Обнаружение вторжений
Глава 9. Обнаружение вторжений
Ценные веши должны быть защищены от кражи и разрушения. В некоторых домах устанавливаются сигнализации, которые могут отпугнуть воров, сообщить правоохранительным органам о взломе и даже предупредить владельцев о пожаре, возникшем в их доме. Это необходимые меры обеспечения целостности домов и безопасности домовладельцев.
Подобное страхование целостности и безопасности также следует применять к компьютерным системам и данным. Интернет облегчает передачу самой разной информации, от персональной до финансовой. В то же время он таит в себе много опасностей. Злонамеренные пользователи и взломщики рыщут в поисках добычи — неисправленных вовремя систем, систем с троянскими конями и сетей, в которых работают небезопасные службы. Чтобы администраторы и члены команды безопасности узнавали о взломе и реагировали на него в реальном времени, им необходимы средства сигнализации. Такими предупреждающими системами являются системы обнаружения вторжения.
9.1. Определение системы обнаружения вторжения
Системы обнаружения вторжения (Intrusion Detection System, IDS) — это работающие процессы или устройства, анализирующие активность в сети или системе на предмет неавторизованных и/или злонамеренных действий. Способы выявления аномалий системой обнаружения вторжения могут быть самыми разными; однако все системы IDS предназначены для поимки преступников на месте, прежде чем они действительно нанесут ущерб.
IDS защищает компьютер от атаки, незаконного использования и компрометации. Эта система также наблюдает за сетевой активностью, анализирует целостность данных, проводит аудит сетевой и системной конфигурации т.д. В зависимости от методов выявления, которые вы решили внедрять, использование IDS принесёт различные прямые и косвенные выгоды.
9.1.1. Типы IDS
Понимание сути IDS и выполняемых её функций является ключевым в определении того, какой тип IDS следует включать в политику безопасности. В этом разделе обсуждаются понятия, связанные с IDS, функциональность IDS каждого типа и появление гибридных систем, реализующих различные инструменты и приёмы обнаружения в одном пакете.
Некоторые системы IDS основаны на знаниях и заранее предупреждают администраторов о вторжении, используя базу данных распространённых атак. Системы IDS, основанные на поведении, напротив, обнаруживают аномалии, которые часто являются признаком активности злоумышленников, отслеживая использование ресурсов. Некоторые IDS — отдельные службы, работающие в фоновом режиме и анализирующие активность пассивно, регистрируя все подозрительные пакеты извне. Другие мощные средства выявления вторжений получаются в результате сочетания стандартных системных средств, изменённых конфигураций и подробного ведения журнала с интуицией и опытом администратора. Найти средство, подходящее для вашей организации, можно, познакомившись с различными приёмами обнаружения вторжения.
Наиболее распространёнными в сфере безопасности типами IDS, являются так называемые локальные и сетевые системы IDS. Вариант с локальной IDS является более всеобъемлющим, так как система обнаружения устанавливается на каждом отдельном компьютере. Узел остаётся защищённым вне зависимости от своего сетевого окружения. Сетевые IDS собирают пакеты через одно устройство и анализируют их, прежде чем пересылать заданным узлам. Сетевые IDS обычно считаются более ограниченными, так как при большом количестве узлов в мобильной среде просто невозможно обеспечить надёжную фильтрацию пакетов и защиту сети.