9.3.4. Методы реагирования

Атака не только должна быть обнаружена, необходимо еще правильно и своевременно среагировать на нее. В существующих системах применяется широкий спектр методов реагирования, которые можно разделить на три категории:

1) уведомление;

2) хранение;

3) активное реагирование.

Применение той или иной реакции зависит от многих факторов.

Уведомление. Самым простым и широко распространенным методом уведомления является отправка администратору безопасности сообщений об атаке на консоль системы обнаружения атак. Такая консоль может быть установлена не у каждого сотрудника, отвечающего в организации за безопасность; кроме того, этих сотрудников могут интересовать не все события безопасности, поэтому необходимо применение иных механизмов уведомления. Такими механизмами могут быть отправка сообщений по электронной почте, на пейджер, по факсу или телефону.

К категории «уведомление» относится также посылка управляющих последовательностей к другим системам, в частности сетевого управления, или к межсетевым экранам (Checkpoint Firewall-1, Raptor Firewall и т.д.). В первом случае используется стандартизованный протокол SNMP, а во втором – внутренние или стандартизованные (например, SAMP) протоколы.

Сохранение. К категории «сохранение» относятся два варианта реагирования:

1) регистрация события в базе данных;

2) воспроизведение атаки в реальном масштабе времени.

Первый вариант широко распространен и в других системах защиты. Для реализации второго бывает необходимо «пропустить» атакующего в сеть компании и зафиксировать все его действия. Это позволяет администратору безопасности затем воспроизвести в реальном масштабе времени (или с заданной скоростью) все действия, осуществленные атакующим, проанализировать «успешные» атаки и предотвращать их в дальнейшем, а также использовать собранные данные в процессе разбирательства.

Активное реагирование. К этой категории относятся следующие варианты реагирования:

1) блокировка работы атакующего;

2) завершение сессии с атакующим узлом;

3) управление сетевым оборудованием и средствами защиты.

Системы обнаружения атак могут предложить конкретные варианты реагирования: блокировку учетной записи атакующего пользователя, автоматическое завершение сессии с атакующим узлом, реконфигурацию межсетевых экранов и маршрутизаторов и т.д. Эта категория механизмов реагирования, с одной стороны, достаточно эффективна, а с другой, их надо использовать очень аккуратно, так как неправильное их применение может привести к нарушению работоспособности всей корпоративной информационной системы.