JК
Журнал Компьютерра - 9 от 7 марта 2006 года :: Компьютерра
Страница: 170 из 190Вопреки распространенной точке зрения о том, что чрезмерная бдительность лучше недостаточной, на практике оказывается, что ошибочные уведомления могут крайне негативно влиять на безопасность. Непрерывный поток однотипных сообщений, появляющихся на консоли, часто приводит к тому, что администратор перестает не только проверять каждое, но и просто читать их. Десятки, а то и сотни тысяч уведомлений в день — обычное дело в любой крупной корпоративной сети.
SIM-система накапливает сигналы от разных источников в одной консоли, удаляя избыточную информацию (например, данные об одном и том же событии, полученные разными сенсорами). Следующий этап — агрегирование событий по типу. И наконец, собственно корреляция, в рамках которой система сопоставляет полученные от разных источников сообщения и делает вывод о возможности успеха атаки. Если риск минимален или вообще отсутствует (Windows-вирус пробирается в сеть, работающую под Unix), то администратор не получит никакого уведомления.
От пользователя требуется только указать политику контроля, определяющую алгоритм работы интеллектуального анализатора. Отмечу, что подробно освещать методы работы своих анализаторов компании по понятным причинам не хотят, так что выбор политики фактически сводится к дотошности контроля.
В частности, в Safe’n’Sec предусмотрены такие режимы работы, как жесткая, строгая, и доверительная политики. «Жесткий» вариант разработчики рекомендуют включать только во время хакерских атак и уже упоминаемых вирусных обострений. В этом режиме программа подвергает анализу всю активность в системе, вплоть до действий пользователя.
SIM-система накапливает сигналы от разных источников в одной консоли, удаляя избыточную информацию (например, данные об одном и том же событии, полученные разными сенсорами). Следующий этап — агрегирование событий по типу. И наконец, собственно корреляция, в рамках которой система сопоставляет полученные от разных источников сообщения и делает вывод о возможности успеха атаки. Если риск минимален или вообще отсутствует (Windows-вирус пробирается в сеть, работающую под Unix), то администратор не получит никакого уведомления.
От пользователя требуется только указать политику контроля, определяющую алгоритм работы интеллектуального анализатора. Отмечу, что подробно освещать методы работы своих анализаторов компании по понятным причинам не хотят, так что выбор политики фактически сводится к дотошности контроля.
В частности, в Safe’n’Sec предусмотрены такие режимы работы, как жесткая, строгая, и доверительная политики. «Жесткий» вариант разработчики рекомендуют включать только во время хакерских атак и уже упоминаемых вирусных обострений. В этом режиме программа подвергает анализу всю активность в системе, вплоть до действий пользователя.