Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

Книги: [Классика] [Базы данных] [Internet/WWW] [Сети] [Программирование] [UNIX] [Windows] [Безопасность] [Графика] [Software Engineering] [ERP-системы] [Hardware]

     

Обнаружение вторжений в сеть. Настольная книга специалиста по системному анализу

Стивен Норткатт, Джуди Новак

Издано: 2001, М., "Лори"
Для опытных пользователей и профессионалов
ISBN: 85582-147-1
Твердый переплет, 384 стр.
Формат: 70x100/16

Начало
Полное содержание
Введение
Об авторе
[Заказать книгу в магазине "Мистраль"]

Предисловие

Если не существует никакой угрозы и риска повреждения системы, не нужны и средства защиты и контрмеры, а также нет необходимости и в обнаружении вторжения. Угрожает ли кто-то из Интернета? Или угроза связана с информационной борьбой? Опишем угрозы и обсудим, что это такое. Начнем с макроугроз, которые могут повлиять на всех, и закончим микроугрозами, оказывающими влияние на отдельные компьютеры или файлы.

Реальность угрозы

Причиной вторжения в сеть обычно являются действия тех, кто хочет навредить другим. В некотором смысле это информационная война; здесь есть наступающие и есть обороняющиеся. Аналитик вторжения - обороняющаяся сторона в игре с непредсказуемым результатом. Это значит, что результат некоторой операции нападения может иметь самое разное значение. Можно начать с оценки важности операции, определив вероятность ее успешности и ущерб, который она способна принести. Однако не всегда угроза вызывается нападающей стороной; существуют угрозы, причина которых - вовсе не злой умысел, а некорректные программные средства либо землетрясения. Рассмотрим ряд сценариев угрозы, от фантастической ситуации и информационной войны до проблемы Y2K. Данные сценарии иллюстрируют следующее:

  • Нашу зависимость от вычислительной инфраструктуры
  • Разрыв между реальностью и восприятием
  • Опасность реакции на стимул, предлагаемый противником
  • Невозможность управления зависимостью от инфраструктуры

Пришельцы-злоумышленники

Вспомним День независимости и представим себе, что огромные космические корабли, вращающиеся вокруг Земли, большим зеленым лучом наносят удар не по Белому дому, а по каждому компьютеру планеты и поспешно удаляются. Что мы будем иметь в результате? Все в Соединенных Штатах, в так называемых развитых странах немедленно остановится; работу продолжат очень немногие автомобили, самолеты и поезда; линии связи замрут; и мы быстро окажемся где-то между средневековьем и началом индустриальной эры. Конечно, это всего лишь фантазия, и случиться такого не может. Однако становится понятно, насколько велика, глобальна наша зависимость от рабочей вычислительной инфраструктуры. Реальны ли такие операции, которые могут привести к аналогичным результатам?

Лихорадка Y2K

Проблема 2000 года стала самой серьезной головной болью в моей жизни. Беспокойство началось в 1998 году, когда мне было приказано заменить все установленные мной датчики вторжения, поскольку те не учитывали Y2K. Неважно, что они были простыми передающими устройствами, не имеющими отношения к наступлению этого события. С приближением 2000 года специалисты заявляли, что в Соединенных Штатах все нормально, но ряд других стран, не сделавших соответствующих инвестиций, вызывали определенные опасения. В то время, когда я пытался защитить компьютеры от проблемы 2000 года, другие (и очень многие) имели иную точку зрения; они запасались водой, покупали недвижимость в сельской местности, оружие и керосиновые лампы и делали продовольственные запасы. Чего они боялись? Они думали, что даты, состоящие из двух цифр, способны вызвать такие же разрушения, что и пришельцы, о чем мы говорили вначале. Теперь, дорогой аналитик, большая часть этой книги будет посвящена битам и байтам, но подготовимся и к более серьезному: к тому, что может случиться на самом деле (реальность), и к тому, что может случиться по мнению людей (восприятие). Оказывается, важны оба момента!

Решение Y2K год спустя

Для превращения двухцифровых дат в четырехцифровые многие компании нанимали специалистов из других стран. В октябре 1999 года Терри Мейнард, руководитель ячейки анализа NIPC ФБР, выпустил документ, где описывались страны, активные в информационной борьбе и в устранении проблемы Y2K. Причиной явилось беспокойство по поводу того, что под видом программы, решающей Y2K, в программное обеспечение организаций могут проникнуть (в некоторых случаях) троянские или другие злонамеренные программы. Страны в отчете перечислялись по порядку, и в их числе фигурировали Израиль и Индия (обе союзницы Соединенных Штатов). Майкл Вейтис посчитал нужным поднять этот вопрос в Конгрессе в октябре 1999 года и сказал:

"Угроза исходит от других государств, а также иностранных и отечественных деятелей, которые взламывают компьютерные сети, управляющие жизненно важной инфраструктурой нашей страны - службами, необходимыми для функционирования нашей экономики и для обеспечения нашей безопасности".

Хотя это звучит весьма серьезно, тема Израиля-Индии здесь не поднимается. Позже он сказал: "Мы не указываем на них пальцем. Мы просто называем тех, кто в общем информационном пространстве обладает программами, работающими с информацией, и кто их исправляет. Именно об этом говорится в статье (Мейнарда). Здесь не говорится о том, что у нас есть неопровержимые доказательства".

Однако не упоминается о том, что неопровержимых доказательств нет. Это особенно интересно потому, что многие исправленные программы были финансовыми. Таким образом, в попытке избежать проблемы Y2K некоторые организации, возможно, подвергли себя еще большим трудностям.

Информационная борьба развивается во времени. Она динамична, а не статична. Если противник может предвидеть нашу реакцию, то первоначально следует изменить нашу позицию таким образом, чтобы она была удобна противнику. Этот недостаток часто присущ автоматической реакции.

В главе 7 исследуется известный прием, когда для нападения на систему и для нейтрализации ее средств защиты используется предсказуемая последовательность TCP-номеров. Кроме того, этот метод - один из лучших способов нападения на криптографическую систему. Нападающий вызывает ввод в систему известного стимула-сообщения, называемого chosen plain text (избранный простой текст). Мораль здесь такова, что нужно осознавать, что мы, отвечая на что-то, возможно, делаем именно то, что хочет нападающий.

Распределенный "отказ в обслуживании" (DDOS)

Одним из достоинств работы во Всемирном центре анализа происшествий является возможность получения самой свежей информации об атаках по мере ее поступления. Общеизвестно, что в феврале 2000 года Yahoo! и ряд других сайтов подверглись нападению, в результате чего они не обслуживали посетителей несколько часов. Однако многие не знают о том, что число сайтов, которые подверглись и продолжают подвергаться атакам, намного выше, чем было объявлено в прессе.

Рассмотрим такой сценарий. Вы работаете в организации, которая начинает заниматься электронной коммерцией; вы покупаете первоклассный web-сервер; люди начинают делать покупки; доходы растут; руководство думает о расширении объемов продаж, и вы здесь - основное лицо; жизнь прекрасна. Затем вдруг - сокрушительный удар! Ваш сервер подвергается нападению "отказ в обслуживании" (denial-of-service), продолжающемуся целый час. Сделать ничего нельзя. Через два дня новая атака, потом еще одна. Люди начинают жаловаться, доходы - падать. Руководство говорит вам, что неполадки должны быть устранены в течение недели, иначе акции компании будут распроданы по льготной цене. Как это ни печально, но вы берете трубку телефона и отменяете заказ на "Ягуар" V12, о котором всегда мечтали. Провайдеры уже работают над средствами защиты от подобных атак, и, если провайдер грамотен и обладает достаточной пропускной способностью, он может сделать многое. Однако большинство компаний зависят от провайдеров, которые лишены такой возможности. Эти организации зависимы от инфраструктуры, контролировать которую или управлять которой не могут.

Когда Стивен Норткатт работал в Организации противоракетной обороны, его начальник Роберт Пиви постоянно твердил об угрозах. Обычно он говорил: "Все, что делается в отношении безопасности, должно учитывать возможные угрозы". Мудрое высказывание, и, надеемся, оно станет руководящим принципом на вашем пути в качестве аналитика. В этом предисловии исследуются угрозы. Начали мы с того, что описали сценарии, иллюстрирующие следующее:

  • Нашу зависимость от вычислительной инфраструктуры
  • Разрыв между реальностью и восприятием
  • Опасность реакции на стимул, предлагаемый противником
  • Невозможность управления зависимостью от инфраструктуры

Это серьезный фундамент дальнейших исследований. Далее сделаем ряд достаточно важных утверждений, особенно при рассмотрении макроугроз, а также определим несколько базовых понятий.

Макро- и микроугрозы

Представьте себе, что у вас есть не совсем полная канистра с бензином. Одна часть канистры занята горючим, другая - смесью горючего и воздушных паров. Опишем приблизительно это в цифрах. Емкость контейнера - один литр, и 2/3 от этого - горючее. Как получить более детальную информацию? Наиболее точная модель должна учитывать каждый атом и его поведение в определенный момент времени, но для этого не хватит вычислительных мощностей и дискового пространства. Однако можно построить модель, введя в систему специальные приборы и маркеры и снимая показания, используя при этом такие параметры, как температура, энергия и энтропия. Если взглянуть на эту модель во всей ее полноте в режиме изменения данных, получим макропредставление. Если же рассмотреть одну небольшую область, например границу между горючим и смесью горючее/воздух, это будет микросостоянием. Такие состояния взаимосвязаны. Применим ли данный метод к информационным системам?

Эта концепция - не наше открытие. Доктор Дэйв Форд потратил годы на то, чтобы применить ее к информационной теории вообще и к обнаружению вторжения в частности. Мы были счастливы, что могли ему помогать!

Угрозы и информационная борьба описываются разными моделями. Модель С1А:

  • Конфиденциальность (confidentiality)
  • Целостность (integrity)
  • Доступность (availability)

Данная модель не только удобна, но и проста в применении. Об этих параметрах пойдет речь при обсуждении угроз. Нам интересна, конечно, не канистра с бензином, а информационная система, Интернет и то, что с ним соединено. Рассмотрим все, от различных макросостояний (общей картины), т.е. доменов, крупных сетей и т.д., до угроз отдельным файлам и программам, что является микросостояниями,

Макроугрозы

Угроза может возникать целым группам, странам и экономикам. Информационную войну можно сравнить с оружием массового поражения. В октябре 1999 года мы слышали выступление российского посланника, где говорилось о необходимости разоружения и о начале переговоров об ограничении стратегических вооружений, связанных с компьютерами.

Экономика Интернета

Продолжим развивать четвертый сценарий, но на макроуровне. Мы хотим высказать важную мысль, поэтому будьте добры, потерпите, пока мы не изложим свои доводы в пользу того, что наш мир движется по направлению к экономике, основанной на Интернете. В меняющейся мировой экономике все больше и больше организаций используют Интернет для того, чтобы получать и делать заказы. Организации создают web-магазины и приступают к продаже товаров. Это привлекательно по нескольким причинам:

  • 1999/2000 годы - время высоких технологий. Просто следите за уровнем цен на биржах. Одним из способов является контроль за серверами .com.
  • Стоимость бумаги, почтовых отправлений и энергии растет. Ведение бизнеса в Интернете, по сути дела, бесплатно.
  • Интернет-магазин доступен буквально всем. Для небольших организаций это первый случай, когда словосочетание "глобальная экономика" начинает иметь какой-то смысл.

Финансовые специалисты-плановики просчитывают прибыль на несколько лет вперед. Все идет вполне благополучно, и вдруг начинаются атаки DDOS. Уровень акций колеблется, а затем приходит в норму. Что делать в такой ситуации? Могут ли контрмеры помочь компании противостоять этим атакам без потери своего присутствия в Интернете? Несомненно! Можно подключить систему к нескольким магистралям. Если возможности провайдера позволяют, силу атаки можно погасить. Однако каждое из средств защиты стоит денег. Отсюда следует, что дешевые провайдеры, несерьезные операторы, которые возникали тут и там в 1998 году, обслуживая мелкие организации, не могут защитить своих клиентов от подобных интенсивных нападений. Они просто не имеют такой возможности. Чтобы компания хоть в какой-то степени считалась надежной, ей необходимо прибегнуть к услугам проверенного провайдера, что увеличивает затраты. Очевидным результатом первой волны атак DDOS (февраль 2000 года) стало повышение расценок и некоторое изменение корпоративной стратегии. Правда, это не свидетельствует о том, что результат отрицателен. Продолжим анализировать данные. Существует несколько указателей на возможные трудности.

Признаки больших неприятностей

Будущее нам неизвестно, но в наших силах присмотреться к тенденциям сегодняшнего дня. В момент написания книги (9 марта 2000 года) начинают проявляться признаки по-настоящему серьезных проблем. Одни из них являются кратковременными, другие будут с нами долгое время.

Повышение стоимости энергии

Стоимость энергии повышается быстрыми темпами, что тем или иным образом затрагивает каждого из нас.

  • Месяц назад на Гавайях компании, занимающиеся авиаперевозками, ввели дополнительный сбор на внутриостровные полеты.
  • На той же неделе губернатор штата Миннесота Джесси Вентура заявил прессе, что цены на горючее для домашних обогревателей становятся настоящим бедствием для граждан его штата.
  • Две недели назад водители грузовиков провели марш протеста в Вашингтоне, требуя от правительства "что-то делать".

Цена на перекачку горючего в Фредериксберге (штат Виргиния) стала непосредственной причиной повышения цен на такси.

Имеет ли вышеперечисленное хоть какое-то отношение к обнаружению вторжения или к угрозе нарушения систем безопасности? Если подобное повышение цен на энергоносители кратковременно и вызвано лишь истощением запасов и редким моментом единения ОПЕК, то, конечно, не имеет. Но если стоимость энергии будет расти все больше и больше, то данный аспект весьма важен, поскольку служит косвенной, но постоянно напоминающей о себе причиной обращать внимание потребителей и компаний на информационную инфраструктуру.

  • Иногда телефон и электронная почта могут с успехом заменить личное общение.
  • Обучение по сети или с помощью компьютеров в определенной мере способно заменить преподавателей.
  • С помощью телекоммуникаций можно снизить затраты на, поездки, делая их не более чем пару раз в неделю.

В каждой из описанных ситуаций важны вопросы качества и безопасности, и каждая из них нам так или иначе знакома. Все дело в том, что повышение стоимости энергоносителей ускоряет процесс. Но долго ли будет повышаться стоимость энергии? Не упадут ли цены через некоторое время? После бензинового кризиса они упали, но остались, тем не менее, существенно выше, чем были до того, и почти наверняка подобный кризис повторится.

Повышение стоимости почтовых услуг

Цена на энергоносители - это лишь один из факторов, оказывающих влияние на стоимость почтовых отправлений. Более значима сама бумажная почта, которая в отличие от электронной монополизирована практически во всех странах.

Мы не забыли марки по 5 центов. Сегодня они стоят 33 цента для первого класса. Думаете, можно удешевить обслуживание, воспользовавшись частными альтернативными организациями, например Federal Express или UPS? Подумайте еще раз; в Своде федеральных правил (статья 39) говорится о том, что улучшенное обслуживание, например экспресс-доставка, должно стоить в два раза больше. Те списки и флайеры конференций, которые вы получаете по почте от SANS, достаточно дороги. Предполагается, что они будут стоить еще дороже. Мы наняли по-настоящему грамотного специалиста по базам данных в надежде на более рациональное обращение с электронными данными, чтобы можно было передавать нужным людям нужную информацию. В противном случае объем электронной почты был бы слишком велик, и люди бы начали ассоциировать SANS с навязчивой компанией по продаже продуктов. Рост затрат на бумажную почту - главная причина, заставляющая компании расширять свое присутствие в Интернете. Подумайте, чего стоит послать каждый получаемый вами лист бумаги. Многие компании вполне осознают, что их присутствие в Интернете просто необходимо. Электронная коммерция весьма полезна, но заниматься ей следует с осторожностью и вниманием.

Стоимость кирпичей и раствора

В некоторых случаях Интернет-бизнес имеет существенное преимущество в конкурентной борьбе. Одной из причин является, конечно, то, что обслуживать магазин весьма дорого. Особенно уязвимы в отношении конкуренции организации, которые не продают ничего физического или материального (например, страховые компании, биржи или компании, выдающие кредиты под залог).

Ожидание доходов от серверов .com

Общеизвестно, что биржевые цены несколько завышены. Акциями владеют многие люди. Причем для них это существенная часть денежных накоплений, откладываемых на старость. Из всех акций наиболее завышены те, что связаны с высокими технологиями. Однако значение имеет еще один аспект - первоначальные ожидания получения дивидендов.

Многие люди, которые хотят стать миллионерами за год или два, полагают, что Интернет сделает их богатыми. Однако все прекрасно знают, что на рынке нужно быть первым. Места на рынке сегодня хватает только для тех, кто хочет продавать по сети цветы, и первый имеет наилучшие шансы получить прибыль. Это предполагает поспешность и необдуманные поступки, ошибки и уязвимость. Не забывайте о разрыве между восприятием и реальностью, а в данном случае он весьма велик. Маловероятно, что высокотехнологичные акции, которые хотя и выгодны на протяжении нескольких лет, будут год за годом приносить от 15 до 50% дохода. Большинство начинаний потерпит крах, и многие, обладающие подобными акциями, будут использовать их в качестве туалетной бумаги. Мы слышим лишь о тех, кому сопутствует удача.

Молот падает

Свяжем все воедино. Росту экономики угрожает реальный риск со стороны нескольких энергичных злоумышленников со склонностью к анархии. Хотя урон наносят и атаки DDOS, направленные на UNIX, в последние несколько недель в университетах выявлены три официально подтвержденные троянские программы для Windows. В компьютере есть копии двух из них. Если нападающие могут использовать для отказа в обслуживании системы Windows, они способны нанести огромный урон. Конечно, полоса пропускания кабельных модемов несопоставима с возможностями некоторых сайтов, применявшихся для атаки на Yahoo!, но вообразите сетевую атаку тысячи их или даже большего числа! Кроме того, учтите воздействие атаки, в которой используются специальные средства, а не просто пакеты SYN или UDP. Представьте себе результат согласованного нападения на каждый из DNS-серверов .com с имитацией исходных адресов, наводнение серверов сотнями миллионов операций поиска DNS, что равнозначно для DNS почтовой бомбе! Выявить злоумышленников, как правило, не удается. Системы на кабельных модемах обычно не имеют средств обнаружения вторжения и журналов, и для проникновения троянских программ столько возможностей, что идентифицировать тех, кто нападает, чрезвычайно трудно.

9 марта 2000 года в "USA Today" на первой странице был опубликован рассказ о том, что ФБР не удалось поймать нарушителей, предпринявших нападение в феврале того года. И стоит повторить: эти нападения продолжаются; они просто не получают огласки. Так что это вовсе не какие-то пришельцы из космоса, а вполне обычные люди. На самом деле атаки подобного рода весьма вероятны. И если они будут продолжаться снова и снова, а серверы .com будут долгое время простаивать, что в итоге? Одно очевидно: тем немногим специалистам, которые могли бы делать что-то более стоящее, придется тратить по полдня на работу с сообщениями. Другие результаты будут таковы:

  • Высокотехнологичные акции, возможно, будут переоценены, чтобы более точно соответствовать своей стоимости.
  • Предприятия, пытающиеся организовать серверы .com, могут понять, что окупать вложения в ценные бумаги стало труднее.
  • Организации, пытавшиеся выйти в Интернет, могут обратиться к более дорогостоящим способам ведения дел.
  • Стоимость продукции, продаваемой через Интернет, может возрасти.

Основная мысль здесь такова, что подъем экономики, который так нас всех радует, в значительной степени определяется переходом к экономике Интернета, что может в один момент прекратиться. Может начаться спад, что зависит от нескольких факторов. Может ли быть еще хуже? Гипотетически в условиях свободного рынка инвестиции всегда должны иметь логическое завершение; в конце концов, весь их смысл - в долговременноеT, не правда ли? При распродаже большого объема акций может наступить и депрессия. В наихудшей ситуации можно вернуться и в каменный век, когда компакт-диски будут меняться на раковины и будут полезны только как сверкающие побрякушки. Аналитики вторжения должны следить за тем, чтобы этого не случилось. Возможно, мы сгущаем краски, но не можем еще раз не напомнить о том, что макроугроза из Интернета способна повлиять на качество нашей жизни.

Информационная борьба между странами

Наличие средств информационной борьбы определяет и мощь государства. В специализированной прессе можно прочитать о компьютерных столкновениях между Израилем и палестинцами, Китаем и Тайванем, Индией и Пакистаном. До сих пор подобные атаки носили характер скорее ссор между школьниками, чем чего-то сравнимого с оружием массового поражения. Однако из всех этих стран Китай, похоже, настроен очень серьезно в военном отношении и в соответствии с заявленной доктриной рассматривает информационную борьбу в качестве серьезного компонента общей военной стратегии.

Микроугрозы

Хотя целью многих нападений являются государства, внимания заслуживают прежде всего те, которые касаются вас лично. Те, кто имел когда-либо дело с разрушительным вирусом или подвергаемой риску системой, знает, насколько это обременительно. В некотором смысле это явно результат микроугроз. Однако расширим тему. Рассмотрим объекты уровня школ, благотворительных организаций, политических групп и компаний. Вмешательство в общественные организации порой столь же разрушительно, как и нападение в информационной борьбе или атака на коммерческое предприятие.

Неудачи в бизнесе

Основа бизнеса - конкуренция. Многие из теорий и методов, полезных в информационной борьбе, оказываются нужными и в деловой конкуренции. Термин "бизнес" будем использовать широко, поскольку конкуренция возможна и между университетами и правительственными учреждениями. Когда информационная борьба имеет отношение к бизнесу, проводящемуся законными средствами, это часто называется интеллектуальной конкуренцией (competitive intelligence).

Компьютерный рынок довольно неорганизован, причиной чему компании, не создававшие его, а также те, что некогда занимали в своей отрасли ведущее положение. Бизнес терпит неудачу по нескольким причинам, совершенно не связанным с угрозой из Интернета. Понятно, что даже при использовании информационных ресурсов годятся те же приемы, что и применявшиеся давным-давно. Если, к примеру, вице-президент компании, производящей автомобили, для посылки конкурентам сообщений, составляющих коммерческую тайну, использует электронную почту, это практически ничем не отличается от копирования информации вручную и посылки ее голубиной почтой; это такой же внутренний шпионаж. Слухи о страхах и сомнениях распространялись задолго до появления Интернета, хотя это, возможно, идеальная среда для подобных вещей.

Так какие же угрозы присущи исключительно информационному бизнесу? Пожалуй, никакие. Но риск физического повреждения, риск нарушения конфиденциальности и риск неверных действий при работе с информацией - все это в среде электронной коммерции усиливается. Любая из этих причин может привести успешно функционирующую компанию к банкротству.

Физическое повреждение

Риску физического повреждения более подвержена информация, хранимая на дисках. В результате землетрясений, пожаров и наводнений бумажные документы обычно повреждаются, а компьютерные записи - уничтожаются. Сможет ли ваша организация пережить крупный пожар в своем центре хранения данных? Проверяли ли вы когда-либо свой план действий в непредвиденных обстоятельствах? Поразительно много "критически важных" файлов не дублируется и не защищается. Нам очень нравится проверять списки контактов у ответственных за продажи в организациях. Для организации этот файл важен чрезвычайно, а он часто находится в карманном или переносном компьютере и дублируется крайне редко.

Свободный доступ к важной информации

При помощи различных методов, от троянских программ до прямого внедрения в систему, нападающий может найти коммерческие тайны организации и послать их в какой-нибудь почтовый ящик в Интернете, практически ничем не рискуя. Во многих отраслях различия конкурирующих между собой компаний сводятся к нескольким коммерческим тайнам или запатентованным процессам. Возьмем "Пепси" и "Кока-Колу". Оба продукта целиком состоят из воды, сахара, пузырьков газа и коричневого красителя. Единственное различие между ними - их организация сбыта и секретная формула. Угроза коммерческой тайне уникальна тем, что в отличие от физической кражи организация может никогда не узнать о том, что тайна уже раскрыта.

Неверные действия

В феврале 2000 года мы поехали на Гавайи с группой математиков-докторов философии из Министерства обороны, чтобы создать прототип алгоритма обнаружения вторжения. Однажды один из членов группы допоздна задержался на военной базе, где мы работали, а остальные пошли на луау (гавайский праздник), чтобы получить значки туриста. Возвращаясь в Перл-Харбор, мы попытались ночью рассмотреть карту и решили, что лучший путь добраться до базы - шоссе НЗ. Затем мы поняли, что направляемся на другой конец острова и что съездов нет. Когда мы наконец проехали тоннель, пронизывающий Пали, и съехали с дороги на первом повороте, оказалось, что это одно из ответвлений, которые не позволяют вернуться обратно на шоссе. Все мы пытались смеяться, но становилось все более не по себе, а кроме того, было довольно поздно.

То же самое и при работе с компьютерами. Вы начинаете что-то делать. Совершаете ошибку. Понимаете, что совершили ошибку и стараетесь ее исправить. Совершаете еще одну ошибку. Секунды, дни, недели, даже годы работы под угрозой или потеряны. Все слышали ужасные истории о системах составления счетов, которые не составляют счета, или о системах электронной почты, отправляющих сообщения в никуда. Если же две организации конкурируют, выбор неверного продукта может позволить одной из них вырваться вперед.

Вступая в мир экономики Интернета, компании лицом к лицу встречаются еще с одной опасностью - потерей фокуса. Снова и снова люди говорят мне о том, как много часов в день они тратят на чтение электронной почты. Это важно. Электронная почта, WWW и т.д. - замечательные инструменты, но если наступает момент, когда из виду упускается главная цель, это совсем иное. Вы можете спросить, чем угрожает покупка некорректных программ составления счетов или чтение электронных писем? Поставьте на время себя на место нарушителя, готовящего нападение. Можно ли разработать такую операцию, которая заставит вашего конкурента выбрать ненужный продукт, сделать неверный шаг? Да, и еще один вопрос: планируете ли вы в ближайшее время модернизировать свою систему?

Другие микроугрозы

Доводилось ли вам получать электронные сообщения с фотографиями, где спрашивалось о том, видели ли вы когда-либо того, кто на ней изображен (и если видели, предлагается послать письмо по такому-то и такому адресу, потому что изображенный человек сделал что-то ужасное)? Правда ли это или нападение? Играя на чувствах людей, можно организовать эффективнейшую атаку!

В 1998 году несколько читателей на базе ВМС, где мы работали, сообщили о получении предложения прибрести детскую порнографию. Были указаны цена, имя продавца и адрес для посылки чека. Как вы думаете, это была правда? Конечно, нет. С помощью правоохранительных органов мы смогли установить, что сообщение было обманом. Предполагалось, что жертва получила массу гневных писем, как в бумажном, так и в электронном виде. Бедная несчастная жертва даже совершила ошибку, оставив свой терминал работать в автоматическом режиме; реклама на самом деле исходила из его учетной записи. Его компании пришлось удалить эту почтовую учетную запись и создать новую, несколько изменив имя. Интересно то, что жертв в данном случае было несколько. Многие получатели электронной почты час и более любым способом пытались доставить свои возмущенные отклики.

Роль обнаружения вторжения в снижении угрозы

Целью обнаружения вторжения в сеть является выявление угроз, направленных на организации, с тем чтобы обеспечить их надежную защиту от этих угроз. В данном предисловии угрозы рассмотрены обобщенно. Далее в книге будут приведены более конкретные сведения, в том числе способы анализа признаков атаки на систему или сеть. Для понимания таких конкретных угроз нужно иметь четкое представление о протоколах Интернета, особенно о том, как они соотносятся со средствами обнаружения вторжения. В первой части книги исследуются принципы работы IP, что понадобится при анализе трассировок (следов) реальных атак.

Итоги

Все, что делается в отношении безопасности, должно учитывать возможные угрозы. Слабые места в системах - это окна, через которые проявляют себя угрозы. Аналитик должен быть настороже, следя за угрозами конфиденциальности, целостности и доступности. Всякий раз при оценке угрозы нужно определять вероятность ее реализации, а при ее проявлении - какой вред она способна принести.

Начало
Полное содержание
Введение
Об авторе
Заказать книгу в магазине "Мистраль"

 

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...