Системи захисту

Системи аналізу захищеності проводять всебічні дослідження систем з метою виявлення вразливих місць, які можуть призвести до порушень політики безпеки. Результати, отримані від засобів аналізу захищеності, подають «миттєвий знімок» стану захисту системи у заданий момент часу. Незважаючи на те, що ці системи не можуть виявити атаку в процесі її розвитку, вони можуть визначити можливість реалізації атак.

Функціонувати системи аналізу захищеності можуть на всіх рівнях інформаційної інфраструктури. Найбільшого поширення дістали засоби аналізу захищеності мережевих сервісів і протоколів. Другими за поширеністю є засоби аналізу захищеності операційних систем.

При проведенні аналізу захищеності ці системи реалізують дві стратегії. Перша - пасивна, реалізована на рівні операційної системи, СУБД і прикладних програм, при якій здійснюється аналіз конфігураційних файлів і системного реєстру на наявність неправильних параметрів; файлів паролів на наявність паролів, що легко вгадуються, а також інших системних об'єктів на порушення політики безпеки. Друга стратегія - активна, здійснювана у більшості випадків на мережевому рівні, що дозволяє відтворювати найпоширеніші сценарії атак і аналізувати реакції системи на ці сценарії.

Аналогічно до систем аналізу захищеності, «класичні» системи виявлення атак також можна класифікувати за рівнем інформаційної інфраструктури, на якому виявляються порушення політики безпеки.

Виявлення атак реалізується за допомогою аналізу або журналів реєстрації операційної системи й прикладного програмного забезпечення, або мережевого трафіку в реальному часі. Компоненти виявлення атак, розміщені на вузлах або сегментах мережі, оцінюють різні дії. Проводячи аналогію зі світом фізичного захисту, системи виявлення атак - це охоронні відеокамери й різні датчики (руху, тиску тощо). У вас на вході у будинок (локальну мережу) може стояти охоронець (міжмережевий екран). Але кваліфікований і досвідчений зловмисник може його обдурити, маскуючись під співробітника фірми (укравши ідентифікатор і пароль користувача) або проникаючи через «чорний хід» (через модем). У цьому випадку датчики (агенти системи виявлення атак) вчасно виявлять такі несанкціоновані дії.