Вопрос: Сколько нужно систем обнаружения вторжения для повышения эффективности их работы?
Ответ: Все сети различны, и поэтому необходимые для них уровни контроля различаются. Специфическая толерантность читателя к риску должна помочь ему определить уровень контроля своей сети. В случае желания обеспечить высокий уровень защиты путем обнаружения многих событий вторжения следует установить по крайней мере один датчик системы обнаружения вторжения в каждом сетевом сегменте (уровень канала передачи данных). При обеспечении повышенных требований к безопасности сети желательно установить в ней системы обнаружения вторжения разных производителей с различными вариантами реализации, чтобы достоинства системы обнаружения вторжения одного производителя дополняли возможности системы обнаружения вторжения другого производителя.
Вопрос: Разве описанные способы уклонения об обнаружения не слишком совершенны для большинства атакующих? Ответ: Точно так же, как и большинство других технологий, методы и способы нападения в конечном счете реализованы в виде шаблонов приложений, которыми может воспользоваться любой. Обстановка на виртуальном поле битвы меняется мгновенно. Очередной опасный саморазмножающийся вирус может воспользоваться этими методами, тем самым резко изменив расстановку сил на рынке систем обнаружения вторжения.
Вопрос: Откуда можно почерпнуть сведения о новых способах уклонения от обнаружения?
Ответ: Компьютерное подполье является типичным катализатором развития технологий защиты. Нередкие публикации актуального материала в сети по этой теме помогут найти источники полезной информации. Нет единого источника распространения всех новых материалов по этой теме.
Для начала просмотрите следующие сайты:
• antisec (http://anti.security.is);
• Phrack (www.phrack.org);
• PacketStorm (http://packetstormsecurity.org);
• Technotronic (www.technotronic.com).Вопрос: Что следует предпринять, если меня наводнили предупреждения системы обнаружения вторжения? Ответ: Чтобы сдержать злоумышленника, системы безопасности полагаются на обособление программ и информационных файлов для защиты от несанкционированного доступа и дробление защищенных данных на мелкие изолированные блоки с целью минимизации риска несанкционированного доступа. Если видно, что атаки следуют одна за другой в отличающемся от нормы темпе, то следует изолировать и отделить друг от друга подозрительные системы, а затем попробовать определить существование некоторых хостов с известными уязвимостями или дефектами. Свяжите зарегистрированную в журналах информацию с отмеченными системами обнаружения вторжения событиями. Это поможет получить более ясную картину происходящего в сети. Не полагайтесь на авторитеты и сетевых администраторов атакующих вас систем. Обычно у них хватает своей работы или они не заинтересованы в предоставлении вам достаточной помощи.
Вопрос: Как можно узнать о работоспособности своей системы обнаружения вторжения? Ответ: Следует позаботиться о непрерывном аудите и тестировании сетевых систем, чтобы убедиться в их правильном использовании. Независимые рецензенты всегда должны рассматриваться как неотъемлемая часть системы безопасности. Тем самым будет гарантирован свежий взгляд, оценивающий сетевую архитектуру и реализацию системы обнаружения вторжения.