Политика компьютерной безопасности должна определить, какой подход должен использоваться сотрудниками организации в ходе ответных мер при подозрении на атаку. Порядок действий в таких ситуациях должен быть определен заранее и размножен в письменном виде. Должен быть учтен ряд типовых проблем, возникающих при происшествии, чтобы их решение было логичным с точки зрения интересов организации, а не подсказанным паникой.
Вопросы, на которые надо обязательно заранее дать ответ:
- Кто будет отвечать за принятие решений об ответных действиях?
- Следует ли привлекать сотрудников правоохранительных органов?
- Будет ли организация сотрудничать с другими при попытках установить личность злоумышленника?
- Будет ли атака отражена сразу после ее обнаружения, или вы позволите потенциальному злоумышленнику продолжить свои действия?
Например, политика обнаружения атаки - высокий риск выглядит следующим образом:
Программно-аппаратные средства:
На всех хостах и серверах должны быть включены функции протоколирования. Функции подачи сигналов тревоги, а также протоколирование, включены на всех МЭ и других средствах управления доступом.
На всех критических серверах должны быть установлены дополнительные средства обнаружения атак, которые работают по принципам, отличным от тех, которые используются основными средствами этого рода, установленными на всех серверах.
Во всех местах сети, в которых происходит концентраций трафика, должны быть установлены средства обнаружения атак, следящие за появлением в трафике признаков атак, соответствующим признакам, имевшим место при известных атаках.
Организационные меры:
Должны выполняться периодические проверки целостности МЭ и других систем управления доступом периметра безопасности.
Должен производиться ежедневный анализ системных журналов систем управления доступом периметра безопасности, хостов и серверов во внутренней, защищенной сети.
Пользователи должны пройти курс обучения и быть обучены сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.
Все сообщения о проблемах при работе пользователей, полученные системными администраторами, должны анализироваться на предмет возможной атаки. О всех подозрительных событиях они должны сообщать сетевым администраторам и сотрудникам отдела информационной безопасности.
Системы анализа трафика для обнаружения вторжения должны периодически проверяться на правильность работы и корректность конфигурации.
3.4. Анализ защищенности
Сервис анализа защищенности предназначен для выявления уязвимых мест с целью их оперативной ликвидации. Сам по себе этот сервис ни от чего не защищает, но помогает обнаружить (и устранить) пробелы в защите раньше, чем их сможет использовать злоумышленник. В первую очередь, имеются в виду не архитектурные (их ликвидировать сложно), а «оперативные» бреши, появившиеся в результате ошибок администрирования или из-за невнимания к обновлению версий программного обеспечения.
Системы анализа защищенности (сканерами защищенности), как и средства активного аудита, основаны на накоплении и использовании знаний. В данном случае имеются в виду знания о пробелах в защите: о том, как их искать, насколько они серьезны и как их устранять.
Ядром таких систем является база уязвимых мест, которая определяет доступный диапазон возможностей и требует практически постоянной актуализации. Сканеры могут выявлять уязвимые места как путем пассивного анализа, то есть изучения конфигурационных файлов, задействованных портов и т.п., так и путем имитации действий атакующего. Системы анализа защищенности снабжены автообнаружением компонентов анализируемой ИС и графическим интерфейсом, помогающим эффективно работать с протоколом сканирования.
Контроль, обеспечиваемый системами анализа защищенности, носит реактивный, запаздывающий характер, он не защищает от новых атак, однако следует помнить, что оборона должна быть эшелонированной, и в качестве одного из рубежей контроль защищенности вполне адекватен.