Недостатки СОА сетевого уровня
СОА сетевого уровня, захватывая трафик, не тормозит работу самой сети, но может не успевать обрабатывать все пакеты в большой или занятой сети
o |
При повышенной нагрузке в сети СОА может пропустить атаку, не обнаружив ее |
|
|
|
|
o |
Некоторые производители пытаются решить данную проблему, полностью |
|
|
реализуя СОА аппаратно |
|
o |
Необходимость быстро анализировать пакеты может привести к тому, что |
|
|
разработчики СОА будут ограничивать ее возможности определением небольшого |
|
|
количества атак или использовать как можно меньше вычислительные ресурсы, |
|
|
что снижает эффективность обнаружения |
|
|
В современных сетевых технологиях стараются избегать совместной |
|
|
среды передачи данных, что затрудняет подключение сенсоров СОА |
|
|
сетевого уровня. Для того, чтобы СОА могла просматривать сетевой |
|
|
трафик от нескольких хостов, необходимо ее подключить к |
|
|
маршрутизатору (коммутатору) и так настроить сетевое оборудование, |
|
|
при котором на порт, связанный с СОА, будет попадать (дублироваться) |
|
|
весь трафик сегмента, что требует большую пропускную способность |
|
|
этого порта и самой СОА. |
|
|
СОА сетевого уровня не могут анализировать зашифрованную |
|
|
информацию. |
Эта проблема актуальна при использовании VPN. |
|
Большинство СОА сетевого уровня не способны сделать вывод о том, |
|
была ли атака успешной, они могут только определить начало атаки. После того как СОА обнаружит атаку, администратор должен вручную исследовать каждый атакованный хост для определения, произошло ли реальное проникновение.
СОА, установленная на узле
|
СОА на хосте имеют дело с информацией, собранной внутри единого |
||||
|
компьютера. |
Данные СОА |
обычно |
используют в |
качестве |
|
информационных |
источников |
журналы |
регистрации |
событий, |
|
создаваемых ОС и приложениями. Некоторые СОА на узле разработаны |
||||
|
для поддержки централизованной инфраструктуры управления и |
||||
|
получения отчетов СОА, что может допускать единую консоль управления |
||||
|
для отслеживания многих хостов. |
|
|
|
|
|
Преимущества СОА , установленной на узле: |
|
|||
|
с помощью СОА, установленной на узле возможно следить за событиями на хосте, |
||||
|
можно определить атаки, которые не могут выявить СОА сетевого уровня. |
|
|||
В отличие от СОА сетевого уровня, СОА на узле могут "видеть" последствия начатой атаки, так как они могут иметь непосредственный доступ к системной информации, файлам данных и системных процессов, которые являются целью атаки.
СВА на узле способны анализировать деятельность и с большой вероятностью и точностью определять только те процессы и пользователей , которые имеют отношение к конкретной атаке.
СВА на узле могут функционировать в окружении, в котором сетевой трафик зашифрован, когда источники информации узла создаются до того, как данные шифруются, и/или после того, как данные расшифровываются на хосте назначения.
На функционирование СОА на узле не влияет топология сети.
Когда СОА на узле работает с результатами аудита ОС, они могут оказать помощь в выявлении " троянских коней" или других атак , которые нарушают целостность ПО.
Недостатки СОА, установленной 
на узле:
СОА более сложные в управлении, так как информация должна быть сконфигурирована и должна управляться для каждого хоста.
Источники информации (а иногда и часть методов анализа) для данной СОА должны быть расположены на том же хосте, который является целью атаки, поэтому, как составная часть атаки, СОА может быть атакована и отключена.
СОА не всегда может определить сканирование сети, или другие воздействия, целью которых является вся сеть, потому что СОА наблюдает только за сетевыми пакетами, получаемыми конкретным хостом.
СОА на узле могут быть блокированы некоторыми DoS- атаками.
Когда СОА использует результаты аудита ОС в качестве источника информации, объем информации может быть огромным, что требует дополнительных ресурсов для хранения в системе.
СОА используют вычислительные ресурсы хостов за которыми они наблюдают, что влияет на производительность наблюдаемой системы.
Системы обнаружения вторжений
Сетевые системы обнаружения вторжений полезны при защите
от внешних атак, однако одним из их главных достоинств является способность выявлять внутренние атаки и подозрительную активность пользователей.
Сетевая система обнаружения вторжений может защитить от
атак, которые проходят через межсетевой экран во внутреннюю ЛВС
Сетевая система обнаружения вторжений и межсетевой
экран взаимодополняющие устройства безопасности
70/85 процентов компьютерных преступлений исходят из внутреннего источника
Новое поколение систем обнаружения вторжений
Системы предотвращения вторжений при генерации тревожных сигналов предпринимают ответные действия, такие как написание индивидуальных правил для межсетевых экранов и маршрутизаторов, блокирующих активность подозрительных IP- адресов и запросов.
Системы обнаружения вторжений на основе обучаемых нейронных сетей (выявления аномальной активности) вместо применения статических сигнатур, с помощью которых можно выявлять только явно вредоносную деятельность, системы нового поколения обучаются но основе данных мониторинга нормальных уровней для различных видов активности в сети.
Структура современных систем 
обнаружения вторжения
Структура современных систем обнаружения вторжения
Подсистема сбора информации
Для сбора информации используются автономные модули – датчики:
датчики приложений
датчики хоста
датчики сети
межсетевые датчики
Структура современных систем 
обнаружения вторжения
Подсистема анализа
Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора.
Результат работы подсистемы – индикация о состоянии защищаемой системы.
|
Структура современных систем |
|
обнаружения вторжения |
|
Подсистема представления данных |
|
Задачи: информирование заинтересованных лиц о состоянии |
|
защищаемой системы. |
|
В некоторых системах предполагается наличие групп |
|
пользователей, каждая из которых контролирует |
|
определенные подсистемы защищаемой системы. Поэтому в |
|
таких СОВ применяется разграничение доступа, групповые |
|
политики, полномочия и т.д. |