31.03.2005г.
Сетевые атаки: задуман контрудар?
В поисках средства, способного автоматизировать процедуру идентификации сетевой атаки и противодействия ей, объединились 80 крупных компаний, работающих в телеком-отрасли.
Новое ПО, испытания которого уже ведутся, будет "паспортизировать" атаки, позволяя по их характерным признакам добраться до самого "логова". Важной особенностью нового проекта является широкомасштабный обмен данными между участниками - цифровой "паспорт" каждого инцидента будет передаваться всем остальным. Затем накопленные данные будут передаваться правоохранительным органам, которые смогут выяснить в ходе расследования, кто именно стоит за атаками того или иного рода.
Как сообщает ВВС, среди компаний, ставших абонентами новой системы – MCI, British Telecom, Deutsche Telecom, Energis, NTT, Bell Canada, Asia Netcom, а также множество других. Инициатором создания системы, паспортизующей атаки, выступила американская Arbor Networks.
В настоящее время преступники все шире используют для организации сетевых атак на сайты, распространения червей и спама обширные сети, состоящие из предварительно инфицированных дистанционно управляемых компьютеров. "Доводилось наблюдать атаки, объемы трафика при которых достигали и пяти и десяти гигабайт, - говорит Роб Поллард (Rob Pollard), директор по продажам компании Arbor Networks. – Атаки такого рода по мере распространения по интернету к своей цели наносят еще и побочный вред другим".
Как только система идентифицирует начавшуюся атаку и определит ее характерные параметры, эта информация будет передана во все потенциально затронутые атакой сети. Это поможет вовремя поставить в известность всех участников системы и вернуть им контроль над ситуацией.
"Мы стремимся помочь компаниям, предоставляющим сетевые услуги, обмениваться информацией друг с другом и благодаря этому шаг за шагом добираться до ее источника, где бы он ни находился", - говорит г-н Поллард.
Принцип работы системы, предложенный Arbor Networks, заключается в построении подробной истории трафика в сети. Таким образом, становится возможным определить, какие компьютеры или группы пользователей постоянно контактируют друг с другом, и какой тип трафика циркулирует между машинами или рабочими группами.
Сравнение текущего трафика с его предысторией позволяет своевременно выявить проявление любых его аномалий, поставив в известность сетевого администратора, который сможет принять окончательное решение и, при необходимости, вовремя предпринять необходимые меры противодействия. Такой метод выявления атак обретает все большую популярность по мере того, как в них начинают принимать участие сотни и тысячи различных компьютеров. При этом важную роль начинает играть возможность сравнения больших массивов данных по большому количеству машин, рабочих групп и сетей - анализ трафика отдельной машины зачастую не позволяет "разглядеть" за непонятной аномалией широкомасштабную, синхронизированную и управляемую извне атаку.
"Атаки становятся все более рассеянными и все более хитроумными, - констатирует Малкольм Сигрэйв (Malcolm Seagrave), эксперт по вопросам безопасности компании Energis. – В последние 12 месяцев стало особенно заметным, что они являются делом рук преступных элементов, и что мы наблюдаем значительный их рост". По его словам, аспекты обеспечения конфиденциальности внутренней информации зачастую препятствовали распространению информации об атаках в должном объеме в уже существующих системах. Однако наглость преступников заставляет вносить коррективы – и этот Рубикон, похоже, уже перейден.
Источник: "CNews.ru "
При перепечатке материала ссылка на innov.ru обязательна
Все новости рубрики