11 Лекция
25. Системы обнаружения и предотвращения вторжений, цели применения, классификация.
Система обнаружения вторжений – программное или программно-техническое средство, реализующее функции автоматизированного обнаружения (блокирования) действий в информационной системе, направленных на преднамеренный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней.
26. Технологии обнаружения, применяемые в СОВ.
• Правила, основанные на сигнатуре (подписи) атаки (signature rules)
• Правила, основанные на анализе протоколов (protocol rules)
• Правила, основанные на статистических аномалиях трафика
• Компоненты СОВ • СОВ уровня узла и уровня сети, особенности • NTA/NDR. Отличие от СОВ
12 Лекция
27. Процесс планирования и менеджмента сетевой безопасности.
28. Модель жизненного цикла кибер-атак Cyber-Kill Chain.
1. Внешняя разведка
2. Вооружение и упаковка
3. Доставка
4. Заражение
5. Установка
6. Получение управления
7. Выполнение действий у жертвы
• Типовые сетевые сценарии • Расширенная модель CKC (не все этапы, а смысл расширения)
13 Лекция
29. Виртуальные частные сети, схемы использования
обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх чьей-либо другой сети
Схемы:
Защита трафика между клиентом и сервером
Защита трафика между двумя сетями
Защита трафика клиента при взаимодействии с защищённой сетью
. 30. Криптошлюзы и их функции.
• OpenVPN • IPsec • PPTP/L2TP
14 Лекция
31. Системы поведенческого анализа UBA/UEBA. Определение, решаемые задачи.
UBA (User Behavioral Analytics — анализ поведения пользователей) — системы, которые собирают массивы данных о действиях пользователей, а затем с помощью алгоритмов машинного обучения строят модели поведения и выявляют отклонения от них.
UEBA (User and Entity Behavioral Analytics — анализ поведения пользователей и ИТобъектов) — UBA-система, дополненная сведениями о работе конечных точек, серверов и сетевого оборудования.
32. Обнаружение и реагирование на конечных точках (edr). Определение, решаемые задачи.
EDR (Endpoint Detection and Response – обнаружение и реагирование на конечных точках) – решение, которое фиксирует системные события на компьютерах или серверах, выявляет и блокирует подозрительное приложение в системе, автоматически устраняет последствия компрометации
33. SIEM-системы. Определение, решаемые задачи.
SIEM (Security Information and Event Management – управление информацией и событиями безопасности) – система, которая собирает и анализирует информацию из сетевых устройств и средств обеспечения безопасности.
34. DLP-системы, определение, решаемые задачи.
DLP-система представляет собой комплекс программно-аппаратных средств, обеспечивающих защищенность информации от угроз нелегитимной передачи данных из защищенного сегмента автоматизированной системы путем анализа и блокирования исходящего трафика. Целесообразность использования DLP-систем заключается в снижении рисков утечки информации по неосторожности и в частичном снижении рисков преднамеренной кражи конфиденциальных сведений
• SOAR-системы • XDR Вопросы по тому, что делалось в лабах + немного гугления • Средства анализа сетевого трафика, Wireshark • Мониторинг состояния сети, Zabbix • Оценка защищенности сети, сканеры безопасности