Знать, что началась атака
Знать, что началась атака
Главным при отражении вторжения является способность распознать, что ваша система взламывается! Вам нужно точно знать, что наблюдаемое вами явление действительно взлом, а не аппаратный или программный сбой или причуда пользователя. Определить, подвергается ли ваша система атаке, помогут вам в первую очередь программы-детекторы вторжения. Поэтому установка программ-детекторов до того, как вы подвергнетесь атаке, абсолютно оправдана. Вспомним недавнее вторжение вируса Code Red. 19 июля 2001 года Code Red «заразил» 359 104 хост-компьютера, которые были взломаны всего лишь за 13 часов. На пике своих действий вирус поражал около 2000 новых сайтов в минуту, даже тех, на которых были установлены программы обнаружения вторжения.
Большинство IDS (Intrusion-Detection Systems — систем обнаружения вторжения) могут определить атаку, только если имеется сигнатура атаки.[4]
Если подумать, то это выглядит глупо. Это похоже на то, что вы думаете, что грабитель не заберется в дом, но забыли купить замок на дверь. Более того, после установки у себя такой сигнатуры у вас не будет уверенности в том, что противник не запустит новый вариант атаки и будет пропущен IDS.
Убедитесь в том, что ваша IDS может обнаруживать атаки «дня Зеро» (zero-day attacks), или атаки «первого удара» (first-strike attacks), или «неизвестные атаки» (unknown attacks), названные так потому, что о них еще не сообщалось, о них ничего пока не знают и их сигнатур не существует. Если ваша IDS не может определять атаки «дня Зеро», то нужно усовершенствовать вашу архитектуру. Это поможет защититься от атак, нацеленных на протоколы и осуществляемых вирусами Code Red, Nimda и их разновидностями.
Я не предлагаю вам устанавливать программы-детекторы на каждую систему вашей сети. Но стратегическое размещение их в ключевых местах (в сетях и наиболее важных для работы системах) даст вам несомненное преимущество.