Размещение систем обнаружения и предотвращения атак в информационной системе

Loading...

En provenance du cours de National Research University Higher School of Economics

Менеджмент информационной безопасности

12 notes

National Research University Higher School of Economics

Менеджмент информационной безопасности

12 notes

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

À partir de la leçon

Системы обнаружения и предотвращения компьютерных атак

Добро пожаловать на пятую неделю курса! Данный модуль пригодится Вам для расширения знаний в области информационной безопасности. После окончания этой недели Вы сможете: оценить необходимость использования систем обнаружения и предотвращения атак в конкретной информационной системе; сформулировать рекомендации по выбору конкретной системы обнаружения атак, предложить вариант выбора системы обнаружения атак; оценить различные варианты размещения компонентов (в первую очередь, сенсоров) системы обнаружения и предотвращения атак; сформулировать рекомендации по взаимодействию персонала и системы обнаружения и предотвращения компьютерных атак. Обсуждение содержания недели доступно на форуме, желаем успехов в освоении материала!

Назначение систем обнаружения и предотвращения компьютерных атак10:45

Понятие компьютерной атаки10:40

Требования к системам обнаружения и предотвращения компьютерных атак8:07

Классификация систем обнаружения и предотвращения компьютерных атак4:30

Системы анализа защищенности9:02

Системы обнаружения атак9:07

Системы контроля целостности6:31

Системы анализа журналов регистрации5:15

Размещение систем обнаружения и предотвращения атак в информационной системе7:18

Критерии выбора систем обнаружения и предотвращения компьютерных атак5:07

Rencontrer les enseignants

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[ЗВУК] Обсудив различные классы систем обнаружения и предотвращения атак,

обсудим теперь аспекты размещения таких систем в информационной системе.

Существует два принципиальных варианта размещения систем обнаружения

атак: либо единой системой на одном узле сети, либо модульное размещение,

при котором основная часть системы, то есть ее основной модуль,

ответственный за управление, содержащий базу данных и отвечающий

за принятие решений, отделяется от так называемых сенсоров.

Как правило, сенсоры устанавливаются в наиболее значимых местах

информационной системы, а основной модуль устанавливается таким образом,

чтобы обеспечить его, с одной стороны, безопасность, а с другой стороны, простоту

управления и возможность оперативного функционирования всей системы.

При размещении систем обнаружения атак следует обратить внимание на следующие

аспекты: место установки основного модуля системы; места размещения сенсоров

системы обнаружения атак (по сути, это глаза системы обнаружения атак, и от того,

где будут размещены сенсоры, будет зависеть, какая информация в итоге попадет

в основной модуль и будет им обработана, и, соответственно, насколько эффективно

система будет работать); расположение источников требующейся информации,

то есть куда следует поместить сенсоры; удобство управления системой

обнаружения атак, возможность удаленно обращаться к ней для администратора,

возможность нарушителя атаковать ее — это следует осмыслить и, исходя из этого,

принять решение; защищенность системы обнаружения атак от атак,

направленных на выведение из строя ее самой (следует принять во внимание и,

возможно, предпринять меры для того, чтобы, например, к системе обнаружения

атак нельзя было обратиться напрямую из внешней сети); варианты

реагирования на атаки могут повлиять на то, где должен находиться основной модуль,

поскольку он должен быть связан с, например,

какими-то другими системами обеспечения информационной безопасности, например,

через основной модуль системы обнаружения атак для администратора менять правила

на межсетевом экране, для того чтобы, например, оперативно пресечь начинающуюся

атаку типа «отказ в обслуживании»; и наконец, надежность связи между сенсорами

и основным модулем системы обнаружения атак является достаточно важным фактором,

который следует учитывать при выборе топологии и

размещения отдельных модулей системы обнаружения атак.

Отдельно стоит обсудить различные сценарии размещения сенсоров сетевой

системы обнаружения атак, поскольку, как было сказано, сенсоры являются,

по сути, глазами системы обнаружения атак, глазами и ушами даже, и от того,

в каких местах будут размещены сенсоры, зависит, все ли атаки,

все ли вредоносные воздействия попадут в поле рассмотрения,

в поле зрения нашей системы обнаружения атак.

Существует несколько типичных мест размещения сенсоров,

которые мы обсудим: это размещение сенсора между маршрутизатором и межсетевым

экраном; в демилитаризованной зоне; за межсетевым экраном; у сервера

удаленного доступа; на сетевой магистрали; в ключевых сегментах внутренней сети.

Первые четыре сценария мы далее рассмотрим подробнее, а про размещение на сетевой

магистрали и в ключевых сегментах внутренней сети стоит сказать,

что эти сенсоры будут направлены на обнаружение различных аномалий сетевого

трафика и таких компьютерных атак, которые связаны с различным сетевым воздействием,

то есть с отправкой сетевых пакетов.

Сенсор на сетевой магистрали будет контролировать практически весь сетевой

трафик, направляющийся к узлам сети, а сенсоры в ключевых сегментах внутренней

сети будут контролировать трафик в отдельных ее сегментах.

При размещении сенсора между маршрутизатором и межсетевым экраном

контролируются все сетевые пакеты, направляющиеся на межсетевой экран.

Во-первых, здесь на этом участке можно пресекать сетевые атаки,

направленные на вывод из строя самого межсетевого экрана или на

несанкционированные изменения настроек на нем.

Кроме того, такие сенсоры позволяют протоколировать весь трафик,

который попадает на межсетевой экран — даже тот, который будет им заблокирован.

Таким образом, на самом межсетевом экране, возможно,

какие-то пакеты окажутся просто заблокированными и неучтенными,

а здесь можно их протоколировать и в дальнейшем исследовать,

какие попытки атак были предприняты.

На изображенной схеме вы видите жирными стрелочками указаны

направления трафика, которые контролируются таким сенсором,

а штриховыми — те, которые, соответственно, не контролируются.

Не контролируется трафик во внешней сети и во внутренней сети,

а также трафик из внутренней сети в демилитаризованную зону,

который не проходит через внешний маршрутизатор.

При этом весь трафик, попадающий из внешней сети во внутреннюю сеть через

межсетевой экран, соответственно, таким сенсором учитывается.

Еще один вариант размещения — это размещение сенсора в

демилитаризованной зоне.

Опять же, как видно из этой схемы, здесь контролируется трафик

внутри демилитаризованной зоны, а также трафик, попадающий из внешней сети в

демилитаризованную зону и из внутренней сети в нее же.

При этом такой сенсор оставляет за пределами рассмотрения трафик

внутри локальной сети.

Но этот трафик будет учитываться, соответственно, другими сенсорами.

Сенсор за межсетевым экраном позволяет, во-первых,

в паре с сенсором между маршрутизатором и межсетевым экраном

контролировать эффективность работы сервиса межсетевого экранирования,

то есть контроль корректности настроек на самом межсетевом экране.

Как видно на схеме, такой сенсор контролирует трафик,

проходящий через расположенный за межсетевым экраном концентратор,

то есть трафик из локальной сети в демилитаризованную зону и обратно,

а также из локальной сети во внешнюю сеть через межсетевой экран и,

соответственно, в обратном направлении.

Но при этом остается за пределами рассмотрения трафик,

который блокируется на межсетевом экране и не попадает в локальную сеть,

а также трафик между демилитаризованной зоной и внешней сетью.

Наконец, четвертый вариант размещения сенсора

системы обнаружения атак у сервера удаленного доступа направлен

на контроль трафика между локальной сетью и сервером удаленного доступа.

При этом он оставляет за пределами рассмотрения трафик внутри локальной

сети и между локальной сетью и внешней сетью.

Но такой трафик, соответственно, покрывают сенсорами,

которые были рассмотрены на предыдущих схемах.

[ЗВУК]

[ЗВУК]

Explorer notre catalogue

Rejoignez-nous gratuitement et obtenez des recommendations, des mises à jour et des offres personnalisées.

Coursera propose un accès universel à la meilleure formation au monde, en partenariat avec des universités et des organisations du plus haut niveau, pour proposer des cours en ligne.

© 2018 Coursera Inc. Tous droits réservés.

Télécharger dans l'App Store

Disponible sur Google Play