Анализ эффективности настроек межсетевого экрана
Межсетевой экран — необходимое средство для защиты информационных ресурсов корпоративной сети. Но обеспечить должный уровень сетевой безопасности можно только при правильной его настройке. Установить такой экран без проведения необходимого обследования — все равно что пригласить в свою сеть злоумышленника.
Установка сетевых сенсоров системы обнаружения атак внутри и снаружи охраняемого экраном периметра позволяет проверить эффективность настроек путем сравнения числа атак на разных участках.

Анализ информационных потоков
Нередки ситуации, когда сотрудники отделов защиты информации не владеют достоверными данными о применяемых в защищаемых сегментах сети протоколах. С помощью систем обнаружения атак можно контролировать не только протоколы и сервисы, но и частоту их использования, что позволяет построить схему информационных потоков в организации и карту сети — атрибут инфраструктуры защиты.

Анализ данных от сетевого оборудования
Журналы регистрации маршрутизаторов и иных сетевых устройств являются до-полнительным источником информации об атаках, направленных на информационные ресурсы корпоративной сети. Однако они редко анализируются на предмет обнаружения следов несанкционированной деятельности, потому что практически отсутствуют или очень дорого стоят средства (например, netForensics), решающие эту задачу.
Функция сбора журналов регистрации и анализа событий в них может быть возложена на систему обнаружения атак, выступающую в качестве Syslog-сервера, которая сможет не только осуществить централизованный сбор, но и обнаружить атаки и злоупотребления в этих журналах. Кроме того, это дополнительная мера защиты журналов регистрации от несанкционированного изменения, так как события, фиксируемые маршрутизаторами, сразу передаются на сенсор системы обнаружения атак, что не позволяет злоумышленнику удалить или изменить компрометирующие его следы.

Сбор доказательств и расследование инцидентов
Системы обнаружения атак могут и должны быть использованы для сбора доказательств несанкционированной деятельности. Для этого они наделены следующими функциями:
запись событий, происходящих во время атаки, используемая для дальнейших исследований и анализа;
имитация несуществующих приложений с целью введения злоумышленника в заблуждение (так называемый режим обманной системы);
расширенный анализ журналов регистрации прикладных и системных приложений, серверов баз данных, Web-серверов и т. д.;
исследование событий безопасности перед выполнением каких-либо действий;
получение DNS-, MAC-, NetBIOS- и IP-адресов компьютера злоумышленника.

Заключение
В целом отмечу, что описанные здесь сценарии позволяют существенно расширить область применения систем обнаружения атак и найти новых заказчиков для таких широко известных на российском рынке систем, как RealSecure, CiscoSecure IDS и Snort. 4
С автором можно связаться по адресу: luka@infosec.ru.

^****КОНЕЦ СТАТЬИ****^

2 Админам: сделайте длину сообщения не менее 15000 символов а то статью в один пост уместить не получилось.

От себя:
На счет секюритилаб скажу, что они удаляют ссылки на ЛЮБЫЕ сайты похожей с ними тематики, наверно боясь конкуренции. Они считают что люди должны знать только их проект о сетевой безопаснсности, что мол все остальное это фуфель по сравнению с ними, .::Gh0st::. ты прав, они зазнались, хотя это бывает со многими крупными проектами..