283
-
код закрытия - отправляется в случае, когда необходимо закрыть
контекст;
-
дополнительное сообщение - к контексту добавляется новое
сообщение, которое может активировать дополнительные модули анализа.
Поведенческий анализ имеет своей целью определить, соответствуют ли
различные действия, зафиксированные системой мониторинга информацион-
ной безопасности, политику безопасности. Большинство реализаций поведен-
ческого анализа использует режим обучения: в течение определенного
времени формируется «представление» о том, что является «нормальным»
поведением среды, в которой работает система мониторинга информацион-
ной безопасности. Таким образом, политика безопасности может задаваться
либо непосредственно администратором, либо распознаваться в процессе
обучения. Поведенческий анализ позволяет контролировать активность
приложений в реальном времени и блокировать любые подозрительные
действия.
Положительная сторона поведенческого анализа состоит в том, что он
предлагает защиту, не опираясь на сигнатуры известных атак. При этом
потенциальный недостаток -это возможность ложных срабатываний, а также
то, что его использование требует тщательной настройки системы и сопря-
жено со значительным увеличением объема работы системных администра-
торов.
Перечисленные выше методы анализа сообщений информационной
безопасности в системе мониторинга информационной безопасности явля-
ются классическими, поскольку они реализуют методы анализа сообщении
информационной безопасности, используемых в отдельно взятых средств
защиты информации, но применимых к базу данных системы мониторинга
информационной безопасности. Однако поскольку баз данных системы
мониторинга информационной безопасности содержит сообщения от всех
средств защиты информации организации, получается, что именно потенциал
системы мониторинга информационной безопасности, как глобальной баз
данных организации, остается незадействованным. Отсутствуют методы
анализа, которые бы давали оценку «состоянию здоровья» организации с
точки зрения информационной безопасности и состоянию защищенности ее
бизнес-процессов,а также рассматривали бы систему мониторинга информа-
ционной безопасности как единый банк данных об атаках для создания
межкорпоративного банка данных и распределенного предотвращения атак.
Поскольку база данных системы мониторинга информационной безопас-
ности фактически содержит сведения о состоянии информационной безопас-
ности всей организации в целом, то имеет смысл проводить дополнительные
действия по корреляции сообщений информационной безопасности, такие
как анализ на предмет соответствия соглашение о предоставлении услуг,
анализ выполнения требований нормативных документов организации и
межкорпоративную корреляцию сообщений информационной безопасности.
Do'stlaringiz bilan baham: