Технологии обнаружения атак

14.3.4. Методы реагирования

Атака не только должна быть обнаружена, но и необходимо правильно и своевременно среагировать на нее. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории:
• уведомление;
• сохранение;
• активное реагирование.

Применение той или иной реакции зависит от многих факторов.

Уведомление. Самым простым и широко распространенным методом уведомления является отправление администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Такая консоль может быть установлена не у каждого сотрудника, отвечающего в организации за безопасность, кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необходимо применение иных механизмов уведомления. Этими механизмами могут быть отправление сообщений по электронной почте, на пейджер, по факсу или по телефону.

К категории «уведомление» относится также посылка управляющих последовательностей к другим системам, например к системам сетевого управления или к МЭ.

Сохранение. К категории «сохранение» относятся два варианта реагирования:
• регистрация события в БД;
• воспроизведение атаки в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты. Для реализации второго варианта бывает необходимо «пропустить» атакующего в сеть компании и зафиксировать все его действия. Это позволяет администратору безопасности затем воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществленные атакующим, анализировать «успешные» атаки и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства.

Активное реагирование. К этой категории относятся следующие варианты реагирования:
• блокировка работы атакующего;
• завершение сессии с атакующим узлом;
• управлением сетевым оборудованием и средствами защиты.

IDS могут предложить такие конкретные варианты реагирования: блокировка учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурация МЭ и маршрутизаторов и т. д. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой стороны, требует аккуратного использования, так как неправильное применение может привести к нарушению работоспособности всей КИС.


Страницы: 1 2 3 4

Эта статья была опубликована Вторник, 30 ноября, 2010 at 22:43 в рубрике Анализ защищенности и обнаружение атак. Вы можете следить за ответами через RSS 2.0 feed.

Написать ответ