СОВ всё чаще становятся необходимым дополнением инфраструктуры сетевой безопасности. В дополнение к межсетевым экранам (МЭ), работа которых происходит на основе политики безопасности, СОВ служат механизмами мониторинга и наблюдения подозрительной активности. Они могут обнаружить атакующих, которые обошли МЭ, и выдать отчет об этом администратору, который, в свою очередь, предпримет дальнейшие шаги по предотвращению атаки. Технологии обнаружения проникновений не делают систему абсолютно безопасной, однако, практическая польза от применения СОВ весьма значительна.
Использование СОВ помогает достичь нескольких целей:
• обнаружить вторжение или сетевую атаку;
• спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития. Атакующий обычно выполняет ряд предварительных действий, таких как, например, сетевое зондирование (сканирование) или другое тестирование для обнаружения уязвимостей целевой системы;
• выполнить документирование существующих угроз;
• обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;
• получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;
• определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.
Схема включения СОВ
Межсетевой экран установлен на границе защищаемой сети и блокирует основные часто встречающиеся атаки. Для правильной настройки межсетевого экрана и антивирусного ПО на компьютерах защищаемой подсети администратору необходимо иметь доступ к информации, с помощью которой можно анализировать весь сетевой трафик. Решение этой задачи заключается в установке СОВ непосредственно за межсетевым экраном для отслеживания атак со стороны внешних и внутренних нарушителей.
Рисунок 1
Этапы защиты сети (Рисунок 1):
• администратор подключает С-Терра СОВ на границе защищаемой сети и настраивает зеркалирование всего трафика информационной системы на СОВ. СОВ на основе правил обнаружения анализирует трафик и предоставляет администратору полную информацию о сетевых атаках;
• злоумышленники атакуют защищаемую сеть, допустим, что атака проходит в защищаемый контур, минуя межсетевой экран;
• администратор на основе анализа данных просматривает информацию об атаке, устанавливает IP-адрес источника, тип атаки и иную необходимую информацию;
• с учетом полученной информации администратор настраивает на межсетевом экране блокирующие правила, обновляет ОС, антивирусы компьютеров или производит иные действия, позволяющие блокировать повторную атаку, в результате повторная атака будет остановлена.