Требования к системам обнаружения и предотвращения компьютерных атак

Loading...

From the course by National Research University Higher School of Economics

Менеджмент информационной безопасности

12 ratings

National Research University Higher School of Economics

Менеджмент информационной безопасности

12 ratings

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

From the lesson

Системы обнаружения и предотвращения компьютерных атак

Добро пожаловать на пятую неделю курса! Данный модуль пригодится Вам для расширения знаний в области информационной безопасности. После окончания этой недели Вы сможете: оценить необходимость использования систем обнаружения и предотвращения атак в конкретной информационной системе; сформулировать рекомендации по выбору конкретной системы обнаружения атак, предложить вариант выбора системы обнаружения атак; оценить различные варианты размещения компонентов (в первую очередь, сенсоров) системы обнаружения и предотвращения атак; сформулировать рекомендации по взаимодействию персонала и системы обнаружения и предотвращения компьютерных атак. Обсуждение содержания недели доступно на форуме, желаем успехов в освоении материала!

Назначение систем обнаружения и предотвращения компьютерных атак10:45

Понятие компьютерной атаки10:40

Требования к системам обнаружения и предотвращения компьютерных атак8:07

Классификация систем обнаружения и предотвращения компьютерных атак4:30

Системы анализа защищенности9:02

Системы обнаружения атак9:07

Системы контроля целостности6:31

Системы анализа журналов регистрации5:15

Размещение систем обнаружения и предотвращения атак в информационной системе7:18

Критерии выбора систем обнаружения и предотвращения компьютерных атак5:07

Meet the Instructors

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Сформулировав понятие компьютерной атаки,

то есть по сути обсудив то, от чего требуется защищаться,

теперь перечислим требования к системам обнаружения и предотвращения компьютерных

атак, то есть сформулируем задачу, которую мы перед ними поставим, поймем, чего бы

нам хотелось от таких систем, что бы они могли делать, чего бы мы хотели от них.

Основное требование, разумеется,

— автоматизация процесса обнаружения атак с минимальным участием персонала.

Здесь стоит сказать, что большинство компьютерных атак может быть обнаружено

путем изучения журналов регистрации системы, путем отслеживания

различных действий в информационной системе.

Но проблема заключается в том,

что для человека это задача практически неподъемная: журналов регистрации много,

а для того чтобы оперативно реагировать на возникающие угрозы и на реализуемые

компьютерные атаки, необходимо их изучать практически в режиме реального времени,

то есть если администратор будет изучать их с запозданием, за неделю, допустим,

истекшую, а быстрее у него может не получаться, если этих журналов много,

то, соответственно, оперативно реагировать на атаки не получится,

нарушитель будет почти всегда достигать своей цели.

Поэтому основное требование, зачем нужны такие системы,

— это автоматизация такого процесса.

То есть по сути мы создаем некую систему, некоего робота, может быть, даже, которая

одновременно следит за всеми видеокамерами и принимает решения, что там происходит.

Но гипотетическому такому сотруднику охраны на экраны,

на которые отображаются изображения с камер, следить проще, во-первых,

и все визуально понятно, во-вторых, сразу видно,

где происходит что-то несанкционированное, а в случае с компьютерными атаками

требуется еще и понимание того, что же в журналах регистрации есть и насколько

та или иная запись свидетельствует о том, что начинается компьютерная атака.

Вот именно из-за значительного объема информации и из-за того, что персонал

должен быть квалифицированным, весьма желательно переложить эту задачу

— изучения журналов регистрации и отслеживания всей информации,

приходящей из различных средств и модулей слежения за процессами в информационной

системе, — хотелось бы переложить это на некую программно-аппаратную

или программную систему, то есть систему обнаружения и предотвращения атак.

Задачи, которые мы перед такой системой хотели бы поставить,

можно перечислить следующим образом.

Контроль всех событий, особенно действий пользователей,

в автоматизированной системе.

Поскольку каждый пользователь, действуя халатно, у нас может быть нарушителем,

весьма желательно следить за действиями пользователя.

Ну, кроме того, далее, когда мы будем говорить про непосредственно системы

обнаружения уже реализуемых атак, одним из способов такой деятельности

будет составление так называемых профилей ее пользователя,

то есть некоей статистической картины,

которая описывает повседневные действия пользователя, и поиск аномалий,

то есть отклонений от этой усредненной картины в действиях пользователя.

Ну, поскольку пользователь,

являющийся легально зарегистрированным в автоматизированной системе,

может не только действовать халатно, но и быть вполне злоумышленным нарушителем или

вступить в сговор с каким-то другим, более серьезным нарушителем.

Еще одна задача — это снижение трудозатрат сотрудников службы безопасности,

то, что напрямую коррелирует с основной задачей систем обнаружения атак.

Далее, упрощение обработки значительных объемов информации и упрощение

управления средствами обеспечения информационной безопасности.

То есть три последние задачи из этого списка по сути связаны с тем,

что эта система должна заменить как можно больше сотрудников службы безопасности.

Но, как мы обсудим далее, полностью их заменить она все же не в состоянии.

Вмешательство человека все-таки требуется,

хотя и его удается значительно сократить благодаря использованию подобных систем.

Ну, кроме того,

системы обнаружения и предотвращения атак могут решать еще ряд задач,

которые уже не связаны напрямую с основной задачей, но также могут выполняться.

Контроль эффективности и корректности работы сервиса межсетевого экранирования,

то есть проверка того, как настроен межсетевой экран,

насколько он справляется со своими задачами, контроль электронной почты,

например, на предмет вредоносных вложений, и контроль посещаемых ресурсов сети

Интернет, блокирование нежелательных ресурсов.

Если есть известный перечень вредоносных ресурсов сети Интернет,

то есть тех, при посещении которых есть угроза, например,

несанкционированной установки вредоносного программного обеспечения в систему или

реализации каких-то вредоносных воздействий на систему,

то система обнаружения атак может такие ресурсы блокировать, а кроме того,

отслеживать, какие ресурсы посещают пользователи, например,

с целью того, чтобы в дальнейшем выявить, откуда взялся вирус в системе.

Система обнаружения атак объективно способна решать следующие задачи.

Повысить фактический уровень защищенности автоматизированной системы за счет того,

что некоторые воздействия, как минимум некоторые, которые

могут быть реализованы в обход политики безопасности, не нарушая по сути ее,

в обход, назовем их так, «штатных средств защиты», могут быть пресечены.

Повышение осведомленности службы безопасности о просходящих в

автоматизированной системе процессов,

безусловно, за счет автоматизации обработки журналов регистрации,

за счет расстановки дополнительных сенсоров, о которых мы далее поговорим,

— такая система способна осведомленность службы безопасности повысить.

Контроль деятельности пользователя можно полностью возложить на подобную систему.

При этом этот контроль может быть полным и пригодным для обработки различными

статистическими средствами, то есть вычисления некоего профиля пользователя.

И отслеживание изменений объектов информационной системы и их

параметров также можно возложить на подобную систему.

Ну, в этом случае можно даже ввести некую историю, например,

изменение прав какого-то файла для того, чтобы, опять же,

можно было затем ретроспективно восстановить картину атаки, понять,

кто из пользователей повысил свои полномочия, добавил себе право,

например, записывать в какой-то файл, кто затем этим воспользовался, может быть,

он не для себя, а для кого-то другого повысил эти права,

злонамеренно действующий или введенный в заблуждение администратор, и так далее...

Всю цепочку можно таким образом распутать.

Помимо перечисленного,

системы обнаружения атак могут обнаруживать уязвимые настройки и ошибки

конфигурации автоматизированных систем — этим занимаются системы обнаружения атак,

относящиеся к категории анализаторов уязвимостей, мы поговорим о таких сегодня.

Обнаружение фактически существующих уязвимостей автоматизированной

системы также может быть такими системами реализовано.

Наконец, системы обнаружения атак хорошо справляются с поиском

известных атак по сигнатурам и снижают требования к персоналу службы

безопасности за счет того, что обучить сотрудника, во-первых,

управлять системой обнаружения атак порой проще,

чем научить его лично выявлять различные вредоносные воздействия в

журналах регистрации в потоке записей, и, с другой стороны, требуется

меньше просто сотрудников этой службы безопасности, поскольку значительная

часть их действий может быть возложена на эту автоматизированную систему.

Имеется в виду система обнаружения и предотвращения атак.

[МУЗЫКА]

[МУЗЫКА]

Explore our Catalog

Join for free and get personalized recommendations, updates and offers.

Coursera provides universal access to the world’s best education, partnering with top universities and organizations to offer courses online.

© 2018 Coursera Inc. All rights reserved.

Download on the App Store

Get it on Google Play