Сохранение

Тестирование систем IDS

На сегодняшний день не существует общепринятых методик тестирования "действительных" способностей IDS-подсистем, аналогичных антивирусным тестам EICAR. Наиболее показательным, на наш взгляд, могло бы быть тестирование в условиях воздействия реальных угроз*** на стендах под защитой соответствующих продуктов.

Осенью 2006 г. в "Лаборатории Касперского" было проведено внутреннее тестирование различных средств обеспечения безопасности. В нем использовались наиболее актуальные эксплойты, воздействующие на самые разные приложения, от сервисов Windows и серверных компонентов до сетевых игр. Результаты исследования представлены в отчете "Сравнительное тестирование систем предотвращения вторжений" (https://www.kaspersky.ru/downloads/word/idscomparison.doc).

Система обнаружения вторжений должна рассматриваться всего лишь как компонент широкого комплекса превентивных мер, по сути как часть защитного механизма из невзаимозаменяемых программных решений, обеспечивающих информационную безопасность. В ближайшем будущем в связи с возрастающей вычислительной мощностью и реализацией эффективных математических алгоритмов стоит ожидать распространения систем обнаружения вторжений на основе поиска аномалий с применением нейросетей качественно иного уровня.

К категории «сохранение» относятся два варианта реагирования:

• регистрация события в БД;

• воспроизведение вторжения в реальном масштабе времени. Первый вариант широко распространен и в других системах защиты. Для реализации второго варианта бывает необходимо «пропустить» атакующего в сеть компании и зафиксировать все его действия. Это позволяет администратору безопасности затем воспроизводить в реальном масштабе времени (или с заданной скоростью) все действия, осуществленные атакующим, анализировать «успешные» вторжения и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства.

Активное реагирование. К этой категории относятся следующие варианты реагирования:

• блокировка работы атакующего;

• завершение сессии с атакующим узлом;

• управлением сетевым оборудованием и средствами защиты.

IDS могут предложить такие конкретные варианты реагирования: блокировка учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурация МЭ и маршрутизаторов и т. д. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой стороны, требует аккуратного использования, так как неправильное применение может привести к нарушению работоспособности всей КИС.