kes di mana tiada corak kelakuan tipikal untuk pengguna atau apabila tindakan tidak dibenarkan adalah tipikal untuk pengguna.

Menggunakan sistem pakar
Penggunaan sistem pakar adalah kaedah umum kedua di mana maklumat serangan dirumuskan dalam bentuk peraturan yang boleh direkodkan, contohnya, sebagai urutan tindakan atau sebagai tandatangan. Jika mana-mana peraturan dipenuhi, keputusan dibuat mengenai aktiviti yang tidak dibenarkan.
Kelebihan utama pendekatan ini ialah ketiadaan hampir lengkap penggera palsu. Walau bagaimanapun, terdapat juga kelemahan, yang utama adalah ketidakupayaan untuk menangkis serangan yang tidak diketahui. Perubahan kecil pun sudah serangan yang diketahui boleh menjadi halangan besar untuk sistem pengesanan pencerobohan.

Rangkaian saraf
Kebanyakan pendekatan moden untuk proses pengesanan serangan menggunakan beberapa bentuk analisis ruang terkawal berasaskan peraturan atau statistik. Ruang terkawal boleh menjadi buku log atau trafik rangkaian. Analisis ini bergantung pada set peraturan pratakrif yang dibuat oleh pentadbir atau sistem pengesanan pencerobohan itu sendiri. Sistem pakar mewakili bentuk pendekatan pengesanan serangan berasaskan peraturan yang paling biasa. Sistem pakar terdiri daripada satu set peraturan yang menangkap pengetahuan "pakar" manusia. Malangnya, sistem pakar memerlukan pengemaskinian berterusan agar sentiasa dikemas kini. Walaupun sistem pakar menawarkan keterlihatan yang baik ke dalam data log, kemas kini yang diperlukan mungkin sama ada diabaikan atau dilakukan secara manual oleh pentadbir. Sekurang-kurangnya, ini akan membawa kepada sistem pakar yang tidak mencukupi (lemah) keupayaan. Dalam kes yang paling teruk, kekurangan penyelenggaraan akan mengurangkan keselamatan keseluruhan rangkaian, mengelirukan penggunanya tentang tahap keselamatan sebenar.
Sebarang pemisahan serangan, sama ada dari semasa ke semasa atau merentasi berbilang penyerang, adalah sukar untuk dikesan menggunakan sistem pakar. Serangan rangkaian sentiasa berubah seperti yang digunakan oleh penggodam pendekatan individu, serta disebabkan perubahan tetap dalam perisian dan perkakasan sistem yang dipilih. Disebabkan oleh kepelbagaian serangan dan penggodam yang tidak terhad, walaupun ad hoc, kemas kini berterusan kepada pangkalan data peraturan sistem pakar tidak akan menjamin pengenalan yang tepat bagi julat penuh serangan.
Salah satu cara untuk menghapuskan masalah ini adalah dengan menggunakan rangkaian saraf. Tidak seperti sistem pakar, yang boleh memberi pengguna jawapan yang pasti sama ada ciri yang dipertimbangkan sesuai atau tidak dengan ciri yang tertanam dalam pangkalan data peraturan, rangkaian saraf menganalisis maklumat dan memberi peluang untuk menilai sama ada data itu konsisten dengan ciri yang ia dilatih untuk mengenali. Walaupun tahap surat-menyurat perwakilan rangkaian saraf boleh mencapai 100%, kebolehpercayaan pilihan bergantung sepenuhnya pada kualiti sistem dalam menganalisis contoh tugas (latihan yang dipanggil).
Pada mulanya, rangkaian saraf dilatih dengan mengenal pasti contoh domain yang telah dipilih dengan betul. Tindak balas rangkaian saraf dianalisis dan sistem diselaraskan sedemikian rupa untuk mencapai hasil yang memuaskan. Selain tempoh latihan awal, rangkaian saraf juga memperoleh pengalaman dari semasa ke semasa kerana ia menganalisis data berkaitan domain. Kelebihan rangkaian saraf yang paling penting dalam mengesan penyalahgunaan ialah keupayaan mereka untuk "mempelajari" ciri-ciri serangan yang disengajakan dan mengenal pasti elemen yang tidak seperti yang diperhatikan pada rangkaian sebelum ini.
Korelasi (dalam bidang yang sedang dipertimbangkan) ialah proses mentafsir, meringkaskan dan menganalisis maklumat daripada semua sumber yang ada tentang aktiviti sistem yang dianalisis untuk mengesan serangan dan bertindak balas terhadapnya.
Tanpa pergi ke perincian tentang proses korelasi data, terdapat dua aspek yang perlu anda perhatikan semasa memilih sistem pengesanan serangan. Aspek pertama ialah bilangan sesi (rangkaian atau pengguna) yang dianalisis secara serentak. DALAM masa kini Hampir semua sistem menganalisis hanya satu sesi pada masa tertentu, yang tidak membenarkan, sebagai contoh, untuk mengesan serangan yang diselaraskan daripada beberapa sumber.
Aspek kedua ialah masa untuk menjalankan analisis, dalam masa nyata atau selepas serangan. Nampaknya jawapannya jelas - dalam masa nyata, sudah tentu. Walau bagaimanapun, semuanya tidak begitu mudah. Ketepatan yang lebih tinggi (walaupun kadangkala dengan mengorbankan kecekapan) pengiktirafan boleh dicapai dengan tepat selepas serangan, apabila semua maklumat tentang kejadian itu tersedia untuk anda.

Ia tidak mencukupi untuk mengesan serangan. Kita juga perlu bertindak balas terhadapnya tepat pada masanya. Selain itu, tindak balas terhadap serangan bukan sahaja menghalangnya. Selalunya perlu untuk "membiarkan" penyerang masuk ke dalam rangkaian syarikat untuk merekodkan semua tindakannya dan seterusnya menggunakannya dalam proses penyiasatan. Oleh itu, sistem sedia ada menggunakan pelbagai kaedah tindak balas, yang boleh dibahagikan kepada 3 kategori: pemberitahuan, penyimpanan dan tindak balas aktif. Penggunaan tindak balas tertentu bergantung pada banyak faktor, penerangannya di luar skop artikel ini.

Pemberitahuan
Kaedah pemberitahuan yang paling mudah dan paling biasa ialah menghantar mesej serangan kepada pentadbir keselamatan pada konsol sistem pengesanan pencerobohan. Memandangkan konsol sedemikian tidak boleh dipasang untuk setiap pekerja yang bertanggungjawab untuk keselamatan dalam organisasi, dan juga dalam kes di mana pekerja ini mungkin tidak berminat dengan semua acara keselamatan, mekanisme pemberitahuan lain mesti digunakan. Mekanisme sedemikian adalah menghantar mesej melalui e-mel, alat kelui, faks atau telefon. Dua pilihan terakhir hanya terdapat dalam sistem pengesanan serangan RealSecure syarikat Amerika Keselamatan Internet Sistem, Inc.
Kategori "pemberitahuan" juga termasuk menghantar urutan kawalan ke sistem lain. Contohnya, kepada sistem pengurusan rangkaian (HP OpenView, Tivoli TME10, CA Unicenter, dll.) atau ke firewall (CheckPoint Firewall-1, Lucent Managed Firewall, Raptor Firewall, dsb.). Dalam kes pertama, piawaian Protokol SNMP, dan dalam protokol kedua - dalaman atau standard (contohnya, SAMP).

Menyimpan
Kategori "pemeliharaan" termasuk dua pilihan tindak balas: log peristiwa dalam pangkalan data dan memainkan semula serangan dalam masa nyata. Pilihan pertama digunakan secara meluas dalam sistem perlindungan lain dan tidak perlu dibincangkan. Pilihan kedua lebih menarik. Ia membolehkan pentadbir keselamatan menghasilkan semula dalam masa nyata (atau pada kelajuan tertentu) semua tindakan yang dilakukan oleh penyerang. Ini membolehkan anda bukan sahaja menganalisis serangan "berjaya" dan menghalangnya pada masa hadapan, tetapi juga menggunakan data yang dikumpul untuk penyiasatan.

Respons aktif
Kategori ini termasuk pilihan respons berikut: menyekat kerja penyerang, menamatkan sesi dengan nod penyerang, mengurus peralatan rangkaian dan langkah keselamatan. Kategori mekanisme tindak balas ini, di satu pihak, agak berkesan, tetapi di sisi lain, mereka mesti digunakan dengan berhati-hati, kerana operasi yang tidak betul mereka boleh menyebabkan gangguan pada keseluruhan sistem pengkomputeran.

Keperluan pengguna
Ia adalah perlu untuk menentukan terlebih dahulu apa dan dari siapa anda perlu melindungi sistem komputer anda. Adalah perlu untuk menentukan hubungan antara kos (selalunya besar) untuk membeli dan mengendalikan sistem pengesanan pencerobohan dan faedah daripada penggunaannya. Proses memilih satu daripada lebih 30 sistem yang sedia ada di pasaran boleh mengambil masa lebih daripada satu minggu atau sebulan. Tetapi usaha itu berbaloi. Memilih sistem pengesanan pencerobohan yang betul boleh menjimatkan ratusan ribu dolar yang sebaliknya boleh hilang jika sistem komputer dikompromi.
Walau bagaimanapun, tidak kira betapa berkesannya mekanisme yang dibina ke dalam sistem pengesanan pencerobohan, ia tidak akan digunakan jika ia tidak memenuhi keperluan pengguna. Bagaimana sistem yang lebih kompleks pengesanan serangan, semakin tinggi kosnya. Walau bagaimanapun, kos bukanlah satu-satunya faktor asas semasa membuat pilihan. Ia juga perlu mengambil kira mekanisme yang digunakan untuk mendapatkan maklumat tentang serangan, algoritma untuk menganalisis dan mengaitkan data, pilihan tindak balas, prestasi sistem, kebolehpercayaannya, dsb. Bilangan parameter sedemikian agak besar. Secara umum, semua keperluan yang mesti diambil kira semasa memilih sistem pengesanan pencerobohan boleh dibahagikan kepada beberapa kumpulan:

  • Pemasangan dan penggunaan sistem;
  • Keselamatan sistem itu sendiri;
  • Pengesanan serangan;
  • Tindak balas terhadap serangan;
  • Konfigurasi sistem;
  • Kawalan acara;
  • Pengurusan data sistem;
  • Prestasi sistem;
  • Seni bina sistem;
  • Sokongan teknikal sistem.

Anda tidak seharusnya memilih sistem pengesanan serangan hanya berdasarkan situasi semasa. Cuba lihat masa depan dan analisa pertumbuhan sistem pengkomputeran, perubahan dalam perkhidmatan yang disediakannya, dsb. Dengan ini, anda boleh melabur dengan berkesan dalam sistem keselamatan sekarang.
Isu penting ialah pelaksanaan sistem pengesanan serangan di teknologi sedia ada memproses maklumat dan kemudian menyesuaikannya dengan keadaan persekitaran. Pada masa yang sama dengan pelaksanaan, adalah perlu untuk melatih kakitangan dalam peraturan penggunaan sistem dalam organisasi. Perlu diingatkan bahawa sistem pengesanan pencerobohan tidak akan dapat memberikan perlindungan mutlak terhadap semua serangan; ia akan membantu mengenal pasti trafik yang mencurigakan dan bentuk akses tanpa kebenaran yang lain. Walau bagaimanapun, keberkesanan terbesar apabila menggunakan sistem pengesanan serangan boleh dicapai jika ia "dipasangkan" oleh pakar yang dapat mengendalikan sistem dengan betul dan memahami masa dan cara untuk bertindak balas terhadap mesej yang dihasilkannya.
Secara lebih terperinci, keperluan untuk sistem pengesanan serangan boleh didapati dalam dokumen "Sistem pengesanan serangan", yang dibangunkan oleh Perusahaan Saintifik dan Kejuruteraan "Informzashchita", yang boleh didapati dengan menghubungi www.infosec.ru.

Sistem pengesanan pencerobohan atau tembok api?
Soalan yang sering ditanya ialah: "Adakah saya memerlukan sistem pengesanan pencerobohan jika kita sudah mempunyai tembok api?" Pasti diperlukan. Sistem pengesanan pencerobohan ialah tambahan penting kepada tembok api, tetapi bukan pengganti untuknya. Firewall direka untuk menghalang orang jahat daripada menyerang rangkaian. Walau bagaimanapun, kadangkala alatan ini, disebabkan ralat reka bentuk, kegagalan perkakasan, ralat pengguna, atau hanya kejahilan, tidak memberikan tahap akses yang boleh diterima. Sebagai contoh, seseorang tidak memahami keperluan untuk melindungi rangkaian dan membiarkan modem dihidupkan di tempat kerja mereka untuk mengakses komputer dari rumah. Firewall tidak boleh hanya melindungi dalam kes ini, tetapi juga mengesan fakta ini. Dalam kes ini, sistem pengesanan serangan amat diperlukan. Tidak kira betapa boleh dipercayai dan berkesan keupayaan penapisan firewall anda, pengguna sering mencari cara untuk memintas sebarang halangan yang anda sediakan. Contohnya, objek ActiveX atau applet Java boleh memperkenalkan vektor serangan baharu melalui tembok api. Di samping itu, mengikut statistik, sekurang-kurangnya 75% daripada semua jenayah komputer berlaku dari dalam rangkaian korporat, daripada pekerjanya. Dan, seperti yang dinyatakan di atas, langkah keselamatan "klasik", yang termasuk tembok api, tidak melindungi rangkaian korporat sekiranya ada niat buruk di pihak pengguna yang mempunyai akses kepadanya. Oleh itu, tembok api tidak boleh menggantikan sistem pengesanan serangan, dan kedua-dua alat ini diperlukan untuk membina sistem keselamatan maklumat yang berkesan.
Fikirkan rangkaian anda sebagai bangunan bertingkat tinggi, di mana tembok api adalah penjaga pintu di pintu masuk, dan setiap modul pemantauan sistem pengesanan pencerobohan adalah pengawas di setiap pintu tertentu. Sebagai peraturan, penjaga pintu gembira untuk membenarkan orang yang kelihatan agak baik dan menahan orang yang mencurigakan. Bagaimanapun, seorang penjenayah yang bijak mampu melepasi penjaga pintu dan memasuki bangunan tanpa menimbulkan syak wasangka. Anjing pemerhati lebih tahu siapa yang boleh dia biarkan masuk ke dalam pintu tertentu dan serta-merta bertindak balas terhadap pencerobohan.

Sistem pengesanan serangan di Rusia
Sistem pengesanan serangan pertama muncul di Rusia pada pertengahan 1997, apabila perjanjian telah disimpulkan antara Informzashchita Scientific and Engineering Enterprise dan syarikat Amerika yang ketika itu kurang dikenali Internet Security Systems, Inc. (ISS), yang membangunkan sistem pengesanan serangan RealSecure. Sejak itu keadaan telah berubah menjadi lebih baik. ISS kini merupakan peneraju pasaran dalam alat pengesan serangan (52% daripada jumlah pasaran pada tahun 1999, menurut IDC). Di Rusia, keadaannya adalah serupa - sistem RealSecure telah menguasai sebahagian besar pasaran Rusia untuk alat pengesan serangan. Ini didahului dengan banyak kerja yang teliti untuk mewujudkan infrastruktur yang sesuai untuk menyokong sistem ini. Russificationnya sedang disiapkan.
Sebagai tambahan kepada sistem RealSecure pada pasaran Rusia Produk berikut syarikat asing dibentangkan:

  • NetRanger dari Cisco Systems.
  • Makluman Penceroboh OmniGuard daripada Axent Technologies.
  • SessionWall-3 oleh Computer Associates.
  • Kane Security Monitor dari Security Dynamics.
  • CyberCop Monitor oleh Network Associates.
  • NFR oleh Network Flight Rekod.

Tiga teratas, diketuai oleh RealSecure, adalah pemimpin di seluruh dunia. Secara keseluruhan, lebih daripada 30 sistem pengesanan serangan yang diedarkan secara komersial diketahui.

Standard dan Dokumen Panduan
Sejak akhir tahun lalu - awal tahun ini, kerja telah dijalankan untuk membangunkan dokumen panduan yang akan membolehkan analisis dan penilaian yang mencukupi sistem pengesanan serangan yang ditawarkan di pasaran Rusia. Kerja-kerja serupa sedang dijalankan di luar negara. Contohnya ialah piawaian CIDF atau IDEF yang sedang dibangunkan oleh Jabatan Pertahanan AS dan kumpulan kerja IETF.

Prospek dan trend pembangunan
Perlu diingatkan bahawa kedua-dua penyelesaian: IDS di kedua-dua peringkat rangkaian dan sistem mempunyai kelebihan dan kekurangan masing-masing, yang saling melengkapi dengan berkesan dan juga menghapuskan kelemahan satu sama lain.
Jadi, saya menerangkan secara ringkas penyelesaian sedia ada dalam bidang pengesanan serangan. Tetapi adakah mereka, seperti yang wujud sekarang, boleh digunakan pada alaf seterusnya? hampir tidak. Dan inilah sebabnya. Rangkaian hari ini menjadi sangat kompleks sehingga sukar dikawal menggunakan kaedah sedia ada. Bilangan nod dalam rangkaian berkembang pada kadar yang tidak pernah berlaku sebelum ini, penggunaan kelajuan gigabit dan rangkaian bertukar berkembang dalam berasaskan VLAN. Jumlah trafik yang dihantar melalui rangkaian meningkat dengan beberapa urutan magnitud. Pendekatan baru sepenuhnya untuk pengesanan serangan diperlukan untuk mengatasi faktor-faktor ini.

Agen mikro
Seperti yang dinyatakan di atas, sistem pengesanan serangan sedia ada tergolong dalam kelas rangkaian (berasaskan rangkaian) atau kelas sistem (berasaskan hos). Walau bagaimanapun, penyelesaian yang ideal adalah untuk mencipta sistem yang menggabungkan kedua-dua teknologi ini, i.e. ejen sistem pengesanan serangan akan dipasang pada setiap nod yang dipantau dan memantau bukan sahaja serangan peringkat permohonan(tahap OS dan tahap aplikasi), tetapi juga serangan rangkaian yang ditujukan kepada nod ini. Pendekatan ini mempunyai beberapa kelebihan berbanding penyelesaian sedia ada.
Pertama, kelajuan rangkaian yang tinggi tidak lagi menjadi isu kerana ejen yang ditentukan hanya melihat trafik untuk nod tertentu dan bukannya semua trafik pada keseluruhan rangkaian. Kedua, paket didekripsi sebelum sampai ke ejen. Dan akhirnya, kerana ia berada terus pada setiap komputer yang dipantau, rangkaian dail juga tidak mengenakan sekatan ke atas penggunaannya.
Ejen ini menggabungkan ciri modul penjejakan rangkaian masa nyata dengan kelebihan taktikal ejen peringkat sistem. Pada masa ini, hanya Sistem Keselamatan Internet (ISS) telah mengumumkan perkembangan dalam bidang ini) . ISS telah menamakan pembangunan ini Ejen Mikro dan merancang untuk menyiapkannya menjelang akhir tahun ini. Ejen mikro ini akan melengkapkan modul penjejakan rangkaian dan sistem sedia ada bagi sistem pengesanan pencerobohan RealSecure ISS.

Persembahan data dalam sistem pengesanan serangan
Untuk mengesan serangan dengan berkesan, adalah perlu untuk memantau dan merekodkan secara terperinci bilangan yang besar peristiwa yang berlaku dalam sistem maklumat. Akibatnya, jumlah data yang besar dijana, kebanyakannya tidak menarik, tetapi disimpan dengan harapan analisisnya akan membolehkan pengesanan tepat pada masanya kejadian yang mencurigakan. Menyimpan sejumlah besar data membawa kepada dua cabaran:

  • Membangunkan mekanisme untuk penggunaan yang berkesan ruang cakera untuk menyimpan log dan data trafik rangkaian;
  • Membangunkan mekanisme untuk menyampaikan secara berkesan kepada pentadbir hanya data yang menarik minatnya.

Kedua-dua masalah ini saling berkaitan, tetapi saya hanya akan menyentuh masalah kedua. Ramai pakar telah menghadapi situasi di mana sistem pengesanan serangan menjana ratusan, dan dalam rangkaian besar, beribu-ribu rekod tentang peristiwa yang sedang berjalan. Pentadbir tidak boleh menganalisis peristiwa ini secara manual. Dan walaupun dalam sistem pengesanan serangan di pasaran terdapat mekanisme untuk menggabungkan beberapa acara dari jenis yang sama menjadi satu, kerja ini masih jauh dari selesai.
Kaedah untuk menyampaikan data secara berkesan sedang dibangunkan pelbagai pengeluar dan pusat penyelidikan. Sebagai contoh, ISS pada penghujung Jun tahun ini mengumumkan penciptaan "Teknologi Fusion", yang akan membolehkan ratusan peristiwa yang direkodkan oleh sistem pengesanan pencerobohan RealSecure dan alat keselamatan pihak ketiga yang lain untuk dikumpulkan ke dalam satu atau dua pemberitahuan yang dibentangkan pada skrin konsol pengurusan. Pusat penyelidikan COAST bergerak ke arah yang sama, di mana kumpulan kerja telah diwujudkan untuk membangunkan format yang berkesan untuk log dan pembentangan data kepada pentadbir keselamatan Di kalangan pemaju Rusia, NIP Informzashita melaksanakan mekanisme tersebut dalam teknologi pengurusan keselamatan maklumat baharunya "Berkut".

Membuat keputusan, ramalan serangan
Sistem pengesanan pencerobohan dalam alaf baru mesti menjadi lebih pintar daripada rakan sejawat moden mereka. Dan ini terpakai bukan sahaja untuk proses mengesan serangan, yang boleh dilaksanakan menggunakan pelbagai mekanisme, termasuk. dan menggunakan rangkaian saraf yang diterangkan di atas. Perisikan akan hadir dalam proses membuat keputusan tentang bertindak balas terhadap serangan, serta dalam meramalkan serangan baharu pada rangkaian korporat. Langkah pertama dalam mencipta sistem sedemikian boleh dipanggil penciptaan oleh ISS produk yang dipanggil Keputusan SAFEsuite. Sistem ini membolehkan anda menerima data yang diterima daripada pelbagai alat keselamatan, termasuk. tembok api, analisis keselamatan dan sistem pengesanan serangan. Data ini kemudiannya boleh dianalisis, diringkaskan dan berdasarkannya, kerentanan nod atau segmen rangkaian tertentu kepada serangan daripada penyerang luaran atau dalaman boleh ditentukan. Pengetahuan tentang kelemahan yang diperoleh daripada sistem analisis keselamatan, bersama-sama dengan pengetahuan tentang kekerapan serangan yang diperoleh daripada tembok api dan sistem pengesanan serangan yang dipasang pada pelbagai segmen rangkaian, memungkinkan untuk meramalkan serangan pada nod dan segmen rangkaian, termasuk. dan serangan terkoordinasi yang dilakukan secara serentak dari pelbagai lokasi.

Topik ini merangkumi terutamanya isu-isu yang perlu anda perhatikan semasa memilih sistem pengesanan pencerobohan. Walau bagaimanapun, dengan memasang sistem yang dipilih, anda masih belum melindungi diri anda sepenuhnya daripada serangan. Dan ini mesti difahami. Sistem pengesanan serangan hanyalah syarat yang perlu, tetapi jelas tidak mencukupi, untuk memastikan sistem yang berkesan untuk melindungi organisasi. Adalah perlu untuk menjalankan pelbagai langkah organisasi dan teknikal untuk membina sistem keselamatan yang lengkap untuk organisasi anda. Ini termasuk analisis risiko, pembangunan dasar keselamatan, pemasangan dan konfigurasi pelbagai alat keselamatan (tembok api, sistem analisis keselamatan, dsb.), dan latihan pakar, dsb.
Untuk meringkaskan, kita boleh mengatakan bahawa sistem pengesanan serangan adalah lebih daripada beberapa modul penjejakan yang dipasang pada pelbagai nod rangkaian korporat. Sistem pengesanan pencerobohan yang berkesan dan boleh dipercayai membolehkan anda mengumpul, meringkaskan dan menganalisis maklumat daripada berbilang penderia jauh pada konsol tengah. Ia membolehkan maklumat ini disimpan untuk analisis kemudian dan menyediakan cara untuk melaksanakan analisis tersebut. Sistem ini sentiasa memantau segala-galanya modul yang dipasang menjejak dan bertindak balas serta-merta sekiranya berlaku penggera. Akhir sekali, sistem pengesanan pencerobohan tidak lebih daripada mainan mahal melainkan anda mempunyai pakar keselamatan maklumat mengenai kakitangan yang tahu cara menggunakan sistem dan cara bertindak balas terhadap ancaman maklumat yang semakin meningkat. Penggunaan kesemua komponen ini bersama-sama membentuk sistem pengesanan serangan yang nyata dan berkesan.

Istilah bahasa Inggeris yang sepadan ialah Sistem Pengesanan Pencerobohan (IDS). Sistem pengesanan pencerobohan menyediakan tahap tambahan perlindungan sistem komputer.

Sistem pengesanan pencerobohan digunakan untuk mengesan jenis tertentu aktiviti berniat jahat, yang boleh menjejaskan keselamatan sistem komputer. Aktiviti sedemikian termasuk serangan rangkaian terhadap perkhidmatan yang terdedah, serangan yang bertujuan untuk meningkatkan keistimewaan, akses tanpa kebenaran kepada fail sensitif, serta tindakan berniat jahat. perisian(virus komputer, Trojan dan worm)

Biasanya, seni bina IDS termasuk:

Terdapat beberapa cara untuk mengklasifikasikan IDS bergantung pada jenis dan lokasi penderia, serta kaedah yang digunakan oleh subsistem analisis untuk mengenal pasti aktiviti yang mencurigakan. Dalam kebanyakan IDS mudah, semua komponen dilaksanakan sebagai satu modul atau peranti.

Jenis sistem pengesanan pencerobohan[ | ]

IDES mengambil dua pendekatan untuk pengesanan pencerobohan: ia menggunakan sistem pakar untuk mengenal pasti jenis pencerobohan yang diketahui dan komponen pengesanan berdasarkan kaedah statistik dan profil pengguna dan sistem dalam rangkaian yang dilindungi. Teresa Lunt mencadangkan menggunakan rangkaian saraf tiruan sebagai komponen ketiga untuk meningkatkan kecekapan pengesanan. Berikutan IDES, NIDES (Sistem Pakar Pengesanan Pencerobohan Generasi Seterusnya) telah dikeluarkan pada tahun 1993.

MIDAS (Multics intrusion detection and alerting system), sistem pakar menggunakan P-BEST dan LISP, telah dibangunkan pada tahun 1988 berdasarkan hasil kerja Denning dan Neumann. Pada tahun yang sama, sistem Haystack dibangunkan, berdasarkan kaedah statistik.

W&S (Wisdom & Sense - kebijaksanaan dan perasaan), pengesan anomali berdasarkan kaedah statistik, telah dibangunkan pada tahun 1989. W&S mencipta peraturan berdasarkan analisis statistik dan kemudian menggunakan peraturan ini untuk mengesan anomali.

Pada tahun 1990, TIM (Mesin induktif berasaskan masa) melaksanakan pengesanan anomali menggunakan pembelajaran induktif berdasarkan corak jujukan pengguna dalam bahasa Common LISP. Program ini dibangunkan untuk VAX 3500. Pada masa yang sama, NSM (Network Security Monitor) telah dibangunkan, yang membandingkan matriks akses untuk mengesan anomali pada stesen kerja Sun-3/50. Juga pada tahun 1990, ISOA (Pembantu Pegawai Keselamatan Maklumat) telah dibangunkan, mengandungi banyak strategi pengesanan, termasuk statistik, pemeriksaan profil dan sistem pakar. ComputerWatch, dibangunkan di AT&T Bell Labs, menggunakan kaedah dan peraturan statistik untuk mengesahkan data dan mengesan pencerobohan.

Pada tahun 2001, sistem ADAM IDS (Audit data analysis and mining IDS) telah dibangunkan. Sistem menggunakan data tcpdump untuk membuat peraturan.

Lihat juga [ | ]

Nota [ | ]

  1. Anderson, James P., "Pemantauan dan Pengawasan Ancaman Keselamatan Komputer," Washing, PA, James P. Anderson Co., 1980.
  2. Denning, Dorothy E., "Model Pengesanan Pencerobohan," Prosiding Simposium IEEE Ketujuh mengenai Keselamatan dan Privasi, Mei 1986, halaman 119-131
  3. Lunt, Teresa F., "IDES: Sistem Pintar untuk Mengesan Penceroboh," Prosiding Simposium Keselamatan Komputer; Ancaman, dan Tindakan Balas; Rom, Itali, 22-23 November 1990, muka surat 110-121.
  4. Lunt, Teresa F., "Mengesan Penceroboh dalam Sistem Komputer," Persidangan Pengauditan dan Teknologi Komputer 1993, SRI Antarabangsa

Hari ini, sistem pengesanan dan pencegahan pencerobohan (IDS/IPS, Pengesanan pencerobohan sistem / Sistem pencegahan pencerobohan, istilah Rusia serupa - SOV/SOA) - elemen yang diperlukan perlindungan daripada serangan rangkaian. Tujuan utama sistem sedemikian adalah untuk mengenal pasti kes akses tanpa kebenaran kepada rangkaian korporat dan mengambil langkah balas yang sesuai: memaklumkan pakar keselamatan maklumat tentang fakta pencerobohan, memutuskan sambungan dan mengkonfigurasi semula tembok api untuk menyekat. tindakan selanjutnya penyerang, iaitu perlindungan daripada serangan penggodam Dan perisian hasad.

Penerangan umum teknologi

Terdapat beberapa teknologi IDS yang berbeza dalam jenis peristiwa yang dikesan dan metodologi yang digunakan untuk mengenal pasti insiden. Selain fungsi pemantauan dan analisis peristiwa untuk mengenal pasti insiden, semua jenis IDS melaksanakan fungsi berikut:

  • Merekod maklumat tentang peristiwa. Biasanya, maklumat disimpan secara tempatan, tetapi boleh dihantar ke mana-mana sistem pengumpulan log berpusat atau sistem SIEM;
  • Memberitahu pentadbir keselamatan tentang insiden keselamatan maklumat. Pemberitahuan jenis ini dipanggil amaran, dan boleh dijalankan melalui beberapa saluran: e-mel, perangkap SNMP, mesej log sistem, konsol pengurusan sistem IDS. Reaksi boleh atur cara menggunakan skrip juga mungkin.
  • Menjana laporan. Laporan dibuat untuk meringkaskan semua maklumat mengenai acara yang diminta.

teknologi IPS melengkapkan teknologi IDS kerana ia boleh secara bebas bukan sahaja mengenal pasti ancaman, tetapi juga berjaya menyekatnya. Dalam senario ini, fungsi IPS jauh lebih luas daripada IDS:

  • IPS menyekat serangan (menamatkan sesi pengguna yang melanggar dasar keselamatan, menyekat akses kepada sumber, hos, aplikasi);
  • IPS mengubah persekitaran yang dilindungi (perubahan konfigurasi peranti rangkaian untuk mengelakkan serangan);
  • IPS mengubah kandungan serangan (contohnya, ia mengalih keluar fail yang dijangkiti daripada surat dan menghantarnya kepada penerima yang telah dibersihkan, atau ia berfungsi sebagai proksi, menganalisis permintaan masuk dan membuang data dalam pengepala paket).

Tetapi selain kelebihan yang jelas, sistem ini mempunyai kelemahannya. Contohnya, IPS tidak boleh sentiasa mengenal pasti dengan tepat insiden keselamatan maklumat, atau tersilap tersilap trafik biasa atau gelagat pengguna untuk insiden. Dalam pilihan pertama, adalah kebiasaan untuk bercakap tentang peristiwa negatif palsu, dalam pilihan kedua, mereka bercakap tentang peristiwa positif palsu. Perlu diingat bahawa adalah mustahil untuk menghapuskan sepenuhnya kejadian mereka, jadi organisasi dalam setiap kes boleh secara bebas memutuskan mana antara dua kumpulan risiko sama ada harus diminimumkan atau diterima.

Terdapat pelbagai teknik pengesanan insiden menggunakan teknologi IPS. Kebanyakan pelaksanaan IPS menggunakan jumlah teknologi ini untuk menyediakan lebih banyak lagi darjat tinggi pengesanan ancaman.

1. Pengesanan serangan berasaskan tandatangan.

Tandatangan ialah corak yang mentakrifkan serangan yang sepadan. Pengesanan serangan berasaskan tandatangan ialah proses membandingkan tandatangan dengan kemungkinan kejadian. Contoh tandatangan ialah:

  • sambungan telnet oleh pengguna "root", yang akan menjadi pelanggaran dasar keselamatan syarikat tertentu;
  • e-mel masuk dengan subjek " gambar percuma", dengan fail yang dilampirkan "freepics.exe";
  • log sistem pengendalian dengan kod 645, yang menunjukkan bahawa pengauditan hos dilumpuhkan.

Kaedah ini sangat berkesan untuk mengesan ancaman yang diketahui, tetapi tidak berkesan terhadap serangan yang tidak diketahui (tiada tandatangan).

2. Pengesanan serangan oleh tingkah laku anomali

Kaedah ini adalah berdasarkan perbandingan aktiviti biasa kejadian dengan aktiviti peristiwa yang menyimpang daripada tahap normal. IPS menggunakan kaedah ini mempunyai apa yang dipanggil "profil" yang mencerminkan tingkah laku biasa pengguna, nod rangkaian, sambungan, aplikasi dan trafik. Profil ini dibuat semasa "tempoh latihan" sepanjang tempoh masa. Sebagai contoh, profil mungkin merekodkan peningkatan 13% dalam trafik web pada hari bekerja. Pada masa hadapan, IPS menggunakan kaedah statistik apabila membandingkan ciri yang berbeza aktiviti sebenar dengan nilai ambang tertentu, apabila melebihi, mesej yang sepadan dihantar ke konsol pengurusan pegawai keselamatan. Profil boleh dibuat berdasarkan banyak atribut yang diambil daripada analisis tingkah laku pengguna. Contohnya, mengikut bilangan yang dihantar e-mel, bilangan percubaan log masuk yang tidak berjaya, tahap beban pemproses pelayan tempoh tertentu masa, dsb. Akibatnya, kaedah ini memungkinkan untuk menyekat serangan dengan agak berkesan yang memintas penapisan analisis tandatangan, dengan itu memberikan perlindungan terhadap serangan penggodam.

Teknologi IDS/IPS dalam ALTELL NEO

Asas IDS/IPS yang digunakan oleh syarikat kami dalam tembok api generasi baharu ALTELL NEO, terletak teknologi Suricata terbuka, yang sedang dibangunkan lagi selaras dengan tugas kami. Tidak seperti IDS/IPS Snort, digunakan oleh pembangun lain, sistem yang kami gunakan mempunyai beberapa kelebihan, contohnya, ia membolehkan anda menggunakan GPU dalam mod IDS, mempunyai yang lebih maju. sistem IPS, menyokong multitasking (yang menyediakan lebih banyak prestasi tinggi), dan banyak lagi, termasuk sokongan penuh untuk format peraturan Snort.

Perlu dipertimbangkan bahawa untuk IDS/IPS berfungsi dengan betul, ia memerlukan pangkalan data tandatangan yang terkini. ALTELL NEO menggunakan Pangkalan Data Kerentanan Nasional terbuka dan Bugtraq untuk tujuan ini. Pangkalan data dikemas kini 2-3 kali sehari, yang memungkinkan untuk memastikan tahap optimum keselamatan maklumat.

Sistem ALTELL NEO boleh beroperasi dalam dua mod: mod pengesanan pencerobohan (IDS) dan mod pencegahan pencerobohan (IPS). Fungsi IDS dan IPS didayakan pada antara muka peranti yang dipilih oleh pentadbir - satu atau lebih. Ia juga mungkin untuk memanggil fungsi IPS semasa mengkonfigurasi peraturan firewall untuk jenis tertentu trafik yang perlu diperiksa. Perbezaan fungsi IDS daripada IPS ialah dalam mod IPS, serangan rangkaian boleh disekat dalam masa nyata.

Kefungsian sistem pengesanan dan pencegahan pencerobohan dalam ALTELL NEO

Fungsi Sokongan
1. Pengesanan kelemahan (eksploitasi) Komponen ActiveX
2. Pengesanan trafik yang dihantar oleh hos dalaman rangkaian tempatan, ciri tindak balas selepas serangan yang berjaya
3. Mengesan trafik rangkaian daripada pelayan arahan dan kawalan botnet (Bot C&C)
4. Kesan trafik rangkaian yang berkaitan dengan protokol dan program pemesejan segera
5. Pengesanan trafik rangkaian daripada nod rangkaian yang terjejas
6. Pengesanan trafik rangkaian yang diarahkan ke pelayan DNS
7. Pengesanan trafik tipikal serangan penafian perkhidmatan (DoS, Penafian Perkhidmatan)
8. Pengesanan trafik rangkaian daripada hos pada senarai Spamhaus Drop
9. Pengesanan trafik rangkaian daripada hos yang merupakan sumber serangan yang diketahui berdasarkan senarai Dshield
10. Pengesanan trafik rangkaian tipikal program yang mengeksploitasi kelemahan (eksploit)
11. Pengesanan trafik yang dikaitkan dengan permainan komputer
12. Pengesanan trafik rangkaian ICMP yang dikaitkan dengan serangan rangkaian seperti pengimbasan port
13. Pengesanan ciri trafik rangkaian serangan pada perkhidmatan IMAP
14. Mengesan trafik rangkaian tidak sah yang melanggar dasar keselamatan organisasi anda
15. Pengesanan ciri trafik rangkaian program berniat jahat (perisian hasad)
16. Pengesanan trafik rangkaian khusus untuk cacing rangkaian menggunakan protokol NetBIOS
17 . Pengesanan trafik rangkaian, program perkongsian fail peer-to-peer (P2P, rangkaian peer-to-peer)
18. Pengesanan aktiviti rangkaian yang mungkin bercanggah dengan dasar keselamatan organisasi (contohnya, trafik atau penggunaan VNC akses tanpa nama melalui protokol FTP)
19. Pengesanan trafik yang konsisten dengan serangan pada perkhidmatan POP3
20. Pengesanan trafik rangkaian daripada hos Rangkaian Perniagaan Rusia
21. Pengesanan serangan pada perkhidmatan RPC (panggilan prosedur jauh).
22. Mengesan trafik rangkaian daripada pengimbas port
23. Pengesanan paket yang mengandungi kod pemasangan, arahan peringkat rendah, juga dipanggil kod arahan (cth. serangan limpahan penimbal)
24. Pengesanan trafik yang konsisten dengan serangan ke atas perkhidmatan SMTP
25. Pengesanan trafik rangkaian SNMP
26. Penemuan peraturan untuk pelbagai program pangkalan data SQL
27. Mengesan trafik rangkaian protokol Telnet pada rangkaian
28. Pengesanan trafik rangkaian biasa bagi serangan TFTP (trivial FTP).
29. Pengesanan trafik yang berasal daripada pengirim menggunakan Rangkaian Tor untuk mengekalkan tanpa nama
30. Pengesanan trafik Trojan
31. Pengesanan serangan ke atas ejen pengguna
32. Ketersediaan tandatangan virus biasa (sebagai tambahan kepada enjin antivirus ALTELL NEO)
33. Pengesanan ciri trafik rangkaian serangan ke atas perkhidmatan VoIP
34. Pengesanan kelemahan (eksploitasi) untuk pelanggan web
35. Pengesanan serangan pada pelayan web
36. Pengesanan serangan berdasarkan Suntikan SQL(serangan suntikan sql)
37. Pengesanan trafik rangkaian tipikal cacing rangkaian
38. Perlindungan terhadap serangan penggodam

Peraturan keselamatan dibangunkan dan dipertingkatkan oleh komuniti Ancaman Muncul dan berdasarkan pengalaman bertahun-tahun gabungan pakar dalam bidang perlindungan terhadap serangan rangkaian. Peraturan dikemas kini secara automatik melalui saluran selamat (untuk ini, sambungan Internet mesti dikonfigurasikan dalam ALTELL NEO). Setiap peraturan diberikan keutamaan mengikut kelas serangannya berdasarkan kekerapan penggunaan dan kepentingan. Tahap standard keutamaan - dari 1 hingga 3, dengan keutamaan "1" adalah tinggi, keutamaan "2" adalah sederhana, keutamaan "3" adalah rendah.

Selaras dengan keutamaan ini, tindakan boleh ditetapkan bahawa sistem pengesanan dan pencegahan pencerobohan ALTELL NEO akan berfungsi dalam masa nyata apabila trafik rangkaian yang sepadan dengan tandatangan peraturan dikesan. Tindakan itu mungkin seperti berikut:

  • Makluman(mod ID) - trafik dibenarkan dan dimajukan kepada penerima. Amaran ditulis pada log peristiwa. Tindakan ini adalah lalai untuk semua peraturan;
  • Jatuhkan(Mod IPS) - analisis paket berhenti, tiada perbandingan lanjut dibuat untuk pematuhan peraturan yang tinggal. Paket dibuang dan amaran ditulis pada log;
  • Tolak(mod IPS) - dalam mod ini paket dibuang dan amaran ditulis pada log. Dalam kes ini, mesej yang sepadan dihantar kepada pengirim dan penerima paket;
  • lulus(mod IDS dan IPS) - dalam mod ini, analisis paket berhenti, tiada perbandingan lanjut dibuat untuk pematuhan peraturan yang tinggal. Paket dimajukan ke destinasinya dan tiada amaran dijana.

Laporan mengenai trafik yang melalui sistem pengesanan dan pencegahan pencerobohan ALTELL NEO boleh dijana dalam sistem berpusat Sistem kawalan ALTELL NEO reka bentuk kami sendiri, yang mengumpul data awal (makluman) daripada satu atau lebih peranti ALTELL NEO.


Ujian percuma

Anda boleh menguji kefungsian sistem IDS/IPS terbina dalam ALTELL NEO dalam versi UTM secara percuma dengan mengisi aplikasi ringkas. Anda juga boleh memilih konfigurasi peranti ( ingatan tambahan, modul pengembangan, versi perisian, dsb.) dan hitung anggaran harganya menggunakan

Pengesanan pencerobohan ialah proses mengenal pasti capaian yang tidak dibenarkan atau percubaan capaian yang tidak dibenarkan kepada sumber AS.

Sistem pengesanan pencerobohan (IDS) dalam kes umum ialah kompleks perisian dan perkakasan yang menyelesaikan masalah ini.

Tandatangan ialah satu set peristiwa atau tindakan yang bercirikan jenis ancaman keselamatan tertentu.

    Sensor menerima paket rangkaian.

    Paket dihantar ke kernel untuk analisis.

    Padanan tandatangan disemak.

    Jika tiada padanan, maka paket seterusnya diterima daripada nod.

    Jika terdapat padanan, mesej amaran muncul.

    Modul tindak balas dipanggil.

Ralat jenis pertama dan kedua:

    Kesilapan jenis kedua, apabila pesalah itu dilihat sistem keselamatan, sebagai subjek akses yang dibenarkan.

Semua sistem yang menggunakan tandatangan untuk mengesahkan akses terdedah kepada ralat jenis kedua, termasuk antivirus yang dijalankan pada pangkalan antivirus.

Pengendalian sistem IDS dalam banyak cara serupa dengan tembok api. Penderia menerima trafik rangkaian, dan kernel, dengan membandingkan trafik yang diterima dengan rekod pangkalan data tandatangan sedia ada, cuba mengenal pasti kesan percubaan akses yang tidak dibenarkan. Modul respons ialah komponen tambahan, yang boleh digunakan untuk menyekat ancaman dengan cepat sebagai contoh, peraturan baharu untuk tembok api boleh dijana.

Terdapat dua kategori utama IDS:

    IDS peringkat rangkaian. Dalam sistem sedemikian, sensor beroperasi pada hos (nod) khusus untuk tujuan ini, segmen rangkaian yang dilindungi. Ia biasanya beroperasi dalam mod mendengar untuk menganalisis semua trafik rangkaian yang melalui segmen tersebut.

    IDS peringkat hos. Jika sensor beroperasi pada tahap hos, maklumat berikut boleh digunakan untuk analisis:

    1. Catatan cara standard. pengelogan OS.

      Maklumat tentang sumber yang digunakan.

      Profil tingkah laku pengguna yang dijangkakan.

Setiap jenis IDS mempunyai kelebihan dan kekurangan tersendiri.

IDS peringkat rangkaian tidak mengurangkan prestasi sistem keseluruhan, tetapi IDS peringkat hos lebih berkesan untuk mengesan serangan dan membolehkan anda menganalisis aktiviti yang dikaitkan dengan hos individu. Dalam amalan, adalah dinasihatkan untuk menggunakan kedua-dua jenis ini.

Pembalakan dan pengauditan

Subsistem pembalakan dan audit adalah komponen wajib bagi mana-mana AS. Pembalakan ialah mekanisme akauntabiliti sistem keselamatan maklumat yang merekodkan semua peristiwa yang berkaitan dengan keselamatan maklumat. Audit– analisis pengelogan maklumat untuk pengenalan segera dan mencegah pelanggaran rejim keselamatan maklumat.

Tujuan mekanisme pendaftaran dan audit:

    Memastikan akauntabiliti pengguna dan pentadbir.

    Memastikan kemungkinan membina semula urutan peristiwa (contohnya, semasa kejadian).

    Pengesanan percubaan untuk melanggar rejim keselamatan maklumat.

    Mendedahkan masalah teknikal, tidak berkaitan langsung dengan keselamatan maklumat.

Data yang dilog dimasukkan ke dalam jurnal pendaftaran, yang merupakan set rekod yang tersusun secara kronologi bagi hasil aktiviti subjek AS yang mempengaruhi rejim keselamatan maklumat. Medan utama log tersebut adalah seperti berikut:

    Cap masa.

    Jenis acara.

    Pemula acara.

    Hasil daripada acara tersebut.

Kerana log sistem adalah sumber maklumat utama untuk audit seterusnya dan pengesanan pelanggaran keselamatan, persoalan mesti dibangkitkan tentang melindungi mereka daripada pengubahsuaian yang tidak dibenarkan. Sistem pengelogan mesti direka bentuk supaya lebih daripada seorang pengguna, termasuk pentadbir, tidak boleh sewenang-wenangnya menukar entri log sistem.

Memandangkan fail log disimpan pada satu atau media lain, lambat laun masalah ruang yang tidak mencukupi pada media ini mungkin timbul, dan tindak balas sistem mungkin berbeza, contohnya:

    Teruskan operasi sistem tanpa pengelogan.

    Sekat sistem sehingga masalah diselesaikan.

    Padamkan entri tertua dalam log sistem secara automatik.

Pilihan pertama adalah yang paling tidak boleh diterima dari sudut pandangan keselamatan.



ARTIKEL BERKAITAN