СОИБ. Проектирование. Сетевые или системные средства обнаружения вторжений


Некоторое количество лет назад  для защиты от одних и тех-же угроз рассматривались альтернативные технологии защиты, и приходилось выбирать между:
·         средствами обнаружения вторжений (СОВ) на сетевом уровне;
·         средствами обнаружения вторжений на уровне системы.

За последнее время СОВ на сетевом уровне шагнули далеко вперед за счет различных централизованных возможностей, таких как:
·         детальные проверки большого количества протоколов;
·         построение шаблонов “нормального” сетевого трафика;
·         интеграция со сканнерами защищенности для определения степени уязвимости узлов;
·         знание карты сети;
·         интеграция с сетевыми устройствами для автоматического блокирования атаки;
·         предварительная группировка и корреляция событий;
·         использование базы репутаций.
Применение данных возможностей для СОВ на уровне системы нереально, так как потребует децентрализовано хранить огромные базы данных и тратить существенную часть ресурсов системы.
Из сетевых СОВ выделились в отдельные устройства такие специфические средства:
·         средства защиты от DDoS атак;
·         средство защиты от web-атак (WAF);
·         средства мониторинга активности пользователей в сети.
Для этих устройств нет аналогов среди СОВ системного уровня.

Разработчики СОВ на уровне системы пошли по другому пути – отказаться от хранения и использования больших баз протоколов и сигнатур сетевых атак взамен добавить такие возможности, как персональный межсетевой экран, антивирус и антиспам, контроль приложений и устройств, фильтрация web трафика.
То есть вместо 100% защиты от небольшого перечня угроз, предлагается 90% защита от большинства угроз на системном уровне.
Если раньше для большинства угроз мы нам приходилось выбирать (исходя из экономического анализа) какую СОВ ставить – на уровне сети или системы?
Сейчас этого выбора фактически нет:
·         защищаемся от угроз связанных с сетью – ставим СОВ на уровне сети;
·         защищаемся от разноплановых, но неопасных угроз – ставим СОВ на уровне системы;
·         защищаем web-сервис  - ставим средство защиты от web-атак.
Вместо этого у нас осталась возможность выбирать, какая угроза наиболее опасна (исходя из экономического анализа).

Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3