Мир физический и мир виртуальный
После небольшого отступления перейду к теме статьи - обнаружению и отражению угроз. Эта область известна многим специалистам в области безопасности. Она представлена такими средствами физической безопасности, как средства сигнализации и оповещения. В свою очередь эти средства делятся на два категории: постоянного и периодического действия. Первые системы, к которым можно отнести пожарную и охранную сигнализацию, охранное телевидение и т.п., непрерывно следят за объектом защиты. Системы периодического действия работают по другому принципу - они анализируют состояние объекта защиты в заданные моменты или через определенные промежутки времени. Типичным примером таких средств является периодический обход территории охранниками. К средствам отражения можно отнести ограждение территории, замки и решетки и т.п.
Однако информационная система - это тоже своего рода здание, только виртуальное, которое необходимо защищать. И использовать для этого можно те же механизмы физической безопасности, но спроецированные с учетом особенностей информационных технологий. Например, несанкционированный вход в обычное здание блокируется охранником или турникетом. В виртуальном здании для этого используется межсетевой экран или система аутентификации, которые проверяют входящий (и исходящий) в систему трафик на соответствие различным критериям.
Однако злоумышленник для несанкционированного проникновения в здание может подделать пропуск (в виртуальном мире подделать адрес) или пролезть через окно (в виртуальном мире через модем). И никакой охранник или турникет не защитит от этого. И тут на первый план выходят средства обнаружения угроз в виде различных датчиков, идентифицирующих различные угрозы.
По своему функциональному назначению датчики охранной сигнализации делятся на три типа [4]:
Как это не странно, но и в виртуальном здании применяются те же самые датчики. Называются они сенсорами системы обнаружения атак. Единственное отличие от датчиков охранной сигнализации в наличии двух категорий вместо трех:
Аналог механизма охранной сигнализации и оповещения периодического действия тоже присутствует в виртуальном мире. Это системы анализа защищенности, которые по требованию администратора безопасности или по расписанию проводят ряд проверок заданных компонентов информационной системы. Можно провести следующую аналогию с анализом защищенности - охранник, периодически обходящий все этажи здания в поисках открытых дверей, незакрытых окон и других проблем. Также действует и система анализа защищенности. Только в качестве здания выступает информационная система, а в качестве незакрытых окон и дверей - уязвимости ("слабости") этой системы.