Средство обнаружения атак RealSecure

Автор: Администратор
Дата публикации: 8 августа 2012 года
Раздел: Защита от взлома

Средство обнаружения атак RealSecure позволяет обнаруживать несанкционированную деятельность на рабочих станциях и серверах сети, распознавать атаки на уровне сетевых сервисов и реагировать на них соответствующим образом в режиме реального времени. При этом RealSecure может использоваться для защиты как внешнего периметра корпоративной сети, подключенной к Internet, так и внутренней сети. По статистике, до 75% всех инцидентов происходят по вине сотрудников организации.

Важной особенностью RealSecure является возможность обнаружения атак на двух уровнях: сети (network-based) и каждого компьютера (host-based). Продукты других производителей, как правило, ориентированы только на сетевые атаки. При работе на уровне сети RealSecure анализирует весь сетевой трафик, а на уровне компьютера – журналы регистрации ОС (EventLog и syslog) и деятельность пользователей в режиме реального времени.

Необходимо отметить, что система RealSecure обладает возможностью не только контролировать события, связанные с реализацией атак, но и добавлять свои собственные сигнатуры, что позволяет своевременно защищать сеть от постоянно появляющихся угроз безопасности.

ПО RealSecure имеет распределенную архитектуру и содержит два основных компонента: RealSecure Detector и RealSecure Manager. Первый обеспечивает обнаружение атак и реакцию на них; он состоит из двух модулей-агентов – сетевого и системного. Сетевой агент устанавливается на критичном сегменте сети и распознает атаки путем «прослушивания» трафика. Системный агент инсталлируется на контролируемом узле и выявляет несанкционированные операции. Компонент RealSecure Manager служит для настройки продукта и сбора информации от RealSecure Detector.

Управление компонентами RealSecure осуществляется и с помощью так называемого модуля консоли, и с использованием дополнительного модуля, подключаемого к системам сетевого управления HP OpenView (HP OpenView Plug-In Module) или Tivoli. В распределенной сети можно установить нескольких консолей, обеспечивающих управление всеми модулями обнаружения атак.

Любую систему обнаружения атак характеризуют возможности по реагированию на реализацию атак. RealSecure обеспечивает три типа реагирования: уведомление (notification), хранение (storage) и активная реакция (active response).

Уведомления могут рассылаться на одну или несколько консолей управления (RealSecure Manager) по электронной почте или (при подключении системы AlarmPoint) по факсу, телефону и на пейджер. Предусмотрена генерация управляющих SNMP-последовательностей визуализиции контролируемых событий в системах сетевого управления (например, HP OpenView, CA Unicenter, Tivoli). Все данные о событиях сохраняются в стандартном (дата и тип события, адрес атакующего и атакуемого, дополнительные сведения) и расширенном форматах. В последнем случае сохраняется и содержание всего трафика. RealSecure обеспечивает воспроизведение администратором всех действий нарушителя с заданной скоростью для последующего анализа. Часто это помогает разобраться, каким образом злоумышленник проник в корпоративную сеть и что именно требуется противопоставить ему в дальнейшем.

При атаке, которая может привести к выведению из строя узлов корпоративной сети, RealSecure позволяет автоматически разорвать соединение с атакующим узлом, блокировать учетную запись нарушителя (если он сотрудник организации) или реконфигурировать межсетевые экраны и маршрутизаторы таким образом, чтобы последующие соединения с таким узлом были запрещены. В настоящее время RealSecure поддерживает межсетевые экраны CheckPoint Firewall-1 и Lucent Managed Firewall, маршрутизаторы компаний Cisco, Nortel и ODS Networks. Администратор способен также создать собственные сценарии обработки контролируемых событий и задать операции активного реагирования.

Применение RealSecure в сети не снижает ее производительности не только при использовании каналов Ethernet, Token Ring и FDDI, но и при работе с высокоскоростными магистралями типа Fast Ethernet. Сама система RealSecure может быть защищена от внешних атак при помощи так называемой Stealth-конфигурации, которая не позволяет «видеть» эту систему из внешней сети.

Fatal error: Call to a member function return_links() on a non-object in /var/www/zoleg9992/data/www/e2epro.com/page/footer.php on line 42