10.10.2003  Решения

Алексей Лукацкий, руководитель отдела Internet-решений НИП "Информзащита" luka@infosec.ru Многие специалисты считают, что ложное обнаружение атак лучше, чем отсутствие сообщений о них. Однако это как раз тот самый случай, когда количество переходит в качество - в плохое качество работы. Ведь со временем вал таких сообщений становится "головной болью" любого администратора, которому приходится решать, реагировать ли на очередное появившееся на консоли предупреждение или игнорировать его. Чаще всего он просто перестает обращать внимание на все такие сообщения, независимо от содержания, что рано или поздно приводит к самым тяжелым последствиям. Системы обнаружения атак мертвы? В потоке информации, постоянно поступающем на экран консоли администратора безопасности, есть множество предупреждений и сообщений от установленных в сети средств защиты. Это и диагностика от систем сканирования периметра сети, и обнаруженные попытки подбора пароля на узлах, видимых из Интернета, и выявленные атаки червей (Slammer и т. п.), и злонамеренное использование уязвимостей Web-сервера, и многое другое. Подобные сообщения могут поступать от различных средств обеспечения безопасности, начиная от фильтрующего маршрутизатора и межсетевого экрана и заканчивая системами обнаружения атак и средствами контроля содержимого. Одна из первых задач администратора безопасности - отделить "зерна от плевел" и определить, какие атаки требуют немедленной реакции, какие подождут, а какие ... читать далее.