Mavzu: Hujumlarni aniqlash va himoyalanishni tahlili
Reja:
1. Tarmoq, axborotini taxlillash usullari.
2. Hujumlarni aniqdash tizimlarining turkumlanishi.
3. Hujumlarni aniqdash tizimining komponentlari va arxitekturasi
4. Tarmoq, protokollari va servislari himoyashnmshini tahlillash
vositalari.
5. Operatsion tizim himoyalanishini tahlillash vositalari.
6. Tanlanuvchi himoyalashni tahlillash vositalariga qo'yiladigan umumiy
talablar.
1. Tarmoq axborotini taxlillash usullari.
Moxiyati buyicha, hujumlarni aniqlash jarayoni korporativ tarmoqda
bulayotgan shubxali harakatlarni baxolash jarayonidir, Boshkacha aytganda
hujumlarni aniqlash hisoblash yoki tarmoq resurslariga yunaltirilgan shubxali
harakatlarni identifikatsiyalash va ularga reaktsiya ko’rsatish jarayoni.
Hozirda hujumlarni aniqlash tizimida quyidagi usullar ishlatiladi:
- statistik usul;
- ekspert tizimlari;
- neyron tarmoqlari.
Statistik usul. Statistik yondashishning asosiy afzalligi - allaqachon
ishlab chiqilgan va o’zini tanitgan matematik statistika apparatini ishlatish
va sub'ekt harakteriga moslash.
Avval tahlillanuvchi tizimning barcha sub'ektlari uchun profillar
aniqlanadi. Ishlatiladigan profillarning etalondan har qanday chetlanishi
ruxsat etilmagan foydalanish hisoblanadi.
Statistik usullar universal hisoblanadi, chunki mumkin bo’lgan
hujumlarni va ular foydalanadigan zaifliklarni bilish talab etilmaydi. Ammo bu
usullardan foydalanishda bir qancha muammolar paydo buladi:
1. Statistik tizimlar xodisalar kelishi tartibiga sezuvchanmaslar, ba'zi
xollarda bir xodisaning o’zi, kelishi tartibiga ko’ra anomal yoki normal
faoliyatni harakterlashi mumkin.
2. Anomal faoliyatni adekvat identifikatsiyalash maqsadida hujumlarni
aniqlash tizimi tomonidan kuzatiluvchi harakteristikalar uchun chegaraviy
(bo’sag’aviy) qiymatlarni berish juda qiyin.
3. Statistik usullar vaqt utishi bilan buzgunchilar tomonidan shunday
«urganilishi» mumkinki, hujum harakatlari normal kabi qabul qilinadi.
Ekspert tizimlari. Ekspert tizimi odam-ekspert bilimlarini qamrab oluvchi
qoidalar to'plamidan tashkil topgan. Ekspert tizimidan foydalanish
hujumlarni aniqlashning keng tarqalgan usuli bo'lib, hujumlar xususidagi
axborot qoidalar ko'rinishida ifodalanadi. Bu qoidalar harakatlar ketma-
ketligi yoki signaturalar ko'rinishida yozilishi mumkin. Bu qoidalarning har
birining bajarilishida ruxsatsiz faoliyat mavjudligi xususida qaror qabul
qilinadi. Bunday yondashishning muhim afzalligi — yolg'on trevoganing
umuman bo'lmasligi.
Ekspert tizimining ma'lumotlari bazasida hozirda ma'lum bo'lgan
aksariyat hujumlar stsenariyasi bo'lishi lozim. Ekspert tizimlari, dolzarblikni
saqlash maqsadida, ma'lumotlar bazasini muttasil yangilashni talab etadi.
Garchi ekspert tizimlari qaydlash jurnallaridagi ma'lumotlarni ko'zdan
kechirishga yaxshi imkoniyatni tavsiya qilsada, so'ralgan yangilanish
e'tiborsiz qoldirilishi yoki ma'mur tomonidan qo'ldaamalga oshirilishi
mumkin. Bu eng kamida, ekspert tizimiimkoniyatlarining bo'shashiga olib
keladi.
Ekspert tizimlarining kamchiliklari ichida eng asosiysi - noma'lum
hujumlarni akslantira olmasligi. Bunda oldindan ma'lum hujumning xatto
ozgina o'zgarishi hujumlarni aniqlash tizimining ishlashiga jiddiy to'siq
bo'lishi mumkin.
Neyron tarmoqlari. Hujumlarni aniqlash usullarining aksariyati qoidalar
yoki statistik yondashish asosida nazoratlanuvchi muxitni taxlillash
shakllaridan foydalanadi. Nazoratlanuvchi muxit sifatida qaydlash jurnallari
yoki tarmoq trafigi ko'rilishi mumkin. Bunday taxlillash ma'mur yoki
hujumlarni yaniqlash tizimi tomonidan yaratilgan, oldindan aniqlangan
qoidalar to'plamiga tayanadi.
Hujumni vaqt bo'yicha yoki bir necha niyati buzuq odamlar o'rtasida har
qanday bo'linishi ekspert tizimlar yordamida aniqlashga qiyinchilik tugdiradi.
Hujumlar va ular usullarining turli-tumanligi tufayli, ekspert tizimlari
qoidalarining ma'lumotlar bazasining xatto doimiy yangilanishi xam
hujumlar diapazonini aniq identifikatsiyalashni kafolatlamaydi.
Neyron tarmoqlaridan foydalanish ekspert tizimlarining yuqorida
keltirilgan muammolarni bartaraf etishning bir usuli hisoblanadi. Ekspert
tizimlari
foydalanuvchiga
ko'rilayotgan
harakteristikalar
qoidalar
ma'lumotlari bazasidagiga mos kelishi yoki mos kelmasligi xususida aniq
javob beraolsa, neyrotarmoq axborotni taxlillaydi va ma'lumotlarni
aniqlashga o'rgangan harakteristikalariga mos kelishini baxolash
imkoniyatini taqdim etadi. Neyrotarmoqli ifodalashning moslikdarajasi
100%ga yetishi mumkin, ammo tanlash xaqiqiyligi tamoman qo'yilgan
masala misollarini taxlillash sifatiga bogliq.
Avval predmet sohasining oldindan tanlab olingan misolida
neyrotarmoqni to'gri identifikatsiyalashga "o'rgatishadi". Neyrotarmoq
reaktsiyasi taxlillanadi, qoniqarli natijalarga erishish maqsadida tizim
sozlanadi. Neyrotarmoq xam vaqt o'tishi bilan, predmet sohasi bilan bogliq
ma'lumotlarni taxlillashni o'tkazishiga qarab "tajriba orttiradi".
Neyrotarmoqlarning suiiste'mol qilinishni aniqlashdagi muxim afzalligi,
ularning atayin qilinadigan hujumlar harakteristikalarini "o'rganish" va
tarmoqda oldin kuzatilganiga o'xshamagan elementlarni identifikatsiyalash
qobiliyatidir.
Yuqorida tavsiflangan hujumlarni aniqlash usullarining har biri
afzalliklarga va kamchiliklarga ega. Shu sababli, hozirda tavsiflangan
usullarning faqat bittasidan foydalanuvchi tizimni uchratish qiyin. Odatda,
bu usullar birgalikda ishlatiladi.
Hujumlarni fosh etish usuli bo'yicha IDSlarni quyidagi ikkita
kategoriyaga ajratish qabul qilingan:
– anomal hatti-harakatni aniqlash (anomaly-based);
– suiiste'molliklarni aniqlash (misuse detection yoki signature- based).
Anomal hatti-harakatni aniqlash yo'li bilan hujumlarni aniqlash texnologiyasi
quyidagi gipotezaga asoslangan. Foydalanuvchining anomal hatti-harakati
(ya'ni hujumi yoki qandaydir g'arazli harakati) — normal hatti-harakatdan
chetlashish. Anomal hatti-harakatga misol tariqasida qisqa vaqt oralig'ida
ulanishlarning katta sonini, markaziy protsessorning yuqori yuklanishini va
h. ko'rsatish mumkin.
Agar foydalanuvchining normal hatti-harakati profilini bir ma'noda
tavsiflash mumkin bo'lganida, har qanday undan chetlanishlarni anomal
hatti-harakat sifatida identifkatsiyalash mumkin bo'lar edi. Ammo, anomal
hatti-harakat har doim ham hujum bo'lavermaydi. Masalan, tarmoq ma'muri
tomonidan yuborilgan ko'p sonli so'rovlarni hujumlarni aniqlash tizimi
"xizmat
ko'rsatishdan
voz
kechish"
xilidagi
hujum
sifatida
identifikatsiyalashi mumkin.
2. Hujumlarni aniqlash tizimlarining turkumlanishi.
Hujumlarni aniqlash tizimlari IDS (Intrusion Detection System)da
ishlatiluvchi hujumlarni aniqlovchi mexanizmlar bir necha umumiy usullarga
asoslangan. Ta'kidlash lozimki, bu usullar bir-birini inkor etmaydi. Aksariyat
tizimlarda bir necha usullarning kombinatsiyasidan foydalaniladi.
Hujumlarni aniqlash tizimlari quyidagi alomatlari bo'yicha turkumlanishi
mumkin:
– reaktsiya ko'rsatish usuli bo'yicha;
– hujumlarni fosh etish usuli bo'yicha;
– hujum xususidagi axborotni yig’ish usuli bo'yicha.
Reaktsiya ko'rsatish usuli bo'yicha passiv va aktiv IDSlar farqlanadi.
Passiv IDS lar hujum faktlarini qaydlaydi, ma'lumotlarni jurnal fayliga yozadi
va ogoxlantirishlar beradi. Aktiv IDSlar, masalan, tarmoqlararo ekranni qayta
konfiguratsiyalash
yoki
marshrutizatordan
foydalanish
ruyxatini
generatsiyalash bilan hujumga qarshi harakat qilishga urinadi.
Ushbu texnologiya asosidagi tizimdan foydalanilganda ikkita keskin
holat yuz berishi mumkin:
– hujum bo'lmagan anomal hatti-arakatni aniqlash va uni hujumlar –
sinfiga kiritish;
– anomal hatti-harakat ta'rifiga mos kelmaydigan hujumlarni o'tkazib
yuborish. Bu holat hujum bo'lmagan anomal hatti harakatni hujumlar sinfiga
kiritishga nisbatan xavfliroq hisoblanadi.
Bu kategoriya tizimlarini sozlashda va ekspluatatsiyasida ma'mur
quyidagi qiyinchiliklarga duch keladi:
– foydalanuvchi profilini qurish sermehnat masala bo'lib, ma'murdan
katta dastlabki ishlarni talab etadi.
– yuqorida keltirilgan ikkita keskin harakatlardan birining paydo bo'lishi
ehtimolligini pasaytirish uchun foydalanuvchi hatti-harakatining chegaraviy
qiymatlarini aniqlash zarur.
Anomal xatti-harakatlarni aniqlash texnologiyasi hujumlarning yangi
xilini aniqlashga mo'ljallangan. Uning kimchiligi - doimo "o'rganish"
zaruriyati. Suiiste'molliklarni aniqlash yo'li bilan hujumlarni aniqlash
texnologiyasining moxiyati hujumlarni signatura ko'rinishida tavsiflash va
ushbu signaturani nazoratlanuvchi makonda (tarmoq trafigida yoki qaydlash
jurnalida) qidirishdan iborat. Hujum signaturasi sifatida anomal faoliyatni
harakterlovchi harakatlar shabloni yoki simvollar satri ishlatilishi mumkin. Bu
signaturalar virusga qarshi tizimlarda ishlatiluvchi ma'lumotlar bazasiga
o'xshash ma'lumotlar bazasida saqlanadi. Ta'kidlash lozimki, virusga qarshi
rezident monitorlar hujumlarni aniqlash tizimlarining xususiy xoli
hisoblanadi. Ammo bu yo'nalishlar boshidan parallel rivojlanganlari sababli,
ularni ajratish qabul qilingan. Ushbu xil tizimlar barcha ma'lum hujumlarni
aniqlasada, yangi, hali ma'lum bo'lmagan hujumlarni aniqlay olmaydi.
Bu tizimlarni ekspluatatsiyasida xam ma'murlarga muammolarni duch
keladi. Birinchi muammo - signaturalarni tavsiflash mexanizmlarini, ya'ni
hujumlarni tavsiflovchi tillarni yaratish. Ikkinchi muammo, birinchi muammo
bilan bogliq bo'lib, hujumlarni shunday tavsiflash lozimki, uning barcha
modifikatsiyalarini qaydlash imkoni tug'ilsin.
Hujum xususidagi axborotni yig'ish usuli bo'yicha turkumlash eng
ommaviy hisoblanadi:
– tarmoq sathida hujumlarni aniqlash (network-based);
– xost satxida hujumlarni aniqlash (host-based);
– ilova satxida hujumlarni aniqlash (application-based).
Tarmoq satxida hujumlarni aniqlash tizimida tarmoqdagi trafikni
eshitish orqali niyati buzuq odamlarning mumkin bo'lgan harakatlari
aniqlanadi. Hujumni qidirish "xostdan-xostgacha" printsipi bo'yicha amalga
oshiriladi. Ushbu xilga taalluqli tizimlar, odatda hujumlar signaturasidan va
"bir zumda" taxlillashdan foydalanib, tarmoq trafigini taxlillaydi. "Bir zumda"
taxlillash usuliga binoan tarmoq trafigi real yoki unga yaqinroq vaqtda
monitoringlanadi va mos aniqlash algoritmlaridan foydalaniladi. Ko'pincha
ruxsatsiz foydalanish faoliyatini harakterlovchi trafikdagi ma'lum satrlarni
qidirish mexanizmlaridan foydalaniladi.
Xost satxida hujumlarni aniqlash tizimi ma'lum xostda niyati buzuq
odamlarni monitoringlash, detektirlash va harakatlariga reaktsiya
ko'rsatishga atalgan. Tizim ximoyalangan xostda joylashib, unga qarshi
yo'naltirilgan harakatlarni tekshiradi va oshkor qiladi. Bu tizimlar operatsion
tizim yoki ilovalarning qaydlash jurnallarini taxlillaydi.
Qaydlash jurnallarini taxlillash usulini amalga oshirish oson bo'lsada, u
quyidagi kamchiliklarga ega:
–
jurnalda
qayd
etiluvchi
ma'lumotlar
xajmining
kattaligi
nazoratlanuvchi tizim ishlashi tezligiga salbiy ta'sir ko'rsatadi;
– qaydlash jurnalini taxlillashni mutaxassislar yordamisiz amalga oshirib
bo'lmaydi;
– hozirgacha jurnallarni saqlashning unifikatsiyalangan formati mavjud
emas;
– qaydlash jurnallaridagi yozuvni taxlillash real vaqtda amalga
oshirilmaydi.
IDSning uchinchi xili ma'lum ilovadagi muammolarni qidirishga
asoslangan.
3. Hujumlarni aniqdash tizimining komponentlari va arxitekturasi
Mavjud schimlarning taxlili hujumlarni aniqlashning namunaviy tizimi
komponentlarining ruyxatini keltirishga imkon beradi.
Kuzatish moduli nazoratlanuvchi makondan (kaydlash jurnali yoki
tarmoq trafigi) ma'lumotlarni yigishni ta'minlaydi. Uning quyidagi nomlari
xam uchraydi: sensor (sensor), monitor (monitor), zond(rgo`e) va x.
Hujumlarni aniqlash tizimi arxitekturasining kurilishiga boglik xolda kuzatish
moduli boshka komponentlardan aloxida, boshka komp`yuterda joylashishi
mumkin.
Hujumlarni aniqlash qism tizimi asosiy modul bulib, kuza¬tish
modulidan olinadigan axborotni taxlillaydi. Ushbu taxlillash natijasi buyicha
kiem tizim hujumlarni identifikasiyalash, reaktsiya ko’rsatish variantlari
buyicha tuxtamga kelishi, ma'lumotlar omborida hujumlar xususidagi
axborotni saklashi mumkin va x.
Bilimlar bazasida, hujumlarni aniqlash tizimlarida ishlatiladigan
usullarga boglik xolda, foydalanuvchilar va hisoblashtizim profillari, ruxsatsiz
foydalanishlarni harakterlovchi hujum signaturalari yoki shubxali satrlar
saklanishi mumkin. Bilimlar bazasi hujumlarni aniqlash tizimlarini ishlab
chikaruvchilari, tizimdan foydalanuvchilar yoki uchinchi tomon, masalan, bu
tizimni madadlovchi autsorsing kompaniyasi tomonidan tuldirilishi mumkin.
Ma'lumotlar ombori hujumlarni aniqlash tizimi ishlashi jarayonida
yigilgan ma'lumotlarning saklanishini tz'minlaydi.
Grafik interfeys tizimning nixoyatda zaruriy komponenti bulib,
hujumlarni aniqlash tizimi ishlashini boshkaruvchi operatsion tizimga boglik
xolda defakto Windows va Unix standartlariga mos kelishi lozim.
Reaktsiya ko’rsatish qism tizimi aniqlangan hujumlar va boshka
nazoratlanuvchi xodisalarga reaktsiya ko’rsatishni amalga oshiradi. Mavjud
tizimlarda ishlatiladigan reaktsiya ko’rsatish usullarini quyidagi uchga
kategoriyaga ajratish mumkin:
- bildirish;
- saklash;
- faol reaktsiya ko’rsatish.
Bildirish usuli buyicha hujum xususidagi axborot xavfsizlik ma'muriga,
tizimning konsoliga yoki elektron pochta buyicha, peydjerga faks yoki
telefon orkali junatilishi mumkin.
Saklash usuliga reaktsiya ko’rsatishning quyidagi variantlari taallukli:
- xodisalarni ma'lumotlar bazasida kaydlash;
- hujumlarni real vaqt masshtabida tiklash.
Birinchi variant ximoyalashning boshka tizimlarida xam keng kullaniladi.
Ikkinchi variantni amalga oshirish uchun hujum kiluvchini kompaniya
tarmogiga utkazib yuborish va uning barcha harakatlarini kaydlash lozim. Bu
xavfsizlik ma'muriga keyin vakgning real masshtabida (yoki berilgan
tezlikda) hujum kiluvchi tomonidan kilingan barcha harakatlarni tiklashga,
muvaffakiyatli taxlillashga va ularni keyinchalik bartaraf etishga xamda
muxokama kilish jarayonida yigilgan axborotdan foydalanishga imkon
beradi.
Faol reaktsiya k)fsatish kategoriyasiga quyidagi variantlar taallukli:
- hujum kiluvchi ishini blokirovka kilish;
- hujum kilinuvchi uzel bilan seansni tugallash;
- tarmoq asbob-uskunalari va ximoya vositalarini boshkarish.
Reaktsiya ko’rsatish mexanizmlarining ushbu kategoriyasi birtomondan
yetarlicha samarali bulsa, ikkinchi tomondan ulardan juda extiyotlik bilan
foydalanish zarur, chunki ularni notugri ishlatish butun korporativ axborot
tizimi ishga layokatligining bo’zilishiga olib kelishi mumkin.
4. Tarmoq, protokollari va servislari himoyashnmshini tahlillash
vositalari.
Har qanday tarmoqda abonentlarning uzaro alokasi ikkita va undan kup
uzellar orasida axborot almashinish muolajalarini belgilovchi tarmoq
protokollari va servislaridan foydalanishga asoslangan. Tarmoq protokollari
va servislarini ishlab chikishda ularga ishlanuvchi axborot xavfsizligini
ta'minlash buyicha talablar (odatda, shubxasiz yetarli bulmagan) kuyilgan.
Shu sababli, tarmoq protokollarida aniqlangan zaifliklar xususida axborotlar
paydo bulmokda. Natijada, korporativ tarmoqda foydalanadigan barcha
protokol va servislarni doimo tekshirish zaruriyati tugiladi.
Ximoyalanishni taxlillash tizimi zaifliklarni aniqlash buyicha gestlar
seriyasini bajaradi. Bu testlar niyagi buzuk odamarning korporativ
tarmoqlarga hujumlarida kullanilganiga uxshash.
Zaifliklarni aniqlash maqsadida skanerlash tekshiruvchi tizim
xususidagi dastlabki axborotni, xususan, ruxsat etilgan protokollar va ochik
portlar, operatsion tizimning ishlatiluvchi versiyalari va x. xususidagi
axborotni olish bilan boshlanadi. Skanerlash ksng tarkalgan hujumlar,
masalan, tulik saralash usuli buyicha parollarni tanlashdan foydalanib,
sukilyb kirishni imitatsiyalashga urinish bilan tugaydi.
Ximoyalanishni taxlillash vositalari yordamida tarmoq satxida nafakat
Internet ning korporativ tarmoqdan ruxsatsiz foydalanishi imkoniyatini
testlash, balki tashkilot ichki tarmogida tekshirishni amalga oshirish
mumkin. Tarmoq satxida ximoyalanishni taxlillash tizimi tashkilot xavfsizlik
darajasini baxolashga xamda tarmoq dasturiy va apparat ga'minotini
sozlash samaradorligini nazoratlashga xizmat kiladi.
Ximoyalanishni tahlillashni amalga oshiruvchi (Internet Scanner tizimi
misolida) namunaviy sxema 1-rasmda keltirilgan.
Ximoyalanishni taxlillash vositaparining bu sinfi nafakat tarmoq
protokollari va servislari, balki tarmoq bilan ishlashga javobgar tizimli va
tatbikiy dasturiy ta'minoti zaifliklarini xam taxlillaydi. Bunday ta'minot
katoriga Web-, FTP-, va pochta serverlarini, tarmoqdararo ekranlarni,
brauzerlarni va x. kiritish mumkin. Ba'zi vositalar dasturiy ta'minotni
taxlillash bilan bir katorda apparat vositalarini skanerlaydi. Bunday
vositalarga kommutatsiyalovchi va marshrutlovchi asbob-uskunalar kiradi.
Ba'zi vositalar dasturiy ta'minotni taxlillash bilan bir katorda apparat
vositalarini skanerlaydi. Bunday vositalarga kommutatsiyalovchi va
marshrutlovchi asbob-uskunalar kiradi.
1-rasm. Internet Scanner tizimi misolida himoyalanganlikni taxlillash
sxemasi.
5. Operatsion tizim himoyalanishini tahlillash vositalari.
Operatsion tizim uimoyalanishini tshlillash vositalari. Vo sitalarning bu
sinfi operatsion tizim ximoyalanishiga ta'sir etuvchi uning sozdanishlarini
tekshirishga atalgan. Bunday sozlashlar quyidagilarni aniqlaydi:
- foydalanuvchilarning hisob yozuvi, masalan, parol uzunligiva uning
ta'sir muddati;
- foydalanuvchilarning jiddiy tizimli fayllardan foydalanish huquqlari;
- zaif tizimli fayllar;
- urnatilgan patchlar va x.
Operatsion tizim satxidagi ximoyalanishni taxlillash tizimlari operatsion
tizimlar konfiguratsiyasini nazoratlashda xam ishlatilishi mumkin.
Tarmoq satxi ximoyalanishni taxlillash vositalaridan farkli ravishda,
ushbu tizimlar taxlillanuvchi tizimni tashkaridan emas, balki ichkaridan
skanerlaydi, ya'ni ular tashkaridagi niyati buzuk odamlar hujumlarini
imitatsiyalamaydi.
Operatsion tizim satxida ximoyalanishni taxlillash tizimlarining ba'zilari
(masalan, Internet Security Systems kompaniyasining System Scanner
tizimi)
zaifliklarni
aniqlash
imkoniyatidan
tashkari,
aniqlangan
muammolarning bir kismini avtomatik tarzda bartaraf kilishga yoki
tashkilotda kabul kilingan xavfsizlik siyosatini koniktirmaydigan tizim
parametrlariga tuzatish kiritishga imkon beradi.
6. Tanlanuvchi himoyalashni tahlillash vositalariga qo'yiladigan
umumiy talablar.
Tanlanuvchi tizimga kuyiladigan majburiy talab-korxona tarmoq
infrato’zilmasini o’zgartirish zaruriyatining yukligi. Aks xolda bunday
kaytadan tashkil etishga kilinadigan harajat ximoyalanishni taxlillash tizimi
narxidan oshib ketishi mumkin. Hozirda bu talabga fakat Internet Security
Systems kompaniyasining Security Systems tizimi javob beradi.
Ximoyalanishni taxlillash vositalariii notugri ishlatish ulardan niyati
buzuk
odamlarning
korporativ
tarmoqka
sukilib
kirish
uchun
foydalanishlariga imkon yaratadi. Shu sababli, ximoyalanishni taxlillash
vositalari uzlarining komponentlaridan va yigilgan ma'lumotlardan
foydalanishni chegaralovchi mexanizmlar bilan ta'minlanishi lozim. Bunday
mexanizmlarga quyidagilar kiradi:
-- fakat ma'mur huquqiga ega bo’lgan foydalanuvchi tomonidan ushbu
vositalarni ishga tushirish;
- skanerlash ma'lumotlari arxivini shifrlash;
- masofadan boshkarishda ulanishni autentifikatsiyalash;
- kataloglar bilan ishlash uchun maxsus huquqlarni aniqlash, va h.k.
Zaifliklarni aniqlash jarayonining quyidagi imkoniyatlariga e'tiborni
karatish lozim:
- bir necha qurilma yoki servislarni parallel ishlash evaziga skanerlash
tezligini oshirish;
- tizimdan ruxsatsiz foydalanishni oldini olish uchun har bir
skanerlanuvchi uzelga bildirish kog’ozini yuborish;
- yolgon ishlashlarni minimallashtirish uchun tarmoqni ekspluatatsiya
talablariga tugrilash.
Korporativ tarmoq xolatining doimo o’zgarib turishi, uning
ximoyalanishiga ta'sir ko’rsatadi. Shu sababli, ximoyalanishni taxlillashning
yaxshi tizimi jadval buyicha ishlash rejimiga ega bulib, ma'mur uni
eslagunicha o’zi tarmoq uzellari zaifliklarini tekshirishi va paydo bo’lgan
muammolar xususida nafakat ma'murni ogoxlantirishi, balki aniqlangan
zaifliklarni yukotish usullarini tavsiya etishi lozim.
E'tibor berish zarur bo’lgan harakteristikalardan biri hisobotlarni
generatsiyalash tizimining mavjudligi. Bu tizim foydalanuvchilarning turli
kategoriyalarlari — texnik mutaxassislardan tortib to tashkilotlar raxbarlari
uchun tafsiloti turli darajada bo’lgan xujjatlarni yaratishga imkon berishi
lozim.
Xujjatlarda ma'lumotlarni ifodalash shakli xam muxim hisoblanadi.
Fakat matnli axborot bilan tuldirilgan xujjatlarning foydasi bulmaydi.
Grafiklardan foydalanish esa ma`murga tashkilot tarmogidagi barcha
muammolarni yakkol namoyish etishga imkon beradi. Disobotlarda
aniqlangan muammolarni yukotish buyicha tavsiyalarning mavjudligi
ximoyalanishni taxlillash vositalarini tanlashdagi majburiy shart hisoblanadi.
Doimo yangi zaifliklarning aniqlanishi ximoyalanishni taxlillash
tizimining zaifliklar ma'lumotyaari bazasini tuldira olingi imkoniyatiga ega
bulishini takozo etadi. Bu zaifliklarni tavsiflovchi maxsus til yordamida yoki
tizim ishlab chikaruvchilari tomonidan zaifliklarni vaqti-vaqti bilan tuldirish
yuli bilan amalga oshiriladi. Korporativ tarmoq uzellarining ximoyalanish
darajasining o’zgarishini taxlillash uchun tanlanuvchi vosita ugkazilgan
skanerlash seanslari xususidagi axborotni tuplaniShiga imkon berishi lozim.
Nazorat savollari:
1. Hozirda hujumlarni aniqlash tizimida qanday usullar ishlatiladi?
2. Statistik usullardan foydalanishda qanday muammolar paydo
buladi?
3. Hujumlar stsenariyasini tushuntiring.
4. Neyron tarmoqlarining hujumlarni aniqlashdagi roli.
5. Anomal hatti-harakatni aniqlash va Suiiste'molliklarni aniqlash
kategoriyalarini tushuntirib bering.
6. Reaktsiya ko'rsatish usulini tushuntiring.
7. Hujumlarni fosh etish usuli qanday usul?
8 Hujum xususidagi axborotni yig’ish usuli bo'yicha IDS larning
turkumlanishi.
|