Система обнаружения вторжений «Форпост»

— обнаружение и блокирование сетевых атак, направленных на нарушение информационной безопасности ИС;
— мониторинг трафика ИС на сетевом, транспортном и прикладном уровнях;
— протоколирование информации о сетевом трафике;
— выявление аномалий сетевого трафика ИС.

Функциональные возможности

Система «Форпост» выявляет атаки на основе сбора и анализа информации о пакетах данных ИС на сетевом, транспортном и прикладном уровнях стека TCP/IP. Это позволяет обеспечить возможность выявления атак, реализуемых нарушителем по криптозащищенным сетевым соединениям. В системе «Форпост» используется два метода выявления сетевых атак — сигнатурный и поведенческий. Сигнатурный метод обеспечивает обнаружение атак на основе специальных шаблонов, каждый из которых соответствует конкретной атаке — razgovorodele.ru. При получении исходных данных о сетевом трафике ИС система «Форпост» проводит их анализ на соответствие определѐнным шаблонам или сигнатурам атак из имеющихся в базе данных системы, которая постоянно обновляется разработчиком. В случае обнаружения сигнатуры в исходных данных, система фиксирует факт обнаружения сетевой атаки. При этом администратор имеет возможность добавлять в систему «Форпост» новые сигнатуры атак.

Для выявления новых типов атак в системе «Форпост» реализован поведенческий метод обнаружения. Поведенческий метод базируется на информации о штатном процессе функционирования ИС. Принцип работы поведенческого метода заключается в обнаружении несоответствия между текущим режимом функционирования ИС и моделью штатного режима работы, заложенной в параметрах работы метода. Любое такое несоответствие рассматривается поведенческим методом как информационная атака.

В случае выявления сетевой атаки система «Форпост» реализует следующие методы реагирования:

— оповещение администратора безопасности о выявленной сетевой атаке путем вывода сообщения на консоль системы;
— блокирование запроса, представляющего опасность для хостов АС;
— аварийное завершение сетевого соединения с хостом, являющимся источником атаки;
— запись информации об обнаруженной атаке в базу данных системы.

Система «Форпост» оснащена подсистемой собственной безопасности, обеспечивающей защиту информации служебной информации, передаваемой между компонентами системы.

Архитектура системы

Система «Форпост» имеет распределенную архитектуру и включает в себя следующие компоненты:

— Сетевые датчики, предназначенные для защиты объектов сетевых сегментов ИС. Сетевые датчики обеспечивают перехват и анализ всего сетевого трафика, передаваемого в рамках того сегмента, где они установлены.
— Серверные датчики, устанавливаемые на серверы ИС и обеспечивающие защиту определѐнных сетевых сервисов ИС. Система «Форпост» включает в себя серверные датчики для почтовых, файловых, и Web-серверов, а также для серверов баз данных. На одном сервере ИС может быть одновременно установлено несколько типов датчиков.
— Модули-агенты, выполняющие функции управления серверными и сетевыми датчиками, а также функции обеспечения передачи информации между датчиками и центром анализа и координации.
— Центр анализа и координации, обеспечивающий централизованный сбор, хранение и анализ информации, поступающей от серверных и сетевых датчиков — razgovorodele.ru. Центр анализа и координации обеспечивает возможность выявления распределенных сетевых атак на основе анализа информации, поступающей от различных датчиков ИС.
— Консоль администратора, предназначенная для централизованного управления компонентами системы, а также для отображения результатов работы системы. Консоль администратора оснащена модулем генерации отчетов, который позволяет генерировать отчеты на основе содержимого базы данных системы.

Достоинства системы

1) Обнаружение и блокирование сетевых атак в реальном масштабе времени.
2) Оперативное реагирование на выявленные сетевые атаки.
3) Поддержка обновления базы данных сигнатур атак в системе.
4) Наличие подсистемы собственной безопасности.
5) Наличие интуитивно-понятного русскоязычного интерфейса консоли администратора системы.

Наличие описанных выше функциональных возможностей позволяет классифицировать систему «Форпост» как систему обнаружения атак нового поколения, обеспечивающую эффективное противодействие вторжению в АС.