Информационная безопасность



              

Корреляция - часть 3


Такая информация позволяет оценить квалификацию хакера и в зависимости от этого предпринимать те или иные действия. Также может быть задействована функция сопоставления данных за заданный интервал времени, что позволяет несколько однотипных или разных событий объединить единым сообщением об атаке. Например, несколько неудачных попыток входа в систему с одного из узлов сети за короткий интервал времени могут говорить о попытке подбора пароля. Или еще один распространенный пример. Сразу после обнаружения факта сканирования Web-сервера, что само по себе является частым событием в Интернет, фиксируется попытка использования уязвимости Unicode в сервере MS Internet Information Server. По отдельности эти события могут говорить, как о реальной атаке, так и ложном срабатывании. Совокупность же этих действий, разделенных очень коротким интервалом времени, с очень высокой вероятностью говорит именно о реальной атаке, направленной на взлом сайта.

Приведу более сложный пример. Один из узлов вашей сети был успешно атакован, после чего он сам стал базой для дальнейшего распространения атаки. Система корреляции, сопоставив различные данные, может обнаружить такой факт и уведомить об этом администратора, который должен в срочном порядке отреагировать на возникшую ситуацию. Вот как может выглядеть такой факт в журнале регистрации системы обнаружения атак (см. выделение цветом в Таблице 1), а вот так он будет подан системой корреляции (см. первую строчку в Таблице 5).

Таблица 5. Результат работы механизма корреляции на примере системы RealSecure SiteProtector с установленным модулем SecurityFusion Module

Степень риска Событие Число событий Источник
Высокая Attack_From__Compromised_Host 1567 139.92.229.160
Высокая Targeted_Break_In_Attempt 1 194.98.93.252
: : : :

Кстати, здесь есть очень тонкий момент, на который необходимо обращать внимание при выборе системы управления информационной безопасности. Многие из них в своих рекламных материалах упоминают про поддержку огромного количества разнородных средств защиты (до нескольких десятков) и перечисляют известнейшие имена.


Содержание  Назад  Вперед