виявлення вторгнення в комп'ютерні інформаційні системи. Там приводиться достатньо представницький список засобів, які використовують організації
сьогодні, оскільки постійно з'являтимуться нові засоби. Не всі з цих засобів можуть бути використані в будь-якій мережі. Замість цього ви повинні використовувати ті засоби, які є доречними в контексті ваших цінностей, вашої оцінки риски, вашого обгрунтування витрат на захист, і ваших ресурсів, які можуть бути використані в таких ситуаціях.
Безпека зазвичай реалізується за допомогою комбінації технічних і організаційних методів. Вашій організації слід ухвалити рішення про те, яку роль гратимуть технічні методи в реалізації або забезпеченні безпеки. Методи, приведені тут, в основному є технічними, але деякі з них потребують супроводу організаційними заходами, пов'язаними з ними.
Методи виявлення події
Виявлення події може бути реалізоване декількома способами, і вибір методу повинен грунтуватися на типі мережі, що захищається, використовуваній системі для захисту периметра, і рівня захисту, потрібного політикою безпеки організації. Існує ряд методів для виявлення вторгнення зловмисника.
Незалежно від того, який метод використовується, організація повинна мати спеціальну групу для розслідування подій. Цей можуть бути відповідальні за прийом дзвінків від користувачів про підозри на подію, або це може бути спеціальна група, що використовує запобіжні засоби і засоби для запобігання подіям. "NIST Computer Security Handbook" містить докладнішу інформацію про створення цієї групи, а в центрах CERT і CIAC можна знайти багато корисної інформації для цієї групи і отримати оперативну консультацію.
Одним з методів є пасивне очікування заяв від користувачів про підозрілі події. Зазвичай в заявах може повідомлятися, що якісь файли змінилися або були видалені, або що диски на серверах заповнені повністю по незрозумілих причинах. Гідністю цього методу є те, що його легко реалізувати.
Але у нього є ряд серйозних недоліків. Ясно, що такий метод не забезпечить додаткового захисту інформаційних систем або гарантій виконання політики безпеки. Ті, що розумні атакують взагалі не робитимуть нічого такого, що приведе до появи підозрілих симптомів. З часом стане ясно, що мережа була атакована, але буде надто пізно, щоб запобігти збитку організації. У гіршому разі першою ознакою того, що щось не в порядку, може опинитися поява в організації співробітників правоохоронних органів або репортерів.
Іншим методом є періодичний аналіз журналів, пошук в них повідомлень про незвичайні події. Такими подіями можуть бути велике число невдалих спроб аутентифікації, велике число спроб порушити повноваження по доступу до файлів, незвичайні пакети в мережевому трафіку, і так далі Цей метод забезпечує деякий додатковий захист в порівнянні з пасивним очікуванням заяв від користувачів. При досить частому аудиті він може дати достатньо інформації, щоб обмежити наслідки атаки. Як правило, сучасні комп'ютери і мережі надають необхідні можливості по аудированию як опції конфігурації систем. Часто ці можливості за умовчанням відключені і повинні бути явно включені. Цей метод вимагає вживання постійних організаційних заходів. Його ефективність залежить від узгодженого і частого перегляду адміністраторами системних журналів. Якщо протоколювання вбудоване в операційну систему або додаток, і ця операційна система або додаток недостатньо захищені від атак, цей метод може бути обійдений такими, що розумними атакують, які приховують свої сліди за допомогою відключення режиму протоколювання в ході їх проникнення, або шляхом очищення системних журналів.
Можна легко створити засоби моніторингу на основі стандартних утиліт операційної системи, використовуючи разом різні програми. Наприклад, може бути створений список контрольних перевірок правильності установок повноважень по доступу до файлів. Цей список може потім періодично зіставлятися з поточними установками повноважень по доступу. Відмінності
можуть свідчити про неавторизовані модифікації, вироблені в системі.
Важливо не робити спостереження по графіку. Системні адміністратори можуть періодично виконувати багато з команд, використовуваних для спостереження, протягом дня. Якщо вони, крім того, виконують ряд команд у випадкові моменти часу, зловмисникові стає важчим передбачити ваші дії. Наприклад, якщо зловмисник знає, що о 5 годині ранку система перевіряється на те, що всі користувачі відключилися, він просто почекає якийсь час, і після завершення цієї перевірки підключиться до системи. Але якщо системний адміністратор здійснює спостереження у випадкові моменти часу дня, зловмисник не зможе вгадати, коли це буде і піддаватиметься більшому ризику бути виявленим.
Засоби перевірки цілісності для Unix, такі як Tripwire, обчислюють еталонні контрольні суми для файлів або файлових систем, а при подальших перевірках обчислюють наново і порівнюють з еталонними для виявлення модифікацій. Ці засоби вимагають досвідченого адміністратора для установки. Потрібні певні витрати часу системного адміністратора, щоб гарантувати правильність перевірок цілісності. Оскільки механізми безпеки не є частиною операційної системи або додатку, стає набагато менш вірогідним, що той, що атакує зможе приховати свої сліди. На жаль, ці засоби можуть бути корисні тільки для виявлення атак, пов'язаних з модифікацією системних модулів і не можуть виявити інші атаки, наприклад, ті, в ході яких інформація крадеться за допомогою копіювання файлів.
Сигнали тривоги і попередження від систем управління доступом периметра безпеки можуть бути ознакою почала атаки. Деякі системи управління доступом, такі як брандмауери і системи управління доступу видалених користувачів, можуть бути конфігуровані так, що подаватимуть сигнали тривоги при порушенні певних правил доступу, перевищення числа помилок і так далі Ці сигнали тривоги можуть бути звуковими, візуальними, повідомленнями електронної пошти, повідомленнями пейджера, або повідомленнями системам управління мережею, наприклад SNMP-пакетами. Після установки ці засоби виявлення досить просто адмініструвати, оскільки система може бути конфігурована так, що посилатиме
сигнали тривоги мережевому адміністраторові, який