Адаптивные и адаптируемые средства
информационной безопасности
УЦ «Bigone» 2007 год
Принцип адаптивности и адаптируемости, как концепция обеспечения информационной безопасности
- Адаптируемыми системами обеспечения информационной безопасности называются средства и методы которые в наивысшей степени используют и ориентированы на экспертную оценку специалистов по информационной безопасности, а именно используют средства и способы внешней адаптации программно-технических средств безопасности.
Типичные примеры адаптируемых систем и средств информационной безопасности:
-Statefull и stateless межсетевые экраны
-Сетевые статистические сигнатурные системы обнаружения вторжений
-Сетевые системы предотвращения вторжений
Принцип адаптивности и адаптируемости, как концепция обеспечения информационной безопасности
- Адаптивными средствами информационной безопасности, называются системы которые способны самостоятельно анализировать события сетевые события на 3-7 уровнях модели OSI и на основе адаптивного алгоритма обнаружения анализировать значащие характеристические параметры трафика идентифицирующие атаку или аномалию.
Типичные пример частично адаптивной системы ИБ:
-Система обнаружения и предотвращения вторжений на уровне хоста (серверной подсистемы)
Cisco Security Agent 5.2, Cisco Trust Agent 5.2
Система предупреждения и вероятного обнаружения вторжений
на уровне хоста с возможностями идентификации атак «нулевого дня»
Критерии создания адаптивных систем защиты
-Способность системы анализировать и выделять значащие интегральные характеристики сетевого трафика, сетевых протоколов характеризующих корректное (нормальное) поведение системы, а также указывать и выделять аномальное поведение на уровне функционирования сетевых протоколов и технологий
-Осуществлять сравнительный анализ параметров характеризующих корректное поведение протокола или системы с параметрами указывающими на вероятное аномальное сетевое явление или угрозу информационной безопасности. Формировать профиль атаки или угрозы ИБ
-Формировать упреждающие командные правила которые будут использоваться для управления системами предотвращения обнаруженных вторжений
Яркие примеры применения адаптируемых систем Информационной безопасности
-Stateless/state full межсетевой экран
Вы используете механизм списков разграничения доступа для блокирования паразитного аномального трафика атаки используя критерии и параметры 3-4 уровней модели OSI
Например:
access-list 145 deny |
tcp any any range 135 139 |
access-list 145 deny |
udp any any eq netbios-ss log |
access-list 145 deny |
udp any any eq netbios-dgm log |
access-list 145 deny |
tcp any any eq 36794 syn log |
access-list 145 deny |
tcp any any eq 47891 syn log |
Т.е. данный механизм фильтрации трафика не предполагает алгоритмически самостоятельного действия по организации необходимых контрмер, а использует подход пост анализа и внедрения необходимых настроек для предотвращения уже обнаруженной угрозы!!!
Яркие примеры применения адаптируемых систем Информационной безопасности
Сетевые системы обнаружения вторжений
-
-
Сигнатурные
Статистические
Оба вида систем обнаружения вторжений (угроз и аномалий) используют адаптируемый подход для обнаружения потенциального вторжения, а именно
-в статистических системах используется набор (массив) проанализированных специалистами стат. данных исходя из которых осуществляется принятие решения о
блокировании или не блокировании определенного трафика, т.е. принятие решения осуществляется постфактум и после накопление массива данных
Яркие примеры применения адаптируемых систем Информационной безопасности
-Сигнатурные системы предупреждения вторжений, используют сигнатуру, т.е. концентрированное формализованное логическое выражение известной атаки или угрозы ИБ.
Если признаки атаки не известны и не проанализированы и не сформированы признаки атаки в рамках сигнатуры и она в свою очередь не загружена в систему обнаружения, то эффективное обнаружение не возможно.
В свою очередь сигнатурная система не может обнаружить неизвестные, непредсказуемые атаки, так как формализованное описание может отсутствовать в базе данных сигнатур
