Интернетмагазин

Download 18,66 Mb.

Pdf ko'rish

bet	188/272
Sana	25.02.2022
Hajmi	18,66 Mb.
	#290514

1 ... 184 185 186 187 188 189 190 191 ... 272

Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

Панель управления СОВ • Статистический анализ • Анализ аномальной активности • Анализ шаблонов Мониторинг и анализ действий пользователя

218  Активные сенсоры
с
истемы

обнаружения

вторжений

Как следует из названия,
система обнаружения вторжений (СОВ, intrusion
detection system IDS) отвечает за обнаружение потенциального вторжения
и инициирование оповещения. Что можно сделать с этим оповещением, за-
висит от политики системы обнаружения. При создании политики СОВ необ-
ходимо ответить на следующие вопросы:

Кто должен контролировать СОВ?

У кого должен быть доступ с правами администратора к СОВ?

Как будут обрабатываться инциденты на основе оповещений, генери-
руемых СОВ?

Какова политика обновления СОВ?

Где нужно установить СОВ?
Это лишь некоторые примеры первоначальных вопросов, которые долж-
ны помочь в планировании принятия СОВ. При поиске системы обнаружения
вторжений также можно обратиться к списку поставщиков в ICSA Labs (
www.
icsalabs.com) для получения дополнительной информации о поставщике. Не-
зависимо от бренда типичная система обнаружения вторжений обладает воз-
можностями, показанными на рис. 11.4.
Панель управления СОВ
• Статистический анализ
• Анализ аномальной активности
• Анализ шаблонов
Мониторинг и анализ
действий пользователя
СОВ
Анализ действий
и уязвимостей
сервера
Рис. 11.4

Система предотвращения вторжений 

219
Хотя это основные возможности, количество функций в действительности
будет зависеть от поставщика и метода, используемого СОВ. Система обнаруже-
ния вторжений на базе сигнатур будет запрашивать базу данных о сигнатурах
(следах) уже известных атак и известных системных уязвимостях, чтобы про-
верить, является ли то, что было обнаружено, угрозой и должно ли сработать
оповещение. Поскольку это база данных сигнатур, она требует постоянного
обновления, чтобы располагать последней версией. Основанная на поведении
СОВ работает, создавая базовые шаблоны, на основе того, что она узнала от си-
стемы. Изучив нормальное поведение, становится легче выявлять отклонения.

Оповещение СОВ – это любой тип уведомлений пользователя, чтобы сообщить о потен-
циальной атаке.
Cистема обнаружения вторжений также может базироваться на отдельной
машине, когда механизм СОВ будет обнаруживать попытку вторжения только
на конкретный хост, или это может быть сетевая система обнаружения втор-
жений (ССОВ), которая определяет вторжение для сегмента сети, в котором
установлена ССОВ. Это означает, что в случае с ССОВ размещение становится
критически важным для сбора ценного трафика. Именно здесь Синяя команда
должна тесно сотрудничать с командой IT-инфраструктуры, чтобы обеспечить
установку системы обнаружения вторжений в стратегически важных местах по
всей сети. При планировании размещения ССОВ установите приоритетность
следующих сегментов сети:

ДМЗ/периметр;

основная корпоративная сеть;

беспроводная сеть;

сеть виртуализации;

другие критические сегменты сети.
Эти сенсоры будут прослушивать трафик, а это означает, что они не будут
потреблять слишком много пропускной способности сети.
На рис. 11.5 приведен пример размещения СОВ.
Обратите внимание, что в этом случае система обнаружения (которая на са-
мом деле в данном случае представляет собой ССОВ) была добавлена к каждо-
му сегменту (используя SPAN-порт на сетевом коммутаторе). Это всегда так?
Вовсе нет! Это будет варьироваться в зависимости от потребностей вашей
компании. Синяя команда должна знать об ограничениях компании и помочь
определить наиболее подходящее место для установки этих устройств.

Download 18,66 Mb.

Do'stlaringiz bilan baham:

1 ... 184 185 186 187 188 189 190 191 ... 272