การวิเคราะห์หาแหล่งที่มาของการโจมตี
การแจ้งเตือนว่ามีการเจาะระบบไอดีเอสจะระบุแหล่งที่มาของผู้บุกรุก ส่วนใหญ่จะรายงานเป็นหมายเลขไอพีซึ่งข้อมูลได้จากแพ็กเก็ตที่ไอดีเอสไดรับนั่นเอง
ผู้บุกรุกสามารถเปลี่ยนหมายเลขไอพีที่อยู่ในแพ็กเก็ตนี้ได้ ข้อมูลอาจไม่แหล่งที่มาของแพ็กเก็ตจริงก็ได้ การวิเคราะห์ประเภทของการโจมตีว่าผู้บุกรุก
ต้องการแพ็กเก็ตตอบกลับจากเครื่องเป้าหมายหรือไม่ ถ้าเป็นแบบการโจมตีทางเดียวผู้บุกรุกไม่จำเป็นต้องเห็นแพ็กเก็ตที่ตอบกลับ
ผู้บุกรุกสามารถเปลี่ยนไอพีแหล่งที่มาของแพ็กเก็ตเป็นไอพีอะไรก็ได้ ถ้ามีการตอบกลับก็จะถูกส่งไปยังที่อยู่ในขณะที่ผู้บุกรุกนั้นก็จะไม่ได้รับการตอบกลับเลย
อุปกรณ์แนะนำเพิ่มเติม : รั้วไฟฟ้ากันขโมย กล้องวงจรปิด สัญญาณกันขโมย
การแจ้งเตือนมากเกินไปของ IDS
การแจ้งเตือนการโจมตีมากเกินไป จนบางครั้งแยกแยะไม่ได้ว่าอันไหนเป็นการโจมตีจริง ๆ ทำให้บางที่ไม่สามารถจะสืบค้นทุก ๆ การรายงานได้
การรายงานการแจ้งเตือนวันละมาก ๆ ปัญหานี้ไม่ได้ขึ้นอยู่กับจำนวนการโจมตีแต่จะเกี่ยวกับวิธีรายงานแจ้งเตือนการโจมตีเดียวกันหลายครั้ง
เพราะเป็นการโจมตีคนละโฮสต์ บางบริษัทที่ผลิตไอดีเอสอาจมีทางออกสำหรับปัญหานี้ โดยอาจลำดับความสำคัญของการโจมตีและรายงานให้ทราบเฉพาะที่สำคัญ
การกำหนดระดับความรุนแรงของการโจมตีเพื่อเป็นข้อมูลที่ช่วยให้ผู้ดูแลไอดีเอส ในการวิเคราะห์และประเมินผลกระทบที่เกิดจากการโจมตี
ระดับความรุนแรงของการโจมตี
การกำหนดระดับความรุนแรงของการโจมตีเพื่อเป็นข้อมูลที่ช่วยให้ผู้ดูแลไอดีเอส ในการวิเคราะห์และประเมินผลกระทบที่เกิดจากการโจมตี
เพื่อจะได้ดำเนินการต่ออย่างเหมาะสม ผลกระทบและระดับความปลอดภัยเป็นเรื่องที่คาดเดามากกว่า การปฏิบัติกับการโจมตี
ขึ้นอยู่กับสภาพแวดล้อมของเครือข่าย ความสำคัญของโฮสต์ และลักษณะการทำงานขององค์กรนั้น ๆ การรายงานแจ้งเตือน
ของไอดีเอสยังเป็นข้อมูลที่สำคัญสำหรับผู้บริหารด้านการรักษาความปลอดภัย แต่ก็ต้องพิจารณาสภาวะแวดล้อมของระบบเครือข่ายที่ไอดีเอสนั้นกำลังทำงานอยู่ รายงานการแจ้งเตือน
ไอดีเอสส่วนใหญ่จะเก็บรายละเอียดเกี่ยวกับการโจมตีหรือสิ่งที่ผิดปกติโดยสรุปเป็นข้อควาสั้น ๆ ภายในหนึ่งบรรทัด ข้อมูลที่รายงานนี้ส่วนใหญ่จะมีรายละเอียดดังนี้
- วันเวลา
ไอดีเอสส่วนใหญ่จะเก็บรายละเอียดเกี่ยวกับการโจมตีหรือสิ่งที่ผิดปกติโดยสรุปเป็นข้อควาสั้น ๆ ภายในหนึ่งบรรทัด ข้อมูลที่รายงานนี้ส่วนใหญ่จะมีรายละเอียดดังนี้
- วันเวลา
- ไอพี ของ ไอดีเอส ที่รายงาน
- ชื่อของการโจมตี ซึ่งอาจเป็นชื่อเรียกมาตรฐานหรืออาจเป็นชื่อที่กำหนดเอง
- หมายเลขไอพีของต้นทางและปลายทาง
- หมายเลขพอร์ตของต้นทางและปลายทาง
- ชื่อโปรโตคอลที่ใช้สำหรับการโจมตี
ส่วนใหญ่ไอดีเอสจะมีคำอธิบายเกี่ยวกับแต่ละประเภทของการโจมตี ข้อมูลนี้สำคัญจะเป็นข้อมูลสำหรับผู้ดูแลระบบ
ที่จะใช้วิเคราะห์และวัดความเสียหายที่เกิดจากการโจมตี คำอธิบายเกี่ยวกับการโจมตีนั้นส่วนใหญ่จะประกอบด้วย ข้อมูลดังนี้
- คำอธิบายของการโจมตี
- คำอธิบายของการโจมตี
- ระดับความรุนแรงของการโจมตี
- ประเภทของความเสียหายซึ่งเป็นผลที่เกิดจากการโจมตี
- ประเภทของจุดอ่อนหรือช่องโหว่ที่ผู้บุกรุกใช้โจมตี
- รายชื่อของซอฟต์แวร์และเวอร์ชันที่มีจุดอ่อนหรือช่องโหว่
- ข้อมูลเกี่ยวกับแพตซ์ที่ใช้สำหรับแก้ไขช่องโหว่ดังกล่าว
- คำแนะนำหรือแหล่งข้อมูลที่ให้คำปรึกษาเกี่ยวกับการโจมตีหรือช่องโหว่ที่ถูกเจาะเข้ามา
การรายงานแจ้งเตือนภัย
ไอดีเอสรายงานเฉพาะสิ่งที่กำหนดให้รายงานเท่านั้น มีอยู่สองสิ่งที่ผู้ดูแลระบบต้องคอนฟิกให้กับไอดีเอส สิ่งแรกคือซิกเนเจอร์ของการบุกรุก
สองคือเหตุการณ์ที่ผู้ดูแลระบบให้ความสำคัญหรือเหตุการณ์ที่คาดว่าจะเป็นผลไปสู่การบุกรุกในภายหน้า เหตุการณ์ต่าง ๆ เหล่านี้อาจเป็นทราฟฟิกที่ไม่ปกติหรืออาจเป็นบางข้อความในล็อก
การคอนฟิกซิกเนเจอร์ให้กับไอดีเอส ของแต่ละองค์กรอาจจะไม่เหมือนกัน จะขึ้นอยู่กับว่าองค์กรจะให้ความสนใจกับการบุกรุกประเภทใด
การคอนฟิกซิกเนเจอร์ให้กับไอดีเอส ของแต่ละองค์กรอาจจะไม่เหมือนกัน จะขึ้นอยู่กับว่าองค์กรจะให้ความสนใจกับการบุกรุกประเภทใด
เมื่อไอดีเอสได้ถูกคอนฟิกอย่างถูกต้องแล้ว เหตุการณ์ที่ไอดีเอสจะรายงานให้ทราบนั้นสามารถแบ่งออกได้เป็น 3 ประเภท คือ
- การสำรวจเครือข่าย
- การสำรวจเครือข่าย
- การโจมตี
- เหตุการณ์ที่น่าสงสัยหรือผิดปกติ
สนใจติดตั้งกล้องวงจรปิด >>> บริษัท มีเดีย เสิร์ซ จำกัด โทร. 02-8883507-8, 081-700-4715
ไม่มีความคิดเห็น:
แสดงความคิดเห็น