Come configurare smartphone e PC. Portale informativo

Rilevamento di attacchi di rete. Rilevare gli attacchi degli hacker sul tuo computer

12.04.2019 Internet, Wi-Fi, reti locali

Lo scopo principale di questo programma è rilevare attacchi hacker... Come sai, la prima fase della maggior parte degli attacchi degli hacker è l'inventario della rete e la scansione delle porte sugli host rilevati. La scansione delle porte aiuta a determinare il tipo di sistema operativo e a rilevare servizi potenzialmente vulnerabili (ad esempio, server di posta o WEB). Dopo la scansione delle porte, molti scanner determinano il tipo di servizio inviando richieste di test e analizzando la risposta del server. L'utilità APS effettua uno scambio con l'attaccante e consente di identificare in modo univoco il fatto di un attacco.


Inoltre, lo scopo dell'utilità è:

  • rilevamento diversi tipi attacchi (principalmente scansione delle porte e identificazione dei servizi) e comparsa di programmi e worm di rete sulla rete (il database APS contiene più di cento porte utilizzate da worm e componenti Backdoor);
  • test di port scanner e sicurezza della rete(per testare il funzionamento dello scanner, è necessario eseguire APS sul computer di prova ed eseguire una scansione delle porte - utilizzando i protocolli APS è facile stabilire quali controlli eseguirà lo scanner e in quale sequenza);
  • test e controllo operativo esecuzione di Firewall: in questo caso, l'utilità APS viene avviata su un computer con installato Firewall e vengono eseguiti una scansione delle porte e (o altri attacchi) contro il PC. Se l'APS emette un allarme, questo è un segnale che il firewall non è operativo o impostazione sbagliata... APS può essere costantemente eseguito dietro un computer protetto da Firewall per monitorare in tempo reale il corretto funzionamento del Firewall;
  • blocco del funzionamento dei worm di rete e dei moduli Backdoor e del loro rilevamento: il principio di rilevamento e blocco si basa sul fatto che una stessa porta può essere aperta per l'ascolto una sola volta. Pertanto, l'apertura di porte utilizzate da Trojan e programmi Backdoor prima che vengano avviati interferirà con il loro lavoro; dopo l'avvio, porterà al rilevamento del fatto che un altro programma sta utilizzando la porta;
  • test anti-Trojan e programmi, sistemi IDS: il database APS contiene più di cento porte tra le più comuni trojan... Alcuni strumenti anti-Trojan hanno la capacità di scansionare le porte del PC di destinazione (o creare un elenco di porte di ascolto senza scansionare usando API di Windows) - tali strumenti dovrebbero segnalare il sospetto della presenza di un cavallo di Troia (con un elenco di porte "sospette") - l'elenco risultante può essere facilmente confrontato con l'elenco delle porte nel database APS e trarre conclusioni sull'affidabilità del strumento utilizzato.

Il principio del programma si basa sull'ascolto delle porte descritte nel database. Il database dei porti è costantemente aggiornato. Il database contiene una breve descrizione di ogni porta - brevi descrizioni contenere i nomi dei virus che utilizzano la porta o il nome servizio standard a cui corrisponde questa porta. Quando viene rilevato un tentativo di connessione alla porta di ascolto, il programma registra l'avvenuta connessione nel protocollo, analizza i dati ricevuti dopo la connessione e per alcuni servizi trasmette un cosiddetto banner, un insieme di dati testuali o binari trasmessi vero servizio dopo il collegamento.

Il nome completo di tali sistemi è sistemi per la prevenzione e il rilevamento degli attacchi... Oppure chiamano SOA come uno degli approcci a. Il principio di funzionamento della SOA è quello di ispezionare costantemente l'attività che si verifica nel sistema informativo. E anche quando viene rilevata un'attività sospetta, adottare determinati meccanismi per prevenire e inviare segnali a determinate persone. Tali sistemi devono decidere.

Esistono diversi strumenti e approcci tipici per il rilevamento degli attacchi che mitigano.

I giorni in cui un firewall era sufficiente per la protezione sono finiti. Oggi, le aziende stanno implementando potenti ed enormi sistemi strutturati protezione, per limitare l'impresa da possibili minacce e rischi. Con l'emergere di attacchi come gli attacchi Denial of Service (DDoS), l'indirizzo del mittente dei pacchetti non può darti una risposta definitiva se l'attacco è stato diretto o accidentale contro di te. Devi sapere come rispondere a un incidente e come identificare un intruso (Fig. 1).

È possibile identificare un intruso dalle seguenti funzioni per l'azione:

  • implementa forature evidenti
  • implementa ripetuti tentativi di entrare nella rete
  • cercando di coprire le sue tracce
  • implementa attacchi in momenti diversi

Immagine 1

Puoi anche dividere gli attaccanti in casuali ed esperti. Il primo a tentativo fallito l'accesso al server andrà a un altro server. Quest'ultimo condurrà analisi sulla risorsa al fine di implementare i seguenti attacchi. Ad esempio, l'amministratore vede nel registro IDS che qualcuno sta scansionando le porte del tuo server email, i comandi SMTP provengono dallo stesso indirizzo IP sulla porta 25. Il modo in cui agisce un attaccante può dire molto sul suo carattere, le sue intenzioni, ecc. La Figura 2 mostra un algoritmo per rilevare in modo efficiente gli attacchi. Tutti i servizi di rilevamento degli attacchi utilizzano algoritmi iniziali:

  • identificazione di abuso
  • identificazione delle anomalie

Disegno - 2

Per un buon posizionamento dei sistemi di rilevamento, è necessario redigere un diagramma di rete con:

  • confini del segmento
  • segmenti di rete
  • oggetti con e senza fiducia
  • ACL - Elenchi di controllo di accesso
  • Servizi e server disponibili

Un errore comune è ciò che un utente malintenzionato cerca quando analizza la tua rete. Poiché il sistema di rilevamento delle intrusioni utilizza l'analisi del traffico, i produttori riconoscono che è impossibile utilizzare una porta comune per acquisire tutti i pacchetti senza ridurre le prestazioni. Così che personalizzazione efficiente i sistemi di rilevamento sono molto importanti.

Strumenti di rilevamento degli attacchi

La tecnologia di rilevamento delle intrusioni deve far fronte a quanto segue:

  • Riconoscere attacchi popolari e avvisare individui specifici su di loro
  • Comprensione fonti poco chiare di dati sugli attacchi
  • Capacità di gestire metodi di protezione da parte di professionisti non addetti alla sicurezza
  • Controllo di tutte le azioni dei soggetti rete di informazioni(programmi, utenti, ecc.)
  • L'abbandono o la riduzione delle funzioni del personale responsabile della sicurezza, dell'attuale operazioni di routine controllare

Spesso sistemi antintrusione possono implementare funzioni che espandono il campo della loro applicazione. Per esempio:

  • Controllo dell'efficienza. È possibile posizionare il sistema di rilevamento dopo il firewall per identificare le regole mancanti sul firewall.
  • Monitoraggio dei nodi di rete con software obsoleto
  • Blocco e controllo dell'accesso ad alcuni Risorse Internet... Sebbene siano lontani da funzionalità come i firewall, se non ci sono soldi per acquistare un firewall, è possibile espandere le funzioni del sistema di rilevamento delle intrusioni
  • Controllo della posta elettronica. I sistemi possono tenere traccia dei virus nelle e-mail e analizzare il contenuto delle e-mail in entrata e in uscita

La migliore implementazione dell'esperienza e del tempo dei professionisti del settore informazioni di sicurezzaè identificare ed eliminare motivi l'attuazione degli attacchi, piuttosto che il rilevamento degli attacchi stessi. Eliminare il motivo per cui è possibile un attacco farà risparmiare molte risorse di tempo e risorse finanziarie.

Classificazione dei sistemi antintrusione

Esistono molte classificazioni dei sistemi di rilevamento delle intrusioni, ma quella di fascia alta si basa sul principio di implementazione:

  • basato su host: il sistema è diretto a un host specifico
  • basato sulla rete: il sistema è diretto all'intera rete o segmento di rete

I sistemi di rilevamento degli attacchi installati su computer specifici di solito analizzano i dati dai registri del sistema operativo e diverse applicazioni... Tuttavia, in Di recente vengono rilasciati programmi strettamente integrati con il kernel del sistema operativo.

Vantaggi dei sistemi antintrusione

La commutazione consente il controllo grandi reti come diversi piccoli segmenti di rete. Il rilevamento degli attacchi specifici del sito offre di più lavoro efficace nelle reti commutate, in quanto consente l'installazione di sistemi di rilevamento su quei nodi dove è necessario.

I sistemi a livello di rete non richiedono l'installazione del software del sistema di rilevamento delle intrusioni sull'host. Per monitorare un segmento di rete, è necessario un solo sensore, indipendentemente dal numero di nodi in questo segmento.

Un pacchetto inviato da un utente malintenzionato non verrà restituito. Sistemi che funzionano su livello di rete, implementare il rilevamento degli attacchi con traffico live, cioè in tempo reale. Le informazioni analizzate includono dati che saranno prove in tribunale.

I sistemi di rilevamento che operano a livello di rete sono indipendenti dal sistema operativo. Per tali sistemi, non importa quale sistema operativo ha creato il pacchetto.

Tecnologia di confronto dei campioni

Il principio è che analizza la presenza di una certa sequenza costante di byte in un pacchetto: un modello o una firma. Ad esempio, se un IPv4 e un pacchetto di trasporto protocollo TCP, è destinato alla porta numero 222 e contiene la riga nel campo dati pippo, questo può essere considerato un attacco. Lati positivi:

  • il meccanismo di rilevamento degli attacchi più semplice;
  • Consente di associare il pattern al pacchetto attaccante;
  • funziona per tutti i protocolli;
  • il segnale di attacco è valido se il campione è correttamente identificato.

Lati negativi:

  • se l'attacco non è standard, c'è la possibilità di perderlo;
  • se il campione è troppo generico, è probabile una percentuale elevata falsi positivi;
  • Potrebbe essere necessario creare più campioni per un attacco;
  • Il meccanismo si limita all'analisi di un pacchetto, non è possibile rilevare l'andamento e l'evoluzione dell'attacco.

Tecnologia di corrispondenza dello stato

Poiché un attacco nella sua essenza non è un singolo pacchetto, ma un flusso di pacchetti, questo metodo funziona con un flusso di dati. Diversi pacchetti da ciascuna connessione vengono controllati prima che venga emesso un verdetto.
Se confrontato con il meccanismo precedente, allora la linea pippo può essere in due confezioni, per e o... Il risultato dell'operazione dei due metodi, credo, sia chiaro.
Lati positivi:

  • questo metodo è un po' più complicato del metodo precedente;
  • il rapporto di attacco è vero se il campione è valido;
  • permette di legare fortemente l'attacco al pattern;
  • funziona per tutti i protocolli;
  • schivare un attacco è più difficile rispetto al metodo precedente.

Lati negativi:

  • Tutti i criteri negativi sono identici a quelli del metodo precedente.

Analisi con decrittazione del protocollo

Questo metodo implementa l'ispezione degli attacchi contro i singoli protocolli. Il meccanismo definisce il protocollo e applica le regole appropriate. Lati positivi:

  • se il protocollo è definito con precisione, la probabilità di falsi positivi è ridotta;
  • permette di legare rigidamente il pattern all'attacco;
  • consente di identificare casi di violazione delle regole per lavorare con i protocolli;
  • permette di catturare diverse varianti attacchi basati su uno.

Lati negativi:

  • Il meccanismo è complesso da personalizzare;
  • Un alto tasso di falsi positivi è probabile se lo standard del protocollo consente discrepanze.

Analisi statica

Questo metodo presuppone l'implementazione della logica per rilevare gli attacchi. Sono utilizzati informazioni statistiche per l'analisi del traffico Un esempio di rilevamento di tali attacchi sarebbe il rilevamento della scansione delle porte. Per il meccanismo sono dati valori limite porte che possono essere implementate su un singolo host. In una situazione del genere, le singole connessioni legali si sommano alla manifestazione di un attacco. Lati positivi:

  • Esistono tipi di attacchi che possono essere rilevati solo da questo meccanismo.

Lati negativi:

  • Tali algoritmi richiedono un'ulteriore messa a punto di una messa a punto complessa.

Analisi basata sulle anomalie

Questo meccanismo non viene utilizzato per rilevare chiaramente gli attacchi, ma per rilevare attività sospette diverse dal normale. Il problema principale dell'istituzione di un tale meccanismo è la definizione del criterio normale attività. È inoltre necessario tenere conto delle deviazioni consentite dal traffico normale, che non costituiscono un attacco. Lati positivi:

  • Un analizzatore correttamente configurato rileva anche gli attacchi sconosciuti, ma è necessario lavoro extra sull'introduzione di nuove regole e firme di attacchi.

Lati negativi:

  • Il meccanismo non mostra una descrizione dell'attacco per ogni elemento, ma riporta il suo sospetto dalla situazione.
  • Non basta quello che fa le conclusioni informazioni utili... Inutile viene spesso trasmesso in rete.
  • Il fattore determinante è l'ambiente operativo.

Opzioni di risposta per gli attacchi rilevati

Rilevare un attacco è metà della battaglia; devi anche fare determinate azioni. Sono le opzioni di risposta che determinano l'efficacia del sistema di rilevamento delle intrusioni. Di seguito sono riportate le seguenti opzioni di risposta.

Categoria ~ Sicurezza - Igor (Amministratore)

Informazioni su prevenzione e rilevamento delle intrusioni

Sono finiti i giorni in cui un virus era solo un virus e tutto il resto era "proprio quello di cui hai bisogno"! Ora non è proprio così. Il pericolo più noto sono i programmi con il nome generico di "malware" (Malware). Tali programmi sono in continua evoluzione e rappresentano una seria minaccia per la tua sicurezza.

Oltre ai già noti moduli per lavorare con file, registro e applicazioni, Malware Defender include anche un modulo di monitoraggio della rete, che include anche la possibilità di visualizzare tutte le connessioni. Questo lo rende il compagno perfetto per chi usa il firewall standard di Windows e non vuole addentrarsi nel mondo dei firewall e della sicurezza di rete.

Benchè questo programma Esso ha un gran numero di vantaggi, ma la sua complessità d'uso per utente normale- lo rende decisamente non di grandi dimensioni. Naturalmente, i bug possono essere corretti invertendo le regole di autorizzazione, se non hai bannato vital funzioni importanti sistema, allora c'è la possibilità che tornare indietro non sia così facile.

Il software di prevenzione delle intrusioni WinPatrol è uno strumento potente per tutti gli utenti

ha aiutato a proteggere i computer in tutti i paesi per oltre un decennio. Questo programma ha molti fan. È stato recentemente aggiornato per essere più compatibile con Windows Vista/7. L'obiettivo principale il programma è quello di avvertire l'utente di apportare modifiche al sistema, che possono essere una conseguenza del lavoro malware... Per raggiungere l'obiettivo, lo fa istantanea Impostazioni di sistema. E in caso di eventuali modifiche, avvisa l'utente. WinPatrol utilizza un approccio euristico nel suo lavoro, che ti dà più sicurezza che non riceverai nuovi malware rispetto ai tradizionali scanner di firme, che dipendono fortemente dalla disponibilità degli aggiornamenti.

WinPatrol ti avviserà di eventuali nuove modifiche che i programmi stanno cercando di apportare. Possiamo dire che WinPatrol è sufficiente rimedio efficace per combattere una serie di malware come worm, trojan, modificatori di cookie, adware e spyware. Molte opzioni per la configurazione del sistema (come "", "attività", ecc.), Che sono sparse al suo interno, sono duplicate nell'interfaccia WinPatrol, che consente di monitorare rapidamente e comodamente lo stato del sistema. Puoi anche utilizzare WinPatrol per filtrare i cookie indesiderati e i componenti aggiuntivi di IE.

A partire dalla V19.0, WinPatrol è diventato " soluzione cloud". La maggior parte delle funzionalità aggiuntive è disponibile solo per gli utenti a pagamento Versione Plus... La comunità di utenti di WinPatrol ti permette di contare sul bene risposta quando sorgono problemi. Inoltre, tutte le soluzioni ai problemi considerati sono disponibili per entrambi gli utenti demone versione a pagamento e pagato.

Programma di prevenzione delle intrusioni MJ Registry Watcher che monitora il registro e il file system

un'altra utility che forse non molte persone conoscono, ma che è abbastanza buona. È abbastanza programma semplice per tenere traccia del registro, dei file e delle directory, che garantisce la sicurezza della maggior parte posti importanti il tuo sistema. Consuma pochissime risorse di sistema. Il metodo di azione è molto semplice. Il programma interroga il sistema ogni 30 secondi. Se necessario, è possibile modificare il tempo di polling. Tutte le impostazioni dell'utility sono memorizzate in file di configurazione, il che è molto comodo quando devi essere in grado di personalizzare rapidamente l'utilità "per te". MJ Registry Watcher non solo interroga il sistema per le modifiche, ma intercetta quasi istantaneamente il controllo della maggior parte delle modifiche nelle chiavi di registro, nei file e nelle cartelle. Anche la cancellazione delle chiavi nel registro viene intercettata come parte di un polling di sistema.

L'elenco delle chiavi e dei file da monitorare è completamente configurabile dall'utente. Non aver paura. MJ Registry Watcher ha proprie liste che soddisferà la maggior parte degli utenti. Per lavorare con questa utility, l'utente deve avere una conoscenza media del sistema. Questa utility sarà particolarmente apprezzata dagli utenti che preferiscono fornire una protezione multilivello utilizzando molti piccoli servizi di pubblica utilità specialized... L'utilità non richiede installazione. Basta scaricare ed eseguire.

Il programma include anche: monitoraggio dei processi, monitoraggio del lavoro con file e cartelle, monitoraggio della posta elettronica e un modulo per lavorare con la quarantena.

Guida alla scelta rapida (link per scaricare gratuitamente il software di rilevamento e prevenzione delle intrusioni)

Difensore di malware

Mette a disposizione protezione completa compreso il monitoraggio della rete.
Non sarà facile per gli utenti normali capirlo, dal momento che Homepage in cinese.
http://www.softpedia.com/get/Security/Secure-cleaning/Malware-Defender.shtml
-------------
1,9 MB 2,8 Freeware illimitato Windows 2K / XP / 2003/2008 / Vista / 7

WinPatrol

Fornisce una protezione completa.
Quando passi con il mouse su un'icona nell'elenco programmi in esecuzione(in basso a destra) mostra il messaggio "Scotty è attualmente di pattuglia", che non è molto familiare.
http://www.winpatrol.com/
https://www.winpatrol.com/mydownloads/
900 kb 29.0.2013 Freeware illimitato Windows
Disponibile versione a 64 bit
  • Categoria: Non categorizzato

    • Aumento dell'attività dischi fissi o Documenti sospetti nelle directory principali. Dopo essere entrati in un computer, molti hacker scansionano le informazioni memorizzate su di esso alla ricerca di documenti o file interessanti contenenti login e password per centri di compensazione bancaria o sistemi di pagamento elettronici come PayPal. Alcuni worm di rete in modo simile, cercano sul disco i file con indirizzi email, che vengono successivamente utilizzati per inviare e-mail infette. Se noti un'attività significativa del disco rigido anche quando il computer è inattivo e file con nomi sospetti iniziano a comparire nelle cartelle pubbliche, questo potrebbe anche essere un segno di un computer compromesso o di un'infezione da malware del suo sistema operativo ...

    Sospettosamente alto traffico in uscita... Se utilizzi una connessione dialup o ADSL e noti una quantità insolitamente elevata di chiamate in uscita traffico di rete(in particolare, quando il tuo computer è in esecuzione e connesso a Internet, ma non lo stai utilizzando), il tuo computer potrebbe essere stato sottoposto a jailbreak. Tale computer può essere utilizzato per inviare di nascosto spam o per moltiplicare i worm di rete.

    Aumento dell'attività dei dischi rigidi o dei file sospetti nelle directory principali. Dopo essere entrati in un computer, molti hacker scansionano le informazioni memorizzate su di esso alla ricerca di documenti o file interessanti contenenti login e password per centri di compensazione bancaria o sistemi di pagamento elettronici come PayPal. Alcuni worm di rete cercano nel disco file con indirizzi e-mail in modo simile, che vengono poi utilizzati per inviare messaggi infetti. Se noti un'attività significativa del disco rigido anche quando il computer è inattivo e file con nomi sospetti iniziano a comparire nelle cartelle pubbliche, questo potrebbe anche essere un segno di un computer compromesso o di un'infezione da malware del suo sistema operativo.

    Un numero elevato di pacchetti provenienti dallo stesso indirizzo viene fermato dal firewall personale. Dopo aver definito lo scopo (ad esempio, un intervallo di indirizzi IP di un'azienda o rete di casa) gli hacker di solito corrono scanner automatici cercando di utilizzare una serie di exploit diversi per penetrare nel sistema. Se avvii un firewall personale (uno strumento fondamentale per la protezione dagli attacchi degli hacker) e noti un numero insolitamente alto di pacchetti bloccati dallo stesso indirizzo, allora questo è un segno che il tuo computer è stato attaccato. Tuttavia, se il firewall segnala che questi pacchetti sono stati interrotti, è molto probabile che il computer sia al sicuro. Tuttavia, molto dipende da cosa servizi in esecuzione aperto per l'accesso da Internet. Ad esempio, un firewall personale potrebbe non essere in grado di far fronte a un attacco contro il servizio FTP in esecuzione sul computer. V in questo caso La soluzione al problema consiste nel bloccare temporaneamente completamente i pacchetti pericolosi fino al termine dei tentativi di connessione.

    La maggior parte dei firewall personali dispone di questa funzionalità.

    Costante protezione antivirus il tuo computer segnala la presenza di trojan o backdoor sul tuo computer, anche se per il resto tutto funziona correttamente. Sebbene gli attacchi degli hacker possano essere complessi e non comuni, la maggior parte dei cracker si affida a noti cavalli di Troia per ottenere pieno controllo sul computer infetto. Se il tuo antivirus segnala l'acquisizione di tali programmi dannosi, questo potrebbe essere un segno che il tuo computer è aperto per l'accesso remoto non autorizzato.

    Computer UNIX:

    File con nomi sospetti nella cartella "/tmp". Molti exploit nel mondo UNIX si basano sulla creazione file temporanei v cartella standard"/ Tmp", che non sempre vengono rimossi dopo una compromissione del sistema. Lo stesso vale per alcuni worm che infettano i sistemi UNIX; si ricompilano nella cartella "/tmp" e poi la usano come cartella "home".

    Modificati file eseguibili servizi di sistema come "login", "telnet", "ftp", "finger" o anche quelli più complessi come "sshd", "ftpd" e altri. Dopo essersi infiltrato in un sistema, un hacker di solito tenta di sradicarlo inserendo una backdoor in uno dei servizi accessibili da Internet o modificando le utilità di sistema standard utilizzate per connettersi ad altri computer. Tali eseguibili modificati sono solitamente inclusi nel rootkit e nascosti al semplice esame diretto. In ogni caso è utile riporre la base con checksum di tutti utilità di sistema e periodicamente, dopo essersi disconnessi da Internet, in modalità singolo utente, verificare se sono cambiati.

    Modificato "/ etc / passwd", "/ etc / shadow" o altri file di sistema nella cartella "/etc". A volte il risultato di un attacco hacker è la comparsa di un altro utente nel file "/etc/passwd", che può accedere in remoto al sistema in un secondo momento. Guarda per tutte le modifiche al file della password, in particolare per la comparsa di utenti con accessi sospetti.

    La comparsa di servizi sospetti in "/ etc / services". L'installazione di una backdoor su un sistema UNIX viene spesso eseguita aggiungendo due stringhe di testo nei file "/etc/services" e "/etc/ined.conf". Dovresti monitorare costantemente questi file per non perdere il momento in cui appaiono nuove linee, installando la backdoor su una porta precedentemente inutilizzata o sospetta.

Un utente malintenzionato deve passare attraverso diversi livelli di protezione per ottenere l'accesso alle informazioni della tua azienda. In tal modo, può sfruttare le vulnerabilità e impostazioni errate stazioni di lavoro terminali, apparecchiature di telecomunicazione o Ingegneria sociale... Gli attacchi a un sistema informativo (IS) si verificano gradualmente: penetrazione aggirando le politiche di sicurezza delle informazioni (IS), diffusione nell'IS con la distruzione delle tracce della sua presenza e solo dopo l'attacco stesso. L'intero processo può richiedere diversi mesi o addirittura anni. Spesso, né l'utente né l'amministratore IS sono a conoscenza di cambiamenti anomali nel sistema e dell'attacco che viene effettuato su di esso. Tutto ciò porta a minacce di violazione dell'integrità, riservatezza e disponibilità delle informazioni trattate nell'IS.

I mezzi di protezione tradizionali, come firewall, antivirus, ecc., non sono sufficienti per contrastare gli attacchi moderni. È richiesto un sistema di monitoraggio e rilevamento di potenziali attacchi e anomalie, che implementi le seguenti funzioni:

  • rilevamento di tentativi di intrusione nei sistemi informativi;
  • rilevare attacchi alla rete protetta o ai suoi segmenti;
  • tracciamento di accessi non autorizzati a documenti e componenti sistemi di informazione;
  • rilevamento di virus, malware, trojan, botnet;
  • monitoraggio di attacchi mirati.

È importante considerare che se le informazioni sono trattate nell'IS aziendale che è soggetto a protezione obbligatoria in conformità con i requisiti legislazione russa(ad esempio, dati personali), quindi è necessario utilizzare dispositivi di protezione certificati che hanno superato la procedura di valutazione della conformità da parte delle autorità di regolamentazione FSTEC della Russia e/o l'FSB della Russia.

S-Terra GUFO

Da molti anni l'azienda "S-Terra CSP" produce prodotti VPN per l'organizzazione protezione crittografica dati trasmessi e firewall. In connessione con le crescenti esigenze degli utenti di migliorare il livello generale di sicurezza IS, la società "S-Terra CSP" ha sviluppato strumento speciale protezione delle informazioni, fornendo rilevamento di attacchi e attività anomale.

C-Terra IDS è uno strumento di protezione che consente agli amministratori della sicurezza delle informazioni di identificare gli attacchi sulla base dell'analisi del traffico di rete. Al centro del lavoro questo strumento la protezione risiede nell'utilizzo di meccanismi di analisi della firma.

Quando si analizza il traffico di rete utilizzando il metodo della firma, l'amministratore sarà sempre in grado di determinare esattamente quale particolare pacchetto o gruppo di pacchetti ha attivato l'attivazione del sensore responsabile del rilevamento dell'attività anomala. Tutte le regole sono chiaramente definite, per molte di esse è possibile tracciare l'intera filiera: dalle informazioni sui dettagli della vulnerabilità e sulle modalità del suo sfruttamento, alla firma risultante. A sua volta, la base delle regole di firma è ampia e regolarmente aggiornata per garantire protezione affidabileÈ della società.

Per ridurre al minimo i rischi di attacchi zero-day fondamentalmente nuovi, per i quali non ci sono firme, nel prodotto C-Terra IDS è incluso un metodo di analisi aggiuntivo attività di rete- euristico. Questo metodo di analisi delle attività si basa su regole euristiche, ad es. sulla base della previsione dell'attività IS e del suo confronto con il normale comportamento "modello", che si formano durante la modalità di addestramento del dato sistema sulla base della sua caratteristiche uniche... Attraverso l'applicazione questo meccanismo protezione, C-Terra IDS consente di rilevare nuovi attacchi precedentemente sconosciuti o qualsiasi altra attività che non rientri in alcuna firma specifica.

La combinazione di analisi di firma e euristica consente di rilevare azioni non autorizzate, illegittime e sospette da parte di trasgressori interni ed esterni. L'amministratore dell'IS può prevedere possibili attacchi, nonché identificare le vulnerabilità per prevenirne lo sviluppo e l'impatto sull'IS dell'azienda. Il rilevamento tempestivo delle minacce emergenti consente di determinare la posizione dell'origine dell'attacco in relazione alla rete protetta locale, facilitando l'indagine sugli incidenti di sicurezza delle informazioni.

Tabella 1. Funzionalità C-Terra SOV

Caratteristiche del prodotto Descrizione dettagliata
Opzioni di esecuzione Sistema hardware e software
Come macchina virtuale
Sistema operativo Debian 7
Definire gli attacchi Analisi della firma
Analisi euristica
Controllo Interfaccia grafica
Riga di comando
Registrazione degli attacchi Scrivere nel registro di sistema
Visualizza in interfaccia grafica
Aggiornamento del database delle firme Modalità offline
Modalità online
Meccanismi di allerta Output sulla console di amministrazione
E-mail
Integrazione con i sistemi SIEM
Lavorare con gli incidenti Controllo selettivo dei singoli oggetti di rete
Ricerca, ordinamento, ordinamento dei dati in registro di sistema
Abilitazione/disabilitazione di singole regole e gruppi di regole
Meccanismi di protezione aggiuntivi Controllo della protezione del canale utilizzando Tecnologie VPN IPsec
secondo GOST 28147-89, GOST R 34.10-2001 / 2012 e GOST R 34.11-2001 / 2012
Controllo dell'integrità della parte software e configurazione di IDS
Certificati di conformità Previsto Certificazione FSTEC Russia: SOV 4, NDV 4, OUD 3

Il sistema di rilevamento degli attacchi S-Terra IDS ha interfaccia user-friendly, la gestione ed il controllo avviene su canale sicuro con tecnologia IPsec su crittoalgoritmi GOST domestici.

Aumenta l'utilizzo di C-Terra IDS come componente di protezione livello generale sicurezza del SI grazie alla costante analisi delle variazioni del suo stato, all'individuazione delle anomalie e alla loro classificazione. Un'interfaccia web intuitiva e funzionale per la gestione e il controllo dell'impianto antintrusione, nonché della presenza utilità aggiuntive gestione, consente di configurare correttamente i sensori di eventi, elaborare e presentare in modo efficiente i risultati dell'analisi del traffico.

Circuito di commutazione S-Terra SOV

C-Terra SOV si trova nel segmento rete locale(ad esempio in una zona DMZ), tutto il traffico circolante in questo segmento viene duplicato e reindirizzato alla protezione attraverso la porta span "mirroring" dello switch. La gestione avviene tramite un'interfaccia separata su un canale sicuro. Un diagramma più dettagliato di inclusione nell'IS dell'azienda è presentato su immagine 1.

Figura 1. Schema di collegamento di S-Terra SOV e S-Terra Gateway separati

C-Terra Gateway per la crittografia del traffico e il firewall, nonché C-Terra IDS per il rilevamento di attacchi di rete. Schema dettagliato tale inclusione è presentata a figura 2.

Figura 2. Schema di collegamento lavorare insieme S-Terra SOV e S-Terra Gateway

Selezione del prodotto

S-Terra IDS viene fornito come complesso hardware e software o come macchina virtuale per i più diffusi hypervisor (VMware ESX, Citrix XenServer, Parallels, KVM).

La scelta di una particolare implementazione dipende dalla quantità di informazioni trasmesse sulla rete, dal numero di firme utilizzate e da altri fattori.

Se è preferibile la piattaforma hardware, è possibile scegliere tra tre opzioni per le prestazioni di analisi delle informazioni: per velocità di 10, 100 e 1000 Mbit / s.

Le prestazioni di un Virtual IDS possono variare notevolmente e dipendono dalle impostazioni dell'hypervisor utilizzate e dalle risorse della piattaforma hardware su cui è in esecuzione l'IDS virtuale.

Puoi ottenere assistenza nella scelta dei prodotti e delle attrezzature, nonché nel calcolo del costo di una soluzione per la tua organizzazione, contattando i nostri responsabili:
- per telefono +7 499 940-90-61
- o da e-mail:
Sarai sicuramente aiutato!



Principali articoli correlati

Diversi movimenti del mouse in verticale e in orizzontale
Diversi movimenti del mouse in verticale e in orizzontale
Come comprimere le trame in fallout 4
Come comprimere le trame in fallout 4
Resta solo da capire il livello richiesto
Resta solo da capire il livello richiesto
Categorie:
© 2021 bumotors.ru. Come configurare smartphone e PC. Portale informativo.