Архитектура на сигурността

© Христо Тужаров, януари 2010 

СИСТЕМИ ЗА ОТКРИВАНЕ НА АТАКИ

[Home] [Съдържание] [Асеневци] [Студентите] [Консултации]

СИСТЕМИ ЗА ОТКРИВАНЕ НА АТАКИ

АНАЛИЗ НА ДАННИТЕ ЗА АТАКИТЕ 

 

 

 

Откриване на атаки (intrusion detection)

Процес на идентификация и реагиране на подозрителна дейност, насочена към компютърните или мрежовите ресурси.

 

Атака – всяко несанкционирано действие, което води до реализация на заплаха чрез използване на уязвимост на информационната система.

 

 

 

Подходи при откриване на атаки

 

        Блокиране на атаки

Реализира се на втория етап и се прилага в класическите системи за откриване на атаки (например, RealSecure компании Internet Security Systems), защитни стени и т.н.

 

                 Недостатък – атаките могат да бъдат реализирани повторно.

 

       Откриване на атаки

Осъществява се чрез търсене на уязвимости, които могат да бъдат използвани за реализация на атака.

 

        Регистриране на атаки

Откриват се завършили атаки и чрез анализът им се предотвратява повторната им реализация.

 

Класификация по предназначението на системата за откриване на атаки

 

Класификация по предназначението на системата за откриване на атаки

 

          Системи за анализ на сигурността (security assessment systems)

Наричат се още скенери на сигурността (security scanners). Те функционират на първия етап на реализация на атаката и позволяват да се открият уязвимостите на ИС.

 

           Системи за блокиране на атаките

Функционират на втория етап и позволяват атаката да бъде открита и блокирана. Работят в реален или близък до реалния режими.

 

           Системи за откриване на атаки

Функционират на третия етап и позволяват да се открият вече извършени атаки.

  • Системи за контрол на цялостност – откриват промени в контролираните регистри;

  • Системи за анализ на дневниците за регистрация.

Класификация по начина на реализация на системата за откриване на атаки

 

Класификация по начина на реализация на системата за откриване на атаки

 

  • Откриване на атаки насочени към конкретен възел (host-based);

  • Откриване на атаки насочени към конкретно приложение (Application IDS);

  • Откриване на атаки насочени към операционната система (OS IDS);

  • Откриване на атаки насочени към системата за управление на база данни (DBMS IDS);

  • Откриване на атаки насочени към цялата мрежа или неин сегмент (network-based);

Основни изисквания към системите за откриване на атаки

Адекватност на заплахите

Предполага щателен анализ на заплахите както реални, така и потенциални. По резултатите от този анализ се формират изисквания към канкретната архитектура (завишени изисквания водят към неоправдани разходи, а занижените – към рязко нарастване вероятността за реализация на заплахите).

Непрекъснатост

Осигуряването на защита на информацията на конкретен обект – това е непрекъснат процес, заключаващ се в развитие на архитектурата, включващ постоянен контрол, откриване на тесни места и потенциално възможни канали за изтичане на информация.

Плановост

Това изискване подразбира разработка на детайлен план за защита на информацията  с отчитане целите на организацията.

Централизираност

В рамките на определена структура трябва да бъде организиран процес на единно управление по осигуряване на защита на информацията.

Целенасоченост

При реализация на защитните мерки, те трябва да бъдат насочени към конкретен обект и към достигане на поставените цели.

Надежност

Методите за защита трябва да гарантират блокиране на възможни канали за изтичане на информация, независимо от формата на представяне, езика на изразяване и вида на физическия носител.

Универсалност

Методите на защита трябва да осигуряват възможност за покриване на канала  на изтичане на информация, независимо от вида и мястото на появяването му.

Комплексност

Системата за откриване на атаки включва всички видове, форми и средства за защита в пълен обем. Недопостимо е да се ицползват само отделни форми или технически средства.