Сергей Петренко - Политики безопасности компании при работе в Интернет

Если вы не можете физически обезопасить машины, не следует слепо доверять им. Целесообразно ограничить доступ с менее защищенных машин в более защищенные. Особенно рискованно предоставлять незащищенным хостам право доверительного доступа (как в ОС UNIX посредством удаленных команд типа rsh).

Процедуры выявления неавторизованной деятельности

Для обнаружения большинства видов неавторизованного использования компьютерных систем существуют несложные процедуры, применяющие стандартные средства операционных систем или опирающиеся на инструментарий, свободно доступный из различных источников.

Отслеживание использования систем. Системный мониторинг может выполняться как администратором, так и специально написанными программами. Мониторинг включает в себя просмотр различных частей системы в поисках чего-нибудь необычного. Некоторые простые способы решения данной задачи будут рассмотрены ниже.

Отслеживание использования систем очень важно выполнять на постоянной основе. Бессмысленно выделять для мониторинга один день в месяце, поскольку нарушения режима безопасности зачастую длятся всего несколько часов. Только поддерживая постоянную бдительность, можно рассчитывать на своевременную реакцию на нарушения.

Инструменты для отслеживания использования систем. В данном пункте описываются инструменты и методы, позволяющие выявлять неавторизованное использование систем:

ведение регистрационных журналов;

Большинство операционных систем сохраняют в регистрационных файлах массу информации.

Регулярный анализ этих файлов обычно является первой линией обороны при определении неавторизованного использования систем:

– сравните текущий список активных пользователей с предыдущими записями о входах в систему. Большинство пользователей каждый день входят в систему и выходят из нее приблизительно в одно и то же время. Вход в «ненормальное» время может свидетельствовать об использовании системного счета злоумышленником;

– во многих системах накапливаются учетные записи с целью последующего выставления счетов. Эти записи также можно использовать для определения типичного профиля использования системы. Необычные записи могут быть следствием неавторизованной активности;

– обычно в системах существуют средства накопления регистрационной информации (например, syslog в ОС UNIX). Проверьте эту информацию на предмет необычных сообщений об ошибках, генерируемых программным обеспечением. Например, большое число неудачных попыток входа в течение короткого промежутка времени может свидетельствовать о попытках подобрать пароль;

– с помощью команд операционной системы, выводящих список выполняемых в данный момент процессов, можно выявить пользователей, запустивших программы, к которым они не имеют права обращаться, равно как и неавторизованные программы, запущенные нарушителем.

программы отслеживания;

Другие средства мониторинга можно сконструировать, комбинируя различные, на первый взгляд не связанные между собой, стандартные механизмы операционной системы. Например, контрольный список прав доступа к файлам и их владельцев в ОС UNIX нетрудно получить с помощью команд find и Is и сохранить как эталон. Затем периодически можно порождать новые списки и сравнивать их с эталоном (в ОС UNIX для этого имеется команда diff). Несовпадения, возможно, свидетельствуют о несанкционированных изменениях. Дополнительные средства доступны от третьих фирм-поставщиков и от организаций, распространяющих свободное программное обеспечение.

прочие средства.

Меняйте расписание мониторинга. Задача системного мониторинга не такая страшная, как могло бы показаться. Системные администраторы могут выполнять многие команды, используемые для мониторинга, периодически в течение дня, заполняя ими паузы (например, во время телефонного разговора). Это лучше, чем действовать строго по расписанию, При частом выполнении команд вы быстрее привыкнете к «нормальным» результатам и будете легче обнаруживать аномалии. Кроме того, варьируя время мониторинга, вы сделаете свои действия менее предсказуемыми для злоумышленников. Например, если злоумышленник знает, что каждый день в 17:00 проверяется, все ли вышли из системы, он просто переждет момент проверки и войдет позже. Но он не может предсказать, когда системный администратор выполнит команду вывода списка активных пользователей. Тем самым риск быть обнаруженным для злоумышленника существенно возрастает. Несмотря на достоинства, которыми обладает постоянный мониторинг, некоторые злоумышленники могут знать о стандартных регистрационных механизмах атакуемых систем. В результате возможно активное противодействие и выведение этих механизмов из строя. Таким образом, обычное отслеживание полезно для обнаружения нарушителей, но оно не гарантирует безопасности вашей системы, как не гарантирует оно и безошибочного выявления неавторизованных действий.