|
|
||
 |
Архив статей: 2002 год: окт; 2003 год: янв; фев; мар; апр; май; июн; июл; авг; сен; окт; ноя; дек; 2004 год: янв; фев; мар; апр; май; июн; июл; авг; сен; окт; ноя; дек; 2005 год: янв; фев; мар; апр; май; июн; июл; авг; сен; окт; ноя; дек; 2006 год: янв; фев; мар; апр; май; июн; июл; авг; сен; окт; ноя; дек; 2007 год: янв; фев; мар; апр; май; июн; июл; авг; сен; окт; ноя; дек; 2008 год: янв; фев; мар; апр; май; июн; июл; авг; сен; окт; ноя; дек; 2009 год: янв; фев; мар; апр; май; июл; авг; сен; окт; Рубрикатор: Программирование; Hardware; Администрирование; Сети; Образование; Безопасность; Web; Другое; Ретроспектива; Человек номера; Интервью; Техническая документация; Полезные советы; Острый уголnew; Закон есть закон; Статьи из журнала «Системный администратор» 12.2009:
«Перегретая тема. И снова о персональных данных» (автор: Редакция, рубрика: Закон есть закон) На вопросы читателей «СА» отвечают сопредседатели комитета по информационной безопасности Союза ИТ-директоров России Виктор Минин и Юрий Шойдин «Бессонная ночь админа, или возможно ли повышение точности IDS» (автор: Сергей Яремчук, рубрика: Безопасность) Первые упоминания о системах обнаружения атак (IDS) относятся к 1980 году, и начались с публикации Джона Андерсона (John Anderson) «Computer Security Threat Monitoring and Surveillance». Сегодня же их применяют как в сетях, так и устанавливают на отдельные компьютеры, как правило, в качестве второй дополнительной линии защиты (после firewall) для сигнализации о действиях, которые являются злонамеренными по своему содержанию, и остановки вторжения. Открытость инструментов для атаки и доступность соответствующей информации помогает не только администраторам в изучении уязвимости систем, но и приводит к тому, что у некоторых злоумышленников, как говорят, руки чешутся. Постоянные сканирования, проверки в действии эксплоитов, попытки подбора паролей, сетевые черви – далеко не полный список того, с чем сегодня приходится иметь дело администратору. И к сожалению, в этой ситуации IDS не всегда являются помощниками, а даже наоборот, подчас только мешают нормальной работе. В последнее время их работа все больше и больше вызывает критику за то, что они генерируют большое количество данных, в которых истинные предупреждения смешаны с большим количеством ложных сообщений. Учитывая, что какая-нибудь сотня предупреждений в день на сегодня – далеко не фантастическая цифра (а реально она гораздо больше, и растет постоянно), перебрать и проанализировать поступающий поток информации не в силе ни один админ, на анализ информации тратится большое количество времени, а автоматическое принятие решений может повлечь за собой любые последствия вплоть до отключения всей сети от Интернета. Кроме того, такие системы не различают атаки по степени угрозы и реагируют на малоопасные (а то вообще безопасные для данного узла) атаки или аномалии и выдают сообщения без разбора, независимо от наличия связи между некоторыми действиями. Как пример после сканирования портов далеко не всегда происходит атака. Дошло дело до того, что некоторые просто отказываются от использования сетевых IDS или ограничивают количество датчиков, чтобы не потонуть в этом море информации. Естественно, такое положение дел не могло не остаться незамеченным, и были предприняты попытки найти решения, помогающие уменьшить объем выводимой информации и увеличить точность систем обнаружения атак. |
 | ||||||||||||||||||||||