Наблюдение за безопасностью и обнаружение атак

Введение

Ознакомьтесь с этим руководством по безопасности для компаний среднего размера. Корпорация Майкрософт надеется, что приведенные в документе сведения помогут создать более безопасную и производительную вычислительную среду.

Аннотация

В последние годы в прессе широко освещаются громкие дела, связанные с угрозами и происшествиями, причиной которых является вредоносное программное обеспечение. Это привело к росту осведомленности и убедило многие организации в необходимости вложения времени и ресурсов в средства защиты от этой главной угрозы безопасности. Однако самые большие опасности для инфраструктуры предприятий могут быть не связаны с вирусами и другими внешними угрозами — они таятся внутри корпоративной сети.

Атаки, осуществленные изнутри корпоративной сети, имеют очень высокий потенциал для нанесения ущерба, особенно если выполняются лицами, занимающими ответственные посты и имеющими доступ ко всем сетевым ресурсам компании. Тщательно изучив риски, связанные с внутренними и внешними угрозами, многие организации решают изучить системы, позволяющие осуществлять наблюдение за сетями и обнаруживать атаки, откуда бы они ни исходили.

Для организаций, деятельность которых регулируется нормативно-правовыми ограничениями, наблюдение за безопасностью является не предметом обсуждения, а необходимым требованием. Те же самые ограничения могут определять продолжительность и способ хранения и архивации записей о наблюдении за безопасностью. Постоянно меняющаяся нормативно-правовая среда и постоянно повышающиеся требования, налагаемые на предприятия, деятельность которых регулируется государством, для обеспечения безопасности их сетей, необходимость идентификации лиц, имеющих доступ к ресурсам, и защита частных сведений предъявляют к организациям по всему миру высокие требования по созданию эффективных решений в сфере наблюдения за безопасностью.

Имеется несколько причин, по которым наблюдение за безопасностью и обнаружение атак является важной проблемой для предприятий среднего размера, которым не требуется соблюдать какие-либо нормативно-правовые требования. В число этих причин входят последствия, с которыми может столкнуться любая организация в случае успешно проведенной атаки на свою инфраструктуру. В результате атаки может не только прерваться выполнение деловых операций, что приведет к снижению производительности или даже денежным потерям. Предприятие может пострадать от потери деловой репутации, восстановление которой зачастую занимает больше времени, чем возмещение других убытков, причиненных в результате атаки.

Средства ведения журнала безопасности, имеющиеся в Microsoft® Windows®, могут стать отправной точкой для решения по наблюдению за безопасностью. Однако сами по себе журналы безопасности не предоставляют достаточного объема сведений для планирования ответных мер в случае чрезвычайных происшествий. Журналы безопасности можно объединить с другими средствами сбора и запроса подобных сведений, чтобы сформировать ядро комплексного решения по наблюдению за безопасностью и обнаружению атак.

Главной задачей системы наблюдения за безопасностью и обнаружения атак является обнаружение в сети подозрительных событий, которые могут быть признаком вредоносных действий или процедурных ошибок. В этой статье описывается способ разработки плана для удовлетворения потребности в такой системе в сетях на основе Windows. Также в ней имеются инструкции по внедрению, администрированию и проверке подобной системы.

Обзор

Эта статья состоит из четырех основных разделов, в которых рассматриваются основные понятия и вопросы, необходимые для разработки и внедрения эффективного решения для наблюдения за безопасностью и обнаружения атак. Первый раздел — «Введение» — вы читаете в настоящий момент. Кроме него в документ входят перечисленные ниже разделы.

Определение

Этот раздел содержит сведения, которые будут полезны для понимания процессов, происходящих при создании и использовании решения, представленного в данной статье.

Трудности для среднего бизнеса

В этом разделе описывается множество общих трудностей, с которыми сталкиваются предприятия среднего размера, связанных с системой наблюдения за безопасностью и обнаружения атак.

Решения

В этом разделе содержатся подробные сведения о разработке, внедрении, администрировании и проверке решения, представленного в этой статье. Этот раздел состоит из двух подразделов. В подразделе «Разработка решения» обсуждаются предварительные действия и предлагаются этапы планирования. В разделе «Развертывание и управление решением» содержатся сведения, помогающие при развертывании, управлении и проверке системы наблюдения за безопасностью и обнаружения атак.

Для кого предназначен этот документ

В этой статье затрагиваются вопросы конфиденциальности и безопасности для предприятий среднего размера, особенно тех, которым требуется защита личных сведений и контроль над доступом к данным согласно нормативно-правовым ограничениям. Таким образом, целевая аудитория этой статьи варьируется от технических директоров и ответственных лиц до ИТ-специалистов и специалистов по внедрению технологий, ответственных за планирование, развертывание, функционирование и особенно за безопасность компьютерной сети компании.

Хотя отдельные части данной статьи могут быть полезны большинству лиц, ответственных за принятие технических решений, для полноценного использования всего представленного в статье материала читатель должен быть знаком с вопросами безопасности и рисков в собственной сетевой среде и понимать концепции служб ведения журнала событий Windows.

Определение

В этой статье в дополнение к функциям управления службами (service management functions, SMF) службы администрирования безопасности и контроля над происшествиями MOF используется модель процессов Microsoft Operations Framework (MOF).

В частности, в представленном в этой статье решении для наблюдения за безопасностью и обнаружения атак рекомендуется использовать подход непрерывного процесса вместо подхода линейного развертывания. В частности, это решение должно включать этапы, показанные на следующем рисунке:

Рис. 1. Применение MOF

Решение по наблюдению за безопасностью фактически представляет собой непрерывный процесс планирования, реализации, управления и тестирования, так как в этом заключается сущность наблюдения за безопасностью. Поскольку угрозы компьютерным сетям предприятий постоянно изменяются, должна изменяться и система, осуществляющая наблюдение за безопасностью в компьютерной сети предприятия.

Применение этого процесса к наблюдению за безопасностью соответствует требованиям процесса управления безопасностью SMF, который включает перечисленные ниже действия.

• Оценка уязвимости предприятия и определение активов, которые необходимо защитить.
• Определение способов снижения риска до приемлемого уровня.
• Разработка плана снижения рисков, связанных с безопасностью.
• Наблюдение за эффективностью механизмов безопасности.
• Регулярное выполнение повторной оценки эффективности и требований безопасности.

Дополнительные сведения о MOF см. на веб-узле Microsoft Operations Framework по адресу www.microsoft.com/mof (эта ссылка может указывать на содержимое полностью или частично на английском языке). Дополнительные сведения о процессе управления безопасностью SMF доступны на веб-узле по адресу www.microsoft.com/technet/itsolutions/cits/mo/smf/mofsmsmf.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Управление рисками — это процесс определения уровня риска, приемлемого для организации, оценки текущих рисков, поиска способов достижения приемлемого уровня риска и устранения риска. Хотя в этой статье описываются некоторые концепции управления рисками и некоторые действия, помогающие осуществлять оценку рисков, подробное описание управления рисками является отдельным предметом обсуждения и выходит за рамки этой статьи. Дополнительные сведения об анализе и оценке рисков см. в статье «Руководство по управлению рисками, связанными с безопасностью» по адресу http://go.microsoft.com/fwlink/?linkid=30794 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Трудности для среднего бизнеса

Предприятия среднего размера сталкиваются с множеством трудностей при попытках создания эффективной системы наблюдения за безопасностью и введения политик, поддерживающих это начинание. Некоторые из этих трудностей перечислены ниже.

• Понимание необходимости и преимуществ защиты всей сетевой среды от внутренних и внешних угроз.
• Разработка эффективной системы наблюдения за безопасностью и обнаружения атак, включающей методы обнаружения и предотвращения попыток обхода установленных политик.
• Реализация комплексных и эффективных политик наблюдения, которые не только позволяют обнаруживать атаки, но и обеспечивают полную картину уровня безопасности среды для действий по устранению уязвимостей.
• Поддержка политик и процессов, которые эффективно соотносят отчеты по безопасности с установленными политиками для облегчения администрирования при обнаружении подозрительных действий.
• Реализация и использование деловых практик и политик, поддерживающих действия по наблюдению и соответствующих потребностям бизнеса.
• Определение приемлемых пороговых значений риска для установления равновесия между удобством использования и уменьшением рисков.

Решения

Как уже было сказано ранее, комплексный процесс наблюдения за безопасностью не только помогает при необходимости проведения криминалистического анализа, но также может являться упреждающей мерой безопасности, предоставляющей сведения до, во время и после атаки. Наличие централизованного хранилища отчетов по безопасности позволяет обнаружить атаку на этапе подготовки, при начале атаки или сразу же после ее проведения, что позволяет предоставить лицам, ответственным за реагирование на атаку, сведения, необходимые для эффективной реакции на атаку, что может смягчить последствия попыток вторжения.

Понимание всех преимуществ, которые дает реализация наблюдения за безопасностью, особенно важно на этапе концептуализации разработки, чтобы все эти преимущества были учтены в проекте и политиках. Ниже перечислены некоторые преимущества, обеспечиваемые при наблюдении за безопасностью.

• Определение и устранение уязвимостей компьютеров, не соответствующих политикам безопасности и обновления, с целью уменьшения уязвимости предприятия среднего размера.
• Формирование сведений, которые могут оповестить персонал о попытках вторжения до фактического возникновения атаки, путем обнаружения необычных действий.
• Создание сведений об аудите системы безопасности и их защита с целью облегчения криминалистического анализа, что не только соответствует нормативно-правовым требованиям, но и смягчает последствия любой атаки, которая может произойти.
• Помощь при выполнении анализа уровня безопасности для повышения общей безопасности.
• Обнаружение преднамеренных или случайных действий, выходящих за пределы установленных бизнес-процессов.
• Содействие выявлению неуправляемых компьютеров в сети или устранению уязвимостей устройств.

Разработка решения

Безопасность является важной проблемой для многих организаций. Хотя большинство компаний выделяет разумное количество ресурсов на обеспечение физической безопасности, используя методы, варьирующиеся от обычных дверных замков до систем контроля доступа с использованием пластиковых карт, многие компании все еще недостаточно обеспечивают безопасность данных, от которых они все сильнее зависят.

Когда компании все-таки обращают внимание на проблемы безопасности и наблюдения за данными, они обычно концентрируют усилия на защите периметра сети при помощи брандмауэров. Однако использование такого подхода оставляет уязвимыми для атак другие места. Согласно исследованию компьютерных преступлений за 2004 г., опубликованному Секретной службой США и координационным центром организации CERT по адресу www.cert.org/archive/pdf/2004eCrimeWatchSummary.pdf (эта ссылка может указывать на содержимое полностью или частично на английском языке), 29 процентов выявленных злоумышленников действовали изнутри. Среди них были сотрудники компании, подрядчики и бывшие сотрудники. С учетом этих сведений становится очевидна необходимость создания многоуровневого подхода к безопасности для защиты от внутренних угроз, помимо внешних угроз, исходящих из-за пределов организации.

Одним из методов, используемых для борьбы как с внутренними, так и с внешними угрозами с позиций реагирования, является реализация процесса ведения журнала аудита безопасности. Во всех версиях Microsoft Windows, начиная с Microsoft Windows NT® 3.1 и заканчивая современными версиями, используется встроенный файл журнала событий безопасности для записи событий безопасности. Однако, хотя эта встроенная функция сама по себе и может быть полезна при проведении расследования после уже состоявшегося вторжения, ее трудно использовать упреждающим образом для обнаружения действий по подготовке атаки или оповещения соответствующего персонала о попытках вторжения при их возникновении.

Как уже было сказано, журналы безопасности часто используются в качестве меры реагирования в процессе криминалистического анализа нарушения безопасности после того, как это нарушение произошло. Однако в исследовании внутренних угроз за 2005 г., опубликованном Секретной службой США и CERT по адресу www.cert.org/archive/pdf/insidercross051105.pdf (эта ссылка может указывать на содержимое полностью или частично на английском языке), в процессе анализа выяснилось, что ведение журнала безопасности и наблюдение можно использовать для упреждающего обнаружения, а не только для судебного реагирования. Многие злоумышленники, как внутренние, так и внешние, также пытаются замести следы путем изменения журналов; следовательно, необходимо предпринять действия для защиты системных журналов. Выясняется, что журналы безопасности и другие методы, используемые для наблюдения и обнаружения атак, могут быть крайне важным средством в защитном арсенале сети при условии правильного использования и защиты.

Хотя в этом документе и уделяется большое внимание журналам безопасности, они формируют только ядро методологии наблюдения за безопасностью и обнаружения атак. В число других проблем, которые следует учитывать, входит выявление и устранение уязвимостей компьютеров, не соответствующих установленным политикам безопасности или на которых еще не установлены рекомендованные исправления для уязвимостей. Необходимо также осуществлять наблюдение за внутренней инфраструктурой сети, включая создание отчетов безопасности для портов коммутаторов (чтобы предотвратить получение доступа к сети со стороны неуправляемых компьютеров) и наблюдение за безопасностью беспроводной сети (чтобы предотвратить несанкционированные подключение или перехват пакетов). Многие из тем, связанных с наблюдением, выходят за рамки этого документа, но они заслуживают внимания в любом комплексном решении по наблюдению за безопасностью.

Реализация наблюдения за безопасностью

Следующие подразделы содержат сведения о различных аспектах реализации системы наблюдения за безопасностью.

Ведение журнала событий системы безопасности Windows

Все версии Microsoft Windows, начиная с Microsoft Windows NT 3.1, имеют возможность записывать события, связанные с безопасностью, используя встроенную функцию ведения файла журнала. В системе на базе Microsoft Windows эта функция является основой наблюдения за безопасностью. Однако без использования дополнительных служебных программ или средств сопоставления эти сведения затруднительно использовать для упреждения угроз, поскольку они рассредоточены.

Рис. 2. Журнал безопасности средства просмотра событий

В журнале событий безопасности (показанном на предыдущем рисунке) используется настраиваемый формат файла для записи данных о наблюдении за безопасностью. Хотя имеется возможность чтения части этих записей с помощью текстового редактора, для просмотра всех сведений, записанных в этих журналах, необходимо использовать подходящую программу, например средство просмотра событий. Файл журнала событий безопасности (SecEvent.evt) расположен в каталоге %systemroot%\System32\config. Доступ к журналам событий всегда контролируется службой журнала событий, в которой реализованы средства контроля доступа к каждому журналу.  Разрешения по умолчанию для журнала безопасности являются очень строгими по сравнению с другими журналами в системе; доступ к журналу безопасности по умолчанию имеют только администраторы.

Имеется два типа событий, которые записываются в журнал событий безопасности: аудит успехов и аудит отказов. События аудита успехов показывают, что операция, выполненная пользователем, службой или программой, успешно завершена. События аудита отказов описывают операции, которые не были успешно завершены. Например, неудачные попытки входа пользователя в систему являются примером событий аудита отказов и могут быть записаны в журнал событий безопасности, если включен аудит входа в систему.

Параметры групповой политики аудита, находящиеся в разделе «Конфигурация компьютера\Параметры Windows\Локальные политики», определяют, какие события могут создавать записи в журналах безопасности. Параметры политики аудита можно настроить с помощью консоли параметров локальной безопасности или на уровне сайта, домена или подразделения через групповую политику с помощью Active Directory.

Интерпретация событий аудита

События аудита рассматриваются в этой статье намного подробнее, поэтому важно понимать структуру события аудита и сведений, содержащихся в событиях аудита.

Рис. 3. Окно свойств событий

События состоят из трех основных частей: заголовок события, описание события и раздел двоичных данных.

Заголовки событий состоят из следующих полей:

Таблица 1. Заголовок события

Поле	Определение
Дата	Дата возникновения события
Время	Локальное время возникновения события
Тип	Классификация серьезности события или тип. События аудита безопасности могут иметь тип «аудит успеха» или «аудит отказа».
Источник	Приложение, записавшее событие в журнал. Это может быть программа, например SQL Server, имя драйвера или компонент системы, например безопасность.
Категория	Классификация источника события. Этот параметр относится к журналам аудита безопасности, поскольку он соответствует типу события, который можно настроить в групповой политике.
Код события	Этот код идентифицирует определенный тип события. На рисунке выше приведен код события 680. Этот код означает, что локальный процесс, удаленный процесс или пользователь передали в систему проверки подлинности набор учетных данных.
Пользователь	Имя пользователя, от имени которого произошло событие. Это имя представляет собой код клиента, если событие было вызвано процессом, либо первичный код, если не выполняется заимствование прав. В событиях безопасности первичные сведения и сведения о заимствовании прав будут показаны, если это возможно и применимо.
Компьютер	Имя компьютера, на котором произошло событие.

Поле описания события содержит разнообразные сведения, которые могут меняться от события к событию. Например, в событии 680, показанном на предыдущем рисунке, поле «Код события» содержит значение 0xC000006A, которое означает, что был введен неправильный пароль. Для каждого типа событий в этом поле отображаются сведения, характерные для данного события.

События журнала событий безопасности Windows не используют раздел двоичных данных записи события.

Технические проблемы

Для реализации системы наблюдения за безопасностью и обнаружения атак на основе ведения журнала событий безопасности Windows необходимо решить перечисленные ниже проблемы.

• Управление большим количеством событий безопасности. Чтобы справиться с большим количеством создаваемых событий безопасности, необходимо определить, какие именно события аудита безопасности необходимо отслеживать. Эти соображения важны, в частности, при аудите доступа к файлам и объектам, в процессе которого могут создаваться очень большие объемы данных.
• Хранение и управление сведениями о событиях в центральном хранилище. Хранение сведений о событиях может потребовать терабайт свободного места на диске (в зависимости от конфигурации системы наблюдения). Это особенно важно при необходимости проведения криминалистического анализа (см. подробное описание в данном разделе).
• Обнаружение и реагирование на признаки атаки. Для обнаружения характерных действий, которые могут сигнализировать об атаке, обозреватель или настроенный запрос должны иметь возможность отбора связанных с подобными действиями событий, которые содержатся в предоставляемых сведениях. При обнаружении подозрительной деятельности должен включаться механизм своевременного и адекватного реагирования.
• Недопущение обхода персоналом механизмов контроля аудита безопасности. Персонал с повышенными привилегиями в сети, особенно администраторов, необходимо изолировать, чтобы ограничить доступ к сведениям об аудите таким образом, чтобы за администрирование систем аудита отвечали только специалисты по безопасности.

Планирование решения

Перед реализацией системы наблюдения за безопасностью и обнаружения атак необходимо выполнить указанные ниже действия.

• Просмотр текущих параметров аудита безопасности.
• Оценка ролей администраторов и задач обычных пользователей.
• Просмотр бизнес-политик и процедур.
• Обнаружение уязвимых систем.
• Создание списка особо важных активов.
• Обнаружение важных или подозрительных учетных записей.
• Создание списка авторизованных программ.

Дополнительные сведения о требованиях к хранению см. далее в разделе «Реализация криминалистического анализа» данной статьи.

Просмотр текущих параметров аудита безопасности

Предприятию следует просмотреть текущие параметры аудита безопасности и файла журнала безопасности для создания основы для внесения изменений, рекомендованных в данной статье. Подобный просмотр необходимо проводить регулярно после реализации решения. При этом потребуются указанные ниже сведения.

• Действующие в данный момент параметры аудита безопасности.
• Уровень, на котором применяются эти параметры (локальный компьютер, сайт, домен или подразделение).
• Текущие параметры файла журнала (ограничения размера и поведение при достижении максимального размера).
• Дополнительные параметры аудита безопасности, которые могут применяться (например аудит использования привилегий резервного копирования и восстановления).

Сведения, приведенные в Приложении Б «Реализация параметров групповой политики» в конце этой статьи, можно использовать для определения параметров, которые необходимо записывать. Дополнительные сведения о параметрах аудита безопасности см. в статье «Руководство по безопасности Windows Server 2003» по адресу http://go.microsoft.com/fwlink/?LinkId=14845 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Оценка ролей администраторов и задач обычных пользователей

Ключевым элементом при реализации эффективного решения для наблюдения за безопасностью является знание всех обладателей учетной записи администратора и понимание их ролей и сфер ответственности. Например, многие предприятия включают администраторов в группу администраторов домена, что позволяет им создавать в домене новые учетные записи пользователей. Однако бизнес-политики можно настроить таким образом, чтобы новые учетные записи было разрешено создавать только установленной системе подготовки к работе. В этом случае событие создания учетной записи, инициированное со стороны учетной записи администратора, станет поводом для немедленного проведения расследования.

Оценка задач учетной записи пользователя обычно намного проще, поскольку такие учетные записи, как правило, имеют значительно меньший уровень доступа к сетевым ресурсам, чем учетные записи администраторов. Например, поскольку обычным пользователям, как правило, не требуется доступ к файловой системе на компьютерах, расположенных по периметру сети, отслеживать обычную деятельность пользователей на таких серверах не требуется.

Просмотр бизнес-политик и процедур

Просмотр бизнес-политик и процедур тесно связан с оценкой ролей и сфер ответственности администраторов, но не ограничивается ею. К важным компонентам такого просмотра относятся, например, изучение процесса создания пользователей и процесс контроля изменений. Изучение механизмов, обеспечивающих процесс утверждения и дневник аудита для всех происходящих в сети событий, крайне важно для определения того, что является авторизованными событиями аудита, а что может быть попыткой вторжения.

Обнаружение уязвимых систем

Уязвимые системы — это компьютеры и устройства в сети, которые внешний злоумышленник скорее всего попытается использовать для получения доступа, прежде чем использовать любой другой подход. Эти компьютеры обычно расположены по периметру сети, но внутренние устройства также могут быть уязвимы для атаки, и на них нельзя совсем не обращать внимания.

Всесторонний анализ уязвимых систем должен включать перечисленные ниже мероприятия.

• Установка всех подходящих обновлений безопасности и пакетов обновления.
• Отключение ненужных служб и учетных записей пользователей.
• Настройка служб для запуска под учетной записью локальной службы или сетевой службы, если это возможно.
• Проверка наличия у служб, использующих учетные данные пользователей, необходимого уровня доступа (особенно если такие учетные записи имеют права администратора).
• Применение шаблонов политик с высоким уровнем безопасности.

Примечание.   Процесс анализа не должен ограничиваться уязвимыми компьютерами, расположенными по периметру сети. Правильный режим безопасности предполагает проведение этих проверок для всех компьютеров в сети.

Дополнительные сведения о настройке безопасного запуска служб см. в статье «Руководство по планированию обеспечения безопасности служб и служебных учетных записей» по адресу http://go.microsoft.com/fwlink/?LinkId=41311 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Создание списка особо важных активов

Большинство предприятий, скорее всего, уже определили особо важные активы, расположенные в их сетях, но, возможно, не формализовали эти сведения как часть организационной политики путем документирования и подробного описания мер защиты, применяемых для каждого актива. Например, компания может использовать списки управления доступом (ACL) и шифрование для безопасного хранения важных финансовых записей на разделах с файловой системой NTFS. Однако в организационной политике необходимо определить подобные записи как защищенные файлы, к которым не имеющие на это полномочий пользователи и администраторы не должны пытаться получить доступ, и администраторы и пользователи должны знать об этом запрете.

Любые изменения, вносимые в список управления доступом (ACL), используемый для защиты таких файлов, следует расследовать, особенно при изменении владельца, поскольку такие события могут быть признаком попытки нелегального получения доступа к файлам. Поскольку подобные изменения владельца обычно крайне редки, они легко обнаруживаются после определения и документирования особо важных активов.