Читаем Журнал «Компьютерра» № 9 от 7 марта 2006 года полностью

Системы HIPS-класса (локальные сенсоры) дополняют сетевую «линию обороны» защитой рабочих станций. Широкое (для решений подобного класса) распространение получили Cisco Security Agent, Prevx Pro, SecureHost IPS (Intruision), Safe’n’Sec (StarForce), TruPrevent (Panda) и McAfee Entercept. Эти системы можно рассматривать в качестве профилактического дополнения к существующим «классическим» антивирусам и прочему защитному софту (см. таблицу), а также как подушку безопасности, расположенную между ядром ОС и запущенными приложениями, которые потенциально могут нести угрозу. Особенно актуально такое ПО в период вирусных эпидемий, которые, увы, вспыхивают в Сети все чаще. Ведь HIPS постоянно отслеживают запуск или остановку сервисов, работу всех приложений и прочую активность, обращая особое внимание на то, в какой последовательности выполняются системные действия. Большая часть HIPS позволяет коррелировать данные о событиях, поступающие из разных источников: от антивирусов, журналов ОС и пр. Помимо оперативности реагирования корреляция сводит к минимуму количество ложных срабатываний (см. врезку).

Корреляция тревожных сигналов

Чтобы обеспечить согласованную работу разномастных средств информационной безопасности, используются так называемые SIM-системы (Security Information Management). Применительно к IDS/IPS-средствам они упоминаются преимущественно как возможность заметно снизить количество ошибочных предупреждений. SIM-системы обрабатывают массивы данных, поступающих от антивирусов, маршрутизаторов, межсетевых экранов, а также IDS/IPS, и результатом их трудов является корреляционный анализ и визуализация полученной информации. Одна из ключевых особенностей систем — возможность представления итоговых данных в унифицированном виде для принятия решений. Ведь источники от разных вендоров поставляют данные в разных форматах, и порой их очень непросто «привести к общему знаменателю».

Но в контексте статьи нас больше интересует проблема ложных вызовов. Вопреки распространенной точке зрения о том, что чрезмерная бдительность лучше недостаточной, на практике оказывается, что ошибочные уведомления могут крайне негативно влиять на безопасность. Непрерывный поток однотипных сообщений, появляющихся на консоли, часто приводит к тому, что администратор перестает не только проверять каждое, но и просто читать их. Десятки, а то и сотни тысяч уведомлений в день — обычное дело в любой крупной корпоративной сети.

SIM-система накапливает сигналы от разных источников в одной консоли, удаляя избыточную информацию (например, данные об одном и том же событии, полученные разными сенсорами). Следующий этап — агрегирование событий по типу. И наконец, собственно корреляция, в рамках которой система сопоставляет полученные от разных источников сообщения и делает вывод о возможности успеха атаки. Если риск минимален или вообще отсутствует (Windows-вирус пробирается в сеть, работающую под Unix), то администратор не получит никакого уведомления.