Адаптивные и адаптируемые средства информационной безопасности

обеспечения информационной безопасности
- Адаптируемыми системами обеспечения информационной безопасности называются

средства и методы которые в наивысшей степени используют и ориентированы на экспертную оценку специалистов по информационной безопасности, а именно используют средства и способы внешней адаптации программно-технических средств безопасности.

Типичные примеры адаптируемых систем и средств информационной безопасности:
Statefull и stateless межсетевые экраны
Сетевые статистические сигнатурные системы обнаружения вторжений
Сетевые системы предотвращения вторжений

Принцип адаптивности и адаптируемости, как концепция обеспечения информационной безопасности
-

Адаптивными средствами информационной безопасности, называются системы которые способны самостоятельно анализировать события сетевые события на 3-7 уровнях модели OSI и на основе адаптивного алгоритма обнаружения анализировать значащие характеристические параметры трафика идентифицирующие атаку или аномалию.

Типичные пример частично адаптивной системы ИБ:
Система обнаружения и предотвращения вторжений на уровне хоста (серверной подсистемы)
Cisco Security Agent 5.2, Cisco Trust Agent 5.2
Система предупреждения и вероятного обнаружения вторжений
на уровне хоста с возможностями идентификации атак «нулевого дня»

анализировать и выделять значащие интегральные характеристики сетевого трафика, сетевых протоколов

характеризующих корректное (нормальное) поведение системы, а также указывать и выделять аномальное поведение на уровне функционирования сетевых протоколов и технологий
Осуществлять сравнительный анализ параметров характеризующих корректное поведение протокола или системы с параметрами указывающими на вероятное аномальное сетевое явление или угрозу информационной безопасности. Формировать профиль атаки или угрозы ИБ
Формировать упреждающие командные правила которые будут использоваться для управления системами предотвращения обнаруженных вторжений

межсетевой экран
Вы используете механизм списков разграничения доступа для блокирования паразитного

аномального трафика атаки используя критерии и параметры 3-4 уровней модели OSI
Например:
access-list 145 deny tcp any any range 135 139
access-list 145 deny udp any any eq netbios-ss log
access-list 145 deny udp any any eq netbios-dgm log
access-list 145 deny tcp any any eq 36794 syn log
access-list 145 deny tcp any any eq 47891 syn log
Т.е. данный механизм фильтрации трафика не предполагает алгоритмически самостоятельного действия по организации необходимых контрмер, а использует подход пост анализа и внедрения необходимых настроек для предотвращения уже обнаруженной угрозы!!!

Статистические

Оба вида систем обнаружения вторжений (угроз и аномалий) используют адаптируемый

подход для обнаружения потенциального вторжения, а именно
- в статистических системах используется набор (массив) проанализированных специалистами стат. данных исходя из которых осуществляется принятие решения о блокировании или не блокировании определенного трафика, т.е. принятие решения осуществляется постфактум и после накопление массива данных

сигнатуру, т.е. концентрированное формализованное логическое выражение известной атаки или угрозы

ИБ.
Если признаки атаки не известны и не проанализированы и не сформированы признаки атаки в рамках сигнатуры и она в свою очередь не загружена в систему обнаружения, то эффективное обнаружение не возможно.
В свою очередь сигнатурная система не может обнаружить неизвестные, непредсказуемые атаки, так как формализованное описание может отсутствовать в базе данных сигнатур