Что значит обнаружение атак?

Системы обнаружения атак помогают компьютерным системам подготовиться к приему и отражению атак. Они выполняют эту цель путем сбора информации о целом ряде системных и сетевых ресурсов, затем они анализируют собранную информацию на предмет идентификации проблем защиты. В некоторых случаях системы обнаружения атак позволяют пользователю устанавливать ответные реакции на злоупотребления в реальном масштабе времени.

Системы обнаружения атак выполняют целый ряд функций:

• Мониторинг и анализ деятельности пользователей и вычислительных систем;
• Аудит конфигураций системы и уязвимостей;
• Оценка целостности наиболее важных системных файлов и файлов данных;
• Распознавание шаблонов активности, отражающих известные атаки;
• Статистический анализ шаблонов аномальной активности;
• Управление журналами регистрации операционной системы с распознаванием деятельности пользователя, отражающей нарушения политики безопасности.

Некоторые системы имеют дополнительные характеристики, включающие:

• автоматическую инсталляцию patch'ей ПО, поставляемых продавцом;
• инсталляцию и работу серверов-ловушек для записи информации о нарушителях.

Комбинация этих характеристик позволяет системным администраторам более эффективно осуществлять мониторинг, аудит и анализ систем и сетей. Эта непрерывная деятельность по анализу и аудиту является необходимой частью стандартной практики по управлению защитой.

Анализ уязвимостей и обнаружение атак

Системы поиска уязвимостей (также известные как сканеры безопасности или анализа защищенности) проводят всесторонние исследования систем с целью определения уязвимостей, которые могут привести к нарушениям защиты. При проведении этих исследований эти системы реализуют две стратегии. Первая - пассивная, - механизмы, действующие на уровне операционной системы и приложений, инспектируют конфигурационные файлы системы на предмет наличия неправильных параметров; файлы с системными паролями на предмет наличия легко угадываемых паролей, а также другие системные объекты на предмет нарушений политики безопасности. Следующие проверки в большинстве случаев являются активными, они осуществляют анализ на сетевом уровне, воспроизводя наиболее распространенные сценарии атак, и анализируют реакции системы на эти сценарии.

Продукты, которые могут быть успешно использованы в операционных средах

Главная задача средств поиска уязвимостей и обнаружения атак заключается в том, чтобы автоматизировать рутинные и утомительные функции управления защитой системы, и сделать их понятными для тех, кто не является экспертом в области защиты информации. Поэтому продукты разрабатываются с графическим интерфейсом, удобным и понятным для пользователя, что помогает администраторам безопасности легко и быстро осуществлять инсталляцию, конфигурацию и использование соответствующих продуктов. Большинство систем включают информацию об обнаруживаемых проблемах, включая указания на то, как устранить эти проблемы. Эта информация служит в качестве ценного руководства для тех, кому необходимо повысить свои профессиональные навыки в области защиты информации. Многие продавцы предлагают консультационные услуги и услуги по интеграции своих продуктов в технологию обработки информации организации для того, чтобы помочь покупателям успешно использовать данные системы с целью достижения своих конкретных целей в защите информации.

Таблица технологических характеристик