Адаптивные и адаптируемые средства информационной безопасности УЦ «Bigone» 2007 год

Принцип адаптивности и адаптируемости, как концепция обеспечения информационной безопасности - Адаптируемыми системами обеспечения информационной безопасности называются средства и методы которые в наивысшей степени используют и ориентированы на экспертную оценку специалистов по информационной безопасности, а именно используют средства и способы внешней адаптации программно-технических средств безопасности. Типичные примеры адаптируемых систем и средств информационной безопасности: - Statefull и stateless межсетевые экраны - Сетевые статистические сигнатурные системы обнаружения вторжений - Сетевые системы предотвращения вторжений

Принцип адаптивности и адаптируемости, как концепция обеспечения информационной безопасности - Адаптивными средствами информационной безопасности, называются системы которые способны самостоятельно анализировать события сетевые события на 3-7 уровнях модели OSI и на основе адаптивного алгоритма обнаружения анализировать значащие характеристические параметры трафика идентифицирующие атаку или аномалию. Типичные пример частично адаптивной системы ИБ: - Система обнаружения и предотвращения вторжений на уровне хоста (серверной подсистемы) Cisco Security Agent 5.2, Cisco Trust Agent 5.2 Система предупреждения и вероятного обнаружения вторжений на уровне хоста с возможностями идентификации атак «нулевого дня»

Критерии создания адаптивных систем защиты - Способность системы анализировать и выделять значащие интегральные характеристики сетевого трафика, сетевых протоколов характеризующих корректное (нормальное) поведение системы, а также указывать и выделять аномальное поведение на уровне функционирования сетевых протоколов и технологий - Осуществлять сравнительный анализ параметров характеризующих корректное поведение протокола или системы с параметрами указывающими на вероятное аномальное сетевое явление или угрозу информационной безопасности. Формировать профиль атаки или угрозы ИБ - Формировать упреждающие командные правила которые будут использоваться для управления системами предотвращения обнаруженных вторжений

Яркие примеры применения адаптируемых систем Информационной безопасности - Stateless/state full межсетевой экран Вы используете механизм списков разграничения доступа для блокирования паразитного аномального трафика атаки используя критерии и параметры 3-4 уровней модели OSI Например: access-list 145 deny tcp any any range access-list 145 deny udp any any eq netbios-ss log access-list 145 deny udp any any eq netbios-dgm log access-list 145 deny tcp any any eq syn log access-list 145 deny tcp any any eq syn log Т.е. данный механизм фильтрации трафика не предполагает алгоритмически самостоятельного действия по организации необходимых контрмер, а использует подход пост анализа и внедрения необходимых настроек для предотвращения уже обнаруженной угрозы!!!

Яркие примеры применения адаптируемых систем Информационной безопасности Сетевые системы обнаружения вторжений - Сигнатурные - Статистические Оба вида систем обнаружения вторжений (угроз и аномалий) используют адаптируемый подход для обнаружения потенциального вторжения, а именно - в статистических системах используется набор (массив) проанализированных специалистами стат. данных исходя из которых осуществляется принятие решения о блокировании или не блокировании определенного трафика, т.е. принятие решения осуществляется постфактум и после накопление массива данных

Яркие примеры применения адаптируемых систем Информационной безопасности - Сигнатурные системы предупреждения вторжений, используют сигнатуру, т.е. концентрированное формализованное логическое выражение известной атаки или угрозы ИБ. Если признаки атаки не известны и не проанализированы и не сформированы признаки атаки в рамках сигнатуры и она в свою очередь не загружена в систему обнаружения, то эффективное обнаружение не возможно. В свою очередь сигнатурная система не может обнаружить неизвестные, непредсказуемые атаки, так как формализованное описание может отсутствовать в базе данных сигнатур