СОИБ. Проектирование. Сетевые или системные средства обнаружения вторжений

СОИБ. Проектирование. Сетевые или системные средства обнаружения вторжений

Некоторое количество лет назад  для защиты от одних и тех-же угрозр ассматривались альтернативные технологии защиты , и приходилось выбирать между:
·        средствами обнаружения вторжений (СОВ) насетевом уровне;
·        средствами обнаружения вторжений на уровнесистемы.

За последнее время СОВ на сетевомуровне шагнули далеко вперед за счет различных централизованных возможностей, такихкак:
·        детальные проверки большого количествапротоколов;
·        построение шаблонов “нормального” сетевоготрафика;
·        интеграция со сканнерами защищенности дляопределения степени уязвимости узлов;
·        знание карты сети;
·        интеграция с сетевыми устройствами для автоматическогоблокирования атаки;
·        предварительная группировка и корреляция событий;
·        использование базы репутаций.
Применение данных возможностейдля СОВ на уровне системы нереально, так как потребует децентрализовано хранитьогромные базы данных и тратить существенную часть ресурсов системы.
Из сетевых СОВ выделились вотдельные устройства такие специфические средства:
·        средства защиты от DDoSатак;
·        средство защиты от web-атак (WAF);
·        средства мониторинга активности пользователей всети.
Для этих устройств нет аналоговсреди СОВ системного уровня.

Разработчики СОВ на уровнесистемы пошли по другому пути – отказаться от хранения и использования большихбаз протоколов и сигнатур сетевых атак взамен добавить такие возможности, какперсональный межсетевой экран, антивирус и антиспам, контроль приложений и устройств,фильтрация webтрафика.
То есть вместо 100% защиты от небольшогоперечня угроз, предлагается 90% защита от большинства угроз на системном уровне.
Если раньше для большинства угрозмы нам приходилось выбирать (исходя из экономического анализа) какую СОВставить – на уровне сети ли системы?
Сейчас этого выбора фактическинет:
·        защищаемся от угроз связанных с сетью – ставим СОВна уровне сети;
·        защищаемся от разноплановых, но неопасных угроз –ставим СОВ на уровне системы;
·        защищаем web-сервис  - ставим средство защиты от web-атак.
Вместо этого у нас осталасьвозможность выбирать, какая угроза наиболее опасна (исходя из экономическогоанализа).
СОИБ проектирование СОВ
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале