Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Правильно настроенная СОА обнаруживает большой процент атак, при маленьком проценте ложных срабатываний. Понятие «СОА» часто трактуется очень широко и включает в себя множество различных компонентов, в результате чего довольно сложно определить границы. Например, это может быть обычная БД. Те же антивирусные средства также могут являться одним из компонентов СОА. Не следует исключать ошибки первого рода, которые уходят из внимания СОА. Среди программных продуктов можно перечислить: NIDS, BRO, Snort и др., о последнем продукте как раз пойдёт речь дальше в статье.
Средства контроля целостности файловых систем
СОА не могут гарантировать обнаружение всех атак, поэтому существует некоторый процент атак, не обнаруживаемый СОА. Пропущенную на первый взгляд атаку можно достоверно обнаружить другими средствами. Основывается данное утверждение на том, что цель практически любой атаки – реализоваться, поэтому любая атака будет себя как-то проявлять. Она или запустит/остановит какой-то процесс, или изменит какой-то файл или несколько файлов на диске. В любом случае, чтобы после перезагрузки компьютера его не пришлось повторно атаковать на его жёстком диске либо другом носителе, скорее всего будут сделаны изменения. В результате реализации атаки могут быть изменены загрузочные файлы либо часто используемые утилиты, например команда ls в *nix. Для борьбы с подменой или искажением файлов можно выделить группы важных неизменяемых файлов или областей диска и периодически проверять их неизменность. Некоторый аналог вспаханной полосы на границе.
Средства проверки могут быть от самых простых – проверка по размеру и времени файла – до сложных, когда используется хэш не только с содержимого файла, но и от его месторасположения на диске. Реагирование на изменение того или иного файла может быть различным от запуска заранее определённого сценария до замены файла «новым». Например, Windows XP, если обнаруживает замену некоторых своих файлов чужими, может восстановить их без ведома пользователя. Это не всегда удобно, например, если по ошибке поменять папку с пользовательскими документами как системную. Поэтому чаще всего такие средства не обходятся без контроля человеком – они высылают предупреждения администратору, а тот уже сам решает, как поступать.
В качестве примера, демонстрирующего удобство и наглядность данных средств защиты, можно рассмотреть случай организации веб-сервера, защищаемого таким образом от взлома. Для этого устанавливаются два компьютера. Один с доступом во внешний мир, на котором запущен потенциально взламываемый http-сервер, а другой для обновления, на нём нет службы http-сервера, возможно, и доступа ко внешней сети у него тоже нет. Периодически второй компьютер по внутреннему каналу связи проверяет содержимое первого и загружает туда изменения. Таким образом, однажды заменённые файлы просуществует до первой проверки, после которой изменения будут восстановлены и будет выслано сообщение администратору о необходимости его дальнейшего вмешательства. Данная схема недостаточно надёжная по причине того, что уязвимость не закрывается и сервер могут сломать повторно, но всё же реализуемая в ряде случаев.
Следует отметить, что большой процент инцидентов не регистрируется, поэтому многие атаки оказываются неучтёнными. Общее число атак день ото дня растёт с завидным постоянством. Подробнее см. ниже данные CERT. Появление нежелательного трафика к хосту является уже нормальным явлением, а различные сканирования уже не рассматриваются как инциденты, требующие немедленного вмешательства по причине того, что их очень большое число, а найти и доказать злой умысел того или иного нарушителя является непростой задачей. Возникает вопрос выбора средств по отсеву более опасных событий от менее опасных. Хост-ориентированные СОА путём исследования лог-файлов и средства контроля целостности файловых систем не всегда могут своевременно сделать выводы о начавшейся атаке до того, как станут ощутимыми её последствия. Чтобы не подвергать существующие системы большому риску, следует выбирать другие средства. Такими средствами могут быть виртуальные ловушки.