Musisz zainstalować Adobe Flash Player aby wyświetlić poprawnie zawartość.

Systemy wczesnego ostrzegania o zagrożeniach teleinformatycznych

Przez system wczesnego ostrzegania (ang. Early Warning System) rozumiemy zazwyczaj ostrzeganie przed kataklizmami, niebezpieczeństwami i innymi zdarzeniami, które są trudne do przewidzenia. System wczesnego ostrzegania przed zagrożeniami teleinformatycznymi ma na celu identyfikację działań, które stwarzają niebezpieczeństwo dla infrastruktury IT.

Aby zrozumieć istotę i sens działania systemów wczesnego ostrzegania należy przyjrzeć się dokładnie mechanizmom ataków komputerowych i na tym, co leży u ich podstaw, czyli lukom. Proces zaistnienia luki składa się z kilku etapów:

  • opublikowanie danej luki,
  • opublikowanie exploita na lukę,
  • luka zaczyna być wykorzystywana w atakach,
  • pojawia się samopropagujący się kod, który w sposób zautomatyzowany wykorzystuje lukę.

Podczas każdego z powyższych etapów pojawia się inny charakter informacji, które mogą być wykorzystane do wczesnego ostrzegania. Informacje te można podzielić na 3 grupy:

  • podatnościach, czyli informacje o lukach w oprogramowaniu publikowane przez producenta oprogramowania lub innych ekspertów,
  • o zagrożeniach, czyli informacje o tym, że pojawiły się narzędzia (exploity) wykorzystujące daną lukę,
  • o incydentach, czyli o faktycznym wykorzystywaniu narzędzi do przeprowadzania ataków.

Oczywistym jest, że mając informacje o danej podatności i trafne rekomendacje można szybko podjąć działania, które zmniejszą ryzyko stania się ofiarą ataku z wykorzystaniem danej luki. Nie zawsze jednak jest taki komfort. Pomijając fakt, że nie zawsze możliwe jest, aby administratorzy w sposób ciągły monitorowali zasoby (np. stron producentów oprogramowania lub instytucji zajmujących się publikowaniem informacji o lukach), to znacznie częściej o luce dowiadujemy się za późno, to znaczy wtedy, gdy jest ona już szeroko wykorzystywana przez samopropagujące się złośliwe oprogramowanie. W takim przypadku jedynym skutecznym mechanizmem pozwalającym na szybką reakcję i podjęcie działań jest posiadanie systemu pozwalającego na wczesne identyfikowanie i charakteryzowanie nowych zagrożeń. Jednocześnie charakterystyka powinna być na tyle dokładna, aby można było ją w prosty sposób przełożyć na realne działania zmierzające do obrony przed danym zagrożeniem.