Откат. Юрий Гиммельфарб

Чтение книги онлайн.

СКАЧАТЬ за безопасность информации в организации, при обеспечении защиты от атак. Обнаружение вторжений – это активный процесс, при котором происходит обнаружение хакера при его попытках проникнуть в систему. В идеальном случае, при самой попытке проникновения такая система лишь выдаст сигнал тревоги сразу же. Но на практике такое бывает редко: чаще всего факт несанкционированного вторжения в локальную сеть удается обнаружить лишь после того, как сам факт вторжения уже был и преступник собрал или собирает интересующую его информацию.

      По сути, системы обнаружения вторжений появились очень давно. Первыми из них можно считать ночной дозор и сторожевых собак. Дозорные и сторожевые собаки выполняли две задачи: они определяли инициированные кем-то подозрительные действия и пресекали дальнейшее проникновение злоумышленника. Как правило, грабители избегали встречи с собаками и, в большинстве случае, старались обходить стороной здания, охраняемые собаками. То же самое можно сказать и про ночной дозор. Грабители не хотели быть замеченными вооруженными дозорными или охранниками, которые могли вызвать полицию.

      Сигнализация в зданиях и в автомобилях фактически тоже разновидность системы обнаружения вторжений. Если система оповещения обнаруживает событие, которое должно быть замечено (например, взлом окна или открытие двери), то выдается сигнал тревоги с зажиганием ламп, включением звуковых сигналов, либо сигнал тревоги передается на пульт полицейского участка. Функция пресечения проникновения выполняется посредством предупреждающей наклейки на окне или знака, установленного перед домом. В автомобилях, как правило, при включенной сигнализации горит красная лампочка, предупреждающая об активном состоянии системы сигнализации.

      Примерно то же самое происходит и с компьютерами. Сигнализация, оповещающая о проникновении грабителя, предназначена для обнаружения любых попыток входа в защищаемую область, когда эта область не используется. Система обнаружения вторжений предназначена для разграничения авторизованного входа и несанкционированного проникновения, что реализуется гораздо сложнее. Здесь можно в качестве примера привести ювелирный магазин с сигнализацией против грабителей. Если кто-либо, даже владелец магазина, откроет дверь, то сработает сигнализация. Владелец должен после этого уведомить компанию, обслуживающую сигнализацию, о том, что это он открыл магазин, и что все в порядке. Эту систему, напротив, можно сравнить с охранником, следящим за всем, что происходит в магазине, и выявляющим несанкционированные действия: например, пронос огнестрельного оружия. К сожалению, в виртуальном мире «огнестрельное оружие» очень часто остается незаметным.

      Для начала, решил Сергей, посмотрим имеющиеся датчики обнаружения вторжений, которые он сам настроил при установке операционной системы на сервере. Начнем с анализа системных журналов.

      Сергей просмотрел системные журналы. Все правильно, на компьютер генерального директора были внешние заходы. Так, что там смотрели? СКАЧАТЬ