Преодоление защиты сети

Признаки попыток преодоления защиты периметра сети

— все признаки НСД;

— письма с приглашением зайти на определенную страницу в Интернете (где заранее расположен зловредный код, использующий уязвимость ПО);

— письма с приложенной к ним зловредной программой;

— большое количество входящих TCP-пакетов с флагом SYN c попытками открыть соответствующие компьютерные порты;

— резкое увеличение попыток сканирования и увеличение фиксации данных попыток в регистрационном журнале;

— перегрузка пропускной способности сети («отказ в обслуживании»);

— попытки взломать сессионный ключ компьютерного соединения и стать авторизованным пользователем;

— попытки доступа на редактирование таблиц маршрутизации сетевых устройств;

— атаки на серверы CGI и HTTP с попыткой запуска зловредного скрипта;

— атаки с помощью специально сформированных некорректных входных данных, с возможностью переполнения буфера атакуемых программ.

Выявление попыток прорыва периметра осуществляется теми же мерами что и против попыток получения НСД. Также необходимо производить анализ журналов межсетевых экранов и систем обнаружения атак.

Для устранения и недопущения прорыва периметра необходимо:

— использовать межсетевые экраны;

— использовать системы обнаружения и противодействия атакам (IDS);

— организовать демилитаризованную зону в компьютерной сети (DMZ);

— организовать криптостойкие межсетевые туннели (VPN);

— своевременно отслеживать и анализировать всю информацию, которая фиксируется в регистрационных журналах;

— использовать также все меры против НСД.

Выявляется представителями собственника информации (пользователь, системный администратор, администратор безопасности, администратор СУБД и т.п.) в процессе повседневной деятельности, а также при проведении периодических проверок соблюдения порядка доступа к защищаемой информации

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *