> >
> > К сожалению, нельзя -- будучи вне защищаемых объектов, мы не можем знать
> > как они реагируют на какую-то активность в сети.
>
> Речь идет о потоке информации об активности в сети, который затем
> анализируется.
Даже если ты будешь сохранять _весь_ траффик в лог, а потом смотреть сам,
без всякой автоматизации, и даже если бы ты никогда не ошибался, несмотря
на то, что человек, -- там может просто не быть достаточно информации для
распознавания атаки, а тем более действий после успешной атаки (установки
backdoor'ов). Так что -- мониторинг даже в теории не может дать гарантии.
> Что касается гарантий, то стопроцентных гарантий в жизни
> не бывает. Это все математики придумали.
Верно -- не бывает из-за человеческих ошибок и подобных внешних факторов.
Но в теории (ты правильно сказал о математиках), можно получить какую-то
модель, дающую гарантированное распознавание атак (разумеется, при четких
определениях всех этих терминов). Так вот, для мониторинга (в том виде, в
каком мы его рассматриваем -- TCP протокол, и отсутствие поддержки от самой
защищаемой системы) это не верно, даже в теории. Все, что я хотел сказать.
Signed,
Solar Designer
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
