Отчет. Основные средства проведения аудита систем ИБ
.docxФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ.ПРОФ. БОНЧ-БРУЕВИЧА»
Отчет по
Самостоятельной работа №5
«Основные средства проведения аудита систем ИБ»
Выполнил: Яковлев Илья Андреевич Студент I курса Факультет ИКСС Группа ИКБ-95
Подпись________
Проверил: Бабков Иван Николаевич
Подпись________
Мониторинг и анализ локальных сетей
На этапе мониторинга выполняется более простая процедура – сбор первичных данных о работе сети: статистика циркулирующих в сети кадров и пакетов различных протоколов; состояния портов концентраторов, коммутаторов и маршрутизаторов и т.п.
Далее выполняется этап анализа, под которым понимается более сложный и интеллектуальный процесс осмысления собраний на этапе мониторинга информации, сопоставления ее с данными, полученными ранее, и выработки предположений о возможных причинах замедленной или ненадежной работы сети.
Анализаторы протоколов в системах мониторинга безопасности
Основное направление развития анализаторов протоколов обусловлено функциональным назначением устройств этого класса, которое заключается в анализе технологических особенностей сетевого трафика и обеспечении безопасности информационных ресурсов. В связи со стремительным развитием корпоративных структур второе направление приобретает все большее практическое значение. Процесс обеспечения информационной безопасности сложных корпоративных структур диктует необходимость перехода от статических методов защиты к более эффективным динамическим методам мониторинга, базирующимся на методах активного непрерывного поиска в сетевом трафике вредоносных сигнатур.
Сетевой сегмент
Фильтры
Правила политики безопасности
Библиотека сигнатур атак
Генерация сигналов тревоги
Анализатор протоколов
Каждый декорированный пакет сравнивается с образцом атак из библиотеки сигнатур, и в случае выявления сходства генерируется сигнал тревоги.
Методы обнаружения атак
Анализ журналов регестрации
Использование сигнатур
атак
Использование профилей
«нормального поведения»
Анализ «на лету»
Анализ журналов регистрации. Это один из самых первых реализованных методов обнаружения атак. Он заключается в анализе журналов регистрации, создаваемых операционной системой, прикладным ПО, маршрутизаторами и т.п.
К достоинствам метода относится простота его реализации.
Анализ «на лету». Этот метод заключается в мониторинге сетевого трафика в реальном или близком к реальному времени и использовании соответствующих алгоритмов обнаружения. Очень часто применяется механизм поиска в трафике определенных строк, которые могут характеризовать несанкционированную деятельность.
Использование данного метода дает два преимущества: 1. Один агент системы обнаружения атак может просматривать целый сегмент сети с многочисленными хостами, в то время как для применения предыдущего метода необходимо на каждый анализируемый узел устанавливать свой агент. 2. Системы, построенные с учетом этого метода, могут определять атаки в реальном масштабе времени и останавливать до достижения ими цели.
Использование профилей «нормального поведения». Используется для наблюдения за пользователями, системной деятельностью или сетевым трафиком.
При настройке и эксплуатации систем, использующих профили, приходится сталкиваться со следующими проблемами: 1. Построение профиля пользователя 2. Определение граничных значений характеристик поведения пользователя 3. Неправильная настройка профиля «нормального поведения» может привести к одному из двух случаев 4. Пропуск атаки, которая не подпадает под определение аномального поведения.
Использование сигнатурных атак.
Данный метод очень часто сопоставляют с анализом «на лету». Метод заключается в описании атаки в виде сигнатуры и поиске данной сигнатуры в контролируемом пространстве.
Несмотря на эффективность и простоту реализации рассмотренных методов существуют проблемы: создание механизма описания сигнатур, т.е. языка описания атак; запись атаки с фиксацией всех ее возможных модификаций.
Методы анализа полученной информации
Статистические методы.
Любое отклонение используемого профиля от эталонного считается несанкционированной деятельностью. Статистические методы универсальны, поскольку требуется знания о возможных атаках и используемых ими уязвимых местах.
Использование экспертных методов.
Представляет собой второй распространенный метод – формулирование информации об атаках в виде правил, которые могут быть записаны, например, как последовательность действий или сигнатур.
Основное достоинство – практически полное отсутствие ложных тревог. Недостаток – невозможность отражения неизвестных атак.
Нейронные сети.
Могут дать пользователю ответ, заложенный в базе данных правил. Первоначально нейросеть обучается путем правильной идентификации предварительно выбранных примеров предметной области.
Сканеры безопасности. Выбор, порядок использования
Internet Scanner
Система предназначена для обнаружения и слежения за появлением в корпоративной сети известных уязвимостей в существующих ОС и прикладных программах.
Процесс анализа очень прост и заключается в выполнении всего 4х операций: 1. Выбор степени анализа защищенности 2. Выбор сканируемых узлов сети 3. Собственно сам процесс сканирования узлов сети 4. Генерация счета
System Security Scanner
Система предназначена для проведения анализа защищенности UNIX-узлов корпоративной сети и управления настройками в соответствии с политикой безопасности.
Система состоит из двух основных подсистем: 1. Подсистема анализа. 2. Подсистема управления.
В отличие от Internet Scanner система System Security Scanner позволяет не только анализировать настройки системы, но и корректировать их.