Указанная работа финансировалась военно-воздушными силами США (Air Force Research Laboratory и из бюджета Air Force Computer Resources Support Improvement Program). В подготовке материала принимали участие сотрудники AT&T, Air Force Information Warfare Center, Xerox, Internet Security Systems, Lincoln Laboratory, MITRE.

Данный отчет является одним из наиболее полных исследований по оценке текущего состояния систем обнаружения вторжений. Приводится большая библиография и учетные данные ряда исследовательских проектов по созданию систем этого класса.

Основной вывод проведенного исследования состоит в том, что системы обнаружения вторжений в компьютерные сети сегодня являются одним из наиболее важных элементов в построении систем информационной безопасности.

Согласно материалам отчета, а также и ряду других материалов,  в настоящее время в США проводится программа перевода всей промышленности создания программного обеспечения на выпуск продукции в двух вариантах: коммерческие продукты, поставляемые на рынок (Commercial Off-the-Shelf, COTS) и продукция, поставляемая в федеральные органы власти (Government Off-the-Shelf, GOTS). Этот шаг обусловлен в первую очередь повышенной уязвимостью коммерческих систем к информационным атакам.

Для реализации этой программы в федеральных министерствах под руководством АНБ разрабатываются требования к информационным технологиям и программным средствам. Подобные требования намного выше требований к коммерческим системам. Так отмечается, что для систем обнаружения вторжений категории GOTS, должны быть реализованы ряд свойств, недоступных в коммерческих продуктах. Среди них:

• интеграция с системами перехвата электронной информации типа Carnivore;
• более совершенные алгоритмы обнаружения факта вторжения, приспособленные к отслеживанию хорошо скоординированных атак исходящих, прежде всего, от спецслужб иностранных государств;
• удовлетворение жестким требованиям обеспечения защиты информации.

При этом продукты класса GOTS не доступны для приобретения сторонними лицами и поставляются под конкретный заказ в федеральные организации, что исключает изучение архитектуры системы возможным противником. В отличие от коммерческих систем, системы обнаружения вторжений класса GOTS, как правило, используют не автоматический анализ подозрительных событий, а привлечение высококвалифицированных экспертов в области компьютерной безопасности.

Отмечается, что для многих систем класса COTS, в перспективе не будет реализовываться ряд последних достижений в этой области, что позволит американским спецслужбам внедряться в информационные системы, обслуживаемые такими системами.

В отсутствие отечественного производства программных средств для госорганов, возникает ситуация, опасная для информационной безопасности России, когда в государственных учреждениях устанавливаются программные продукты не способные обеспечить требуемый уровень безопасности, даже после специальных исследований.

Сергей Гриняев

Теги: США , угроза