По расположению субъекта атаки относительно атакуемого объекта

• внутрисегментное
• межсегментное

Некоторые определения:

Источник атаки (субъект атаки) — программа (возможно оператор), ведущая атаку и осуществляющая непосредственное воздействие.

Хост (host) — компьютер, являющийся элементом сети.

Маршрутизатор (router) — устройство, которое обеспечивает маршрутизацию пакетов в сети.

Подсетью (subnetwork) называется группа хостов, являющихся частью глобальной сети, отличающихся тем, что маршрутизатором для них выделен одинаковый номер подсети. Так же можно сказать, что подсеть есть логическое объединение хостов посредством маршрутизатора. Хосты внутри одной подсети могут непосредственно взаимодействовать между собой, не задействовав при этом маршрутизатор.

Сегмент сети — объединение хостов на физическом уровне.

С точки зрения удалённой атаки крайне важным является взаимное расположение субъекта и объекта атаки, то есть находятся ли они в разных или в одинаковых сегментах. Во время внутрисегментной атаки, субъект и объект атаки располагаются в одном сегменте. В случае межсегментной атаки субъект и объект атаки находятся в разных сетевых сегментах. Этот классификационный признак дает возможность судить о так называемой «степени удалённости» атаки.

Далее будет показано, что практически внутрисегментную атаку осуществить намного проще, чем межсегментную. Отметим так же, что межсегментная удалённая атака представляет куда большую опасность, чем внутрисегментная. Это связано с тем, что в случае межсегментной атаки объект её и непосредственно атакующий могут находиться на расстоянии многих тысяч километров друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

• физический
• канальный
• сетевой
• транспортный
• сеансовый
• представительный
• прикладной

Международной организацией по стандартизации (ISO) был принят стандарт ISO 7498, который описывает взаимодействие открытых систем (OSI), к которым принадлежат также и РВС. Каждый сетевой протокол обмена, также как и каждую сетевую программу, удаётся так или иначе спроецировать на эталонную 7-уровневую модель OSI. Такая многоуровневая проекция даёт возможность описать в терминах модели OSI использующиеся в сетевом протоколе или программе функции. УА — сетевая программа, и логично рассматривать её с точки зрения проекции на эталонную модель ISO/OSI [2].

 

Понятие, принцип действия программных систем IDS/IPS. Возможности IDS/IPS-систем по обнаружению атак. Понятие аномалии и злоупотребления и способы их выявления IDS/IPS-системами. Порядок действия IDS/IPS-систем по обнаружению и предотвращению сетевых атак. Примеры программных и программно-аппаратных IDS/IPS-систем, их преимущества и недостатки.

 

Большая статься http://netconfig.ru/server/ids-ips/

 

Система обнаружения вторжений (СОВ) (англ. Intrusion Detection System (IDS)) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа (вторжения или сетевой атаки) в компьютерную систему или сеть.

Система предотвращения вторжений (англ. Intrusion Prevention System (IPS)) — программное или аппаратное средство, которое осуществляет мониторинг сети или компьютерной системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности.

 

В целом IPS по классификации и свои функциям аналогичны IDS. Главное их отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.

Обычно IDS включает:

• Сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой сети или системы;
• Подсистему анализа, предназначенную для выявления сетевых атак и подозрительных действий;
• Хранилище, в котором накапливаются первичные события и результаты анализа;
• Консоль управления, позволяющая конфигурировать IDS, наблюдать за состоянием защищаемой системы и IDS, просматривать выявленные подсистемой анализа инциденты.

Возможности:

• используют различные методы обнаружения вторжений (сигнатурный анализ, технология декодирования протоколов, анализ аномалий протоколов, обнаружения любых видов сканирования сетей, адаптивное применение сигнатур)
• проводят анализ и корреляцию событий безопасности на предмет наличия шаблонов, отражающих злоупотребления или необычные особенности «поведения»
• позволяют автоматически реагировать на обнаруженную подозрительную активность
• генерируют отчет с результатами, полученными в процессе обнаружения

Метод аномалий состоит в определении ненормального (необычного) поведения на хосте или в сети. Детекторы аномалий предполагают, что атаки отличаются от "нормальной" (законной) деятельности и могут, следовательно, быть определены системой, которая умеет отслеживать эти отличия. Детекторы аномалий создают профили, представляющие собой нормальное поведение пользователей, хостов или сетевых соединений. Эти профили создаются, исходя из данных истории, собранных в период нормального функционирования. Затем детекторы собирают данные о событиях и используют различные метрики для определения того, что анализируемая деятельность отклоняется от нормальной.

 

Преимущества метода аномалий:

• Определение атаки без знания конкретных деталей (сигнатуры);
• Детекторы аномалий могут создавать информацию, которая в дальнейшем будет использоваться для определения сигнатур атак.

Недостатки метода аномалий:

• Большое количество ложных сигналов при непредсказуемом поведении пользователей и непредсказуемой сетевой активности;
• Временные затраты на этапе обучения системы, во время которого определяются характеристики нормального поведения.

 

Тестируемый продукт	Вариант настроек	Предотвращение атак [%]
Kaspersky	Standard/Max	94%
Norton	Standard/Max	82%
Comodo	Max	71%
McAfee	Standard/Max	71%
Trend Micro*	Max	67%
Comodo	Standard	65%
Avast	Standard/Max	59%
Avira	Standard/Max	59%
Dr.Web	Standard/Max	59%
Eset	Standard/Max	59%
G DATA	Max	59%
Panda	Max	59%
PC Tools	Max	59%
Trend Micro*	Standard	59%
AVG	Max	47%
BitDefender	Standard/Max	47%
ZoneAlarm	Max	47%

 

Средства предотвращения утечки информации. Понятие и принцип действия DLP-систем. Возможности DLP-систем по предотвращению утечки информации в информационной системе предприятия. Примеры программных решений DLP-систем. Практическая работа по внедрению DLP-системы в информационную систему организации.

Предотвращение утечек (англ. Data Loss Prevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Примеры:

· Securit ZGate;

· InfoWatch Traffic Monitor;

· Symantec Data Loss Prevention;

· Search Inform Контур безопасности;

· FalconGaze SecureTower.

Даже если разработать политику информационной безопасности DLP-системы на первом этапе невозможно, это должно быть выполнено впоследствии. Эти работы, по сути, и составляют «внедрение DLP». Политика обеспечивает настройку жизненного цикла инцидента с участием представителей различных служб компании. Они привлекаются для разбора инцидентов и должны обладать специальной компетенцией и способностью принимать управленческие решения.

Для разработки политики необходимо определить, какие данные относятся к конфиденциальным и какие сотрудники имеют право на доступ к ним. Также определяется круг лиц, которых необходимо уведомить о выявленных системой инцидентах. Большим подспорьем при ответе на вопросы, возникающие при разработке политики информационной безопасности DLP-системы, является наличие политики информационной безопасности компании.

2.8 Средства защиты от компьютерных вирусов. Понятие компьютерного вируса, классификация и основы деструктивного воздействия. Антивирусная система: понятие, принцип действия, классификация, примеры. Общая характеристика современных методов обнаружения компьютерных вирусов и защиты от них: эвристические методы детектирования вирусов; проактивная защита от вирусов; поведенческий анализатор. Интегрированные антивирусные решения и их общая характеристика: защита от спама, межсетевое экранирование, защита от использования опасных сетевых ресурсов. Организация антивирусной защиты информационной системы предприятия.

Антивирусная программа (антивирус) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Говоря о системах Майкрософт, следует знать, что обычно антивирус действует по схеме:

· поиск в базе данных антивирусного ПО сигнатур вирусов

· если найден инфицированный код в памяти (оперативной и/или постоянной), запускается процесс карантина, и процесс блокируется

· зарегистрированная программа обычно удаляет вирус, незарегистрированная просит регистрации и оставляет систему уязвимой.

Различают следующие виды антивирусных программ:

· — программы-детекторы;

· — программы-доктора, или фаги;

· — программы-ревизоры;

· — программы-фильтры;

· — программы-вакцины, или иммунизаторы.

Эвристический анализ (эвристическое сканирование) — это совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов.

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным.

Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе. При этом проактивная защита старается блокировать потенциально опасную активность программы только в том случае, если эта активность представляет реальную угрозу. Серьезный недостаток проактивной защиты - блокирование легитимных программ.