вже спостерігає за іншими параметрами стану мережі, тобто спеціально виділений співробітник не потрібний. Проте, виявлятимуться тільки ті події, в ході яких зловмисник перетинає периметр безпеки. Вторгнення із зовнішніх мереж через приховані або невідомі канали не будуть виявлені, так само, як і неавторизований доступ до критичних серверів співробітниками організації. Іншим чинником, який треба враховувати, є те, що якщо той, що атакує зміг проникнути через системи периметр безпеки, то немає гарантій, що він не відключив подачу сигналу тривоги на цих системах.
Існують автоматизовані засоби, які виконують аналіз трафіку в реальному масштабі часу, і використовують експертні системи для виявлення незвичайної активності, яка може виявитися ознакою атаки. Ці засоби можуть розміщуватися на окремому хосте і встановлюватися на кожній критичній системі, або виконувати функції по контролю сегментів мереж і встановлюватися в центральних місцях для спостереження за трафіком. Після установки цих засобів можуть бути виявлений як зовнішні, так і внутрішні атаки. Оскільки вони не залежать від операційної системи, встановленої на сервері або хосте і систем управління доступом периметра безпеки, то що атакує, навіть якщо вони і проникли на ці системи, набагато важче обійти їх. Успішність застосування цих систем залежить від точності прогнозу послідовностей подій, що є ознаками проникнення, і це не завжди можливо. Якщо програма налаштована на дуже специфічну послідовність подій, то поведінка що реального атакує може не відповідати йому. Якщо ж вказані дуже загальні послідовності подій, від система видаватиме дуже багато помилкові сигнали тривоги. Цей підхід вимагає використання складних евристик, які можуть надмірно ускладнити використання цього засобу. Існують також засоби, які аналізують статистичні аномалії і роблять на їх основі виводи про наявність атаки. Це робиться шляхом створення статистичного профілю різних суб'єктів мережевої активності, таких як окремі користувачі, групи користувачів, додатки, сервера і так далі, і подальшого спостереження за поведінкою таких суб'єктів. Якщо спостережувана поведінка
виходить за рамки статистичного профілю, то це - ознака можливої атаки. Цей підхід також вимагає використання складних евристик, які сильно утрудняють використання цього засобу.
Використання електронних підписів для програм може допомогти встановити авторство модулів програм. При періодичному аналізі достовірності модулів в системах, що захищаються, можна виявити підміну програм зловмисником. Цей екстравагантний підхід теоретично дозволяє захиститися від атак, які не виявляються засобами периметра безпеки мережі, від таких атак, які використовують приховані канали, або від атак внутрішніх користувачів, які достатньо розумні, щоб обійти засоби захисту хоста. Можливі достоїнства цього підходу повинні бути зіставлені з низькою вірогідністю атак такого роду і складністю захисту, а також його можливостями виявити тільки модифікації програм, такі як заміна програм троянськими кіньми.
У відповідь дії
Політика комп'ютерної безпеки повинна визначити, який підхід повинен використовуватися співробітниками організації в ході у відповідь мерів при підозрі на атаку. Порядок дій в таких ситуаціях повинен бути визначений заздалегідь і розмножений письмово. Повинен бути врахований ряд типових проблем, що виникають при події, щоб їх рішення було логічним з погляду інтересів організації, а не що підказав панікою, яка може виникнути при обнародуванні факту атаки. Нижче приводяться питання, на які треба обов'язково заздалегідь дати відповідь:
· Чи слід привертати співробітників правоохоронних органів?
· Чи буде ваша організація співробітничати з іншими при спробах встановити особу зловмисника?
· Чи буде атака відбита відразу після її виявлення, або ви дозволите потенційному зловмисникові продовжити свої дії? Якщо ви дозволите йому продовжувати, то можуть бути отримані додаткові докази, що дозволяють виявити спосіб атаки, що дозволить запобігти їй в майбутньому, а також можливо вислідити зловмисника і довести справу до суду.
Відповіді на ці питання повинні бути частиною порядку залагоджування події. Якщо такий порядок не визначений, то його треба розробити. Системи виявлення атаки і порядок залагоджування події, стисло описані тут, є тільки частиною програми комп'ютерної безпеки в організації. Хоча окремі компоненти мають самостійну цінність (управління доступом, виявлення атаки, і так далі), щоб результат був максимальним, всі компоненти повинні бути узгоджені один з одним на підставі політики безпеки, розробленої для конкретної мережі. Наприклад, якщо сигнали тривоги від сервера поступають групі технічної підтримки клієнт-серверних застосувань, а сигнали тривоги брандмауера - групі мережевих адміністраторів, атака може бути недооцінена або взагалі проігнорована.
Політика виявлення атаки - низький ризик
Програмно-апаратні засоби:
Функції протоколювання в операційних системах і додатках повинні бути включені на всіх хостах і серверах.
Функції подачі сигналів тривоги, а також протоколювання, повинні бути включені на всіх брандмауерах і інших засобах управління доступом периметра безпеки.
Організаційні заходи:
Повинні виконуватися періодичні перевірки цілісності брандмауерів і інших систем управління доступом периметра безпеки.
Повинен проводитися щоденний аналіз системних журналів систем управління доступом периметра безпеки.
Повинен проводитися щотижневий аналіз системних журналів хостов і серверів у внутрішній, захищеній мережі.
Користувачі повинні бути навчені повідомляти про всі підозрілі ознаки при роботі систем своїм системним адміністраторам, а також відповідним мережевим адміністраторам або співробітникам відділу інформаційної безпеки.
Всі повідомлення про проблеми при роботі користувачів, отримані системними адміністраторами, повинні аналізуватися на предмет, чи немає ця проблема ознакою атаки. Про всі підозрілі події вони повинні повідомляти мережевих
адміністраторів і співробітників відділу інформаційної безпеки.
Політика виявлення атаки - середній ризик
Програмно-апаратні засоби:
На всіх хостах і серверах повинні бути включені функції протоколювання.
Функції подачі сигналів тривоги, а також протоколювання, повинні бути включені на всіх брандмауерах і інших засобах управління доступом периметра безпеки.
Всі критичні сервера повинні мати додаткові засоби спостереження за