Десять недооцененных аспектов охраны предприятия
Продолжаем изложение материала, опубликованного 29 ноября 2006 года под этим названием на сайте www.darkreading.com
6. Анализ трендов в логфайлах безопасности
Логфайлы (log files) могут дать ключ к распознаванию хакерской атаки, утверждают эксперты. Внешние преступники используют определенные методики. Их можно идентифицировать, проанализировать тренды и соответственно принять своевременные меры информационной защиты. Внутренние злоумышленники так или иначе оставляют следы в своих логах, которые вполне различимы и позволяют схватить взломщиков с поличным.
Дело в умении анализировать логи достаточно глубоко, не затрачивая при этом слишком много времени. Для этого используют в разных комбинациях автоматические анализаторы, инструменты информационной защиты и старые добрые детективные методы обнаружения злоумышленников.
Автоматизированные системы анализа год от года улучшаются, но еще далеко не совершенны, говорит Эрик Орген, аналитик корпорации Enterprise Strategy Group. Некоторые средства обладают функцией определения признаков аномалии в ходе постоянного мониторинга трафика в сетях, но все равно требуют ручного сопоставления имен пользователей с адресами IP. С другой стороны, нынешние средства информационной защиты скорее нацелены на анализ исторической информации, чем на обнаружение потенциальных угроз в реальном времени.
Многие специалисты пытаются анализировать логи, но им не удается систематизировать данные или этот анализ занимает слишком много времени. Другие же аналитики имеют очень хорошие данные, но ограничивают себя поиском каких-то определенных, ожидаемых, специфических признаков атаки. По мнению эксперта netForensics А.Чувакина, необходим иной уровень анализа логфайлов: обнаруживать заслуживающие внимания тренды без предвзятого поиска «того, что мы ожидаем увидеть».
|
вернуться назад
