Connect with us

technokrata

Vadásszunk internetes támadókra, csaliszerverrel

Dotkom

Vadásszunk internetes támadókra, csaliszerverrel

Csalialapú behatolás-érzékelő rendszert adott ki a Symantec, amivel igen hatékonyan lehet észlelni, ha támadás készülődik a rendszer ellen.

A Symantec Decoy Server “mézesbödön-szerű” behatolás-érzékelő rendszer (IDS), amely felismeri, visszatartja és figyelemmel kíséri a jogosulatlan hozzáférést és a rendszerrel való visszaélést. A gazdagépes és a hálózati IDS-ek kiegészítőjeként a Symantec Decoy Server eltereli a támadásokat a fontos erőforrásoktól, s eközben idejekorán észleli a belső és a külső támadásokat.

„A mézesbödön fejlett csalizó technikája és korai érzékelői kiegészítik a tűzfalakat és a többi behatolás-érzékelőt. A vizsgálatot szolgáló elemei mellett a mézesbödön a hamis riasztások csökkentésének eszköze is lehet.” – jelentette ki Charles Kolodgy, az International Data Corporation (IDC) védelmi termékek kutatási igazgatója.

A Symantec Decoy Server a veszélyek korai észlelését kínálja, és azáltal, hogy valójában ő válik a támadás célpontjává, lehetővé teszi a támadások tévútra vezetését és elszigetelését. A csaliérzékelő egy valódi, működőképes szervert utánoz, és a szervezeten belüli e-mail-forgalom színlelésére is képes, hogy ezáltal valódi levelezőszervernek tűnjön. Ha a csaliérzékelőt támadás éri, a Symantec Decoy Server adatgyűjtő modulok rendszerén keresztül képes a támadás részletes felismerésére. Elemzés céljára rögzítésre kerül az összes tevékenység, így a rendszergazdák rangsorolhatják és értelmezhetik a veszélyt, és annak megfelelően reagálhatnak.

Mivel a csaliszerver nem valódi rendszer, az összes, rá irányuló forgalom gyanúsnak tekintendő és egy támadás előszeleként kezelendő. Ez elősegíti a téves riasztások vagy a valódi veszélyek feletti elsiklás okozta károk kiküszöbölését. A rendszergazdák a valódi támadásokra összpontosíthatnak és jóval hatékonyabban reagálhatnak azokra.

A Symantec Decoy Server nem jellemzők alapján működik, így önműködően, a védelmi jellemzők frissítésének és a dinamikus szabályzatkonfigurálásnak az igénye nélkül észleli az ismeretlen támadásokat. A hálózat védelmét a gazdagép- és a hálózatalapú támadásoknak, a jelszavak jogosulatlan használatának és a szerverhez történő jogosulatlan hozzáférésnek felismerésével fokozza. A megtámadott csaliszerver a Session Replay nevű folyamatelemző segítségével rejtve, a történésekkel egy időben jeleníti meg a támadó tevékenységét. Az eseménysor további elemzés céljára rögzíthető és visszajátszható, ezzel könnyebben megismerhetők a szervezet ellen használt eszközök és taktikák.

„A Symantec Decoy Server nem csupán a jogosulatlan tevékenység észlelésének, hanem a támadóval, eszközeivel és azonosításával kapcsolatos részletes információk begyűjtésének is kiváló eszköze.” – jelentette ki Lance Spitzner, a Honeynet Project létrehozója és a „Honeypots: Tracking Hackers (Mézesbödönök, a hackerek követésének eszközei).” című mű szerzője – „A Symantec Decoy Server, mint mézesbödön megoldás olyan jellemzőkkel rendelkezik, amellyel kevés más eljárás ér fel.”

A Symantec Decoy Server a belső és külső behatolóktól származó támadások előrejelzéséhez, észleléséhez, megelőzéséhez és csökkentéséhez megfelelő technika alkalmazásának rugalmasságát nyújtó Symantec Intrusion Protection fő alkotórésze. A Symantec Intrusion Protection olyan termékek és szolgáltatások együttese, amelyek a vállalat növekedésével járó, változó védelmi igényekkel együtt alakulnak. A Symantec Intrusion Protection alkotórészeihez a hálózati és a gazdagépalapú behatolás-érzékelés és -megelőzés, integrált berendezések, korai riasztás, elemzés és kárenyhítés tartoznak. Az egy ponton ható alkalmazások gyártóival ellentétben, akik ennek a stratégiának csak egy elemét kínálják, a széles körű behatolás elleni védelem érdekében a Symantec az összes felsorolt alkotórészt kínálja.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek