Читайте также:
|
|
Атаки разной степени критичности требуют разного уровня реагирования. Критичность атаки (Severity) определяется величиной риска в результате ее реализации. Величина риска, в свою очередь, зависит от вероятности успешного проведения атаки и величины возможного ущерба, а величина возможного ущерба - от степени критичности ресурсов (Criticality), против которых направлена атака. На вероятность успешного выполнения атаки (Lethality) влияет эффективность методов и величина уязвимости системы защиты, с помощью которых она предпринимается. Величина уязвимости напрямую связана с эффективностью контрмер на системном (System countermeasures) и сетевом уровнях (Network countermeasures), применяемых для противодействия данному виду угроз.
Формула для нахождения уровня серьезности атаки выглядит следующим образом:
SEVERITY = (CRITICALITY + LETHALITY) - (SYSTEM COUNTERMEASURES + NETWORK COUNTERMEASURES).
Данной формулой можно воспользоваться для оценки величины рисков из-за атак, выявленных при помощи IDS, при анализе результатов мониторинга сетевого трафика. Обычно интерес представляют только те атаки, для которых величина риска превышает некоторое пороговое значение.
Уровень серьезности атаки (SEVERITY) устанавливается по числовой шкале от -10 до+10.
SEVERITY {-10,10} - величина риска, связанного с реализацией сетевой атаки.
Критичность сетевого ресурса (CRITICALITY) определяется по 5-балльной шкале исходя из предназначения данного сетевого ресурса и выполняемых им функций. На практике обычно ориентируются на следующую шкалу:
– 5 - МЭ, DNS-сервер, маршрутизатор;
– 4 - почтовый шлюз;
– 2 - рабочая станция UNIX;
– 1 - персональные компьютеры MS-DOS, Windows 3.11.
Для определения вероятности успешного выполнения атаки и возможного ущерба (LETHALITY) принята следующая шкала:
– 5 - атакующий может получить права суперпользователя на удаленной системе;
– 4 - отказ в обслуживании в результате реализации сетевой атаки;
– 3 - получение прав непривилегированного пользователя на удаленной системе, например путем перехвата пароля, передаваемого по сети в открытом виде;
– 2 - раскрытие конфиденциальной информации из-за несанкционированного сетевого доступа, например атака null session на системы Windows;
– 1 - вероятность успеха предпринятой атаки очень мала.
Эффективность принятых контрмер системного уровня (SYSTEM COUNTERMEASURES) можно оценить по следующей шкале:
– 5 - современная ОС, загружены все программные коррекции (пакеты обновления), имеются дополнительные (наложенные) сетевые средства защиты (например, tcp wrappers или secure shell);
– 3 - устаревшая версия ОС, не установлены некоторые программные коррекции;
– 1 - отсутствуют специализированные средства защиты, не сформирована политика управления паролями, пароли передаются по сети в открытом виде.
Следующая шкала служит для оценки эффективности контрмер сетевого уровня (NETWORK COUNTERMEASURES):
– 5 - МЭ, реализующий принцип минимизации привилегий, является единственной точкой входа в сеть;
– 4 - МЭ и наличие дополнительных точек входа в сеть;
– 2 - МЭ, разрешающий все, что явным образом не запрещено (разрешительная политика управления доступом).
Как уже было отмечено, данная методика оценки рисков, связанных с сетевыми атаками, используется в SANS/GIAC при анализе подозрительных фрагментов сетевого трафика (detects), обнаруженных с помощью сетевых IDS.
Дата добавления: 2015-09-02; просмотров: 316 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Сетевые атаки | | | Ограничения межсетевых экранов |