Защита аудитом

ISS предлагает средства обнаружения атак

Система обнаружения нападений RealSecure работает в интерактивном режиме: она следит за действиями пользователей и пытается отыскать потенциально опасные или не соответствующие политике безопасности компании команды

Компании «Информзащита» и ISS на семинаре для клиентов рассказали о средствах анализа защищенности и обнаружения атак, разработанных компанией Internet Security Systems.

В группу средств анализа защищенности входят три продукта: Internet Scanner, System Scanner и Database Scanner. Средства обнаружения атак объединены под общим названием RealSecure и также состоят из трех компонентов: Network Sensor, OS Sensor и Server Sensor. Кроме того, компания NetworkICE (которую относительно недавно купила ISS) разработала технологию высокоскоростного анализа протоколов BlackICE и персональный защитный экран с элементами обнаружения вторжений BlackICE Defender. Пока продукты NetworkICE не интегрированы в собственные продукты ISS, но в скором времени планируется их объединение.

Основная цель анализатора защищенности — поиск ошибок, которыми мог бы воспользоваться злоумышленник для несанкционированных действий. При этом программа фактически эмулирует действия хакеров, реализующих наиболее известные нападения. По результатам своей работы анализатор выдает сообщения о найденных проблемах в системах защиты с подробным их описанием и методами устранения. Варианты продуктов различаются лишь уровнем анализа. Так, Internet Scanner пытается проникнуть в удаленный компьютер по сети, System Scanner нападает на систему безопасности конкретной операционной системы, а Database Scanner пытается взломать защиту СУБД.

Анализаторы защищенности позволяют проверить надежность защиты и исправить ошибки, допущенные администраторами систем.

Система обнаружения нападений RealSecure работает в интерактивном режиме: она следит за действиями пользователей и пытается отыскать потенциально опасные или не соответствующие политике безопасности компании команды. Приложение RealSecure Network Sensor выявляет подозрительные действия, анализируя передачу данных по протоколу TCP/IP, RealSecure OS Sensor и RealSecure Server Sensor — действия и события внутри операционной системы, а сенсор BlackICE Gigabit Sentry анализирует передачу данных на скоростях до 1 Гбит/с. Анализ подозрительных действий выполняется по шаблонам известных нападений. Технология, используемая в продуктах ISS, срабатывает даже в том случае, когда нападающий разбивает нападение на несколько этапов, разных по времени. Данные со всех сенсоров собираются в единое хранилище, к которому подключаются со своих консолей администраторы безопасности. Правда, пока хранилище данных RealSecure имеет свой консоль управления RealSecure Console, а продукты BlackICE — свой ICEcap Manager.

Для интеграции всех продуктов в единую систему ISS разработала специальное приложение SiteProtector. Сейчас в нем есть модули, которые взаимодействуют только с сенсорами RealSecure, но уже скоро появятся компоненты для взаимодействия и с сенсорами BlackICE.

Кроме того, в новой версии RealSecure 7.0 все сетевые сенсоры будут строиться на технологической базе BlackICE, а сама торговая марка останется только на персональных межсетевых экранах Defender.