در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

محاسبه Risk Rating برای انتخاب action در IPS/IDS

با توجه به تعداد زیاد signatures ها و افزایش آنها ، مدیریت action ها برای تک تک signature بسیار دشوار است. به همین منظور مدیریت انتخاب action را به عهده خود سنسور می گذاریم. سنسور براساس میزان ریسک نوع action را مشخص می کند.انتخاب نوع action با محاسبه ای تحت عنوان risk rating انجام می شود. حداکثر مقدار risk rating برابر 100 می باشد. به عنوان مدیر شما می توانید نوع action را براساس risk rating مشخص کنید. سه دسته اصلی براساس محاسبه مقدار risk rating وجود دارد. اولین مورد مشخص کردن دقت و صحت signature (چقدر امکان false positive برای این signature وجود دارد) است و امتیاز دقت تحت (signature fidelity rating (SFR عنوان می شود و یکی از ویژگی های signature می باشد.

دومین آیتمی که در محاسبه risk rating استفاده می شود (attack severity rating (ASR می باشد که میزان مخرب بودن signature را مشخص می کند که این آیتم نیز به عنوان یکی از ویژگی های signature توسط سازنده signature مشخص می شود. (target value rating (TVR آیتم سوم که در محاسبه risk rating است توسط مدیر تعیین می شود. برای تنظیم TVR باید برای سنسور IP آدرس های مقصد و شبکه هایی که از اهمیت ویژه ای برخوردار هستند مشخص شود. به این صورت زمانی که یک حمله به سمت این IP ها صورت گیرد میزان نهایی risk rating (نسبت به همین حمله به IP هایی کم اهمیت شبکه) بیشتر خواهد بود. TVR ارتباطی با signature ها ندارد و به صورت عمومی روی خود دستگاه تنظیم می شود. یکسری فاکتورهای جانبی دیگر در محاسبه risk rating وجود دارد. جدول زیر به صورت خلاصه برخی از فاکتورهایی که در محاسبه risk rating استفاده می شوند را شرح داده است.

  • (Target value rating (TVR : مقداری که شما به عنوان مدیر برای IP آدرس ها و شبکه هایی که در آن سرورها و دستگاه های حساس قرار دارند تعیین می کنید.
  • (Signature fidelity rating (SFR : میزان دقت و صحت عملکرد signature را مشخص می کند این مقدار توسط سازنده signature مشخص می شود.
  • (Attack severity rating (ASR : میزان مخرب بودن signatureرا مشخص می کند این مقدار توسط سازنده signature مشخص می شود.
  • (Attack relevancy (AR : مشخص کننده همخوانی نوع حمله با مقصد می باشد. به طور مثال حمله مرتبط به ویندوز که به مقصدی انجام می شود که سیستم آن نیز ویندوزی است.

Global correlation : اگر سنسور در Global correlation شرکت کرده باشد و اطلاعات در مورد آدرس هایی که برای حملات استفاده می شوند را دریافت کند و حمله از طریق این آدرس ها انجام شود این حمله risk rating بالاتری خواهد داشت.

محاسبه Risk Rating برای انتخاب action در IPS/IDS

اعمال action براساس risk rating


شما می توانید نوع action را برای هر signature به صورت مجزا تعیین کنید اما مشخص کردن action براساس risk rating بسیار مقایس پذیر و مدیریت آن بهتر است. به طور مثال شما مشخص می کنید که اگر مقدار risk rating از 90 بیشتر شود چه action برای آن در نظر گرفته شود. یا برای risk rating با مقدار کمتر از 50 مشخص می کنید که یک alert تولید شود. تمام این موارد را توسط مدیر قابل کنترل است.

محاسبه Risk Rating برای انتخاب action در IPS/IDS

نویسنده : جعفر قنبری شوهانی

منبع : جزیره فایروال و تجهیزات امنیتی وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#risk_rating_در_ips #سنسور_چیست #انتخاب_action #(attack_severity_rating_(asr_چیست #global_correlation_چیست #(target_value_rating_(tvr_چیست #(signature_fidelity_rating_(sfr_چیست #(attack_relevancy_(ar_چیست
1 نظر
نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

You can buy cheaper in our wonderful discounts