Tài liệu Cisco security agent (csa)

  • Số trang: 41 |
  • Loại file: PDF |
  • Lượt xem: 117 |
  • Lượt tải: 0
tranphuong

Đã đăng 59174 tài liệu

Mô tả:

Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Hệ thống phát hiện và ngăn ngừa xâm nhập được triển khai trên thiết bị đầu cuối (Host-based IDS/IPS) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 1 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Khả năng của HIPS - Phải có khả năng ngăn chặn các hoạt động của mã độc hại. - Không được làm gián đoạn các hoạt động bình thường. - Phải có khả năng biết được sự khác nhau giữa các sự kiện tấn công và sự kiện bình thường. - Phải có khả năng ngăn chặn được các cuộc tấn công chưa từng được biết tới. - Phải bảo vệ được các lỗ hỏng trong các ứng dụng. - Nên được quản lý tập trung. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 2 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các lợi ích của HIPS - Ngăn chặn tấn công (attack prevention) -Ngăn chặn phát tán tấn công nội bộ (internal attack propagation prevention) - Thực thi chính sách (Policy enforcement) - Thực thi chính sách sử dụng có thể chấp nhận được (Acceptable Use Policy Enforcement) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 3 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các giới hạn của HIPS - Can thiêp người dùng cuối (Subject to End User Tampering) - Thiếu sự bao quát toàn mạng (Lack of Complete Coverage) - Các cuộc tấn công không nhằm vào mục tiêu là các máy tính. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 4 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các giới hạn của HIPS: Can thiệp người dùng cuối Một số phương pháp can thiệp có thể gây hại đến HIPS. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 5 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các giới hạn của HIPS: Thiếu sự bao quát toàn mạng HIPS chỉ có thể bảo vệ các máy tính (host) mà nó được cài đặt lên đó. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 6 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Mục tiêu không phải là máy tính Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 7 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Các thành phần của HIPS Các sản phẩm HIPS thường có 2 thành phần thiết yếu: - Phần mềm được cài đặt trên thiết bị đầu cuối để bảo vệ thiết bị đầu cuối đó. Được gọi Endpoint Agents. - Cơ sở hạ tầng quản lý để quản lý các agent. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 8 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: tiến trình điều khiển truy cập Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 9 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Xác định nguồn tài nguyên đang được truy câp Bước đầu tiên trong tiến trình điều khiển truy cập là “Xác định nguồn tài nguyên đang được truy cập”. Xác định này sẽ kích hoạt bước “Thu thập dữ liệu” và thay đổi loại hay số lượng dữ liệu được thu thập. Hỏi: Cách để xác định nguồn tài nguyên là quan trọng? Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 10 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Xác định nguồn tài nguyên đang được truy câp(tt) Vòng đời của cuộc tấn công Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 11 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Xác định nguồn tài nguyên đang được truy câp(tt) Nhận biết các nguồn tài nguyên mà cuộc tấn công cần cho mỗi giai đoạn: - Mạng (Network) - Bộ nhớ (Memory) - Sự thực thi ứng dụng (Application execution) - Các tập tin (files) - Cấu hình hệ thống Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 12 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan tới hoạt động 4 phương pháp phổ biến dể thu thập dữ liệu: - Kernel modification - System call Interception - Virtual Operation Systems - Network traffic Analysis Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 13 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan tới hoạt động (tt) Kernel modification Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 14 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan tới hoạt động System call Interception Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 15 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan tới hoạt động System call Interception (tt): Ví dụ trong Windows - CSATdi (transport driver interface) - CSAFile - CSAReg - CSACenter Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 16 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan tới hoạt động Virtual Operating Systems: trước khi các hành động được cho phép, quyền được thực thi hành động đó được thực hiện trong bản sao ảo của hệ điều hành. Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 17 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan tới hoạt động Network Traffic Analysis Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 18 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Thu thập dữ liệu liên quan tới hoạt động Dữ liệu được thu thập cho mỗi loại tài nguyên Loại tài nguyên Dữ liệu thu thập Tất cả Thời gian, xác định đầu cuối, access token, credential Giám sát mạng Địa chỉ IP nguồn, đích ; cổng nguồn, đích Yêu cầu kết nối mạng Tên tiến trình, địa chỉ IP, cổng, hành động (chấp nhận, từ chối) Truy cập file Tên tiến trình, đường dẫn file, tên file, hành động (đọc, viết) Truy cập registry Tên tiến trình, đường dẫn key, tên key, giá trị, loại Sự thực thi ứng dụng Tên tiến trình, đường dẫn tiến trình, tên tiến trình mục tiêu, đường dẫn tiến trình mục tiêu Bảo vệ kernel Tên mô-dun kernel, hash mô-dun, code pattarn Bộ nhớ (memory) Tên tiến trình, fuction call, buffer return address, buffer contents Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 19 Đại học Công nghệ thông tin Khoa Mạng máy tính và truyền thông Endpoint Agents: Xác định tình trạng hệ thống Tất cả dữ liệu liên quan đã được thu thập, tuy nhiên tình trạng hệ thống có thể thay đổi kết quả của việc yêu cầu này. Có 3 loại sau: - Tình trạng vị trí (location state) - Tình trạng người dùng (user state) - Tình trạng hệ thống (system state) Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập ThS. Hồ Hải 20
- Xem thêm -