Протоколирование и аудит

Протоколирование и сетевой аудит

Протоколирование и аудит

Протоколирование — это сбор и накопление информации о событиях, происходящих в информационной системе в процессе ее функционирования.

Аудит — это анализ накопленной информации, проводимый оперативно или периодически (например, один раз в день).

Реализация протоколирования и аудита в системах защиты преследует следующие основные цели:

•обеспечение подотчетности пользователей и администраторов;

•обеспечение возможности реконструкции последовательности событий;

•обнаружение попыток нарушения информационной безопасности;

•предоставление информации для выявления анализа проблем.

Принцип работы систем обнаружения нарушения информационной безопасности заключается в том, что отслеживаются аномалии сетевого трафика. Отклонения в большинстве случаев являются признаком сетевой атаки.

Например, нетипичная длина сетевого пакета, неполная процедура установления соединения — все эти критерии фиксируются системами обнаружения атак (СОВ). У данного способа обнаружения атак был и остается один существенный недостаток — он имеет дело с уже свершившимися событиями, т.е.

с уже реализованными атаками. Знания о совершенных несанкционированных действиях позволяют предотвратить повторение этих действий.

Примеры вопросов

1. Протоколирование действий пользователей дает возможность:

•решать вопросы управления доступом;

•восстанавливать утерянную информацию;

•обеспечивать конфиденциальность информации;

•реконструировать ход событий при реализации угрозы безопасности информации?

2.Сетевой аудит включает:

• выборочный анализ действий пользователей в сети;

• протоколирование действий всех пользователей в сети;

• анализ всех действий пользователей в сети;

• анализ безопасности каждой новой системы (как программной, так и аппаратной) при ее инсталляции в сеть?

Экранирование

Экран контролирует информационные потоки между узлами сети. Контроль потоков состоит в их фильтрации с выполнением некоторых преобразований.

Фильтрация информационных потоков осуществляется межсетевыми экранами на основе набора правил, определяемых политикой безопасности организации. Межсетевые экраны производят логический анализ получаемой информации. При этом учитываются содержание информации, порт, через который поступил сетевой запрос, и т.д.

Примеры вопросов

1. Какое средство наиболее эффективно для защиты от сетевых
атак:

• использование сетевых экранов, или Firewall;

• посещение только «надежных» интернет-узлов;

• использование антивирусных программ;

• использование только сертифицированных программ-браузеров при доступе к сети Интернет?

2. Принципиальное отличие межсетевых экранов (МЭ) от систем обнаружения атак (СОВ) заключается в том, что:

• принципиальных отличий МЭ от СОВ нет;

• МЭ работают только на сетевом уровне, а СОВ — еще и на физическом;

• МЭ были разработаны для активной или пассивной защиты, а СОВ -для активного или пассивного обнаружения;

• МЭ были разработаны для активного или пассивного обнаружения, а СОВ — для активной или пассивной защиты?

Шифрование

Различают два основных метода шифрования: симметричный и асимметричный. В первом из них один и тот же ключ (хранящийся в секрете) используется и для шифрования, и для расшифровки данных.

Во втором используются два ключа.

Один из них несекретный (он может публиковаться вместе с адресом пользователя), используется для шифрования сообщения, другой, секретный (известный только получателю) — для расшифровки.

Криптография необходима для реализации трех сервисов безопасности: шифрования; контроля целостности и аутентификации.

Пример вопроса

Криптографическое преобразование информации — это:

•ограничение доступа;

•резервное копирование;

•использование системы паролей;

•шифрование?

Электронная подпись

Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Алгоритм шифрования подписи должен определять секретный ключ пользователя, известный только владельцу ключа.

Алгоритм проверки правильности подписи должен определять открытый ключ пользователя, известный абонентам-получателям.

При таком подходе воспользоваться подписью может только владелец ключа, а проверить ее подлинность — любой абонент, которому передан открытый ключ, путем дешифрования сообщения этим ключом.

Пример вопроса

1. Электронно-цифровая подпись позволяет:

• удостовериться в истинности отправителя и целостности сообщения;

• восстанавливать поврежденные сообщения:

• пересылать сообщение по секретному каналу;

• зашифровать сообщение для сохранения его секретности.

Антивирусная защита

Классификация вирусов. Компьютерный вирус — это программа, способная к самостоятельному размножению и функционированию, и имеющая защитные механизмы от обнаружения и уничтожения. В настоящее время известно более 5000 программных вирусов, которые можно классифицировать по различным признакам.

В зависимости от среды обитания вирусы подразделяются на сетевые, файловые и загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы инфицируют главным образом исполняемые файлы с расширениями СОМ и ЕХЕ.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска.

По способу заражения вирусы делятся на резидентные и нерезидентные.

Резидентные вирусы при заражении компьютера помещаются в оперативную память. Они перехватывают обращения операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряются в них.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия, можно лишь выделить основные типы:

•простейшие вирусы (вирусы-паразиты) изменяют содержимое файлов и секторов диска и могут быть достаточно легко
обнаружены и уничтожены;

•вирусы-репликаторы (черви) распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Вирусы-черви не изменяют содержимое файлов, однако они очень опасны, так как

уменьшают пропускную способность сети и замедляют работу серверов;

•вирусы-невидимки (стеле-вирусы) очень трудно обнаруживаются и обезвреживаются, так как они перехватывают обращения операционной системы к пораженным файлам и секторамдисков и подставляют вместо своего тела незараженные участки диска;

• вирусы-мутанты содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса
не имеют ни одной повторяющейся цепочки байтов;

• квазивирусные, или «троянские», программы не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков или собирают на компьютере информацию, не

подлежащую разглашению.

Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с носителя информации, содержащего вирус.

Основные признаки появления вирусов:

•медленная работа компьютера, частые зависания и сбои;

•исчезновение файлов и каталогов или искажение их содержимого;

•изменение размера, даты и времени модификации файлов;

•значительное увеличение количества файлов на диске;

•уменьшение размера свободной оперативной памяти;

•вывод на экран непредусмотренных сообщений или звуковых сигналов.

Примеры вопросов

1. Вирусы распространяются:

•при чтении файла;

•при выполнении исполняемого файла;

• при создании файла;

• при копировании файла?

2. Основным путем заражения вирусами по сети является:

• HTML-документ;
. SMS;

• почтовое сообщение;

• сообщения с Интернет-пейджера?

3. Вирусы по способу заражения среды обитания подразделяются:

• на растровые — векторные;

• на резидентные — нерезидентные;

•на физические — логические;

•па цифровые — аналоговые?

4. Файловые вирусы поражают:

•аппаратную часть компьютера;

•оперативную память;

•системные области компьютера;

•программы на внешних носителях памяти?

5. Сетевые черви — это:

•программы, которые изменяют файлы на дисках и распространяются в пределах компьютера;

•программы, распространяющиеся только при помощи электронной почты через Интернет;

•программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в операционную систему компьютера, находят адреса других компьютеров или
пользователей и рассылают по этим адресам свои копии;

•вредоносные программы, действия которых заключается в создании сбоев при питании компьютера от электросети?

6. Троянской программой является:

•программа, проникающая на компьютер пользователя через Интернет;

•вредоносная программа, которая сама не размножается, а выдает себя за что-то полезное, тем самым пытаясь побудить пользователя переписать и установить на свой компьютер программу
самостоятельно;

•программа, вредоносное действие которой выражается в удалении или модификации системных файлов компьютера;

•программа, заражающая компьютер независимо от действий пользователя?

7. Заражение компьютерным вирусом не может проявляться как:

•вибрация монитора;

•изменение даты и времени модификации файлов;

•замедление работы компьютера;

•появление на экране непредусмотренных сообщений?

Классификация антивирусных программ.Антивирусные программы подразделяются на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (им-мунизаторы).

Программы- детекторыпозволяют обнаруживать файлы, зараженные одним из известных вирусов. Эти программы проверяют файлы на указанном пользователем логическом диске на наличие в них специфической для данного вируса комбинации байтов.

При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Большинство программ-детекторов имеют режимы лечения или уничтожения зараженных файлов.

Программы-детекторы, как правило, не способны обнаруживать в памяти компьютера «невидимые» вирусы.

Программы-ревизоры запоминают сведения о состоянии системы (до заражения), после чего на всех последующих этапах работы программа-ревизор сравнивает характеристики программ и системных областей дисков с исходным состоянием исообщает пользователю о выявленных несоответствиях.

Как правило, сравнение состояний производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, контрольная сумма файла, дата и время последней модификации.

Многие программы-ревизоры могут отличать изменения в файлах, сделанные пользователем, от изменений, вносимых вирусом, так как вирусы обычно производят одинаковые изменения в разных программных файлах.

Программы-доктора, или фаги — программы, которые не только обнаруживают зараженные файлы и системные области дисков, но и «лечат» их в случае заражения.

Вначале своей работы фаги ищут вирусы в оперативной памяти, уничтожают их, после чего переходят к «лечению» файлов. Среди фагов можно выделить полифаги, т.е.

программы-доктора, предназначенные для поиска иуничтожения большого количества вирусов.

Программы-фильтры, или «сторожа» располагаются в оперативной памяти компьютера и перехватывают обращения к операционной системе, которые могут использоваться вирусами для размножения и нанесения вреда программной среде:

•попытки коррекции загрузочных файлов;

•изменение атрибутов файлов;

•прямая запись на диск по абсолютному адресу;

•запись в загрузочные сектора диска;

•загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия, «сторож» сообщает об этом пользователю и предлагает разрешить или запретить выполнение соответствующей операции. Программы-фильтры позволяют обнаружить вирус в программной среде на самых ранних этапах его существования, еще до размножения.

Программы-вакцины (или иммунизаторы) — резидентные программы, предотвращающие заражение файлов. Вакцины модифицируют программные файлы и диски таким образом, что это не отражается на их работе, но тот вирус, откоторого производится вакцинация, считает эти программы или дискиуже зараженными и поэтому в нихне внедряется.

Примеры вопросов

1. Различают антивирусные программы:

• репликаторы;

• ревизоры;

•детекторы или фаги;

•фильтры?

2.Программы-ревизоры в процессе своей работы проверяют:

• длину файла;

• версию программы;

• дату и время последней модификации;

•контрольные суммы файлов?

3.Программы-ревизоры:

• относятся к самым надежным средствам защиты от вирусов;

• обнаруженные изменения в системе постоянно выводят на экран;

• осуществляют сравнение состояний системы при выходе из нее;

• постоянно сравнивают текущее состояние системы с исходным?

4.Программы-фильтры предназначены для обнаружения таких подозрительных действий как:

• попытки изменения атрибутов файлов;

• попытки копирования файлов;

• попытки загрузки резидентной программы;

•попытки коррекции файлов с расширениями СОМ и ЕХЕ?

5.Программы вакцины:

• уничтожают вирусы;

• модифицируют программные файлы таким образом, чтобы они воспринимались как зараженные, но это не отражалось на их работе;

• выявляют зараженные файлы;

[1] Экспресс подготовка студентов

Статьи к прочтению:

  • Протоколы в работе internet
  • Протокол передачи данных bitbus

:

Источник: http://csaa.ru/protokolirovanie-i-setevoj-audit/

Лекция 11 Протоколирование, аудит и прочие направления обеспечения безопасности

Протоколирование и аудит

Лекция 11

Протоколирование, аудит и прочие направления обеспечения безопасности

Средства протоколирования (регистрации событий) и аудита (анализа протоколов регистрации) всегда были важными направлениями обеспечения безопасности.

Протоколирование подразумевает сбор и накопление информации о событиях, происходящих в СОИ. Протоколирование помогает следить за пользователями и реконструировать прошедшие события. Слежка важна в первую очередь как профилактическое средство.

Можно надеяться, что многие воздержатся от нарушений безопасности, зная, что их действия фиксируются.

Реконструкция событий позволяет проанализировать случаи нарушений, понять, почему они стали возможны, оценить размеры ущерба и принять меры по недопущению подобных нарушений в будущем.

Аудит — это анализ накопленной информации, проводимый оперативно (в реальном времени) или периодически (например, раз в день).

Реализация протоколирования и аудита преследует следующие главные цели:

  • обеспечение подотчетности пользователей и администраторов;

  • обеспечение возможности реконструкции последовательности событий;

  • обнаружение попыток нарушения информационной безопасности;

  • предоставление информации для выявления и анализа проблем.

Регистрация и оперативное оповещение о событиях безопасности

Механизмы регистрации предназначены для получения и накопления (с целью последующего анализа) информации о состоянии ресурсов системы и о действиях субъектов, признанных администрацией СОИ потенциально опасными для системы.

Анализ собранной средствами регистрации информации позволяет выявить факты совершения нарушений, характер воздействий на систему, определить, как далеко зашло нарушение, подсказать метод его расследования и способы поиска нарушителя и исправления ситуации.

Дополнительно, средства регистрации позволяют получать исчерпывающую статистику по использованию тех или иных ресурсов, межсетевому трафику, использованию сервисов, попыткам несанкционированного доступа и т. п.

Кроме записи сведений об определенных событиях в специальные журналы для последующего анализа средства регистрации событий могут обеспечивать и оперативное оповещение администраторов безопасности (при наличии соответствующих возможностей по передаче сообщений) о состоянии ресурсов, попытках НСД и других действиях пользователей, которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций.

Еще одна особенность протоколирования и аудита — зависимость от других средств безопасности. Идентификация и аутентификация служат отправной точкой подотчетности пользователей, логическое управление доступом защищает конфиденциальность и целостность регистрационной информации. Для защиты привлекаются и криптографические методы.

При регистрации событий безопасности в системном журнале обычно записывается по крайней мере следующая информация:

  1. дата и время события;

  2. идентификатор субъекта (пользователя, программы) — инициатора действия;

  3. действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа);

  4. результат действия (успех или неудача);

  5. источник запроса (например, имя терминала);

  6. имена затронутых объектов (например, открываемых или удаляемых файлов);

  7. описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта);

  8. метки безопасности субъектов и объектов события.

Диспетчер доступа, контролируя множество событий безопасности, происходящих в системе, тесно взаимодействует с подсистемами регистрации событий и оперативного оповещения об их наступлении. Он обеспечивает обнаружение и регистрацию до нескольких сотен типов событий. Примером таких событий могут служить:

  1. вход пользователя в систему;

  2. вход пользователя в сеть;

  3. неудачная попытка входа в систему или сеть (неправильный ввод имени или пароля);

  4. подключение к файловому серверу;

  5. запуск программы;

  6. завершение программы;

  7. оставление программы резидентно в памяти;

  8. попытка открытия файла, недоступного для чтения;

  9. попытка открытия на запись файла, недоступного для записи;

  10. попытка удаления файла, недоступного для модификации;

  11. попытка изменения атрибутов файла, недоступного для модификации;

  12. попытка запуска программы, недоступной для запуска;

  13. попытка получения доступа к недоступному каталогу;

  14. попытка чтения/записи информации с диска, недоступного пользователю;

  15. попытка запуска программы с диска, недоступного пользователю;

  16. вывод на устройства печати документов с грифом (при полномочном управлении доступом);

  17. выход из системы;

  18. обращение к удаленной системе;

  19. нарушение целостности программ и данных системы защиты;

  20. смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т. п.)

Можно назвать и другие события — например, смену набора регистрируемых действий. Полный перечень событий, потенциально подлежащих регистрации, зависит от избранной политики безопасности и от специфики системы.

Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. «Оранжевая книга» [8] предусматривает наличие средств выборочного протоколирования как в отношении пользователей (внимательно следить только за подозрительными), так и в отношении событий.

В хорошо спроектированных системах защиты все механизмы контроля используют единый механизм регистрации.

Однако, в системах, где используются разнородные средства защиты разных производителей, в каждом из них используются свои механизмы и ведутся свои журналы регистрации, что создает дополнительные сложности в администрировании системы защиты.

Механизмы регистрации очень тесно связаны с другими защитными механизмами. Сигналы о происходящих событиях и детальную информацию о них механизмы регистрации получают от механизмов контроля (подсистем разграничения доступа, контроля целостности ресурсов и др.).

В наиболее развитых системах защиты подсистема оповещения сопряжена с механизмами оперативного автоматического реагирования на определенные события. Могут поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно, с участием администратора безопасности):

  1. подача сигнала тревоги;

  2. извещение администратора безопасности;

  3. извещение владельца информации о НСД к его данным;

  4. снятие программы (задания) с дальнейшего выполнения;

  5. отключение (блокирование работы) терминала или компьютера, с которого были осуществлены попытки НСД к информации;

  6. исключение нарушителя из списка зарегистрированных пользователей и т. п.

Мониторинговые программы.

Выше уже говорилось о том, что такое программное обеспечение имеет двойное назначение, и будучи санкционированно примененным, образует часть системы протоколирования, позволяя владельцу (администратору безопасности) автоматизированной системы:

  1. определить (локализовать) все случаи попыток несанкционированного доступа к конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;

  2. локализовать все случаи искажения (уничтожения) информации;

  3. определить факты несанкционированной установки программного обеспечения;

  4. проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить цель такого использования;

  5. определить все случаи несанкционированного использования модемов в локальной сети путем анализа фактов запуска несанкционированно установленных специализированных приложений;

  6. определить все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки каких-либо критичных документов, передача которых третьим лицам приведет к материальному ущербу;

  7. определить факты нецелевого использования персональных компьютеров:

    1. получить достоверную информацию, на основании которой будет разрабатываться политика информационной безопасности предприятия;

    2. контролировать доступ к серверам и персональным компьютерам;

    3. проводить информационный аудит;

    4. проводить исследование компьютерных инцидентов;

    5. проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;

    6. определить загрузку компьютерных рабочих мест;

    7. определить загрузку персонала предприятия;

    8. восстановить критическую информацию после сбоев компьютерных систем;

    9. обеспечить наблюдаемость вычислительной системы.

Именно это свойство, в зависимости от качества его реализации, позволяет в той или иной мере контролировать соблюдение сотрудниками предприятия установленных правил безопасной работы на компьютерах и политики безопасности.

Кроме того, в пользовательских условиях санкционированное применение мониторинговых программных продуктов, например, позволяет родителям:

  1. контролировать контакты несовершеннолетних детей в сети Internet;

  2. противодействовать негативному воздействию на несовершеннолетних детей специализированных сайтов, которые показывают детскую порнографию или другие незаконные сексуальные действия (извращения), пропагандируют насилие, пропагандируют дискриминацию по признаку расы, пола, религиозных убеждений, национальности, инвалидности, сексуальной ориентации, возрасту, пропагандируют противозаконные действия, нарушают права интеллектуальной собственности, нарушают законы страны размещения сайта или любые иные законы.

Система обнаружения вторжений (СОВ, англ. — Intrusion Detection System, IDS) —средство, относящееся к классу мониторинговых программ и предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем. Обычно архитектура СОВ включает:

  1. сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы;

  2. подсистему анализа, предназначенную для выявления атак и подозрительных действий;

  3. хранилище, обеспечивающее накопление первичных событий и результатов анализа;

  4. консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

Различают хостовые, сетевые и гибридные (смешанные) СОВ в зависимости от того, какие сенсоры используются для получения первичной информации. Различают также пассивные и активные СОВ в зависимости от способности СОВ предпринимать действия в ответ на выявленные инциденты безопасности.

Возвращаясь к целям протоколирования и аудита, отметим, что обеспечение подотчетности важно в первую очередь как средство сдерживания. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воздержатся от незаконных операций.

Очевидно, если есть основания подозревать какого-либо пользователя в нечестности, можно регистрировать его действия особенно детально, вплоть до каждого нажатия клавиши.

При этом обеспечивается не только возможность расследования случаев нарушения режима безопасности, но и откат некорректных изменений (если в протоколе присутствуют данные до и после модификации). Тем самым защищается целостность информации.

Реконструкция последовательности событий позволяет выявить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нормальной работе.

Выявление и анализ проблем могут помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие места, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т. д.

Протоколирование и аудит можно превратить в бессмысленную формальность, а можно — в эффективный инструмент поддержания режима информационной безопасности.

Активный аудит

Активный аудит дополняет такие традиционные защитные механизмы, как идентификация/аутентификация и разграничение доступа, и направлен на выявление подозрительной (злоумышленной и/или аномальной) активности с целью оперативного принятия ответных мер.

Назначение активного аудита — обнаруживать и реагировать. Обнаружению подлежит подозрительная активность компонентов СОИ — от пользователей (внутренних и внешних) до программных систем и аппаратных устройств.

Подозрительную активность можно подразделить на злоумышленную и аномальную (нетипичную).

Требования к системам активного аудита.

На первом месте находится требование полноты, включающее в себя следующие аспекты:

  1. полнота отслеживания информационных потоков в СОИ. Это означает, что система активного аудита должна содержать сетевые и системные сенсоры, анализировать информацию на всех уровнях — от сетевого до прикладного;

  2. полнота спектра выявляемых атак и злоупотреблений полномочиями. Данное требование означает не только то, что у системы должен быть достаточно мощный язык описания подозрительной активности (как атак, так и злоупотреблений полномочиями).

    Этот язык должен быть прост, чтобы заказчики могли производить настройку системы в соответствии со своей политикой безопасности. Поставщик системы активного аудита должен в кратчайшие сроки (порядка суток) передавать заказчику сигнатуры новых атак.

    Система должна уметь выявлять аномальную активность, чтобы справляться с заранее неизвестными способами нарушений;

  3. достаточная производительность. Система активного аудита должна справляться с пиковыми нагрузками защищаемых сервисов. Если известно, что система активного аудита обладает недостаточной производительностью, она может стать объектом атаки на доступность (DoS), на фоне которой могут осуществляться другие виды нападения.

Помимо полноты, системы активного аудита должны удовлетворять следующим требованиям:

  1. минимум ложных тревог. В абсолютном выражении допустимо не более одной ложной тревоги в час (лучше, если их будет на порядок меньше). При интенсивных потоках данных подобное требование оказывается весьма жестким;

  2. умение объяснять причину тревоги.

    Выполнение этого требования, во-первых, помогает отличить обоснованную тревогу от ложной, во-вторых, помогает определить первопричину инцидента, что важно для оценки его последствий и недопущения повторных нарушений. Даже если реагирование на нарушение производится в автоматическом режиме, должна оставаться возможность последующего разбора ситуации специалистами;

  3. интеграция с системой управления и другими сервисами безопасности. Во-первых, сами средства активного аудита должны управляться (устанавливаться, конфигурироваться, контролироваться) наравне с другими инфраструктурными сервисами. Во-вторых, активный аудит может (и должен) поставлять данные в общую базу данных управления.

Прочие направления обеспечения безопасности

Контроль защищенности по сути представляет собой попытку «взлома» СОИ, осуществляемого силами самой организации или уполномоченными лицами. Идея данного сервиса в том, чтобы обнаружить слабости в защите раньше злоумышленников.

В первую очередь, имеются в виду не архитектурные (их ликвидировать сложно), а «оперативные» бреши, появившиеся в результате ошибок администрирования или из-за невнимания к обновлению версий программного обеспечения.

Средства контроля защищенности позволяют накапливать и многократно использовать знания об известных атаках.

Контроль целостности. В современных системах контроль целостности должен распространяться не только на отдельные порции данных, аппаратные или программные компоненты.

Он обязан охватывать распределенные конфигурации, защищать от несанкционированной модификации потоки данных.

В настоящее время существует достаточно много методов для контроля целостности и с системной, и с сетевой направленностью (обычно контроль выполняется прозрачным для приложений методом как часть общей протокольной активности).

Безопасность повторного использования объектов.

Безопасность повторного использования объектов — важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из «мусора».

Безопасность повторного использования должна гарантироваться для областей оперативной памяти (в частности, для буферов с образами экрана, расшифрованными паролями и т. п.), для дисковых блоков и магнитных носителей в целом.

Источник: https://infourok.ru/lekciya-protokolirovanie-audit-i-prochie-napravleniya-obespecheniya-bezopasnosti-3078680.html

Book for ucheba
Добавить комментарий