Защита информации в корпоративных информационных системах
Категория реферата: Рефераты по коммуникации и связи
Теги реферата: шпоры на телефон, реферат по истории
Добавил(а) на сайт: Ryb'jakov.
Предыдущая страница реферата | 1 2 3 | Следующая страница реферата
Сетевая IDS.
Устройство, которое анализирует проходящие через него IP-пакеты, пытаясь найти в них признаки атаки по заранее определенным правилам и сигнатурам, называется сетевой IDS (NIDS). От традиционной IDS такие продукты отличаются тем, что они не только выискивают случаи ненормального и нестандартного использования сетевых протоколов, но и пытаются блокировать все несоответствия. Хотя NIDS и пользуется базой сигнатур известных атак, они могут также предотвратить и неизвестное им нападение, особенно если оно построено на аномальном использовании протоколов.
Коммутаторы седьмого уровня.
Сетевые устройства, которые определяют маршруты IP-пакетов в зависимости
от типа приложения, называются коммутаторами седьмого уровня (приложений).
Их можно использовать для разных целей: создание кластеров, балансировки
нагрузки, раздельного хранения данных по типам, а также для защиты.
Подозрительные пакеты такие устройства либо полностью уничтожают, либо
перенаправляют на специальный сервер для дальнейшего анализа. Этот тип IPS
хорошо отражает атаки, направленные на отказ в обслуживании и на совместный
взлом нескольких служб.
Экран приложений.
Механизм, который контролирует системные вызовы сетевых программ, называется экраном приложений (application firewall/IDS). Он отслеживает не сетевое взаимодействие, а поведение программ и библиотек, работающих с сетью. Такой экран может работать и по фиксированному набору правил, однако наибольший интерес представляют самообучающиеся продукты, которые вначале запоминают штатную работу приложения, а в последствии фиксируют или не допускают нештатное их поведение. Такие экраны блокируют неизвестные атаки, но их необходимо устанавливать на каждый компьютер и «переобучать» при изменении конфигурации приложений.
Гибридные коммутаторы.
Есть технологии, которые объединят в себе экраны приложений и коммутаторы седьмого уровня, - это гибридные коммутаторы. Они, в отличие от экранов приложений, имеют дело уже с IP-пакетами, в начале обучаясь штатным запросам, а все нештатные либо блокируя, либо направляя на специальный сервер для дальнейшего изучения. Они могут отразить и атаки на отказ в обслуживании, и неизвестные атаки, но их придется каждый раз переобучать заново при каждом изменении конфигурации системы.
Ловушки.
К категории IPS относятся также приложения-ловушки, которые пытаются активно вмешиваться в процесс нападения. Такие продукты, эмулируя работу других программ, провоцируют нападающего атаковать, а потом контратакуют его, стараясь одновременно выяснить его личность. Ловушки лучше всего комбинировать с коммутаторами – гибридными или седьмого уровня, чтобы реагировать не на основной поток информации, а только на подозрительные соединения. Ловушки используют скорее для устрашения и контратаки, чем для защиты.
Следует отметить, что IPS разных типов хорошо интегрируются в достаточно интеллектуальную систему защиты, каждый элемент которого хорошо дополняет другие. При этом они не конкурируют с уже существующими средствами информационной безопасности: межсетевыми экранами, IDS, антивирусами и др., поскольку дополняют их.
2. Профилактика получает одобрение.
Смогут ли системы предотвращения несанкционированных проникновений в
корпоративные сети справится со своей задачей? Этим вопросом озабочены не
только заказчики IPS, уже существующие и потенциальные, но и производители
систем обнаружения проникновений, пытающиеся понять, каким образом
справится с технологией, которая угрожает основам их бизнеса. Превосходство
IPS по сравнению с IDS выделяется особенно ярко на фоне растущих требований
клиентов к созданию более эффективных средств предотвращения
несанкционированных вторжений в их сети. Но поскольку технологии становятся
все сложнее, корпоративные клиенты чаще испытывают трудности при выявлении
различий между «истинными» IPS и их упрощенными версиями, а также при
интеграции IPS с различными элементами сетевых инфраструктур.
Роль работающих систем предотвращения вторжений трудно переоценить – многие специалисты по ИТ сегодня продолжают сегодня вынашивать систему профилактики атак, которые способны нанести компаниям очень серьезный ущерб. Эксперты в области безопасности предсказывают, что по мере совершенствования технологий IPS произойдет слияние систем IDS и межсетевых экранов, число механизмов IPS заметно увеличится, а производители средств анализа трафика и коммутирующего оборудования (в частности, Cisco Systems, F5 Networks и Nortel Networks) поведут борьбу за обладание короной IPS.
Некоторые аналитики, в том числе и специалисты компании Gartner, советуют своим клиентам воздержаться пока от крупных инвестиций в IDS и внимательно изучить все преимущества технологии IPS. «Организациям, уже вложившим в IDS серьезные средства и получившим якобы позитивные результаты, рекомендуем обратить внимание на производителей средств управление системами безопасности, в частности на компании ArcSight и NetForensics, - отметил вице-президент Gartner Джон Пескаторе. – Мы полагаем, что концепция IDS себя исчерпала. Она не представляет сегодня практически никакой ценности для корпоративных пользователей. Чтобы выжить, надо действовать быстрее, буквально со скорость прохождения информации по кабелю, и необходимо решать вопросы ложных срабатываний.
Ложные срабатывания – один из самых серьезных недостатков IDS –
представляет собой весьма обременительную ношу при нехватке опыта
обеспечения внутренней безопасности, а постоянно сокращающиеся бюджеты
заставляют вновь и вновь поднимать вопросы, связанные с приоритетами
обработки соответствующих событий. Технологии IPS позволяют избежать
получения фальсифицированных позитивных результатов благодаря различным
механизмам. Среди них, в частности, анализ сигнатур, изменяющихся в ходе
проверки сессии, идентификация сетевых протоколов и пакетов с целью
проверки на предмет обнаружения в них внезапных изменений шаблонов трафика
(как это происходит в атаке, рассчитанной на отказ в обслуживании) или
таких изменений, которые не предусмотрены установленными правилами. «Иногда
люди пытаются бороться с каждым отдельно взятым уязвимым местом, хотя это
вовсе не является необходимостью, особенно сегодня, когда штат организаций
заметно сократился, - отмечает старший сетевой инженер компании Tower
Records П. Дж. Кастро. – Мы должны сконцентрироваться на том, что может
нанести реальный ущерб».
Усилия производителей средств безопасности, целью которых является успешное внедрение IPS, сводятся на нет наличием многочисленных брешей в системах безопасности и зачастую необходимостью проведения дорогостоящих процедур по устранению ущерба от вирусов. Широкое распространение вирусов последние год-полтора стало последней каплей, переполнившей чашу терпения многих клиентов. Глобальные эпидемии Nimba, Klez, Code Red и т.д. привели руководителей компаний к мысли о том, что создание эффективной системы ИТ- самообороны станет одним из важнейших факторов обеспечения нормального функционирования организаций в будущем.
«Все эти вирусы нанесли нам немалый урон, - заметил директор
информационной службы университета штата Флорида Том Данфорд. – В отдельных
случаях наше учебное заведение фактически оказывалось на грани выживания.
Удару подверглись не отдельные компьютеры, а целые классы, и нам пришлось
потратить немало денежных средств НАТО, чтобы очистить машины от вирусов и
ликвидировать нанесенный ущерб. Безусловно, все это отняло много времени и
отрицательно сказалось на производительности труда и учебном процессе. В
конечном итоге, мы пришли к выводу, что добиться требуемого уровня
безопасности можно лишь при условии проведения необходимых профилактических
мероприятий».
Сегодня, к сети учебного заведения как внутри студенческого городка, так
и за его пределами подключено более 10 тыс. пользователей, и Данфорду
хотелось бы, чтобы система IPS обеспечивала выявление подозрительных
действий в сети, их блокировку и последующее изучение с внутренней стороны
межсетевого экрана. В декабре прошлого года в университете была установлена
сетевая консоль UnityOne-200 компании TippingPoint Technologies, позволяющая осуществлять поиск потенциальных источников угроз. Результаты
оказались обнадеживающими. Несмотря на наличие в сети множества серверов с
Microsoft SQL Server, червь Slammer не смог проникнуть ни в одну из
университетских систем.
Аппаратные консоли и IPS-системы TippingPoint UnityOne содержат механизм
безопасной обработки сетевого трафика, в основу которого положены средства
очень быстрого анализа заголовков сетевых пакетов. «Для успешного отражения
атак путем блокирования подозрительных пакетов сразу после обнаружения
угрозы, решения IPS просто необходимо сделать частью сетевой
инфраструктуры, - подчеркивает технический директор TippingPoint Марк
Виллебек-Лемер. – Задержка их срабатывания не должна превышать нескольких
микросекунд. Поскольку в названиях IPS и IDS имеются две общие буквы, мы
всегда вели разговор о следующем поколении семейства продуктов, хотя и
имели в виду действительно разные вещи. Атаки обрушиваются на нас не только
по всему внешнему периметру, но и с внутренней стороны. Система IPS будет
эффективной только в том случае, если, интегрировав ее сетевую структуру, вы сможете отражать удары, наносимые с любого направления. IPS нельзя более
считать лишь точкой доступа к глобальной сети».
3. Некоторые недостатки систем IPS.
Сегодня, аббревиатуру IPS можно увидеть в заголовках многих популярных
изданий, однако приверженцы IDS, в частности представители компании
Internet Security Systems (ISS), подвергают сомнению прогнозы, согласно
которым системы IDS в ближайшее время уйдут в небытие, а клиентам
понадобятся еще более эффективные средства сетевой защиты. «Наличие замка
на входной двери вовсе не означает отказ от охранной сигнализации», -
заметил технический директор ISS Крис Клаус.
В то же время нельзя отрицать, что производители систем IPS оказывают давление на рынок IDS, с тем чтобы в выгодном свете представить свои собственные разработки. Компания ISS в числе многих переходит сейчас от подхода, предусматривающего совершенствование ответных действий при обнаружении атак, к разработке технологий, реализующих превентивные меры защиты. В частности, такая стратегия может опираться на внедрение управляющих служб, собирающих информацию о серверах и настольных компьютерах, анализирующих журналы операционных систем и прочие сведения, позволяющие оценить текущее положение дел.
«Разработчикам IPS сегодня приходится преодолевать скептический настрой
клиентов, порождаемый незавершенными проектами в области обеспечения
безопасности информационных систем и невыполненными обещаниями предоставить
«волшебную палочку», с помощью которой можно будет защититься от чего
угодно», - пояснил начальник службы безопасности компании Radianz Ллойд
Хейшн.
Трудности, обусловленные необходимостью глубокого изучения сетевого трафика и постоянного мониторинга в онлайновом режиме, говорят о том, что семена IPS нельзя бросать в неподготовленную почву.
Рекомендуем скачать другие рефераты по теме: реферат развитие, контрольные работы 9 класс.
Предыдущая страница реферата | 1 2 3 | Следующая страница реферата