Глава 9. Выявление вторжений

Ценные веши должны быть защищены от кражи и разрушения. В некоторых домах устанавливаются сигнализации, которые могут отпугнуть воров, сообщить правоохранительным органам о взломе и даже предупредить владельцев о пожаре, возникшем в их доме. Это необходимые меры обеспечения целостности домов и безопасности домовладельцев.

Подобное страхование целостности и безопасности также следует применять к компьютерным системам и данным. Интернет облегчает передачу самой разной информации, от персональной до финансовой. В то же время он таит в себе много опасностей. Злонамеренные пользователи и взломщики рыщут в поисках добычи — неисправленных вовремя систем, систем с троянскими конями и сетей, в которых работают небезопасные службы. Чтобы администраторы и члены команды безопасности узнавали о взломе и реагировали на него в реальном времени, им необходимы средства сигнализации. Такими предупреждающими системами являются системы обнаружения вторжения.

9.1. Определение системы обнаружения вторжения

Системы обнаружения вторжения (intrusion detection system — IDS) — это работающие процессы или устройства, анализирующие активность в сети или системе на предмет неавторизованных и/или злонамеренных действий. Способы выявления аномалий системой обнаружения вторжения могут быть самыми разными; однако все системы IDS предназначены для поимки преступников на месте, прежде чем они действительно нанесут ущерб.

IDS защищает компьютер от атаки, незаконного использования и компрометации. Эта система также наблюдает за сетевой активностью, анализирует целостность данных, проводит аудит сетевой и системной конфигурации т.д. В зависимости от методов выявления, которые вы решили внедрять, использование IDS принесёт различные прямые и косвенные выгоды.

9.1.1. Типы IDS

Понимание, что такое IDS, и какие функции она обеспечивает, является ключевым в определении того, какой тип IDS следует включать в политику безопасности. В этом разделе обсуждаются понятия, связанные с IDS, функциональность IDS каждого типа и появление гибридных систем, реализующих различные инструменты и приёмы обнаружения в одном пакете.

Некоторые системы IDS основаны на знаниях и заранее предупреждают администраторов о вторжении, используя базу данных распространённых атак. Системы IDS, основанные на поведении, напротив, обнаруживают аномалии, которые часто являются признаком активности злоумышленников, отслеживая использование ресурсов. Некоторые IDS — отдельные службы, работающие в фоновом режиме и анализирующие активность пассивно, регистрируя все подозрительные пакеты извне. Другие мощные средства выявления вторжений получаются в результате сочетания стандартных системных средств, изменённых конфигураций и подробного ведения журнала с интуицией и опытом администратора. Найти средство, подходящее для вашей организации, можно, познакомившись с различными приёмами обнаружения вторжения.