Роль систем обнаружения вторжений в компании. Введение

5 Апр
2012

В жизни каждого системного администратор, обязательно наступает момент, когда он начинает задумываться о безопасности своей инфраструктуры. В худшем случае всё начинается, когда в понедельник утром на работе, уже ждёт отряд злых сотрудников орущих на вас «Ничего не работает! А ты еще и опаздываешь!». Восстановив сервера, получаете «Где мой годовой отчет?» или «Куда делись все мои порно фильмы документы?». В недоумении еще полдня поиски. Куда они пропали? И тут находятся следы действий злых рук хакера… И простенькая настройка брандмауэра, отсутствие строгих требований к паролям, вышла боком, и премии за месяц уже лишили…

Лучше если место работы — банк или иная организация, в которой плотно работают с платежными картами. Тут все строго, организация должна соответствовать определённым стандартам, например PCI DSS. Стандарт включает в себя 12 требований к системным компонентам (сетевое оборудование, сервера, гипервизор и т.д.), которым ваша инфраструктура должна соответствовать. Тут как обычно два пути работы: либо отдать на аутсорсинг, либо самостоятельный поиск решения и интеграция.

В стандарте и настройка брандмауэра, и антивируса, и настройка политик паролей. Но когда дело доходит до раздела «Регулярный мониторинг и тестирование сети» появляются проблемы. Потому как такие вещи обычно и игнорируются многими системными администраторами. Далеко не каждый уделяет мониторингу, а уж тем более регулярному тестированию своей инфраструктуры должное внимание. В этот раздел входят два требования: Требование 10 «Контролировать и отслеживать любой доступ к сетевым ресурсам и данным о держателях карт» и Требование 11 «Регулярно выполнять тестирование систем и процессов обеспечения безопасности». Опытом решения этих проблем я и хочу поделиться.

Определимся с основными инструментами — IDS/IPS, SIEM, NS. Прочитать почитать подробнее можно здесь и здесь. С SIEM немного сложнее, русскоязычной информации мало. Вкратце, IDS – Instruction detection system, система обнаружения атак. Это система, которая помогает выявить атаки, например на «прослушивая» и анализируя трафик. IPS – Intrusion prevention system, система предотвращения атак. По сути это та же IPS, но уже способная реализовывать действия по предотвращению вторжений. Вместе это представляет собой мощный инструмент по обнаружению атак причем еще до того как они произошли. IDS/IPS состоит из нескольких подсистем: сенсоры (инструмент работы), подсистема анализа (собственно мозги), подсистема хранения и подсистема управления. Сенсоров может быть один и более. Существует несколько видов IDS/IPS, различаются они по методам анализа и расположения сенсоров. Самые распространенные это сетевые NIDS/NIPS — Network intrusion detection/prevention system и хостовые Host-based intrusion detection/prevention system. Исходя из их названия, одни системы анализируют сетевые сегменты (трафик), другие – активность на хостах. Также система может быть гибридной.

NIDS/NIPS обычно работают пассивно и эффективность таких систем в основном зависит от расположения их сенсоров и производительности устройства, на котором они базируются. Это не обязательно ПО, также существуют аппаратные IDS/IPS, например компания Cisco предлагает для ASA модули с различным функционалом: AIP SSM, CSC SSM (с антивирусом и брандмауэром).

HIDS/HIPS работают с информацией в рамках одного компьютера. Анализируя локальные события, они могут обнаружить атаки, которые не могут быть определены с помощью NIDS/NIPS.
NSS – Network security scanner, сетевой сканер уязвимостей. Активно работающая система, которая сканирует ваши хосты на наличие различного вида уязвимостей, таких как неустановленные апдейты, открытые порты и т.д…

SIEM – Security information and event management, система управления событиями информационной безопасности, комбинированное решение двух систем SIM (Security information management) и SEM (Security event management). Это большая система централизованной обработки данных, способная анализировать огромное количество данных и находить инциденты в большой куче мусора. Представляет собой аппаратно-программные решения. Стоимость таких систем очень высока даже у существующих «полу бесплатных» решений.

На этом я закончу введение, так далее следует говорить о конкретных решениях. Прошу сильно не критиковать изложение, первый опыт. Если данная тема блогажителям интересна, я продолжу в следующих частях с обзора наиболее популярных продуктов данного сегмента.
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх