Аудит и обнаружение вторжения

2 минуты на чтение

Аудит и обнаружение вторженияЕсть еще одна политика гарантии качества, контролирующая использование сайта, — политика аудита. Какие процессы или события нужно протоколировать? За изменениями каких файлов необходимо следить? Если файлы протокола недостаточно защищены, злоумышленник сможет их изменить, тем самым уничтожив свидетельства своего присутствия. Windows NT дает возможность контролировать доступ к любому из указанных файлов, попытки входа в систему, ошибки приложений и прочие системные события. UNIX может отслеживать процессы и регистрировать системные и программные события. Log-файлы разумно хранить в защищенной сети, где они недоступны для хакера. Если это невозможно, если необходимо вести учет непосредственно в DMZ-сегменте, то позаботьтесь о том, чтобы протоколы событий регулярно записывались на CDR-диск. Генерация протоколов, их хранение и анализ — это лишь одна сторона политики обнаружения вторжения. Системы обнаружения вторжения (IDS) должны охватывать все звенья сетевой безопасности сайта. Локальные IDS заносят в протокол критические системные события (сбои, служебные ошибки, попытки несанкционированного доступа к файловой системе и т. п.). Сетевые IDS отслеживают график в поиске последовательностей пакетов, которые могут интерпретироваться как попытка вторжения. IDS может также следить за Web-трафиком и электронной почтой, что позволяет вовремя изолировать «небезопасные» данные. Кроме того, IDS часто выступает в роли антивируса. Задача системы IDS — обнаружить вторжение до того, как будет произведен анализ протокола событий. Согласитесь, злоумышленника легче и выгоднее остановить на этапе сбора информации, чем во время непосредственной атаки. Настройка IDS на подачу сигналов тревоги во время критических для системы событий и принятие соответствующих мер защиты — это часть общей политики чрезвычайного реагирования. Систему IDS можно также интегрировать с межсетевым экраном, что позволит останавливать нежелательный трафик в автоматическом режиме. Если на вашем сайте установлен центр сетевых операций (NOC), политика сетевой безопасности должна указывать на то, что сигналы тревоги, подаваемые системой IDS, будут транслироваться NOC для незамедлительного анализа. Если никто не следит за сигналами тревоги, IDS становится бесполезной. Однако надо учитывать, что IDS может дать сигнал ложной тревоги, из-за чего внимание к многочисленным сигналам тревоги, посылаемым системой IDS, со временем ослабевает. Избежать синдрома «неоправданной паники» можно только благодаря точной конфигурации IDS в соответствии с проходящим через него трафиком

Facebook Vk Ok Twitter Telegram

Похожие записи:

Без сомнения, обнаружение попыток проникновения в систему — необходимая часть процесса обеспечения безопасности. После межсетевых экранов системы обнаружения вторжения (IDS) — самые популярные средства безопасности. Производители годами совершенствуют свои про...
Системы обнаружения вторжения — это категория информационных средств, разработанных для наблюдения за «подозрительными» событиями, возникающими в системах или сетях. При появлении «подозрительного» события IDS выполняет ряд действий, среди которых: протоколиро...
«Сеть должна отслеживать попытки вторжения круглосуточно 7 дней в неделю, используя программный продукт X с терминальным доступом», — это уже определяет, Как делать. Тем самым политика автоматически исключает инновационные и потенциально менее дорогостоящие ре...