+7
(343) 263-74-66 info@novacom.ru 620028, Екатеринбург, Верхисетский бл-р, 13-В, 214 |
Cisco Security Agent против червя MsBlasterДля проверки возможностей системы обнаружения вторжений Cisco Security Agent было проведено лабораторное тестирование, в котором был использован сетевой червь, известный под названием MsBlaster. Данный червь появился после выхода ПО CSA и не был известен системе. Тем не менее, ПО оказалось способно эффективно блокировать попытки червя скомпрометировать тестовую систему. Были исследованы три варианта политик: VMS, VMS+Restrictive Module и Default Desktop. В первых двух случаях червь успешно осуществил атаку на системный модуль SVCHOST.EXE, но без вмешательства пользователя оказался не способен к дальнейшим действиям. В варианте Default Desktop система не позволила осуществить ни один этап атаки, чтобы проанализировать возможные последствия пришлось настроить ее в тестовом режиме. Как видно из лога, атака червя может быть блокирована пятью различными уровнями защиты:
Таким образом, активность червя блокируется на основе анализа потенциально опасных действий, а не на основе признаков присутствия в системе конкретного кода (червя, вируса). В сомнительных случаях система запрашивает подтверждения у оператора и в случае отрицательного ответа, либо при отсутствии ответа в течение определенного времени сомнительная операция блокируется. Иллюстрация: http://www.ocs.ru/cisco_news/sx/art/404442/cp/1/br/202400/discart/404442 |
|
ООО "Новаком" тел./факс (343) 263-74-66 (многоканальный), info@novacom.ru |