Книги: [Классика] [Базы данных] [Internet/WWW] [Сети] [Программирование] [UNIX] [Windows] [Безопасность] [Графика] [Software Engineering] [ERP-системы] [Hardware]
Обзор содержания
Книга состоит из 14 глав, каждая из которых рассматривает ту или иную область обнаружения атак. Первая глава является вводной и описывает недостатки различных традиционных средств защиты информации, таких как межсетевые экраны. Приводятся ссылки на реальные случаи взломов информационных систем различных компаний и организаций (в том числе и российских). В первой главе описываются и способы обхода межсетевых экранов, которые могут применяться для проникновения в корпоративные сети.
Вторая глава вводит читателя в такие понятия, как "уязвимость", "атака" и "инцидент безопасности". Указанное в главе деление поможет понять, почему современные системы обнаружения атак не всегда могут идентифицировать реального злоумышленника. В этой же главе описаны этапы реализации атак и методы, используемые злоумышленниками для скрытия следов своей несанкционированной деятельности.
Третья глава объясняет необходимость применения технологии обнаружения атак. Все технологии обнаружения атак основаны на трех "китах":
- признаках, описывающих нарушения политики безопасности;
- источниках информации, в которых ищутся признаки нарушений политики безопасности;
- методах анализа информации, получаемой из соответствующих источников.
Именно этим трем китам посвящена четвертая глава. В ней приводится большой фактографический материал, иллюстрирующий различные критерии, которые позволяют сделать вывод о наличии атак в контролируемом пространстве. После изучения данной главы мы сможем ответить на три вопроса: "ЧТО", "ГДЕ" и "КАК" обнаруживать. Использовать полученные знания можно двумя путями. Первый способ - вручную применять самые простые из описанных методов анализа источников информации в поиске известных признаков атак. Этому посвящена пятая глава. Второй способ - выполнять те же самые задачи, но в автоматизированном режиме при помощи специализированных средств обнаружения атак. О таких средствах повествует шестая глава, в которой дается их классификация и приводятся наиболее типичные примеры, в том числе и российские разработки.
В седьмой главе рассказывается о действиях, без которых внедрение любой даже самой эффективной, системы обнаружения атак будет пустой тратой времени. К таким действиям можно отнести:
- подготовку и обучение персонала;
- создание политики безопасности;
- выбор и использование механизмов системной и сетевой регистрации;
- создание карты сети и т. д.
Восьмая глава является ключевой в книге, т. к. в ней приводится большое число различных критериев оценки систем обнаружения атак. Эти критерии позволят специалистам сделать правильный выбор в пользу той или иной системы, предлагаемой на российском рынке. В этой же главе приведен и краткий анализ этих систем.
Девятая глава посвящена такому немаловажному вопросу, как размещение систем обнаружения атак, в том числе и в современных коммутируемых сетях. В десятой главе разбираются некоторые практические аспекты эксплуатации систем обнаружения атак, такие как:
- выбор программного и аппаратного обеспечения для системы обнаружения атак;
- инсталляция и развертывание системы обнаружения атак;
- задание правил для обнаружения атак;
- конфигурация вариантов реагирования;
- повышение защищенности системы обнаружения атак.
Одиннадцатая глава является первым фундаментальным исследованием на русском языке проблем, связанных с технологией обнаружения атак. Характеризуются различные причины, затрудняющие ее использование и пути их преодоления.
В двенадцатой главе пойдет речь об отдельных аспектах создания своей собственной системы обнаружения атак. Это позволит в условиях недостаточного финансирования создать простую защитную систему, повышающую общий уровень безопасности корпоративной сети. Предпоследняя глава посвящена вопросам стандартизации. В ней приводится список организаций и стандартов в области обнаружения атак. Заключительная глава пытается ответить на вопрос "что делать, когда атака обнаружена", т. е. описывает процесс реагирования на инциденты.
Приложения содержат полезный материал, который может понадобиться в процессе практической работы с системами обнаружения атак. Они включают:
- список портов, используемых троянскими конями;
- список портов, часто подвергающихся сканированию;
- список диапазонов адресов, пакеты с которых могут попасть на внешний интерфейс периметрового маршрутизатора или межсетевого экрана;
- список доменов первого уровня;
- список идентификаторов протоколов IPv4.
В тексте содержится большое количество ссылок на ресурсы Internet. Некоторая информация о технологии обнаружения атак доступна только там. Эта область постоянно и часто изменяется и поэтому иные приведенные факты и сведения к моменту выхода книги могут потерять свою актуальность. В этом случае я рекомендую обратиться по указанным в ссылках адресам за более новой или подробной информацией.
Начало
Полное содержание
Предисловие
Об авторе
Заказать книгу в магазине "Мистраль"