Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ

Zbulimi i sulmeve në rrjet. Zbulimi i sulmeve të hakerëve në kompjuterin tuaj

12.04.2019 Internet, Wi-Fi, rrjete lokale

Qëllimi kryesor i këtij programi është të zbulojë sulmet e hakerëve. Siç e dini, faza e parë e shumicës së sulmeve të hakerëve është inventari i rrjetit dhe skanimi i porteve në hostet e zbuluar. Skanimi i portit ndihmon në përcaktimin e llojit të sistemit operativ dhe zbulimin e shërbimeve potencialisht të cenueshme (për shembull, mail ose serveri WEB). Pas skanimit të porteve, shumë skanerë përcaktojnë llojin e shërbimit duke dërguar kërkesa testimi dhe duke analizuar përgjigjen e serverit. Shërbimi APS shkëmbehet me sulmuesin dhe ju lejon të identifikoni në mënyrë unike faktin e sulmit.


Për më tepër, qëllimi i shërbimeve është:

  • zbulim lloje te ndryshme sulmet (kryesisht skanimi i portit dhe identifikimi i shërbimit) dhe shfaqja e programeve dhe krimbave të rrjetit në rrjet (baza e të dhënave APS përmban më shumë se njëqind porte të përdorura nga krimbat dhe komponentët e Backdoor);
  • testimi i skanerëve të portave dhe siguria e rrjetit(për të kontrolluar funksionimin e skanerit, duhet të ekzekutoni APS në një kompjuter testues dhe të skanoni portet - duke përdorur protokollet APS nuk është e vështirë të përcaktoni se çfarë kontrollesh do të kryejë skaneri dhe në çfarë sekuence);
  • testimi dhe kontrollin operacional prapa punës së Firewall - në këtë rast, programi APS lëshohet në një kompjuter me Firewall të instaluar dhe skanimi i portit dhe (ose sulme të tjera) kryhen kundër PC. Nëse APS lëshon një alarm, ky është një sinjal se Firewall nuk po funksionon ose se po vendosje e gabuar. APS mund të funksionojë vazhdimisht në një kompjuter të mbrojtur nga një Firewall për të monitoruar funksionimin e duhur të Firewall-it në kohë reale;
  • bllokimi i punës së krimbave të rrjetit dhe moduleve të pasme dhe zbulimi i tyre - parimi i zbulimit dhe bllokimit bazohet në faktin se i njëjti port mund të hapet për dëgjim vetëm një herë. Rrjedhimisht, hapja e porteve të përdorura nga programet Trojan dhe Backdoor përpara se të lansohen do të ndërhyjë në funksionimin e tyre; pas nisjes, do të çojë në zbulimin e faktit se porti po përdoret nga një program tjetër;
  • testimi i programeve anti-trojan, sistemet IDS - baza e të dhënave APS përmban më shumë se njëqind porte nga më të zakonshmet Programet trojane. Disa mjete anti-trojan kanë aftësinë për të skanuar portat e PC-së që skanohet (ose të ndërtojnë një listë portash dëgjimi pa skanuar duke përdorur Windows API) - mjete të tilla duhet të raportojnë dyshimin për praninë e një programi trojan (me një listë portesh "të dyshimta") - lista që rezulton mund të krahasohet lehtësisht me listën e porteve në bazën e të dhënave APS dhe të nxjerrë përfundime në lidhje me besueshmërinë e mjet i përdorur.

Parimi i funksionimit të programit bazohet në dëgjimin e porteve të përshkruara në bazën e të dhënave. Baza e të dhënave të porteve përditësohet vazhdimisht. Baza e të dhënave përmban një përshkrim të shkurtër të çdo porti - përshkrime të shkurtra përmbajnë ose emrat e viruseve që përdorin portin, ose emrin shërbim standard, të cilit i korrespondon ky port. Kur zbulohet një përpjekje për t'u lidhur me portën e dëgjimit, programi regjistron faktin e lidhjes në protokoll, analizon të dhënat e marra pas lidhjes dhe për disa shërbime transmeton një të ashtuquajtur flamur - një grup i caktuar teksti ose të dhënash binare. të transmetuara shërbim i vërtetë pas lidhjes.

Emri i plotë i sistemeve të tilla është sistemet e parandalimit dhe zbulimit të sulmeve. Ose ata e quajnë SOA si një nga qasjet ndaj. Parimi i funksionimit të SOA është të monitorojë vazhdimisht aktivitetin që ndodh në sistemin e informacionit. Dhe gjithashtu, kur zbulohet një aktivitet i dyshimtë, merrni mekanizma të caktuar për të parandaluar dhe dërguar sinjale tek personat e caktuar. Sisteme të tilla duhet të zgjidhin.

Ka disa mjete dhe qasje tipike për zbulimin e sulmeve që zvogëlojnë.

Kanë ikur kohët kur vetëm një mur zjarri ishte i mjaftueshëm për mbrojtje. Sot, ndërmarrjet zbatojnë të fuqishme dhe të mëdha sistemet e strukturuara mbrojtje, për të kufizuar ndërmarrjen nga kërcënimet e mundshme dhe rreziqet. Me ardhjen e sulmeve të tilla si sulmet e mohimit të shërbimit (DDoS), adresa e burimit të paketave nuk mund t'ju japë një përgjigje të qartë nëse sulmi kundër jush ishte i synuar apo i rastësishëm. Ju duhet të dini se si t'i përgjigjeni një incidenti, si dhe si të identifikoni një sulmues (Fig. 1).

Një sulmues mund të identifikohet nga karakteristikat e mëposhtme të veprimit:

  • realizon shpime të dukshme
  • bën përpjekje të përsëritura për të hyrë në rrjet
  • duke u përpjekur të mbulojë gjurmët e tij
  • zbaton sulme në kohë të ndryshme

Foto 1

Ju gjithashtu mund t'i ndani sulmuesit në ata të rastësishëm dhe me përvojë. Të parët përpjekje e pasuksesshme qasja në server do të shkojë në një server tjetër. Ky i fundit do të kryejë analiza në lidhje me burimin për të zbatuar sulmet e mëposhtme. Për shembull, një administrator sheh në regjistrin IDS që dikush po skanon portat tuaja serveri i postës, atëherë komandat SMTP dërgohen në portin 25 nga e njëjta adresë IP. Mënyra se si vepron një sulmues mund të thotë shumë për karakterin, synimet e tij, etj. Figura 2 tregon një algoritëm për zbulimin efektiv të sulmeve. Të gjitha shërbimet e zbulimit të sulmeve përdorin algoritme fillestare:

  • zbulimi i abuzimit
  • zbulimi i anomalive

Figura - 2

Për një vendosje të mirë të sistemeve të zbulimit, duhet të hartoni një diagram rrjeti me:

  • kufijtë e segmentit
  • segmentet e rrjetit
  • objekte me dhe pa besim
  • ACL - listat e kontrollit të aksesit
  • Shërbimet dhe serverët në dispozicion

Një gabim i zakonshëm është ajo që kërkon një sulmues kur analizon rrjetin tuaj. Meqenëse sistemi i zbulimit të ndërhyrjeve përdor analizën e trafikut, prodhuesit pranojnë se përdorimi i një porti të përbashkët për të përgjuar të gjitha paketat pa ulur performancën nuk është i mundur. Kështu që konfigurim efikas sistemet e zbulimit është një detyrë shumë e rëndësishme.

Mjetet e zbulimit të sulmit

Teknologjia e zbulimit të ndërhyrjeve duhet të përballet me sa vijon:

  • Njihni sulmet popullore dhe paralajmëroni individë të veçantë për to
  • Kuptimi burime të panjohura të të dhënave të sulmit
  • Aftësia për të kontrolluar metodat e sigurisë nga ekspertë jo të sigurisë
  • Kontrolli i të gjitha veprimeve të subjekteve rrjet informacioni(programet, përdoruesit, etj.)
  • Lirimi ose zvogëlimi i funksioneve të personelit përgjegjës për sigurinë, aktuale operacionet rutinë në kontroll

shpeshherë sistemet e zbulimit të sulmeve mund të zbatojnë funksione që zgjerojnë gamën e aplikacioneve të tyre. P.sh.

  • Kontrolli i efikasitetit. Ju mund ta vendosni sistemin e zbulimit pas ndërmjet muri i zjarrit për të përcaktuar rregullat që mungojnë në murin e zjarrit.
  • Monitorimi i nyjeve të rrjetit me softuer të vjetëruar
  • Bllokimi dhe kontrolli i aksesit për disa Burimet e internetit. Megjithëse ato janë larg aftësive të mureve të tilla të zjarrit, nëse nuk keni para për të blerë një mur zjarri, mund të zgjeroni funksionet e sistemit të zbulimit të sulmeve
  • Kontrolli i postës elektronike. Sistemet mund të monitorojnë viruset me shkronja, si dhe të analizojnë përmbajtjen e letrave hyrëse dhe dalëse

Përdorimi më i mirë i përvojës dhe kohës së profesionistëve të fushës siguria e informacionitështë identifikimi dhe eliminimi arsye zbatimin e sulmeve, në vend të zbulimit të vetë sulmeve. Duke eliminuar arsyen pse sulmi është i mundur, ai do të kursejë shumë kohë dhe burime financiare.

Klasifikimi i sistemeve të zbulimit të ndërhyrjeve

Ka shumë klasifikime të sistemeve të zbulimit të sulmeve, por klasifikimi kryesor bazohet në parimin e zbatimit:

  • i bazuar në host - sistemi drejtohet në një nyje specifike të rrjetit
  • i bazuar në rrjet - sistemi synon të gjithë rrjetin ose segmentin e rrjetit

Sistemet e zbulimit të sulmeve të instaluara në kompjuterë të veçantë zakonisht analizojnë të dhënat nga regjistrat e OS dhe aplikacione të ndryshme. Megjithatë, në Kohët e fundit lëshohen programe që janë të integruara ngushtë me kernelin OS.

Përparësitë e sistemeve të zbulimit të ndërhyrjeve

Ndërrimi lejon kontrollin rrjete të mëdha si disa segmente të vogla të rrjetit. Zbulimi i sulmeve në nivelin e një nyje specifike jep më shumë punë efektive në rrjetet me komutim, pasi ju lejon të instaloni sisteme zbulimi në ato nyje ku është e nevojshme.

Sistemet e nivelit të rrjetit nuk kërkojnë që softueri për zbulimin e sulmeve të instalohet në host. Për të monitoruar një segment rrjeti, nevojitet vetëm një sensor, pavarësisht nga numri i nyjeve në këtë segment.

Një paketë e dërguar nga një sulmues nuk do të kthehet. Sistemet që punojnë niveli i rrjetit, zbatoni zbulimin e sulmeve në trafikun e drejtpërdrejtë, domethënë në kohë reale. Informacioni i analizuar përfshin të dhëna që do të jenë prova në gjykatë.

Sistemet e zbulimit që funksionojnë në nivel rrjeti janë të pavarura nga OS. Për sisteme të tilla, nuk ka rëndësi se cili OS e ka krijuar paketën.

Teknologjia e krahasimit të mostrave

Parimi është që paketa të analizohet për praninë e një sekuence të caktuar konstante bajtësh - një model ose nënshkrim. Për shembull, nëse një protokoll IPv4 dhe një paketë transporti Protokolli TCP, është menduar për numrin e portit 222 dhe përmban vargun në fushën e të dhënave foo, ky mund të konsiderohet një sulm. Anet pozitive:

  • mekanizmi më i thjeshtë i zbulimit të sulmit;
  • lejon që një model të përputhet fort me një paketë sulmi;
  • punon për të gjitha protokollet;
  • sinjali i sulmit është i besueshëm nëse kampioni është identifikuar saktë.

Anët negative:

  • nëse sulmi është jo standard, ekziston mundësia për ta humbur atë;
  • nëse kampioni është shumë i përgjithshëm, atëherë ka të ngjarë një përqindje e madhe pozitive false;
  • Mund të jetë e nevojshme të krijohen disa mostra për një sulm;
  • Mekanizmi është i kufizuar në analizën e një pakete; nuk është e mundur të kapet tendenca dhe zhvillimi i sulmit.

Teknologjia e përputhjes së shtetit

Meqenëse një sulm në thelb nuk është një paketë e vetme, por një rrjedhë paketash, kjo metodë funksionon me një rrjedhë të dhënash. Disa paketa nga çdo lidhje ekzaminohen përpara se të merret një vendim.
Nëse krahasohet me mekanizmin e mëparshëm, atëherë linja foo ndoshta në dy pako, për Dhe o. Unë mendoj se rezultati i dy metodave është i qartë.
Anet pozitive:

  • kjo metodë është pak më e ndërlikuar nga metoda e mëparshme;
  • raporti i sulmit është i vërtetë nëse mostra është e besueshme;
  • lejon që sulmi të lidhet fort me modelin;
  • punon për të gjitha protokollet;
  • shmangia e një sulmi është më e vështirë se në metodën e mëparshme.

Anët negative:

  • Të gjitha kriteret negative janë identike si në metodën e mëparshme.

Analiza me dekodim protokolli

Kjo metodë zbaton inspektimin e sulmeve në protokolle individuale. Mekanizmi përcakton protokollin dhe zbaton rregullat e duhura. Anet pozitive:

  • nëse protokolli është përcaktuar saktësisht, atëherë gjasat e false pozitive zvogëlohen;
  • lejon që modeli të jetë i lidhur ngushtë me sulmin;
  • ju lejon të identifikoni rastet e shkeljes së rregullave për të punuar me protokollet;
  • lejon kapjen variante të ndryshme sulmet e bazuara në një.

Anët negative:

  • Mekanizmi është i vështirë për t'u vendosur;
  • Një përqindje e lartë e false pozitive ka të ngjarë nëse standardi i protokollit lejon mospërputhje.

Analiza statike

Kjo metodë përfshin zbatimin e logjikës për të zbuluar sulmet. Janë përdorur informacion statistikor për analizën e trafikut. Një shembull i identifikimit të sulmeve të tilla do të ishte identifikimi i skanimeve të porteve. Për mekanizmin janë dhënë vlerat kufitare portet që mund të implementohen në një host të vetëm. Në një situatë të tillë, lidhjet e vetme legjitime shtohen në një sulm. Anet pozitive:

  • Ka lloje të sulmeve që mund të zbulohen vetëm nga ky mekanizëm.

Anët negative:

  • Algoritme të tilla kërkojnë rregullim të imët kompleks.

Analiza e bazuar në anomali

Ky mekanizëm nuk përdoret për të zbuluar qartë sulmet, por për të zbuluar aktivitete të dyshimta që ndryshojnë nga aktiviteti normal. Problemi kryesor me vendosjen e një mekanizmi të tillë është përcaktimi i kriterit normale aktivitet. Ju gjithashtu duhet të merrni parasysh devijimet e lejuara nga trafiku normal që nuk janë sulm. Anet pozitive:

  • Një analizues i konfiguruar siç duhet zbulon edhe sulme të panjohura, por është e nevojshme punë shtesë mbi futjen e rregullave të reja dhe nënshkrimet e sulmit.

Anët negative:

  • Mekanizmi nuk tregon një përshkrim të sulmit për secilin element, por raporton dyshimet e tij bazuar në situatën.
  • Ajo që do të nxirrte përfundime nuk mjafton informacione të dobishme. Përmbajtja e padobishme transmetohet shpesh në internet.
  • Faktori përcaktues është mjedisi operativ.

Opsione për t'iu përgjigjur sulmeve të zbuluara

Zbulimi i një sulmi është gjysma e betejës; gjithashtu duhet të ndërmerrni veprime të caktuara. Janë opsionet e reagimit që përcaktojnë efektivitetin e një sistemi të zbulimit të sulmit. Më poshtë janë opsionet e mëposhtme të përgjigjes.

Kategoria ~ Siguria - Igor (Administrator)

Rreth parandalimit dhe zbulimit të ndërhyrjeve

Kanë ikur kohët kur një virus ishte thjesht një virus, dhe çdo gjë tjetër ishte "tamam e drejtë"! Tani gjithçka nuk është ashtu. Rreziku më i njohur janë programet të quajtura kolektivisht "malware". Programe të tilla janë vazhdimisht në zhvillim dhe përbëjnë një kërcënim serioz për sigurinë tuaj.

Përveç moduleve tashmë të njohura për të punuar me skedarët, regjistrin dhe aplikacionet, Malware Defender përfshin gjithashtu një modul të monitorimit të rrjetit, i cili përfshin mundësinë për të parë gjithashtu të gjitha lidhjet. Kjo e bën atë shoqëruesin ideal për ata që përdorin murin e zjarrit standard të Windows dhe nuk duan të thellohen në botën e mureve të zjarrit dhe sigurisë së rrjetit.

Edhe pse këtë program Ajo ka nje numer i madh i avantazhet, por është e vështirë për t'u përdorur për përdorues i rregullt- e bën atë patjetër jo në shkallë të gjerë. Natyrisht, gabimet mund të korrigjohen duke ndryshuar rregullat e lejes, edhe pse nëse nuk e keni ndaluar funksione të rëndësishme sistemi, atëherë ekziston mundësia që kthimi prapa të mos jetë aq i lehtë.

Softueri për parandalimin e ndërhyrjeve WinPatrol është një mjet i fuqishëm për të gjithë përdoruesit

ka ndihmuar në mbrojtjen e kompjuterëve në të gjitha vendet për më shumë se dhjetë vjet. Ky program ka shumë fansa. Kohët e fundit është përditësuar për të qenë më i pajtueshëm me Windows Vista/7. Qëllimi kryesor programi është të paralajmërojë përdoruesin për ndryshimet në sistem që mund të jenë pasojë e malware. Për të arritur qëllimin, ajo e bën pamje e çastit cilësimet e sistemit. Dhe në rast të ndonjë ndryshimi, ai njofton përdoruesin. WinPatrol përdor një qasje heuristike për punën e saj, e cila jep më shumë besim se nuk do të merrni malware të rinj sesa skanerët tradicionalë të nënshkrimeve, të cilët varen shumë nga disponueshmëria e përditësimeve.

WinPatrol do t'ju njoftojë për çdo ndryshim të ri që programet po përpiqen të bëjnë. Mund të themi se WinPatrol është mjaft mjete efektive për të luftuar një gamë të gjerë programesh me qëllim të keq, të tilla si krimbat, trojanët, programet që modifikojnë skedarët e skedarëve, adware dhe spyware. Shumë mundësi për konfigurimin e sistemit (të tilla si "", "detyrat", etj.), Të cilat janë të shpërndara në të, kopjohen në ndërfaqen WinPatrol, e cila ju lejon të monitoroni shpejt dhe me lehtësi statusin e sistemit. Ju gjithashtu mund të përdorni WinPatrol për të filtruar kukit e padëshiruar dhe shtesat IE.

Që nga V19.0, WinPatrol është bërë " zgjidhje cloud". Shumica e funksioneve shtesë janë të disponueshme vetëm për përdoruesit me pagesë Versione plus. Komuniteti i përdoruesve WinPatrol ju lejon të mbështeteni në të mirën reagimet nëse shfaqen probleme. Për më tepër, të gjitha zgjidhjet për problemet e konsideruara janë të disponueshme për të dy përdoruesit demoni version me pagesë, dhe paguar.

Programi i parandalimit të ndërhyrjeve MJ Registry Watcher monitoron regjistrin dhe sistemin e skedarëve

Një mjet tjetër për të cilin ndoshta jo shumë njerëz e dinë, por që është mjaft i mirë. Kjo mjafton program i thjeshtë për të monitoruar regjistrin, skedarët dhe drejtoritë, gjë që garanton sigurinë e më së shumti vende të rëndësishme sistemin tuaj. Ai konsumon shumë pak burime të sistemit. Metoda e veprimit është shumë e thjeshtë. Çdo 30 sekonda programi anketon sistemin. Nëse është e nevojshme, koha e votimit mund të ndryshohet. Të gjitha cilësimet e shërbimeve janë ruajtur në skedari i konfigurimit, i cili është shumë i përshtatshëm kur ju duhet të jeni në gjendje të personalizoni shpejt programin për veten tuaj. MJ Registry Watcher jo vetëm që anketon sistemin për ndryshime, por gjithashtu merr pothuajse menjëherë kontrollin e shumicës së ndryshimeve në çelësat, skedarët dhe dosjet e regjistrit. Fshirja e çelësave në regjistër përgjohet gjithashtu si pjesë e një sondazhi të sistemit.

Lista e çelësave dhe skedarëve që do të monitorohen është plotësisht e konfigurueshme nga përdoruesi. Nuk ka nevojë të kesh frikë. MJ Registry Watcher ka listat e veta, e cila do t'i përshtatet shumicës së përdoruesve. Për të punuar me këtë mjet, përdoruesi duhet të ketë njohuri mesatare për sistemin. Ky mjet do të vlerësohet veçanërisht nga përdoruesit që preferojnë të ofrojnë mbrojtje me shumë nivele duke përdorur shumë të vogla shërbimet e specializuara. Shërbimi nuk kërkon instalim. Thjesht shkarkoni dhe ekzekutoni.

Programi përfshin gjithashtu: monitorimin e procesit, monitorimin e punës me skedarët dhe dosjet, monitorimin e postës elektronike dhe një modul për punën me karantinë.

Udhëzues i shpejtë (Lidhje për të shkarkuar programin falas për zbulimin dhe parandalimin e ndërhyrjeve)

Mbrojtësi i malware

Ofron mbrojtje gjithëpërfshirëse, duke përfshirë monitorimin e rrjetit.
Nuk do të jetë e lehtë për përdoruesit e zakonshëm ta kuptojnë atë, pasi Faqja kryesore në gjuhën kineze.
http://www.softpedia.com/get/Security/Secure-cleaning/Malware-Defender.shtml
-------------
1,9 MB 2,8 Softuer falas i pakufizuar Windows 2K/XP/2003/2008/Vista/7

WinPatrol

Ofron mbrojtje gjithëpërfshirëse.
Kur rri pezull mbi një ikonë në listë ekzekutimin e programeve(poshtë djathtas) tregon mesazhin "Scotty është aktualisht në patrullë", i cili nuk është shumë i zakonshëm.
http://www.winpatrol.com/
https://www.winpatrol.com/mydownloads/
900 kb 29.0.2013 Windows Freeware i pakufizuar
Versioni 64 bit i disponueshëm
  • Kategoria: E pakategorizuar

    • Aktivitet i shtuar hard disqet ose skedarë të dyshimtë në drejtoritë rrënjë. Pas hakimit të një kompjuteri, shumë hakerë skanojnë informacionin e ruajtur në të në kërkim të dokumenteve interesante ose skedarëve që përmbajnë hyrje dhe fjalëkalime për qendrat e shlyerjes bankare ose sistemet elektronike të pagesave si PayPal. Disa krimbat e rrjetit në mënyrë të ngjashme ata kërkojnë skedarë në disk me adresat e emailit, të cilat përdoren më pas për të dërguar email të infektuar. Nëse vëreni një aktivitet të rëndësishëm në disqet tuaja të ngurta edhe kur kompjuteri është i papunë dhe skedarët me emra të dyshimtë fillojnë të shfaqen në dosjet publike, kjo mund të jetë gjithashtu një shenjë se kompjuteri juaj është hakuar ose sistemi i tij operativ është infektuar me malware. ..

    Dyshimisht i gjatë trafiku në dalje. Nëse jeni duke përdorur një lidhje dial-up ose ADSL dhe vëreni një sasi jashtëzakonisht të madhe të daljeve trafiku i rrjetit(konkretisht, kur kompjuteri juaj është në punë dhe është i lidhur me internetin, por ju nuk po e përdorni), atëherë kompjuteri juaj mund të jetë hakuar. Një kompjuter i tillë mund të përdoret për të dërguar fshehurazi spam ose për të krijuar krimba të rrjetit.

    Rritja e aktivitetit të diskut të ngurtë ose skedarët e dyshimtë në drejtoritë rrënjësore. Pas hakimit të një kompjuteri, shumë hakerë skanojnë informacionin e ruajtur në të në kërkim të dokumenteve interesante ose skedarëve që përmbajnë hyrje dhe fjalëkalime për qendrat e shlyerjes bankare ose sistemet elektronike të pagesave si PayPal. Disa krimba të rrjetit kërkojnë në një mënyrë të ngjashme në disk për skedarë me adresa emaili, të cilat më pas përdoren për të dërguar email të infektuar. Nëse vëreni një aktivitet të rëndësishëm në disqet tuaja të ngurta edhe kur kompjuteri është i papunë dhe skedarët me emra të dyshimtë fillojnë të shfaqen në dosjet publike, kjo mund të jetë gjithashtu një shenjë se kompjuteri juaj është hakuar ose sistemi i tij operativ është infektuar me malware.

    Një numër i madh paketash nga e njëjta adresë ndalohen nga një mur mbrojtës personal. Pas identifikimit të një objektivi (për shembull, një sërë adresash IP për një kompani ose rrjeti i shtëpisë) hakerët zakonisht nisin skanerë automatikë, duke u përpjekur të përdorë një sërë shfrytëzimesh të ndryshme për të depërtuar në sistem. Nëse përdorni një mur zjarri personal (një mjet themelor në mbrojtjen kundër sulmeve të hakerëve) dhe vëreni një numër jashtëzakonisht të lartë paketash të ndaluara nga e njëjta adresë, atëherë kjo është një shenjë se kompjuteri juaj është nën sulm. Megjithatë, nëse muri juaj i zjarrit raporton se ndalon paketa të tilla, atëherë kompjuteri juaj ka shumë të ngjarë të jetë i sigurt. Megjithatë, shumë varet nga ajo funksionimin e shërbimeve të hapura për akses nga interneti. Për shembull, një mur i zjarrit personal mund të mos jetë në gjendje të përballojë një sulm që synon shërbimin FTP që funksionon në kompjuterin tuaj. NË në këtë rast Zgjidhja e problemit është bllokimi i përkohshëm i plotë i paketave të rrezikshme derisa përpjekjet për lidhje të ndalojnë.

    Shumica e mureve të zjarrit personal e kanë këtë veçori.

    Konstante mbrojtje antivirus kompjuteri juaj raporton praninë e trojanëve ose portave të pasme në kompjuter, megjithëse gjithçka tjetër funksionon mirë. Megjithëse sulmet e hakerëve mund të jenë komplekse dhe të pazakonta, shumica e hakerëve mbështeten në shërbimet e njohura të Trojanit për të marrë kontroll të plotë mbi një kompjuter të infektuar. Nëse antivirusi juaj raporton se ka kapur një malware të tillë, mund të jetë një shenjë se kompjuteri juaj është i hapur ndaj aksesit të paautorizuar në distancë.

    Kompjuterët UNIX:

    Skedarët me emra të dyshimtë në dosjen "/tmp". Shumë shfrytëzime në botën UNIX mbështeten në krijimin skedarë të përkohshëm V dosje standarde“/tmp”, të cilat jo gjithmonë fshihen pasi një sistem është hakuar. E njëjta gjë është e vërtetë për disa krimba që infektojnë sistemet UNIX; ata e rikompilojnë veten në dosjen /tmp dhe më pas e përdorin atë si dosjen e tyre kryesore.

    I modifikuar skedarë të ekzekutueshëm shërbimet e sistemit si "login", "telnet", "ftp", "finger" apo edhe më komplekse si "sshd", "ftpd" dhe të tjera. Pasi një sistem të jetë depërtuar, një haker zakonisht përpiqet të fitojë një terren duke vendosur një derë të pasme në një nga shërbimet e aksesueshme nga interneti, ose duke ndryshuar shërbimet standarde të sistemit të përdorura për t'u lidhur me kompjuterë të tjerë. Ekzekutues të tillë të modifikuar zakonisht përfshihen në rootkit dhe fshihen nga inspektimi i thjeshtë i drejtpërdrejtë. Në çdo rast, është e dobishme të ruhet baza e të dhënave me shumat e kontrollit të gjithë shërbimet e sistemit dhe periodikisht, duke u shkëputur nga interneti, në modalitetin me një përdorues, kontrolloni nëse ato kanë ndryshuar.

    Ndryshuar "/etc/passwd", "/etc/shadow" ose të tjera skedarët e sistemit në dosjen /etc. Ndonjëherë rezultati i një sulmi hakeri është shfaqja e një përdoruesi tjetër në skedarin /etc/passwd, i cili mund të hyjë nga distanca në sistem më vonë. Monitoroni çdo ndryshim në skedarin e fjalëkalimit, veçanërisht paraqitjen e përdoruesve me hyrje të dyshimta.

    Shfaqja e shërbimeve të dyshimta në "/etc/services". Instalimi i një dere të pasme në një sistem UNIX shpesh bëhet duke shtuar dy vargjet e tekstit te skedarët "/etc/services" dhe "/etc/ined.conf". Ju duhet t'i monitoroni vazhdimisht këta skedarë në mënyrë që të mos humbisni momentin kur shfaqen linja të reja që instalojnë një derë të pasme në një port të papërdorur ose të dyshimtë më parë.

Për të fituar akses në informacionin e kompanisë suaj, një sulmues duhet të kalojë nëpër disa shtresa sigurie. Në të njëjtën kohë, ai mund të shfrytëzojë dobësitë dhe cilësimet e gabuara stacionet e punës fundore, pajisjet e telekomunikacionit ose Inxhinieri sociale. Sulmet ndaj një sistemi informacioni (IS) ndodhin gradualisht: depërtimi duke anashkaluar politikat e sigurisë së informacionit (IS), përhapja në IS me shkatërrimin e gjurmëve të pranisë së tij, dhe vetëm atëherë vetë sulmi. I gjithë procesi mund të zgjasë disa muaj, apo edhe vite. Shpesh, as përdoruesi dhe as administratori i sigurisë së informacionit nuk janë të vetëdijshëm për ndryshimet jonormale në sistem dhe sulmin që po kryhet mbi të. E gjithë kjo çon në kërcënime për integritetin, konfidencialitetin dhe disponueshmërinë e informacionit të përpunuar në sistemin e informacionit.

Për t'iu kundërvënë sulmeve moderne, nuk mjaftojnë mjetet tradicionale të mbrojtjes, si muret e zjarrit, antiviruset, etj. Kërkohet një sistem monitorimi dhe zbulimi për sulmet dhe anomalitë e mundshme që zbaton funksionet e mëposhtme:

  • zbulimi i përpjekjeve për ndërhyrje në sistemet e informacionit;
  • zbulimin e sulmeve në rrjetin e mbrojtur ose në segmentet e tij;
  • gjurmimi i aksesit të paautorizuar në dokumente dhe komponentë sistemet e informacionit;
  • zbulimi i viruseve, malware, Trojans, botnets;
  • gjurmimi i sulmeve të synuara.

Është e rëndësishme të merret parasysh se nëse IP e kompanisë përpunon informacione që i nënshtrohen mbrojtjes së detyrueshme në përputhje me kërkesat Legjislacioni rus(për shembull, të dhënat personale), atëherë është e nevojshme të përdoren mjete të certifikuara të mbrojtjes që kanë kaluar procedurën e vlerësimit të konformitetit nga rregullatorët FSTEC i Rusisë dhe/ose FSB e Rusisë.

S-Terra OWL

Për shumë vite, kompania S-Terra CP ka prodhuar produkte VPN për organizata mbrojtje kriptografike të dhënat e transmetuara dhe muri i zjarrit. Në lidhje me nevojat e shtuara të përdoruesve për të rritur nivelin e përgjithshëm të sigurisë së IS, kompania S-Terra CSP ka zhvilluar ilaç i veçantë mbrojtjen e informacionit, duke siguruar zbulimin e sulmeve dhe aktiviteteve anormale.

S-Terra IDS është një mjet sigurie që lejon administratorët e sigurisë së informacionit të identifikojnë sulmet bazuar në analizën e trafikut të rrjetit. Në zemër të punës këtë mjet mbrojtja qëndron në përdorimin e mekanizmave të analizës së nënshkrimit.

Kur analizon trafikun e rrjetit duke përdorur metodën e nënshkrimit, administratori do të jetë gjithmonë në gjendje të përcaktojë saktësisht se cila paketë specifike ose grup paketash ka shkaktuar sensorin përgjegjës për zbulimin e aktivitetit anormal. Të gjitha rregullat janë të përcaktuara qartë, për shumë prej tyre mund të gjurmohet i gjithë zinxhiri: nga informacioni rreth detajeve të cenueshmërisë dhe metodave të shfrytëzimit të tij, deri te nënshkrimi që rezulton. Nga ana tjetër, baza e rregullave të nënshkrimit është e gjerë dhe përditësohet rregullisht, duke garantuar kështu mbrojtje e besueshme IP e kompanisë.

Për të minimizuar rreziqet nga sulmet thelbësisht të reja të ditës zero për të cilat nuk ka nënshkrime, produkti S-Terra IDS përfshin një metodë shtesë analize aktiviteti i rrjetit- heuristike. Kjo metodë e analizës së aktivitetit bazohet në rregulla heuristike, d.m.th. bazuar në parashikimin e aktivitetit të IS dhe krahasimin e tij me sjelljen normale "shabllon", të cilat formohen gjatë modalitetit të trajnimit të këtij sistemi bazuar në veçori unike. Për shkak të përdorimit këtë mekanizëm mbrojtje, S-Terra IDS ju lejon të zbuloni sulme të reja, të panjohura më parë ose çdo aktivitet tjetër që nuk bie nën ndonjë nënshkrim specifik.

Kombinimi i nënshkrimit dhe analizave heuristike ju lejon të zbuloni veprime të paautorizuara, të paligjshme, të dyshimta nga ana e shkelësve të jashtëm dhe të brendshëm. Një administrator i sigurisë së informacionit mund të parashikojë sulme të mundshme, si dhe të identifikojë dobësitë për të parandaluar zhvillimin e tyre dhe ndikimin në sistemin e informacionit të kompanisë. Zbulimi i shpejtë i kërcënimeve në zhvillim ju lejon të përcaktoni vendndodhjen e burimit të sulmit në lidhje me rrjetin e mbrojtur lokal, gjë që lehtëson hetimin e incidenteve të sigurisë së informacionit.

Tabela 1. Funksionaliteti i S-Terra SOV

Karakteristikat e produktit Pershkrim i detajuar
Opsionet e ekzekutimit Sistemi i harduerit dhe softuerit
Si Makine virtuale
sistemi operativ Debian 7
Përkufizimi i sulmit Analiza e nënshkrimit
Analiza heuristike
Kontrolli Ndërfaqja grafike
Linja e komandës
Regjistrimi i sulmeve Hyrja në regjistrin e sistemit
Shfaq në ndërfaqe grafike
Përditësimi i bazës së të dhënave të nënshkrimit Modaliteti jashtë linje
Modaliteti në linjë
Mekanizmat e alarmit Dalje në tastierën e administratorit
Email
Integrimi me sistemet SIEM
Puna me incidente Kontroll selektiv i objekteve individuale të rrjetit
Kërkoni, renditni, organizoni të dhënat në regjistri i sistemit
Aktivizimi/çaktivizimi i rregullave individuale dhe grupeve të rregullave
Mekanizmat shtesë të mbrojtjes Kontrolloni mbrojtjen e kanalit duke përdorur Teknologjitë VPN IPsec
sipas GOST 28147-89, GOST R 34.10-2001/2012 dhe GOST R 34.11-2001/2012
Monitorimi i integritetit të softuerit dhe konfigurimi i IDS
Certifikatat e Konformitetit E pritshme Certifikimi FSTEC Rusi: SOV 4, NDV 4, OUD 3

Sistemi i zbulimit të sulmit S-Terra SOV ka ndërfaqe miqësore për përdoruesit, menaxhimi dhe kontrolli kryhet në një kanal të sigurt duke përdorur teknologjinë IPsec duke përdorur algoritme vendase kriptografike GOST.

Përdorimi i S-Terra SOV si një komponent mbrojtës rritet niveli i përgjithshëm Siguria e IP-së për shkak të analizës së vazhdueshme të ndryshimeve në gjendjen e saj, identifikimit të anomalive dhe klasifikimit të tyre. Një ndërfaqe vizuale dhe funksionale në internet për menaxhimin dhe monitorimin e sistemit të zbulimit të ndërhyrjeve, si dhe disponueshmërinë shërbime shtesë menaxhimi, ju lejon të konfiguroni saktë sensorët e ngjarjeve, të përpunoni në mënyrë efektive dhe të paraqisni rezultatet e analizës së trafikut.

Diagrami i lidhjes S-Terra SOV

S-Terra SOV ndodhet në segment rrjet lokal(për shembull, një zonë DMZ), i gjithë trafiku që qarkullon në këtë segment kopjohet dhe ridrejtohet në pajisjen e sigurisë përmes portës së hapësirës "pasqyruese" të çelësit. Menaxhimi kryhet përmes një ndërfaqe të veçantë mbi një kanal të sigurt. Një skemë më e detajuar për përfshirje në IP të kompanisë është paraqitur në Figura 1.

Foto 1. Diagrami i lidhjes për S-Terra SOV të veçantë dhe S-Terra Gateway

Një pajisje mund të përdorë njëkohësisht S-Terra Gateway për enkriptimin e trafikut dhe murin e zjarrit, si dhe S-Terra SOV për zbulimin sulmet në rrjet. Diagrami i detajuar një përfshirje e tillë është paraqitur në Figura 2.

Figura 2. Diagrami i lidhjes bashkëpunimi S-Terra OWL dhe S-Terra Gateway

Zgjedhja e produktit

S-Terra SOV ofrohet si një kompleks softuerësh dhe harduerësh ose si një makinë virtuale për hipervizorë të njohur (VMware ESX, Citrix XenServer, Parallels, KVM).

Zgjedhja e një zbatimi specifik varet nga sasia e informacionit të transmetuar në rrjet, numri i nënshkrimeve të përdorura dhe faktorë të tjerë.

Nëse preferohet platforma harduerike, atëherë është e mundur të zgjidhni nga tre opsione për performancën e analizës së informacionit - për shpejtësi 10, 100 dhe 1000 Mbit/s.

Performanca e Virtual IDS mund të ndryshojë shumë dhe varet nga cilësimet e hipervizorit të përdorur dhe burimet e platformës harduerike në të cilën funksionon IDS virtuale.

Ju mund të merrni ndihmë për zgjedhjen e produkteve dhe pajisjeve, si dhe për llogaritjen e kostos së një zgjidhjeje për organizatën tuaj, duke kontaktuar menaxherët tanë:
- nga telefoni +7 499 940-90-61
– ose nga e-mail:
Ata patjetër do t'ju ndihmojnë!



Artikujt më të mirë mbi këtë temë

Çfarë është përpunimi i porosive në Aliexpress dhe çfarë duhet të dini për të
Çfarë është përpunimi i porosive në Aliexpress dhe çfarë duhet të dini për të
Karakteristikat e punës me programet e përpunimit të tekstit
Karakteristikat e punës me programet e përpunimit të tekstit
VK-Downloader - një program për shkarkimin audio dhe video në VKontakte Shkarkoni aplikacionin në VKontakte
VK-Downloader - një program për shkarkimin audio dhe video në VKontakte Shkarkoni aplikacionin në VKontakte
Kategoritë:
© 2024 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.