Kako podesiti pametne telefone i računare. Informativni portal

Detekcija mrežnih napada. Otkrivanje hakerskih napada na vaš računar

12.04.2019 Internet, Wi-Fi, lokalne mreže

Glavna svrha ovog programa je otkrivanje hakerski napadi. Kao što znate, prva faza većine hakerskih napada je mrežni inventar i skeniranje portova na otkrivenim hostovima. Skeniranje portova pomaže u određivanju tipa operativnog sistema i otkrivanju potencijalno ranjivih usluga (na primjer, pošta ili WEB server). Nakon skeniranja portova, mnogi skeneri određuju tip usluge slanjem testnih zahtjeva i analizom odgovora servera. APS uslužni program obavlja razmjenu s napadačem i omogućava vam da jedinstveno identificirate činjenicu napada.


Osim toga, svrha uslužnog programa je:

  • detekcija različite vrste napadi (prije svega, skeniranje portova i identifikacija servisa) i pojava programa i mrežnih crva na mreži (APS baza podataka sadrži više od stotinu portova koje koriste crvi i Backdoor komponente);
  • testiranje portnih skenera i mrežna sigurnost(da biste provjerili rad skenera, potrebno je pokrenuti APS na probnom računaru i izvršiti skeniranje porta - pomoću APS protokola lako je odrediti koje će provjere skener vidjeti i kojim redoslijedom);
  • testiranje i operativna kontrola za zaštitni zid - u ovom slučaju, APS uslužni program se pokreće na računaru sa instaliranim zaštitnim zidom i skeniranje portova i (ili drugi napadi) se izvode na računar. Ako APS izda alarm, onda je to signal da Firewall ne radi ili da je neispravno podešavanje. APS može stalno da radi iza računara zaštićenog zaštitnim zidom kako bi nadgledao ispravno funkcionisanje zaštitnog zida u realnom vremenu;
  • blokiranje rada mrežnih crva i Backdoor modula i njihovo otkrivanje - princip detekcije i blokiranja se zasniva na činjenici da se isti port može otvoriti za slušanje samo jednom. Stoga će otvaranje portova koje koriste Trojanci i Backdoor programi prije pokretanja ometati njihov rad, nakon pokretanja će dovesti do otkrivanja činjenice da port koristi drugi program;
  • testiranje anti-trojanaca i programa, IDS sistema - više od stotinu portova najčešćih Trojanci. Neki anti-trojanski alati imaju mogućnost da izvrše skeniranje portova računara koji se provjerava (ili da naprave listu portova za slušanje bez skeniranja pomoću Windows API) - takvi alati trebaju prijaviti sumnjive trojance (sa listom "sumnjivih" portova) - rezultirajuća lista se može lako uporediti sa listom portova u APS bazi podataka i izvući zaključke o pouzdanosti korištenog alata.

Princip rada programa zasniva se na slušanju portova opisanih u bazi podataka. Baza podataka portova se stalno ažurira. Baza podataka sadrži kratak opis svakog porta - kratki opisi sadrže ili nazive virusa koji koriste port ili ime standardna usluga, kojem ovaj port odgovara. Kada se otkrije pokušaj povezivanja na port koji se sluša, program bilježi činjenicu povezivanja u protokol, analizira podatke primljene nakon povezivanja, a za neke usluge prenosi tzv. baner - određeni skup teksta ili binarni podaci koji se prenose prava usluga nakon povezivanja.

Puni naziv takvih sistema je sistemi za prevenciju i detekciju upada. Ili zovu SOA kao jedan od pristupa . Princip rada SOA-e je stalno praćenje aktivnosti koje se dešavaju u informacionom sistemu. Takođe, kada se otkrije sumnjiva aktivnost, poduzmite određene mehanizme za sprječavanje i signaliziranje određenih pojedinaca. Takvi sistemi moraju odlučiti.

Postoji nekoliko alata i tipičnih pristupa otkrivanju napada koji smanjuju .

Prošla su vremena kada je jedan firewall bio dovoljan za zaštitu. Danas preduzeća implementiraju moćne i ogromne strukturirani sistemi zaštite, ograničiti preduzeće od moguće prijetnje i rizici. Sa pojavom napada kao što su napadi uskraćivanja usluge (DDoS), adresa izvora paketa ne može vam dati nedvosmislen odgovor da li je napad bio usmjeren ili nasumičan. Morate znati kako da odgovorite na incident, kao i kako da identifikujete napadača (slika 1).

Napadača možete prepoznati prema sljedećim karakteristikama za akciju:

  • implementira očigledne punkcije
  • implementira ponovljene pokušaje ulaska u mrežu
  • pokušava prikriti tragove
  • sprovodi napade u različito vrijeme

Slika 1

Napadače također možete podijeliti na povremene i iskusne. Prvi u neuspjeli pokušaj pristup serveru će ići na drugi server. Potonji će vršiti analitiku u vezi sa resursom kako bi implementirali sljedeće napade. Na primjer, administrator vidi u IDS logu da neko skenira vaše portove mail server, tada SMTP komande dolaze sa iste IP adrese na portu 25. Način na koji napadač djeluje može mnogo reći o njegovom karakteru, namjerama i tako dalje. Slika 2 prikazuje algoritam za efikasno otkrivanje napada. Sve usluge otkrivanja napada koriste početne algoritme:

  • otkrivanje zloupotrebe
  • detekcija anomalija

Crtež - 2

Za dobar položaj sistema za detekciju, potrebno je da nacrtate mrežni dijagram sa:

  • granice segmenta
  • mrežni segmenti
  • objekti sa i bez povjerenja
  • ACL-ovi - Liste kontrole pristupa
  • Servisi i serveri koji jesu

Česta greška je ono što napadač traži kada analizira vašu mrežu. Budući da sistem za otkrivanje upada koristi analizu saobraćaja, proizvođači prepoznaju da je nemoguće koristiti zajednički port za presretanje svih paketa bez degradacije performansi. Tako da efikasno podešavanje sistemi za detekciju su veoma važan zadatak.

Alati za otkrivanje napada

Tehnologija otkrivanja upada mora biti u stanju da obradi sljedeće:

  • Prepoznavanje narodnih napada i upozorenje na njih određenim pojedincima
  • Razumijevanje nejasne izvore podataka o napadima
  • Sposobnost upravljanja metodama zaštite od strane profesionalaca koji nisu bezbjednosni
  • Kontrola svih radnji subjekata informaciona mreža(programi, korisnici, itd.)
  • Oslobađanje ili smanjenje funkcija osoblja odgovornog za bezbednost, aktuelno rutinske operacije za kontrolu

Često sistemi za detekciju upada mogu implementirati funkcije koje proširuju opseg njihove primjene. Na primjer:

  • Kontrola efikasnosti. Moguće je locirati sistem za detekciju nakon inter firewall za identifikaciju pravila koja nedostaju na firewall-u.
  • Kontrola hostova sa zastarjelim softverom
  • Blokiranje i kontrola pristupa nekima Internet resursi. Iako su daleko od mogućnosti kao što su firewall, ali ako nema novca za kupovinu firewall-a, možete proširiti funkcije sistema za otkrivanje upada.
  • Kontrola e-pošte. Sistemi mogu pratiti viruse u e-mailovima i analizirati sadržaj dolaznih i odlaznih e-poruka

Najbolja implementacija iskustva i vremena profesionalaca u ovoj oblasti sigurnost informacija je identifikovati i eliminisati razlozi napade, umjesto da otkrivaju same napade. Otklanjanje uzroka zbog kojeg je napad moguć, uštedjet će mnogo vremena i finansijskih sredstava.

Klasifikacija sistema za detekciju upada

Postoji mnogo klasifikacija sistema za detekciju upada, ali prva je klasifikacija prema principu implementacije:

  • host-based - sistem je usmjeren na određeni mrežni čvor
  • mrežni - sistem je usmjeren na cijelu mrežu ili segment mreže

Sistemi za otkrivanje upada koji su instalirani na određenim računarima obično analiziraju podatke iz OS logova i različite aplikacije. Međutim, u U poslednje vreme proizvode se programi koji su blisko integrisani sa jezgrom OS-a.

Prednosti sistema za detekciju upada

Prebacivanje vam omogućava da upravljate velike mreže kao nekoliko malih mrežnih segmenata. Detekcija napada na nivou određenog čvora daje više efikasan rad u komutiranim mrežama, jer vam omogućava da instalirate sisteme za detekciju na onim čvorovima gdje je to potrebno.

Sistemi mrežnog sloja ne moraju imati instaliran sistemski softver za otkrivanje upada na hostu. Za kontrolu segmenta mreže potreban je samo jedan senzor, bez obzira na broj čvorova u ovom segmentu.

Paket poslat od napadača neće biti vraćen. Sistemi na kojima rade mrežni sloj, implementirati detekciju napada sa živim prometom, odnosno u realnom vremenu. Analizirane informacije uključuju podatke koji će biti dokaz na sudu.

Sistemi detekcije koji rade na nivou mreže su nezavisni od OS-a. Za takve sisteme nije važno koji je OS kreirao paket.

Tehnologija poređenja uzoraka

Princip je da postoji analiza prisutnosti u paketu određenog konstantnog niza bajtova - šablona ili potpisa. Na primjer, ako je paket IPv4 protokola i transport TCP protokol, namijenjen je portu broj 222 i sadrži string u polju podataka foo, ovo se može smatrati napadom. Pozitivne strane:

  • najjednostavniji mehanizam za otkrivanje napada;
  • omogućava teško uparivanje uzorka sa napadačkim paketom;
  • radi za sve protokole;
  • signal napada je pouzdan ako je uzorak ispravno identificiran.

Negativne strane:

  • ako je napad nestandardan, postoji šansa da ga promašite;
  • ako je uzorak previše uopšten, onda je vjerovatno veliki postotak lažno pozitivni;
  • Možda će biti potrebno kreirati nekoliko uzoraka za jedan napad;
  • Mehanizam je ograničen na analizu jednog paketa, nije moguće uhvatiti trend i razvoj napada.

State Compliance Technology

Pošto napad po svojoj prirodi nije jedan paket, već tok paketa, ova metoda radi sa tokom podataka. Nekoliko paketa sa svake veze se provjerava prije donošenja presude.
Ako se uporedi s prethodnim mehanizmom, onda linija foo možda dva pakovanja fo i o. Mislim da je rezultat rada ove dvije metode jasan.
Pozitivne strane:

  • ova metoda je malo složenija od prethodne metode;
  • izvještaj o napadu je istinit ako je obrazac valjan;
  • omogućava vam da snažno povežete napad sa uzorkom;
  • radi za sve protokole;
  • izbjeći napad je teže nego u prethodnoj metodi.

Negativne strane:

  • Svi negativni kriterijumi su identični kao u prethodnoj metodi.

Analiza s dešifriranjem protokola

Ova metoda implementira inspekciju napada na pojedinačne protokole. Mehanizam definira protokol i primjenjuje odgovarajuća pravila. Pozitivne strane:

  • ako je protokol precizno definiran, onda je vjerovatnoća lažnih pozitivnih rezultata smanjena;
  • omogućava vam da čvrsto povežete obrazac s napadom;
  • omogućava vam da identificirate slučajeve kršenja pravila za rad s protokolima;
  • omogućava snimanje različite varijante napadi zasnovani na jednom.

Negativne strane:

  • Mehanizam je teško podesiti;
  • Vjerovatan je visok postotak lažnih pozitivnih rezultata ako standard protokola dozvoljava odstupanja.

Statička analiza

Ova metoda uključuje implementaciju logike za otkrivanje napada. Koriste se statističke informacije za analizu saobraćaja. Primjer otkrivanja takvih napada bilo bi otkrivanje skeniranja portova. Za mehanizam su dati granične vrijednosti portove koji se mogu implementirati na jednom hostu. U takvoj situaciji, pojedinačne pravne veze ukupno će dati manifestaciju napada. Pozitivne strane:

  • Postoje vrste napada koji se mogu otkriti samo ovim mehanizmom.

Negativne strane:

  • Takvi algoritmi zahtijevaju složeno fino podešavanje.

Analiza zasnovana na anomalijama

Ovaj mehanizam se ne koristi za jasno otkrivanje napada, već za otkrivanje sumnjive aktivnosti koja se razlikuje od normalne. Glavni problem uspostavljanja ovakvog mehanizma je definisanje kriterijuma normalno aktivnost. Također morate uzeti u obzir dozvoljena odstupanja od normalnog saobraćaja, koja nisu napad. Pozitivne strane:

  • Pravilno konfigurisan analizator detektuje čak i nepoznate napade, ali vi to morate dodatni posao o uvođenju novih pravila i potpisima napada.

Negativne strane:

  • Mehanizam ne prikazuje opis napada za svaki element, ali prijavljuje njegovu sumnju na situaciju.
  • Za izvođenje zaključaka nije dovoljno korisne informacije. Mreža je često beskorisna.
  • Odlučujući faktor je radno okruženje.

Varijante reakcija na otkrivene napade

Otkrivanje napada je pola bitke, također morate poduzeti određene radnje. Opcije odgovora određuju efikasnost sistema za otkrivanje upada. Ispod su sljedeće opcije odgovora.

Kategorija ~ Sigurnost – Igor (Administrator)

O prevenciji i otkrivanju upada

Prošla su vremena kada je virus bio samo virus, a sve ostalo je bilo "ono što vam treba"! Sada nije baš tako. Najpoznatija opasnost su programi pod opštim nazivom "malware" (Malware). Takvi programi se stalno razvijaju i predstavljaju ozbiljnu prijetnju vašoj sigurnosti.

Pored već poznatih modula datoteka, registra i aplikacija, Malware Defender uključuje i modul za praćenje mreže, koji uključuje i mogućnost pregleda svih veza. To ga čini savršenim saputnikom za one koji koriste standardni Windows zaštitni zid i ne žele da se upuštaju u svijet zaštitnih zidova i mrežne sigurnosti.

Mada ovaj program Ima veliki broj plusa, a ipak zbog njegove složenosti upotrebe običan korisnik- čini ga definitivno nerazmjernim. Naravno, greške se mogu ispraviti poništavanjem pravila dozvole, osim ako niste onemogućili vital važne karakteristike sistema, onda je vjerovatno da povratak neće biti tako lak.

WinPatrol program za prevenciju upada je moćan alat za sve korisnike

pomaže u zaštiti računara svih zemalja više od jedne decenije. Ovaj program ima mnogo fanova. Nedavno je ažuriran kako bi bio kompatibilniji sa Windows Vista/7. glavni cilj Program je da upozori korisnika na promjene u sistemu koje mogu biti posljedica rada malware. Da bi ostvarila svoj cilj, ona snimak postavke sistema. I u slučaju bilo kakvih promjena obavještava korisnika. WinPatrol koristi heuristički pristup u svom radu, koji vam daje više samopouzdanja da nećete dobiti novi zlonamjerni softver od tradicionalnih skenera potpisa, koji u velikoj mjeri ovise o ažuriranjima.

WinPatrol će vas upozoriti na sve nove promjene koje programi pokušavaju napraviti. Možemo reći da je WinPatrol dovoljan efikasan alat za borbu protiv niza zlonamjernih programa kao što su crvi, trojanci, programi za modificiranje kolačića, adware i špijunski softver. Mnogo opcija konfiguracije sistema (kao što su "", "zadaci" itd.), koje su razbacane u njemu, duplicirano je u WinPatrol interfejsu, što vam omogućava da brzo i jednostavno pratite stanje sistema. Također možete koristiti WinPatrol da filtrirate neželjene kolačiće i IE dodatke.

Od V19.0, WinPatrol je postao " cloud rešenje". Većina dodatnih funkcionalnosti dostupna je samo plaćenim korisnicima. Plus verzije. WinPatrol korisnička zajednica vam omogućava da računate na dobro povratne informacije kada dođe do problema. Štaviše, sva rješenja za razmatrane probleme dostupna su korisnicima demon plaćena verzija, i plaćeno.

MJ Registry Watcher program za sprečavanje upada, registar i nadzor sistema datoteka

još jedan uslužni program za koji možda malo ljudi zna, ali koji je prilično dobar. Ovo je dovoljno jednostavan program praćenje registra, fajlova i direktorijuma, što garantuje sigurnost najviše važna mjesta vaš sistem. Troši vrlo malo sistemskih resursa. Metoda akcije je vrlo jednostavna. Svakih 30 sekundi program anketira sistem. Ako je potrebno, vrijeme glasanja se može promijeniti. Sve uslužne postavke su pohranjene u konfiguracijski fajl, što je vrlo zgodno kada trebate biti u mogućnosti da brzo prilagodite uslužni program za sebe. MJ Registry Watcher ne samo da ispituje sistem za promjene, već i gotovo trenutno preuzima kontrolu nad većinom promjena u ključevima registratora, datotekama i folderima. Brisanje ključeva u registru se također presreće kao dio sistemske ankete.

Korisnik u potpunosti može prilagoditi listu ključeva i datoteka koje treba pratiti. Nema potrebe da se plašite. MJ Registry Watcher ima sopstvene liste koji će odgovarati većini korisnika. Da bi radio sa ovim uslužnim programom, korisnik mora imati prosječno znanje o sistemu. Ovaj uslužni program će posebno cijeniti korisnici koji radije pružaju zaštitu na više nivoa korištenjem mnogih malih specijalizovana komunalna preduzeća. Uslužni program ne zahtijeva instalaciju. Samo preuzmite i pokrenite.

Program takođe uključuje: praćenje procesa, praćenje rada sa fajlovima i fasciklama, praćenje e-pošte i modul za rad sa karantinom.

Brzi vodič (linkovi za preuzimanje besplatnog softvera za otkrivanje i prevenciju upada)

Malware Defender

Obezbeđuje sveobuhvatna zaštita, uključujući praćenje mreže.
Običnim korisnicima to neće biti lako razumjeti, jer Početna stranica na kineskom.
http://www.softpedia.com/get/Security/Secure-cleaning/Malware-Defender.shtml
-------------
1,9 MB 2,8 Neograničeni besplatni softver Windows 2K/XP/2003/2008/Vista/7

WinPatrol

Pruža sveobuhvatnu zaštitu.
Prelazak miša iznad ikone na listi pokrenuti programe(dole desno) prikazuje se poruka "Scotty je trenutno u patroli", što nije baš uobičajeno.
http://www.winpatrol.com/
https://www.winpatrol.com/mydownloads/
900 kb 29.0.2013 Neograničeni besplatni Windowsi
Dostupna 64 bitna verzija
  • Kategorija: Uncategorized

    • Povećana aktivnost tvrdi diskovi ili sumnjive datoteke u korijenskim direktorijima. Nakon hakovanja računara, mnogi hakeri skeniraju informacije pohranjene na njemu u potrazi za zanimljivim dokumentima ili datotekama koje sadrže login i lozinke za bankovne centre za poravnanje ili elektronske sisteme plaćanja kao što je PayPal. Neki mrežni crvi na sličan način potražite datoteke na disku sa email adrese, koji se kasnije koriste za slanje zaraženih e-poruka. Ako primijetite značajnu aktivnost tvrdog diska čak i kada je računar neaktivan, a datoteke sa sumnjivim imenima počnu da se pojavljuju u javnim mapama, to može biti i znak da je računar hakovan ili da je njegov operativni sistem zaražen malverom...

    Sumnjivo visok odlaznog saobraćaja. Ako koristite dial-up ili ADSL vezu i primijetite neuobičajeno veliku količinu odlaznih poruka mrežni promet(posebno kada je vaš računar pokrenut i povezan na Internet, ali ga ne koristite), onda je vaš računar možda hakovan. Takav računar se može koristiti za prikriveno slanje neželjene pošte ili za propagiranje mrežnih crva.

    Povećana aktivnost tvrdih diskova ili sumnjivih datoteka u korijenskim direktorijima. Nakon hakovanja računara, mnogi hakeri skeniraju informacije pohranjene na njemu u potrazi za zanimljivim dokumentima ili datotekama koje sadrže login i lozinke za bankovne centre za poravnanje ili elektronske sisteme plaćanja kao što je PayPal. Neki mrežni crvi na sličan način traže datoteke s adresama e-pošte na disku, koje se zatim koriste za slanje zaraženih e-poruka. Ako primijetite značajnu aktivnost tvrdog diska čak i kada je računar neaktivan, a datoteke sa sumnjivim imenima počnu da se pojavljuju u javnim mapama, to može biti i znak da je računar hakovan ili da je njegov operativni sistem zaražen malverom.

    Veliki broj paketa sa iste adrese zaustavlja lični zaštitni zid. Nakon definiranja cilja (na primjer, raspon IP adresa kompanije ili kućnu mrežu) hakeri obično trče automatski skeneri, pokušavajući koristiti skup različitih eksploatacija da prodre u sistem. Ako pokrenete lični firewall (osnovni alat za zaštitu od hakerskih napada) i primijetite neuobičajeno veliki broj zaustavljenih paketa sa iste adrese, onda je to znak da je vaš računar napadnut. Međutim, ako vam vaš zaštitni zid kaže da zaustavite takve pakete, onda je računar najvjerovatnije siguran. Međutim, mnogo zavisi od čega pokrenuti usluge otvoren za pristup internetu. Tako, na primer, lični zaštitni zid možda neće moći da se nosi sa napadom usmerenim na FTP servis koji radi na vašem računaru. V ovaj slučaj rješenje problema je privremeno potpuno blokiranje opasnih paketa dok se pokušaji povezivanja ne prestanu.

    Većina ličnih zaštitnih zidova ima ovu funkciju.

    Konstantno antivirusna zaštita vaš računar prijavljuje prisustvo trojanaca ili backdoor-a na računaru, iako sve ostalo radi dobro. Iako hakerski napadi mogu biti složeni i neobični, većina krekera se oslanja na dobro poznate trojanske uslužne programe da bi dobili puna kontrola preko zaraženog računara. Ako vaš antivirus prijavi da je uhvatio takav zlonamjerni softver, to može biti znak da je vaš računar otvoren za neovlašteni daljinski pristup.

    UNIX računari:

    Fajlovi sa sumnjivim imenima u folderu "/tmp". Mnogi podvigi u UNIX svijetu oslanjaju se na stvaranje privremeni fajlovi v standardni folder"/tmp", koji se ne uklanjaju uvijek nakon što je sistem kompromitovan. Isto važi i za neke crve koji inficiraju UNIX sisteme; oni se ponovo kompajliraju u folderu "/tmp" i onda ga koriste kao svoj "home" folder.

    Izmijenjeno izvršne datoteke sistemske usluge kao što su "login", "telnet", "ftp", "finger" ili još složenije kao što su "sshd", "ftpd" i drugi. Nakon infiltriranja u sistem, haker obično pokušava da se ukorijeni u njemu postavljanjem backdoor-a u jedan od servisa dostupnih sa Interneta, ili modifikacijom standardnih sistemskih uslužnih programa koji se koriste za povezivanje sa drugim računarima. Ovi modifikovani izvršni programi obično su u paketu sa rootkitom i skriveni su od lakog direktnog pregleda. U svakom slučaju, korisno je pohraniti bazu kontrolne sume sve sistemski uslužni programi i periodično, isključeni sa interneta, u režimu jednog korisnika, proveravajte da li su se promenili.

    Izmijenjeno "/etc/passwd", "/etc/shadow" ili drugo sistemske datoteke u folderu "/etc". Ponekad je rezultat hakerskog napada pojava drugog korisnika u datoteci "/etc/passwd", koji se kasnije može daljinski prijaviti na sistem. Pratite sve promjene u fajlu lozinke, posebno pojavljivanje korisnika sa sumnjivim prijavama.

    Pojava sumnjivih usluga u "/etc/services". Instaliranje backdoor-a na UNIX sistem se često radi dodavanjem dva tekstualni nizovi u datoteke "/etc/services" i "/etc/ined.conf". Trebali biste stalno pratiti ove datoteke kako ne biste propustili trenutak kada se tamo pojave nove linije, instalirajući backdoor na prethodno nekorišten ili sumnjiv port.

Da bi napadač dobio pristup informacijama vaše kompanije, potrebno je da prođete kroz nekoliko slojeva zaštite. Međutim, može iskoristiti ranjivosti i netačne postavke krajnje radne stanice, telekomunikaciona oprema ili socijalni inženjering. Napadi na informacioni sistem (IS) se dešavaju postepeno: prodor zaobilazeći politike informacione bezbednosti (IS), širenje u IS uz uništavanje tragova njegovog prisustva, a tek onda sam napad. Cijeli proces može trajati nekoliko mjeseci, pa čak i godina. Često ni korisnik ni administrator informacione sigurnosti nisu svjesni anomalnih promjena u sistemu i napada koji se na njega vrši. Sve to dovodi do prijetnji narušavanjem integriteta, povjerljivosti i dostupnosti informacija koje se obrađuju u IS-u.

Tradicionalna odbrana poput firewall-a, antivirusa itd. nije dovoljna da se suprotstavi modernim napadima. Potreban je sistem za praćenje i otkrivanje potencijalnih napada i anomalija, koji implementira sljedeće funkcije:

  • otkrivanje pokušaja upada u informacione sisteme;
  • otkrivanje napada na zaštićenu mrežu ili njene segmente;
  • praćenje neovlaštenog pristupa dokumentima i komponentama informacioni sistemi;
  • otkrivanje virusa, zlonamjernog softvera, trojanaca, botneta;
  • praćenje ciljanih napada.

Važno je uzeti u obzir da ukoliko IS kompanije obrađuje informacije koje podliježu obaveznoj zaštiti u skladu sa zahtjevima rusko zakonodavstvo(na primjer, lični podaci), morate koristiti certificirane sigurnosne alate koji su prošli proceduru procjene usklađenosti od strane regulatora FSTEC Rusije i/ili FSB Rusije.

S-Terra SOV

Dugi niz godina S-Terra CSP proizvodi VPN proizvode za organizacije kriptografska zaštita prenesene podatke i firewall. U vezi sa povećanim potrebama korisnika za poboljšanjem ukupnog nivoa IP sigurnosti, razvijen je S-Terra CSP specijalni agent zaštita informacija, obezbeđivanje otkrivanja napada i anomalnih aktivnosti.

C-Terra IDS je sigurnosni alat koji omogućava administratorima sigurnosti informacija da otkriju napade na osnovu analize mrežnog prometa. U srcu rada ovaj alat zaštita leži u korištenju mehanizama analize potpisa.

Prilikom analize mrežnog saobraćaja metodom potpisa, administrator će uvijek moći točno odrediti koji je paket ili grupa paketa pokrenula senzor odgovoran za otkrivanje anomalne aktivnosti. Sva pravila su jasno definisana, za mnoga od njih se može pratiti čitav lanac: od informacija o detaljima ranjivosti i metodama njene eksploatacije, do rezultirajućeg potpisa. Zauzvrat, baza pravila za potpis je opsežna i redovno se ažurira, čime se garantuje pouzdana zaštita Kompanija IS.

Kako bi se minimizirali rizici od fundamentalno novih zero-day napada za koje ne postoje potpisi, u C-Terra SOV proizvod je uključena dodatna metoda analize mrežna aktivnost- heuristički. Ova metoda analize aktivnosti zasniva se na heurističkim pravilima, tj. na osnovu prognoze aktivnosti IS-a i njegovog poređenja sa normalnim ponašanjem "šablona", koji se formiraju tokom režima obuke ovog sistema na osnovu njegovog jedinstvene karakteristike. Kroz aplikaciju ovaj mehanizam zaštita, S-Terra SOV vam omogućava da otkrijete nove, ranije nepoznate napade ili bilo koju drugu aktivnost koja ne potpada pod nikakav specifičan potpis.

Kombinacija signaturne i heurističke analize omogućava vam da otkrijete neovlaštene, nelegitimne, sumnjive radnje od vanjskih i unutrašnjih prekršitelja. Administrator IS-a može predvideti moguće napade, kao i identifikovati ranjivosti kako bi sprečio njihov razvoj i uticaj na IS kompanije. Brzo otkrivanje novih prijetnji omogućava vam da odredite lokaciju izvora napada u odnosu na lokalnu zaštićenu mrežu, što olakšava istragu incidenata u informacijskoj sigurnosti.

Tabela 1. Funkcionalnost S-Terra SOV

Karakteristike proizvoda Detaljan opis
Verzije Hardverski i softverski sistem
As virtuelna mašina
Operativni sistem Debian 7
Definicija napada analiza potpisa
Heuristička analiza
Kontrola GUI
Komandna linija
Registracija napada Upisivanje u sistemski dnevnik
Prikaži u GUI
Ažuriranje baze podataka potpisa Off-line način rada
Online mod
Mehanizmi uzbunjivanja Izlaz na administratorsku konzolu
Email
Integracija sa SIEM sistemima
Incident Handling Selektivna kontrola pojedinačnih mrežnih objekata
Pretražujte, sortirajte, organizirajte podatke sistemski dnevnik
Omogućite/onemogućite pojedinačna pravila i grupe pravila
Dodatni zaštitni mehanizmi Zaštita kanala upravljanja korištenjem VPN tehnologije IPsec
prema GOST 28147-89, GOST R 34.10-2001/2012 i GOST R 34.11-2001/2012
Kontrola integriteta softverskog dijela i IDS konfiguracije
Certifikati o usklađenosti Očekivano FSTEC certifikat Rusija: SOV 4, NDV 4, OUD 3

S-Terra SOV sistem za detekciju upada ima korisničko sučelje, upravljanje i kontrola se odvija preko sigurnog kanala korištenjem IPsec tehnologije na domaćim GOST kripto algoritmima.

Povećava se upotreba C-Terra SOV kao zaštitne komponente opšti nivo Sigurnost IS-a zahvaljujući konstantnoj analizi promjena njegovog stanja, otkrivanju anomalija i njihovoj klasifikaciji. Vizualni i funkcionalni web interfejs za upravljanje i kontrolu sistema za otkrivanje upada, kao i dostupnost dodatne komunalije upravljanje, omogućava vam da ispravno konfigurišete senzore događaja, efikasno obradite i predstavite rezultate analize saobraćaja.

Šema uključivanja S-Terra SOV

S-Terra SOV se nalazi u segmentu lokalna mreža(na primjer, DMZ zona), sav promet koji cirkulira u ovom segmentu se duplira i preusmjerava na zaštitni alat preko "mirror" span porta prekidača. Upravljanje se vrši preko posebnog interfejsa preko sigurnog kanala. Detaljnija šema uključivanja u IS kompanije predstavljena je na slika 1.

Slika 1.Šema uključivanja odvojenih S-Terra SOV i S-Terra Gatewaya

Jedan uređaj može istovremeno raditi S-Terra Gateway za šifriranje prometa i firewalling, kao i S-Terra SOV za detekciju mrežni napadi. Detaljna shema takva inkluzija je predstavljena na slika 2.

Slika 2. Shema prebacivanja zajednički rad S-Terra SOV i S-Terra Gateway

Izbor proizvoda

C-Terra SOV se isporučuje kao hardversko-softverski kompleks ili kao virtuelna mašina za popularne hipervizore (VMware ESX, Citrix XenServer, Parallels, KVM).

Izbor konkretne implementacije zavisi od količine informacija koje se prenose preko mreže, broja potpisa koji se koriste i drugih faktora.

Ako se preferira hardverska platforma, onda postoji mogućnost izbora između tri opcije performansi analize informacija - za brzine od 10, 100 i 1000 Mbps.

Performanse Virtual IDS-a mogu se uvelike razlikovati i zavise od korišćenih postavki hipervizora i resursa hardverske platforme na kojoj virtuelni IDS radi.

Pomoć u odabiru proizvoda i opreme, kao i izračunavanju cijene rješenja za vašu organizaciju možete dobiti kontaktiranjem naših menadžera:
- telefonom +7 499 940-90-61
- ili od strane e-mail:
Sigurno će vam biti od pomoći!



Top Related Articles

Besplatni programi za Windows besplatno preuzimanje
Besplatni programi za Windows besplatno preuzimanje
Laserski i inkjet štampač RAM Veličina štampača Virtualna memorija Opis
Laserski i inkjet štampač RAM Veličina štampača Virtualna memorija Opis
Gaming PC u rancu: pregled Intel NUC Hades Canyon
Gaming PC u rancu: pregled Intel NUC Hades Canyon
Kategorije:
© 2022 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.