Гибридные и удаленные расписания никуда не денутся: согласно недавнему исследованию, 30% американских компаний заявили, что они полностью перешли на удаленный доступ, а 43% — что они позволяют половине офиса работать из дома на ноутбуке, а другой половине — с компьютера. офис. В целом работодатели в подавляющем большинстве хорошо отреагировали на это изменение, назвав гибкость и удобство главными преимуществами.

Однако этот крупный переход к удаленной работе также вызвал дополнительное давление на компании, которые теперь должны обучать и обучать своих сотрудников, чтобы сотрудники не становились жертвами киберпреступников. Хотя компьютер компании может быть взломан в любое время, в том числе в офисных помещениях, эти инциденты встречаются реже, поскольку рабочая среда строго контролируется и существует ряд мер безопасности. Но когда сотрудник забирает домой свой рабочий ноутбук, он становится более уязвимым. Киберпреступники быстро воспользовались этой уязвимостью, и количество атак на рабочие ноутбуки увеличилось. Чтобы не стать жертвой, следуйте этим советам:

Защитите свою домашнюю сеть

Когда большинство из нас устанавливает домашние сети Wi-Fi, мы обычно выполняем простой процесс «Далее» -> «Далее» -> «Готово», не утруждая себя просмотром дополнительных настроек. К сожалению, этого недостаточно, если вы хотите держать киберпреступников на расстоянии. Когда миллионы людей принесли домой свои рабочие ноутбуки, хакеры быстро воспользовались тем фактом, что большинство домашних сетей незащищены или плохо защищены, и получили доступ к конфиденциальным данным на миллионы.

Хорошая новость заключается в том, что вам не нужно быть экспертом в области ИТ- безопасности, чтобы защитить свою домашнюю сеть:

• Всегда меняйте пароль по умолчанию, установленный на вашем маршрутизаторе.
• Создайте надежный пароль Wi-Fi с прописными и строчными буквами, цифрами и специальными символами.
• Измените свое имя Wi-Fi на то, что ваша семья узнает, но это не раскрывает вашу личность или адрес.
• Включите шифрование WEP, WPA или WPA2 в настройках роутера.
• Следите за устройствами, которые подключаются к вашей сети Wi-Fi. Если вы видите что-то подозрительное, удалите это и измените пароль.

Зашифруйте свое общение

Одно из самых больших преимуществ использования рабочего ноутбука заключается в том, что вы не ограничены одним местом. В зависимости от вашего образа жизни вы можете работать из дома, но также можете работать в кафе или коворкингах, которые появляются по всему миру. Однако недостатком такой настройки является то, что она может быть небезопасной. При просмотре веб-страниц на рабочем ноутбуке в незащищенных сетях, таких как общедоступный Wi-Fi, киберпреступники могут просматривать вашу онлайн-активность с помощью анализа пакетов и атак типа «злоумышленник в середине». Например, вы можете подумать, что подключаетесь к Wi-Fi в кафе, но если хакеры используют ананас Wi-Fi, на самом деле вы можете подключиться к другой сети. Чтобы не подвергать ваши данные киберпреступникам в Интернете,  купите VPN. чтобы скрыть свой IP-адрес и зашифровать ваш онлайн-трафик, чтобы его не увидели третьи лица. Использование VPN (виртуальной частной сети) — это универсальная хорошая практика, которой должна следовать вся семья, но это еще более важно, когда вы используете рабочие ноутбуки, которые содержат конфиденциальную бизнес-информацию.

Будьте осторожны при использовании ноутбука в общественных местах

Практики, применяемые киберпреступниками, становятся все более совершенными. Но знаете ли вы, что часто им даже не нужно использовать изощренную тактику или грубую силу для доступа к вашим данным? Взлом рабочего ноутбука может быть делом социальной инженерии. Социальная инженерия означает, что хакеры пытаются использовать человеческое поведение вместо того, чтобы использовать технический взлом, чтобы получить доступ к конфиденциальным файлам и системам. Независимо от того, насколько хорошо вы защищаете свой рабочий ноутбук, следите за этими распространенными приемами социальной инженерии:

• Работая в кафе, не оставляйте списки паролей и другие рабочие документы на столе, где их могут видеть все.
• Носите ноутбук с собой куда угодно. Никогда не оставляйте его без присмотра, даже если он защищен паролем.
• Убедитесь, что никто не видит ваш экран, когда вы используете рабочий ноутбук в общественном месте.
• Остерегайтесь незнакомцев, которые говорят, что работают в одной компании, и спрашивают личные данные.
• Перепроверяйте электронные письма потенциальных клиентов. Хакеры могут притвориться, что искренне заинтересованы в услугах компании, и попросить вас оплачивать счета в мошеннических аккаунтах. Также нередки случаи, когда хакеры выдают себя за руководителей высокого уровня и обманом заставляют их переводить средства.

Всегда следуйте рекомендациям компании

Хотя компании в спешке перешли на удаленную работу и  поставили безопасность на второе место  в первые месяцы пандемии, большинству из них удалось наверстать упущенное и разослать своим сотрудникам список рекомендаций по кибербезопасности. Если вы получили такой список, обязательно следите за ним.

Чаще всего политики кибербезопасности компании включают в себя такие рекомендации, как:

• Перед началом работы авторизуйтесь в VPN компании.
• Хранение личных и рабочих файлов отдельно.
• Не входите в свои личные учетные записи в социальных сетях с рабочего ноутбука или вообще не используйте рабочий ноутбук в личных целях (например, для покупок в Интернете).
• Всегда устанавливайте обновления программного обеспечения по запросу.
• Регулярно меняйте  пароли,  каждый раз создавая надежные пароли .
• Создавайте резервные копии рабочих файлов по указанию.

Включите «Найти меня» и удаленную очистку

В идеале ваш рабочий ноутбук никогда не потеряется или не украдут, но к этому нужно быть готовым. Когда вы работаете в кафе или на общем рабочем месте, это, к сожалению, возможно. Если вы используете Mac в качестве рабочего компьютера, убедитесь, что вы включили «Найти меня», чтобы вы могли легко определить его местонахождение. Для дополнительной безопасности вам также следует включить удаленную очистку. Таким образом, если у вас есть основания полагать, что ноутбук был взломан и неавторизованная сторона получила доступ к вашим данным, вы сотрете с него все. Если вы не используете Mac, вы можете установить сторонние инструменты отслеживания и удаленной очистки, но всегда сначала запускайте их ИТ-отделом для авторизации.

Заключение

Использование рабочего ноутбука — гибкость и удобство; без ограничений физического офиса вы можете работать там, где вам удобнее, например, дома или за чашечкой местного кофе. Но, чтобы оставаться в безопасности и предотвратить попадание конфиденциальных рабочих данных в чужие руки, убедитесь, что вы защитили свой ноутбук с помощью описанных выше стратегий.

TOTP аутентификация обычно используется как второй фактор при двухфакторной аутентификации. В этой статье я вам расскажу про TOTP и где это можно применять.

Читать далее…

IP-камера или камера с интернет-протоколом — это тип цифровой камеры безопасности, которая принимает и отправляет видеоматериалы через IP-сеть. Они обычно используются для наблюдения. В отличие от аналоговых камер видеонаблюдения (CCTV), IP-камерам не требуется локальное записывающее устройство, только локальная сеть. IP-камеры подключаются к сети так же, как телефоны и компьютеры.

КАК РАБОТАЮТ СЕТЕВЫЕ IP-КАМЕРЫ?

Для аналоговых и аналогово-цифровых камер видеонаблюдения требуется коаксиальный видеокабель для передачи отснятого материала на цифровой видеорегистратор (DVR). С другой стороны, IP-камера безопасности может передавать отснятый материал по беспроводному соединению. В частности, ip камеры видеонаблюдения подключаются к сетевому видеорегистратору (NVR) через Wi-Fi, кабель Ethernet или USB.

IP-камера снимает кадры с высоким разрешением — разрешение может достигать 16 мегапикселей, в зависимости от модели камеры. Каждая IP-камера оснащена чипом обработки, который сжимает видео по мере его записи. Что это означает? Ну, чем выше разрешение камеры, тем больше данных в каждой видеозаписи. Изображения с высоким разрешением требуют больше места для хранения и большей пропускной способности для передачи данных, чем изображения более низкого качества. Для передачи изображений высокой четкости по сети IP-камеры должны сжимать файлы или уменьшать их размер, чтобы избежать чрезмерного использования полосы пропускания. Современные стандарты сжатия, такие как h.264 и MPEG-4 означает, что либо нет падения, либо просто небольшое падение частоты кадров и разрешения, когда отснятый материал наконец достигает вашего телефона или компьютера.

Вот некоторые дополнительные преимущества использования IP-камер перед камерами видеонаблюдения:

• Двустороннее аудио. Владелец камеры может слушать и говорить с объектом через динамик на камере. Некоторые камеры дверного звонка предлагают эту функцию.
• Удаленный доступ. Авторизованные пользователи могут просматривать видео в реальном времени с любого смартфона, планшета или компьютера.
• Лучшее разрешение. IP-камеры имеют разрешение до 4 раз больше, чем аналоговые камеры.
• Меньше кабелей и проводов. Power over Ethernet обеспечивает питание через кабель Ethernet, позволяя камере работать без специального источника питания.

ПРИ НАСТРОЙКЕ IP-КАМЕРЫ МОЖНО ВЫБРАТЬ ОДИН ИЗ ТРЕХ ВАРИАНТОВ СЕТИ.

Беспроводной сети или сети Wi-Fi, передает и принимает данные к беспроводному модему. Телефоны, компьютеры, некоторые телевизоры, игровые консоли и другие устройства безопасности подключены через Wi-Fi, и ваша IP-камера ничем не отличается. Один из способов просмотра видеозаписи с IP-камеры — ввести ее IP-адрес в веб-браузере. Имейте в виду, что IP-адрес должен быть статическим. Некоторые интернет-провайдеры предоставляют своим клиентам динамические IP-адреса, которые время от времени меняются. Вы захотите поговорить со своим провайдером о статическом IP-адресе, чтобы убедиться, что вы можете получить доступ к своей IP-камере.

Проводная сеть соединяет IP — камеру к сети с помощью кабеля Ethernet. Эта установка считается наиболее безопасной, так как существует небольшая вероятность помех сигнала или несанкционированного доступа. Ожидайте максимальной скорости передачи данных с помощью Ethernet, поскольку проводное соединение намного эффективнее Wi-Fi.

Сотовая сеть, пожалуй, самый удобный из трех, но это самый медленный. В целом Wi-Fi обеспечивает более высокую скорость загрузки и выгрузки. Большинство IP-камер поставляются с сотовым передатчиком из коробки, поэтому настройка, установка и подключение просты.

ВАМ НЕОБХОДИМО УБЕДИТЬСЯ, ЧТО ВАША СЕТЬ БЕЗОПАСНА, ИНАЧЕ IP-КАМЕРЫ МОГУТ СТАТЬ ЖЕРТВОЙ ХАКЕРОВ.

Перед установкой системы IP-камеры безопасности вы или ваш поставщик камеры безопасности должны спросить:

1. Защищена ли ваша система IP-камеры с помощью уникальных учетных данных?
2. Ваша беспроводная сеть является частной?

В 2014 году журналист наткнулся на веб-сайт, на котором было проиндексировано 73 000 местоположений с незащищенными IP-камерами по всему миру. Жутко, мягко говоря, но находка подняла очень важный момент. Большинство камер видеонаблюдения имеют имя пользователя и пароль по умолчанию. Хотя предполагается, что логин по умолчанию будет изменен, во многих случаях — по крайней мере, 73 000 случаев, очевидно — он был оставлен без изменений в качестве логина по умолчанию.

На веб-сайте были получены кадры с камер видеонаблюдения различных предприятий, включая торговые центры, склады и автостоянки. Но что еще хуже, были также кадры с камеры из жилых комнат и спален частных резиденций.

Это испытание раскрывает суровую правду: незащищенные IP-камеры на удивление легко взломать.

Хорошие новости? Это даже проще, чтобы обеспечить IP — камера! На самом деле это так — вам просто нужно проверить две вещи. Во-первых, убедитесь, что вы изменили учетные данные для входа в камеру по умолчанию. Если вы не знаете, как это сделать, обратитесь к руководству по эксплуатации камеры. Специалист по безопасности может помочь вам в этом, если вы наймете компанию для установки вашей системы видеонаблюдения. Следующее, что вам нужно сделать, это еще раз проверить, является ли ваш Wi-Fi частным. Если камеры подключены к общедоступной сети Wi-Fi, любой, у кого есть IP-адрес, может получить доступ. При частном подключении Wi-Fi только пользователи, вошедшие в систему Wi-Fi, могут получить доступ к отснятому с камеры видеоматериалу.

Как только камера безопасности и Wi-Fi будут защищены, вы будете настроены. Современные беспроводные модемы используют систему шифрования данных под названием Wi-Fi Protected Access (WPA). С годами стандарты WPA ужесточились. WPA3 считается наиболее безопасным и используется на некоторых новых модемах. WPA дополнительно защитит ваши камеры видеонаблюдения от взлома и других типов несанкционированного доступа.

По сравнению с аналоговыми камерами, IP-камеры безопасности предлагают удобные функции и подходят для любого дома или бизнеса. Независимо от того, нужна ли вам всего одна камера или несколько, вы не ошибетесь с IP-камерами.

Smurf атака представляет собой тип отказа в обслуживании атаки (DOS), когда злоумышленник использует управления интернет — протокол обмена сообщениями (ICMP) пакеты. Атака возникает, когда злоумышленник отправляет целевую жертву огромным потоком поддельных пакетов ICMP echo_request.

Из этой статьи вы узнаете, как выполняется атака Smurf и какой ущерб может нанести сеть Smurf. В статье также будут описаны профилактические меры против атаки смурфов.

Задний план

Интернет-мир стал свидетелем первой атаки Smurf в 1990-х годах. Например, в 1998 году Университет Миннесоты подвергся атаке Smurf, продолжавшейся более 60 минут, в результате чего были закрыты несколько его компьютеров и полностью заблокированы сетевые службы.

Атака вызвала кибер-тупик, который также повлиял на оставшуюся часть Миннесоты, включая региональную сеть Миннесоты (MRNet). Впоследствии клиенты MRNet, в том числе частные компании, 500 организаций и колледжей, также испытали влияние.

Смурф Атака

Большое количество поддельных пакетов ICMP связано с IP-адресом жертвы, поскольку исходный IP-адрес создается злоумышленником с намерением транслировать их в сеть целевого пользователя с использованием широковещательного IP-адреса.

Интенсивность, с которой атака Smurf нарушает подлинный трафик сети, соответствует количеству хостов в центре организации сетевого сервера. Например, широковещательная IP-сеть с 500 хостами будет создавать 500 реакций на каждый запрос фальшивого эха. Планируемый результат — ослабить целевую систему, сделав ее неработоспособной и недоступной.

DDoS-атака Smurf получила свое известное название от инструмента под названием Smurf; широко использовались еще в 1990-е годы. Маленькие пакеты ICMP, созданные этим инструментом, вызвали большой шум среди людей, в результате чего получилось название Smurf.

Типы смурф атак

Базовая атака

Базовая атака Smurf происходит, когда организация жертвы оказывается между пакетами запросов ICMP. Пакеты рассыпаются, и каждое устройство, которое соединяется с целевой сетью в организации, затем отвечает на пакеты ICMP echo_request, вызывая большой объем трафика и потенциально отключая сеть.

Продвинутая атака

Эти виды атак имеют ту же базовую методологию, что и первичные атаки. В этом случае отличается то, что эхо-запрос настраивает свои источники для реакции на стороннюю жертву.

Затем сторонняя жертва получит эхо-запрос, запущенный из целевой подсети. Следовательно, хакеры получают доступ к фреймворкам, связанным с их уникальной целью, препятствуя большему подмножеству сети, чем то, что можно было вообразить, в случае, если они ограничили свое расширение одной жертвой.

Работающий

Хотя пакеты ICMP могут использоваться в DDoS-атаке, обычно они занимают важные должности в сетевой организации. Обычно сетевые или широковещательные менеджеры используют приложение ping, которое использует пакеты ICMP для оценки собранных аппаратных устройств, таких как ПК, принтеры и т. д.

Пинг часто используется для проверки работы и эффективности устройства. Он оценивает время, которое требуется сообщению, чтобы перейти к целевому устройству от источника и обратно к исходному устройству. Поскольку соглашение ICMP исключает рукопожатия, устройства, получающие запросы, не могут подтвердить, получены ли запросы от законного источника или нет.

Образно представьте себе машину, работающую под тяжестью веса, с фиксированным пределом веса; если он должен нести больше, чем его вместимость, он наверняка перестанет нормально или полностью работать.

В общем случае хост A отправляет хосту B приглашение ICMP Echo (ping), вызывая запрограммированную реакцию. Время, необходимое для проявления реакции, используется как часть виртуальной удаленности между обоими хостами.

В рамках организации IP-вещания запрос ping отправляется на все узлы сети, вызывая реакцию всех систем. С помощью атак Smurf злоумышленники используют эту способность для увеличения трафика на своем целевом сервере.

• Вредоносная программа Smurf создает поддельный пакет, для которого в качестве исходного IP-адреса задан исходный IP-адрес жертвы.
• Затем пакет отправляется на широковещательный IP-адрес сетевого сервера или брандмауэра, который затем отправляет сообщение с запросом на каждый адрес хоста внутри организации сетевого сервера, увеличивая количество запросов на количество упорядоченных устройств в организации.
• Каждое связанное устройство внутри организации получает запрошенное сообщение от сетевого сервера и затем отвечает на поддельный IP-адрес жертвы с помощью пакета эхо-ответа ICMP.
• В этот момент жертва сталкивается с потоком пакетов ICMP Echo Reply, которые, возможно, становятся перегруженными и ограничивают доступ легитимного трафика к сети.

Эффекты смурф атак

Наиболее очевидное воздействие, вызванное атакой Smurf, — это разрушение сервера корпорации. Он создает пробку в Интернете, успешно делая систему жертвы неспособной к выдаче результатов. Он может фокусироваться на пользователе или использоваться в качестве прикрытия для более вредоносных атак, таких как кража личной и частной информации.

Учитывая все это, влияние атаки Smurf на ассоциацию включает:

• Потеря финансов: поскольку вся организация отступает или закрывается, деятельность организации прекращается.
• Потеря информации: как уже упоминалось, атака Smurf также может означать, что злоумышленники захватывают вашу информацию. Это позволяет им извлекать информацию, пока вы заняты управлением DoS-атакой.
• Вред для роста: утечка информации обходится дорого как с точки зрения денег, так и с точки зрения статуса. Клиенты могут потерять доверие к вашей ассоциации, поскольку конфиденциальные данные, которым они доверяют, теряют свою конфиденциальность и целостность.

Предотвращение смурф атак

Чтобы предотвратить атаки Smurf, можно использовать фильтрацию входящего трафика для анализа всех входящих пакетов. Им будет запрещен или разрешен вход в структуру в зависимости от подлинности их заголовка пакета.

Брандмауэр также можно перенастроить, чтобы блокировать эхо-запросы, отформатированные из сети за пределами сети сервера.

Вывод

Атака Smurf — это атака с потреблением ресурсов, которая стремится залить цель большим количеством поддельных пакетов ICMP. Со злым намерением использовать всю доступную пропускную способность. В результате для доступных пользователей не остается полосы пропускания.

Когда вы управляете малым бизнесом, вы, вероятно, не тратите время на размышления о том, что может пойти не так. Большую часть времени вы слишком заняты, чтобы убедиться, что все идет гладко. И если у вас есть возможность подумать о будущем, вы сосредотачиваетесь на положительных аспектах, составляя планы на тот момент, когда ваш бизнес будет взлетать.

Если вы когда-нибудь задумывались о том, что может пойти не так, вы, вероятно, начнете думать о гигантских катастрофах — супервулканах, вторжениях инопланетян и акулах, о боже.

Но когда мы говорим об аварийном восстановлении, мы не говорим об эпических кинематографических событиях, мы говорим о крошечных катастрофах, которые могут навсегда изменить ваш бизнес. Электроэнергия отключается в одночасье. Неисправный жесткий диск. Даже что-то простое, например, когда сотрудник, долгое время не обращающий внимания, перезаписывает файл.

Если у вас нет плана обеспечения непрерывности вашего бизнеса, эти небольшие проблемы могут превратиться в большие катастрофы — возможно, не во всемирный кризис, но определенно серьезный для вашего бизнеса.

Что такое план обеспечения непрерывности бизнеса?

План обеспечения непрерывности бизнеса обеспечивает структуру, которая нужна вашим сотрудникам, когда что-то идет не так. Он может включать контактную информацию, списки поставщиков, планы резервного копирования и подробные инструкции. Когда что-то происходит, у вашей команды есть все необходимое, чтобы остановить панику.

Необязательно иметь подробный план всех возможностей, просто прочный каркас, который можно применить практически к любой проблеме. То же руководство, которое поможет вам выяснить, что делать в случае отказа жесткого диска, может работать так же хорошо, когда компьютер украден или даже когда целевой электромагнитный импульс разрушил всю электронику в вашем городе.

Как должен выглядеть мой план обеспечения непрерывности ИТ-бизнеса?

Это действительно зависит от того, чем вы занимаетесь в своем бизнесе и что в нем задействовано. Индивидуальный торговец с одним портативным компьютером сильно отличается от многонациональной компании с целой командой аварийного восстановления, которая также сильно отличается от небольшого магазина с парой компьютеров.

По сути, ваш технический план обеспечения непрерывности бизнеса должен быть:

• С кем мне нужно поговорить?
• Где я могу найти важную информацию?
• Где я могу получить замену?

Итак, исходя из этого, он может включать:

• Список людей в компании, с которыми можно связаться в случае возникновения проблемы.
• Список надежных поставщиков, которые могут быстро заменить или исправить вашу технологию
• Расположение руководств к оборудованию и ПО
• Список серийных номеров аппаратного и программного обеспечения.
• Пошаговые инструкции по устранению распространенных проблем
• Расположение ваших резервных копий и способы их получения

Последний в этом списке невероятно важен. Если вы еще этого не сделали, позвольте нам объяснить вам это.

Ты

Нужно.

Резервные копии.

Что мне нужно для резервного копирования?

На самом деле, вы должны регулярно выполнять резервное копирование всего — если в нем есть нужная вам информация, у вас должна быть где-то ее копия. Будь то ваш рабочий мобильный телефон, ноутбук или веб-сайт, вы должны регулярно делать резервные копии и следить за тем, чтобы они хранились вне офиса.

С облачными вычислениями, безусловно, намного проще хранить ваши резервные копии отдельно. Больше не нужно беспокоиться о том, что вас похоронят под стопками компакт-дисков, вы больше не потеряете одну USB-флешку, больше не будет пыльных старых лент в углу вашего офиса. Просто загрузите и расслабьтесь.

И многие компании теперь предлагают автоматические резервные копии, которые идеально подходят для создания копий ваших веб-сайтов. Вам даже не нужно помнить о том, чтобы брать их — вы просто настраиваете их один раз, а затем они происходят каждую ночь, предоставляя вам быструю и легкую резервную копию вашего веб-сайта, когда вам это нужно.

И не забывайте время от времени проверять свои резервные копии! Вы же не хотите обнаруживать проблемы именно тогда, когда они вам нужны больше всего.

Резервное копирование не спасет ваш бизнес от всего. Вас не могут защитить от неистовых гигантских ящериц или астероидов, несущихся к Земле. Но если вы когда-либо допустили ошибку на веб-сайте и хотели бы, чтобы она исчезла волшебным образом, ваши резервные копии вас спасут.

Система обнаружения вторжений (IDS) используется для обнаружения вредоносного сетевого трафика и неправильного использования системы, которые обычные брандмауэры не могут обнаружить. Таким образом, IDS обнаруживает сетевые атаки на уязвимые службы и приложения, атаки, основанные на узлах, такие как повышение привилегий, несанкционированный вход в систему и доступ к конфиденциальным документам, а также заражение вредоносным ПО (троянские кони, вирусы и т. д.). Это оказалось фундаментальной необходимостью для успешной работы сети.

Ключевое различие между системой предотвращения вторжений (IPS) и IDS заключается в том, что, хотя IDS только пассивно отслеживает и сообщает о состоянии сети, IPS выходит за рамки, она активно останавливает злоумышленников от выполнения злонамеренных действий.

В этом руководстве будут рассмотрены различные типы IDS, их компоненты и типы методов обнаружения, используемых в IDS.

Исторический обзор IDS

Джеймс Андерсон представил идею обнаружения вторжений или неправомерного использования системы путем отслеживания паттернов аномального использования сети или неправильного использования системы. В 1980 году на основе этого отчета он опубликовал свою статью под названием «Мониторинг и наблюдение за угрозами компьютерной безопасности». В 1984 году была запущена новая система под названием «Экспертная система обнаружения вторжений (IDES)». Это был первый прототип IDS, отслеживающий действия пользователя.

В 1988 году была представлена ​​еще одна IDS, названная «Стог сена», которая использовала шаблоны и статистический анализ для обнаружения аномальной активности. Однако эта IDS не имеет функции анализа в реальном времени. Следуя той же схеме, Лаборатория Лоуренса Ливермора в Дэвисе Калифорнийского университета представила новую IDS под названием Network System Monitor (NSM) для анализа сетевого трафика. Впоследствии этот проект превратился в IDS под названием «Распределенная система обнаружения вторжений (DIDS)». На основе DIDS был разработан «Сталкер», и это была первая коммерчески доступная IDS.

В середине 1990-х годов SAIC разработала хост-систему IDS под названием «Система обнаружения неправильного использования компьютеров (CMDS)». Другая система под названием «Автоматическое измерение инцидентов безопасности (ASIM)» была разработана Центром криптографической поддержки ВВС США для измерения уровня несанкционированной активности и обнаружения необычных сетевых событий.

В 1998 году Мартин Рош запустил IDS с открытым исходным кодом для сетей под названием «SNORT», который впоследствии стал очень популярным.

Типы IDS

По уровню анализа можно выделить два основных типа IDS:

1. IDS на основе сети (NIDS): он предназначен для обнаружения сетевых действий, которые обычно не обнаруживаются простыми правилами фильтрации брандмауэров. В NIDS отдельные пакеты, проходящие через сеть, отслеживаются и анализируются для обнаружения любых вредоносных действий, происходящих в сети. «SNORT» — это пример NIDS.
2. IDS на основе хоста (HIDS): отслеживает действия, происходящие на отдельном хосте или сервере, на котором мы установили IDS. Эти действия могут быть попытками входа в систему, проверкой целостности файлов в системе, отслеживанием и анализом системных вызовов, журналов приложений и т. д.

Гибридная система обнаружения вторжений: это комбинация двух или более типов IDS. «Прелюдия» — пример такого типа IDS.

Компоненты IDS

Система обнаружения вторжений состоит из трех различных компонентов, как кратко объясняется ниже:

1. Датчики: они анализируют сетевой трафик или сетевую активность и генерируют события безопасности.
2. Консоль: их цель — мониторинг событий, а также оповещение и управление датчиками.
3. Механизм обнаружения: события, генерируемые датчиками, регистрируются механизмом. Они записываются в базу данных. У них также есть политики для генерации предупреждений, соответствующих событиям безопасности.

Методы обнаружения IDS

В широком смысле методы, используемые в IDS, можно классифицировать как:

1. Обнаружение на основе сигнатур/шаблонов: мы используем известные шаблоны атак, называемые «сигнатурами», и сопоставляем их с содержимым сетевых пакетов для обнаружения атак. Эти сигнатуры, хранящиеся в базе данных, представляют собой методы атак, которые злоумышленники использовали в прошлом.
2. Обнаружение неавторизованного доступа: здесь IDS настроен на обнаружение нарушений доступа с помощью списка управления доступом (ACL). ACL содержит политики контроля доступа и использует IP-адреса пользователей для проверки их запросов.
3. Обнаружение на основе аномалий: он использует алгоритм машинного обучения для подготовки модели IDS, которая учится на регулярной модели активности сетевого трафика. Затем эта модель действует как базовая модель, с которой сравнивается входящий сетевой трафик. Если трафик отклоняется от нормального поведения, генерируются предупреждения.
4. Обнаружение аномалий протокола: в этом случае детектор аномалий обнаруживает трафик, который не соответствует существующим стандартам протокола.

Заключение

Активность онлайн-бизнеса в последнее время возросла, и компании имеют несколько офисов, расположенных в разных местах по всему миру. Необходимо постоянно поддерживать компьютерные сети на уровне Интернета и на уровне предприятия. Для компаний естественно становиться мишенью дурных глаз хакеров. Таким образом, защита информационных систем и сетей стала очень важной проблемой. В этом случае IDS стала жизненно важным компонентом сети организации, которая играет важную роль в обнаружении несанкционированного доступа к этим системам.