Опубликован: 20.02.2006 | Доступ: свободный | Студентов: 2942 / 490 | Оценка: 4.22 / 3.75 | Длительность: 33:08:00
ISBN: 978-5-9556-0087-1
Лекция 11:

Судебные средства

Выработка плана реагирования на инциденты

Подобно планам резервного копирования и восстановления после аварий (они ведь у вас имеются, не так ли?), у вас должен быть план реагирования на проявления компьютерной преступности. Это поможет вам действовать правильно, как до инцидента, так и после него, чтобы иметь надежный фундамент и не создавать себе лишних проблем. Это большая тема, которой посвящены специальные книги, но по сути вы должны задокументировать последовательность действий при возникновении инцидента, чтобы вы могли ее выполнить без лишних сомнений, когда что-то произойдет.

С ведома руководства создайте план, который описывает ваши действия, если происходят определенные события. Позаботьтесь о том, чтобы высшее руководство санкционировало некоторые действия, такие как привлечение правоохранительных органов, иначе ваша работа может оказаться под угрозой. В крупных организациях в реагировании, вероятно, примут участие юристы и отдел по связям с общественностью; тогда дело может быстро уйти из ваших рук, и это хорошо, если вы понимаете свою роль в этом процессе, и другие тоже ее понимают. План действий в общих чертах может выглядеть примерно так:

  1. Локализуйте проблему. Убедитесь, что ваш противник не сможет нанести дополнительный ущерб.
  2. Начните предварительные операции восстановления, не забывая должным образом сохранять все свидетельства.
  3. Оцените размер ущерба. Попробуйте быстро определить его денежный эквивалент. Руководство обычно реагирует быстрее, когда речь идет о деньгах.
  4. Сообщите о проблеме высшему руководству для принятия решения о передаче дела в правоохранительные органы или о проведении внутреннего расследования.
  5. Решите, проводить ли расследование собственными силами или привлечь сторонних профессионалов.
  6. Продолжите вашу деятельность, проводя внутреннее расследование или помогая официальным лицам из правоохранительных органов.

Предварительная подготовка для получения доброкачественных судебных данных

Как и в любом деле, должные предварительные действия до того, как случится беда, могут значительно облегчить вашу работу. Если протоколирование и аудит организованы плохо, то ваша судебная деятельность по меньшей мере существенно усложнится или вообще станет невозможной. Конечно, никому не нравится планировать несчастья, однако выполнение следующих рекомендаций впоследствии поможет найти необходимую информацию.

Степень подробности журналов

Если у вас достаточно дискового пространства и процессорного времени, включите протоколирование с самым высоким уровнем детализации, разумным для ваших серверов. Это предоставит значительно больше информации в случае, если необходимо извлечь что-то из журналов, и будет полезно также для устранения серверных проблем. Вы захотите, вероятно, отрегулировать настройки, чтобы найти разумный уровень детализации протоколов. В Windows степень детализации журналов задается с помощью Event Viewer в Administrative Tools. Щелкните мышью на свойствах каждого типа журналов (application, security, system), и вы сможете задать уровень детализации каждого объекта.

Используйте центральный сервер журналирования

Сохранение всех файлов журналов локально на каждом сервере плохо с нескольких точек зрения. Если атакующий сможет проникнуть в машину, то он получит доступ к файлам журналов и сможет изменить их или стереть полностью. Имеются утилиты, которые помогают взломщикам выборочно стирать файлы журналов с протоколами их деятельности. Если журналы находятся на другом сервере, то взломщик должен будет взломать по крайней мере еще одну машину, чтобы до них добраться. Популярная утилита сервера журналов syslog - хорошее средство, и большинство серверов, маршрутизаторов, межсетевых экранов и других устройств поддерживают этот формат. С точки зрения управления значительно легче иметь все журналы на одном сервере для регулярного просмотра, и, кроме того, вы будете знать, что все они синхронизированы по одним часам. Это подводит нас к следующему пункту.

Синхронизация времени серверов

Вы должны сделать так, чтобы все ваши серверы брали время с центрального сервера, а не полагались на внутренние часы. Часы ПК известны своей неточностью и склонны к дрейфу. Можно применять сетевой протокол времени (Network Time Protocol - NTP), чтобы брать время с центрального сервера, подписаться на атомные часы в Интернете или поддерживать собственный внутренний сервер времени, чтобы иметь точное время. В этом случае протокольное время будет одинаково для всех серверов, что позволяет правильно отслеживать последовательность событий. Нет ничего более разочаровывающего, чем попытка восстановить последовательность событий атаки по журналам с множеством несогласованных часов. Настоятельно рекомендуется использовать общедоступный сервер времени. Большинство из них бесплатны и используют атомные часы для повышения точности. В этом случае ваши журналы, скорее всего, будут соответствовать внешним файлам журналов, таким как протоколы поставщика Интернет-услуг. Время общедоступных часов можно брать на следующих Web-сайтах:

  • clock.isc.org
  • clock.via.net
  • clock.sgi.net
  • ttp.nasa.gov
  • tick.gpsclock.org

Где искать судебные данные

Имеются очевидные места для поиска информации после компьютерной атаки. Начинать надо с машины или машин, которые были атакованы. Протоколы и ключевые системные файлы часто содержат улики, такие как методы и идентификация нарушителя. Следует также справиться во всех задействованных системах обнаружения вторжений. Эти средства могут первыми просигнализировать об инциденте. Такие средства, как Tripwire (см. "Системы обнаружения вторжений" ), могут быть бесценны при выяснении того, что было сделано, и была ли скомпрометирована система.

Важная информация нередко располагается и в самых невероятных местах, таких как каталог пользователя в случае взлома системного счета или во временных каталогах, созданных вашим противником. Если возможно, поместите систему в карантин и прочешите частым гребнем. Описанные далее в этой лекции средства помогут выполнить этот процесс.

Не ограничивайтесь только подозрительными компьютерами. Часто есть смысл поискать в других местах, помимо атакованных машин, чтобы найти информацию о злоумышленниках. Хотя они могут стереть локальные журналы на скомпрометированных машинах, иногда можно найти их следы на соседних серверах или устройствах. Атака редко бывает успешной с первого раза. Обычно атакующий вынужден проверить несколько машин, чтобы найти уязвимую. Эта активность отражается в файлах журналов соседних машин, где вы можете найти свидетельства зондирующего сканирования. Признаки нетипичной активности можно обнаружить также на маршрутизаторах и межсетевых экранах. Проверьте журналы в окрестности времени вторжения (здесь-то как раз и важна синхронизированность журнальных файлов), в том числе журналы вашего общедоступного web-сервера. Когда хакеры находят уязвимый сервер, они часто заходят на web-сайт, ассоциированный с этим доменом, чтобы проверить, кого они взломали. Попробуйте выявить IP-адреса, фигурирующие в различных журналах.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?