Стивен Норткатт и др., «Обнаружение вторжений в сеть».
C увеличением числа и расширением охвата корпоративных, правительственных и образовательных сетей возрастает вероятность нарушений их системы безопасности. Цифры говорят о том, что до сих пор сети плохо защищены, а администраторы нередко даже не замечают взлома своих систем. Далеко не всегда межсетевой экран оказывается непроницаемым для злоумышленников. Довольно часто подозрительные действия может обнаружить только система со встроенными агентами в разных точках сети, отслеживающая трафик и обращения к критическим ресурсам. Системы обнаружения вторжений дополняют межсетевые экраны (брандмауэры), анализируя журналы событий сетевых устройств и средств защиты и пытаясь найти следы атаки, даже когда их не удалось зафиксировать в реальном времени.
Хотя публикации такого рода на Западе весьма многочисленны, в России до сих пор выходило достаточно мало литературы по обнаружению вторжений в сеть. Одним из первых изданий, где был представлен подробный обзор технологий обнаружения атак, стала работа А. Лукацкого «Обнаружение вторжений» (рецензия на эту книгу была опубликована в ноябрьском номере «Журнала сетевых решений/LAN» за прошлый год). Тему средств защиты информации и проблематику систем безопасности продолжает вышедшая недавно книга авторитетнейших специалистов в области сетевой безопасности Стивена Норткатта и Джуди Новак. Она содержит теоретические сведения, справочные материалы, результаты исследований и анализ практических примеров. С. Норткатт был первым начальником группы обнаружения вторжения с помощью системы Shadow министерства обороны США, затем работал руководителем отдела информационной борьбы в Организации противоракетной обороны, а сейчас выполняет функции старшего обработчика событий во Всемирном центре анализа происшествий и директора подразделения обучения и аттестации в Институте системного администрирования, сетевых технологий и информационной безопасности (System Administration, Networking, and Security, SANS). Д. Новак — старший аналитик безопасности в Лаборатории прикладной физики Университета Джонса Хопкинса. Она занимается обеспечением информационной безопасности, исследованиями и разработкой для производственной сети APL, участвовала в создании группы по работе с компьютерами и по реагированию на происшествия Исследовательских лабораторий армии США, преподает в Институте SANS курс «Анализ сетевого трафика с помощью Shadow» и курс по TCP/IP для аттестации специалистов по системному анализу. В работе над книгой принимал участие и Дональд Маклахлен, имеющий многолетний опыт системного администрирования UNIX.
Эту книгу можно использовать в качестве учебного пособия для интересующихся данным вопросом и полезного технического справочника для специалистов по обнаружению вторжений в сеть. Как и в работе А. Лукацкого, читатели найдут здесь уникальные практические сведения. Авторы подробно рассказывают о различных видах угроз, предлагают к обсуждению животрепещущие вопросы безопасности, предоставляют иллюстрированные примеры, в основе которых лежит их собственный опыт. Круг тем очень широк — от оценки способов обнаружения вторжений, анализа и действий в конкретных ситуациях до теоретических вопросов и арсенала профилактических мер защиты.
Книга поможет специалистам, осуществляющим контроль за своей сетью и обеспечивающим ее защиту, выявить слабые места в системе, снизить риск для ее безопасности, распознать известные и необычные способы нападения, создать эффективные фильтры, ловушки и брандмауэры, понять основные принципы и объективные недостатки TCP/IP, различать нормальный и аномальный трафик. В ней поясняется, как освоить методы анализа в реальном масштабе времени и настроить систему так, чтобы не допускать ложных сообщений о нападении.
Начав с пояснения концепций протоколов Internet, теории ICMP и DNS, авторы отводят отдельные главы вопросам архитектуры систем обнаружения вторжений, фильтрам и сигнатурам, методам нападения. Известный хакер Кевин Митник также удостоен специальной главы, где рассказывается история обнаружения «атаки Митника» и перечислены способы предотвращения подобных атак. Весьма интересны разделы по «компьютерному подполью» и инфраструктуре поддержки хакеров, их обучению и взаимодействию, методам сбора разведывательной информации, использованию вирусов для получения различных данных. Несомненно, эти сведения помогут администраторам систем защиты лучше узнать своего врага и будут интересны не только специалистам по безопасности.
В отличие от многих других подобных работ, С. Норткатт и Д. Новак уделяют более пристальное внимание экономической стороне использования систем обнаружения вторжений: специальная глава посвящена бизнес-плану создания таких служб, обоснованию затрат на систему безопасности, окупаемости вложенных средств, управлению риском с точки зрения денежных затрат. Отдельный раздел посвящен организационным вопросам. Книга может оказать серьезную помощь аналитикам безопасности, позволит освоить и эффективно применять инструменты управления системой защиты сети, глубже изучить данные применяемых систем обнаружения вторжений.
Книгу (Стивен Норткатт, Джуди Новак, Дональд Маклахлен. «Обнаружение вторжений в сеть. Настольная книга специалиста по системному анализу». — «Лори», 2002. — 384 стр.) можно приобрести в книжных магазинах. Ориентировочная цена — 290 р.