Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 1973 / 253 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Лекция 9:

Сторонние средства обеспечения безопасности

Анализаторы журналов

Файлы журналов, генерируемые сетевыми экранами, маршрутизаторами, системами обнаружения вторжений, почтовыми серверами и веб-серверами, полезны только в том случае, если вы их изучаете, однако многие системные администраторы просматривают их лишь поверхностно. В действительности журналы являются ценнейшими источниками информации о трафике и сетевой активности.

Анализаторы журналов часто являются ключевыми компонентами систем IDS, однако в случаях с большими сетями требуется очень мощный анализатор. Как говорилось в "Аудит и журналы безопасности" , функции IIS выходят за рамки ведения журналов событий или мониторинга производительности Windows 2000. Даже небольшой сайт может сгенерировать значительный объем информации, который невозможно обработать вручную. Как обнаружить в файле журнала, фиксирующего действия пользователей, наличие учетной записи начальника отдела продаж, используемой для доступа к записям о клиентах в то время, когда он находится в отпуске? В сетевой среде с десятками, сотнями или тысячами узлов даже специализированный персонал сетевых администраторов не сможет обработать гигабайты данных, сгенерированных во время использования сети. Анализаторы журналов представляют собой наилучший способ выполнения этой работы.

Сбор улик

Анализаторы журналов автоматизируют процесс аудита и анализа журналов сети и сообщают о том, что случилось или что происходит, посредством выявления несанкционированной активности или аномальных событий. Эта обратная связь используется для усовершенствования системы IDS или наборов правил сетевого экрана. Она представляет собой основу для целенаправленного обнаружения атак, уменьшения злоупотребления сетью и усиления политики безопасности. Некоторые анализаторы журналов включают интерактивное ведение базы данных, алгоритмы информационной проходки, графическое представление и искусственное интеллектуальное предупреждение атак.

Рекомендации и ресурсы

Если вы отвечаете за большую корпоративную сеть, анализатор журналов должен иметь возможность сбора и подсчета событий журналов с многочисленных сетевых устройств с сохранением их в одном централизованном месте. Он должен также защищать целостность данных журнала на тот случай, если они понадобятся в судебном процессе.

В таблице приведены сведения о продуктах, интегрирующих приложения и устройства безопасности от различных производителей.

Продукт Производитель
e-Sentinel e-Security http://www.esecurityinc.com
netForensics netForensics http://www.netforensics.com
SilentRuner SilentRunner, Inc. http://www.silentrunner.com

Сканеры вирусов

19 июля 2001 г. более 350 000 компьютеров были заражены червем Code-Red в течение 13 часов. На пике активности червя за каждую минуту заражалось более двухсот новых узлов. Вирусы наносят огромный ущерб любой организации за счет резкого снижения производительности сети, нарушения конфиденциальности клиентов и падения морального духа ее сотрудников. Помочь в обнаружении опасных червей и вирусов могут сканеры вирусов.

Важно. Подавляющее большинство червей и вирусов за последние несколько лет было направлено на веб-браузеры и клиенты электронной почты. В процессе борьбы с вирусами необходимо обновлять эти два приложения с помощью соответствующих надстроек.

Как работают сканеры вирусов

Сканеры вирусов различными способами осуществляют попытки корректного обнаружения вирусов. Они используют сравнение признаков, просматривая содержимое файлов для поиска строки байтов, соответствующей аналогичному элементу в базе данных известных вирусов. Так обнаруживается большинство известных вирусов, но для вирусов, использующих полиморфизм для изменения своего кода, сканеры должны работать по более сложным алгоритмам проверки. Эти алгоритмы заключаются в обработке файлов в режиме эмуляции реального времени для отслеживания полиморфической машины и распознавания вируса.

Эвристическое или режимное сканирование анализирует файлы на наличие подозрительного, похожего на вирус кода, например, вызывающего в определенное время поиск файлов с расширениями .com и .exe, что позволяет выявлять неизвестные вирусы до того, как они заразят компьютер. Сканеры вирусов должны постоянно обновляться, чтобы соответствовать расширяющемуся диапазону потенциально подверженных инфицированию объектов и использовать при поиске признаки самых последних вирусов.

Альтернатива – блокировка

Некоторые антивирусные программы используют иной подход к обнаружению вирусов, заключающийся в отслеживании активности приложений. Например, программа StormWatch от Okena, Inc. (http://www.okena.com) располагается рядом с ядром операционной системы и в режиме реального времени перехватывает запросы на ресурсы для разрешения/запрета к ним согласно установленным правилам контроля доступа. Этот метод предотвращает запуск несанкционированных программ как пользователями, так и вирусами, и является эффективным способом предотвращения неизвестных атак. В отличие от традиционных программ-сканеров, обнаруживающих признаки вирусов, StormWatch не проверяет содержимое и, следовательно, не оказывает практически никакого влияния на производительность системы. В ней также содержатся политики по умолчанию для IIS, обеспечивающие готовую защиту от SYN-флудов, распределенного сканирования портов, сетевых червей и "троянских коней". Подход с применением блокировки весьма полезен, если сервер IIS установлен на отдельном сервере и точно известно, какие программы должны на нем выполняться.

Централизация и взаимодействие

При обеспечении защиты информации необходимо держать курс на слияние антивирусных средств с безопасностью сети. Многие поставщики выпускают продукты с централизованным контролем средств безопасности, даже если они защищают различные части сетевой инфраструктуры, например, шлюзы электронной почты и серверы. Все новые и новые вирусы, такие как червь Nimda, могут атаковать сети, проникая в систему в виде приложения к сообщению электронной почты или через веб-браузер. Распределяя информацию среди различных средств безопасности, можно обнаружить самые последние проявления вредоносного программного обеспечения.

Шагом вперед в области унифицированных средств является программа Web Security от Symantec, выполняющая сканирование электронной почты на некорректное содержимое, например, на наличие непристойностей, а также на вирусы. Еще одной подобной программой является ePolicy Orchestrator от McAfee, которая централизованно управляет и усиливает защиту антивирусных программ и политики для продуктов McAfee и Symantec. При планировании атаки хакеры изучают систему со всех сторон, поэтому антивирусные программы, выполняющие те же действия, являются шагом в правильном направлении.

Важные свойства антивирусного программного обеспечения

Ключевым фактором в оценке антивирусной программы является аккуратность поиска вирусов, заключающаяся в правильности отделения вирусов от безопасного содержимого, поэтому необходима точка централизованного управления для эффективной защиты сети и сервера IIS. Большая часть сканеров отличается друг от друга в возможностях сканирования не более чем на два процента, поэтому основными их различиями является масштабируемость, управляемость и простота использования. Важными свойствами сканеров также являются скорость сканирования, лечение зараженных объектов, автоматическое обновление и круглосуточная техническая поддержка.

Хороший сетевой антивирусный пакет программ поддерживает сканирование сжатых файлов, обнаруживает макровирусы, выявляет вирус в любом месте его проникновения в систему и останавливает его распространение с рабочих станций на серверы и наоборот. Для минимизации затрат ресурсов антивирусное программное обеспечение должно выполнять сканирование без существенного воздействия на операции с файлами, а также лечить большую часть файлов "на лету".

Дмитрий Дряничкин
Дмитрий Дряничкин
Россия, Казань
Виктор Шахов
Виктор Шахов
Россия, Москва