Обнаружение и предотвращение вторжений сертифицированными средствами защиты семейства "Панцирь"

Обнаружение и предотвращение вторжений сертифицированными средствами защиты семейства "Панцирь"

"Системы обнаружения вторжений (СОВ) используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей).

В пассивной СОВ при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как система Предотвращения Вторжений (IPS - Intrusion Prevention system), СОВ осуществляет ответные действия на нарушение (автоматически либо по команде оператора).

Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак. Уже в 1984 Фред Коэн сделал заявление о том, что каждое вторжение обнаружить невозможно и ресурсы, необходимые для обнаружения вторжений, будут расти вместе со степенью использования компьютерных технологий.

Наиболее распространёнными являются, так называемые, локальные и сетевые СОВ. Вариант с локальной СОВ предполагает, что система обнаружения устанавливается на каждом отдельном компьютере. Сетевые СОВ собирают пакеты, поступающие в сеть через одно устройство и анализируют их, прежде чем пересылать заданным узлам. Сетевые СОВ сегодня считаются менее эффективными, так как при большом количестве узлов в сети становится невозможным обеспечение надёжной фильтрации пакетов, как следствие, защиты компьютеров в сети.

В комплексных системах защиты информации (КСЗИ) семейства "Панцирь", сертифицированных ФСТЭК России (http://www.npp-itb.spb.ru/files/Armour-K.Preim.rar и http://www.npp-itb.spb.ru/files/Armour-S.Preim.rar), реализована принципиально новая технология обнаружения и предотвращения атак (локальная СОВ), основанная на предотвращении аномального поведения приложений, сетевых служб и системных процессов, краткое описание которой представлено компанией ЗАО "НПП "ИТБ" по ссылке: http://www.npp-itb.spb.ru/files/Tech-def-vt.doc. Данная технология состоит в реализации в КСЗИ семейства "Панцирь" разграничений прав доступа для процессов (с учетом, либо без учета прав доступа пользователей – процесс является самостоятельным субъектам доступа) к защищаемым ресурсам: файловым объектам, локальным и разделенным в сети, на жестком диске и на внешних накопителя, к объектам реестра ОС, к запуску приложений, к сетевым ресурсам, к сервисам олицетворения (заимствование прав при доступе к ресурсам), к буферу обмена. Для обнаружения вторжений, регистрируемых средствами аудита КСЗИ, не требуется какого-либо сигнатурного анализа, что позволяет решать одну из наиболее трудоемких задач защиты информации без какого-либо заметного влияния на загрузку вычислительного ресурса. Возможности же предотвращения вторжений заложены собственно в реализуемой разграничительной политике доступа процессов к защищаемым ресурсам. В предлагаемом для ознакомления материале приведены примеры апробированных настроек средств защиты, иллюстрирующие простоту настройки и эффективность решения.

www.ITSec.Ru по материалам НПП "ИТБ"