6.2 Если у меня есть МСЭ, нужно ли мне обнаружение атак?
Да, по многим причинам. Некоторые из причин:
Вы никогда не узнаете, когда ваш МСЭ неправильно сконфигурирован, и что хакеры проникли в вашу сеть, если у вас нет системы обнаружения атак.
Вы никогда не узнаете, когда хакеры пытаются атаковать вашу сеть (за исключением редких случае - примечание переводчика).
Большинство корпоративных атак идут с внутренней стороны сети
6.3 Если у меня есть система обнаружения атак, нужен ли мне МСЭ?
Несомненно. Каждой корпорации требуется хорошее управление, одна точка входа в сеть. Хакеры всегда запускают автоматические программы (типа SATAN) на сеть Internet в поисках уязвимостей. Без МСЭ эти автоматические программы могут обнаруживать и незаметно использовать дыры.
6.4 Ведутся ли работы по стандартизации в области обнаружения атак?
6.4.1. Формат журнала регистрации подсистемы аудита
http://www.cs.purdue.edu/coast/projects/audit-trails-format.html
6.4.2. Универсальный формат для регистрации событий
http://www.myass.com/nic/drafts/draft-abela-ulm-02.txt.html
6.4.3. Рабочая группа IETF по обнаружению атак
Charter: http://www.ietf.org/html.charters/idwg-charter.html
Архив: http://www.semper.org/idwg-public/
Подписка: idwg-public-request@zurich.ibm.com
6.4.4. CIDF (Common Intrusion Detection Framework)
Определяет формат сообщений между "Генераторами событий", "Анализаторами событий", "Базами данных событий" и "Модулями реагирования". В настоящий момент слишком теоретические работы с небольшим вкладом в практическую реализацию.
(6.4.5. Консорциум разработчиков систем обнаружения атак ICSA
http://www.icsa.net/services/consortia/intrusion/ - примечание переводчика)
Назад |
Содержание