Названные защитные механизмы (как, впрочем, и средства, в которых они реализованы) можно условно поделить на три группы.
К первой группе относятся все механизмы, кроме двух последних (обнаружение атак и выявление уязвимостей). Эти механизмы используются практически повсеместно, например, используемые в корпоративной сети операционные системы имеют встроенные возможности аутентификации, разграничения доступа и т. д. Межсетевые экраны обеспечивают безопасность при осуществлении электронного обмена информацией с другими сетями, разграничение доступа между сегментами корпоративной сети, а также защиту от проникновения и вмешательства в работу корпоративной сети нарушителей из внешних систем.
Вторая группа средств защиты — реализация механизма обнаружения атак или, более точно, непрерывного мониторинга событий, связанных с безопасностью. Система обнаружения атак должна фиксировать попытки нарушения безопасности. Очевидно, она должна иметь распределенную архитектуру. Обычно в состав системы обнаружения атак входят два типа компонентов:
• Инвентаризация служб и установленного ПО.
Системы анализа защищенности, также как и уязвимости, обнаруживаемые ими, могут быть классифицированы по различным критериям. Далее рассматриваются возможные варианты их классификации.
- • модули слежения (сенсоры, датчики, детекторы) — программы, занимающиеся сбором данных.
- • управляющие модули (консоли, менеджеры) — программы, отвечающие за обработку собранных сведений и конфигурирование модулей слежения.
Кроме того, в состав системы могут входить и другие вспомогательные компоненты (СУБД для хранения различных данных, связанных с работой системы и т. п.).
И, наконец, третья группа средств защиты — средства обнаружения уязвимостей (анализа защищенности). Средства анализа защищенности сетевых служб применяются для оценки защищенности компьютерных сетей по отношению к внутренним и внешним атакам. По результатам анализа защищенности сетевых сервисов этими средствами генерируются отчеты, включающие в себя список обнаруженных уязвимостей, описание связанных с ними возможных угроз и рекомендации по их устранению.
Таким образом, комплекс средств сетевой безопасности должен включать в себя:
- • Средства, реализующие основные защитные механизмы (аутентификация, контроль целостности, криптографические механизмы защиты и т. д.).
- • Средства непрерывного мониторинга сети и отдельных ее узлов с целью обнаружения атак и других подозрительных действий пользователей.
- • Средства, позволяющие оценить защищенность сети в целом и эффективность работы других средств защиты.
Средства анализа защищенности (последний пункт списка) далее рассматриваются более подробно.
