2001.- 624 с.
Книга является первым российским изданием, написанным отечественным
автором и содержащим подробный обзор новой технологии
информационной безопасности - обнаружения атак. В ней
систематизируются разрозненные данные о приемах совершения атак,
рассматриваются критерии и признаки их обнаружения, источники
информации и методы анализа. Приведена подробная классификация атак
с примерами конкретных отечественных и зарубежных решений. Впервые
сведены воедино и описаны недостатки существующих средств
обнаружения атак и способы их преодоления. Книга предназначена для
всех специалистов, желающих повысить уровень защищенности ресурсов
своей корпоративной сети, а также может использоваться в качестве
учебного пособия в вузах и других учебных заведениях, на курсах,
связанных с защитой информации. Для широкого круга специалистов в
области вычислительной техники.
Необходимость технологий обнаружения атак
Уровни информационной системы
Традиционные средства защиты
Заключение
Анатомия атаки
События безопасности
Уязвимости
Классификация уязвимостей
Атаки
Неформальная модель атаки
Результат атаки
Этапы реализации атак
Сокрытие источника и факта атаки
Средства реализации атак
Классификация атак
Базы данных уязвимостей и атак
Инциденты
Нарушители
Цели злоумышленников
Заключение
Введение в обнаружение атак
Введение
Системы обнаружение атак и другие средства защиты
Возможности технологий обнаружения атак
Реальные ожидания
Нереальные ожидания
Заключение
Три кита технологии обнаружения атак
Признаки атак
Повтор определенных событий
Неправильные команды
Использование уязвимостей
Несоответствующие параметры сетевого трафика
Непредвиденные атрибуты
Необъяснимые проблемы
Заголовки
Цифровой "отпечаток пальца"
Дополнительные признаки
Источники информации об атаках
Журналы регистрации
Сетевой трафик
Деятельность субъектов системы
Дополнительные источники
Технологии обнаружения атак
Обнаружение аномальной деятельности
Обнаружение злоумышленной деятельности
Подходы к обнаружению атак
Статистический анализ
Экспертные системы
Нейросети
Комбинация подходов
Другие решения
Заключение
Обнаружение следов атак
Контроль изменений каталогов и файлов
Установка приоритетов и расписания проверок
Сбор данных о важных файлах и каталогах
Контроль целостности файлов и каталогов
Расследование непредвиденных изменений
Обнаружение различных атак и злоупотреблений
Анализ журналов регистрации
Периодическая проверка журналов регистрации
Документирование всех неудачных попыток
Особенности анализа журналов регистрации
Анализ сетевого трафика
Обнаружение различных атак и злоупотреблений
Анализ уведомлений
Анализ заголовков
Анализ процессов, сервисов и портов
Получение дополнительной информации
Особенности анализа процессов
Обнаружение различных атак и злоупотреблений
Обнаружение несанкционированных устройств
Регулярная инвентаризация оконечных устройств
Контроль модемов
Расследование всех случаев аппаратных аномалий
Особенности обнаружения несанкционированных устройств
Контроль доступа к физическим ресурсам
Анализ внешних источников о поведении системы
Исследование сообщений из внешних источников
Анализ и расстановка приоритетов отчетов
Особенности анализа внешних источников
Заключение
Классификация систем обнаружения атак
Системы анализа защищенности
Системы поиска уязвимостей проектирования
Системы поиска уязвимостей реализации
Системы поиска уязвимостей эксплуатации
"Классические" системы обнаружения атак и анализаторы журналов
регистрации
Немного истории
Введение в классификацию
Архитектура систем обнаружения атак
Системы обнаружения атак на уровне узла
Системы обнаружения атак на уровне сети
Сетевые системы обнаружения атак и межсетевые экраны
Обманные системы
The Deception Toolkit
CyberCop Sting
Системы контроля целостности
Tripwire
AIDE и L5
Gog&Magog
Выводы
В предверии атаки или создание инфраструктуры обнаружения атак
Подготовка персонала
Учебные центры
Дистанционное обучение
Online-семинары
Семинары и конференции
Ролевые игры
Сертификация специалистов
Определение политики и процедур безопасности
Выбор и использование механизмов системной и сетевой регистрации
Регистрируемая информация
Достаточность встроенных механизмов регистрации
Регистрация событий
Защита журналов регистрации
План управления журналами регистрации
Генерация информации для контроля целостности ваших системных
файлов и данных
Карта сети
Резервирование важных файлов и каталогов
Характеристики поведения процессов и пользователей
Защита и целостность описи, карты сети и авторитарных ссылок
Заключение
Выбор системы обнаружения атак Предварительный анализ
Что защищать?
От чего защищать?
От кого защищать?
Как защищать?
Чем защищать?
Потребители систем обнаружения атак
Небольшие компании
Крупные компании с филиалами
Транснациональные корпорации
Провайдеры Inteet
Провайдеры услуг
Критерии оценки
Число обнаруживаемых атак
Место установки
Источники информации и методы анализа
Выполнение
Реагирование
Архитектура
Удаленное управление
Число управляемых агентов
Иерархическое управление
Обеспечение отказоустойчивости соединения между сенсорами
и консолью
Гибкость
Защита от несанкционированного доступа
Интеграция с другими средствами
Мониторинг дополнительных событий
Управление событиями
Наличие API и SDK
Техническая поддержка
Обновление сигнатур
Варианты реагирования
Обработка фрагментированного трафика
Шаблоны
Поддерживаемые платформы
Производительность
Стоимость
Автоматизация
Удобство работы и настройки
Коммерческая или бесплатная система обнаружения атак
Другие критерии
Расстановка приоритетов критериям
Тестирование
Обоснование для руководства
Расчет потерь от атак
Обзор рынка средств обнаружения атак
Inteet Security Systems
Cisco Systems
Symantec
Computer Associates
Network Associates
NFR Security
Другие решения
Свободно распространяемые продукты
Заключение
Размещение систем обнаружения атак
Размещение сенсоров системы обнаружения атак
Между маршрутизатором и межсетевым экраном
В демилитаризованной зоне
За межсетевым экраном
В ключевых сегментах внутренней сети
У сервера удаленного доступа
На магистрали
Использование сенсоров системы обнаружения атак
в коммутируемых сетях
Использование span-порта
Подключение дополнительного концентратора
Использование разветвителя (сплиттера)
Интеграция в коммутатор
Размещение системы анализа защищенности
Размещение системы контроля целостности
Размещение обманной системы
Эксплуатация систем обнаружения атак
Выбор узла для системы обнаружения атак на уровне сети
Выбор платформы
Использование выделенного узла
Приобретение системы обнаружения атак
Приобретение программного и аппаратного обеспечения
Приобретение документации и услуг по технической поддержке
Инсталляция и развертывание
Задание правил для классических систем обнаружения атак
Задание правил для систем анализа защищенности
Стратегия сканирования
Тактика сканирования
Конфигурация механизма регистрации событий и оповещения об атаках
Журналы регистрации
Оповещение по электронной почте и через SNMP
Повышение защищенности системы обнаружения атак
Дублирование систем обнаружения атак
Защита от несанкционированного доступа
Пользователи системы обнаружения атак
Права доступа к системе обнаружения атак
Политика безопасности
Реализация Stealth-режима
Автоматизация
Заключение
Проблемы с системами обнаружения атак Общие проблемы
Обновление базы данных сигнатур
Гетерогенные сети
Единое управление безопасностью
Незащищенность ОС
Отсутствие математических основ
Ложные срабатывания
Пропуски атак
Рост сложности средств реализации атак
Мобильный код
Низкая квалификация персонала
Трудности в обнаружении злоумышленников
Атаки на систему обнаружения атак
Разногласия между производителями
Постоянные слияния и приобретения
Активное реагирование
Восстановление после атаки
Руководства к действию в случае атаки
Тестирование систем обнаружения атак
Семантическое сжатие
Отсутствие механизма доказательств для судебных разбирательств
Системы обнаружения атак на уровне сети
Коммутируемые сети
Сети с канальным шифрованием
Модемы
Нехватка ресурсов
Выведение из строя системы обнаружения атак
Простое уклонение
Сложное уклонение
Системы обнаружения атак на уровне узла
Объем журналов регистрации
Длительность хранения
Снижение производительности
Защита журналов регистрации
Типы и детализация регистрируемых событий
Отсутствие универсального формата хранения данных
Заключение
Разработка своей собственной системы обнаружения атак
Этап
1. Приобретение необходимого программного и аппаратного
обеспечения
Этап
2. Построение сенсора
Этап
3. Создание базы сигнатур атак
Заключение
Стандартизация в области обнаружения атак
Альянс Adaptive Network Security Alliance
Проект Лаборатории Линкольна
Консорциум Intrusion Detection Systems Consortium
Платформа Open Platform for Secure Enterprise Connectivity
Стандарт Common Content Inspection
Проект Common Intrusion Detection Framework
Группа Intrusion Detection Working Group
База данных Common Vulnerabilities and Exposures
База данных ICAT
База данных Intrusion Data Library Enterprise
Проекты DARPA
Российские стандарты
Реагирование на инциденты
Заключение
Список портов, используемых "троянскими конями"
Список сокращений
Список параметров протокола ICMP
Тип сообщения ICMP-3
Тип сообщения ICMP-5
Тип сообщения ICMP-11
Тип сообщения ICMP-12
Тип сообщения ICMP-40
Список идентификаторов протоколов для IPv4
Список портов, часто подвергающихся сканированию
Список диапазонов адресов Inteet
Список доменов первого уровня
Уровни информационной системы
Традиционные средства защиты
Заключение
Анатомия атаки
События безопасности
Уязвимости
Классификация уязвимостей
Атаки
Неформальная модель атаки
Результат атаки
Этапы реализации атак
Сокрытие источника и факта атаки
Средства реализации атак
Классификация атак
Базы данных уязвимостей и атак
Инциденты
Нарушители
Цели злоумышленников
Заключение
Введение в обнаружение атак
Введение
Системы обнаружение атак и другие средства защиты
Возможности технологий обнаружения атак
Реальные ожидания
Нереальные ожидания
Заключение
Три кита технологии обнаружения атак
Признаки атак
Повтор определенных событий
Неправильные команды
Использование уязвимостей
Несоответствующие параметры сетевого трафика
Непредвиденные атрибуты
Необъяснимые проблемы
Заголовки
Цифровой "отпечаток пальца"
Дополнительные признаки
Источники информации об атаках
Журналы регистрации
Сетевой трафик
Деятельность субъектов системы
Дополнительные источники
Технологии обнаружения атак
Обнаружение аномальной деятельности
Обнаружение злоумышленной деятельности
Подходы к обнаружению атак
Статистический анализ
Экспертные системы
Нейросети
Комбинация подходов
Другие решения
Заключение
Обнаружение следов атак
Контроль изменений каталогов и файлов
Установка приоритетов и расписания проверок
Сбор данных о важных файлах и каталогах
Контроль целостности файлов и каталогов
Расследование непредвиденных изменений
Обнаружение различных атак и злоупотреблений
Анализ журналов регистрации
Периодическая проверка журналов регистрации
Документирование всех неудачных попыток
Особенности анализа журналов регистрации
Анализ сетевого трафика
Обнаружение различных атак и злоупотреблений
Анализ уведомлений
Анализ заголовков
Анализ процессов, сервисов и портов
Получение дополнительной информации
Особенности анализа процессов
Обнаружение различных атак и злоупотреблений
Обнаружение несанкционированных устройств
Регулярная инвентаризация оконечных устройств
Контроль модемов
Расследование всех случаев аппаратных аномалий
Особенности обнаружения несанкционированных устройств
Контроль доступа к физическим ресурсам
Анализ внешних источников о поведении системы
Исследование сообщений из внешних источников
Анализ и расстановка приоритетов отчетов
Особенности анализа внешних источников
Заключение
Классификация систем обнаружения атак
Системы анализа защищенности
Системы поиска уязвимостей проектирования
Системы поиска уязвимостей реализации
Системы поиска уязвимостей эксплуатации
"Классические" системы обнаружения атак и анализаторы журналов
регистрации
Немного истории
Введение в классификацию
Архитектура систем обнаружения атак
Системы обнаружения атак на уровне узла
Системы обнаружения атак на уровне сети
Сетевые системы обнаружения атак и межсетевые экраны
Обманные системы
The Deception Toolkit
CyberCop Sting
Системы контроля целостности
Tripwire
AIDE и L5
Gog&Magog
Выводы
В предверии атаки или создание инфраструктуры обнаружения атак
Подготовка персонала
Учебные центры
Дистанционное обучение
Online-семинары
Семинары и конференции
Ролевые игры
Сертификация специалистов
Определение политики и процедур безопасности
Выбор и использование механизмов системной и сетевой регистрации
Регистрируемая информация
Достаточность встроенных механизмов регистрации
Регистрация событий
Защита журналов регистрации
План управления журналами регистрации
Генерация информации для контроля целостности ваших системных
файлов и данных
Карта сети
Резервирование важных файлов и каталогов
Характеристики поведения процессов и пользователей
Защита и целостность описи, карты сети и авторитарных ссылок
Заключение
Выбор системы обнаружения атак Предварительный анализ
Что защищать?
От чего защищать?
От кого защищать?
Как защищать?
Чем защищать?
Потребители систем обнаружения атак
Небольшие компании
Крупные компании с филиалами
Транснациональные корпорации
Провайдеры Inteet
Провайдеры услуг
Критерии оценки
Число обнаруживаемых атак
Место установки
Источники информации и методы анализа
Выполнение
Реагирование
Архитектура
Удаленное управление
Число управляемых агентов
Иерархическое управление
Обеспечение отказоустойчивости соединения между сенсорами
и консолью
Гибкость
Защита от несанкционированного доступа
Интеграция с другими средствами
Мониторинг дополнительных событий
Управление событиями
Наличие API и SDK
Техническая поддержка
Обновление сигнатур
Варианты реагирования
Обработка фрагментированного трафика
Шаблоны
Поддерживаемые платформы
Производительность
Стоимость
Автоматизация
Удобство работы и настройки
Коммерческая или бесплатная система обнаружения атак
Другие критерии
Расстановка приоритетов критериям
Тестирование
Обоснование для руководства
Расчет потерь от атак
Обзор рынка средств обнаружения атак
Inteet Security Systems
Cisco Systems
Symantec
Computer Associates
Network Associates
NFR Security
Другие решения
Свободно распространяемые продукты
Заключение
Размещение систем обнаружения атак
Размещение сенсоров системы обнаружения атак
Между маршрутизатором и межсетевым экраном
В демилитаризованной зоне
За межсетевым экраном
В ключевых сегментах внутренней сети
У сервера удаленного доступа
На магистрали
Использование сенсоров системы обнаружения атак
в коммутируемых сетях
Использование span-порта
Подключение дополнительного концентратора
Использование разветвителя (сплиттера)
Интеграция в коммутатор
Размещение системы анализа защищенности
Размещение системы контроля целостности
Размещение обманной системы
Эксплуатация систем обнаружения атак
Выбор узла для системы обнаружения атак на уровне сети
Выбор платформы
Использование выделенного узла
Приобретение системы обнаружения атак
Приобретение программного и аппаратного обеспечения
Приобретение документации и услуг по технической поддержке
Инсталляция и развертывание
Задание правил для классических систем обнаружения атак
Задание правил для систем анализа защищенности
Стратегия сканирования
Тактика сканирования
Конфигурация механизма регистрации событий и оповещения об атаках
Журналы регистрации
Оповещение по электронной почте и через SNMP
Повышение защищенности системы обнаружения атак
Дублирование систем обнаружения атак
Защита от несанкционированного доступа
Пользователи системы обнаружения атак
Права доступа к системе обнаружения атак
Политика безопасности
Реализация Stealth-режима
Автоматизация
Заключение
Проблемы с системами обнаружения атак Общие проблемы
Обновление базы данных сигнатур
Гетерогенные сети
Единое управление безопасностью
Незащищенность ОС
Отсутствие математических основ
Ложные срабатывания
Пропуски атак
Рост сложности средств реализации атак
Мобильный код
Низкая квалификация персонала
Трудности в обнаружении злоумышленников
Атаки на систему обнаружения атак
Разногласия между производителями
Постоянные слияния и приобретения
Активное реагирование
Восстановление после атаки
Руководства к действию в случае атаки
Тестирование систем обнаружения атак
Семантическое сжатие
Отсутствие механизма доказательств для судебных разбирательств
Системы обнаружения атак на уровне сети
Коммутируемые сети
Сети с канальным шифрованием
Модемы
Нехватка ресурсов
Выведение из строя системы обнаружения атак
Простое уклонение
Сложное уклонение
Системы обнаружения атак на уровне узла
Объем журналов регистрации
Длительность хранения
Снижение производительности
Защита журналов регистрации
Типы и детализация регистрируемых событий
Отсутствие универсального формата хранения данных
Заключение
Разработка своей собственной системы обнаружения атак
Этап
1. Приобретение необходимого программного и аппаратного
обеспечения
Этап
2. Построение сенсора
Этап
3. Создание базы сигнатур атак
Заключение
Стандартизация в области обнаружения атак
Альянс Adaptive Network Security Alliance
Проект Лаборатории Линкольна
Консорциум Intrusion Detection Systems Consortium
Платформа Open Platform for Secure Enterprise Connectivity
Стандарт Common Content Inspection
Проект Common Intrusion Detection Framework
Группа Intrusion Detection Working Group
База данных Common Vulnerabilities and Exposures
База данных ICAT
База данных Intrusion Data Library Enterprise
Проекты DARPA
Российские стандарты
Реагирование на инциденты
Заключение
Список портов, используемых "троянскими конями"
Список сокращений
Список параметров протокола ICMP
Тип сообщения ICMP-3
Тип сообщения ICMP-5
Тип сообщения ICMP-11
Тип сообщения ICMP-12
Тип сообщения ICMP-40
Список идентификаторов протоколов для IPv4
Список портов, часто подвергающихся сканированию
Список диапазонов адресов Inteet
Список доменов первого уровня