Информационная безопасность




Корреляция - часть 2


В данном случае, система обнаружения и предотвращения атак должна не только зафиксировать атаку, но и оценить ее воздействие на атакуемый узел.
  • Корреляция со сведениями об операционной системе. Если Windows-атака направлена на Unix-узел, то ее можно игнорировать и не забивать себе голову проблемой реагирования на такие нарушения. Если же атака "применима" к данной ОС, то в действие вступает следующий вариант корреляции.
  • Корреляция атак и уязвимостей. Следуя определению атаки, она не может быть успешна, если атакуемый узел или сегмент сети не содержит уязвимости. Таким образом, сопоставляя данные об атаке с информацией об уязвимостях атакуемого узла или сегмента, можно с уверенностью будет сказать, применима ли зафиксированная атака к вашей сети и, если да, то нанесет ли она вам какой-либо ущерб.
  • Результатом работы механизма корреляции может служить одно из следующих сообщений в строке статуса атаки (с разъяснением причины такого вывода):

    • Вероятно удачная атака (узел уязвим)
    • Вероятно неудачная атака (узел не уязвим)
    • Вероятно неудачная атака (блокированы некоторые пакеты, составляющие атаку)
    • Вероятно неудачная атака (атака не применима к данной операционной системе)
    • Неудачная атака (узел блокировал атаку)
    • Воздействие неизвестно (узел не сканировался)
    • Воздействие неизвестно (операционная система не определена)
    • Воздействие неизвестно (уязвимость не определена)
    • Воздействие неизвестно (корреляция не проводилась)

    Таблица 4. Результат работы механизма корреляции на примере системы RealSecure SiteProtector с установленным модулем SecurityFusion Module

    Степень риска Событие Число событий Статус
    Низкая NMap-Scan 139 Воздействие неизвестно (корреляция не проводилась)
    Средняя SMTP-Sendmail-Relay 1 Вероятно неудачная атака (узел неуязвим)
    Высокая Backdoor-BO2k 1 Неудачная атака (узел блокировал атаку)

    Существуют и другие механизмы корреляции, облегчающие работу администратора. Например, анализ шаблона атаки, позволяющий сделать вывод о применении того или иного средства реализации атаки.


    Содержание  Назад  Вперед