Cum se configurează smartphone-uri și PC-uri. Portal informativ

Detectarea atacurilor de rețea. Detectarea atacurilor hackerilor pe computerul dvs

12.04.2019 Internet, Wi-Fi, rețele locale

Scopul principal al acestui program este detectarea atacurile hackerilor. După cum știți, prima fază a majorității atacurilor hackerilor este inventarul rețelei și scanarea portului pe gazdele descoperite. Scanarea portului ajută la determinarea tipului de sistem de operare și la detectarea serviciilor potențial vulnerabile (de exemplu, e-mail sau un server WEB). După scanarea portului, multe scanere determină tipul de serviciu trimițând cereri de testare și analizând răspunsul serverului. Utilitarul APS realizează un schimb cu atacatorul și vă permite să identificați în mod unic faptul atacului.


În plus, scopul utilității este:

  • detectare alt fel atacuri (în primul rând, scanarea portului și identificarea serviciului) și apariția unor programe și viermi de rețea în rețea (baza de date APS conține peste o sută de porturi utilizate de viermi și componente Backdoor);
  • testarea scanerelor porturi și securitatea retelei(pentru a verifica funcționarea scanerului, trebuie să rulați APS pe un computer de testare și să efectuați o scanare a portului - folosind protocoalele APS, este ușor să determinați ce verificări va vedea scanerul și în ce secvență);
  • testarea și control operational pentru Firewall - în acest caz, utilitarul APS este lansat pe un computer cu Firewall-ul instalat și sunt efectuate scanări de porturi și (sau alte atacuri) împotriva computerului. Dacă APS emite o alarmă, atunci acesta este un semnal că firewall-ul este inoperabil sau că acesta setare incorectă. APS poate rula constant în spatele unui computer protejat de firewall pentru a monitoriza funcționarea corectă a firewall-ului în timp real;
  • blocarea funcționării viermilor de rețea și a modulelor Backdoor și detectarea acestora - principiul detectării și blocării se bazează pe faptul că același port poate fi deschis pentru ascultare o singură dată. Prin urmare, deschiderea porturilor folosite de troieni și programe Backdoor înainte de a fi lansate va interfera cu activitatea acestora, după lansare, va duce la detectarea faptului că portul este utilizat de un alt program;
  • testarea de anti-troieni și programe, sisteme IDS - mai mult de o sută de porturi dintre cele mai comune troieni. Unele instrumente anti-Trojan au capacitatea de a efectua o scanare a portului PC-ului care este verificat (sau de a construi o listă de porturi de ascultare fără a scana folosind API-ul Windows) - astfel de instrumente ar trebui să raporteze troieni suspectați (cu o listă de porturi „suspecte”) - lista rezultată poate fi ușor comparată cu lista de porturi din baza de date APS și trage concluzii despre fiabilitatea instrumentului utilizat.

Principiul programului se bazează pe ascultarea porturilor descrise în baza de date. Baza de date de porturi este actualizată constant. Baza de date conține o scurtă descriere a fiecărui port - scurte descrieri conțin fie numele virușilor care folosesc portul, fie numele serviciu standard, căruia îi corespunde acest port. Când este detectată o încercare de conectare la portul ascultat, programul înregistrează faptul conexiunii în protocol, analizează datele primite după conectare, iar pentru unele servicii transmite așa-numitul banner - un anumit set de text. sau date binare transmise serviciu real după conectare.

Numele complet al unor astfel de sisteme este sisteme de prevenire și detectare a intruziunilor. Sau numesc SOA ca una dintre abordările pentru . Principiul de funcționare al SOA este de a monitoriza constant activitatea care are loc în sistemul informațional. Și, de asemenea, atunci când este detectată o activitate suspectă, luați anumite mecanisme pentru a preveni și a semnala anumiți indivizi. Astfel de sisteme trebuie să decidă.

Există mai multe instrumente și abordări tipice pentru detectarea atacurilor care reduc .

Au dispărut vremurile când un singur firewall era suficient pentru protecție. Astăzi, întreprinderile implementează puternice și uriașe sisteme structurate protectie, pentru a limita intreprinderea de la posibile amenințări si riscuri. Odată cu apariția atacurilor precum atacurile de refuzare a serviciului (DDoS), adresa sursă a pachetelor nu vă poate oferi un răspuns clar dacă atacul a fost direcționat sau aleatoriu. Trebuie să știți cum să răspundeți la un incident, precum și cum să identificați un atacator (Fig. 1).

Puteți identifica un atacator prin următoarele caracteristici pentru acțiune:

  • pune în aplicare înţepături evidente
  • implementează încercări repetate de a intra în rețea
  • încercând să-și acopere urmele
  • implementează atacuri în momente diferite

Poza 1

De asemenea, puteți împărți atacatorii în ocazionali și experimentați. Primii la incercare eșuată accesul la server va merge la alt server. Acesta din urmă va efectua analize cu privire la resursă pentru a implementa următoarele atacuri. De exemplu, administratorul vede în jurnalul IDS că cineva scanează porturile dvs server de mail, apoi comenzile SMTP provin de la aceeași adresă IP pe portul 25. Modul în care acționează un atacator poate spune multe despre caracterul său, despre intențiile sale și așa mai departe. Figura 2 prezintă algoritmul pentru detectarea eficientă a atacurilor. Toate serviciile de detectare a atacurilor folosesc algoritmi inițiali:

  • detectarea abuzului
  • detectarea anomaliilor

Desen - 2

Pentru o bună plasare a sistemelor de detectare, trebuie să desenați o diagramă de rețea cu:

  • limitele segmentelor
  • segmente de rețea
  • obiecte cu și fără încredere
  • ACL - Liste de control al accesului
  • Servicii și servere care sunt

O greșeală comună este ceea ce caută un atacator atunci când îți analizează rețeaua. Deoarece sistemul de detectare a intruziunilor folosește analiza traficului, producătorii recunosc că este imposibil să se folosească un port comun pentru a intercepta toate pachetele fără degradarea performanței. Astfel încât reglaj eficient sistemele de detectare este o sarcină foarte importantă.

Instrumente de detectare a atacurilor

Tehnologia de detectare a intruziunilor trebuie să fie capabilă să gestioneze următoarele:

  • Recunoașterea atacurilor populare și atenționarea acestora către anumite persoane
  • Înţelegere surse obscure de date de atac
  • Abilitatea de a gestiona metodele de protecție de către profesioniști care nu fac parte din securitate
  • Controlul tuturor acțiunilor subiecților reteaua de informatii(programe, utilizatori etc.)
  • Eliberarea sau reducerea funcțiilor personalului responsabil cu securitatea, curent operațiuni de rutină pentru control

De multe ori sisteme de detectare a intruziunilor pot implementa funcții care extind domeniul de aplicare a acestora. De exemplu:

  • Controlul eficienței. Este posibil să se localizeze sistemul de detectare după inter firewall pentru a identifica regulile lipsă pe firewall.
  • Controlul gazdelor cu software învechit
  • Blocarea și controlul accesului la unele Resurse de internet. Deși sunt departe de capacitățile unor firewall-uri, dar dacă nu există bani pentru a cumpăra un firewall, puteți extinde funcțiile sistemului de detectare a intruziunilor
  • Control prin e-mail. Sistemele pot urmări virușii din e-mailuri și pot analiza conținutul e-mailurilor primite și trimise

Cea mai bună implementare a experienței și timpului profesioniștilor în domeniu securitatea informatiei este identificarea și eliminarea motive atacuri, mai degrabă decât detectarea atacurilor în sine. Eliminarea cauzei, datorită căreia este posibil un atac, va economisi mult timp și resurse financiare.

Clasificarea sistemelor de detectare a intruziunilor

Există multe clasificări ale sistemelor de detectare a intruziunilor, dar cea de sus este clasificarea conform principiului implementării:

  • bazat pe gazdă - sistemul este direcționat către un anumit nod de rețea
  • bazat pe rețea - sistemul vizează întreaga rețea sau segmentul de rețea

Sistemele de detectare a intruziunilor care sunt instalate pe anumite computere analizează de obicei datele din jurnalele sistemului de operare și aplicatii diferite. Cu toate acestea, în timpuri recente sunt produse programe care sunt strâns integrate cu nucleul OS.

Avantajele sistemelor de detectare a intruziunilor

Comutarea vă permite să gestionați rețele mari ca mai multe segmente mici de rețea. Detectarea atacurilor la nivelul unui anumit nod oferă mai mult munca eficientaîn rețelele comutate, deoarece vă permite să instalați sisteme de detectare pe acele noduri unde este necesar.

Sistemele de nivel de rețea nu trebuie să aibă instalat pe gazdă un software de sistem de detectare a intruziunilor. Pentru a controla un segment de rețea, este nevoie de un singur senzor, indiferent de numărul de noduri din acest segment.

Un pachet trimis de la un atacator nu va fi returnat. Sisteme care funcționează stratul de rețea, implementați detectarea atacurilor cu trafic live, adică în timp real. Informațiile analizate includ date care vor constitui probe în instanță.

Sistemele de detectare care funcționează la nivel de rețea sunt independente de sistemul de operare. Pentru astfel de sisteme, nu contează ce SO a creat pachetul.

Tehnologia de comparare a probelor

Principiul este că există o analiză a prezenței în pachet a unei anumite secvențe constante de octeți - un șablon sau semnătură. De exemplu, dacă un pachet de protocol IPv4 și un transport Protocolul TCP, este destinat portului numărul 222 și conține șirul în câmpul de date foo, acesta poate fi considerat un atac. Părți pozitive:

  • cel mai simplu mecanism de detectare a atacurilor;
  • permite potrivirea grea a modelului cu pachetul atacator;
  • funcționează pentru toate protocoalele;
  • un semnal de atac este de încredere dacă proba este identificată corect.

Laturile negative:

  • dacă atacul nu este standard, există șansa de a-l rata;
  • dacă eșantionul este prea general, atunci este probabil un procent mare false pozitive;
  • Poate fi necesar să se creeze mai multe mostre pentru un atac;
  • Mecanismul se limitează la analiza unui pachet, nu este posibil să se surprindă tendința și dezvoltarea atacului.

Tehnologia conformității statului

Deoarece un atac prin natura sa nu este un singur pachet, ci un flux de pachete, această metodă funcționează cu un flux de date. Mai multe pachete de la fiecare conexiune sunt verificate înainte de a se pronunța.
În comparație cu mecanismul anterior, atunci linia foo poate două pachete foși o. Cred că rezultatul funcționării celor două metode este clar.
Părți pozitive:

  • această metodă este puțin mai complicată decât metoda anterioară;
  • un raport de atac este adevărat dacă modelul este valid;
  • vă permite să legați puternic atacul cu eșantionul;
  • funcționează pentru toate protocoalele;
  • evitarea unui atac este mai dificilă decât în ​​metoda anterioară.

Laturile negative:

  • Toate criteriile negative sunt identice ca în metoda anterioară.

Analiză cu decriptare protocol

Această metodă implementează inspecția atacurilor pe protocoale individuale. Mecanismul definește protocolul și aplică regulile corespunzătoare. Părți pozitive:

  • dacă protocolul este definit cu precizie, atunci probabilitatea de fals pozitive este redusă;
  • vă permite să legați rigid modelul de atac;
  • vă permite să identificați cazurile de încălcare a regulilor de lucru cu protocoale;
  • permite capturarea diferite variante atacuri bazate pe unul.

Laturile negative:

  • Mecanismul este greu de reglat;
  • Un procent ridicat de fals pozitive este probabil dacă standardul de protocol permite discrepanțe.

Analiza Statica

Această metodă implică implementarea logicii pentru a detecta atacurile. Sunt utilizate informatii statistice pentru analiza traficului. Un exemplu de detectare a unor astfel de atacuri ar fi detectarea scanărilor de porturi. Pentru mecanism sunt date valori limită porturi care pot fi implementate pe o singură gazdă. Într-o astfel de situație, legăturile juridice unice în total vor da o manifestare a atacului. Părți pozitive:

  • Există tipuri de atacuri care pot fi detectate doar prin acest mecanism.

Laturile negative:

  • Astfel de algoritmi necesită o reglare fină complexă.

Analiza bazată pe anomalii

Acest mecanism nu este folosit pentru a detecta clar atacurile, ci pentru a detecta activități suspecte care diferă de cele normale. Principala problemă a înființării unui astfel de mecanism este definirea criteriului normal activitate. De asemenea, trebuie să țineți cont de abaterile permise de la traficul normal, care nu reprezintă un atac. Părți pozitive:

  • Un analizor configurat corect detectează chiar și atacuri necunoscute, dar trebuie să faceți acest lucru muncă în plus privind introducerea de noi reguli și semnăturile de atac.

Laturile negative:

  • Mecanismul nu prezintă o descriere a atacului pentru fiecare element, dar raportează suspiciunea acestuia asupra situației.
  • Pentru a trage concluzii, nu este suficient Informatii utile. Rețeaua este adesea difuzată inutil.
  • Factorul determinant este mediul de operare.

Variante de reacții la atacurile detectate

Detectarea unui atac este jumătate din luptă, de asemenea, trebuie să luați anumite acțiuni. Opțiunile de răspuns sunt cele care determină eficiența unui sistem de detectare a intruziunilor. Mai jos sunt următoarele opțiuni de răspuns.

Categorie ~ Securitate – Igor (Administrator)

Despre prevenirea și detectarea intruziunilor

Au dispărut vremurile în care un virus era doar un virus și totul era „ceea ce ai nevoie”! Acum nu este chiar așa. Cel mai cunoscut pericol sunt programele sub denumirea generală „malware” (Malware). Astfel de programe evoluează constant și reprezintă o amenințare serioasă la adresa securității dumneavoastră.

Pe lângă modulele de fișiere, registru și aplicații deja familiare, Malware Defender include și un modul de monitorizare a rețelei care include și posibilitatea de a vizualiza toate conexiunile. Acest lucru îl face însoțitorul perfect pentru cei care folosesc firewall-ul standard Windows și nu doresc să se adâncească în lumea firewall-urilor și a securității rețelei.

In ciuda faptului ca acest program Are un numar mare de plusuri, dar complexitatea sa de utilizare pt utilizator obișnuit- îl face cu siguranță să nu se scaleze. Desigur, erorile pot fi remediate prin inversarea regulilor de permisiune, cu excepția cazului în care ați dezactivat vital caracteristici importante sistem, atunci este probabil că întoarcerea nu va fi atât de ușoară.

Programul de prevenire a intruziunilor WinPatrol este un instrument puternic pentru toți utilizatorii

a ajutat la protejarea computerelor din toate țările de mai bine de un deceniu. Acest program are o mulțime de fani. A fost actualizat recent pentru a fi mai compatibil cu Windows Vista/7. scopul principal programul este de a avertiza utilizatorul cu privire la efectuarea de modificări în sistem care pot fi o consecință a lucrării malware. Pentru a-și atinge scopul, ea instantaneu setarile sistemului. Și în cazul oricăror modificări, anunță utilizatorul. WinPatrol folosește o abordare euristică în activitatea sa, care vă oferă mai multă încredere că nu veți primi malware noi decât scanerele tradiționale de semnături, care depind în mare măsură de actualizări.

WinPatrol vă va avertiza cu privire la orice modificări noi pe care programele încearcă să le facă. Putem spune că WinPatrol este suficient instrument eficient pentru a combate o serie de programe rău intenționate, cum ar fi viermi, troieni, programe de modificare a cookie-urilor, adware și spyware. O mulțime de opțiuni de configurare a sistemului (cum ar fi „”, „sarcini”, etc.), care sunt împrăștiate în acesta, sunt duplicate în interfața WinPatrol, care vă permite să urmăriți rapid și convenabil starea sistemului. De asemenea, puteți utiliza WinPatrol pentru a filtra modulele cookie nedorite și suplimentele IE.

Începând cu V19.0, WinPatrol a devenit „ soluție cloud„. Majoritatea funcționalităților suplimentare sunt disponibile numai pentru utilizatorii plătiți. Plus versiuni. Comunitatea de utilizatori WinPatrol vă permite să contați pe un bun părere când apar probleme. Mai mult, toate soluțiile la problemele luate în considerare sunt disponibile ca utilizatori demon versiunea platita, și plătit.

MJ Registry Watcher program de prevenire a intruziunilor de monitorizare a registrului și a sistemului de fișiere

o altă utilitate despre care poate nu mulți oameni știu, dar care este destul de bun. E de ajuns program simplu monitorizarea registrului, fișierelor și directoarelor, ceea ce garantează securitatea celor mai multe locuri importante sistemul dvs. Consumă foarte puține resurse de sistem. Metoda de acțiune este foarte simplă. La fiecare 30 de secunde programul interogează sistemul. Dacă este necesar, timpul de votare poate fi modificat. Toate setările utilitarului sunt stocate în Fișier de configurare, care este foarte convenabil atunci când trebuie să puteți personaliza rapid utilitarul pentru dvs. MJ Registry Watcher nu numai că sondajează sistemul pentru modificări, dar preia aproape instantaneu controlul asupra majorității modificărilor cheilor, fișierelor și folderelor de registry. Ștergerea cheilor din registry este, de asemenea, interceptată ca parte a sondajului de sistem.

Lista cheilor și fișierelor care trebuie monitorizate este complet personalizabilă de către utilizator. Nu trebuie să-ți fie frică. MJ Registry Watcher are propriile liste care se va potrivi majorității utilizatorilor. Pentru a lucra cu acest utilitar, utilizatorul trebuie să aibă o cunoaștere medie a sistemului. Acest utilitar va fi apreciat în special de utilizatorii care preferă să ofere protecție pe mai multe niveluri prin utilizarea multor mici utilitati specializate. Utilitarul nu necesită instalare. Doar descărcați și rulați.

Programul mai include: monitorizarea proceselor, monitorizarea muncii cu fișiere și foldere, monitorizare e-mail și un modul pentru lucrul cu carantina.

Ghid rapid (linkuri de descărcare pentru software-ul gratuit de detectare și prevenire a intruziunilor)

Malware Defender

Oferă protecţie cuprinzătoare, inclusiv monitorizarea rețelei.
Nu va fi ușor de înțeles pentru utilizatorii obișnuiți, deoarece Pagina principala in chineza.
http://www.softpedia.com/get/Security/Secure-cleaning/Malware-Defender.shtml
-------------
1,9 MB 2,8 Program gratuit nerestricționat Windows 2K/XP/2003/2008/Vista/7

WinPatrol

Oferă protecție completă.
Trecând cu mouse-ul peste o pictogramă din listă rulează programe(dreapta jos) afișează mesajul „Scotty este în prezent în patrulare”, care nu este foarte frecvent.
http://www.winpatrol.com/
https://www.winpatrol.com/mydownloads/
900 kb 29.0.2013 Freeware nerestricționat Windows
Versiune pe 64 de biți disponibilă
  • Categorie: Necategorizat

    • Activitate crescută hard disk-uri sau fisiere suspicioaseîn directoarele rădăcină. După ce au spart un computer, mulți hackeri scanează informațiile stocate pe acesta în căutarea unor documente sau fișiere interesante care conțin date de conectare și parole pentru centrele de decontare bancare sau sistemele electronice de plată precum PayPal. niste viermi de rețeaîn mod similar, căutați fișiere de pe disc cu adrese de email, care sunt ulterior folosite pentru a trimite e-mailuri infectate. Dacă observați o activitate semnificativă pe hard disk chiar și atunci când computerul este inactiv și fișierele cu nume suspecte încep să apară în folderele publice, acesta poate fi, de asemenea, un semn că computerul a fost spart sau sistemul de operare a fost infectat cu malware...

    Suspect de înalt trafic de ieșire. Dacă utilizați o conexiune dial-up sau ADSL și observați o cantitate neobișnuit de mare de ieșiri trafic de rețea(în special atunci când computerul rulează și este conectat la Internet, dar nu îl utilizați), atunci este posibil ca computerul să fi fost piratat. Un astfel de computer poate fi folosit pentru a trimite în secret spam sau pentru a propaga viermi de rețea.

    Activitate crescută a hard disk-urilor sau a fișierelor suspecte din directoarele rădăcină. După ce au spart un computer, mulți hackeri scanează informațiile stocate pe acesta în căutarea unor documente sau fișiere interesante care conțin date de conectare și parole pentru centrele de decontare bancare sau sistemele electronice de plată precum PayPal. Unii viermi de rețea caută în mod similar fișierele cu adrese de e-mail pe disc, care sunt apoi folosite pentru a trimite e-mailuri infectate. Dacă observați o activitate semnificativă pe hard disk chiar și atunci când computerul este inactiv și fișierele cu nume suspecte încep să apară în foldere publice, acesta poate fi, de asemenea, un semn că computerul a fost spart sau sistemul de operare a fost infectat cu malware.

    Un număr mare de pachete de la aceeași adresă sunt oprite de firewall-ul personal. După definirea țintei (de exemplu, o serie de adrese IP ale unei companii sau rețeaua de acasă) hackerii rulează de obicei scanere automate, încercând să folosească un set de diverse exploit-uri pentru a pătrunde în sistem. Dacă rulați un firewall personal (un instrument fundamental în protejarea împotriva atacurilor hackerilor) și observați un număr neobișnuit de mare de pachete oprite de la aceeași adresă, atunci acesta este un semn că computerul este atacat. Cu toate acestea, dacă firewall-ul vă spune să opriți astfel de pachete, atunci computerul este cel mai probabil în siguranță. Totuși, mult depinde de ce derularea serviciilor deschis pentru acces la internet. Deci, de exemplu, este posibil ca un firewall personal să nu poată face față unui atac îndreptat către un serviciu FTP care rulează pe computerul dvs. LA acest caz soluția problemei este de a bloca temporar complet pachetele periculoase până când încercările de conectare se opresc.

    Majoritatea firewall-urilor personale au această caracteristică.

    Constant protectie antivirus computerul dvs. raportează prezența troienilor sau ușilor din spate pe computer, deși totul funcționează bine. Deși atacurile hackerilor pot fi complexe și neobișnuite, majoritatea crackerilor se bazează pe utilitare troiene binecunoscute pentru a obține control total peste computerul infectat. Dacă antivirusul dvs. raportează că a prins un astfel de malware, atunci acesta poate fi un semn că computerul dvs. este deschis accesului de la distanță neautorizat.

    Calculatoare UNIX:

    Fișierele cu nume suspecte în folderul „/tmp”. Multe exploatări din lumea UNIX se bazează pe creație fișiere temporareîn folder standard„/tmp”, care nu sunt întotdeauna eliminate după ce sistemul este compromis. Același lucru este valabil și pentru unii viermi care infectează sistemele UNIX; se recompilează singuri în folderul „/tmp” și apoi îl folosesc ca dosar „acasă”.

    Modificat fișiere executabile servicii de sistem precum „login”, „telnet”, „ftp”, „finger” sau chiar altele mai complexe precum „sshd”, „ftpd” și altele. După ce s-a infiltrat într-un sistem, un hacker încearcă de obicei să-și prindă rădăcini în el punând o ușă în spate într-unul dintre serviciile disponibile de pe Internet sau modificând utilitățile standard ale sistemului utilizate pentru conectarea la alte computere. Aceste executabile modificate sunt de obicei incluse cu rootkit-ul și sunt ascunse de o examinare ușoară directă. În orice caz, este util să depozitați baza cu sume de control toate utilități de sistem si periodic, deconectati de la Internet, in modul single user, verifica daca s-au schimbat.

    Modificat „/etc/passwd”, „/etc/shadow” sau altele fișiere de sistemîn folderul „/etc”. Uneori, rezultatul unui atac de hacker este apariția unui alt utilizator în fișierul „/etc/passwd”, care se poate conecta ulterior în sistem de la distanță. Urmăriți toate modificările aduse fișierului cu parole, în special apariția utilizatorilor cu autentificări suspecte.

    Apariția unor servicii suspecte în „/etc/services”. Instalarea unei uși din spate pe un sistem UNIX se face adesea prin adăugarea a două șiruri de text la fișierele „/etc/services” și „/etc/ined.conf”. Ar trebui să monitorizați în mod constant aceste fișiere pentru a nu pierde momentul în care apar linii noi acolo, instalând o ușă de spate pe un port nefolosit anterior sau suspect.

Pentru ca un atacator să aibă acces la informațiile companiei tale, trebuie să treci prin mai multe straturi de protecție. Cu toate acestea, poate exploata vulnerabilități și setări incorecte stații de lucru finale, echipamente de telecomunicații sau Inginerie sociala. Atacurile asupra unui sistem informatic (IS) au loc treptat: pătrunderea ocolind politicile de securitate a informațiilor (IS), răspândirea în IS cu distrugerea urmelor prezenței acestuia și abia apoi atacul în sine. Întregul proces poate dura câteva luni sau chiar ani. Adesea, nici utilizatorul, nici administratorul de securitate a informațiilor nu sunt conștienți de modificări anormale în sistem și de atacul efectuat asupra acestuia. Toate acestea conduc la amenințări cu încălcarea integrității, confidențialității și disponibilității informațiilor procesate în SI.

Apărările tradiționale precum firewall-urile, antivirusurile etc. nu sunt suficiente pentru a contracara atacurile moderne. Este necesar un sistem de monitorizare și detectare a potențialelor atacuri și anomalii, care implementează următoarele funcții:

  • detectarea tentativelor de intruziune în sistemele informaționale;
  • detectarea atacurilor în rețeaua protejată sau în segmentele acesteia;
  • urmărirea accesului neautorizat la documente și componente sisteme de informare;
  • detectarea virușilor, malware-urilor, troienilor, botnet-urilor;
  • monitorizarea atacurilor vizate.

Este important să se țină cont de faptul că, dacă SI al unei companii procesează informații care fac obiectul protecției obligatorii în conformitate cu cerințele Legislația rusă(de exemplu, date personale), trebuie să utilizați instrumente de securitate certificate care au trecut procedura de evaluare a conformității de către autoritățile de reglementare FSTEC din Rusiași/sau FSB al Rusiei.

S-Terra SOV

De mulți ani, S-Terra CSP produce produse VPN pentru organizații protecţie criptografică date transmise și firewall. Datorită nevoilor crescute ale utilizatorilor de a îmbunătăți nivelul general de securitate IP, S-Terra CSP s-a dezvoltat remediu special protecția informațiilor, asigurând detectarea atacurilor și a activităților anormale.

C-Terra IDS este un instrument de securitate care permite administratorilor de securitate a informațiilor să detecteze atacuri pe baza analizei traficului de rețea. În centrul lucrării acest instrument protecția constă în utilizarea mecanismelor de analiză a semnăturilor.

Când se analizează traficul de rețea folosind metoda semnăturii, administratorul va putea întotdeauna să determine exact ce pachet sau grup de pachete anume a declanșat senzorul responsabil cu detectarea activității anormale. Toate regulile sunt clar definite, pentru multe dintre ele puteți urmări întregul lanț: de la informații despre detaliile vulnerabilității și metodele de exploatare a acesteia, până la semnătura rezultată. La rândul său, baza de reguli de semnătură este extinsă și actualizată în mod regulat, garantând astfel protecţie fiabilă Compania IS.

Pentru a minimiza riscurile de la atacuri fundamental noi zero-day pentru care nu există semnături, în produsul C-Terra SOV este inclusă o metodă de analiză suplimentară. activitatea de rețea- euristic. Această metodă de analiză a activității se bazează pe reguli euristice, adică bazată pe prognoza activității IS și compararea acesteia cu comportamentul normal „șablon”, care se formează în timpul modului de antrenament al acestui sistem pe baza acestuia. caracteristici unice. Prin aplicatie acest mecanism protecție, S-Terra SOV vă permite să detectați atacuri noi, necunoscute anterior sau orice altă activitate care nu se încadrează sub nicio semnătură specifică.

Combinația dintre semnătura și analiza euristică vă permite să detectați acțiuni neautorizate, ilegitime, suspecte de la infractorii externi și interni. Administratorul IS poate prezice posibile atacuri, precum și identifica vulnerabilități pentru a preveni dezvoltarea și impactul acestora asupra IS-ului companiei. Detectarea rapidă a amenințărilor emergente vă permite să determinați locația sursei de atac în raport cu rețeaua locală protejată, ceea ce facilitează investigarea incidentelor de securitate a informațiilor.

Tabelul 1. Functionalitate S-Terra SOV

caracteristicile produsului Descriere detaliata
Versiuni Sistem hardware și software
La fel de mașină virtuală
Sistem de operare Debian 7
Definiţia attacks analiza semnăturii
Analiza euristica
Control GUI
Linie de comanda
Înregistrarea atacurilor Scrierea în jurnalul de sistem
Afișează în GUI
Actualizarea bazei de date de semnături Modul offline
Modul online
Mecanisme de alertă Ieșire în consola de administrare
E-mail
Integrare cu sisteme SIEM
Gestionarea incidentelor Controlul selectiv al obiectelor de rețea individuale
Căutați, sortați, organizați datele în jurnalul de sistem
Activați/dezactivați regulile individuale și grupurile de reguli
Mecanisme suplimentare de protecție Controlați protecția canalului folosind tehnologii VPN IPsec
conform GOST 28147-89, GOST R 34.10-2001/2012 și GOST R 34.11-2001/2012
Controlul integrității componentei software și al configurației IDS
Certificate de conformitate Așteptat Certificare FSTEC Rusia: SOV 4, NDV 4, OUD 3

Sistemul de detectare a intruziunilor S-Terra SOV are interfață ușor de utilizat, managementul și controlul se realizează printr-un canal securizat folosind tehnologia IPsec pe algoritmii cripto GOST interni.

Utilizarea C-Terra SOV ca componentă de protecție crește nivel general Securitatea IS datorită analizei constante a modificărilor stării sale, detectării anomaliilor și clasificării acestora. O interfață web vizuală și funcțională pentru gestionarea și controlul sistemului de detectare a intruziunilor, precum și disponibilitatea utilitati suplimentare management, vă permite să configurați corect senzorii de evenimente, să procesați și să prezentați eficient rezultatele analizei traficului.

Schema de pornire a S-Terra SOV

S-Terra SOV este situat în segment retea locala(de exemplu, o zonă DMZ), tot traficul care circulă în acest segment este duplicat și redirecționat către instrumentul de protecție prin portul „oglindă” al comutatorului. Managementul se realizează printr-o interfață separată printr-un canal securizat. O schemă mai detaliată de includere în SI-ul companiei este prezentată pe figura 1.

Poza 1. Schemă de pornire S-Terra SOV și S-Terra Gateway separate

Un dispozitiv poate opera simultan S-Terra Gateway pentru criptarea traficului și firewalling, precum și S-Terra SOV pentru detectare atacuri de rețea. Schema detaliata o astfel de includere este prezentată pe figura 2.

Figura 2. Schema de comutare munca în comun S-Terra SOV și S-Terra Gateway

Selectarea produsului

C-Terra SOV este livrat ca un complex hardware-software sau ca o mașină virtuală pentru hipervizorii populari (VMware ESX, Citrix XenServer, Parallels, KVM).

Alegerea unei implementări specifice depinde de cantitatea de informații transmise prin rețea, de numărul de semnături utilizate și de alți factori.

Dacă se preferă platforma hardware, atunci există posibilitatea de a alege dintre trei opțiuni de performanță de analiză a informațiilor - pentru viteze de 10, 100 și 1000 Mbps.

Performanța Virtual IDS poate varia foarte mult și depinde de setările hypervisorului utilizate și de resursele platformei hardware pe care rulează Virtual IDS.

Puteți obține asistență în alegerea produselor și echipamentelor, precum și în calcularea costului unei soluții pentru organizația dvs., contactând managerii noștri:
- prin telefon +7 499 940-90-61
- sau prin e-mail:
Cu siguranta vei fi ajutat!



Top articole similare

Unde să introduceți coordonatele în Google Earth
Unde să introduceți coordonatele în Google Earth
Programe gratuite pentru Windows descărcare gratuită Descărcați browserul de proteine ​​în rusă
Programe gratuite pentru Windows descărcare gratuită Descărcați browserul de proteine ​​în rusă
Depanarea erorii kernel32 dll în Windows DLL eroare?
Depanarea erorii kernel32 dll în Windows DLL eroare?
Categorii:
© 2022 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.