Идентификация и обнаружение угроз с помощью датчиков
На киберязыке термином «датчик» называется множество систем и инструментов обнаружения. Чаще всего он представляет собой расположенное на порте ответвления, тройнике или зеркале устройство мониторинга, которое анализирует всю активность для наблюдения, записи и анализа. Например, датчик может находить и захватывать необработанные пакеты (PCAP), когда они проходят по кабелю, а затем обрабатывать и анализировать их с целью предупредить систему безопасности о подозрительных событиях.
Датчики могут быть размещены «на линии», и в этом случае каждый пакет проходит через устройство, которое способно задерживать, блокировать или изменять информацию в пакете, полноценно предотвращая атаки, а не просто сообщая об угрозе. Вторичные датчики, такие как вайфай-датчики, обнаруживают внешние или другие несанкционированные сигналы и соединения, а датчики физической безопасности, такие как камеры, контролируют доступ к конфиденциальным центрам обработки данных, серверным стойкам и электрическим автоматам. В более широком смысле определенные программные агенты на конечных точках тоже работают как датчики, поскольку они анализируют события, действия и активность в хост-системе и отчитываются перед системой управления и контроля, при необходимости генерируя предупреждения.
Компании часто настраивают датчики на определенные типы трафика, например на шлюз электронной почты для перехвата фишинга или спама, или настраивают системы предотвращения/обнаружения сетевых атак, брандмауэры для перехвата неавторизованных IP-адресов и портов, прокси-серверы для подозрительных веб-сайтов и системы предотвращения потери данных. Устройства с датчиками обычно устанавливаются в основной точке выхода сети в демилитаризованной зоне (DMZ). Поскольку размещать датчики принято в как можно более глубокой части системы, чтобы максимально увеличить объем трафика, который проходит через них, злоумышленник может скрыться от датчика на шлюзе или обойти основной выход, действуя таким образом втайне от датчика.
Несмотря на необходимость обеспечения безопасности, большинство компаний едва ли ринется устанавливать кучу датчиков, поскольку их приобретение, работы по лицензированию, установке, обновлению, обслуживанию и мониторингу нецелесообразны с финансовой точки зрения. К сожалению, во многих организациях предполагают, что если основной датчик выхода не обнаруживает угрозы, то и большее их количество не принесет пользы. Из-за этой ошибки система подвергается риску.
