Контакты
Подписка
МЕНЮ
Контакты
Подписка

Выявить и предупредить!

Выявить и предупредить!

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Выявить и предупредить!

Защита информации – комплексная и многосторонняя задача, что определяет существование разных подходов, инструментов и решений. Более того, каждое средство защиты имеет слабые и сильные стороны. Только комбинируя их, можно защититься от максимально большого спектра атак. Определить комбинацию оптимальных с точки зрения защиты затрат и удобства использования средств можно в зависимости от ценности информации, вероятности и типов угроз.
Даниил Пустовой
Менеджер по развитию DNA Distribution,
официального дистрибьютора компании
Thales e-Security в России

Современные технологии взлома и компрометации данных, а также социального инжиниринга не стоят на месте, и привычные пользователям антивирусные программы и файрволы не могут самостоятельно обеспечить достаточную защиту, предотвращая лишь ряд типовых угроз. Любую угрозу можно либо детектировать и предотвратить, либо устранить ее потенциальный вред, но на практике почти всегда приходится сочетать оба подхода. Речь идет о системах обнаружения и предупреждения вторжений (IDPS) и о криптографической защите данных. Чаще всего злоумышленники пытаются скомпрометировать закрытый ключ, закрытый алгоритм, цифровой сертификат или учетные записи. Например, утечка зашифрованной информации не принесет никакой пользы злоумышленникам, однако утечка или подмена ключей шифрования может быть равносильна компрометации или потере всей конфиденциальной информации.

Intrusion Detection System

Система обнаружения вторжений (Intrusion Detection System – IDS) – это программный или аппаратный комплекс, предназначенный для выявления неавторизованного доступа (сетевой атаки или вторжения) в рабочую среду или компьютерную сеть. IDS является дополнительным уровнем защиты системы и в зависимости от своего типа и назначения может определять различные типы сетевых атак, выявлять вредоносное ПО, попытки неавторизованного доступа, открытие нового порта, несанкционированное повышение привилегий и т.д. Даже в случае полностью отлаженной системы защиты мы не можем гарантировать, что не появятся новые уязвимости, связанные с недоработками производителя ПО, в этом случае IDS может стать единственным решением.

Классификация IDS

Обычно IDS включает:l сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой сети или системы; lподсистему анализа, предназначенную для выявления сетевых атак и подозрительных действий; lхранилище, в котором накапливаются первичные события и результаты анализа; lконсоль управления, позволяющую конфигурировать IDS, наблюдать за состоянием защищаемой системы и IDS, просматривать выявленные подсистемой анализа инциденты.

По способам мониторинга системы IDS обычно разделяют на две основные категории: NIDS и HIDS. Сетевые системы обнаружения вторжений (Network intrusion detection system – NIDS) занимаются анализом сетевого трафика по данным сенсоров, которые расположены в ключевых узлах сети.

Системы обнаружения вторжений на уровне хоста (Host-based intrusion detection system – HIDS) занимаются обнаружением вторжения посредством специальной службы, анализирующей системные запросы, логи активности приложений, изменения файловой системы и другие процессы, происходящие на уровне хоста.

Системы IDS способны выявить практически любую угрозу, но для того чтобы сохранить целостность и конфиденциальность информации, необходимо эту угрозу нейтрализовать. Для этих целей используется комплекс IPS.

Intrusion Prevention System

Система предотвращения вторжений – IPS (Intrusion Prevention System) – программное или аппаратное средство, осуществляющее мониторинг сети или компьютерной системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности. По своим функциям и классификации аналогичны IDS. Главным отличием является то, что системы IPS способны функционировать в реальном времени, что позволяет в автоматическом режиме блокировать сетевые атаки. Системы IPS способны обнаруживать вредоносную активность, посылать сигналы администратору, блокировать сомнительные процессы, разрывать или блокировать сетевое соединение, по которому идет атака на базы данных или сервисы. Также IPS могут выполнять дефрагментацию пакетов и переупорядочивание пакетов TCP для защиты от пакетов с измененными ACK-и SEQ-номерами. Каждая система IPS включает в себя модуль IDS.


Современные IDPS-системы даже от таких лидеров рынка, как IBM или Check Point, должны рассматриваться лишь как одно из необходимых, но дополнительных средств в арсенале ИБ, решение о применении которого зависит от типа защищаемой информации и инфраструктуры организации. Они не могут защитить от инсайдеров или методов социальной инженерии и для обеспечения близкой к абсолютной безопасности должны применяться совместно с аппаратными средствами криптографической защиты: шифрования данных, строгой аутентификации и управления ключами шифрования.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013
Посещений: 8808

Приобрести этот номер или подписаться
  Автор

Даниил Пустовой

Даниил Пустовой

Менеджер по развитию компании DNA Distribution,
официального дистрибьютора Thales e-Security в России

Всего статей:  7

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций