C чего начать? Какое средство обнаружения взлома лучше использовать? Студенты часто задают мне эти вопросы, прослушав наш углубленный курс практического применения навыков обнаружения вторжений. Такие вопросы меня всегда удивляют. Мы провели шесть дней и вечеров, в подробностях изучая тайные ходы хакеров, вредоносные пакеты и методы определения операционных систем на удаленных хостах. Мы раз за разом повторяли, что нет никакого универсального решения, поэтому любая система обнаружения вторжений должна использоваться совместно со средством перехвата всего трафика в сети. Я ответил на заданный вопрос своим вопросом: “Если в вашей организации сейчас не используется никакое средство обнаружения взлома, то зачем оно вообще нужно? Что изменилось?”. Борьба за установку средств обнаружения взлома является весьма непростой задачей, и инерционность мышления руководителей бывает очень сложно преодолеть.

Мы подходим к концу нашего повествования, поэтому я бы хотел успеть уделить внимание составлению бизнес-плана обнаружения взлома. Это очень важный этап работы. В предыдущих главах было показано, насколько сложны и интересны знания, позволяющие работать аналитиком сетевого трафика. Все мои коллеги в области безопасности компьютеров считают свою работу очень захватывающей, но это еще не причина, чтобы устанавливать средства обнаружения вторжений в своей организации. Тот, кто внимательно изучил материал первой половины этой Книги, обладает достаточным объемом технических сведений для обнаружения взлома. Но этого недостаточно. Я равняюсь на трех ведущих специалистов в сфере информационной безопасности: Рона Гула (Ron Gula), Маркуса Ранума (Marcus Ranum) и Мэри Росч (Marry Roesch), каждый из которых может начать разговор фразой: “Я, как бизнесмен...”. Каждый из нас является предпринимателем в той или иной степени. Это справедливо и для тех, кто работает на правительство, в университете или некоммерческой организации. Если возникла хоть мысль о необ ходимости защиты, значит, ваша организация владеет немалым капиталом. Мы потратили много сил на разработку технических и архитектурных методов решения проблемы безопасности, а также обсудили вопросы, связанные с управлением риском. Если средство для обнаружения взлома не вписывается в бизнес-модель вашей организации, оно станет причиной разногласий. Давайте попытаемся вместе разработать стратегию и продумать действия для интеграции возможностей обнаружения взлома в работу организации.

Материал этой главы в первую очередь предназначен для профессионалов в области информационной безопасности, которые:

■ не имеют средств обнаружения вторжений и в настоящее время обдумывают преимущества и недостатки того средства, которое хотят приобрести;

■ обладают устаревшими возможностями защиты и планируют приобретение новых или модернизацию старых средств;

■ используют средства обнаружения взлома, но хотят знать, сохранятся ли возможности защиты при текущей реструктуризации их организации.

В нашу задачу не входит цель поразить всех новыми технологиями. Призывов к оружию и громких криков об исходящих от хакеров угрозах будет недостаточно для длительного финансирования проекта, хотя может помочь выбить деньги на дополнительные приобретения.

В этой главе рассмотрен состоящий из трех частей план, который демонстрирует важность обнаружения взлома. В первой части плана рассмотрены проблемы, связанные с руководством организации. В ней не рассматриваются технические вопросы - она предназначена для использования в качестве шпаргалки при убеждении начальства в необходимости установить средства информационной безопасности.

Вторая часть плана посвящена ответу на вопрос: “Зачем нужно обнаруживать взлом?”. В ней рассмотрены угрозы и уязвимые места, и это тот этап, на котором нужно применить полученные знания о риске.

В третьей части предлагаются различные решения. Целью является создание письменного доклада, который бы служил планом проекта и его обоснованием. Я постарался сделать описание максимально наглядным, чтобы его можно было использовать на презентации (основной метод работы с руководством в наши дни). Каждый вопрос подан как схема, которую можно представить в виде слайда PowerPoint. Для дополнительного впечатления в слайдах PowerPoint можно использовать фрагменты из текстового отчета.

Все презентации и отчеты должны начинаться с введения, называемого резюме для руководства (executive summery), в котором должен быть показан экономический эффект проекта. При выступлении перед начальством всегда будьте готовы к рассказу в очень сжатые сроки. Нередко выдвигается жестокое условие “Уложитесь в пять минут?”. В этом случае лучше показать всего три слайда: эффект внедрения, смета и график выполнения работ. Описав экономический эффект, следует раскрыть существующую проблему, устранение которой и является основной целью проекта. Возможно, здесь стоит воспользоваться информацией из второй части вашего бизнес-плана. Третий слайд - это сетевой график, где дается описание структуры презентации.

Часть первая: работа с руководством

Наша цель - продемонстрировать руководителю, что предлагаемый проект является частью общей стратегии по защите информации и дает неоспоримые преимущества для организации. При этом отличительными характеристиками предлагаемого решения должны быть:

■ реальный результат;

■ точная смета расходов;

■ технология, не нарушающая работу организации.

Кроме того, проект должен быть частью общей стратегии защиты информации.

Реальный результат

Нужно быть реалистами. Возможность обнаружения взлома - недешевое удовольствие. Нужно иметь два быстродействующих компьютера (по 2,5 тыс. долл. каждый). Для коммерческой системы обнаружения взлома нужно купить лицензию на право ее использования (10 тыс. долл.). Таким образом, только для начала требуется 15 тыс. долл. Возможно, придется вносить изменения в локальную сеть, а это расходы на зарплату специалисту. Кроме того, нужно платить жалование аналитику сетевого трафика. Тут уже можно говорить о сумме в 100 тыс. долл. Но и это еще не все. Добавьте 100 тыс. долл. на увеличение пропускной способности, установку шести датчиков и высококачественного коммутатора для контроля за серверами. Нужна база данных для отслеживания низкоскоростных методов сканирования, RAID-матрица жестких дисков для хранения данных. Если окружающие начинают стараться снизить расходы, необходимо ясно продемонстрировать выгоды, оправдывающие все затраты.

И это не так сложно сделать. В любом бизнесе всегда присутствует риск. Вы не пропустили главу, посвященную риску? Каким образом использование системы обнаружения вторжений позволяет снизить среднегодовую вероятность ущерба (annualized loss expectancy - ALE)? Наблюдая за атаками на локальную сеть организации, специалист по защите информации может настроить брандмауэр и другие средства защиты так, чтобы эти атаки не причиняли никакого ущерба. Окупит ли это затраты в 100-350 тыс. долл.? Если нет, то с помощью систем обнаружения вторжений можно снизить риск и другим способом. С коммерческой точки зрения может оказаться, что для работы определенных приложений необходимо оставить в системах некоторые уязвимые места. Например, при добавлении в систему новых заплат безопасности некоторые приложения перестают работать. Можно настроить системы обнаружения вторжений на отслеживание попыток атак с использованием этого уязвимого места. Вообще, применять системы обнаружения вторжений выгодно. Это можно показать и доказать на примерах.

Автоматический ответ на линии подключения к internet | Обнаружение нарушений безопасности в сетях | Обнаружение взлома с помощью брандмауэров


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Октябрь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс