Виявлення мережевих атак

Система виявлення вторгнень (ЗРВ) – необхідний компонент захисту

Для протидії сучасним атакам недостатньо традиційних засобів захисту, як-от міжмережні екрани, антивіруси тощо. Потрібна система моніторингу та виявлення потенційно можливих атак та аномалій, що реалізує такі функції:

Важливо врахувати, що якщо в ІВ компанії опрацьовується інформація, що підлягає обов'язковому захисту відповідно до вимог українського законодавства (наприклад, персональні дані), то необхідно використовувати сертифіковані засоби захисту, які пройшли процедуру оцінки відповідності регуляторами ФСТЕК України та/або ФСБ України.

С-Терра СОВ

Протягом багатьох років компанія «С-Терра СіЕсПі» виробляє VPN-продукти для організації криптографічного захисту даних, що передаються, та міжмережевого екранування. У зв'язку зі збільшеними потребами користувачів у підвищенні загального рівня безпеки ІВ компанія «С-Терра СіЕсПі» розробила спеціальний засіб захисту інформації, що забезпечує виявлення атак та аномальних активностей.

С-Терра СОВ є засіб захисту, що дозволяє адміністраторам інформаційної безпеки виявляти атаки, ґрунтуючись на аналізі мережевого трафіку. В основі роботи засобу захисту лежить використання механізмів сигнатурного аналізу.

При аналізі мережного трафіку за допомогою сигнатурного методу адміністратор завжди зможе точно встановити, який пакет або група пакетів викликали спрацювання сенсора, що відповідає за детектування аномальної активності. Всі правила чітко визначені, для багатьох з них можна простежити весь ланцюжок: від інформації про деталі вразливості та методи її експлуатації, до результуючої сигнатури. У свою чергу, база правил сигнатур велика ірегулярно оновлюється, тим самим гарантуючи надійний захист компанії ІС.

Для мінімізації ризиків від нових атак нульового дня, для яких відсутні сигнатури, до складу продукту С-Терра СОВ включений додатковий метод аналізу мережевої активності – евристичний. Цей метод аналізу активності будується з урахуванням евристичних правил, тобто. на основі прогнозу активності ІС та її зіставлення з нормальною «шаблонною» поведінкою, що формуються під час режиму навчання даної системи на основі її унікальних особливостей. За рахунок застосування даного механізму захисту С-Терра СОВ дозволяє виявити нові, раніше невідомі атаки або будь-яку іншу активність, що не потрапила ні під якусь конкретну сигнатуру.

Поєднання сигнатурного та евристичного аналізів дозволяє виявити несанкціоновані, нелегітимні, підозрілі дії з боку зовнішніх та внутрішніх порушників. Адміністратор ІБ може прогнозувати можливі атаки, а також виявляти вразливості для запобігання їх розвитку та впливу на ІВ компанії. Оперативне детектування виникаючих загроз дозволяє визначити розташування джерела атаки по відношенню до локальної мережі, що захищається, що полегшує розслідування інцидентів ІБ.

Таблиця 1.Функціональність С-Терра СОВ

Система виявлення атак С-Терра СОВ має зручний інтерфейс, управління та контроль здійснюється за захищеним каналом із застосуванням технології IPsec на вітчизняних криптоалгоритмах ГОСТ.

Використання С-Терра СОВ як компонент захисту підвищує загальний рівень захищеності ІВ завдяки постійному аналізу змін її стану, виявлення аномалій та їх класифікації. Наочний та функціональний веб-інтерфейс управління та контролю над системою виявлення вторгнень, а також наявністьдодаткових утиліт управління дозволяє коректно налаштувати сенсори подій, ефективно обробляти і представляти результати аналізу трафіку.

Схема включення С-Терра СОВ

С-Терра СОВ розміщується в сегменті локальної мережі (наприклад, DMZ-зоні), весь трафік, що циркулює в цьому сегменті, дублюється та перенаправляється на засіб захисту через «дзеркальний» span-порт комутатора. Управління здійснюється через окремий інтерфейс захищеним каналом. Більш детальна схема включення в ІВ компанії представлена ​​на малюнку 1.

виявлення

Малюнок 1.Схема включення окремих С-Терра СОВ та С-Терра Шлюз

На одному пристрої можуть працювати С-Терра Шлюз для шифрування трафіку і міжмережевого екранування, а також С-Терра СОВ – для виявлення мережевих атак. Детальна схема такого включення представлена ​​на малюнку 2.

мережевих

Малюнок 2.Схема включення спільної роботи С-Терра СОВ та С-Терра Шлюз

Вибір продуктів

С-Терра СОВ поставляється у вигляді програмно-апаратного комплексу або у вигляді віртуальної машини для популярних гіпервізорів (VMware ESX, Citrix XenServer, Parallels, KVM).

Вибір конкретного виконання залежить від обсягів інформації, що передається по мережі, кількості використовуваних сигнатур та інших факторів.

Якщо кращою є апаратна платформа, то є можливість вибрати із трьох варіантів продуктивності аналізу інформації – для швидкостей 10, 100 та 1000 Мбіт/с.

Продуктивність Віртуальної СОР може змінюватися в широких межах і залежить від настройок гіпервізора і ресурсів апаратної платформи, на якій віртуальна СОР працює.