Ochrona antywirusowa 2


0x08 graphic
0x08 graphic
WYŻSZA SZKOŁA SPOŁECZNO - EKONOMICZNA

0x08 graphic
WYDZIAŁ PEDAGOGICZNY

Kierunek: Bezpieczeństwo Narodowe

Specjalność: Edukacja dla bezpieczeństwa

OCHRONA ANTYWIRUSOWA INFORMACJI I SYSTEM WYKRYWANIA WŁAMAŃ JAKO JEDEN Z ELEMENTÓW BEZPIECZEŃSTWA

Opracował zespół:

Sławomir Zdybał

Tobiasz Zarzycki

0x08 graphic
Warszawa Grudzień 2013

Informacja stanowi taki sam zasób organizacji jak pracownicy, technologie, środki finansowe. Informacje w postaci know-how, bazy danych, warunków handlowych, stanowią wartość bilansową, jak również przedmiot obrotu handlowego.

Tym samym kluczowe staje się właściwe zabezpieczenie przetwarzanych w organizacji informacji. Należy zwrócić uwagę, że nie chodzi tutaj tylko o wdrożenie rozwiązań w obszarze teleinformatyki, która naturalnie staje się kluczowa w przetwarzaniu informacji, lecz również zapewnienie bezpieczeństwa fizycznego, organizacyjnego, osobowego, prawnego czy też ciągłości działania. Kierując się zasadą najsłabszego ogniwa, jedynie rozwiązania kompleksowe mogą skutecznie zabezpieczyć przetwarzane w organizacji dane.

Punktem odniesienia przy budowie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) są międzynarodowe standardy ISO 27001, ISO 27005 oraz zbiór dobrych praktyk w obszarze analizy ryzyka oraz bezpieczeństwa.

W ramach realizacji usługi wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji konsultanci Blue Energy analizują aktualny stan zabezpieczeń fizycznych, teleinformatycznych, jak również stopień wdrożenia rozwiązań organizacyjnych i prawnych. Sporządzony raport z audytu bezpieczeństwa oprócz zidentyfikowanych problemów (podatności/słabości) wskazuje na działania, jakie powinny być podjęte celem ich usunięcia, jak również spełnienia wymagań międzynarodowych standardów.

Ważnym elementem wdrażanego Systemu Zarządzania Bezpieczeństwem Informacji jest analiza ryzyka, w ramach której dokonuje się zestawienia zidentyfikowanych podatności z potencjalnymi zagrożeniami oraz skutkami wynikającymi z wystąpienia tych zagrożeń. Poziom ryzyka pozwala wskazać na te elementy, które należy rozwiązać priorytetowo i dla nich sporządza się plan postępowania z ryzykiem. Oprócz wdrażania rozwiązań technicznych, w ramach projektu opracowywane są również rozwiązania organizacyjne w postaci polityki, procedur oraz instrukcji.

Opracowanie dokumentacji - Polityki Bezpieczeństwa Informacji, która jest nadrzędna dla Polityk Bezpieczeństwa: Teleinformatycznego, Fizycznego, Osobowego (w tym Polityka Danych Osobowych), Prawnego, nie jest jednak wystarczające, gdyż newralgicznym elementem jest jej skuteczne wdrożenie w organizacji. Dzięki szkoleniom dla pracowników, programowi komunikacji oraz zarządzania incydentami budujemy świadomość, będącą podstawą skuteczności wdrożenia. Na zakończenie projektu przeprowadzana jest weryfikacja wdrożenia w postaci audytów wewnętrznych, które pozwalają sprawdzić, czy wdrożone rozwiązania funkcjonują prawidłowo. Wdrożony system może zostać następnie poddany certyfikacji przez niezależną jednostkę certyfikującą.

Wśród głównych korzyści wdrożenia SZBI wymienić można:

Ochrona komputera przed wirusami i innymi zagrożeniami nie jest trudna, ale wymaga wytrwałości.

Program antywirusowy (antywirus) - jest to program komputerowy, którego celem jest wykrywanie, zwalczanie i usuwanie wirusów komputerowych. Współcześnie najczęściej jest to pakiet programów chroniących komputer przed różnego typu zagrożeniami. Programy antywirusowe często są wyposażone w dwa niezależnie pracujące moduły (uwaga: różni producenci stosują różne nazewnictwo):

Program antywirusowy powinien również mieć możliwość aktualizacji definicji nowo odkrytych wirusów, najlepiej na bieżąco, przez pobranie ich z Internetu, ponieważ dla niektórych systemów operacyjnych codziennie pojawia się około trzydziestu nowych wirusów. Widoczna jest tendencja do integracji narzędzi do ochrony komputera. Kiedyś był to jedynie skaner, który wyszukiwał wirusy, początkowo na podstawie sygnatur znanych wirusów, a potem także typujący pliki jako zawierające podejrzany kod za pomocą metod heurystycznych. Trzeba dodać, że współcześnie programy antywirusowe jako jedyna linia obrony nie wystarczają, Obecnie poza skanerem, monitorem i modułem do aktualizacji sygnatur z sieci, pakiet antywirusowy zawiera często także zaporę sieciową, moduły kontroli przesyłek poczty elektronicznej i plików pobieranych z sieci, moduł wykrywania i zapobiegania włamaniom, skaner pamięci i strażnika MBR. Wszystkie te moduły posiadają programy typu internet security - np. AVG InternetSecurity, G Data InternetSecurity, Kaspersky InternetSecurity - jednak można je zainstalować oddzielnie, co według licznych testów laboratoriów antywirusowych, oferują znacznie wyższy poziom ochrony przed malware niż pakiety bezpieczeństwa. Pierwszy komercyjny program antywirusowym pojawił się w 1989. Był nim AntiVirenKit niemieckiej firmy G Data Software AG.

Skanery to najstarszy i najprostszy sposób ochrony antywirusowej. Ich działanie polega na wyszukiwaniu określonej sekwencji bajtów w ciągu danych. W większości wirusów można wyróżnić unikalną sekwencję bajtów, tzw. sygnaturę, dzięki której możliwe jest odnalezienie wirusa w pamięci lub w zarażonej ofierze. Skuteczność skanera antywirusowego zależy od tego, jak bardzo charakterystyczna jest dana sekwencja. Najlepiej, jeżeli wirus zawiera w sobie jakiś bardzo specyficzny napis lub ciąg bajtów. Wraz z pojawieniem się wirusów polimorficznych znaczenie skanerów trochę zmalało, jednak nadal jest to najważniejsza metoda walki z wirusami. Wirusy polimorficzne są trudne do wykrycia, gdyż ich różne próbki nie wyglądają tak samo. Często dwie próbki danego wirusa nie mają ze sobą nic wspólnego. Polimorfizm może być osiągnięty poprzez zakodowanie ciała wirusa. W przypadku tych wirusów również używa się skanera, choć dopiero w późniejszej fazie wykrywania.

Monitor to program antywirusowy zainstalowany jako TSR (ang. Terminate and Stay Resident) lub sterownik SYS, który - poprzez monitorowanie odpowiednich funkcji DOS i BIOS - pozwala na wykrywanie wszystkich wykonywanych za pomocą tych funkcji odwołań do dysków. To, czy monitor będzie działał prawidłowo zależy często od momentu, w którym przejął on kontrolę nad systemem (przed działaniem wirusa, czy już po) oraz od tego, jak głęboko wnika on w system operacyjny. Jak widać autorzy programów antywirusowych muszą korzystać z metod podobnych do tych, które stosują twórcy wirusów. Dużą wadą programów monitorujących jest to, że powodują one często fałszywe alarmy. Niekiedy zdarza się tak, że użytkownik po kolejnym potwierdzeniu jakiejś zwykłej operacji dyskowej staje się mniej uważny i nawet usuwa program antywirusowy z pamięci.

Szczepionki są to programy skierowane przeciwko konkretnym wirusom. Na podstawie posiadanego czy wykrytego egzemplarza wirusa można, po odpowiedniej analizie jego kodu, zdefiniować tzw. sygnatury, na podstawie których wykrywa się kolejne kopie wirusa w systemie. Dokładna analiza kodu wirusa pozwala niekiedy odnaleźć w nim oryginalne wartości pewnych parametrów, które mogą posłużyć do wyleczenia plików. Większość z istniejących szczepionek to rozbudowane programy, które potrafią wykryć i usunąć kilka tysięcy określonych wirusów. Tylko w przypadkach nowych wirusów szczepionki nie są efektywne.

Programy autoweryfikujące służą do sprawdzania czy dany program nie został w jakiś sposób zmieniony przez wirusa. Sprawdzanie to jest możliwe poprzez dodanie do wskazanego pliku określonego, krótkiego programu. Dodawany kod dopisuje się do pliku wykorzystując te same mechanizmy co wirusy i pozwala on na autoweryfikację, czyli automatyczne sprawdzanie czy dany program nie został zmodyfikowany. Niestety, programy tego typu najczęściej nie są odporne na technikę ukrywania kodu wirusa stealth i w systemie zainfekowanym przez wirusa używającego tej techniki okażą się całkowicie nieefektywne.

Programy zliczające sumy kontrolne - działanie tego typu programów polega na obliczaniu odpowiednich sum kontrolnych dla żądanego pliku lub plików. Zliczane sumy kontrolne są przechowywane w osobnych plikach, tworzonych po pierwszym uruchomieniu programu. Jeżeli pliki te istniały już wcześniej, program antywirusowy wykorzystuje dane w nich zawarte aby porównać bieżąco wyliczoną sumę, z sumą poprzednio zachowaną w pliku. Istnieje szereg algorytmów do tworzenia sum kontrolnych dla plików. Ogromną wadą programów tego typu jest to, że pliki przechowujące obliczone sumy kontrolne nie są wcale chronione. Dzięki znajomości wielu algorytmów stosowanych przez programy antywirusowe, niektóre wirusy potrafią zarazić określony plik i obliczyć dla niego nową sumę kontrolną.

Skanery antywirusowe online - gdy użytkownik nie posiada programu antywirusowego, a chciałby szybko sprawdzić dysk lub tylko jeden plik, dobrym rozwiązaniem są skanery online - moduł programu antywirusowego, za pomocą którego komputer sprawdza określony przez użytkownika plik lub obszar na dysku twardym, dyskietce czy płycie. Po zakończeniu pracy skaner informuje o liczbie znalezionych wirusów i o tym, ile z nich udało mu się skutecznie usunąć. Aby zastosować skaner trzeba posłużyć się przeglądarką internetową.

Ochrona informacji elektronicznej

 Korzystanie z aplikacji biznesowych i handlowych za pośrednictwem sieci oznacza realne korzyści, ale także zagrożenia systemu informatycznego przedsiębiorstwa. Liczba zagrożeń bezpieczeństwa, prób ataku oraz naruszeń stale rośnie, rośnie również stopień ich skomplikowania. Zagrożenia te mogą wpływać na stabilność infrastruktury, niezbędną podczas realizacji e-biznesu.

Większość zagrożeń jest związana z odkrywaniem i wykorzystaniem słabych punktów systemu (tzw. luk lub nieszczelności) i utrzymuje się nawet po opracowaniu środków zaradczych, gdyż użytkownicy bardzo często z opóźnieniem instalują odpowiednie łatki lub wymieniają program na nowszy.

Nowoczesne przedsiębiorstwo musi stosować cały zestaw uzupełniających się produktów, polityk oraz procedur, aby chronić się przed zagrożeniami. Ponieważ współczesne sieci firmowe są często bardzo skomplikowane, heterogeniczne i mają charakter dynamiczny, pojedyncze rozwiązania nie mogą zapewnić pełnej ochrony przed wszystkimi możliwymi zagrożeniami. Konieczne jest więc nakładanie warstw odpowiednich rozwiązań, które chronią przed jak największą liczbą zagrożeń.

Model bezpieczeństwa OSI opisuje pięć podstawowych mechanizmów, które powinien zawierać bezpieczny system:

Z wielu powodów użytkownicy powinni sporo inwestować w bezpieczeństwo IT. Również z wielu przyczyn inwestowanie to nie osiąga takiego poziomu, jakiego można by się spodziewać.

Główne przeszkody we wdrażaniu mechanizmów bezpieczeństwa to:

Z wymienionych czynników niezwykle istotny jest brak zasobów wewnętrznych, dotyczących monitorowania alarmów o naruszeniu bezpieczeństwa, uaktualniania rozwiązań ochronnych IT, łatania nieszczelności aplikacji i systemów operacyjnych oraz zarządzania użytkownikami (profilami użytkowników).

Jednym z powodów rozpowszechnienia rozwiązań ochronnych, takich jak programy antywirusowe, zapory ogniowe i sterowanie dostępem do sieci, jest po prostu to, że od lat można je kupić. To pozwoliło pokaźnej liczbie użytkowników na zaznajomienie się z nimi i opanowanie ich eksploatacji. Jednak nie wszystkie rozwiązania ochronne są tak dojrzałe, a pojawiają się też nowe. Do technologii, które wzbudzają nadzieję na szersze stosowanie, można zaliczyć:

Głównym przedmiotem ochrony systemu komputerowego są przechowywane w nim informacje. Ochronie podlegają zarówno poufność, jak i autentyczność danych. Zagrożenia poufności są związane z faktem, iż niepowołane osoby mogą uzyskiwać dostęp do przechowywanych w systemie informacji.

Do zagrożeń autentyczności zaliczamy: zniekształcanie (modyfikację) danych, wstawianie danych i niszczenie danych. Informacja może przybierać różne formy, toteż metody jej zabezpieczania są różnorodne. Zagrożenia informacji (''a w związku z tym i jej ochronę) można analizować wg kategorii opartych na sposobach jej przetwarzania i przechowywania. W kontekście bezpieczeństwa można wyróżnić domeny informacyjne obejmujące:

Każdy z tych obszarów jest połączony ze światem zewnętrznym pewnym interfejsem. Interfejsy w obszarze fizycznym pozwalają osobom z zewnątrz na wejście i wyjście z budynku (pomieszczenia). Są to drzwi, recepcje itp. Fizyczna ochrona rozciąga się też na media, które mogą być transportowane pomiędzy lokalizacjami. Do tej kategorii należy zaliczyć też laptopy.

Interfejsy personalne tworzą pracownicy mający powiązania między sobą i osobami spoza przedsiębiorstwa. Kontakty mogą być realizowane za pomocą telefonów, faksów, poczty elektronicznej i osobistych spotkań. Interfejsy sieciowe to m.in. modemy, zapewniające dostęp pracownikom domowym i obsłudze technicznej IT; Internet - coraz częściej preferowane medium wymiany informacji poprzez usługi WWW czy pocztę elektroniczną oraz połączenia z partnerami, kooperantami i dostawcami. 

Problem „tylnych drzwi”  

Nieudokumentowane i nieautoryzowane części kodu programu, dające autorowi specjalne przywileje, w terminologii bezpieczeństwa systemów komputerowych są nazywane „tylnymi drzwiami” (back door lub trap door). Tylne drzwi zazwyczaj umożliwiają autorom programu dostęp do jego funkcji z ominięciem normalnej kontroli dostępu. W wielu przypadkach tylne drzwi to pozostałości z fazy projektowania i testowania oprogramowania. Problem pojawia się wtedy, gdy programista pozostawi takie „tylne drzwi” w programie oddanym do eksploatacji. Taki nieszczelny program, z mechanizmem omijającym normalne ograniczenia - np. kontrola edycji w trakcie wprowadzania danych - może trafić do eksploatacji w przedsiębiorstwie. „Tylne drzwi” umożliwiają często nieświadome uszkodzenie danych, wówczas gdy program baz danych pozwoli użytkownikowi wejść do funkcji uaktualniania bez kontroli wprowadzonych danych. 

Środki zaradcze  

Dla zmniejszenia ryzyka do akceptowalnego poziomu niezbędne jest zastosowanie odpowiednich środków zabezpieczających. Jeżeli założy się, że potencjalne zagrożenia pochodzą z zewnątrz organizacji, to w przypadku interfejsów sieciowych możliwe środki zaradcze obejmują:

W przypadku interfejsów osobowych istotne znaczenie ma definiowanie polityki bezpieczeństwa. Jest to mechanizm prewencyjny, chroniący ważne dane i procesy przedsiębiorstwa. Tworzy spójne standardy bezpieczeństwa obejmujące użytkowników, zarząd i obsługę techniczną.

Ochrona interfejsów fizycznych to przede wszystkim ograniczanie dostępu - zamykane pokoje, wejścia, zamki szyfrowe, rejestracja dostępu, niszczenie dokumentów, kontrola laptopów, izolacja zasobów oraz dostępność: składowanie, redundancja itp.

Jeżeli podstawowe źródło ataku jest spodziewane z wewnątrz organizacji, zmienia się zakres środków zaradczych, ponieważ atakujący może uzyskać autoryzację, obchodząc mechanizmy kontroli dostępu.

W tym przypadku w obszarze personalnym istotne są:

W obszarze sieciowym:

WYKRYWANIE WŁAMAŃ

Aby wdrażana w systemie technologia wykrywania włamań była efektywna, należy udzielić odpowiedzi na następujące trzy pytania:

Aby wykryć fakt naruszenia przyjętych w danym systemie reguł bezpieczeństwa (na podstawie analizy ruchu sieciowego albo plików dziennika), należy uprzednio nabyć wiedze o sposobie identyfikowania takich faktów i odróżniania ich od normalnych zdarzeń związanych z bezpieczeństwem. Przesłankami ataku mogą być następujące zdarzenia:

Tradycyjne narzędzia zabezpieczające (zapora sieciowa, serwer uwierzytelniania, system kontroli dostępu itd.) opierają swoje działanie na obserwacji jednego lub najwyżej dwóch zdarzeń z powyższej listy; systemy wykrywania włamań (choć zależy to od ich implementacji) mogą brać pod uwagę wszystkie wymienione przesłanki.

IDS, IPS (ang. Intrusion Detection System, Intrusion Prevention System - systemy wykrywania i zapobiegania włamaniom) - urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.

Systemy wykrywania intruzów(ang. Intrusion detection systems) należą do jednych z najmłodszych rozwiązań w arsenale obronnym administratorów systemów. Systemy te maja na celu wspomagać administratorów w wykrywaniu prób naruszeń polityki bezpieczeństwa. Docelowym dążeniem twórców takich rozwiązań jest pełna automatyzacja w procesie wykrywaniu różnego rodzaju nadużyć systemów informatycznych. Naturalnym dążeniem oprócz pełnej automatyzacji wykrywania intruzów jest chęć doposażenia takich systemów w możliwości udaremniania ataków. Systemy IDS dzięki temu przeobrażają się w systemy zapobiegania włamaniom(ang. Intrusion Prevention Systems). Takie systemy z natury rzeczy są jeszcze bardziej skomplikowane niż systemy IDS, posiadają możliwość blokowania akcji wykonywanych przez inne programy, np. dynamiczna modyfikacja firewalla i zablokowanie ruchu sieciowego. Dlatego też wymagania stawiane takim programom są bardzo wysokie.

Główną przyczyną stosowania rozwiązań IDS/IPS w środowiskach sieciowych jest wzrastająca liczba różnego rodzaju ataków przeprowadzanych automatycznie np. za pomocą robaków internetowych czy wirusów jak i tych groźniejszych w których intruz aktywnie pracuje nad uzyskaniem nieuprawnionego dostępu do chronionego systemu. Ochrona systemów komputerowych jest kosztowna i czasochłonna. Systemy IDS/IPS w założeniach mają pomóc obniżyć koszty takiej ochrony oraz podnieść jej efektywność poprzez automatyzację analizy zdarzeń, które mogą świadczyć o potencjalnym naruszeniu polityki bezpieczeństwa danej organizacji.

Systemy wykrywania włamań działają przez analizę ruchu sieciowego za pomocą dwóch metod:

Typowe elementy systemu IDS/IPS to:

W zależności od lokalizacji sensora oraz zakresu analizowanych zdarzeń wyróżnia się następujące rodzaje systemów IDS:

Sieciowe systemy IPS mogą działać w następujących topologiach sieciowych:

Systemy zabezpieczeń to jedna z najbardziej dynamicznie rozwijających się technologii informatycznych. Rozwój zabezpieczeń zmierza w kierunku centralnie zarządzanych, zintegrowanych systemów sieciowych, zawierających środki ochrony rezydujące na serwerach, stacjach roboczych, urządzeniach sieciowych oraz różnego rodzaju systemach dedykowanych. Należą do nich: serwery uwierzytelniania, systemy zapór ogniowych, urzędy certyfikacji PKI oraz systemy wykrywania włamań. Te ostatnie należą do stosunkowo nowych technologii zabezpieczeń sieciowych, obecnie wykorzystywanych głównie jako wsparcie zapór ogniowych. Wykrywanie włamań jest procesem identyfikowania i reagowania na nieuprawnioną działalność skierowaną przeciwko zasobom informatycznym. Programy wykrywania włamań mogą działać w modelu hostowym - chroniąc bezpośrednio systemy operacyjne, serwery webowe czy baz danych, lub w modelu sieciowym - przy wykrywaniu intruzów opartym na monitorowaniu ruchu sieciowego pod kątem podejrzanej aktywności.

Identyfikacja włamania może nastąpić przed, podczas lub po wystąpieniu działalności nieuprawnionej z punktu widzenia polityki ochrony systemu. Jeśli identyfikacja zostanie dokonana przed zaistnieniem nieuprawnionej działalności, to wówczas reakcją może być zapobieżenie jej wystąpieniu. Identyfikacja dokonana w trakcie działalności nieuprawnionej pociąga za sobą konieczność podjęcia decyzji o jej przerwaniu lub kontynuowaniu w celu uzyskania szczegółowych danych o napastniku. I w końcu, jeżeli identyfikacja włamania nastąpi post factum, potrzebna jest ocena zakresu wyrządzonych szkód - jeżeli takie zaistniały.

Reakcja na włamanie następuje na ogół po jego zidentyfikowaniu, chociaż są systemy, w których stosowana jest analiza predykcyjna, służąca do przewidywania zdarzeń i zapobiegania skutkom ich wystąpienia. W procesie reagowania można zablokować usługę, dokładnie zidentyfikować agresora, a także wyprowadzić kontratak eliminujący możliwość dalszego działania napastnika.

Podstawą wykrywania włamań jest monitorowanie. Systemy wykrywania włamań działają w oparciu o informacje dotyczące aktywności chronionego systemu. Z monitorowaniem wiąże się wiele kwestii technicznych i operacyjnych. Do najistotniejszych należą między innymi dostatecznie wczesne wykrywanie i wydajność systemu - wystarczająca do monitorowania aktywności i realizacji normalnych zadań. Stopień spełnienia tych kryteriów przesądza zazwyczaj o powodzeniu wykrycia faktycznych włamań.

Systemy wykrywania włamań generują raporty kierowane do infrastruktury zabezpieczeń i ochrony systemu. Infrastruktura ta może być wbudowana w jednostkę monitorowania włamań lub stanowić element samodzielny. W obu przypadkach sposób przetwarzania uzyskanych informacji, ich zapisu, udostępniania i wykorzystania w celu obniżenia ryzyka jest jednym z trudniejszym aspektów praktycznej implementacji systemu wykrywania włamań.

Podstawą analiz aktywności systemu są sygnatury zachowań odbiegających od normy. Użycie sygnatur nienormalnego zachowania, zwanych także sygnaturami lub wzorcami ataków, jest szczególnie częste w systemach wykrywania włamań na bieżąco. Sygnatury zazwyczaj występują w jednej z dwóch wersji:

Jedną z metod monitorowania jest też pełna analiza protokółów wszystkich siedmiu warstw, zamiast prostego porównywania wzorców ataków. Chociaż wydawać by się mogło, że analiza protokołów w każdym pakiecie może być mało efektywna w zestawieniu z prostym porównywaniem wzorców w pojedynczym pakiecie, to jednak trzeba mieć na uwadze fakt, że liczba sygnatur ataków stale rośnie - problem ten rozwiązuje się często instalowaniem wielu sensorów IDS, z których każdy obsługuje pewien podzbiór sygnatur. Przewaga tej metody polega głównie na tym, że protokoły i systemy operacyjne są budowane na podstawie standardów - stosunkowo łatwo więc zidentyfikować pakiet odbiegający od normy. Ponadto algorytm analizy protokołu może dynamicznie identyfikować wszystkie niepoprawne oraz nadmiarowe pakiety i zatrzymywać je, zanim osiągną stos TCP/IP. Nowe rodzaje ataków wymagają co prawda uaktualniania algorytmów analizy, ale zazwyczaj wykonuje się je metodą uzupełniania zmiennych algorytmu. Ujemną stroną takiego podejścia jest to, że zmiana algorytmu może trwać znacznie dłużej niż dodanie nowego wzorca

Przykładem systemu IDS jest program Snort. Obecnie Snort jest uważany za najlepsze tego typu rozwiązanie Open Source. Mimo, że Snort jest darmowy okazał się na tyle dobry, że wiele firm szkoleniowych oferuje płatne profesjonalne kursy uczące zarządzania aplikacją Snort. Również firmy zajmujące się komercyjnie tworzeniem systemów IDS doceniły Snorta i oferują wsparcie dla reguł Snorta w swoich produktach.

grupablue.pl

windows.microsoft.com

pl.wikipedia.org

http://www.itpedia.pl/

http://pl.wikipedia.org

1



Wyszukiwarka

Podobne podstrony:
Informatyka, Wirusy i ochrona antywirusowa, Wirusy i ochrona antywirusowa
Wirusy i ochrona antywirusowa, INFORMATYKA
Wirusy i ochrona antywirusowa, Informatyka -all, INFORMATYKA-all
Wirusy i ochronna antywirusowa III, edukacja i nauka, Informatyka
ochrona antywirusowa
Ochrona antywirusowa w systemach i sieciach komputerowych
Wirusy i ochrona antywirusowa
OCHRONA ANTYWIRUSOWA
Antywibracyjne rękawice ochronne
Ochrona własności intelektualnej 7
rodzaje ooznaczen i ich ochrona
Ochrona budowli przed wodą i wilgocią gruntową
Ochrona prawna Wymiar sprawiedliwosci

więcej podobnych podstron