Классификация систем обнаружения и предотвращения компьютерных атак

Loading...

From the course by National Research University Higher School of Economics

Менеджмент информационной безопасности

8 оценки

National Research University Higher School of Economics

Менеджмент информационной безопасности

8 оценки

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

From the lesson

Системы обнаружения и предотвращения компьютерных атак

Добро пожаловать на пятую неделю курса! Данный модуль пригодится Вам для расширения знаний в области информационной безопасности. После окончания этой недели Вы сможете: оценить необходимость использования систем обнаружения и предотвращения атак в конкретной информационной системе; сформулировать рекомендации по выбору конкретной системы обнаружения атак, предложить вариант выбора системы обнаружения атак; оценить различные варианты размещения компонентов (в первую очередь, сенсоров) системы обнаружения и предотвращения атак; сформулировать рекомендации по взаимодействию персонала и системы обнаружения и предотвращения компьютерных атак. Обсуждение содержания недели доступно на форуме, желаем успехов в освоении материала!

Назначение систем обнаружения и предотвращения компьютерных атак10:45

Понятие компьютерной атаки10:40

Требования к системам обнаружения и предотвращения компьютерных атак8:07

Классификация систем обнаружения и предотвращения компьютерных атак4:30

Системы анализа защищенности9:02

Системы обнаружения атак9:07

Системы контроля целостности6:31

Системы анализа журналов регистрации5:15

Размещение систем обнаружения и предотвращения атак в информационной системе7:18

Критерии выбора систем обнаружения и предотвращения компьютерных атак5:07

Meet the Instructors

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Сформулировав

основные требования к системам обнаружения и предотвращения компьютерных атак,

выделим основные классы таких систем по их функционалу и по тому,

на каком этапе обнаружения атаки они, собственно, функционируют.

Прежде всего разделим системы обнаружения атак на

категории по этапам реализации атаки.

Первый класс составят системы, действующие до начала реализации атаки.

Это различные системы анализа защищенности.

Затем уже на этапе реализации атаки в дело вступают так называемые «классические»

системы обнаружения атак, это аналог понятия системы обнаружения вторжений.

Это системы обнаружения атак, которые обнаруживают активные действия нарушителя,

направленные на нарушение политики безопасности информационной системы.

И наконец, системы обнаружения атак, действующие после завершения атаки —

это системы анализа журналов регистрации и системы контроля целостности,

которые направлены на то, чтобы обнаружить уже свершившиеся атаки и,

возможно, дать информацию для службы безопасности,

которая бы в дальнейшем могла быть использована в расследовании

этих инцидентов и в повышении уровня защищенности информационной системы с тем,

чтобы подобные атаки более не могли бы успешно реализовываться нарушителем.

Что касается систем, действующих после завершения атаки, то они могут также

и попадать во вторую категорию, то есть действовать в период реализации атаки,

на основе того, как часто проводится анализ, как он устроен.

Это же относится и к системам контроля целостности.

Если достигнута частота проверки целостности и анализа журналов регистрации

на уровне, близком к реальному времени, то такие системы могут

успевать обнаруживать и совершающиеся в данный момент атаки.

Но, как правило, они относятся к категории систем,

направленных уже на обнаружение совершенных атак.

Таким образом по этапам реализации атаки у нас такие

системы распадаются на следующие классы.

Это, во-первых, три ветви из первого прямоугольника,

которые вы видите сейчас на слайде.

Это первый прямоугольник — системы анализа защищенности,

они действуют до того, как атака начинает реализовываться нарушителем.

Далее — «классические» системы обнаружения атак и системы обнаружения

совершенных атак.

Системы обнаружения совершенных атак представлены классом систем анализа

журналов регистрации и системами контроля целостности.

Второе основание классификации — это классификация по тому, на какую

цель направлена атака, и соответственно, что защищают системы обнаружения атак.

Это системы обнаружения атак на сеть информационной системы в целом,

либо второй крупный класс — системы обнаружения атак на объекты на

конкретных узлах информационной системы.

А эта категория в свою очередь делится на еще три

подкласса: на уровне операционной системы, на уровне прикладного

программного обеспечения и на уровне систем управления базами данных.

В силу больших особенностей, которые отличают системы управления базами данных,

они выделяются в отдельную категорию, хотя и могут рассматриваться,

как прикладное программное обеспечение.

В этом случае классификация выглядит следующим образом.

Первое деление на два больших класса — это системы обнаружения атак

на уровне сети и системы обнаружения атак на уровне узла.

А на уровне узла еще три класса мы выделяем: это обнаружение атак на уровне

операционной системы,

на уровне прикладных программ и на уровне систем управления базами данных.

Четыре категории систем обнаружения атак по их функционалу мы

рассмотрим далее подробно.

Это будут системы анализа защищенности, системы обнаружения реализуемых атак,

то есть «классические» системы обнаружения атак,

и системы обнаружения уже реализованных атак, то есть системы анализа журналов

регистрации и системы контроля целостности.

[МУЗЫКА]

[МУЗЫКА]

Ознакомьтесь с нашим каталогом

Присоединяйтесь бесплатно и получайте персонализированные рекомендации, обновления и предложения.

Coursera делает лучшее в мире образование доступным каждому, предлагая онлайн-курсы от ведущих университетов и организаций.

© Coursera Inc., 2018 Все права защищены.

Загрузить из App Store

Загрузить в Google Play