Виды компьютерных атак

Виды “атак грубой силы”

Переработка учетных данных Этот тип атаки требует предварительно собранных имен пользователей и паролей. Они могут быть получены из предыдущих “атак грубой силы”, от нарушений и утечек, или могут быть просто куплены в темной паутине. Затем хакер попытается использовать их на различных платформах. Например, если он получит ваши данные для входа в соцсеть, то начнет применять их, чтобы попасть в ваш банковский счет

Вот почему так важно не использовать одинаковый пароль для нескольких аккаунтов!

Атака по словарю В данном типе атаки хакер попытается использовать слова из словаря. Очень часто люди применяют в качестве паролей имена, города, объекты и т.д

Это очень облегчает их угадывание. Хакеры также могут добавлять в базу популярные комбинации паролей и цифр, такие как “Пароль 123”.

Обратное нападение грубой силы Эта атака, как следует из названия, использует обратный метод. Хакер берет один пароль, обычно популярный, и пробует его на как можно большем количестве учетных записей. В этом случае хакер не нацеливается на конкретного человека, а ищет возможность взломать случайный аккаунт.

Как защитить себя?

Безопасность вашего пароля во многом зависит от того, как администраторы сайтов хранят его или насколько они уязвимы к нарушениям и утечкам. Веб-администраторы также могут усложнить работу хакера, заблокировав учетные записи после определенного числа неудачных попыток, зашифровав пароли, снизив частоту попыток входа в систему или используя хэширование. К сожалению, вы не можете контролировать кибербезопасность сайтов, которые используете, но есть несколько приемов, которые вы можете применить для защиты своих учетных записей.

  • Используйте 2-х факторную аутентификацию. Без доступа к вашему устройству, злоумышленник не сможет войти в ваш аккаунт.
  • Увеличьте длину и сложность пароля, используя как буквы, так и цифры, а также заглавные и строчные буквы или даже символы. Если вы не знаете, как создавать сложные пароли, воспользуйтесь генератором случайных паролей.
  • Регулярно меняйте пароли.
  • Не используйте одинаковые пароли на разных аккаунтах, т.к. это сделает вас уязвимым к атакам.
  • Храните свои пароли в безопасности с помощью менеджера паролей. Он будет хранить их в зашифрованном хранилище и предложит дополнительные возможности, такие как автозаполнение. Тогда вам больше не нужно будет беспокоиться или помнить все свои пароли.

2. Методы вторжения

Однонаправленное шифрование

Эта опция хранит только зашифрованную форму пароля пользователя, поэтому, когда пользователь вводит свой пароль, система шифрует его и сравнивает со значением, которое он сохранил, и, если он идентичен, он разрешает доступ, в противном случае он его запрещает.

Контроль доступа

При этом методе доступ к паролю очень ограничен, только для одной или нескольких учетных записей.

Методы, которые обычно используют хакеры, согласно некоторым анализам:

Проверка словарных слов или списков возможных паролей, доступных на хакерских страницах

Попробуйте телефонные номера пользователя или документы, удостоверяющие личность

Тест с номерами автомобилей

Получать личную информацию от пользователей, среди прочего

Модель сетевого взаимодействия

Модель безопасного сетевого взаимодействия в общем виде можно представить следующим образом:

Рис.7 Модель сетевой безопасности

Сообщение, которое передается от одного участника другому, проходит через различного рода сети. При этом будем считать, что устанавливается логический информационный канал от отправителя к получателю с использованием различных коммуникационных протоколов (например, ТСР/IP).

Средства безопасности необходимы, если требуется защитить передаваемую информацию от противника, который может представлять угрозу конфиденциальности, аутентификации,целостности и т.п. Все технологии повышения безопасности имеют два компонента:1. Относительно безопасная передача информации. Примером является шифрование, когда сообщение изменяется таким образом, что становится нечитаемым для противника, и, возможно, дополняется кодом, который основан на содержимом сообщения и может использоваться для аутентификации отправителя и обеспечения целостности сообщения.
2. Некоторая секретная информация, разделяемая обоими участниками и неизвестная противнику. Примером является ключ шифрования.

Кроме того, в некоторых случаях для обеспечения безопасной передачи бывает необходима третья доверенная сторона (third trusted party — TTP). Например, третья сторона может быть ответственной за распределение между двумя участниками секретной информации, которая не стала бы доступна противнику. Либо третья сторона может использоваться для решения споров между двумя участниками относительно достоверности передаваемого сообщения.

Из данной общей модели вытекают три основные задачи, которые необходимо решить при разработке конкретного сервиса безопасности:1. Разработать алгоритм шифрования/дешифрования для выполнения безопасной передачи информации. Алгоритм должен быть таким, чтобы противник не мог расшифровать перехваченное сообщение, не зная секретную информацию.
2. Создать секретную информацию, используемую алгоритмом шифрования.
3. Разработать протокол обмена сообщениями для распределения разделяемой секретной информации таким образом, чтобы она не стала известна противнику.

Общее

Полное название таких систем, это системы предотвращения и обнаружения атак. Или же называют СОА как один из подходов к защиты информации. Принцип работы СОА состоит в постоянном осмотре активности, которая происходит в информационной системе. А также при обнаружении подозрительной активности предпринимать определенные механизмы по предотвращению и подаче сигналов определенным лицам. Такие системы должны решать проблемы защиты информации в сетях.

Существует несколько средств и типичных подходов у обнаружении атак которые уменьшают угрозы информационной безопасности.

Времена, когда для защиты хватало одного брандмауэра прошли. На сегодня предприятия реализуют мощные и огромные структурированные системы защиты, для ограничения предприятия от возможных угроз и рисков. С появлением таких атак, как атак на отказ в обслуживании (DDoS), адрес отправителя пакетов не может дать вам однозначный ответ, была ли против вас атака направленная или случайная. Нужно знать как реагировать на инцидент, а также как идентифицировать злоумышленника (Рис.1).

Выявить злоумышленника можно по следующим особенностям к действию:

  • реализует очевидные проколы
  • реализует неоднократные попытки на вхождение в сеть
  • пытается замести свои следы
  • реализует атаки в разное время

Рисунок — 1

Также можно поделить злоумышленников на случайных и опытных. Первые же при неудачной попытке доступа к серверу, пойдут на другой сервер. Вторые будут проводить аналитику относительно ресурса, что бы реализовать следующие атаки. К примеру администратор видит в журнале IDS, что кто-то сканирует порты вашего почтового сервера, затем с того же IP-адреса приходят команды SMTP на 25 порт. То, как действует злоумышленник, может очень много сказать о его характере, намерениях и тд. На рис.2 показан алгоритм эффективного выявление атак. Все сервисы выявления атак используют начальные алгоритмы:

  • выявление злоупотреблений
  • выявление аномалий

Рисунок — 2

Для хорошей расстановки систем обнаружения, нужно составить схему сети с:

  • границы сегментов
  • сетевые сегменты
  • объекты с доверием и без
  • ACL — списки контроля доступа
  • Службы и сервера которые есть

Обычная ошибка — то, что ищет злоумышленник при анализе вашей сети. Так как система обнаружения атак использует анализ трафика, то производители признают, что использование общего порта для перехвата всех пакетов без снижения производительности невозможно. Так что эффективная настройка систем выявления очень важная задача.

⇡#4. Самая наглая атака: Кевин Поулсен и украденный «порше»

Правда, никакого Майкла Питерса на самом деле не существовало: за этим именем скрывался Кевин Поулсен, считавшийся хакером номер один в США и к тому моменту уже успевший взломать сеть Arpanet, военную предшественницу Интернета, и хорошенько пошарить по сверхсекретным файлам. Неспроста именно он дозвонился на KIIS сто вторым – Поулсен попросту получил контроль над всеми телефонными линиями радиостанции. В нужный момент он заблокировал все входящие звонки, кроме своего, – и стал счастливым обладателем «порше».

Впрочем, счастье было не очень долгим – вскоре после этого Поулсена выследили и посадили в тюрьму на целых пять лет. Ну а затем он принял решение перейти на светлую сторону, став сначала редактором издания SecurityFocus, а затем переместившись в Wired, где он работает до сих пор и пользуется огромным уважением всего сообщества людей, связанных с информационной безопасностью.

Методы и типы атак «человек посередине»

  1. Отравление ARP-кэша
    Протокол разрешения адресов (ARP) — это низкоуровневый процесс, который преобразует адрес машины (MAC) в IP-адрес в локальной сети.
    Злоумышленники вводят в эту систему ложную информацию, чтобы заставить ваш компьютер принимать компьютер злоумышленника за сетевой шлюз. Когда вы подключаетесь к сети, злоумышленник получает весь ваш сетевой трафик (вместо вашего реального сетевого шлюза) и передает его по своему реальному месту назначения. Вам кажется, что все нормально. Но в это время злоумышленник видит все данные, которые вы принимаете и передаете.
    • Чак (наш злоумышленник) подключается к вашей сети и запускает сетевой анализатор трафика (сниффер).
    • Чак проверяет ваши сетевые пакеты, чтобы попытаться предсказать последовательность номеров пакетов между вами и шлюзом.
    • Чак отправляет на ваш компьютер пакет с поддельным исходным адресом шлюза и правильной последовательностью ARP, чтобы заставить ваш компьютер думать, что компьютер злоумышленника является шлюзом.
    • В то же время Чак нагружает шлюз атакой типа «отказ в обслуживании» (DoS), поэтому настоящий шлюз отвечает с задержкой, и вы получаете поддельный пакет ARP.
    • Чак обманул ваш компьютер, заставив его думать, что ноутбук злоумышленника является настоящим шлюзом, и атака «человек посередине» прошла успешно.
  2. Отравление кэша DNS
    Отравлением кэша DNS называется действие, когда злоумышленник дает вам поддельную запись DNS, которая ведет на другой сайт. Он может выглядеть как Google, но это не Google, и злоумышленник будет перехватывать любые данные, которые вы вводите на поддельном сайте, в том числе имя пользователя и пароль:
    • Чак выясняет, что вы используете определенный DNS-резолвер.
    • Чак знает, что он уязвим для эксплойтов.
    • Чак использует этот эксплойт, чтобы сообщить DNS-резолверу, что условный сайт www.example.com находится на принадлежащем ему IP-адресе.
    • Вы переходите на www.example.com со своего компьютера, и DNS-резолвер сообщает вам, что IP-адрес этого сайта является компьютером злоумышленника!
    • Чак завершает подключение к реальному веб-сайту, поэтому вы не понимаете, что кто-то прослушивает трафик. Злоумышленник же может видеть все пакеты, которые отправляете вы или любой другой, использующий этот DNS-резолвер для подключения к www.example.com.
  3. Подмена HTTPS
    Аббревиатура HTTPS вселяет в пользователей уверенность в том, что их данные «защищены». Здесь буква S означает secure — безопасный. По крайней мере, злоумышленник хочет, чтобы вы так думали. Злоумышленники создают веб-сайты HTTPS, которые выглядят как сайты с действующими сертификатами аутентификации, но URL-адрес у них немного другой. Например, они регистрируют имя веб-сайта с кодировкой Юникод, в котором буква «а» выглядит как «а», но не является таковой. Продолжим на примере условного сайта example.com: здесь URL может выглядеть как www.exаmple.com, но буква «а» в слове example будет кириллической. Это действительный символ Юникод, выглядящий точно так же, как и английская «а», но имеющая другое Юникод-значение.
    • Чак направляет вас на этот веб-сайт www.example.com с кириллической буквой «а» с помощью какой-нибудь уловки, например, фишинга.
    • Вы загружаете сертификат Центра Сертификации (ЦС) для поддельного веб-сайта.
    • Чак подписывает сертификат своим закрытым ключом ЦС и отправляет его вам.
    • Вы храните сертификат в защищенном хранилище ключей.
    • Чак передает трафик на настоящий сайт www.example.com, и теперь он становится настоящим «человеком посередине», прослушивающим ваш трафик.
  4. Перехват Wi-Fi
    Злоумышленники прослушивают трафик в общедоступных или незащищенных сетях Wi-Fi или создают сети Wi-Fi с распространёнными именами. Их цель — обманом заставить людей подключиться, чтобы украсть их учетные данные, номера банковских карт или любую другую информацию, которую пользователи отправляют в этой сети.
  5. Перехват сеанса
    Перехват сеанса — это атака «человек посередине», при которой злоумышленник наблюдает за вами, чтобы войти на веб-страницу (например, учетную запись банка или электронной почты), а затем крадет ваш cookie-файл сеанса для входа в ту же учетную запись из своего браузера. Этот вид атаки мы демонстрируем на нашем семинаре по кибератакам Live Cyber Attack, о котором упоминали ранее.
    Как только злоумышленник получит ваш cookie-файл активного сеанса, он сможет делать на этом веб-сайте то же самое, что и вы. Чак (наш парень из примера) мог перевести все ваши сбережения на оффшорный счет, купить кучу товаров с помощью сохраненной банковской карты или использовать перехваченный сеанс, чтобы проникнуть в сеть вашей компании и глубоко внедриться в корпоративную сеть.

Атака на Wi-Fi точки доступа из глобальной и локальной сетей

Это достаточно недооценённая проблема. А вы только задумайтесь, огромное количество людей имеют беспроводной роутер или модем дома. Как правило, дальше настройки Интернета и Wi-Fi мало кто доходит. Мало кто заботится о том, чтобы сменить пароль администратора, и уже совсем единицы вовремя обновляют прошивку устройств.

И всё это множество устройств с учётными данными admin:password прекрасны видны для сканеров в локальной или глобальной сети… (есть исключения, например, не видны устройства с серыми адресами, за NAT и т. д. Т.е. они не видны из глобальной сети, но никто не отменял их видимость в локальных сетях).

И уже есть реализации массовой атаки на дефолтные учётные данные и на известные уязвимости роутеров: Router Scan by Stas’M.

Ситуация похожа на анекдот: «Гестапо обложило все выходы, но Штирлиц вышел через вход».

И с каждым годом количество и виды устройств, которые подключены к сети, только увеличивается. Естественным следствием этого является рост количества устройств, которые не настраивались вообще ни кем. К этим устройствам добавляются веб-камеры, файловые сервера, телевизоры с Wi-Fi (и с встроенными видеокамерами, между прочим), а также разные другие элементы интерьера «умного дома»,

Пассивные типы компьютерных атак

Подслушивание

Как подсказывает название,хакеры будут вкрадчиво слышать разговор который происходит между двумя компьютерами в сети. Это может произойти в закрытой системе,а также через интернет. Другие имена,с которыми это связывают snooping. С подслушиванием, конфиденциальные данные могут внести свой путь по сети и могут быть доступны для других людей.

Парольные атаки

Одним из наиболее распространенных типов кибер-атак парольные атаки.Здесь хакеры получают доступ к компьютеру и ресурсам сети путем получения пароля управления.Часто можно увидеть,что злоумышленник изменил сервер и конфигурацию сети и в некоторых случаях даже могут удалить данные.Кроме того, данные могут передаваться в разные сети.

Скомпрометированный ключ атаки

Для хранения конфиденциальных данных,может быть использованы секретный код или номер.Получить ключ,без сомнения, настоящая огромная задача для хакера,и не исключено, что после интенсивных исследований хакер,действительно,способен положить руки на клавиши. Когда ключ находится в распоряжении хакера, он известен как скомпрометированный ключ. Хакер, теперь будут иметь доступ к конфиденциальным данным и может внести изменения в данные. Однако, существует также вероятность того, что хакер будет пробовать различные перестановки и комбинации ключа для доступа к другим наборам конфиденциальных данных.

Имитация удостоверения

Каждый компьютер имеет IP-адрес, благодаря которому он является действительным, и независимым в сети.Одной из распространённых компьютерных атак является предположение личности другого компьютера.Здесь IP-пакеты могут быть отправлены с действительных адресов и получить доступ к определенному IP. Как только доступ будет получен,данные системы могут быть удалены, изменены или перенаправлены.Кроме того, хакер может воспользоваться этим взломанным IP адресом и напасть на другие системы в пределах или за пределами сети.

Application Layer атаки

Целью атаки на уровне приложений-это вызвать сбой в операционной системе сервера.Как только будет создана ошибка в операционной системе,хакер сможет получить доступ к управлению сервером.Это в свою очередь приводит к изменению данных различными способами. В систему может быть внедрён вирус или могут отправляться многочисленные запросы к серверу, которые могут привести к её сбою или может быть отключен контроль безопасности, из-за которого восстановление сервера,может стать затруднительным.

Это были некоторые типы атак,которым могут подвергнуться сервера и отдельные компьютерные системы.Список новейших компьютерных атак продолжает увеличиваться с каждым днем, для этого хакеры используют новые методы взлома.

⇡#1. Самое первое кибероружие: ядерный удар Stuxnet

Countdown to day zero – книга Ким Зеттер о Stuxnet и появлении кибероружия

Мы на 3DNews тоже писали про Stuxnet: вот вам конспирологическая статья Сергея Вильянова, вот просто несколько новостей. В компьютерном мире событие это было абсолютно беспрецедентное. Если кратко, то ситуация сложилась вот какая: в ядерном центре в Иране вследствие компьютерного сбоя центрифуги для обогащения урана вышли за пределы разрешенных режимов работы и физически разрушились. Увеличить скорость вращения выше безопасных значений их заставили контроллеры, управляемые специальными индустриальными компьютерами Siemens PLC, не подключенными к Интернету. И виноват в этом был компьютерный червь Stuxnet. 

Как зловред попал на машины, не подключенные к Сети? Как он избегал обнаружения, хотя, как выяснилось позже, когда антивирусные компании сняли сигнатуры и написали детекты, червь заразил около 200 000 машин? Почему на всех этих машинах ничего не произошло, а в Иране червь вдруг начал действовать? Как им управляли, когда компьютер, на котором червь модифицировал настройки, не был подключен к Интернету?

Отвечать на эти вопросы можно долго — что, собственно, Ким Зеттер в своей довольно толстой книжке и делает. А заодно рассказывает, как маленькая белорусская компания «ВирусБлокАда» первой обнаружила зловреда, как к расследованию подключились два антивирусных гиганта – Symantec и «Лаборатория Касперского», причем работая в режиме 24/7. Изучали они зловреда долго – и выяснили вот что. 

С атрибуцией атаки, конечно, все сложно, но большинство экспертов сходится во мнении, что Stuxnet – совместное творение США и Израиля. И что создан он был именно для того, чтобы затормозить иранскую ядерную программу. Червь использовал целую пачку уязвимостей нулевого дня – то есть тех, о которых разработчики уязвимого ПО еще не в курсе, – и тщательно прятался от любых антивирусов. Распространялся он, записывая себя на съемные носители: по всей видимости, именно на флешке его и занесли на не подключенные к Сети машины.

Целью Stuxnet изначально были пять иранских организаций, все так или иначе связанные с ядерной программой. На обычных компьютерах Stuxnet не делал вообще ничего, кроме как размножался – и то ограниченно. А вот если червь понимал, что находится на SCADA-системе, на которой также установлено ПО Siemens, то он прописывал свой компонент в это ПО, перехватывая коммуникации между компьютером и управляемыми им системами. Но опять же действовал червь не в каждом таком случае, а только если к контроллерам Siemens PLC были подключены моторы с частотой вращения от 807 до 1210 об/мин, причем одного из двух конкретных производителей. Только в этом случае Stuxnet начинал делать свое черное дело – периодически повышал частоту вращения до 2000 об/мин, чего моторы не выдерживали и ломались. Именно такое оборудование с такими характеристиками и стояло в центре обогащения урана в Иране.

Контроллеры Siemens Simatic S7-300 – именно такие контроллеры и управляющие ими машины интересовали Stuxnet. Изображение

При этом на каждом шагу червь маскировал свои действия и препятствовал обнаружению и удалению. Интересно и то, что вокруг Stuxnet существовала дополнительная инфраструктура: для обновления компонентов были подняты два command&control-сервера – в Дании и в Малайзии. Поскольку червь попал на нужные машины далеко не сразу, по дороге он несколько раз совершенствовался и донастраивался. Но в теории Stuxnet мог спокойно обходиться и без C&C-серверов: он был рассчитан на то, чтобы действовать автономно. 

Stuxnet оказался самым сложным зловредом, с которым многим антивирусным компаниям вообще доводилось сталкиваться. В мире киберугроз это было настоящее произведение искусства – очень опасное, но почти гениальное. Собственно, после появления Stuxnet люди всерьез заговорили о таком явлении, как кибероружие. И хотя многие компании, занимающиеся информационной безопасностью, стараются этот термин использовать пореже, обычно вместо этого говоря об APT (advanced persistent threats), отрицать существование кибероружия после Stuxnet стало невозможно.

Виртуальное поле боя The Standoff

За последние годы эксперты Positive Technologies обкатали подобный формат киберпротивостояния во время Positive Hack Days: здесь уже 5–7 лет назад отрабатывались кейсы с реальными векторами, основанными на практическом опыте оценки защищенности разных инфраструктур — банков, заводов, транспортных систем и других. Впоследствии этот формат эволюционировал в так называемое противостояние — когда с одной стороны есть те, кто атакует цифровые копии компаний, с другой — эксперты по кибербезопасности, которые выявляют кибератаки и противодействуют им в реальном времени.

Логичным развитием идеи стало создание полноценного киберполигона — онлайн-площадки The Standoff с цифровым городом, где представлены все наиболее критичные инфраструктуры современного мегаполиса, включая транспортную, развлекательную, энергетическую, промышленную, — предназначенного для отработки и повышения навыков информационной безопасности, тестирования с точки зрения защищенности и надежности всевозможных технологий.

На киберполигоне The Standoff нападающие реализуют конкретные бизнес-риски, сформированные для каждого из развернутых на нем прототипов реальных компаний. В этом году это будут логистические, транспортные (грузовые и пассажирские перевозки), добывающие и распределительные энергетические инфраструктуры, системы умного городского хозяйства, финансовые, телекоммуникационные структуры и другие. Командам атакующих нужно суметь не только найти уязвимость и воспользоваться ей, но и реализовать риски: например, украсть деньги, вывести из строя энергетическую систему, организовать транспортный коллапс в мегаполисе.

Такой подход, по замыслу создателей киберполигона, видится наиболее соответствующим задачам и вызовам современного мира и современной безопасности. Подобный киберполигон при этом позволит формировать абсолютно агрессивную среду для тестирования технологий, в том числе и погружать их в условия чрезвычайных ситуаций, которые могут случиться, даже теоретически.

Достоинства систем обнаружения атак

Можно долго перечислять различные достоинства систем обнаружения атак,
функционирующих на уровне узла и сети. Однако я остановлюсь только на
нескольких из них.

Коммутация позволяет управлять крупномасштабными сетями, как несколькими
небольшими сетевыми сегментами. В результате бывает трудно определить
наилучшее место для установки системы, обнаруживающей атаки в сетевом трафике.
Иногда могут помочь специальные порты (span ports) на коммутаторах, но не
всегда. Обнаружение атак на уровне конкретного узла обеспечивает более
эффективную работу в коммутируемых сетях, так как позволяет разместить системы
обнаружения только на тех узлах, на которых это необходимо.

Системы сетевого уровня не требуют, чтобы на каждом хосте устанавливалось
программное обеспечение системы обнаружения атак. Поскольку для контроля всей
сети число мест, в которых установлены IDS невелико, то стоимость их
эксплуатации в сети предприятия ниже, чем стоимость эксплуатации систем
обнаружения атак на системном уровне. Кроме того, для контроля сетевого
сегмента, необходим только один сенсор, независимо от числа узлов в данном
сегменте.

Сетевой пакет, будучи ушедшим с компьютера злоумышленника, уже не может быть
возвращен назад. Системы, функционирующие на сетевом уровне, используют «живой»
трафик при обнаружении атак в реальном масштабе времени. Таким образом,
злоумышленник не может удалить следы своей несанкционированной деятельности.
Анализируемые данные включают не только информацию о методе атаки, но и
информацию, которая может помочь при идентификации злоумышленника и
доказательстве в суде. Поскольку многие хакеры хорошо знакомы с механизмами
системной регистрации, они знают, как манипулировать этими файлами для скрытия
следов своей деятельности, снижая эффективность систем системного уровня,
которым требуется эта информация для того, чтобы обнаружить атаку.

Системы, функционирующие на уровне сети, обнаруживают подозрительные события
и атаки по мере того, как они происходят, и поэтому обеспечивают гораздо более
быстрое уведомление и реагирование, чем системы, анализирующие журналы
регистрации. Например, хакер, инициирующий сетевую атаку типа «отказ в
обслуживании» на основе протокола TCP, может быть остановлен системой
обнаружения атак сетевого уровня, посылающей TCP-пакет с установленным флагом
Reset в заголовке для завершения соединения с атакующим узлом, прежде чем
атака вызовет разрушения или повреждения атакуемого узла. Системы анализа
журналов регистрации не распознают атаки до момента соответствующей записи в
журнал и предпринимают ответные действия уже после того, как была сделана
запись. К этому моменту наиболее важные системы или ресурсы уже могут быть
скомпрометированы или нарушена работоспособность системы, запускающей систему
обнаружения атак на уровне узла. Уведомление в реальном масштабе времени
позволяет быстро среагировать в соответствии с предварительно определенными
параметрами. Диапазон этих реакций изменяется от разрешения проникновения в
режиме наблюдения для того, чтобы собрать информацию об атаке и атакующем, до
немедленного завершения атаки.

И, наконец, системы обнаружения атак, функционирующие на сетевом уровне, не
зависят от операционных систем, установленных в корпоративной сети, так как
они оперируют сетевым трафиком, которым обмениваются все узлы в корпоративной
сети. Системе обнаружения атак все равно, какая ОС сгенерировала тот или иной
пакет, если он в соответствие со стандартами, поддерживаемыми системой
обнаружения. Например, в сети могут работать ОС Windows 98, Windows NT,
Windows 2000 и XP, Netware, Linux, MacOS, Solaris и т.д., но если они общаются
между собой по протоколу IP, то любая из систем обнаружения атак,
поддерживающая этот протокол, сможет обнаруживать атаки, направленные на эти ОС.

Совместное применение систем обнаружения атак на уровне сети и уровне
узла повысит защищенность вашей сети.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий