Информационная безопасность



              

Системы обнаружения компьютерных атак - не панацея


В настоящее время львиную долю отечественного рынка информационной безопасности составляют межсетевые экраны, системы обнаружения атак (Intrusion Detection Systems - IDS) и антивирусные системы. Однако эти средства перестают удовлетворять современным требованиям, предъявляемым к защитным системам. И здесь нет ничего удивительного: интервалы времени между появлением сообщения об очередной новой точке уязвимости в программном обеспечении, выпуском «заплатки» и созданием программы, использующей эту уязвимость, сокращаются сегодня очень быстро. IDS всего лишь обнаруживают компьютерные атаки. Можно провести параллель между такой системой и термометром: последний лишь определяет температуру тела больного, но не является средством лечения. Получается, что система обнаружения компьютерных атак имеет только диагностическое значение.

Существуют две технологии обнаружения атак: технология сигнатурного анализа и так называемая технология выявления аномальной деятельности. IDS, основанные на первой из них, обнаруживают далеко не все атаки, а лишь те, которые уже описаны в сигнатурах (образец IP-пакета данных, характерного для какой-либо определенной атаки). Иными словами, они реагируют только на известные атаки и беззащитны перед новыми, неизвестными. Такие IDS работают по тому же принципу, что и антивирусные программы: известные вирусы ловятся, неизвестные - нет.

Появление новой сигнатуры всегда обусловлено анализом механизма уже прошедшей атаки и ее воздействия на какую-либо информационную систему. Хорошо, если это были действия, направленные на конкретные информационные ресурсы. А если это была, допустим, новая разновидность интернет-червя? Тогда пользователь защитной системы, созданной на основе технологии сигнатурного анализа, не застрахован от последствий возможной компьютерной атаки. Принцип работы «пронесет-не пронесет» устроит лишь тех пользователей, для которых не критична потеря информации, но не тех, чья деятельность основана на использовании информационных ресурсов.




Содержание  Назад  Вперед