Сергей Петренко - Политики безопасности компании при работе в Интернет

• четвертый приоритет – предотвратить повреждение систем (потерю и изменение системных файлов, повреждение дисководов и т. п.), чтобы избежать дорогостоящих простоев и восстановлений;

• пятый приоритет – минимизировать урон, нанесенный вычислительным ресурсам; во многих случаях лучше выключить систему или отсоединить ее от сети, чем подвергать риску информацию, программное обеспечение или аппаратуру.

Важным следствием определения приоритетов является то, что после человеческих жизней и интересов государственной безопасности наиболее ценным активом обычно являются данные, а не программное или аппаратное обеспечение. Хотя нежелательны любые потери, системы можно заменить; в то же время потерю или компрометацию данных (особенно секретных), как правило, нельзя допускать ни при каких обстоятельствах.

Как уже отмечалось, частью реакции на инциденты является предварительная подготовка ответных мер. Для каждой машины и системы должна существовать и выполняться процедура резервного копирования. Наличие копий в значительной степени устраняет потери даже после серьезных инцидентов, поскольку исключаются массовые потери данных. Далее, ваши системы должны иметь безопасную конфигурацию. Под этим понимается устранение слабостей, проведение эффективной политики управления паролями, а также использование других процедур, разъясняемых ниже.

Руководство по местной политике безопасности и юридическим положениям. Любой план реагирования на инциденты должен составляться на основе политики безопасности и юридических положений. Правительственные и частные организации, имеющие дело с секретной информацией, должны следовать дополнительным правилам.

Политика, разработанная вашей организацией применительно к реакции на нарушения режима безопасности, позволит оформить ответные меры. Например, нет особого смысла создавать механизмы для отслеживания нарушителей, если ваша организация не собирается после поимки предпринимать против них какие-либо действия. На ваши планы может влиять политика других организаций. Например, телефонные компании обычно сообщают информацию для прослеживания звонков только правоохранительным органам.

Оценка

А что на самом деле? На этой фазе точно выясняется характер проблем. Конечно, многие, если не большинство, проявлений, часто приписываемых вирусным инфекциям или вторжениям злоумышленников, являются следствием обычных отклонений, таких, как аппаратные сбои. Чтобы понимать, действительно ли имеет место нарушение режима безопасности, полезно приобрести и использовать специальное программное обеспечение. Например, широко доступные программные пакеты могут оказать существенную помощь в выявлении вируса, проникшего в Macintosh. Весьма полезна и регистрационная информация, особенно применительно к сетевым атакам. При подозрениях на вторжение чрезвычайно важно сделать моментальный снимок системы. Многие инциденты порождают целую цепь событий, и снимок системы, сделанный на начальной стадии, может оказаться полезнее других мер для установления сути проблемы и источника опасности. Наконец, важно завести регистрационную книгу. Запись системных событий, телефонных разговоров, временных меток и т. д. способна ускорить и систематизировать процесс идентификации проблемы, послужить основой последующих действий по нейтрализации инцидента.

Имеется ряд отчетливых признаков, или «симптомов», инцидента, заслуживающих особого внимания:

• крахи системы;

• появление новых пользовательских счетов (например, необъяснимым образом создался счет RUMPLESTILTSKIN) или необычайная активность со стороны пользователя (счета), практически не подававшего признаков жизни в течение нескольких месяцев;

• новые файлы (обычно со странными именами, такими, как data.xx или к);

• рассогласования в учетной информации (например, на UNIX-системах это может проявляться как сокращение файла /usr/admin/lastlog, что вызывает сильные подозрения в присутствии нарушителя);

• изменения в размерах и датах файлов (например, пользователя MS-DOS должно насторожить внезапное удлинение. ЕХЕ-файла более чем на 1 800 байт);

• попытки записи в системные файлы (например, системный администратор замечает, что привилегированный пользователь VMS пытается изменить RIGHTSLIST.DAT);

• модификация или удаление данных (например, начали исчезать файлы);

• отказ в обслуживании (например, системные администраторы и все остальные пользователи оказались выброшенными из UNIX-системы, которая перешла в однопользовательский режим);

• необъяснимо низкая производительность системы (например, необычно плохое время отклика системы);

• аномалии (например, на экране терминала вдруг появляется слово GOTCHA или раздаются частые и необъяснимые звуковые сигналы);

• подозрительные пробы (например, многочисленные неудачные попытки входа с другого узла сети);

• подозрительное «рысканье» (например, некто стал пользователем root UNIX-системы и просматривает файл за файлом).

Ни один из этих признаков не может служить бесспорным доказательством нарушения режима безопасности, точно так же, как реальный инцидент обычно не сопровождается всем набором симптомов. Если, однако, вы заметили какой-либо из перечисленных признаков, следует подозревать нарушение и действовать соответственно. Не существует формулы, позволяющей с абсолютной достоверностью обнаруживать инциденты.

Пожалуй, единственным исключением являются антивирусные пакеты. Если они говорят, что вирус есть, им можно верить. В такой ситуации лучше всего воспользоваться помощью других технических специалистов и сотрудников службы информационной безопасности и сообща решить, действительно ли инцидент имеет место.

Масштабы инцидента. Идентификации инцидента сопутствует выяснение его масштабов и возможных последствий. Для эффективного противодействия важно правильно определить границы инцидента, Кроме того, оценка возможных последствий позволит установить приоритеты при выделении ресурсов для принятия ответных мер. Без выяснения масштабов и возможных последствий события трудно определить, как именно нужно действовать.

Для определения масштабов и возможных последствий следует воспользоваться набором критериев, подходящих для конкретной организации и имеющихся связей с внешним миром. Вот некоторые из них:

• затрагивает ли инцидент несколько организаций;

• затрагивает ли инцидент многие компьютеры вашей организации;

• находится ли под угрозой критически важная информация;

• какова стартовая точка инцидента (сеть, телефонная линия, локальный терминал и т. д.);

• знает ли об инциденте пресса;

• каков потенциальный ущерб от инцидента;

• каково предполагаемое время ликвидации инцидента;

• какие ресурсы требуются для ликвидации инцидента.

Возможные типы извещений

Когда вы убедились, что нарушение режима безопасности действительно имеет место, следует известить соответствующий персонал. Чтобы удержать события под контролем и с технической, и с эмоциональной точек зрения очень важно, кто и как будет извещен.

Внятность. Прежде всего, любое извещение, направленное своему или стороннему сотруднику, должно быть внятным. Это значит, что любая фраза об инциденте (идет ли речь об электронном сообщении, телефонном звонке или факсе) обязана быть ясной, точной и полной. Всякий «туман» в извещении, направленном человеку, от которого вы ждете помощи, отвлечет его внимание и может привести к недоразумениям. Если предлагается разделение труда, полезно снабдить каждого участника информацией о том, что делают другие. Это не только уменьшит дублирование, но и позволит человеку, занятому определенной работой, знать, где получить дополнительные сведения, чтобы справиться со своей частью проблемы.

Правдивость. Другой важный аспект извещений об инциденте – правдивость. Попытки скрыть отдельные моменты, сообщая ложную или неполную информацию, способны не только помешать принятию эффективных ответных мер; они могут привести даже к ухудшению ситуации. Это тем более верно в случае, когда об инциденте узнали журналисты. Если имеет место достаточно серьезный инцидент, привлекший внимание прессы, то, скорее всего, любая сообщенная вами ложная информация не получит подтверждения из других источников. Это бросит тень на организацию и испортит отношения с журналистами, а значит, и с общественностью.

Выбор языка. Язык, которым написано извещение, существенным образом влияет на восприятие информации об инциденте. Если вы используете эмоциональные обороты, вы усиливаете ощущение опасности и ожидание неблагоприятного завершения инцидента. Важно сохранять спокойствие и в письменных, и в устных извещениях.