[МУЗЫКА] В заключение сегодняшней лекции кратко рассмотрим критерии выбора систем обнаружения и предотвращения компьютерных атак, то есть те аспекты, на которые требуется обратить внимание, когда перед специалистом по информационной безопасности стоит задача выбора конкретной модели, конкретного поставщика систем обнаружения атак, а также конкретного класса систем обнаружения атак, которые требуются для конкретной информационной системы. Для того чтобы сделать осмысленный вывод о том, какая система обнаружения атак требуется для конкретной информационной системы, следует обратить внимание на параметры, которые вы сейчас видите на слайде: это архитектура систем обнаружения атак — единая либо модульная; место размещения; поддерживаемые операционные системы и сетевые протоколы; доступный перечень источников информации, который, соответственно, будет влиять на то, насколько система обнаружения атак будет информирована о том, что происходит в сети; доступный перечень вариантов реагирования на атаки позволит администратору предпринимать различные действия в ответ на обнаруженные атаки, может быть, не только информирование, но и изменение каких-то настроек средств обеспечения безопасности информации; возможность удаленного управления — это меры удобства работы администратора с данной системой обнаружения атак; число поддерживаемых агентов, или сенсоров, системы обнаружения атак тоже во многом влияет на то, хватит ли одного комплекта или потребуется два или более полных комплекта систем обнаружения атак для того, чтобы, например, покрыть все важные места в сети информационной системы, для того чтобы система обнаружения атак была полностью проинформирована обо всех событиях, в этой сети происходящих. Из других параметров можно выделить обеспечение отказоустойчивости связи между сенсорами и основным модулем. Если система имеет специальные протоколы и процедуры обеспечения такой отказоустойчивости, это более надежная система, чем та, которая таких процедур не имеет. Оперативность и качество обновления баз сигнатур, уязвимостей и так далее — это параметр не столько самой системы, сколько ее поставщика, но практически для любой системы обнаружения атак данное качество является показателем надежности работы этой системы. Если поставщик регулярно и в ответ на появление новых угроз выпускает обновления к базам уязвимостей или базам сигнатур атак, то можно предполагать, что такая система обнаружения атак будет работать надежно и от большинства известных атак надежно защищать. Возможность добавления пользовательских сигнатур и правил является важным параметром возможности расширения функционала систем обнаружения атак. И если планируется доработка систем обнаружения атак под нужды конкретной, не вполне типовой информационной системы, то есть не попадающей под какую-то идеальную шаблонную схему, а большинство реальных информационных систем под них не попадают, именно такая возможность является залогом тонкой настройки системы обнаружения атак. Поэтому возможность добавления пользовательских сигнатур и правил — это большой плюс. Наличие технической поддержки поставщика следует оценить в полной мере, поскольку, если техническая поддержка хорошая, она в любое время доступна и администратор безопасности может проконсультироваться с ней по поводу настроек, изменения модификации, замены неисправных модулей, перенастройки модулей и системы обнаружения атак, то это также залог длительного и надежного функционирования систем. Также можно оценить такие параметры, как удобство работы и настройки, производительность и стоимость — в некотором роде чисто экономические показатели, которые также немаловажны при выборе конкретной системы обнаружения атак. Рассмотренные в рамках сегодняшней лекции системы обнаружения атак являются существенным и достаточно мощным дополнением к ранее рассмотренным эшелонам системы безопасности информации в информационной системе. По сути, они являются даже не последним эшелоном, а такой активной системой вдобавок к постоянно действующим мерам защиты информации, которая призвана минимизировать шансы нарушителя на успешную реализацию атаки. Рассмотренные в рамках сегодняшней лекции системы обнаружения атак являются важным активным дополнением к ранее рассмотренным мерам обеспечения защиты информации. При их надежном использовании вероятность успешной реализации нарушителем атаки практически сводится к минимуму. [МУЗЫКА] [МУЗЫКА]