Обнаружение происшествия может быть реализовано несколькими способами, и выбор метода должен основываться на типе защищаемой сети, используемой системе для защиты периметра, и уровня защиты, требуемого политикой безопасности организации. Существует ряд методов для обнаружения вторжения злоумышленника.

Независимо от того, какой метод используется, организация должна иметь специальную группу для расследования происшествий. Этот могут быть ответственные за прием звонков от пользователей о подозрениях на происшествие, или это может быть специальная группа, использующая предупредительные меры и средства для предотвращения происшествий. "NIST Computer Security Handbook" содержит более подробную информацию о создании этой группы, а в центрах CERT и CIAC можно найти много полезной информации для этой группы и получить оперативную консультацию.

Одним из методов является пассивное ожидание заявлений от пользователей о подозрительных событиях. Обычно в заявлениях может сообщаться, что какие-то файлы изменились или были удалены, или что диски на серверах заполнены до отказа по непонятным причинам. Достоинством этого метода является то, что его легко реализовать. Но у него имеется ряд серьезных недостатков. Ясно, что такой метод не обеспечит дополнительной защиты информационных систем или гарантий выполнения политики безопасности. Умные атакующие вообще не будут делать ничего такого, что приведет к появлению подозрительных симптомов. Со временем станет ясно, что сеть была атакована, но будет слишком поздно, чтобы предотвратить ущерб организации. В худшем случае первым признаком того, что что-то не в порядке, может оказаться появление в организации сотрудников правоохранительных органов или репортеров.

Другим методом является периодический анализ журналов, поиск в них сообщений о необычных событиях. Такими событиями могут быть большое число неудачных попыток аутентификации, большое число попыток нарушить полномочия по доступу к файлам, необычные пакеты в сетевом трафике, и т.д. Этот метод обеспечивает некоторую дополнительную защиту по сравнению с пассивным ожиданием заявлений от пользователей. При довольно частом аудите он может дать достаточно информации, чтобы ограничить последствия атаки. Как правило, современные компьютеры и сети предоставляют требуемые возможности по аудированию в качестве опций конфигурации систем. Часто эти возможности по умолчанию отключены и должны быть явно включены. Этот метод требует принятия постоянных организационных мер. Его эффективность зависит от согласованного и частого просмотра администраторами системных журналов. Если протоколирование встроено в операционную систему или приложение, и эта операционная система или приложение недостаточно защищены от атак, этот метод может быть обойден умными атакующими, которые скрывают свои следы с помощью отключения режима протоколирования в ходе их проникновения, или путем очистки системных журналов.

Можно легко создать средства мониторинга на основе стандартных утилит операционной системы, используя вместе различные программы. Например, может быть создан список контрольных проверок правильности установок полномочий по доступу к файлам. Этот список может потом периодически сопоставляться с текущими установками полномочий по доступу. Различия могут свидетельствовать о неавторизованных модификациях, произведенных в системе.

Важно не делать наблюдение по графику. Системные администраторы могут периодически выполнять многие из команд, используемых для наблюдения, в течение дня. Если они, кроме того, выполняют ряд команд в случайные моменты времени, злоумышленнику становится труднее предсказать ваши действия. Например, если злоумышленник знает, что в 5 часов утра система проверяется на то, что все пользователи отключились, он просто подождет некоторое время, и после завершения этой проверки подключится к системе. Но если системный администратор осуществляет наблюдение в случайные моменты времени дня, злоумышленник не сможет угадать, когда это будет и будет подвергаться большему риску быть обнаруженным.

Средства проверки целостности для Unix, такие как Tripwire, вычисляют эталонные контрольные суммы для файлов или файловых систем, а при последующих проверках вычисляют заново и сравнивают с эталонными для обнаружения модификаций. Эти средства требуют опытного администратора для установки. Требуются определенные затраты времени системного администратора, чтобы гарантировать правильность проверок целостности. Так как механизмы безопасности не являются частью операционной системы или приложения, становится гораздо менее вероятным, что атакующий сможет скрыть свои следы. К сожалению, эти средства могут быть полезны только для выявления атак, связанных с модификацией системных модулей и не могут выявить другие атаки, например, те, в ходе которых информация крадется с помощью копирования файлов.

Сигналы тревоги и предупреждения от систем управления доступом периметра безопасности могут являться признаком начала атаки. Некоторые системы управления доступом, такие как брандмауэры и системы управления доступа удаленных пользователей, могут быть сконфигурированы так, что будут подавать сигналы тревоги при нарушении определенных правил доступа, превышения числа ошибок и т.д. Эти сигналы тревоги могут быть звуковыми, визуальными, сообщениями электронной почты, сообщениями пейджера, или сообщениями системам управления сетью, например SNMP-пакетами. После установки эти средства обнаружения достаточно просто администрировать, так как система может быть сконфигурирована так, что будет посылать сигналы тревоги сетевому администратору, который уже наблюдает за другими параметрами состояния сети, то есть специально выделенный сотрудник не требуется. Тем не менее, будут обнаруживаться только те происшествия, в ходе которых злоумышленник пересекает периметр безопасности. Вторжения из внешних сетей через скрытые или неизвестные каналы не будут обнаружены, так же, как и неавторизованный доступ к критическим серверам сотрудниками организации. Другим фактором, который надо учитывать, является то, что если атакующий смог проникнуть через системы периметр безопасности, то нет гарантий, что он не отключил подачу сигнала тревоги на этих системах.

Существуют автоматизированные средства, которые выполняют анализ трафика в реальном масштабе времени, и используют экспертные системы для обнаружения необычной активности, которая может оказаться признаком атаки. Эти средства могут размещаться на отдельном хосте и устанавливаться на каждой критической системе, или выполнять функции по контролю сегментов сетей и устанавливаться в центральных местах для наблюдения за трафиком. После установки этих средств могут быть обнаружен как внешние, так и внутренние атаки. Так как они не зависят от операционной системы, установленной на сервере или хосте и систем управления доступом периметра безопасности, то атакующим, даже если они и проникли на эти системы, гораздо труднее обойти их. Успешность применения этих систем зависит от точности предсказания последовательностей событий, являющихся признаками проникновения, и это не всегда возможно. Если программа настроена на слишком специфическую последовательность событий, то поведение реального атакующего может не соответствовать ему. Если же указаны слишком общие последовательности событий, от система будет выдавать слишком много ложных сигналов тревоги. Этот подход требует использования сложных эвристик, которые могут чрезмерно усложнить использование этого средства.

Существуют также средства, которые анализируют статистические аномалии и делают на их основе выводы о наличии атаки. Это делается путем создания статистического профиля различных субъектов сетевой активности, таких как отдельные пользователи, группы пользователей, приложения, сервера и т.д., и последующего наблюдения за поведением таких субъектов. Если наблюдаемое поведение выходит за рамки статистического профиля, то это - признак возможной атаки. Этот подход также требует использования сложных эвристик, которые сильно затрудняют использование этого средства.

Использование электронных подписей для программ может помочь установить авторство модулей программ. При периодическом анализе подлинности модулей в защищаемых системах можно выявить подмену программ злоумышленником. Этот экстравагантный подход теоретически позволяет защититься от атак, которые не обнаруживаются средствами периметра безопасности сети, от таких атак, которые используют скрытые каналы, или от атак внутренних пользователей, которые достаточно умны, чтобы обойти средства защиты хоста. Возможные достоинства этого подхода должны быть сопоставлены с низкой вероятностью атак такого рода и сложностью защиты, а также его возможностями обнаружить только модификации программ, такие как замена программ троянскими конями.

Ответные действия

Политика компьютерной безопасности должна определить, какой подход должен использоваться сотрудниками организации в ходе ответных мер при подозрении на атаку. Порядок действий в таких ситуациях должен быть определен заранее и размножен в письменном виде. Должен быть учтен ряд типовых проблем, возникающих при происшествии, чтобы их решение было логичным с точки зрения интересов организации, а не подсказанным паникой, которая может возникнуть при обнародовании факта атаки. Ниже приводятся вопросы, на которые надо обязательно заранее дать ответ:

· Кто будет отвечать за принятие решений об ответных действиях?

· Следует ли привлекать сотрудников правоохранительных органов?

· Будет ли ваша организация сотрудничать с другими при попытках установить личность злоумышленника?

· Будет ли атака отражена сразу после ее обнаружения, или вы позволите потенциальному злоумышленнику продолжить свои действия? Если вы позволите ему продолжать, то могут быть получены дополнительные улики, позволяющие выявить способ атаки, что позволит предотвратить ее в будущем, а также возможно выследить злоумышленника и довести дело до суда.

Ответы на эти вопросы должны быть частью порядка улаживания происшествия. Если такой порядок не определен, то его надо разработать. Системы обнаружения атаки и порядок улаживания происшествия, кратко описанные здесь, являются только частью программы компьютерной безопасности в организации. Хотя отдельные компоненты имеют самостоятельную ценность (управление доступом, обнаружение атаки, и т.д.), чтобы результат был максимальным, все компоненты должны быть согласованы друг с другом на основании политики безопасности, разработанной для конкретной сети. Например, если сигналы тревоги от сервера поступают группе технической поддержки клиент-серверных приложений, а сигналы тревоги брандмауэра - группе сетевых администраторов, атака может быть недооценена или вообще проигнорирована.

Политика обнаружения атаки - низкий риск

Программно-аппаратные средства:

Функции протоколирования в операционных системах и приложениях должны быть включены на всех хостах и серверах.

Функции подачи сигналов тревоги, а также протоколирование, должны быть включены на всех брандмауэрах и других средствах управления доступом периметра безопасности.

Организационные меры:

Должны выполняться периодические проверки целостности брандмауэров и других систем управления доступом периметра безопасности.

Должен производиться ежедневный анализ системных журналов систем управления доступом периметра безопасности.

Должен производиться еженедельный анализ системных журналов хостов и серверов во внутренней, защищенной сети.

Пользователи должны быть обучены сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.

Все сообщения о проблемах при работе пользователей, полученные системными администраторами, должны анализироваться на предмет, не является ли эта проблема признаком атаки. О всех подозрительных событиях они должны сообщать сетевым администраторам и сотрудникам отдела информационной безопасности.

Политика обнаружения атаки -средний риск

Программно-аппаратные средства:

На всех хостах и серверах должны быть включены функции протоколирования.

Функции подачи сигналов тревоги, а также протоколирование, должны быть включены на всех брандмауэрах и других средствах управления доступом периметра безопасности.

Все критические сервера должны иметь дополнительные средства наблюдения за работой пользователей

На всех важных серверах должны быть установлены дополнительные средства наблюдения, такие как tripwire, и соответствующие средства управления доступом к сервисам, а также дополнительные средства протоколирования, обеспечиваемые операционной системой. Таким образом должны быть защищены сервера DNS, сервера аутентификации, сервера безопасности для Unix, контроллеры домена и сервера Exchange для среды Windows NT, и любые сервера приложений, которые считаются важными для решения задач организации.

Организационные меры:

Должны выполняться периодические проверки целостности брандмауэров и других систем управления доступом периметра безопасности.

Должен производиться ежедневный анализ системных журналов систем управления доступом периметра безопасности.

Должен производиться еженедельный анализ системных журналов хостов и серверов во внутренней, защищенной сети.

Пользователи должны пройти курс обучения и быть обучены сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.

Все сообщения о проблемах при работе пользователей, полученные системными администраторами, должны анализироваться на предмет, не является ли эта проблема признаком атаки. О всех подозрительных событиях они должны сообщать сетевым администраторам и сотрудникам отдела информационной безопасности.

Должны периодически запускаться средства обнаружения атаки на хост, такие как tripwire.

Сотрудники отдела информационной безопасности или ответственные за нее должны установить контакты с организациями, занимающимися расследованием происшествий с компьютерной безопасностью, а также FIRST (смотрите ww.first.org) и обмениваться информацией об угрозах, уязвимых местах и происшествиях.

Если критические системы не были скомпрометированы, организация должна сначала попытаться выследить злоумышленника, а потом устранить последствия атаки. (ФИО сотрудника) отвечает за принятие решения о том, какие действия будут приниматься для устранения уязвимых мест или попыток получить дополнительную информацию о злоумышленнике. Этот человек должен иметь образование, позволяющее решать юридические проблемы, возникающие в связи с происшествием.

Политика обнаружения атаки - высокий риск

Программно-аппаратные средства:

На всех хостах и серверах должны быть включены функции протоколирования.

Функции подачи сигналов тревоги, а также протоколирование, должны быть включены на всех брандмауэрах и других средствах управления доступом периметра безопасности.

На всех серверах должны быть установлены дополнительные средства наблюдения, такие как tripwire, и соответствующие средства управления доступом к сервисам, а также дополнительные средства протоколирования, обеспечиваемые операционной системой.

На всех критических серверах должны быть установлены дополнительные средства обнаружения атак, которые работают по принципам, отличным от тех, которые используются основными средствами этого рода, установленными на всех серверах. Например, если основным средством обнаружения атаки является tripwire, которое использует сравнение контрольных сумм для проверки целостности системы, то на важных серверах должны быть установлены экспертные системы, использующие статистические аномалии для выявления атаки.

Во всех местах сети, в которых происходит концентраций трафика, должны быть установлены средства обнаружения атак, следящие за появлением в трафике признаков атак, соответствующим признакам, имевшим место при известных атаках.

Организационные меры:

Должны выполняться периодические проверки целостности брандмауэров и других систем управления доступом периметра безопасности.

Должен производиться ежедневный анализ системных журналов систем управления доступом периметра безопасности.

Должен производиться ежедневный анализ системных журналов хостов и серверов во внутренней, защищенной сети.

Пользователи должны пройти курс обучения и быть обучены сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.

Все сообщения о проблемах при работе пользователей, полученные системными администраторами, должны анализироваться на предмет, не является ли эта проблема признаком атаки. О всех подозрительных событиях они должны сообщать сетевым администраторам и сотрудникам отдела информационной безопасности.

На всех хостах должны ежедневно запускаться средства обнаружения атаки на хост, такие как tripwire.

Системы анализа трафика для обнаружения вторжения должны периодически проверяться на предмет правильности работы и корректной конфигурации.

Сотрудники отдела информационной безопасности или ответственные за нее должны установить контакты с организациями, занимающимися расследованием происшествий с компьютерной безопасностью, а также FIRST (смотрите www.first.org) и обмениваться информацией об угрозах, уязвимых местах и происшествиях.

Организация должна попытаться возбудить уголовное дело против злоумышленника, но не должна оставлять незаделанными уязвимые места, чтобы получить больше информации о злоумышленнике.

Организационные меры

Политика безопасности Интернета должна быть тесно связана с повседневным использованием Интернета сотрудниками организации и повседневным управлением сетью и компьютерами. Она также должна быть интегрирована в культуру организации посредством обучения. Этот документ в основном описывает технические стороны политики. Но административные вопросы, такие как распределение обязанностей за поддержание безопасности, порой более важны. Этот раздел описывает дополнительные аспекты безопасности в Интернете, которые должны быть учтены с помощью организационных мер.

Помимо массы технических и административных обязанностей сетевого администратора, связанных с поддержанием работоспособности сетей организации, ряд его обязанностей напрямую связан с соединением с Интернетом. Эта глава описывает проблемы, которые не были рассмотрены в других главах.

· Распределение ответственности за поддержание безопасности

· Наказание за нарушение политики безопасности

· Допустимое использование Интернета, включая ограничение на доступ к определенным WWW-сайтам или группам новостей USENET, и т.д., в соответствии с политикой организации. (Проблемы, связанные с электронной почтой, описаны в главе про электронную почту).

· Разработка политики в отношении конфиденциальности личной информации, включая электронную почту и наблюдение за сетью.