Системы контроля целостности

Loading...

Из курса от партнера National Research University Higher School of Economics

Менеджмент информационной безопасности

11 оценок

National Research University Higher School of Economics

Менеджмент информационной безопасности

11 оценок

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

Из урока

Системы обнаружения и предотвращения компьютерных атак

Добро пожаловать на пятую неделю курса! Данный модуль пригодится Вам для расширения знаний в области информационной безопасности. После окончания этой недели Вы сможете: оценить необходимость использования систем обнаружения и предотвращения атак в конкретной информационной системе; сформулировать рекомендации по выбору конкретной системы обнаружения атак, предложить вариант выбора системы обнаружения атак; оценить различные варианты размещения компонентов (в первую очередь, сенсоров) системы обнаружения и предотвращения атак; сформулировать рекомендации по взаимодействию персонала и системы обнаружения и предотвращения компьютерных атак. Обсуждение содержания недели доступно на форуме, желаем успехов в освоении материала!

Назначение систем обнаружения и предотвращения компьютерных атак10:45

Понятие компьютерной атаки10:40

Требования к системам обнаружения и предотвращения компьютерных атак8:07

Классификация систем обнаружения и предотвращения компьютерных атак4:30

Системы анализа защищенности9:02

Системы обнаружения атак9:07

Системы контроля целостности6:31

Системы анализа журналов регистрации5:15

Размещение систем обнаружения и предотвращения атак в информационной системе7:18

Критерии выбора систем обнаружения и предотвращения компьютерных атак5:07

Познакомьтесь с преподавателями

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Далее перейдем к

классам систем обнаружения предотвращения компьютерных атак,

которые вступают в действие после завершения атаки нарушителем.

Первый из таких классов — это системы контроля целостности.

Они предназначены для обнаружения любых изменений ресурсов,

то есть в первую очередь объектов информационной системы, для того

чтобы обнаруживать любые нарушения политики безопасности в этих изменениях.

Для того чтобы обеспечить функционирование таких систем, требуется,

во-первых, организовать контроль целостности объектов системы.

Рекомендуется организовывать его по следующему сценарию.

Во-первых, определить перечень контролируемых объектов информационной

системы, то есть те объекты,

которые требуют защиты, которые не должны часто изменяться,

на которые можно распространить контроль целостности.

Если речь идет о том, что какой-то объект часто изменяется по всем параметрам, то,

очевидно, контролировать его целостность либо трудоемко, либо не имеет смысла.

После того как объекты контроля определены,

требуется разделить их на категории по важности и особенностям доступа.

Например, к части из них может быть часто обращение на запись, например,

к журналам регистрации.

Но при этом права доступа к ним не должны изменяться, и должно отсутствовать такое

явление, как удаление каких-то записей из них, то есть снижение размера,

после каждого сеанса записи их размер должен увеличиваться.

Например, можно ввести такой контрольный параметр.

После того как объекты разделены на категории по важности и

особенностям доступа, для каждого такого класса, для каждой такой категории,

следует определить перечень контролируемых атрибутов файлов,

о которых мы поговорим далее на следующем слайде.

То есть следует выделить те параметры, которые можно контролировать,

которые должны оставаться неизменными.

После того как перечень таких контролируемых атрибутов определен,

следует определить приоритеты и расписание проверок для каждой категории.

Очевидно, что если проверять все файлы одновременно,

то система будет очень сильно нагружена и ее работоспособность снизится.

Следует часто проверять наиболее важные объекты, менее важные — чуть реже,

еще менее важные реже, некоторые, возможно, раз в неделю или даже еще реже,

в зависимости от того, как часто к ним происходит доступ,

как часто они должны меняться, насколько большую важность в системе они имеют.

Заключительным этапом этого сценария является расследование любых

несанкционированных изменений объектов информационной системы.

Для того чтобы эта система действительно была системой обнаружения и

предотвращения компьютерных атак, необходимо каждое несанкционированное

изменение доводить до выяснения его причины и принятия конкретных мер по

недопущению аналогичных событий в дальнейшем.

При организации контроля целостности контролировать следует атрибуты

файлов из следующей категории.

Это может быть не исчерпывающая категория, это примерный список тех атрибутов,

которые, как правило, контролируются, некое их подмножество в зависимости от

особенностей конкретных объектов: это размер файлов,

содержание каталогов, расположение в системе, время и дата создания,

последнее его изменение, владелец и право доступа, и контрольная сумма.

Совокупность некоего подмножества из данного списка атрибутов позволяет с

достаточной степенью вероятности обнаруживать все несанкционированные

изменения в файлах и оперативно на них реагировать.

Достоинствами систем контроля целостности

является обнаружение любых атак и несанкционированных действий,

в результате которых изменялись объекты информационной системы.

Примером таких несанкционированных действий является дописывание текста

вредоносной программы в некий другой файл или, например, изменение файла,

отвечающего за права пользователей в информационной системе,

что может свидетельствовать о том, что нарушитель повышает или создает себе

необходимые ему для реализации атаки полномочия в информационной системе.

Еще одно достоинство заключается в возможности обнаружения ранее

неизвестных атак.

В самом деле, для их обнаружения не требуется знать сценарий атаки.

Если атака так или иначе связана с изменениями объектов информационной

системы, она будет обнаружена.

Еще одно достоинство заключается в возможности в некоторых случаях устранить

последствия атаки без существенных восстановительных мероприятий.

Если точно известно, какие конкретно объекты изменены,

то если существуют их резервные копии, то можно их восстановить из этих копий,

и таким образом, например, избежать переустановки операционной системы.

Недостатками же систем контроля целостности

как систем обнаружения атак является то, что они не обнаруживают атаки,

не связанные с изменением объектов информационной системы.

Например, атаки типа отказа в обслуживании.

Они же не предоставляют картины развития атаки, они лишь свидетельствуют о том,

что в результате ее изменился тот или иной атрибут какого-то

объекта информационной системы.

Администратор не может восстановить с их помощью всю картину событий, а это,

соответственно, негативно влияет на возможность в дальнейшем принять какие-то

превентивные меры по предотвращению аналогичных атак в будущем.

При высоком объеме контролируемых данных системы контроля целостности могут

негативно влиять на работу информационной системы, поскольку частые проверки,

затрагивающие к тому же большое количество объектов,

могут сильно загружать ресурсы информационной системы.

Время реакции на атаки зависит от расписания проверок и может

составлять диапазон от реакции практически в реальном времени.

В этом случае системы контроля целостности могут по сути попасть в категорию систем,

реагирующих на конкретные действия нарушителей в реальном времени до

обнаружения уже завершенной атаки в ситуации, если проверка происходит

достаточно редко и, разумеется, уже отстает от момента завершения атаки.

[МУЗЫКА] [МУЗЫКА]

[МУЗЫКА]

Ознакомьтесь с нашим каталогом

Присоединяйтесь бесплатно и получайте персонализированные рекомендации, обновления и предложения.

Coursera делает лучшее в мире образование доступным каждому, предлагая онлайн-курсы от ведущих университетов и организаций.

© Coursera Inc., 2018 Все права защищены.

Загрузить из App Store

Загрузить в Google Play