ГОСТ Р ИСО ТО 13569—2007
сональмых компьютерах и других конечных системах — находятся в стадии развития. Новейшей тенденци ей
является комбинация функциональных возможностей межсетевых экранов с возможностью обнаруже ния
вторжений.
10.5.3 Система обнаружения вторжений
Межсетевые экраны часто принимают или отвергают соединения на основе адреса, порта и протоко
ла. В пределах этих параметров может существовать множество возможных потоков данных, фактически
являющихся атаками или вредоносными программами (вирусами), а также множество легальных потоков
данных, предназначенных для поддержки легального бизнеса. Системы обнаружения вторжений рассмат
ривают данные в пакетах и сравнивают их с характеристиками известных атак. Затем системы обнаруже
ния вторжений посылают предупреждения соответствующему персоналу организации при помощи элект
ронного почтового сообщения, телефонного звонка или сообщения на пейджер. Существуютдва основных
вида систем обнаружения вторжения: первый— сетевые детекторы, подключенные к сетевым маршрути
заторам. коммутаторам и серверам и проверяющие трафик в сети; второй — детекторы на базе хоста,
представляющие собой программное обеспечение, загруженное на серверы и конечные системы, прове
ряющие трафик, связанный сопределенным устройством. Оба типа детекторов все шире используются в
организациях1*.
Одним из главных недостатковсистем обнаружения вторжения является зависимость от атак с изве
стными характеристиками, тогда как новые атаки с неизвестными характеристиками могут пройти незаме
ченными. Системы обнаружения вторжения начались с поиска отклонений в поведении систем, например, с
появления ftp трафика там. где обычно присутствуеттолько http трафик, или появления трафика в необыч ное
время или в необычных объемах. Эти возможности обнаружения отклонений становятся все более
изощренными и сложными, но их ценность по-прежнему в основном не доказана. Тем не менее, многие
организации и большинство поставщиков систем обнаружения вторжения начали внедрять аналитические
возможности систем обнаружения вторжения или проводить анализ поиска отклонений не только на внеш
них границах, но также в самой сети организации.
Некоторые аналитические средства зависят от других устройств для сбора данных, используемых
для поиска отклонений. Существует тенденция к объединению систем обнаружения вторжений и межсете
вых экранов; часто поставщик предлагает комбинированные сродства, выполняющие функции межсетево го
экрана и системы обнаружения вторжений. Данные комбинированные средства также используются в
настоящее время — особенно если система обнаружения вторжений включает в себя свойства обнаруже
ния отклонений для предотвращения вторжений. В этих новых системах предотвращения вторжений сете
вое соединение, использованное для обнаруженной атаки, закрывается, чтобы остановить или предотвра
тить атакудо ее завершения. Хотя это является совершенно приемлемой практикой, существует возмож
ность прохождения другого законного трафика через то же соединение. Каждая организация должна опре
делить. перевешивает ли цена разрешения законного трафика убытки от возможного ущерба, нанесенного
атакой.
Данная субъективная оценка в отношении допущения возможныхатак в сопоставлении с вероятным
ущербом от атаки выявляет один из недостатков систем обнаружения вторжений. Практически любая сис
тема обнаружения вторжений выдает некоторое число ошибочных результатов, то есть в некоторых случа
ях система обнаружения вторжений выдает предупреждение о трафике, выглядящим как атака, но вдей
ствительности являющимся легальным. Аналогичным образом существует (очень незначительная) вероят
ность того, чтоатака останется необнаруженной. Системы обнаружения вторжений обеспечивают организа
циям значительную гибкость в настройке систем с целью минимизации ошибочных результатов и ошибоч
ных реагирований на атаки.
10.5.4 Другие защитные моры противодействия сетевым атакам
Существует многодругих защитных мер по противодействию сетевым атакам. Для разных способов
атактребуются разные меры противодействия. Например, бизнес-партнер может иметьпрямое соединение с
внутренней сетью, маршрут может быть проложен через один (а не через два) межсетевой экран. Марш
рутизаторы и коммутаторы, составляющие внутренние сети организации, должны быть надежно защищены и
хорошо управляемы. Многие функции межсетевого экрана действуют как защитный уровень после функ ций
маршрутизации, уже выполненных сетевой инфраструктурой. Вне сети межсетевых экранов и систем
обнаружения вторжения существуютдведругие основные меры противодействия; шифрование и аутенти-
’* Следует отметить, что в группе методов и средств обеспечения безопасности ИТ JTC 1/SC 27 начата
работа по определению стандарта ИСО.’МЭК 18043 [27].
26