جعفر قنبری شوهانی
مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

Risk Rating در IPS و IDS چگونه محاسبه می شود؟

برای انتخاب Action مناسب در IPS و IDS از چه روشی برای محاسبه Risk Rating استفاده کنیم؟ با توجه به تعداد زیاد signatures ها و افزایش آنها ، مدیریت action ها برای تک تک signature بسیار دشوار است. به همین منظور مدیریت انتخاب action را به عهده خود سنسور می گذاریم. سنسور براساس میزان ریسک نوع action را مشخص می کند.انتخاب نوع action با محاسبه ای تحت عنوان risk rating انجام می شود. حداکثر مقدار risk rating برابر 100 می باشد

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. اعمال action براساس risk rating

. به عنوان مدیر شما می توانید نوع action را براساس risk rating مشخص کنید. سه دسته اصلی براساس محاسبه مقدار risk rating وجود دارد. اولین مورد مشخص کردن دقت و صحت signature (چقدر امکان false positive برای این signature وجود دارد) است و امتیاز دقت تحت (signature fidelity rating (SFR عنوان می شود و یکی از ویژگی های signature می باشد.دومین آیتمی که در محاسبه risk rating استفاده می شود (attack severity rating (ASR می باشد که میزان مخرب بودن signature را مشخص می کند که این آیتم نیز به عنوان یکی از ویژگی های signature توسط سازنده signature مشخص می شود.

(target value rating (TVR آیتم سوم که در محاسبه risk rating است توسط مدیر تعیین می شود. برای تنظیم TVR باید برای سنسور IP آدرس های مقصد و شبکه هایی که از اهمیت ویژه ای برخوردار هستند مشخص شود. به این صورت زمانی که یک حمله به سمت این IP ها صورت گیرد میزان نهایی risk rating (نسبت به همین حمله به IP هایی کم اهمیت شبکه) بیشتر خواهد بود. TVR ارتباطی با signature ها ندارد و به صورت عمومی روی خود دستگاه تنظیم می شود. یکسری فاکتورهای جانبی دیگر در محاسبه risk rating وجود دارد. جدول زیر به صورت خلاصه برخی از فاکتورهایی که در محاسبه risk rating استفاده می شوند را شرح داده است.

  • (Target value rating (TVR : مقداری که شما به عنوان مدیر برای IP آدرس ها و شبکه هایی که در آن سرورها و دستگاه های حساس قرار دارند تعیین می کنید.
  • (Signature fidelity rating (SFR : میزان دقت و صحت عملکرد signature را مشخص می کند این مقدار توسط سازنده signature مشخص می شود.
  • (Attack severity rating (ASR : میزان مخرب بودن signatureرا مشخص می کند این مقدار توسط سازنده signature مشخص می شود.
  • (Attack relevancy (AR : مشخص کننده همخوانی نوع حمله با مقصد می باشد. به طور مثال حمله مرتبط به ویندوز که به مقصدی انجام می شود که سیستم آن نیز ویندوزی است.

Global correlation : اگر سنسور در Global correlation شرکت کرده باشد و اطلاعات در مورد آدرس هایی که برای حملات استفاده می شوند را دریافت کند و حمله از طریق این آدرس ها انجام شود این حمله risk rating بالاتری خواهد داشت.

وب سایت توسینسو

اعمال action براساس risk rating

شما می توانید نوع action را برای هر signature به صورت مجزا تعیین کنید اما مشخص کردن action براساس risk rating بسیار مقایس پذیر و مدیریت آن بهتر است. به طور مثال شما مشخص می کنید که اگر مقدار risk rating از 90 بیشتر شود چه action برای آن در نظر گرفته شود. یا برای risk rating با مقدار کمتر از 50 مشخص می کنید که یک alert تولید شود. تمام این موارد را توسط مدیر قابل کنترل است.

وب سایت توسینسو

جعفر قنبری شوهانی
جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان بیشتر از 10 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات