в относительно высокой доле
ошибок второго рода, плохой работе в случае, когда неправомерное поведение
является типичным, когда типичное поведение плавно меняется от легального к
неправомерному, а также в случаях, когда типичного поведения нет (как
показывает статистика, таких пользователей примерно 5-10%).
Средства активного аудита могут
располагаться на всех линиях обороны информационной системы. На границе
контролируемой зоны они могут обнаруживать подозрительную активность в точках
подключения к внешним сетям (не только попытки нелегального проникновения, но и
действия по "прощупыванию" сервисов безопасности). В корпоративной
сети, в рамках информационных сервисов и сервисов безопасности, активный аудит
в состоянии обнаружить и пресечь подозрительную активность внешних и внутренних
пользователей, выявить проблемы в работе сервисов, вызванные как нарушениями безопасности,
так и аппаратно-программными ошибками. Важно отметить, что активный аудит, в
принципе, способен обеспечить защиту от атак на доступность.
К сожалению, формулировка "в
принципе, способен обеспечить защиту" не случайна. Активный аудит
развивается более десяти лет, и первые результаты казались весьма
многообещающими. Довольно быстро удалось реализовать распознавание простых
типовых атак, однако затем было выявлено множество проблем, связанных с
обнаружением заранее неизвестных атак, атак распределенных, растянутых во
времени и т.п. Было бы наивно ожидать полного решения подобный проблем в
ближайшее время. (Оперативное пополнение базы сигнатур атак таким решением,
конечно, не является.) Тем не менее, и на нынешней стадии развития активный
аудит полезен как один из рубежей (вернее, как набор прослоек) эшелонированной
обороны.
Функциональные
информации;
·
компоненты извлечения регистрационной информации (сенсоры).
Обычно различают сетевые и хостовые сенсоры, имея в виду под первыми выделенные
компьютеры, сетевые карты которых установлены в режим прослушивания, а под
вторыми - программы, читающие регистрационные журналы операционной системы. На
наш взгляд, с развитием коммутационных технологий это различие постепенно
стирается, так как сетевые сенсоры приходится устанавливать в активном сетевом
оборудовании и, по сути, они становятся частью сетевой ОС;
·
компоненты просмотра регистрационной информации. Могут помочь при
принятии решения о реагировании на подозрительную активность;
·
компоненты анализа информации, поступившей от сенсоров. В
соответствии с данным выше определением средств активного аудита, выделяют
пороговый
Главная / безопасность пк / методы защиты информации 