Metode de detectare a intruziunilor. Programe pentru agențiile guvernamentale americane. Beneficiile de afaceri ale soluției implementate

În prezent, protecția oferită de firewall și antivirus nu mai este eficientă împotriva atacurilor de rețea și a malware-ului. În frunte se află soluțiile de clasă IDS/IPS care pot detecta și bloca atât amenințările cunoscute, cât și necunoscute.

INFO

  • Despre Mod_Security și GreenSQL-FW, citiți articolul „The Last Frontier”, ][_12_2010.
  • Cum să înveți iptables să „arată” în interiorul unui pachet, citiți articolul „Scut de foc”, ][_12_2010.

tehnologii IDS/IPS

Pentru a alege între IDS sau IPS, trebuie să înțelegeți principiile și scopul lor de funcționare. Astfel, sarcina IDS (Intrusion Sistem de detectare) constă în detectarea și înregistrarea atacurilor, precum și în alertarea când este declanșată o anumită regulă. În funcție de tip, IDS poate detecta diverse tipuri de atacuri de rețea, poate detecta încercările de acces neautorizat sau de escaladare a privilegiilor, apariția de malware și monitorizează descoperirea de noi port-o. d Spre deosebire de un firewall care controlează doar parametrii de sesiune (IP, numărul de port și starea conexiunii), IDS „se uită” în interiorul pachetului (până la al șaptelea strat OSI), analizând datele transmise. Există mai multe tipuri de sisteme de detectare a intruziunilor. APIDS (Application Protocol-based IDS) sunt foarte populare, care monitorizează listă limitată protocoale de aplicare pentru atacuri specifice. Reprezentanții tipici ai acestei clase sunt PHPIDS, care analizează cererile către aplicațiile PHP, Mod_Security, care protejează un server web (Apache) și GreenSQL-FW, care blochează comenzile SQL periculoase (vezi articolul „The Last Frontier” din [_12_2010).

Network NIDS (Network Intrusion Detection System) sunt mai universale, ceea ce se realizează datorită tehnologiei DPI (Deep Packet Inspection). Ei controlează mai mult de o aplicație specifică, tot traficul care trece, începând de la nivelul canalului.

Unele filtre de pachete oferă, de asemenea, capacitatea de a „privi înăuntru” și de a bloca o amenințare. Exemplele includ proiectele OpenDPI și Fwsnort. Acesta din urmă este un program pentru conversia bazei de date de semnături Snort în reguli de blocare echivalente pentru iptables. Dar inițial firewall-ul a fost proiectat pentru alte sarcini, iar tehnologia DPI este „costisitoare” pentru motor, astfel încât funcțiile de procesare a datelor suplimentare se limitează la blocarea sau marcarea protocoalelor strict definite. IDS doar semnalează (alertă) toate acțiunile suspecte. Pentru a bloca gazda atacatoare, administratorul reconfigurează în mod independent firewall-ul în timp ce vizualizează statisticile. Desigur, aici nu este implicat niciun răspuns în timp real. De aceea IPS (Intrusion Prevention System, sistem de prevenire a atacurilor) este mai interesant astăzi. Ele se bazează pe IDS și pot reconstrui independent filtrul de pachete sau pot încheia sesiunea prin trimiterea unui RST TCP. În funcție de principiul de funcționare, IPS poate fi instalat „burst” sau poate utiliza oglindirea traficului (SPAN) primit de la mai mulți senzori. De exemplu, explozia este setată la Hogwash Light BR, care funcționează pe al doilea Nivelul OSI. Este posibil ca un astfel de sistem să nu aibă o adresă IP, ceea ce înseamnă că rămâne invizibil pentru un atacator.

ÎN viață obișnuită Ușa nu este doar încuiată, ci și protejată suplimentar, lăsând un pază lângă ea, pentru că numai în acest caz poți fi sigur de siguranță. BIT, IPS gazdă acționează ca atare securitate (vezi „Noua frontieră defensivă” în][_08_2009), protejând sistemul local de viruși, rootkit-uri și hacking. Ele sunt adesea confundate cu antivirusurile care au un modul de protecție proactivă. Dar HIPS, de regulă, nu utilizează semnături, ceea ce înseamnă că nu necesită actualizarea constantă a bazei de date. Ei controlează mult mai mult parametrii sistemului: procese, integritate fișiere de sistem registru, înregistrări în reviste și multe altele.

Pentru a controla pe deplin situația, este necesară controlul și corelarea evenimentelor atât la nivel de rețea, cât și la nivel de gazdă. În acest scop, au fost create IDS-uri hibride care colectează date din diverse surse(Asemenea sisteme sunt denumite SIM - Security Information Management). Printre proiectele OpenSource, este interesant Prelude Hybrid IDS, care colectează date de la aproape toate OpenSource IDS/IPS și înțelege formatul jurnalului aplicatii diferite(suportul pentru acest sistem a fost oprit în urmă cu câțiva ani, dar pachetele compilate pot fi încă găsite în depozitele Linux și *BSD).

Chiar și un profesionist se poate încurca în varietatea soluțiilor propuse. Astăzi ne vom întâlni cu cei mai importanți reprezentanți ai sistemelor IDS/IPS.

Controlul unificat al amenințărilor

Internetul modern aduce o cantitate mare amenințări, astfel încât sistemele înalt specializate nu mai sunt relevante. Este necesar să folosiți o soluție multifuncțională cuprinzătoare care să includă toate componentele de protecție: firewall, IDS/IPS, antivirus, server proxy, filtru de conținut și filtru antispam. Astfel de dispozitive se numesc UTM (Unified Threat Management, control unificat al amenințărilor). Exemple de UTM includ Trend Micro Deep Security, Kerio Control, Sonicwall Network Security, platforme și dispozitive FortiGate Network Security sau distributii specializate Linux, cum ar fi Untangle Gateway, IPCop Firewall, pfSense (citiți recenzia lor în articolul „Network Regulators”, ][_01_2010).

Suricata

Versiunea beta a acestui IDS/IPS a fost lansată publicului în ianuarie 2010, după trei ani de dezvoltare. Unul dintre obiectivele principale ale proiectului este crearea și testarea unor tehnologii complet noi de detectare a atacurilor. În spatele Suricata se află asociația OISF, care se bucură de sprijinul unor parteneri serioși, inclusiv a băieților de la Departamentul Securității Interne din SUA. Cea mai relevantă versiune de astăzi este numărul 1.1, lansată în noiembrie 2011. Codul proiectului este distribuit sub licența GPLv2, dar partenerii financiari au acces la o versiune non-GPL a motorului, pe care o pot folosi în produsele lor. Pentru a obține rezultate maxime, munca implică comunitatea, ceea ce ne permite să atingem un ritm foarte ridicat de dezvoltare. De exemplu, comparativ cu versiunea anterioară 1.0, volumul codului din 1.1 a crescut cu 70%. Unele IDS moderne cu o istorie lungă, inclusiv Snort, nu folosesc sisteme multiprocesor/multi-core foarte eficient, ceea ce duce la probleme la procesarea unor cantități mari de date. Suricata rulează nativ în modul cu mai multe fire. Testele arată că este de șase ori mai rapid decât Snort (pe un sistem cu 24 CPU și 128 GB RAM). Când construiți cu parametrul „--enable-cuda”, accelerarea hardware pe partea GPU devine posibilă. IPv6 este acceptat inițial (în Snort este activat de cheia „—enable-ipv6”) și este folosit pentru a intercepta traficul interfețe standard: LibPcap, NFQueue, IPFRing, IPFW. În general, aspectul modular vă permite să conectați rapid elementul dorit pentru a captura, decoda, analiza sau procesa pachete. Blocarea se face folosind filtrul standard de pachete ale sistemului de operare (în Linux, pentru a activa modul IPS, trebuie să instalați bibliotecile netlink-queue sau libnfnetlink). Motorul detectează automat protocoalele de analiză (IP, TCP, UDP, ICMP, HTTP, TLS, FTP, SMB, SMTP și SCTP), astfel încât regulile nu trebuie să fie legate de un număr de port (cum face Snort), trebuie doar să setați acțiunea pentru protocolul dorit. Ivan Ristic, autorul cărții Mod_security, a creat o bibliotecă HTP specială folosită în Suricata pentru a analiza traficul HTTP. Dezvoltatorii se străduiesc în primul rând să obțină acuratețea detectării și să mărească viteza de verificare a regulilor.

Rezultatele rezultatelor sunt unificate, astfel încât să puteți utiliza utilitare standard pentru a le analiza. De fapt, toate back-end-urile, interfețele și analizoarele scrise pentru Snort (Barnyard, Snortsnarf, Sguil etc.) funcționează fără modificări cu Suricata. Acesta este, de asemenea, un mare plus. Schimbul prin HTTP este logat în detaliu într-un fișier format standard Apache.

Mecanismul de detectare în Suricata se bazează pe reguli. Aici dezvoltatorii nu au inventat încă nimic, dar au permis conectarea unor seturi de roți create pentru alte proiecte: Sourcefire VRT (poate fi actualizat prin Oinkmaster) și Emerging Threats Pro. În primele versiuni, suportul a fost doar parțial, iar motorul nu a recunoscut și încărcat unele reguli, dar acum această problemă a fost rezolvată. A fost implementat un format de reguli proprietar, care seamănă în exterior cu cel al lui Snort. O regulă constă din trei componente: o acțiune (trecere, renunțare, respingere sau alertă), un antet (IP/port sursă și destinație) și o descriere (ce trebuie căutat). Setările folosesc variabile (mecanism flowint), permițând, de exemplu, crearea de contoare. În acest caz, informațiile din flux pot fi salvate pentru utilizare ulterioară. Această abordare a urmăririi încercărilor de ghicire a parolei este mai eficientă decât abordarea bazată pe prag a lui Snort. Se plănuiește crearea unui mecanism de reputație IP (cum ar fi SensorBase Cisco, vezi articolul „Atinge Cisco” în [_07_2011).

Pentru a rezuma, observ că Suricata este un motor mai rapid decât Snort, complet compatibil cu backend-uri și capabil să verifice fluxuri mari de rețea. Singurul dezavantaj al proiectului este însă documentația redusă administrator experimentat Nu costă nimic să-ți dai seama de setări. Pachetele de instalare au apărut deja în depozitele de distribuție și instrucțiuni clare pentru asamblarea independentă a codului sursă sunt disponibile pe site-ul web al proiectului. Există o distribuție gata făcută Smooth-sec, construită pe Suricata.


Samhain

Lansat sub o licență OpenSource, Samhain este un IDS bazat pe gazdă care protejează un computer individual. Utilizează mai multe metode de analiză pentru a capta complet toate evenimentele care au loc în sistem:

  • crearea semnăturilor fișierelor importante la prima lansare a bazei de date și compararea ulterioară a acesteia cu sistemul „live”;
  • monitorizarea și analiza intrărilor de jurnal;
  • controlul intrării/ieșirii în sistem;
  • monitorizarea conexiunilor la porturile de rețea deschise;
  • controlul fișierelor cu SUID-ul instalat al proceselor ascunse.

Programul poate fi lansat în modul ascuns (folosind un modul kernel) atunci când procesele nucleului nu pot fi detectate în memorie. Samhain acceptă, de asemenea, monitorizarea mai multor noduri care rulează sisteme de operare diferite, înregistrând toate evenimentele în același punct. În acest caz, agenții instalați pe nodurile de la distanță trimit toate informațiile colectate (TCP, AES, semnătură) către un canal criptat către server (yule), care le stochează în baza de date (MySQL, PostgreSQL, Oracle). În plus, serverul este responsabil pentru verificarea stării sistemelor client, distribuirea de actualizări și fișiere de configurare. Au fost implementate mai multe opțiuni pentru notificări și trimiterea informațiilor colectate: e-mail (e-mail-ul este semnat pentru a evita manipularea), syslog, fișier jurnal (semnat), Nagios, consolă etc. Managementul poate fi efectuat folosind mai mulți administratori cu roluri clar definite .

Pachetul este disponibil în aproape toate depozitele distribuții Linux, pe site-ul web al proiectului există o descriere a modului de instalare Samhain pe Windows.

Sistem de prevenire a intruziunilor StoneGate

Această soluție este dezvoltată companie finlandeză, care creează produse clasa corporativăîn sferă securitatea retelei. Implementează toate funcțiile populare: IPS, protecție împotriva atacurilor DDoS și 0day, filtrare web, suport pentru criptare trafic IT. d. Folosind StoneGate IPS puteți bloca viruși, spyware, anumite aplicații(P2P, IM etc.). Pentru filtrarea web se folosește o bază de date actualizată constant de site-uri împărțite în mai multe categorii. O atenție deosebită este acordată protecției ocolirii sistemelor de siguranță AET (Advanced Evasion Techniques). Tehnologia Transparent Access Control vă permite să împărțiți o rețea corporativă în mai multe segmente virtuale fără a modifica topologia reală și să setați politici de securitate individuale pentru fiecare dintre ele. Politicile de inspecție a traficului sunt configurate folosind șabloane care conțin reguli standard. Aceste politici sunt create offline. Administratorul verifică politicile create și le descarcă pe gazdele IPS la distanță. Evenimente similare în StoneGate IPS sunt procesate conform principiului utilizat în sistemele SIM/SIEM, ceea ce facilitează foarte mult analiza. Mai multe dispozitive pot fi ușor combinate într-un cluster și integrate cu alte soluții StoneSoft - StoneGate Firewall/VPN și StoneGate SSL VPN. Managementul este asigurat de o singură consolă de management (StoneGate Management Center), formată din trei componente: Management Server, Log Server și Management Client. Consola vă permite nu numai să configurați funcționarea IPS și să creați noi reguli și politici, ci și să monitorizați și să vizualizați jurnalele. Este scris în Java, deci sunt disponibile versiuni pentru Windows și Linux.


StoneGate IPS este furnizat atât ca pachet hardware, cât și ca imagine VMware. Acesta din urmă este destinat instalării pe echipamentul propriu sau într-o infrastructură virtuală. Apropo, spre deosebire de creatorii multor soluții similare, compania de dezvoltare vă permite să descărcați o versiune de testare a imaginii.

IBM Security Network Intrusion Prevention System

Sistemul IBM de prevenire a atacurilor folosește tehnologia brevetată de analiză a protocolului care oferă protecție proactivă împotriva amenințărilor 0day. La fel ca toate produsele din seria IBM Security, se bazează pe un modul de analiză a protocolului - PAM (Protocol Analysis Module), care combină metoda tradițională de detectare a atacurilor semnăturii (Proventia OpenSignature) și un analizor comportamental. În același timp, PAM distinge 218 protocoale la nivel de aplicație (atacuri prin VoIP, RPC, HTTP-l. d.) și formate de date precum DOC, XLS, PDF, ANI, JPG, pentru a prezice unde poate fi încorporat codul rău intenționat. Peste 3.000 de algoritmi sunt utilizați pentru a analiza traficul, dintre care 200 „prind” DoS. Funcțiile firewall vă permit să permiteți accesul doar la anumite porturi și IP-uri, eliminând necesitatea implicării unui dispozitiv suplimentar. Tehnologia Virtual Patch blochează virușii pe măsură ce se răspândesc și protejează computerele până când este instalată o actualizare care remediază o vulnerabilitate critică. Dacă este necesar, administratorul însuși poate crea și utiliza o semnătură. Modulul de control al aplicației vă permite să gestionați elemente P2P, IM, ActiveX, instrumente VPN etc. și, dacă este necesar, să le blocați. Implementat un modul DLP care monitorizează încercările de transmisie informații confidențialeși mișcarea datelor în cadrul rețelei protejate, ceea ce vă permite să evaluați riscurile și să blocați scurgerile. În mod implicit, sunt recunoscute opt tipuri de date (numerele cărților de credit, numerele de telefon...), administratorul setează independent restul informațiilor specifice organizației folosind expresii regulate. În prezent, majoritatea vulnerabilităților apar în aplicațiile web, motiv pentru care produsul IBM include o specială Modul web Securitatea aplicațiilor, care protejează sistemele de tipuri comune de atacuri: injecție SQL, injecție LDAP, XSS, deturnarea JSON, includeri de fișiere PHP, CSRF etc.


Există mai multe opțiuni de acțiune atunci când este detectat un atac - blocarea gazdei, trimiterea unei alerte, înregistrarea traficului de atac (într-un fișier compatibil cu tcpdump), punerea în carantină a gazdei, efectuarea unei acțiuni configurabile de utilizator și altele. Politicile sunt scrise în fiecare port, adresă IP sau zonă VLAN. Modul de înaltă disponibilitate asigură că în cazul defecțiunii unuia dintre mai multe Dispozitive IPS, rețele disponibile, traficul va trece prin alta, legături stabilite nu va fi întreruptă. Toate subsistemele din interiorul hardware - RAID, sursă de alimentare, ventilator de răcire - sunt duplicate. Configurarea folosind consola web este cât se poate de simplă (cursurile de formare durează doar o zi). Dacă aveți mai multe dispozitive, de obicei achiziționați IBM Security SiteProtector, care oferă management centralizat, analiză de jurnal și raportare.

McAfee Network Security Platform 7

IntruShield IPS, produs de McAfee, a fost odată una dintre soluțiile IPS populare. Acum, McAfee Network Security Platform 7 (NSP) a fost dezvoltat pe baza sa. Pe lângă toate funcțiile NIPS clasice, noul produs are instrumente de analiză a pachetelor transmise intern. rețeaua corporativă, care ajută la detectarea traficului rău intenționat inițiat de computerele infectate. McAfee folosește tehnologia Global Threat Intelligence, care colectează informații de la sute de mii de senzori instalați în întreaga lume și evaluează reputația tuturor fișierelor unice, adreselor IP și URL și protocoalelor care trec. Datorită acestui fapt, NSP poate detecta traficul botnetului, poate identifica amenințările de 0-day și atacurile DDoS, iar acoperirea largă a atacului reduce probabilitatea unor fals pozitive.

Nu orice IDS/IPS poate funcționa în mașini virtuale, deoarece toate schimburile au loc pe interfețe interne. Dar NSP nu are probleme cu acest lucru, poate analiza traficul între VM-uri, precum și între VM-uri și gazda fizică. Pentru a monitoriza nodurile, se folosește un modul agent de la Reflex Systems, care colectează informații despre traficul din VM și le transmite în mediul fizic pentru analiză.

Motorul distinge peste 1100 de aplicații care rulează la al șaptelea strat OSI. Scanează traficul folosind un motor de analiză de conținut și oferă instrumente simple management.

Pe lângă NIPS, McAfee lansează gazdă IPS - Host Intrusion Prevention for Desktop, care oferă protecţie cuprinzătoare PC, folosind metode de detectare a amenințărilor, cum ar fi analiza comportamentului și semnăturilor, monitorizarea stării conexiunilor folosind un firewall și evaluarea reputației pentru a bloca atacurile.

Unde să implementați IDS/IPS?

Pentru a profita la maximum de IDS/IPS, ar trebui să respectați următoarele recomandări:

  • Sistemul trebuie implementat la intrarea într-o rețea sau subrețea protejată și de obicei în spatele unui firewall (nu are rost să controlăm traficul care va fi blocat) - astfel vom reduce sarcina. În unele cazuri, senzorii sunt instalați în interiorul segmentului.
  • Înainte de a activa funcția IPS, ar trebui să rulați sistemul pentru o perioadă de timp într-un mod care nu blochează IDS. În viitor, regulile vor trebui ajustate periodic.
  • Majoritatea setărilor IPS se bazează pe rețele tipice. În anumite cazuri, acestea se pot dovedi a fi ineficiente, așa că este necesar să specificați IP-ul subrețelelor interne și aplicațiile (porturile) utilizate. Acest lucru va ajuta piesa hardware să înțeleagă mai bine cu ce are de-a face.
  • Dacă un sistem IPS este instalat „explodând”, este necesar să se monitorizeze performanța acestuia, altfel defecțiunea dispozitivului poate paraliza cu ușurință întreaga rețea.

Concluzie

Nu vom stabili câștigătorii. Alegerea în fiecare caz specific depinde de buget, topologia rețelei, funcțiile de securitate necesare, dorința administratorului de a modifica setările și, desigur, riscuri. Soluțiile comerciale primesc suport și sunt furnizate cu certificate, ceea ce permite utilizarea acestor soluții în organizațiile implicate în prelucrarea datelor cu caracter personal Distribuit sub o licență OpenSource, Snort este bine documentat, are o bază de date suficient de mare și un istoric bun pentru a fi. la cerere în rândul administratorilor. O imagine Suricata compatibilă poate proteja o rețea cu trafic mare și, cel mai important, este absolut gratuită.

Detectarea intruziunilor este procesul de identificare a accesului neautorizat sau a încercărilor de acces neautorizat la resursele AS.

Un sistem de detectare a intruziunilor (IDS) în cazul general este un complex software și hardware care rezolvă această problemă.

O semnătură este un set de evenimente sau acțiuni caracteristice unui anumit tip de amenințare la securitate.

    Senzorul primește un pachet de rețea.

    Pachetul este trecut la nucleu pentru analiză.

    Potrivirea semnăturii este verificată.

    Dacă nu există potriviri, atunci următorul pachet este primit de la nod.

    Dacă există o potrivire, apare un mesaj de avertizare.

    Modulul de răspuns este apelat.

Erori de primul și al doilea fel:

    Erori de al doilea tip, atunci când infractorul este perceput sistem de securitate, ca subiect de acces autorizat.

Toate sistemele care folosesc semnături pentru a verifica accesul sunt susceptibile la erori de al doilea tip, inclusiv antivirusurile care rulează pe o bază antivirus.

Funcționarea unui sistem IDS este în multe privințe similară cu un firewall. Senzorii primesc trafic de rețea, iar nucleul, comparând traficul primit cu înregistrările bazelor de date de semnături existente, încearcă să identifice urmele încercărilor de acces neautorizat. Modulul de răspuns este o componentă suplimentară care poate fi utilizată pentru a bloca rapid o amenințare, de exemplu, poate fi generată o nouă regulă de firewall.

Există două categorii principale de IDS:

    IDS la nivel de rețea. În astfel de sisteme, senzorul operează pe o gazdă (nod) dedicată acestor scopuri, un segment de rețea protejat. De obicei, funcționează în modul de ascultare pentru a analiza întregul trafic de rețea care trece prin segment.

    ID-uri la nivel de gazdă. Dacă senzorul funcționează la nivel de gazdă, următoarele informații pot fi utilizate pentru analiză:

    1. Înregistrări cu instrumente standard. Înregistrarea sistemului de operare.

      Informații despre resursele utilizate.

      Profiluri ale comportamentului așteptat al utilizatorului.

Fiecare tip de IDS are propriile sale avantaje și dezavantaje.

Un IDS la nivel de rețea nu reduce performanța generală a sistemului, dar un IDS la nivel de gazdă este mai eficient în detectarea atacurilor și vă permite să analizați activitatea asociată cu o gazdă individuală. În practică, este recomandabil să folosiți ambele tipuri.

Înregistrare și auditare

Subsistemul de înregistrare și audit este o componentă obligatorie a oricărui AS. Înregistrarea este un mecanism de responsabilitate a sistemului de securitate a informațiilor care înregistrează toate evenimentele legate de securitatea informațiilor. Audit– analiza înregistrării informațiilor în scopul identificării prompte și prevenirii încălcărilor regimului de securitate a informațiilor.

Scopurile mecanismului de înregistrare și audit:

    Asigurați responsabilitatea utilizatorilor și a administratorului.

    Asigurarea posibilității de reconstituire a succesiunii evenimentelor (de exemplu, în timpul incidentelor).

    Detectarea încercărilor de încălcare a regimului de securitate a informațiilor.

    Identificarea problemelor tehnice care nu au legătură directă cu securitatea informațiilor.

Datele înregistrate sunt introduse într-un jurnal de înregistrare, care este un set ordonat cronologic de înregistrări ale rezultatelor activităților subiecților AS care afectează regimul de securitate a informațiilor. Câmpurile principale ale unui astfel de jurnal sunt următoarele:

    Timestamp-ul.

    Tip de eveniment.

    Inițiatorul evenimentului.

    Rezultatul evenimentului.

Deoarece jurnalele de sistem sunt principalele surse de informații pentru auditarea și detectarea ulterioară a încălcărilor de securitate, trebuie pusă problema protejării acestora împotriva modificărilor neautorizate. Sistemul de înregistrare trebuie să fie proiectat astfel încât mai mult de un utilizator, inclusiv administratorii, să nu poată modifica în mod arbitrar intrările din jurnalul de sistem.

Deoarece fișierele jurnal sunt stocate pe unul sau altul media, mai devreme sau mai târziu poate apărea problema spațiului insuficient pe acest suport, iar răspunsul sistemului poate fi diferit, de exemplu:

    Continuați funcționarea sistemului fără înregistrare.

    Blocați sistemul până când problema este rezolvată.

    Ștergeți automat cele mai vechi intrări din jurnalul de sistem.

Prima variantă este cea mai puțin acceptabilă din punct de vedere al securității.

Termenul englez corespunzător este Sistem de detectare a intruziunilor (IDS). Sistemele de detectare a intruziunilor oferă un strat suplimentar de protecție pentru sistemele informatice.

Sistemele de detectare a intruziunilor sunt folosite pentru a detecta anumite tipuri de activitate rău intenționată, care poate compromite securitatea unui sistem informatic. O astfel de activitate include atacuri de rețea împotriva serviciilor vulnerabile, atacuri care vizează escaladarea privilegiilor, accesul neautorizat la fișiere importante, precum și acțiunile software-ului rău intenționat (viruși de computer, troieni și viermi)

De obicei, o arhitectură IDS include:

Există mai multe moduri de clasificare a IDS în funcție de tipul și locația senzorilor, precum și de metodele utilizate de subsistemul de analiză pentru a identifica Activitate suspicioasa. În multe IDS-uri simple, toate componentele sunt implementate ca un singur modul sau dispozitiv.

Tipuri de sisteme de detectare a intruziunilor[ | ]

IDES a adoptat două abordări în ceea ce privește detectarea intruziunilor: a folosit un sistem expert pentru a identifica tipurile cunoscute de intruziuni și o componentă de detectare bazată pe metode și profiluri statistice ale utilizatorilor și sistemelor din rețeaua protejată. Teresa Lunt a propus utilizarea unei rețele neuronale artificiale ca a treia componentă pentru a îmbunătăți eficiența detectării. După IDES, NIDES (Next-generation Intrusion Detection Expert System) a fost lansat în 1993.

MIDAS (Multics Intrusion Detection and Alerting System), un sistem expert care folosește P-BEST și LISP, a fost dezvoltat în 1988 pe baza lucrărilor lui Denning și Neumann. În același an a fost dezvoltat sistemul Haystack, bazat pe metode statistice.

W&S (Wisdom & Sense - wisdom and feeling), un detector de anomalii bazat pe metode statistice, a fost dezvoltat în 1989. W&S a creat reguli bazate pe analize statistice și apoi a folosit acele reguli pentru a detecta anomalii.

În 1990, TIM (Mașină inductivă bazată pe timp) a implementat detectarea anomaliilor folosind învățarea inductivă bazată pe modele secvențiale ale utilizatorului în limbajul Common LISP. Programul a fost dezvoltat pentru VAX 3500. Cam în aceeași perioadă, a fost dezvoltat NSM (Network Security Monitor), care compară matrice de acces pentru a detecta anomalii pe stațiile de lucru Sun-3/50. Tot în 1990 a fost dezvoltat ISOA (Asistentul Ofițerului de Securitate Informațională), care conține multe strategii de detectare, inclusiv statistici, verificare a profilului și un sistem expert. ComputerWatch, dezvoltat la AT&T Bell Labs, a folosit metode și reguli statistice pentru a valida datele și a detecta intruziunile.

În 2001, a fost dezvoltat sistemul ADAM IDS (Analiză de date de audit și IDS pentru minerit). Sistemul a folosit datele tcpdump pentru a crea reguli.

Vezi si [ | ]

Note [ | ]

  1. Anderson, James P., „Computer Security Threat Monitoring and Surveillance”, Washing, PA, James P. Anderson Co., 1980.
  2. Denning, Dorothy E., „An Intrusion Detection Model”, Proceedings of the Seventh IEEE Symposium on Security and Privacy, mai 1986, paginile 119-131
  3. Lunt, Teresa F., „IDES: Un sistem inteligent pentru detectarea intrușilor,” Proceedings of the Symposium on Computer Security; Amenințări și contramăsuri; Roma, Italia, 22-23 noiembrie 1990, pag. 110-121.
  4. Lunt, Teresa F., „Detectarea intrușilor în sistemele informatice”, Conferința 1993 privind auditul și tehnologia computerelor, SRI International

Detectarea intruziunilor este o altă sarcină îndeplinită de personalul de securitate a informațiilor dintr-o organizație pentru a proteja împotriva atacurilor. Detectarea intruziunilor este un proces activ care detectează un hacker în timp ce încearcă să pătrundă într-un sistem. În mod ideal, un astfel de sistem va emite o alarmă numai atunci când se încearcă să pătrundă. Detectarea intruziunilor ajută la identificarea amenințărilor active prin alerte și avertismente că un atacator adună informații necesare pentru a efectua un atac. În realitate, acest lucru nu este întotdeauna cazul.

Sistemele de detectare a intruziunilor (IDS) există de mult timp. Primul dintre aceștia poate fi considerat câini de pază și de pază de noapte. Câinii santinelă și de pază au îndeplinit două sarcini: au identificat acțiuni suspecte inițiate de cineva și au împiedicat pătrunderea în continuare a intrusului. De regulă, tâlharii evitau întâlnirile cu câinii și, în cele mai multe cazuri, încercau să evite clădirile păzite de câini. Același lucru se poate spune despre ceasul de noapte. Tâlharii nu au vrut să fie observați de polițiști înarmați sau de agenții de securitate care ar putea chema poliția.

Alarmele din clădiri și mașini sunt, de asemenea, un tip de sistem de detectare a intruziunilor. Dacă sistemul de avertizare detectează un eveniment care trebuie observat (de exemplu, o fereastră spartă sau o ușă deschisă), se emite o alarmă cu lămpile aprinse, aprinse. semnale sonore, sau semnalul de alarma este transmis la centrala postului de politie. Funcția de descurajare a efracției se realizează prin intermediul unui autocolant de avertizare pe geam sau a unui semn amplasat în fața casei. În mașini, de regulă, când alarma este pornită, o lumină roșie este aprinsă, avertizând despre starea activă a sistemului de alarmă.

Toate aceste exemple se bazează pe același principiu: detectarea oricăror încercări de pătrundere în perimetrul protejat al unui obiect (birou, clădire, mașină etc.). În cazul unui autoturism sau al unei clădiri, perimetrul de protecție este relativ ușor de determinat. Pereții unei clădiri, gardurile din jurul proprietății private și ușile și ferestrele mașinilor definesc clar perimetrul protejat. O altă caracteristică comună tuturor acestor cazuri este un criteriu clar a ceea ce constituie exact o tentativă de intruziune și ce constituie exact perimetrul protejat.

Dacă transferați conceptul de sistem de alarmă în lumea computerelor, obțineți conceptul de bază al unui sistem de detectare a intruziunilor. Este necesar să se determine care este de fapt perimetrul de securitate al unui sistem informatic sau al unei rețele. Evident, perimetrul de protecție în acest caz nu este un zid sau un gard.



Perimetrul de securitate al rețelei este un perimetru virtual în care sunt situate sistemele informatice. Acest perimetru poate fi determinat firewall-uri, puncte de separare a conexiunii sau computere desktop cu modemuri. Acest perimetru poate fi extins pentru a conține computerele de acasă ale angajaților cărora li se permite să se conecteze între ei sau parteneri de afaceri cărora li se permite să se conecteze la rețea. Odată cu apariția rețelelor wireless în interacțiunile de afaceri, perimetrul de securitate al organizației se extinde la dimensiunea rețelei wireless.

O alarmă de intruziune este concepută pentru a detecta orice încercare de a intra într-o zonă protejată atunci când zona nu este utilizată.

Sistemul de detectare a intruziunilor IDS este conceput pentru a face distincția între intrarea autorizată și intrarea neautorizată, ceea ce este mult mai dificil de implementat. Iata un exemplu de magazin de bijuterii cu alarma antiefractie. Dacă cineva, chiar și proprietarul magazinului, deschide ușa, alarma se va declanșa. Proprietarul trebuie să anunțe apoi firma de alarmă că el este cel care a deschis magazinul și că totul este în regulă. Un sistem IDS, pe de altă parte, poate fi comparat cu un agent de securitate care monitorizează tot ce se întâmplă în magazin și detectează acțiuni neautorizate (cum ar fi transportul
non-arme de foc). Din păcate, în lume virtuala„armele de foc” trec adesea neobservate.

A doua problemă de luat în considerare este determinarea evenimentelor care constituie o încălcare a perimetrului de securitate. Este ilegal să încerci să identifici computerele care rulează? Ce ar trebui să faceți dacă există un atac cunoscut asupra unui sistem sau rețea? Pe măsură ce aceste întrebări sunt adresate, devine clar că răspunsurile nu sunt ușor de găsit. Mai mult, ele depind de alte evenimente și de starea sistemului țintă.

Există două tipuri principale de IDS: bazat pe hub (HIDS) și bazat pe rețea (NIDS).

Sistemul HIDS este situat pe un nod separat și monitorizează semnele atacurilor asupra acestui nod. Sistemul NIDS este situat la sistem separat, care monitorizează traficul de rețea pentru semne de atacuri efectuate în segmentul de rețea controlat.

IDS bazat pe noduri (H1DS) sunt un sistem de senzori încărcat pe diverse servere dintr-o organizație și gestionat de un dispecer central. Senzorii monitorizează diverse tipuri de evenimente și întreprind acțiuni specifice pe server sau transmit notificări. Senzorii HIDS monitorizează evenimentele legate de serverul pe care sunt încărcați. Senzorul HIDS vă permite să determinați
împărțiți dacă atacul a avut succes dacă atacul a avut loc pe aceeași platformă pe care este instalat senzorul.

Este probabil să existe fricțiuni de gestionare și configurare între administratorii de securitate (care administrează IDS) și administratorii de sistem. Deoarece procesul trebuie să fie constant activ, este necesară o bună coordonare în activitatea lor.

Există cinci tipuri principale de senzori HIDS: analizoare de jurnal; senzori de caracteristici; analizoare de apeluri de sistem; analizoare de comportament al aplicațiilor; verificatoare de integritate a fișierelor.

De menționat că numărul senzorilor HIDS este în creștere și oferă unele produse funcţionalitate, care implică utilizarea de senzori de mai mult de cinci tipuri principale.

Analizoare de jurnal. Analizorul de jurnal este exact ceea ce sugerează numele senzorului. Procesul rulează pe server și monitorizează fișierele jurnal corespunzătoare din sistem. Dacă în procesul senzorului HIDS este întâlnită o intrare de jurnal care corespunde unui anumit criteriu, se ia acțiunea specificată.

Majoritatea analizoarelor de jurnal sunt configurate pentru a monitoriza intrările de jurnal care pot indica un eveniment de securitate a sistemului. Administratorul de sistem poate identifica de obicei alte intrări de jurnal care prezintă un interes deosebit.

Analizatoarele de jurnal, în special, sunt potrivite pentru urmărirea activității utilizatorilor autorizați pe sistemele interne. Astfel, dacă o organizație acordă atenție activităților de monitorizare administratorii de sistem sau alți utilizatori ai sistemului, puteți utiliza un analizor de jurnal pentru a monitoriza activitatea și pentru a muta o înregistrare a acelei activități într-o zonă care este inaccesibilă administratorului sau utilizatorului.

Caracteristici senzori. Aceste tipuri de senzori sunt colecții de semnături specifice ale evenimentelor de securitate care sunt corelate cu traficul de intrare sau intrările de jurnal. Diferența dintre senzorii de caracteristici și analizoarele de jurnal este capacitatea de a analiza traficul de intrare.

Analizoare de apeluri de sistem. Analizatorii de apeluri de sistem analizează apelurile dintre aplicații și sistemul de operare pentru a identifica evenimentele legate de securitate. Acest tip de senzor HIDS plasează o conexiune software între sistemul de operare și aplicații. Când o aplicație trebuie să efectueze o acțiune, sistemul de operare o apelează și o compară cu o bază de date de atribute. Aceste semne sunt exemple tipuri variate comportament care constituie un atac sau este de interes pentru administratorul IDS.

Analizoare de comportament al aplicației. Analizatoarele de comportament ale aplicațiilor sunt similare cu analizoarele de apeluri de sistem prin faptul că sunt utilizate ca o conexiune software între aplicații și sistemul de operare. În analizatoarele de comportament, senzorul verifică apelul pentru a vedea dacă aplicației i se permite să efectueze o anumită acțiune, în loc să determine dacă apelul se potrivește cu caracteristicile unui atac.

Controlere de integritate a fișierelor. Verificatorii de integritate a fișierelor monitorizează modificările aduse fișierelor. Acest lucru se realizează prin utilizarea criptografică suma de control sau semnătura digitală a fișierului. Final semnatura digitala fișierul va fi modificat dacă chiar și o mică parte din fișierul original se modifică (aceasta ar putea fi atribute ale fișierului, cum ar fi ora și data creării). Algoritmii utilizați pentru a efectua acest proces au fost proiectați pentru a minimiza posibilitatea de a face modificări la fișier, păstrând în același timp semnătura originală.

Când senzorul este configurat inițial, fiecare fișier care trebuie monitorizat este procesat de un algoritm pentru a crea o semnătură inițială. Numărul rezultat este stocat într-un loc sigur. Periodic, pentru fiecare dosar, această semnătură este recalculată și comparată cu originalul. Dacă semnăturile se potrivesc, înseamnă că fișierul nu a fost modificat. Dacă nu există nicio potrivire, atunci s-au făcut modificări fișierului.


ID-uri de rețea. NIDS este proces software, rulând pe un sistem dedicat. NIDS comută placa de rețea a sistemului în modul promiscuu, în care adaptorul de rețea transmite tot traficul de rețea (nu doar traficul destinat sistemului) către software-ul NIDS. Traficul este apoi analizat folosind un set de reguli și atribute de atac pentru a determina dacă traficul prezintă vreun interes. Dacă da, atunci evenimentul corespunzător este generat.

În prezent, majoritatea sistemelor NIDS se bazează pe semnături de atac. Aceasta înseamnă că sistemele au un set încorporat de indicatori de atac cu care se potrivește traficul din canalul de comunicație. Dacă are loc un atac pentru care nu există nicio indicație în sistemul de detectare a intruziunilor, sistemul NIDS nu va

observă acest atac. Sistemele NIDS vă permit să specificați traficul de interes după adresa sursă, adresa de destinație, portul sursă sau portul de destinație. Acest lucru face posibilă monitorizarea traficului care nu corespunde semnelor de atacuri.

Cel mai adesea, atunci când utilizați NIDS, sunt utilizate două plăci de rețea (Fig. 33). Un card este folosit pentru monitorizarea rețelei. Acest card funcționează în modul „stealth”, deci nu are adresă IP și, prin urmare, nu răspunde la conexiunile de intrare.

Cardul ascuns nu are o stivă de protocoale, așa că nu poate răspunde la pachetele de informații precum solicitările ping. A doua placă de rețea este utilizată pentru a se conecta la sistemul de management IDS și a trimite alarme. Acest card este atașat la o rețea internă care este invizibilă pentru rețeaua monitorizată.

Detectările intruziunilor sunt instrumente software sau hardware pentru detectarea atacurilor și a activităților rău intenționate. Ele ajută rețelele și sistemele informatice să lupte corect. Pentru a atinge acest obiectiv, IDS colectează informații din numeroase surse de sistem sau de rețea. IDS îl analizează apoi pentru atacuri. Acest articol va încerca să răspundă la întrebarea: „IDS – ce este și pentru ce este?”

Pentru ce sunt sistemele de detectare a intruziunilor (IDS)?

Sistemele și rețelele informaționale sunt supuse în mod constant atacurilor cibernetice. Firewall-urile și antivirusurile nu sunt în mod clar suficiente pentru a respinge toate aceste atacuri, deoarece sunt capabile să protejeze doar „ușa din față” a sistemelor și rețelelor de computere. Diverși adolescenți care își imaginează că sunt hackeri scrutează în mod constant internetul în căutarea unor fisuri în sistemele de securitate.

Datorită World Wide Web, au la dispoziție o mulțime de software rău intenționat complet gratuit - tot felul de slammers, blinders și programe similare dăunătoare. Companiile concurente folosesc serviciile hackerilor profesioniști pentru a se neutraliza reciproc. Deci sistemele care detectează intruziunile (sisteme de detectare a intruziunilor) sunt o nevoie urgentă. Nu este surprinzător faptul că acestea devin din ce în ce mai utilizate pe scară largă în fiecare zi.

elemente IDS

Elementele IDS includ:

  • subsistem detector, al cărui scop este acumularea de evenimente de rețea sau de sistem informatic;
  • un subsistem de analiză care detectează atacurile cibernetice și activitățile discutabile;
  • stocare pentru stocarea informațiilor despre evenimente, precum și a rezultatelor analizei atacurilor cibernetice și acțiunilor neautorizate;
  • o consolă de management cu ajutorul căreia puteți seta parametri IDS, puteți monitoriza starea rețelei (sau a sistemului informatic) și aveți acces la informații despre atacuri și acțiuni ilegale detectate de subsistemul de analiză.

Apropo, mulți s-ar putea întreba: „Cum este tradus IDS?” Traducerea din engleză sună ca „un sistem care prinde în flagrant oaspeții neinvitați”.

Principalele sarcini pe care le rezolvă sistemele de detectare a intruziunilor

Un sistem de detectare a intruziunilor are două sarcini principale: analiza și un răspuns adecvat bazat pe rezultatele acestei analize. Pentru a efectua aceste sarcini, sistemul IDS efectuează următoarele acțiuni:

  • monitorizează și analizează activitatea utilizatorului;
  • auditează configurația sistemului și punctele slabe ale acestuia;
  • verifică integritatea fișierelor de sistem critice, precum și a fișierelor de date;
  • efectuează o analiză statistică a stărilor sistemului pe baza comparării cu acele stări care au apărut în timpul atacurilor deja cunoscute;
  • efectuează audit sistem de operare.

Ce poate oferi un sistem de detectare a intruziunilor și ce nu

Cu ajutorul lui, puteți obține următoarele:

  • îmbunătățirea parametrilor de integritate;
  • urmăriți activitatea utilizatorului din momentul în care acesta se conectează la sistem și până în momentul în care îi provoacă daune sau efectuează orice acțiuni neautorizate;
  • recunoaște și notifică modificările sau ștergerea datelor;
  • automatizați sarcinile de monitorizare a Internetului pentru a găsi cele mai recente atacuri;
  • identificarea erorilor în configurația sistemului;
  • detectează începutul unui atac și anunță despre acesta.

Sistemul IDS nu poate face acest lucru:

  • completați deficiențele în protocoalele de rețea;
  • joacă un rol compensator în cazul unor mecanisme slabe de identificare și autentificare în rețelele sau sistemele informatice pe care le monitorizează;
  • De asemenea, trebuie remarcat faptul că IDS nu face întotdeauna față problemelor asociate cu atacurile la nivel de pachete.

IPS (sistem de prevenire a intruziunilor) - continuarea IDS

IPS înseamnă Sistem de prevenire a intruziunilor. Acestea sunt soiuri avansate, mai funcționale de IDS. IPS sisteme IDS reactiv (spre deosebire de normal). Aceasta înseamnă că nu numai că pot detecta, înregistra și raporta un atac, ci pot îndeplini și funcții de protecție. Aceste caracteristici includ resetarea conexiunilor și blocarea pachetelor de trafic de intrare. O altă caracteristică distinctivă a IPS este că acestea operează online și pot bloca automat atacurile.

Subtipuri de IDS după metoda de monitorizare

NIDS (adică IDS care monitorizează întreaga rețea) analizează traficul întregii subrețele și sunt gestionate centralizat. Cu plasarea corectă a mai multor NIDS, se poate realiza monitorizarea unei rețele destul de mari.

Aceștia funcționează în modul promiscuu (adică verifică toate pachetele primite în loc să o facă selectiv), comparând traficul de subrețea cu atacurile cunoscute din biblioteca lor. Când este identificat un atac sau este detectată o activitate neautorizată, administratorului este trimisă o alertă. Cu toate acestea, trebuie menționat că în retea mare Cu trafic ridicat, NIDS uneori nu reușește să verifice toate pachetele de informații. Prin urmare, există posibilitatea ca în timpul orelor de vârf să nu poată recunoaște atacul.

NIDS (network-based IDS) sunt acele sisteme care sunt ușor de integrat în noile topologii de rețea, deoarece nu au un impact prea mare asupra funcționării lor, fiind pasive. Ele doar captează, înregistrează și alertează, spre deosebire de tipul reactiv de sisteme IPS discutate mai sus. Cu toate acestea, trebuie spus și despre ID-urile bazate pe rețea că acestea sunt sisteme care nu pot analiza informațiile care au fost criptate. Acesta este un dezavantaj semnificativ deoarece, din cauza adoptării tot mai mari a rețelelor private virtuale (VPN), informațiile criptate sunt din ce în ce mai folosite de infractorii cibernetici pentru atacuri.

De asemenea, NIDS nu poate determina ce s-a întâmplat în urma atacului, dacă a provocat sau nu un rău. Tot ce pot face este să-i înregistreze începutul. Prin urmare, administratorul este obligat să verifice independent fiecare caz de atac pentru a se asigura că atacatorii și-au atins obiectivul. O altă problemă semnificativă este că NIDS are dificultăți în detectarea atacurilor folosind pachete fragmentate. Sunt deosebit de periculoase deoarece pot interfera cu funcționarea normală a NIDS. Ce ar putea însemna acest lucru pentru o întreagă rețea sau sistem informatic nu trebuie explicat.

HIDS (sistem de detectare a intruziunilor gazdă)

Serviciu numai HIDS (IDS monitoring the host). calculator specific. Acest lucru oferă în mod natural o eficiență mult mai mare. HIDS analizează două tipuri de informații: jurnalele de sistem și rezultatele auditului sistemului de operare. Ei fac un instantaneu al fișierelor de sistem și îl compară cu un instantaneu anterior. Dacă fișierele critice pentru sistem au fost modificate sau șterse, atunci o alarmă este trimisă administratorului.

Un avantaj semnificativ al HIDS este capacitatea de a-și îndeplini activitatea în situații în care traficul de rețea poate fi criptat. Acest lucru este posibil datorită faptului că sursele de informații bazate pe gazdă pot fi create înainte ca datele să poată fi criptate sau după ce sunt decriptate pe gazda de destinație.

Dezavantajele acestui sistem includ posibilitatea de a-l bloca sau chiar de a-l interzice folosind anumite tipuri de atacuri DoS. Problema aici este că senzorii și unele dintre analizele HIDS sunt pe gazda care este atacată, adică sunt și ei atacați. Faptul că HIDS utilizează resursele gazdelor a căror activitate le monitorizează este, de asemenea, greu de numit un plus, deoarece acest lucru le reduce în mod natural performanța.

Subtipuri IDS bazate pe metode de detectare a atacurilor

Metoda anomaliilor, metoda analizei semnăturii și metoda politicii - acestea sunt subtipurile de metode de detectare a atacurilor pe care le are sistemul IDS.

Metoda de analiză a semnăturii

În acest caz, pachetele de date sunt verificate pentru semnături de atac. O semnătură de atac este un eveniment care se potrivește cu unul dintre modelele descrise atac cunoscut. Această metodă este destul de eficientă deoarece reduce numărul de rapoarte de atacuri false.

Metoda anomaliilor

Ajută la detectarea activităților ilegale în rețea și pe gazde. Pe baza istoricului funcționării normale a gazdei și a rețelei, sunt create profiluri speciale cu date despre aceasta. Apoi intră în joc detectoare speciale și analizează evenimentele. Folosind diverși algoritmi, ei analizează aceste evenimente, comparându-le cu „norma” din profiluri. Absența necesității de a acumula un număr mare de semnături de atac este un avantaj clar al acestei metode. Cu toate acestea, un număr considerabil de semnale false despre atacuri în timpul evenimentelor atipice, dar complet legale din rețea este dezavantajul său fără îndoială.

Metoda politicii

O altă metodă de detectare a atacurilor este metoda politicii. Esența sa este de a crea reguli de securitate a rețelei, care, de exemplu, pot indica principiul interacțiunii dintre rețele și protocoalele utilizate. Această metodă este promițătoare, dar dificultatea constă în procesul destul de complicat de creare a unei baze de politici.

ID Systems va oferi o protecție fiabilă pentru rețelele și sistemele dvs. informatice

Grupul de companii ID Systems este astăzi unul dintre liderii de piață în domeniul creării de sisteme de securitate pentru retele de calculatoare. Ea vă va asigura protecţie fiabilă de la răufăcătorii cibernetici. Cu sistemele de protecție ID Systems, nu va trebui să vă faceți griji pentru datele dvs. importante. Datorită acestui lucru, te vei putea bucura mai mult de viață pentru că vei avea mai puține griji în minte.

Sisteme de identificare - recenzii ale angajaților

O echipă minunată, iar principalul lucru, desigur, este atitudinea corectă a conducerii companiei față de angajații săi. Toată lumea (chiar și începătorii) are ocazia de a crește profesional. Adevărat, pentru aceasta, în mod firesc, trebuie să vă dovediți, iar apoi totul va funcționa.

O echipă atmosfera sanatoasa. Începătorilor li se va învăța întotdeauna totul și li se va arăta totul. Nu există niciun sentiment de concurență nesănătoasă. Angajații care lucrează în companie de mulți ani sunt bucuroși să împărtășească toate detaliile tehnice. Ei răspund la cele mai stupide întrebări ale muncitorilor fără experiență cu amabilitate, chiar și fără nicio urmă de condescendență. În general, lucrul la ID Systems nu aduce decât emoții plăcute.

Atitudinea conducerii este plăcut plăcută. De asemenea, este îmbucurător faptul că, evident, știu să lucreze cu personalul de aici, deoarece echipa pe care au ales-o este cu adevărat profesionistă. Părerea angajaților este aproape clară: se simt ca acasă la serviciu.



Vă recomandăm alte articole
Cum funcționează mineritul criptomonedei Procesul de extragere a criptomonedei
Cum funcționează mineritul criptomonedei Procesul de extragere a criptomonedei
Rezumatul unei lecții la grădiniță „Programatorul este un vrăjitor grozav”
Rezumatul unei lecții la grădiniță „Programatorul este un vrăjitor grozav”
Cum să treci verificarea când te conectezi la contul tău pe Aliexpress?
Cum să treci verificarea când te conectezi la contul tău pe Aliexpress?