Защита окружающей среды

Эта тема является наиболее очевидной формой защиты от атак хакеров, но это не в полной мере в большинстве случаев. Администраторов безопасности диаграмм дизайна сети размещение брандмауэров и вторжений системы обнаружения на периметров свою сеть и осуществлять эти проекты.

Однако, наиболее "забытые" части на самом деле самое главное:

- Проверка журналов брандмауэра (оба FW и системы) - Вопрос полного использования программного обеспечения обнаружения вторжений Прежде всего, журнал брандмауэра может собрать как много так и мало информации, как администратор хочет. Если эта информация никогда не рассматривалась, то брандмауэр не должен быть его регистрации на всех. Конфигурация брандмауэров для входа, правильные данные без регистрации, слишком много информации продолжающегося сражения, что изменения в топологии сети.

Ключом к успешной регистрации является планирование. Перед осуществлением защиты, администратор должен планировать, какие события он хочет иметь в системе и какую информацию, связанную с этими событиями должен зарегистрировать. Вот где образование администратора действительно выручает. Администратор безопасности знает, что деятельность должна и не должна идти на его через брандмауэр. Большинство брандмауэров предлагают определяемые пользователем предупреждения, которые могут отправлять электронные письма или предупреждение сообщений для любой подозрительной деятельности. Вместе с тем, что, если злоумышленник не отправлял любые предупреждения? Что делать, если трафик на брандмауэр, но окно злоумышленниками? Третья задача после входа, информация положить его в форму, которая может быть понята. Чем быстрее эти события могут быть привлечены к вниманию администратора, тем меньше времени злоумышленник имеет для его повреждения. Есть много продуктов для того чтобы организовать защиту, входит в простые, легко читается.

В дополнение к брандмауэру - журналы, системные журналы из ключевой коробки должны быть рассмотрены на регулярной основе. В другой статье, написанной по Ланс Spitzner, он описывает, как журналы, "Чрезвычайно обильные, быстро подающее нам информацию." Документ под названием, "Смотря в журналах", идет в подробности о том, как отфильтровать системные журналы для правильной информации и, как поставить эту информацию в удобном для чтения виде. Еще раз, для образования администратора безопасности необходимо точно знать, что журналы должны быть рассмотрены и, что вызывает должны быть созданы для того, чтобы поймать незаконной деятельности.

Вторая тема под обеспечение условий является понимание обнаружения вторжений предупреждений. По умолчанию, многие пакеты программного обеспечения обнаружения вторжений оповещения о почти всем. Многие из предупреждений являются поддельными и администратор тратит время, стараясь решить путем предупреждения, чтобы найти реальные. Повторяющейся темой образования вновь поднимется здесь, когда администратор должен знать, что предупреждение реально, а когда нет.

Это имеет некоторое отношение к специально программного обеспечения он использует, но по большей части он должен быть с пониманием атак. Например, если программное обеспечение только настроено на мониторинг трафика, поступающего из вне, один из ключевых аспектов нарушений безопасности будет пропуск. Многие троянцы или бэкдор-программы, организация конкретного трафика снаружи.

Программное обеспечение по обнаружению вторжений могжет определить это движение и предупредить. Однако, без знания, как некоторые из этих работ злоумышленник использует, эти предупреждения можно легко принять за ложные срабатывания.

В дополнение к пониманию оповещения, администраторы безопасности должны понимать, цель использования как защиты и программного обеспечения обнаружения вторжений. Межсетевые экраны уязвимые для атак, которым разрешено проходить снаружи из-за протокола и трафика, который никогда не пройдет через защиту. Некоторые примеры этого включая взлом общественного просмотра коробки (DMZ серверов) и внутренних атак. В примере DMZ серверы, веб-серверы цель номер один. Так как брандмауэр должен позволить сети трафика на вашех общественных веб-серверах, брандмауэр не может ничего сделать. Однако вторжение программное обеспечение для обнаружения может исследовать пакеты следования на сервер для так называемых подписей. Подписи пакетов, которые могут быть определены как имеющие конкретную цель, такие, как конкретные, и использовать на веб-сервере. Программное обеспечение может блокировать пакет и в некоторых случаях посылать пакеты обратно на атакующего, для снижения связи полностью.

Без надлежащего осуществления и использования защиты и системы обнаружения вторжений, много попыток черной шляпы может быть более чем достаточно, прежде чем начать. Однако, если происходит скольжение по обороне, журналы системы могут быть использованы для определения того, кто вторгся в сеть и какой ущерб был причинен. Эти два инструмента, при эффективном использовании имеют наибольшее влияние на компьютерную безопасность и защиты от атак хакеров.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок