Происшествие с безопасностью – это событие, которое нанесло или может нанести вред работе компьютеров и сетей, последствием которого могут быть компьютерное мошенничество, использование компьютеров не по назначению, потеря или разрушение собственности организации или информации. Примерами происшествий являются проникновения в компьютерные системы, использование уязвимых мест в компьютерных системах, заражение компьютеров вирусами или другими вредоносными программами.
Улаживание происшествий с безопасностью должно охватывать как внутренние происшествия, так и те, которые вызываются внешними угрозами.
Обнаружение происшествия (intrusion detection) играет важную роль в реализации политики безопасности организации. Использование распределенных систем привело к появлению большого числа уязвимых мест, и поэтому недостаточно просто «закрыть двери и запереть их на все замки». Требуются гарантии того, что сеть безопасна – что «все двери закрыты, надежны, а замки крепки». Системы обнаружения происшествий обеспечивают такие гарантии.
Обнаружения происшествия выполняет две важные функции в защите информационных ценностей:
- оно является обратной связью, позволяющей уведомить сотрудников отдела информационной безопасности об эффективности компонент системы безопасности. Отсутствие обнаруженных вторжений при наличии надежной и эффективной системы обнаружения происшествий является свидетельством того, что оборона периметра надежна.
- оно является пусковым механизмом, приводящим в действие запланированные ответные меры безопасности.
Безопасность обычно реализуется с помощью комбинации технических и организационных методов.
Обнаружение происшествия может быть реализовано несколькими способами, и выбор метода должен основываться на типе защищаемой сети, используемой системе для защиты периметра, и уровня защиты, требуемого политикой безопасности организации. Существует ряд методов для обнаружения вторжения злоумышленника.
- пассивное ожиданиезаявлений от пользователей о подозрительных событиях (какие-то файлы изменились или были удалены, диски на серверах заполнены до отказа по непонятным причинам). Достоинство – легко реализовать. Недостатки: не обеспечивает дополнительной защиты ИС или гарантий выполнения политики безопасности, атакующие обычно не делают ничего такого, что приводит к появлению подозрительных симптомов.
- периодический анализжурналов, поиск в них сообщений о необычных событиях (большое число неудачных попыток аутентификации, большое число попыток нарушить полномочия по доступу к файлам, необычные пакеты в сетевом трафике, и т.д.) Этот метод обеспечивает некоторую дополнительную защиту по сравнению с пассивным ожиданием заявлений от пользователей. При довольно частом аудите он может дать достаточно информации, чтобы ограничить последствия атаки. Как правило, современные компьютеры и сети предоставляют требуемые возможности по аудированию в качестве опций конфигурации систем, но они по умолчанию отключены и должны быть явно включены. Этот метод требует принятия постоянных организационных мер. Его эффективность зависит от согласованного и частого просмотра администраторами системных журналов. Данный метод может быть обойден атакующими, которые скрывают свои следы с помощью отключения режима протоколирования в ходе их проникновения, или путем очистки системных журналов.
- средства проверки целостности для Unix, такие как Tripwire, вычисляют эталонные контрольные суммы для файлов или файловых систем, а при последующих проверках вычисляют заново и сравнивают с эталонными для обнаружения модификаций. Эти средства требуют опытного администратора для установки.
- сигналы тревоги и предупрежденияот систем управления доступом периметра безопасности могут являться признаком начала атаки. Некоторые системы управления доступом, такие как МЭ и системы управления доступа удаленных пользователей, могут быть сконфигурированы так, что будут подавать сигналы тревоги при нарушении определенных правил доступа, превышения числа ошибок и т.д. Эти сигналы тревоги могут быть звуковыми, визуальными, сообщениями электронной почты, сообщениями пейджера, или сообщениями системам управления сетью, например SNMP-пакетами. Недостатки: обнаруживаются только те происшествия, в ходе которых злоумышленник пересекает периметр безопасности, вторжения из внешних сетей через скрытые или неизвестные каналы не будут обнаружены.
- средства, которые анализируютстатистические аномалиии делают на их основе выводы о наличии атаки. Это делается путем создания статистического профиля различных субъектов сетевой активности, таких как отдельные пользователи, группы пользователей, приложения, сервера и т.д., и последующего наблюдения за поведением таких субъектов. Если наблюдаемое поведение выходит за рамки статистического профиля, то это - признак возможной атаки. Этот подход также требует использования сложных эвристик, которые сильно затрудняют использование этого средства.