- •Введение
- •Теоретическое описание, архитектура, принципы работы систем обнаружения вторжений, осуществляющих эвристический анализ
- •Причины использования ids
- •Классификация ids
- •Распределённые системы обнаружения вторжений
- •Описание распределённых ids
- •Архитектура распределённых ids
- •Системы предотвращения вторжений
- •Определение новых методов компрометации системы
- •Расположение ids
- •Активный аудит в ids
- •Варианты реакций на обнаруженную атаку
- •Выявление злоупотреблений
- •Ids, осуществляющие эвристический анализ
- •Эвристический анализ
- •Эвристика в ids
- •Этапы развертывания nids
- •Обоснование расходов на системы обнаружения вторжений
- •Преимущества hids и nids
- •Стоимость управления ids
- •Проблемы использования ids
- •Оценка рисков и управление эффективностью
- •Сравнение ids, осуществляющей эвристический анализ с подобными системами
- •Анализ работы ids Stealth Watch
- •Оценка угроз и управление эффективностью
- •Статистический риск-анализ атак, совершенных на ас, без использования сов
- •Риск-анализ атак, совершенных на ас, защищённых сов, осуществляющими эвристический анализ
- •Управление эффективностью
- •Заключение
- •Библиографический список
- •Оглавление
- •394026 Воронеж, Московский просп., 14
Обоснование расходов на системы обнаружения вторжений
Положительный возврат инвестиций (ROI–return on investment) в IDS зависит от стратегии организации и от того, насколько хорошо применение и управление этой технологией помогает организации в достижении поставленных тактических и стратегических целей. Инвестиции организаций, желающих рассчитать пользу от IDS до ее установки, напрямую зависят от их возможности продемонстрировать положительный ROI. Как правило, трудно рассчитать ROI для устройств сетевой безопасности, в частности потому, что сложно точно рассчитать риск вследствие субъективности его измерения. Кроме того, не всегда для учета доступна статистика риска, связанного с бизнесом [87].
При рассмотрении внедрения IDS технологий, возврат инвестиций можно оценить, анализируя разницу между ожидаемыми ежегодными потерями (ALE–annual loss expectancy) без IDS и ALE с установленной IDS, с учетом технологических затрат и затрат на управление. В итоге, начальной целью является доказательство того, что выгода от уменьшения ALE при установке и эффективном управлении IDS технологии выше, чем стоимость установки и управления IDS.
Преимущества hids и nids
А Главное достоинство NIDS в том, что она может контролировать с одного места всю сеть или любую подсеть. Таким образом, NIDS может обнаруживать зондирование, сканирование, злонамеренную и аномальную активность в пределах всей сети. Эти системы также могут служить для создания картины трафика в сети, а также для поиска сетевых неисправностей. При использовании механизмов автоответа, NIDS могут защитить независимые хосты или всю сеть от злоумышленников. Однако, есть у NIDS и свои слабости. Это – его подверженность к ложным тревогам и неспособность к обнаружению некоторых атак, называемых ложными отрицаниями (false negatives). NIDS также не способны понимать хост-специфичные процессы и защищать от неавторизованного физического доступа. Технология HIDS закрывает многие из этих проблем. Однако, она не способна контролировать всю сеть, как это делает NIDS. Лучшим способом для минимизации риска является комбинация этих двух систем, где NIDS установлена на границе сетей, а HIDS – на критичных серверах, таких как сервер баз данных, Web-сервер, или важный файл-сервер.
Недостатки NIDS:
Обладают высокой ресурсоёмкостью;
Для NIDS может быть трудно обрабатывать все пакеты в большой или занятой сети, и, следовательно, они могут пропустить распознавание атаки, которая началась при большом трафике.
Требуют дополнительной настройки и функциональности сетевых устройств;
Например, многие коммутаторы, на которых построены сети, не предоставляют универсального мониторинга портов, и это ограничивает диапазон мониторинга сенсора NIDS только одним хостом. Даже когда коммутаторы предоставляют такой мониторинг портов, часто единственный порт не может охватить весь трафик, передаваемый коммутатором.
Не могут анализировать зашифрованную информацию;
Эта проблема возрастает, чем больше организации (и атакующие) используют VPN.
Не могут распознать результат атаки;
NIDS не могут сказать была ли атака успешной, они могут только определить, что атака была начата. Это означает, что после того как NIDS определит атаку, администратор должен вручную исследовать каждый атакованный хост для определения, происходило ли реальное проникновение.
Некоторые NIDS имеют проблемы с определением сетевых атак, которые включают фрагментированные пакеты. Такие фрагментированные пакеты могут привести к тому, что IDS будет функционировать нестабильно.
HIPS тесно интегрированы с ядром и сервисами операционной системы для наблюдения и перехвата системных вызовов к ядру или API.
HIPS, работающие на стороне сервера, призваны защищать серверное ПО, например, web-серверы и серверы баз данных от атак обхода директорий и SQL-инъекций. HIPS могут также мониторить окружение, специфичное для каждого конкретного приложения, например, расположение файлов и значения параметров реестра для web-сервера с целью защиты приложения от эксплойтов, сигнатуры для которых еще не выпущены. HIPS для рабочих станций могут дополнительно иметь список приложений, запрещенных или разрешенных на запуск, и контролировать этот процесс.
Существенным недостатком в использовании данных систем является невозможность или затрудненность апгрейда операционной системы в дальнейшем из-за необходимости плотной интеграции c HIPS. Более того, поскольку агенты Host IPS перехватывают все запросы к системе, которую они защищают, накладываются дополнительные требования, такие как минимальное влияние на производительность системы и исключение ложных срабатываний.
Недостатки HIDS:
Не имеют централизованного управления;
HIDS более трудны в управлении, так как они должны быть сконфигурированы и управляться для каждого целевого хоста.
Могут быть блокированы некоторыми DoS-атаками или даже запрещены;
Так как, по крайней мере источники информации (сенсоры) или часть средств анализа для HIDS расположены на том же хосте, который является целью атаки, то, как составная часть атаки, IDS может быть атакована и запрещена.
Обладают высокой ресурсоёмкостью;
HIDS используют вычислительные ресурсы хостов, за которыми они наблюдают, что влияет на производительность наблюдаемой системы.
Малое покрытие для мониторинга.
HIDS не полностью соответствуют возможности определения сканирования сети или других аналогичных исследований, когда целью является вся сеть, так как IDS наблюдает только за сетевыми пакетами, получаемыми конкретным хостом.