Итак, жизнь продолжается. Она может быть страшной или прекрасной в зависимости от того, как на нее смотреть. Проще было считать ее прекрасной.
Э.М. Ремарк. "Тени в раю"
Активный аудит, в зависимости от точки зрения, можно считать и весьма зрелой, и только формирующейся областью информационных технологий.
С одной стороны, исследования по выявлению подозрительной активности ведутся давно, в процессе этих исследований были получены интересные математические и программистские результаты. Исследования носят комплексный характер, они направлены на создание эффективных, гибких, расширяемых, масштабируемых систем, способных стать надежным защитным рубежом в корпоративных сетях произвольного размера. На наш взгляд, почти все необходимые концептуальные и архитектурные решения уже найдены; начинается фаза инженерной "доводки". Наиболее неисследованной областью остается обнаружение низкоскоростных, скоординированных атак из нескольких источников.
С другой стороны, коммерческие системы активного аудита появились относительно недавно и соответствующий рынок пока невелик. К сожалению, разработчики коммерческих систем предпочли "искать под фонарем", взяв на вооружение, прежде всего, звучный термин "обнаружение вторжений", но ограничившись применением самых простых методов. Часть систем является просто перелицованными сканерами безопасности, что, конечно, экономически оправдано с точки зрения производителя, но едва ли благоприятно сказывается на качестве продукта. Слишком много вариантов атак пропускается, слишком много ложных тревог генерируется, слишком много времени проходит от появления новой атаки до установки у заказчика соответствующих сигнатур.
Реальность, однако, состоит в том, что при любом взгляде на проблему выявления подозрительной активности подобные системы, несомненно, нужны. Если на самом деле обнаруживается лишь 4% атак, то это даже меньше, чем видимая часть айсберга, а ведь и сейчас статистика нарушений информационной безопасности выглядит угрожающе. Нужно находить (и наказывать) злоумышленников, нужно что-то делать с оставшимися 96% нарушений, и основная надежда связывается именно с активным аудитом (если, конечно, не считать кардинального решения в виде революции в технологии создания больших информационно-безопасных систем).
На наш взгляд, должно пройти еще 3-5 лет, прежде чем коммерчески доступные, недорогие системы активного аудита станут реальным защитным средством, пригодным для эффективной эксплуатации массовым заказчиком, но уже сейчас их можно использовать для повышения безопасности критически важных сервисов или отдельных участков сети. Целесообразно сочетать их с более простыми средствами контроля целостности, автоматизируя реакцию на выявленные нарушения. Возможно, части организаций следует подумать о мониторинге своей информационной системы с привлечением профессионалов.
Работы в области активного аудита ведутся исключительно интенсивно. Они просто не могут не дать положительного результата. Нужно только немного подождать.
|
|
|
|
| О результатах тестирования систем активного аудита | Содержание | Литература |
| Copyright ╘ 1993-2000, Jet Infosystems |