Kako postaviti pametne telefone i računala. Informativni portal

Detekcija mrežnih napada. Otkrivanje hakerskih napada na vaše računalo

12.04.2019 Internet, Wi-Fi, lokalne mreže

Glavna svrha ovog programa je otkrivanje hakerski napadi. Kao što znate, prva faza većine hakerskih napada je inventar mreže i skeniranje portova na otkrivenim hostovima. Skeniranje priključaka pomaže u određivanju vrste operativnog sustava i otkrivanju potencijalno ranjivih usluga (na primjer, e-pošte ili WEB poslužitelja). Nakon skeniranja portova, mnogi skeneri određuju vrstu usluge slanjem testnih zahtjeva i analizom odgovora poslužitelja. Uslužni program APS razmjenjuje se s napadačem i omogućuje vam da jedinstveno identificirate činjenicu napada.


Osim toga, svrha uslužnog programa je:

  • otkrivanje razne vrste napadi (prvenstveno skeniranje portova i identifikacija servisa) i pojava programa i mrežnih crva na mreži (APS baza podataka sadrži više od stotinu portova koje koriste crvi i Backdoor komponente);
  • testiranje port skenera i sigurnost mreže(za provjeru rada skenera potrebno je pokrenuti APS na testnom računalu i skenirati portove - korištenjem APS protokola nije teško odrediti koje će provjere skener izvršiti i kojim redoslijedom);
  • testiranje i operativna kontrola iza rada Vatrozida - u ovom slučaju, APS uslužni program se pokreće na računalu s instaliranim Vatrozidom i izvodi se skeniranje portova i (ili drugi napadi) na računalo. Ako APS izda alarm, to je signal da vatrozid ne radi ili da radi neispravna postavka. APS može stalno raditi na računalu zaštićenom Vatrozidom kako bi se pratio pravilan rad Vatrozida u stvarnom vremenu;
  • blokiranje rada mrežnih crva i backdoor modula te njihova detekcija - princip detekcije i blokade temelji se na činjenici da se isti port može otvoriti za slušanje samo jednom. Posljedično, otvaranje portova koje koriste trojanski i backdoor programi prije pokretanja ometat će njihov rad nakon pokretanja, što će dovesti do otkrivanja činjenice da port koristi drugi program;
  • testiranje anti-trojanskih programa, IDS sustava - APS baza podataka sadrži više od stotinu priključaka najčešćih Trojanski programi. Neki anti-trojanski alati imaju mogućnost skeniranja portova računala koje se skenira (ili sastavljanja popisa portova za slušanje bez skeniranja pomoću Windows API) - takvi bi alati trebali prijaviti sumnju na prisutnost trojanskog programa (s popisom "sumnjivih" priključaka) - dobiveni popis lako se može usporediti s popisom priključaka u APS bazi podataka i izvući zaključke o pouzdanosti korišteni alat.

Princip rada programa temelji se na slušanju portova opisanih u bazi podataka. Baza podataka luka se stalno ažurira. Baza podataka sadrži kratak opis svakog porta - kratki opisi sadrže ili nazive virusa koji koriste port ili naziv standardna usluga, čemu ovaj priključak odgovara. Kada se otkrije pokušaj povezivanja s priključkom za slušanje, program bilježi činjenicu povezivanja u protokolu, analizira podatke primljene nakon povezivanja, a za neke usluge šalje takozvani banner - određeni skup tekstualnih ili binarnih podataka prenosio prava usluga nakon spajanja.

Puni naziv takvih sustava je sustavi za prevenciju i detekciju napada. Ili nazivaju SOA kao jedan od pristupa. Princip rada SOA-e je stalno praćenje aktivnosti koje se događaju u informacijskom sustavu. Također, kada se otkrije sumnjiva aktivnost, poduzeti određene mehanizme za sprječavanje i poslati signale određenim pojedincima. Takvi sustavi moraju riješiti.

Postoji nekoliko alata i tipičnih pristupa za otkrivanje napada koji smanjuju.

Prošli su dani kada je sam vatrozid bio dovoljan za zaštitu. Danas poduzeća implementiraju moćne i ogromne strukturirani sustavi zaštita, ograničiti poduzeće od moguće prijetnje i rizicima. S pojavom napada kao što su napadi uskraćivanjem usluge (DDoS), izvorna adresa paketa ne može vam dati jasan odgovor je li napad protiv vas bio ciljani ili nasumični. Morate znati kako odgovoriti na incident, kao i kako prepoznati napadača (slika 1).

Napadač se može prepoznati prema sljedećim karakteristikama djelovanja:

  • realizira očita probijanja
  • opetovano pokušava ući u mrežu
  • pokušava prikriti tragove
  • provodi napade u različito vrijeme

Slika 1

Napadače također možete podijeliti na povremene i iskusne. One prve neuspješan pokušaj pristup poslužitelju ići će na drugi poslužitelj. Potonji će provesti analitiku u vezi s resursom kako bi proveo sljedeće napade. Na primjer, administrator vidi u IDS zapisniku da netko skenira portove vašeg poslužitelj pošte, tada se SMTP naredbe šalju na port 25 s iste IP adrese. Način na koji se napadač ponaša može puno reći o njegovom karakteru, namjerama itd. Slika 2 prikazuje algoritam za učinkovito otkrivanje napada. Sve usluge otkrivanja napada koriste početne algoritme:

  • otkrivanje zlostavljanja
  • otkrivanje anomalija

Slika - 2

Za dobro postavljanje sustava za otkrivanje, trebate nacrtati mrežni dijagram sa:

  • granice segmenta
  • segmentima mreže
  • objekti sa i bez povjerenja
  • ACL - liste kontrole pristupa
  • Usluge i poslužitelji dostupni

Uobičajena pogreška je ono što napadač traži kada analizira vašu mrežu. Budući da sustav za otkrivanje upada koristi analizu prometa, proizvođači prepoznaju da korištenje zajedničkog porta za presretanje svih paketa bez smanjenja performansi nije moguće. Tako učinkovito postavljanje sustavi detekcije vrlo je važan zadatak.

Alati za otkrivanje napada

Tehnologija otkrivanja upada mora se nositi sa sljedećim:

  • Prepoznati popularne napade i upozoriti određene pojedince na njih
  • Razumijevanje nepoznati izvori podataka o napadu
  • Sposobnost kontrole sigurnosnih metoda od strane nestručnjaka za sigurnost
  • Kontrola svih radnji subjekata informacijska mreža(programi, korisnici itd.)
  • Oslobađanje ili smanjenje funkcija osoblja odgovornog za sigurnost, trenutno rutinske operacije na kontroli

Često sustavi za otkrivanje napada mogu implementirati funkcije koje proširuju raspon njihove primjene. npr.:

  • Kontrola učinkovitosti. Sustav detekcije možete postaviti nakon između vatrozid za utvrđivanje pravila koja nedostaju na vatrozidu.
  • Praćenje mrežnih čvorova sa zastarjelim softverom
  • Blokiranje i kontroliranje pristupa nekima Internet resursi. Iako su daleko od mogućnosti takvih vatrozida, ako nemate novca za kupnju vatrozida, možete proširiti funkcije sustava za detekciju napada
  • Kontrola e-pošte. Sustavi mogu pratiti viruse u pismima, kao i analizirati sadržaj dolaznih i odlaznih pisama

Najbolje iskorišteno iskustvo i vrijeme profesionalaca u tom području sigurnost informacija je identificirati i eliminirati razloga provedbu napada, a ne otkrivanje samih napada. Otklanjanjem razloga zašto je napad moguć, uštedjet će se mnogo vremena i financijskih sredstava.

Klasifikacija protuprovalnih sustava

Postoje mnoge klasifikacije sustava za detekciju napada, ali vrhunska se klasifikacija temelji na principu implementacije:

  • baziran na hostu - sustav je usmjeren na određeni mrežni čvor
  • mrežni - sustav je usmjeren na cijelu mrežu ili mrežni segment

Sustavi za otkrivanje napada instalirani na određenim računalima obično analiziraju podatke iz zapisnika OS-a i različite primjene. Međutim, u U zadnje vrijeme izdaju se programi koji su usko integrirani s jezgrom OS-a.

Prednosti protuprovalnih sustava

Prebacivanje omogućuje kontrolu velike mreže kao nekoliko malih mrežnih segmenata. Detekcija napada na razini određenog čvora daje više učinkovit rad u komutiranim mrežama, budući da vam omogućuje instaliranje sustava za otkrivanje na one čvorove gdje je to potrebno.

Sustavi na mrežnoj razini ne zahtijevaju instaliranje softvera za otkrivanje napada na hostu. Za nadzor segmenta mreže potreban je samo jedan senzor, bez obzira na broj čvorova u tom segmentu.

Paket poslan od napadača neće biti vraćen. Sustavi koji rade na razini mreže, implementirati detekciju napada u prometu uživo, odnosno u stvarnom vremenu. Analizirani podaci uključuju podatke koji će biti dokaz na sudu.

Sustavi detekcije koji rade na mrežnoj razini neovisni su o OS-u. Za takve sustave nije bitno koji je OS kreirao paket.

Tehnologija usporedbe uzoraka

Načelo je da se paket analizira na prisutnost određenog konstantnog niza bajtova - uzorka ili potpisa. Na primjer, ako protokol IPv4 i prijenosni paket TCP protokol, namijenjen je portu broj 222 i sadrži niz u podatkovnom polju fuj, ovo se može smatrati napadom. Pozitivne strane:

  • najjednostavniji mehanizam detekcije napada;
  • omogućuje tijesno podudaranje uzorka s napadnim paketom;
  • radi za sve protokole;
  • signal napada je pouzdan ako je uzorak ispravno identificiran.

Negativne strane:

  • ako je napad nestandardan, postoji mogućnost da ga propustite;
  • ako je uzorak preopćenit, vjerojatan je postotak lažno pozitivni;
  • Možda će biti potrebno stvoriti nekoliko uzoraka za jedan napad;
  • Mehanizam je ograničen na analizu jednog paketa; nije moguće uhvatiti trend i razvoj napada.

Tehnologija usklađivanja stanja

Budući da napad u svojoj biti nije jedan paket, već tok paketa, ova metoda radi s tokom podataka. Prije donošenja presude ispituje se nekoliko paketa iz svake veze.
U usporedbi s prethodnim mehanizmom, onda linija fuj može u dva paketa, fo I o. Mislim da je rezultat dviju metoda jasan.
Pozitivne strane:

  • ova metoda je malo kompliciranija od prethodne metode;
  • izvještaj o napadu je istinit ako je uzorak pouzdan;
  • dopušta da napad bude snažno vezan za uzorak;
  • radi za sve protokole;
  • izbjegavanje napada je teže nego u prethodnoj metodi.

Negativne strane:

  • Svi negativni kriteriji su identični kao u prethodnoj metodi.

Analiza s dekodiranjem protokola

Ova metoda provodi inspekciju napada na pojedinačne protokole. Mehanizam definira protokol i primjenjuje odgovarajuća pravila. Pozitivne strane:

  • ako je protokol točno definiran, tada se smanjuje vjerojatnost lažno pozitivnih rezultata;
  • omogućuje da uzorak bude usko povezan s napadom;
  • omogućuje vam prepoznavanje slučajeva kršenja pravila za rad s protokolima;
  • omogućuje hvatanje različite varijante napada na temelju jednog.

Negativne strane:

  • Mehanizam je teško postaviti;
  • Vjerojatan je visok postotak lažno pozitivnih rezultata ako standard protokola dopušta odstupanja.

Statička analiza

Ova metoda uključuje implementaciju logike za otkrivanje napada. Su korišteni statističke informacije za analizu prometa. Primjer identificiranja takvih napada bilo bi identificiranje skeniranja portova. Za mehanizam su dani granične vrijednosti portovi koji se mogu implementirati na jednom hostu. U takvoj situaciji, pojedinačne legitimne veze čine napad. Pozitivne strane:

  • Postoje vrste napada koje je moguće otkriti samo ovim mehanizmom.

Negativne strane:

  • Takvi algoritmi zahtijevaju složeno fino podešavanje.

Analiza temeljena na anomalijama

Ovaj mehanizam se ne koristi za jasno otkrivanje napada, već za otkrivanje sumnjive aktivnosti koja se razlikuje od normalne aktivnosti. Glavni problem kod uspostave takvog mehanizma je definiranje kriterija normalan aktivnost. Također morate uzeti u obzir dopuštena odstupanja od normalnog prometa koja nisu napad. Pozitivne strane:

  • Pravilno konfiguriran analizator otkriva čak i nepoznate napade, ali je neophodan dodatni rad o uvođenju novih pravila i potpisa napada.

Negativne strane:

  • Mehanizam ne prikazuje opis napada za svaki element, već javlja svoje sumnje na temelju situacije.
  • Ono što bi izvlačilo zaključke nije dovoljno korisna informacija. Beskoristan sadržaj često se emitira online.
  • Odlučujući faktor je radno okruženje.

Mogućnosti odgovora na otkrivene napade

Otkrivanje napada je pola uspjeha; također morate poduzeti određene radnje. Mogućnosti odgovora određuju učinkovitost sustava za otkrivanje napada. Ispod su sljedeće opcije odgovora.

Kategorija ~ Sigurnost – Igor (Administrator)

O sprječavanju i otkrivanju upada

Davno su prošla vremena kada je virus bio samo virus, a sve ostalo je bilo “taman”! Sada sve nije baš tako. Najpoznatija opasnost su programi koji se zajednički nazivaju "malware". Takvi se programi neprestano razvijaju i predstavljaju ozbiljnu prijetnju vašoj sigurnosti.

Uz već poznate module za rad s datotekama, registrom i aplikacijama, Malware Defender uključuje i modul za nadzor mreže koji uključuje i mogućnost pregleda svih veza. To ga čini idealnim suputnikom za one koji koriste standardni Windows vatrozid i ne žele ulaziti u svijet vatrozida i mrežne sigurnosti.

Iako ovaj program Ima veliki broj prednosti, ali ga je teško koristiti za redoviti korisnik- čini ga definitivno nevelikim. Naravno, pogreške se mogu ispraviti mijenjanjem pravila dopuštenja, iako niste zabranili važne funkcije sustava, onda postoji šansa da povratak neće biti tako lak.

WinPatrol Intrusion Prevention Software moćan je alat za sve korisnike

pomaže u zaštiti računala u svim zemljama više od deset godina. Ovaj program ima mnogo obožavatelja. Nedavno je ažuriran kako bi bio kompatibilniji sa sustavom Windows Vista/7. Glavni cilj programa je upozoriti korisnika na promjene u sustavu koje mogu biti posljedica malware. Da bi postigla cilj, ona to čini snimak Postavke sustava. A u slučaju bilo kakvih promjena, obavještava korisnika. WinPatrol koristi heuristički pristup svom radu, što daje više povjerenja da nećete dobiti novi zlonamjerni softver nego tradicionalni skeneri potpisa, koji uvelike ovise o dostupnosti ažuriranja.

WinPatrol će vas upozoriti na sve nove promjene koje programi pokušavaju napraviti. Možemo reći da je WinPatrol prilično učinkovita sredstva za borbu protiv širokog spektra zlonamjernih programa, kao što su crvi, trojanci, programi koji mijenjaju kolačiće, adware i spyware. Mnoge mogućnosti za postavljanje sustava (kao što su "", "zadaci" itd.), Koje su razbacane po njemu, duplicirane su u sučelju WinPatrol, što vam omogućuje brzo i praktično praćenje statusa sustava. Također možete koristiti WinPatrol za filtriranje neželjenih kolačića i IE dodataka.

Od V19.0 WinPatrol je postao " rješenje u oblaku". Većina dodatnih funkcija dostupna je samo plaćenim korisnicima Plus verzije. Zajednica korisnika WinPatrol omogućuje vam da računate na dobro Povratne informacije ako se pojave problemi. Štoviše, sva rješenja razmatranih problema dostupna su oba korisnika demon plaćena verzija, i plaćeno.

MJ Registry Watcher program za sprječavanje upada nadzire registar i sustav datoteka

Još jedan alat za koji možda ne zna previše ljudi, ali koji je prilično dobar. Ovo je dovoljno jednostavan program za praćenje registra, datoteka i imenika, što jamči sigurnost većine važna mjesta vaš sustav. Troši vrlo malo resursa sustava. Metoda djelovanja je vrlo jednostavna. Svakih 30 sekundi program provjerava sustav. Ako je potrebno, vrijeme glasanja se može promijeniti. Sve postavke uslužnog programa pohranjene su u konfiguracijska datoteka, što je vrlo zgodno kada trebate moći brzo prilagoditi uslužni program za sebe. MJ Registry Watcher ne samo da traži promjene u sustavu, već i gotovo odmah preuzima kontrolu nad većinom promjena ključeva registra, datoteka i mapa. Brisanje ključeva u registru također se presreće kao dio ankete sustava.

Popis ključeva i datoteka koje će se nadzirati može u potpunosti konfigurirati korisnik. Ne treba se bojati. MJ Registry Watcher ima vlastite liste, što će odgovarati većini korisnika. Za rad s ovim uslužnim programom korisnik mora imati prosječno znanje o sustavu. Ovaj će uslužni program posebno cijeniti korisnici koji radije pružaju zaštitu na više razina upotrebom mnogo malih specijalizirane komunalije. Uslužni program ne zahtijeva instalaciju. Samo preuzmite i pokrenite.

Program također uključuje: praćenje procesa, praćenje rada s datotekama i mapama, praćenje e-pošte te modul za rad s karantenom.

Brzi vodič (Veze za preuzimanje besplatnog softvera za otkrivanje i sprječavanje upada)

Zaštitnik zlonamjernog softvera

Pruža sveobuhvatna zaštita, uključujući nadzor mreže.
Običnim korisnicima neće biti lako shvatiti to jer Početna stranica na kineskom.
http://www.softpedia.com/get/Security/Secure-cleaning/Malware-Defender.shtml
-------------
1.9 MB 2.8 Neograničeni besplatni Windows 2K/XP/2003/2008/Vista/7

WinPatrol

Pruža sveobuhvatnu zaštitu.
Kada prijeđete pokazivačem iznad ikone na popisu pokrenuti programi(dolje desno) prikazuje poruku "Scotty je trenutno u patroli", što nije baš uobičajeno.
http://www.winpatrol.com/
https://www.winpatrol.com/mydownloads/
900 kb 29.0.2013 Neograničeni besplatni Windows
Dostupna 64 bitna verzija
  • Kategorija: Nekategorizirano

    • Povećana aktivnost tvrdi diskovi ili sumnjivi dokumenti u korijenskim direktorijima. Nakon hakiranja računala, mnogi hakeri skeniraju informacije pohranjene na njemu u potrazi za zanimljivim dokumentima ili datotekama koje sadrže podatke za prijavu i lozinke za bankovne centre za poravnanje ili elektroničke sustave plaćanja poput PayPala. Neki mrežni crvi na sličan način traže datoteke na disku s email adrese, koji se kasnije koriste za slanje zaražene e-pošte. Ako primijetite značajnu aktivnost na vašim tvrdim diskovima čak i kada je računalo u mirovanju, a datoteke sa sumnjivim nazivima počinju se pojavljivati ​​u javnim mapama, to također može biti znak da je vaše računalo hakirano ili da je njegov operativni sustav zaražen zlonamjernim softverom. ..

    Sumnjivo visok odlazni promet. Ako koristite dial-up ili ADSL vezu i primijetite neobično veliku količinu odlaznih mrežni promet(konkretno, kada vaše računalo radi i povezano je s internetom, ali ga ne koristite), tada je vaše računalo možda hakirano. Takvo se računalo može koristiti za tajno slanje neželjene pošte ili za uzgoj mrežnih crva.

    Povećana aktivnost tvrdog diska ili sumnjive datoteke u korijenskim direktorijima. Nakon hakiranja računala, mnogi hakeri skeniraju informacije pohranjene na njemu u potrazi za zanimljivim dokumentima ili datotekama koje sadrže podatke za prijavu i lozinke za bankovne centre za poravnanje ili elektroničke sustave plaćanja poput PayPala. Neki mrežni crvi na sličan način na disku traže datoteke s adresama e-pošte, koje se kasnije koriste za slanje zaraženih e-poruka. Ako primijetite značajnu aktivnost na vašim tvrdim diskovima čak i kada je računalo u mirovanju, a datoteke sa sumnjivim nazivima počinju se pojavljivati ​​u javnim mapama, to također može biti znak da je vaše računalo hakirano ili da je njegov operativni sustav zaražen zlonamjernim softverom.

    Veliki broj paketa s iste adrese zaustavlja osobni vatrozid. Nakon identificiranja cilja (na primjer, niz IP adresa za tvrtku ili kućna mreža) hakeri obično pokreću automatski skeneri, pokušavajući upotrijebiti niz različitih eksploatacija za prodor u sustav. Ako pokrenete osobni firewall (temeljni alat u zaštiti od hakerskih napada) i primijetite neuobičajeno visok broj zaustavljenih paketa s iste adrese, onda je to znak da je vaše računalo napadnuto. Međutim, ako vaš vatrozid javi da zaustavlja takve pakete, tada je vaše računalo najvjerojatnije sigurno. Međutim, mnogo ovisi o čemu trčanje usluga otvoren za pristup s interneta. Na primjer, osobni vatrozid možda se neće moći nositi s napadom usmjerenim na FTP uslugu koja radi na vašem računalu. U u ovom slučaju Rješenje problema je privremeno potpuno blokiranje opasnih paketa dok ne prestanu pokušaji povezivanja.

    Većina osobnih vatrozida ima ovu značajku.

    Konstantno antivirusna zaštita vaše računalo prijavljuje prisutnost trojanaca ili stražnjih vrata na računalu, iako sve ostalo radi dobro. Iako hakerski napadi mogu biti složeni i neuobičajeni, većina hakera oslanja se na dobro poznate trojanske alate kako bi dobili potpuna kontrola preko zaraženog računala. Ako vaš antivirusni program prijavi da je uhvatio takav zlonamjerni softver, to može biti znak da je vaše računalo otvoreno za neovlašteni daljinski pristup.

    UNIX računala:

    Datoteke sa sumnjivim nazivima u mapi “/tmp”. Mnogi podvigi u UNIX svijetu oslanjaju se na kreiranje privremene datoteke V standardna mapa“/tmp”, koji se ne brišu uvijek nakon hakiranja sustava. Isto vrijedi i za neke crve koji inficiraju UNIX sustave; ponovno se kompajliraju u mapu /tmp i zatim je koriste kao svoju početnu mapu.

    Izmijenjeno izvršne datoteke usluge sustava poput “login”, “telnet”, “ftp”, “finger” ili još složenije poput “sshd”, “ftpd” i druge. Nakon što se probije u sustav, haker obično pokušava doći do uporišta postavljanjem stražnjih vrata u jednu od usluga dostupnih s interneta ili mijenjanjem standardnih uslužnih programa sustava koji se koriste za povezivanje s drugim računalima. Takve modificirane izvršne datoteke obično su uključene u rootkit i skrivene su od jednostavne izravne inspekcije. U svakom slučaju, korisno je pohraniti bazu podataka s kontrolni zbrojevi svatko pomoćni programi sustava i povremeno, prekidajući vezu s internetom, u jednokorisničkom načinu rada, provjeravajte jesu li se promijenili.

    Izmijenjeni “/etc/passwd”, “/etc/shadow” ili drugi sistemske datoteke u mapi /etc. Ponekad je rezultat hakerskog napada pojavljivanje drugog korisnika u datoteci /etc/passwd, koji se kasnije može daljinski prijaviti u sustav. Pratite sve promjene u datoteci s lozinkama, osobito izgled korisnika sa sumnjivim prijavama.

    Pojava sumnjivih usluga u “/etc/services”. Instaliranje backdoor-a na UNIX sustav često se izvodi dodavanjem dva tekstualni nizovi u datoteke "/etc/services" i "/etc/ined.conf". Trebali biste stalno nadzirati te datoteke kako ne biste propustili trenutak kada se tamo pojave novi redovi koji instaliraju backdoor na prethodno nekorišten ili sumnjiv port.

Kako bi dobio pristup informacijama vaše tvrtke, napadač mora proći kroz nekoliko sigurnosnih slojeva. U isto vrijeme, on može iskoristiti ranjivosti i netočne postavke krajnje radne stanice, telekomunikacijska oprema odn socijalni inženjering. Napadi na informacijski sustav (IS) odvijaju se postupno: prodor zaobilazeći politike informacijske sigurnosti (IS), širenje u IS uz uništavanje tragova njegove prisutnosti, a tek potom sam napad. Cijeli proces može trajati nekoliko mjeseci, pa čak i godina. Često niti korisnik niti administrator informacijske sigurnosti nisu svjesni abnormalnih promjena u sustavu i napada koji se na njega provodi. Sve to dovodi do ugrožavanja integriteta, povjerljivosti i dostupnosti informacija koje se obrađuju u informacijskom sustavu.

Za suzbijanje suvremenih napada tradicionalna sredstva zaštite, poput vatrozida, antivirusa itd., nisu dovoljna. Potreban je sustav praćenja i otkrivanja potencijalnih napada i anomalija koji implementira sljedeće funkcije:

  • otkrivanje pokušaja upada u informacijske sustave;
  • otkrivanje napada u zaštićenoj mreži ili njezinim segmentima;
  • praćenje neovlaštenog pristupa dokumentima i komponentama informacijski sustavi;
  • otkrivanje virusa, zlonamjernog softvera, trojanaca, botneta;
  • praćenje ciljanih napada.

Važno je uzeti u obzir da ako IP tvrtke obrađuje informacije koje podliježu obveznoj zaštiti u skladu sa zahtjevima rusko zakonodavstvo(primjerice osobni podaci), tada je potrebno koristiti certificirana sredstva zaštite koja su prošla postupak ocjene sukladnosti od strane regulatora FSTEC Rusije i/ili FSB Rusije.

S-Terra SOVA

Tvrtka S-Terra CP dugi niz godina proizvodi VPN proizvode za organizacije kriptografska zaštita preneseni podaci i vatrozid. U vezi s povećanim potrebama korisnika za povećanjem ukupne razine sigurnosti IS-a, tvrtka S-Terra CSP razvila je poseban pravni lijek zaštita informacija, osiguranje otkrivanja napada i nenormalnih aktivnosti.

S-Terra IDS je sigurnosni alat koji administratorima informacijske sigurnosti omogućuje prepoznavanje napada na temelju analize mrežnog prometa. U srcu djela ovaj alat zaštita leži u korištenju mehanizama analize potpisa.

Pri analizi mrežnog prometa metodom potpisa, administrator će uvijek moći točno utvrditi koji je određeni paket ili skupina paketa aktivirao senzor odgovoran za otkrivanje nenormalne aktivnosti. Sva pravila su jasno definirana, za mnoga od njih može se pratiti cijeli lanac: od informacija o detaljima ranjivosti i metodama njezine eksploatacije, do rezultirajućeg potpisa. Zauzvrat, baza pravila potpisa je opsežna i redovito se ažurira, čime se jamči pouzdana zaštita IP tvrtke.

Kako bi se smanjio rizik od fundamentalno novih zero-day napada za koje ne postoje potpisi, proizvod S-Terra IDS uključuje dodatnu metodu analize mrežna aktivnost– heuristički. Ova metoda analize aktivnosti temelji se na heurističkim pravilima, tj. na temelju prognoze aktivnosti IS-a i njezine usporedbe s normalnim ponašanjem "šablona", koji se formiraju tijekom načina treniranja ovog sustava na temelju njegovih jedinstvene značajke. Zbog upotrebe ovaj mehanizam zaštite, S-Terra IDS vam omogućuje otkrivanje novih, dosad nepoznatih napada ili bilo koje druge aktivnosti koja ne spada ni pod jedan specifični potpis.

Kombinacija analize potpisa i heurističke analize omogućuje vam otkrivanje neovlaštenih, nelegitimnih, sumnjivih radnji od strane vanjskih i unutarnjih prekršitelja. Administrator informacijske sigurnosti može predvidjeti moguće napade, kao i identificirati ranjivosti kako bi spriječio njihov razvoj i utjecaj na informacijski sustav tvrtke. Brzo otkrivanje prijetnji u nastajanju omogućuje određivanje lokacije izvora napada u odnosu na lokalnu zaštićenu mrežu, što olakšava istragu incidenata informacijske sigurnosti.

Stol 1. Funkcionalnost S-Terra SOV

Značajke proizvoda Detaljan opis
Mogućnosti izvršenja Hardverski i softverski sustav
Kao virtualni stroj
operacijski sustav Debian 7
Definicija napada Analiza potpisa
Heuristička analiza
Kontrolirati GUI
Naredbeni redak
Registracija napada Unos u zapisnik sustava
Prikaz u grafičko sučelje
Ažuriranje baze potpisa Izvanmrežni način rada
On-line način rada
Mehanizmi upozorenja Izlaz na administratorsku konzolu
E-mail
Integracija sa SIEM sustavima
Rad s incidentima Selektivna kontrola pojedinih mrežnih objekata
Pretražujte, sortirajte, organizirajte podatke u dnevnik sustava
Omogućavanje/onemogućavanje pojedinačnih pravila i grupa pravila
Dodatni zaštitni mehanizmi Zaštita kanala kontrole korištenjem VPN tehnologije IPsec
prema GOST 28147-89, GOST R 34.10-2001/2012 i GOST R 34.11-2001/2012
Praćenje integriteta softvera i konfiguracije IDS-a
Potvrde o sukladnosti Očekivano FSTEC certifikat Rusija: SOV 4, NDV 4, OUD 3

Sustav za detekciju napada S-Terra SOV ima korisničko sučelje, upravljanje i kontrola provodi se preko sigurnog kanala pomoću IPsec tehnologije koristeći domaće GOST kriptografske algoritme.

Povećava se upotreba S-Terra SOV kao zaštitne komponente opća razina IP sigurnost zahvaljujući stalnoj analizi promjena u njegovom stanju, identifikaciji anomalija i njihovoj klasifikaciji. Vizualno i funkcionalno web sučelje za upravljanje i praćenje sustava za detekciju upada, kao i dostupnost dodatne komunalije upravljanje, omogućuje ispravnu konfiguraciju senzora događaja, učinkovitu obradu i prezentaciju rezultata analize prometa.

Dijagram spajanja S-Terra SOV

S-Terra SOV nalazi se u segmentu lokalna mreža(na primjer, DMZ zona), sav promet koji cirkulira u ovom segmentu se duplicira i preusmjerava na sigurnosni uređaj kroz "zrcaljenje" span porta preklopnika. Upravljanje se provodi putem zasebnog sučelja preko sigurnog kanala. Detaljnija shema za uključivanje u IP tvrtke predstavljena je na Slika 1.

Slika 1. Dijagram povezivanja za odvojene S-Terra SOV i S-Terra Gateway

Jedan uređaj može istovremeno upravljati S-Terra Gatewayom za šifriranje prometa i vatrozidom, kao i S-Terra SOV za detekciju mrežni napadi. Detaljan dijagram takvo uključivanje predstavljeno je na Slika 2.

Slika 2. Dijagram povezivanja suradnja S-Terra OWL i S-Terra Gateway

Izbor proizvoda

S-Terra SOV se isporučuje kao softverski i hardverski kompleks ili kao virtualni stroj za popularne hipervizore (VMware ESX, Citrix XenServer, Parallels, KVM).

Odabir konkretne implementacije ovisi o količini informacija koje se prenose mrežom, broju korištenih potpisa i drugim čimbenicima.

Ako se preferira hardverska platforma, tada je moguće birati između tri opcije izvedbe analize informacija - za brzine od 10, 100 i 1000 Mbit/s.

Performanse Virtual IDS-a mogu uvelike varirati i ovise o korištenim postavkama hipervizora i resursima hardverske platforme na kojoj virtualni IDS radi.

Možete dobiti pomoć u odabiru proizvoda i opreme, kao i izračunati cijenu rješenja za svoju organizaciju, tako da kontaktirate naše menadžere:
- telefonom +7 499 940-90-61
– ili po e-pošta:
Oni će vam sigurno pomoći!



Najbolji članci na temu

Koliko dugo traje obrada povrata novca na Aliexpressu?
Koliko dugo traje obrada povrata novca na Aliexpressu?
Programi za rad s VSD datotekama Preuzmite program za čitanje VSD datoteka
Programi za rad s VSD datotekama Preuzmite program za čitanje VSD datoteka
Savjeti za izradu lozinki
Savjeti za izradu lozinki
Kategorije:
© 2024 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.