воскресенье, 5 февраля 2012 г.

СОИБ. Проектирование. Сетевые или системные средства обнаружения вторжений


Некоторое количество лет назад  для защиты от одних и тех-же угроз рассматривались альтернативные технологии защиты, и приходилось выбирать между:
·         средствами обнаружения вторжений (СОВ) на сетевом уровне;
·         средствами обнаружения вторжений на уровне системы.

За последнее время СОВ на сетевом уровне шагнули далеко вперед за счет различных централизованных возможностей, таких как:
·         детальные проверки большого количества протоколов;
·         построение шаблонов “нормального” сетевого трафика;
·         интеграция со сканнерами защищенности для определения степени уязвимости узлов;
·         знание карты сети;
·         интеграция с сетевыми устройствами для автоматического блокирования атаки;
·         предварительная группировка и корреляция событий;
·         использование базы репутаций.
Применение данных возможностей для СОВ на уровне системы нереально, так как потребует децентрализовано хранить огромные базы данных и тратить существенную часть ресурсов системы.
Из сетевых СОВ выделились в отдельные устройства такие специфические средства:
·         средства защиты от DDoS атак;
·         средство защиты от web-атак (WAF);
·         средства мониторинга активности пользователей в сети.
Для этих устройств нет аналогов среди СОВ системного уровня.

Разработчики СОВ на уровне системы пошли по другому пути – отказаться от хранения и использования больших баз протоколов и сигнатур сетевых атак взамен добавить такие возможности, как персональный межсетевой экран, антивирус и антиспам, контроль приложений и устройств, фильтрация web трафика.
То есть вместо 100% защиты от небольшого перечня угроз, предлагается 90% защита от большинства угроз на системном уровне.
Если раньше для большинства угроз мы нам приходилось выбирать (исходя из экономического анализа) какую СОВ ставить – на уровне сети или системы?
Сейчас этого выбора фактически нет:
·         защищаемся от угроз связанных с сетью – ставим СОВ на уровне сети;
·         защищаемся от разноплановых, но неопасных угроз – ставим СОВ на уровне системы;
·         защищаем web-сервис  - ставим средство защиты от web-атак.
Вместо этого у нас осталась возможность выбирать, какая угроза наиболее опасна (исходя из экономического анализа).

Комментариев нет: