СОИБ. Проектирование. Сетевые или системные средства обнаружения вторжений


Некоторое количество лет назад  для защиты от одних и тех-же угроз рассматривались альтернативные технологии защиты, и приходилось выбирать между:
·         средствами обнаружения вторжений (СОВ) на сетевом уровне;
·         средствами обнаружения вторжений на уровне системы.

За последнее время СОВ на сетевом уровне шагнули далеко вперед за счет различных централизованных возможностей, таких как:
·         детальные проверки большого количества протоколов;
·         построение шаблонов “нормального” сетевого трафика;
·         интеграция со сканнерами защищенности для определения степени уязвимости узлов;
·         знание карты сети;
·         интеграция с сетевыми устройствами для автоматического блокирования атаки;
·         предварительная группировка и корреляция событий;
·         использование базы репутаций.
Применение данных возможностей для СОВ на уровне системы нереально, так как потребует децентрализовано хранить огромные базы данных и тратить существенную часть ресурсов системы.
Из сетевых СОВ выделились в отдельные устройства такие специфические средства:
·         средства защиты от DDoS атак;
·         средство защиты от web-атак (WAF);
·         средства мониторинга активности пользователей в сети.
Для этих устройств нет аналогов среди СОВ системного уровня.

Разработчики СОВ на уровне системы пошли по другому пути – отказаться от хранения и использования больших баз протоколов и сигнатур сетевых атак взамен добавить такие возможности, как персональный межсетевой экран, антивирус и антиспам, контроль приложений и устройств, фильтрация web трафика.
То есть вместо 100% защиты от небольшого перечня угроз, предлагается 90% защита от большинства угроз на системном уровне.
Если раньше для большинства угроз мы нам приходилось выбирать (исходя из экономического анализа) какую СОВ ставить – на уровне сети или системы?
Сейчас этого выбора фактически нет:
·         защищаемся от угроз связанных с сетью – ставим СОВ на уровне сети;
·         защищаемся от разноплановых, но неопасных угроз – ставим СОВ на уровне системы;
·         защищаем web-сервис  - ставим средство защиты от web-атак.
Вместо этого у нас осталась возможность выбирать, какая угроза наиболее опасна (исходя из экономического анализа).

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...