Жизненный цикл управления безопасностью

Ответные действия

Если система находится в интернете, она рано или поздно будет атакована. То же самое относится и к интранет-сети. Следовательно, необходим план ответных действий при обнаружении ненормальной активности в сети.

Помните, что за успешными атаками часто следует череда неудачных атак. Если средства отслеживания определили атаку, даже безуспешную, необходимо на нее отреагировать. Если атака на компьютер будет успешной, то чем раньше вы ее обнаружите и отреагируете, тем проще предотвратить повреждение системы.

Реагирование на атаку

Если выяснилось, что защита сервера преодолена, следует быстро и правильно принять решение об ответном действии. Во-первых, попытайтесь определить атакующего. Просмотрите журналы сервера и сетевого экрана, чтобы определить, из какого места исходила атака – с другой взломанной системы в сети или из интернета. Не делайте предположений – старайтесь выявлять факты.

Когда вы узнаете, откуда была выполнена атака, попытайтесь остановить ее. Можно применить фильтрацию адреса или домена для блокировки источника. Отключите компьютеры от сети, если уверены, что на них находятся вредоносные файлы, или что они заражены червем или вирусом. Если вы подверглись распределенной атаке на отказ в обслуживании (DDoS), обратитесь за помощью к поставщику коммуникационных услуг.

ПРОБЛЕМА

Обнаружив, что компьютер атакован, довольно трудно оставаться спокойным и хладнокровным, но это необходимо для принятия здравых и правильных решений. Не все инциденты, связанные с нарушением безопасности, являются реальными. Может возникнуть ложная тревога, если средства наблюдения зафиксировали происшествие, которое на самом деле не является атакой или вредоносным действием.

В таких стрессовых ситуациях поможет четкое и последовательное выполнение действий. Клиентам не особо понравится, если вы отключите сайт, и обиднее всего, если в действительности на сайт не было произведено никакой атаки. Ниже приведен перечень процедур, который поможет выявить и определить источник подозрительных событий.

В ситуациях, связанных с возможным нарушением безопасности сайта, выполните следующие шаги.

1. Определите все системы, задействованные в происшествии.
2. Предотвратите перезагрузку компьютера, вход и выход из системы или случайный запуск вредоносного кода.
3. Проверьте журналы аудита на наличие признаков несанкционированных действий. Отсутствие журналов или пустые места в файлах журналов представляют собой явные признаки сокрытия следов атаки.
4. Проверьте ключевые учетные записи и группы. Попробуйте обнаружить попытки входа через учетные записи по умолчанию. Проверьте группы Administrators (Администраторы), Backup Operators (Операторы учетных записей) и Web Site Operators (Операторы веб-сайта) на наличие несанкционированных записей или членов группы. Проверьте учетные записи на повышенные привилегии. Отследите активность в нерабочие часы.
5. Осуществите в каталогах веб-сервера поиск файлов, которые вы там не располагали. Осуществите поиск в системе средств хакеров ("троянских коней", таких как Subseven, и т.п.).
6. Проверьте Task Manager (Диспетчер задач) Windows 2000 (открывается нажатием комбинации Ctrl+Alt+Del) на наличие неизвестных приложений или процессов. Проверьте конфигурацию служб на наличие автоматически запускаемых служб, которые не включались в процессе укрепления системы.

   Если, выполнив все эти шаги, вы не обнаружили признаков вторжения, не делайте каких-либо заключений, положительных или отрицательных, – еще рано. Осуществите расширенный поиск и выполните следующие шаги.
7. Проверьте функциональность и сопоставьте производительность системы с обычными, зафиксированными ранее, параметрами.
8. Выполните процедуру регулярного просмотра журналов.
9. Проверьте журналы в системе IDS, если таковая используется, для определения подозрительных действий.
10. В качестве меры предосторожности смените все пароли веб-сервера.

Каждая ситуация индивидуальна, поэтому очень сложно предоставить рекомендации на все случаи жизни. Разумеется, лучше быть в безопасности, чем в печали. Поэтому, если у вас возникли сомнения, предпримите соответствующие меры, чтобы потенциально имеющаяся проблема не распространилась за ее текущие рамки. Если ваше исследование ни к чему не привело, дождитесь повторного проявления проблемы, перед тем как предпринимать такую экстренную меру как выключение системы.

Существует поговорка: "Не делай хуже, чем есть". Пока не будет проведен аудит сайта, на котором были зафиксированы подозрительные события, вы не поймете, что же все-таки с ним произошло. Не пытайтесь быстро вернуть атакованный сайт в исходное рабочее состояние, а попытайтесь получить больше информации о происшедшем. По возможности переустановите операционную систему на другом сервере и восстановите на нем резервную копию данных. Сайт CERT содержит перечень шагов по восстановлению атакованного сервера по адресу http://www.cert.org/tech_tips/win-UNIX-system_compromise.html.

Используйте опыт специалистов CERT и следуйте приводимым рекомендациям. В некоторых случаях, если вы даже уверены в своих действиях, эта уверенность оказывается необоснованной и остается таковой до тех пор, пока вы не проведете основательное исследование.

Наконец, выполните аудит безопасности и бережно сохраните "улики". Создавайте резервные копии всех генерируемых журналов, а также ведите детальный отчет для создания полного перечня обнаруженных элементов.