Системы анализа журналов регистрации

Loading...

En provenance du cours de National Research University Higher School of Economics

Менеджмент информационной безопасности

8 notes

National Research University Higher School of Economics

Менеджмент информационной безопасности

8 notes

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

À partir de la leçon

Системы обнаружения и предотвращения компьютерных атак

Добро пожаловать на пятую неделю курса! Данный модуль пригодится Вам для расширения знаний в области информационной безопасности. После окончания этой недели Вы сможете: оценить необходимость использования систем обнаружения и предотвращения атак в конкретной информационной системе; сформулировать рекомендации по выбору конкретной системы обнаружения атак, предложить вариант выбора системы обнаружения атак; оценить различные варианты размещения компонентов (в первую очередь, сенсоров) системы обнаружения и предотвращения атак; сформулировать рекомендации по взаимодействию персонала и системы обнаружения и предотвращения компьютерных атак. Обсуждение содержания недели доступно на форуме, желаем успехов в освоении материала!

Назначение систем обнаружения и предотвращения компьютерных атак10:45

Понятие компьютерной атаки10:40

Требования к системам обнаружения и предотвращения компьютерных атак8:07

Классификация систем обнаружения и предотвращения компьютерных атак4:30

Системы анализа защищенности9:02

Системы обнаружения атак9:07

Системы контроля целостности6:31

Системы анализа журналов регистрации5:15

Размещение систем обнаружения и предотвращения атак в информационной системе7:18

Критерии выбора систем обнаружения и предотвращения компьютерных атак5:07

Rencontrer les enseignants

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

Ещё один класс систем обнаружения и предотвращения компьютерных атак,

функционирующий после завершения активного воздействия со стороны нарушителя,

это класс «Системы анализа журналов регистрации».

Их основное назначение — это максимальная автоматизация действий персонала,

снижение нагрузки на специалистов по защите информации.

Они предназначены для автоматизации анализа информации из всех доступных в

автоматизированной системе журналов регистрации,

то есть максимально обощённой и максимально полной информации.

Рекомендуется комбинировать их применение с действиями квалифицированного персонала.

От сотрудника неизбежно требуется выбрать источники информации, то есть указать,

из каких журналов следует информацию извлекать и подтверждать, что обнаруженная

при помощи системы информация действительно свидетельствует о конкретных

атаках и подозрительных действиях, а не является ложным срабатыванием.

При выборе журналов регистрации рекомендуется сформулировать следующие

положения: определить, какие признаки атак будут использоваться, определить,

в каких журналах регистрации фиксируется информация, служащая такими признаками,

и какая дополнительная информация о системе требуется службе безопасности для

принятия соответствующих мер в дальнейшем для изучения конкретного инцидента.

После того как на эти вопросы получены ответы, можно определить,

какие конкретно журналы регистрации требуется анализировать

при помощи системы обнаружения и предотвращения атак и, соответственно,

какую информацию из них следует извлекать.

При этом следует рассмотреть следующий перечень журналов регистрации,

некоторые из журналов которых могут потребоваться.

Это типичные журналы регистрации, в которых содержится информация,

которая может свидетельствовать о реализации атак.

Это журналы пограничных маршрутизаторов, то есть маршрутизаторов,

отделяющих локальную сеть от внешней сети, разумеется, журналы межсетевых экранов,

средств защиты информации в информационной системе, журналы сетевых систем

обнаружения атак, которые затем могут обрабатываться автоматизированно с помощью

системы анализа журналов регистрации, журналы различных сервисов, журналы

различных серверов в информационной системе и журналы рабочих станций.

Возможными признаками атак в таких журналах могут служить следующие записи.

Известные последовательности действий либо сетевых пакетов и тому подобных сущностей,

так называемые сигнатуры атак, то есть известные сценарии атак,

под которые подходят, например, некоторые последовательности действий или

последовательности отправляемых потенциальным нарушителем сетевых пакетов.

Повтор различных событий, например, повтор прохождения сеанса

авторизации пользователем или попыток пройти сеанс авторизации.

Это может свидетельствовать, например,

о попытке подбора пароля или о том, что пользователь по той

или иной причине предпочитает быстро завершать едва начавшийся сеанс.

По какой причине он это делает,

должно стать причиной соответствующего расследования.

Неадекватные ситуации действии субъектов информационной системы также

могут свидетельствовать о возможной атаке.

Некорректные параметры сетевых пакетов или трафика в целом вряд ли

возникнут сами собой.

Наверняка, они связаны с какой-то несанкционированной деятельностью,

будь то деятельность нарушителя либо сбой, либо ошибки пользователей.

В любом случае,

их также следует тщательно исследовать и принять меры для их недопущения в будущем.

Непредвиденные изменения в настройках информационной системы,

в правах доступа к объектам тоже зачастую свидетельствуют о начинающейся или

подготавливаемой компьютерной атаке.

Использование или поиск уязвимостей явно

свидетельствует о подготовке компьютерной атаки.

Нетипичные атрибуты событий безопасности, например,

доступ к какому-то конкретному файлу со стороны пользователя, который никогда

прежде к данному файлу не обращался, либо в какое-то нетипичное время,

либо при помощи какого-то нетипичного программного средства.

Например, попытка запуска программы под отладчиком, программы,

относящейся к обеспечению информационной безопасности.

Или попытка открыть какой-то файл системой,

которая позволяет его редактировать.

Например, исполнение файлов в среде редактирования программного кода

может свидетельствовать о попытке ввести несанкционированные изменения в какое-то

программное средство, например.

Аномальное поведение пользователей, то есть отклонения от статистических

параметров их профиля пользователя, описывающего их типичное поведение,

тоже может являться признаком атак и в любом случае должно расследоваться.

[МУЗЫКА]

[МУЗЫКА]

Explorer notre catalogue

Rejoignez-nous gratuitement et obtenez des recommendations, des mises à jour et des offres personnalisées.

Coursera propose un accès universel à la meilleure formation au monde, en partenariat avec des universités et des organisations du plus haut niveau, pour proposer des cours en ligne.

© 2018 Coursera Inc. Tous droits réservés.

Télécharger dans l'App Store

Disponible sur Google Play