Таксономия, тенденции развития систем обнаружения вторжений
Автор: Александр Голяка
Научно-технический сборник “Правовое, нормативное и метрологическое обеспечение системы защиты информации в Украине”, выпуск 2(17), 2008 г., с. 34-40
УДК 681.3.067:34(477)(063)
П 68
В условиях современного развития информационных технологий в дополнение к общепринятым средствам защиты информации, основанным на разграничении и контроле прав доступа, авторизации и криптозащите данных, межсетевых экранах (МСЭ) все чаще используют системы обнаружения вторжений (intrusion detection systems – IDS) (СОВ). Угрозы и риски, связанные с компьютерными сетями предприятий, многочисленны и возникают не только за периметром сети, но и внутри организации, как преднамеренно, так и случайно. Эффективные системы по наблюдению за безопасностью учитывают максимально возможные риски и требуют глубокого понимания этих рисков, текущей архитектуры сети предприятия, признаки потенциальных угроз и действий, которые могут подвергнуть опасности данные, размещенные на компьютерах этой сети.
В информационно-телекоммуникационной системе (ИТС) СОВ осуществляет защиту практически от тех же угроз, что и межсетевой экран, однако между ними есть принципиальные различия. В то время как МСЭ главным образом фильтрует нежелательный входящий/исходящий трафик системы, СОВ анализирует определенные параметры системы, в том числе и трафик, и может сигнализировать о вторжении в ИТС. Поэтому МСЭ и СОВ обычно работают совместно, и атаки, которые МСЭ пропускает, обнаруживает СОВ. Кроме того, обнаружив атаку, СОВ может переконфигурировать МСЭ для того, чтобы нейтрализовать эту атаку. Некоторые специалисты выделяют системы с возможностью реакции на атаку как отдельный класс, называя такие системы IPS (система предотвращения/защиты от вторжений). В этом случае СОВ – это системы, которые только осуществляют мониторинг с ответными действиями после атаки (разрыв TCP или блокировка на внешнем устройстве), а функциональность IPS – это линейный мониторинг с возможностью «отклонения пакета» (которая, однако, не обязательно используется). Тогда вводят еще третий термин IDP – система выявления и предотвращения вторжений, объединяющий IDS и IPS.
