Россия |
Жизненный цикл управления безопасностью
Проведение аудита безопасности
Итак, что же следует искать при аудите сайта после инцидента, связанного с нарушением безопасности? Ответ на этот вопрос либо очень прост – поиск всего, что свидетельствует о подозрительной или необычной активности, либо ответ заключается в отсутствии ответа на этот вопрос. В данном случае больше подходит вопрос: "С чего начать?". Начать следует с просмотра журналов на предмет обнаружения улик в различных областях.
Необходимо определить нанесенный ущерб. Утеряны ли файлы? Имел ли место явный сбой в работе сервера? Обнаружен ли признак хорошо известной атаки в журналах? Присутствует ли в системе вирус? Ответы на эти вопросы и будут той базой, на основе которой вы продолжите "разбор полетов".
После этого исследуйте каждую категорию событий для выявления этапов проведения атаки. При включенном аудите (см. "Аудит и журналы безопасности" ) фиксируются данные о следующих категориях событий:
- события входа;
- управление учетными записями;
- доступ к объектам;
- использование привилегий;
- изменение политики;
- системные события.
В общем, с помощью исследования файлов или объектов, на которые было оказано воздействие, можно выявить последовательность событий, которая привела к сбою.
В "Особенности процесса разработки" содержатся подробные инструкции по аудиту, предоставленные Microsoft Security Operations Guide Windows 2000 Server (Руководство по безопасности сервера Windows 2000). Это руководство содержит детали всех конкретных событий, которые необходимо отследить. Адрес URL данного руководства очень велик и, скорее всего, уже изменился, поэтому здесь он не приводится. Можно найти это руководство через поиск на сайте Microsoft TechNet (http://www.microsoft.com/technet) строки "Security Operations Guide for Windows 2000 Server".
Устранение проблемы
В ответ на вторжение необходимо обеспечить защиту сайта от подобных атак в будущем. Хакеры придают взлом систем широкой огласке, регулярно предоставляют друг другу адреса систем и обмениваются информацией. Злоумышленники пытаются получить доступ по имеющимся у них адресам систем повторно через достаточно продолжительный период времени.
Перед тем как снова включать сайт в нормальную работу, необходимо удостовериться, что он более не является уязвимым. После определения источника атаки посетите веб-сайт Microsoft для выяснения того, появилась ли надстройка, устраняющая это уязвимое место. Если оно возникло в периметре сети, проверьте сайты фирм-производителей сетевых экранов и маршрутизаторов и обновите правила фильтрации.
В качестве компонента успешного вторжения злоумышленники, как правило, устанавливают "черные ходы", позволяющие впоследствии снова получить доступ к системе-жертве. Если вы не уверены, что подобные программные элементы отсутствуют на компьютере, то полностью переустановите все программное обеспечение системы. Так как трудно судить, что же именно было объектом атаки, многие администраторы предпочитают переустанавливать систему согласно устоявшейся политике. На сервере следует также сменить все имена и пароли учетных записей пользователей.
Сводный перечень действий, формирующих жизненный цикл управления безопасностью
- Дважды проверьте и протестируйте основные аспекты безопасности системы.
- Примените самые последние обновления и надстройки безопасности.
- Воспользуйтесь программой Microsoft Basic Security Analyzer.
- Еще раз выполните IIS Lockdown.
- Осуществите проверку наличия уязвимых мест в реальных условиях.
- Попробуйте обнаружить внешние признаки атак в журналах сетевого экрана и маршрутизатора.
- Реагируйте на инциденты, связанные с нарушением безопасности.
- Попытайтесь отследить источник атаки.
- Как можно скорее предотвратите действие атаки посредством фильтрации исходных адресов и отключения сервера от сети при необходимости.
- Примите решение о том, чтобы оставить сайт функционирующим. Обратитесь за инструкциями к политике безопасности.
- Осуществите аудит безопасности для определения размеров ущерба и источника атаки. Четко фиксируйте обнаруженные факты.
- Определите, какие меры безопасности необходимо предпринять, и реализуйте их. Исключите всякую возможность проникновения в систему посторонних людей.
- Верните систему к нормальному функционированию.