Системи аналізу захищеності проводять всебічні дослідження систем з метою виявлення вразливостей. Результати, отримані від засобів аналізу захищеності, представляють миттєвий знімок стану захисту системи в даний момент часу. Незважаючи на те що ці системи не можуть виявляти атаку в процесі її розвитку, вони можуть визначити можливість реалізації атак.
Ці системи реалізують дві стратегії. Перша стратегія - пасивна, реалізована на рівні операційної системи, СУБД і додатків, при якій здійснюється аналіз конфігураційних файлів і системного реєстру на наявність неправильних параметрів, файлів паролів на наявність легко вгадуваних паролів, а також інших системних об'єктів на порушення політики безпеки. Друга стратегія - активна, здійснюється в більшості випадків на мережевому рівні. Вона полягає у відтворенні найбільш поширених сценаріїв атак та аналізі реакції системи на ці сценарії.
. Системи, що функціонують на другому етапі здійснення атаки і дозволяють виявити атаки в процесі їх реалізації, тобто в режимі реального (або близького до реального) часу. Саме ці кошти і прийнято вважати системами виявлення атак в класичному розумінні. Крім цього останнім часом виділяється новий клас засобів виявлення атак - обманні системи.
Виявлення атак реалізується за допомогою аналізу або журналів реєстрації операційної системи і прикладного програмного забезпечення, або мережевого трафіку в реальному часі. Компоненти виявлення атак, розміщені на вузлах або сегментах мережі, оцінюють різні дії, у тому числі і використовують відомі уразливості, порівнюючи контрольований простір (мережевий трафік або журнали реєстрації) з відомими шаблонами (сигнатурами) несанкціонованих дій.
Обманні системи можуть використовувати такі методи: приховування, камуфляж і дезінформацію. Яскравим прикладом використання першого методу є приховування мережевої топології за допомогою брандмауера. Прикладом камуфляжу можна назвати використання Unix-подібного графічного інтерфейсу в системі, що функціонує під управлінням операційної системи Windows NT. Якщо зловмисник випадково побачив такий інтерфейс, то він намагатиметься реалізувати атаки, характерні для ОС Unix, а не для ОС Windows NT. Це суттєво збільшить час, необхідний для успішної реалізації атаки. І нарешті, як приклад дезінформації можна назвати використання заголовків, які б давали зрозуміти зловмисникові, що атакують ним система вразлива.
Системи, що реалізують камуфляж і дезінформацію, емулюють ті чи інші відомі уразливості, яких у реальності не існує.
Використання таких систем призводить до наступного:
Збільшення числа виконуваних порушником операцій і дій. Так як неможливо заздалегідь визначити, чи є виявлена ??порушником уразливість істинною чи ні, зловмисникові доводиться виконувати багато додаткових дій, щоб з'ясувати це. І навіть додаткові дії не завжди допомагають. Наприклад, спроба запустити програму підбору паролів на сфальсифікований і неіснуючий в реальності файл призведе до марної трати часу без будь-якого видимого результату. Нападник буде думати, що він не зміг підібрати паролі, в той час як насправді програма злому була просто обманута.
Отримання можливості відстежити нападників. За той період часу, коли нападники намагаються перевірити всі виявлені вразливості, в тому числі і фіктивні, адміністратори безпеки можуть простежити весь шлях до порушника або порушників і вжити відповідних заходів.
. Системи, що функціонують на третьому етапі здійснення атаки і дозволяють виявити вже скоєні атаки. Ці системи діляться на два класи - системи контролю цілісності, обнаруживающие зміни контрольованих ресурсів, і системи аналізу журналів реєстрації.
Системи контролю цілісності працюють по замкнутому циклу, обробляючи файли, системні об'єкти і атрибути системних об'єктів з метою отримання контрольних сум; потім вони порівнюють їх з попередніми контрольними сумами, відшукуючи зміни. Коли зміна виявлено, система посилає повідомлення адміністратору, фіксуючи ймовірний час зміни.
Існує ще одна поширена класифікація систем виявлення порушення політики безпеки - за принципом реалізації: host-based, тобто обнаруживающие атаки, спрямовані на конкретний вузол мережі, і network-based, спрямовані на всю мережу або сегмент мережі. Існують три основні види систем виявлення атак на рівні вузла.
. Системи, які виявляють атаки на конкретні програми.
. Системи, які виявляють атаки на операційні системи.
. Системи, які виявляють атаки на системи управління базами даних (СКБД).
. Впровадження програмних засобів виявлення атак для інформаційної системи підприємства <...
