ICS 35.040 Červenec 2005
|
Informační technologie - Bezpečnostní techniky - |
ČSN 36 9796 |
idt ISO/IEC TR 15947:2002
Information technology - Security techniques - IT intrusion detection framework
Technologies de l´information - Techniques de sécurité - Cadre de détection de l´intrusion dans les systèmes
des technologies de l´information
|
|
© Český normalizační institut, 2005 73637 |
Obsah
Strana
1 Předmět normy.................................................................................................................................................................... 5
2 Normativní odkazy............................................................................................................................................................... 5
3 Termíny a definice............................................................................................................................................................... 5
4 Úvod do detekce průniku................................................................................................................................................... 6
4.1 Potřeba detekce průniku.................................................................................................................................................... 6
4.2 Typy útoků............................................................................................................................................................................. 7
4.2.1 Útoky založené na hostitelských systémech.................................................................................................................. 7
4.2.2 Útoky založené na sítích..................................................................................................................................................... 7
5 Generický model procesu detekce průniku................................................................................................................... 7
5.1 Zdroje dat.............................................................................................................................................................................. 8
5.2 Detekce událostí................................................................................................................................................................. 9
5.3 Analýza.................................................................................................................................................................................. 9
5.4 Odezva................................................................................................................................................................................... 9
5.5 Uložení dat.......................................................................................................................................................................... 10
6 Charakteristiky detekce průniku..................................................................................................................................... 10
6.1 Zdroj dat.............................................................................................................................................................................. 10
6.1.1 Datové zdroje založené na hostitelském počítači....................................................................................................... 11
6.1.2 Datové zdroje založené na sítích.................................................................................................................................... 11
6.2 Četnost detekce a analýzy událostí................................................................................................................................ 11
6.2.1 Nepřetržitá/v čase blízkém reálnému času.................................................................................................................. 11
6.2.2 Periodicky/dávkově zpracovávané.................................................................................................................................. 11
6.2.3 Iniciované pouze při speciálních okolnostech............................................................................................................. 11
6.3 Analýza detekce průniku................................................................................................................................................... 12
6.3.1 Založená na zneužití.......................................................................................................................................................... 12
6.3.2 Založená na anomáliích................................................................................................................................................... 12
6.4 Chování odezvy.................................................................................................................................................................. 12
6.4.1 Pasivní................................................................................................................................................................................. 12
6.4.2 Aktivní................................................................................................................................................................................... 12
7 Role architektury................................................................................................................................................................ 13
8 Řízení IDS........................................................................................................................................................................... 14
8.1 Řízení konfigurace............................................................................................................................................................. 14
8.1.1 Funkce detekce.................................................................................................................................................................. 14
8.1.2 Funkce odezvy.................................................................................................................................................................... 14
8.2 Řízení bezpečnostních služeb........................................................................................................................................ 14
8.3 Integrace s jinými systémy řízení.................................................................................................................................... 14
8.4 Bezpečnost operací řízení................................................................................................................................................ 14
8.4.1 Autentizace.......................................................................................................................................................................... 15
8.4.2 Integrita................................................................................................................................................................................ 15
8.4.3 Důvěrnost............................................................................................................................................................................ 15
8.4.4 Dostupnost......................................................................................................................................................................... 15
8.5 Model řízení......................................................................................................................................................................... 15
Strana
9 Analýza detekce průniku................................................................................................................................................... 16
9.1 Analýza signatury............................................................................................................................................................... 16
9.2 Statistický přístup............................................................................................................................................................... 16
9.3 Expertní systémy................................................................................................................................................................ 17
9.4 Analýza stavových přechodů............................................................................................................................................ 17
9.5 Neuronové sítě................................................................................................................................................................... 17
9.6 Identifikace anomálního chování uživatele................................................................................................................... 17
9.7 Hybridní analýza................................................................................................................................................................. 17
9.8 Ostatní................................................................................................................................................................................. 17
10 Problémy implementace a nasazení............................................................................................................................. 18
10.1 Efektivnost........................................................................................................................................................................... 18
10.2 Funkčnost........................................................................................................................................................................... 18
10.3 Personál pro nasazení a činnost IDS............................................................................................................................ 18
10.4 Další úvahy o implementaci............................................................................................................................................ 19
11 Problémy detekce průniku............................................................................................................................................... 20
11.1 Detekce průniku a soukromí........................................................................................................................................... 20
11.2 Sdílení dat při průnicích.................................................................................................................................................... 20
11.3 Další normalizace............................................................................................................................................................. 21
12 Shrnutí................................................................................................................................................................................. 22
Bibliografie...................................................................................................................................................................................... 23
Tato norma obsahuje technickou zprávu typu 3 přijatou v souladu s částí 3 Směrnic ISO/IEC s označením ISO/IEC TR 15947. Technickou zprávu zpracovala ISO/JTC1 Informační technologie, subkomise SC 27 - IT bezpečnostní techniky.
Vypracování normy
Zpracovatel: Ing. Alena Hönigová, IČ 61470716
Technická normalizační komise: TNK 42, Výměna dat
Pracovník Českého normalizačního institutu: Ing. Petr Wallenfels
1 Předmět normy
Toto je technická zpráva (TR) typu 3, která definuje strukturu detekce průniků do systémů IT. Zvažovalo se mnoho tříd průniků. Mezi ně patří například průniky úmyslné nebo neúmyslné, zákonné nebo nezákonné, škodlivé nebo neškodné a neautorizovaný přístup vnitřních nebo vnějších vetřelců. TR se zaměřuje na:
· ustavení společných definicí pro termíny a pojetí spojené se strukturou detekce průniku do IT
· popis generického modelu detekce průniku
· poskytnutí bohatých příkladů pokusů o využití zranitelností systémů
· diskusi o obecných typech vstupních dat a zdrojů, potřebných k efektivní schopnosti detekce průniku
· diskusi o různých metodách a kombinacích metod analýzy detekce průniku
· popisu aktivit/akcí, které jsou odezvou na indikace průniků.
Tento rámec vysvětluje termíny a pojetí detekce průniku a popisuje vztahy mezi nimi. Zabývá se také možným uspořádáním úkolů detekce průniku a souvisících aktivit.
Tato TR poskytuje základ pro obecné pochopení detekce průniku. Cílem tohoto materiálu je pomoci manažerům zavést v organizacích systémy detekce průniku (IDS), které na sebe vzájemně působí a pracují spolu. Tato TR by měla usnadnit spolupráci mezi organizacemi na celém světě tam, kde je tato spolupráce vyžadována a/nebo je nezbytná při obraně proti pokusům o průnik.
Tento rámcový dokument není určený k tomu, aby se zabýval všemi podrobnostmi obsaženými v detekci průniku, např. podrobnými vzorci útoků nebo statistickými anomáliemi nebo mnoha uspořádáními, která by IDS mohl mít.
-- Vynechaný text --
Zdroj: www.cni.cz