Виявлення атак.Захист периметра комп'ютерних мереж. Керування механізмами захисту (1)

1. Методи виявлення атак

1.1. Методи на основі сигнатур

1.2. Методи на основі аномалій

2. Безпека мережі

2.1. це заходи,які захищають інформаційну мережу від несанкціонованого доступу, випадкового або навмисного втручання в роботу мережі або спроб руйнування її компонентів

3. Реалізація атак здійснюються в три етапи

3.1. Перший,підготовчій, етап полягає в пошуку передумов для здійснення атаки

3.2. Пошук вразливостей, використання яких робить можливим реалізацію атаки

3.3. На третьому етапі атака завершується, замітаються сліди т.д.

4. Класифікація

4.1. За способом виявлення атаки

4.1.1. Виявлення аномального поводження

4.1.2. Виявлення зловживань

4.2. За способом збору інформації про атаку

4.3. За способом реагування

4.3.1. Пасивні просто фіксують факт атаки, записують дані у файл журналу

4.3.2. Активні намагаються протидіяти атаці

5. Аналіз активності атак

5.1. Статичні системи виявлення атак

5.1.1. Роблять знімки середовища та здійснюють їх аналіз,розшукуючи вразливе програмне забеспечення

5.2. Динамічні системи виявлення атак

5.2.1. Здійснюють моніторинг у реальному часі всіх дій, що відбуваються у системі, переглядуючи файли аудиту або мережні пакети.

5.3. Мережеві системи виявлення атак

5.3.1. Здійснюють контроль усього трафіку даних всієх підмережі та порівнюють трафік,який передається у підмережі з бібліотекою відомих атак

5.4. Хостові системи виявлення атак

5.4.1. Встановлюються

6. Однією з умов безпечної роботи в інформаційній системі є дотримання користувачем ряду правил, які перевірені на практиці і показали свою високу ефективність. Їх декілька:

6.1. Використання програмних продуктів, отриманих законним офіційним шляхом. Імовірність наявності вірусу в піратської копії у багато разів вище, ніж в офіційно отриманому програмному забезпеченні.

6.2. Дублювання інформації. Перш за все, необхідно зберігати дистрибутивні носії програмного забезпечення. При цьому запис на носії, що допускають виконання цієї операції, повинна бути, по можливості, заблокована. Слід особливо подбати про збереження робочої інформації. Переважно регулярно створювати копії робочих файлів на знімних машинних носіях інформації із захистом від запису. Копіюється або весь файл, або тільки що вносяться зміни. Останній варіант застосуємо, наприклад, при роботі з базами даних.

6.3. Регулярне оновлення системного ПЗ. Операційну систему необхідно регулярно оновлювати і встановлювати все виправлення безпеки від Microsoft та інших виробників, щоб усунути існуючі уразливості програмного забезпечення.

6.4. Обмеження доступу користувачів до налаштувань операційної системи і системним даними. Для забезпечення стабільної роботи системи досить часто потрібно обмежувати можливості користувачів, що можна зробити або за допомогою вбудованих засобів Windows, або за допомогою спеціалізованих програм, призначених для управління доступом до комп'ютера. У корпоративних мережах можливе застосування групових політик в мережі домену Windows.

6.5. Для максимально ефективного використання мережевих ресурсів необхідно вводити обмеження доступу авторизованих користувачів до внутрішніх і зовнішніх мережевих ресурсів і блокувати доступ неавторизованих користувачів.

6.6. При роботі з загальними ресурсами в відкритих мережах (наприклад, Інтернет) використовувати тільки перевірені мережеві ресурси, які не мають шкідливого контенту. Не слід довіряти всієї що надходить на комп'ютер інформації - електронних листів, посилань на Web-сайти, повідомленнями на Інтернет-пейджери. Категорично не рекомендується відкривати файли і посилання, що приходять з невідомого джерела.