Наблюдение за безопасностью и обнаружение атак

Определение важных и подозрительных учетных записей

Необходимо просмотреть все важные учетные записи, чтобы определить, каким из них требуется более высокий уровень аудита. Такие учетные записи включают учетную запись администратора по умолчанию, всех членов групп администраторов предприятия, схемы и домена, а также все учетные записи, используемые службами.

Помимо важных учетных записей, также необходимо настроить уровни аудита безопасности для учетных записей, принадлежащих лицам, входящим в группу риска или заподозренным в участии в подозрительной деятельности. Дополнительные сведения о настройке уровней аудита для отдельных учетных данных пользователей см. далее в разделе «Нарушения политик и пороговые значения» данной статьи.

Создание списка авторизованных программ

Для получения сведений о сети злоумышленнику необходимо запускать программы на компьютерах, расположенных в сети. Ограничив перечень программ, которые можно запускать в корпоративной сети, можно значительно снизить вероятность внешней атаки. Для создания списка авторизованных программ необходимо выполнить аудит всех программ, авторизованных или являющимися необходимыми в сетевой среде. Все неизвестные программы, обнаруженные в процессе подобного аудита, следует внести в число подозрительных и немедленно проверить. Программа Microsoft Systems Management Server 2003 может быть полезна при проведении аудита программного обеспечения, но не является необходимой.

Примечание.   Для определенных компьютеров можно сделать определенные исключения. Например, в случае с рабочими станциями разработчиков, находящиеся в процессе разработки исполняемые файлы могут отсутствовать в списке утвержденных программ. Однако более безопасный подход заключается в требовании проведения разработки и тестирования только в среде виртуальных компьютеров или только в изолированном сетевом домене разработки.

Обнаружение нарушений политики и пороговые значения

Нарушения политики составляют самую обширную категорию проблем с безопасностью, для которой организации требуется составить план. Ниже перечислены некоторые типы таких нарушений.

• Создание учетных записей пользователей с нарушением установленной процедуры.
• Неправильное или несанкционированное использование прав администратора.
• Использование учетных записей служб для интерактивного входа в систему.
• Попытки доступа к файлам со стороны не имеющих на это прав учетных записей пользователей.
• Удаление файлов, на доступ к которым имеется разрешение у учетных записей пользователей.
• Установка и запуск неутвержденного программного обеспечения.

Хотя наиболее распространенным типом нарушения политики являются непреднамеренные попытки доступа пользователей (например просмотр запрещенных каталогов), подобные нарушения наименее значимы, поскольку ограничения доступа и правильно разработанные политики прав устраняют эту проблему. Нарушения административной политики, как намеренные, так и случайные, являются наиболее серьезным типом события вследствие самой природы прав администратора.

Привилегии учетной записи администратора предоставляют высокий уровень доступа к системе лицам, которым такие полномочия необходимы для выполнения служебных обязанностей. Однако такой тип доступа не предполагает использования этих прав за пределами определенной сферы или процедуры. Наличие у учетных записей администратора прав разрешать создание учетных записей пользователей, изменять учетные записи пользователей, просматривать данные с ограниченным доступом и изменять права доступа к данным требует тщательного рассмотрения способов снижения рисков, связанных со столь широкими возможностями.

Моделирование угроз

Очевидно, что некоторых видов угроз можно избежать благодаря аудиту. Для других угроз такая возможность отсутствует, а некоторых можно избежать с помощью аудита, но это экономически нецелесообразно. Главное, что необходимо понять, это то, что не каждая уязвимость представляет опасность для сети. При определении уязвимостей, которые необходимо устранить, может быть полезно использование принципов моделирования угроз.

Моделирование угроз — это технология, используемая для определения угроз и уязвимостей с целью повышения эффективности создания мер противодействия в контексте конкретной среды. Этот процесс обычно содержит три основных действия.

• Выявление возможностей злоумышленника.
• Определение профиля безопасности системы.
• Определение и упорядочение обнаруженных угроз.

Если говорить более конкретно, изучение сетевой среды с точки зрения злоумышленника включает определение целей, наиболее привлекательных для лица, пытающегося получить доступ к сети, и условий, которые должны быть выполнены для успешной атаки на такие цели. После определения потенциально уязвимых целей можно изучить среду, чтобы определить, каким образом существующие меры безопасности влияют на условия атаки. Этот процесс позволяет обнаружить соответствующие угрозы, которые затем можно упорядочить по уровню представляемого ими риска, определить действия по наиболее эффективному устранению уязвимостей для определенной угрозы и выяснить, окажет ли такое устранение уязвимостей на другие области положительное или отрицательное влияние, которое может снизить ценность подобных мер.

Таким образом, имеется несколько конкретных этапов успешного процесса моделирования сетевых угроз, основанных на изложенных ниже требованиях.

1. Определение критически важных активов. Важной частью процедуры определения наилучшего применения ресурсов безопасности является создание списка активов, критически важных для работы организации. Эта процедура должна охватывать владельцев бизнес-процессов, а также владельцев технологии, поскольку у каждого из них будут важные соображения относительно опасности раскрытия определенных активов организации.
2. Определение возможных мест атаки. Этот этап определения фактически включает два направления. Во-первых, необходимо классифицировать типы границ, в которых могут быть расположены данные в сети. Эти границы определяют критически важные, секретные и общие области, исходя из ущерба, который может быть причинен, если эти данные будут раскрыты. Во-вторых, необходимо исследовать с технической точки зрения точки атаки, направления атаки и уязвимые места, используя которые, можно получить доступ к критически важным и секретным активам. Эти объединенные сведения позволяют сузить область применения мер безопасности до тех точек, где можно получить доступ к критически важным сведениям.

3. Определение фактических угроз. После определения критически важных активов и возможных точек доступа, необходимо создать список возможных действий злоумышленников, которые могут причинить ущерб. Этот список позволит сосредоточить усилия на конкретных угрозах.

   Существуют различные методы, используемые для определения фактических угроз. Одним из таких методов является STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of Service and Elevation of Privilege), основанный на типах используемых атак (подмена, фальсификация, отрицание выполнения действий, раскрытие информации, отказ в обслуживании и повышение полномочий). Существуют также другие итеративные меры, такие как разбиение угроз по логическим уровням (например сеть, узел и приложение). Выбор подхода зависит от организации и основывается на том, что имеет наибольший смысл в конкретной среде.

4. Классификация и упорядочение угроз. На этом этапе используются общие принципы оценки рисков и управления, позволяющие упорядочить угрозы по вероятности их использования и потенциальным последствиям этих угроз для организации. Стандартная используемая формула имеет следующий вид:

   Риск = вероятность использования x потенциальные последствия для организации

   Существует большое количество методов, используемых в данном процессе, а также большое количество средств, позволяющих оценить риски, но их описание выходит за рамки этой статьи. Дополнительные сведения об управлении рисками и этих методах см. в статье «Руководство по управлению рисками, связанными с безопасностью» по адресу http://go.microsoft.com/fwlink/?linkid=30794 (эта ссылка может указывать на содержимое полностью или частично на английском языке).

5. Устранение уязвимостей и повторная оценка. Результатом предыдущих этапов является список реальных угроз, которые могут оказать влияние на организацию, упорядоченных по степени представляемой для организации опасности. Этот список позволяет сосредоточить усилия на устранении уязвимостей. Эти усилия также необходимо оценить по соотношению «затраты-выгода». Таким образом, имеется несколько различных способов снизить конкретные риски и несколько способов устранения других уязвимостей, которые делают усилия по обеспечению безопасности еще более эффективными.

Даже после принятия плана по устранению уязвимостей, метод моделирования угроз остается итеративным процессом, который следует регулярно выполнять наряду с постоянной повторной оценкой, чтобы гарантировать, что усилия по обеспечению безопасности эффективны и всеобъемлющи настолько, насколько это возможно.

Наведение справок и расследования

Большинство предприятий обычно наводят справки о перспективных сотрудниках при приеме на работу, но не выполняют проверок впоследствии. Предприятиям следует периодически наводить справки о сотрудниках на протяжении их работы, особенно для сотрудников, занимающих критически важные должности и имеющих доступ к закрытой информации.

Соглашения о политике использования компьютеров

Соглашения по использованию компьютеров или сети важны не только для информирования сотрудников о порядке использования активов компании, но также для информирования их о политиках наблюдения за сетевой активностью и использованием компьютера и о возможных последствиях любых попыток нарушить эти политики.

Положения политики использования выступают в качестве юридических документов, если они явным образом определяют круг вопросов и требуют подписи сотрудников как свидетельство их согласия. При отсутствии доказательств того, что сотрудник полностью отдавал себе отчет о внутренних политиках наблюдения за безопасностью и ожидаемом приемлемом использовании активов компании, чрезвычайно сложно наказать нарушителей в судебном порядке в случае какого-либо правонарушения.

Также важно в любой точке доступа к сети компании выдавать предупреждение о доступе и несанкционированном использовании, которое сообщает каждому лицу, пытающемуся получить доступ, о том, что эта сеть является частной, любой несанкционированный доступ запрещен, а нарушители будут преследоваться в судебном порядке. Например, операционные системы Windows имеют возможность выводить на экран в процессе входа в систему предупреждение, которое можно использовать для сообщения пользователям, что они пытаются получить доступ к защищенному ресурсу компании, и что несанкционированный доступ запрещен.

Хотя обсуждение юридических проблем и точных формулировок юридических документов, а также использование таких документов выходит за рамки этой статьи, важно упомянуть, что такие документы и политики должны существовать. Множество примеров подобных положений об использовании и доступе можно найти в Интернете. Однако при подготовке таких материалов следует пользоваться услугами квалифицированных юристов, поскольку имеется большое количество уникальных местных и международных правовых нюансов, которые следует учитывать.

Разделение обязанностей

Так же, как различные функции компьютеров разделены в сети в целях обеспечения безопасности, производительности и доступности, важно обеспечить дублирование и разделение обязанностей при разработке требований к персоналу отдела ИТ-безопасности.

Важные роли, предполагающие доступ и управление секретными данными и компьютерами, должны быть избыточными, насколько это возможно и обосновано, не только для того, чтобы защититься от проблем, связанных с потерей знаний в случае потери сотрудника, но также для обеспечения функции безопасности в случае внутреннего саботажа. Например, будет сложно восстановить систему, если только один сотрудник знал пароли администратора и ушел, не сообщив эти пароли.

Помимо избыточности ролей, также важно разделить критически важные роли, особенно для наблюдения за безопасностью. Люди, управляющие сетью, не должны при этом отвечать за просмотр сведений об аудите безопасности, а персонал отдела безопасности не должен иметь равных административных прав с администраторами. Иногда также необходимо защитить данные определенных отделов от административного персонала для более полной реализации принципа разделения обязанностей. Например, на некоторых предприятиях есть подразделения, имеющие собственные компьютеры или учетные записи администраторов для защиты секретных сведений, таких как финансовые данные или данные о сотрудниках.

Примечание.   Хотя, возможно, не получится запретить владельцам учетных записей администратора обходить такое разделение обязанностей, важно по крайней мере задать нормы авторизованного использования полномочий администратора, исходя из принципа разделения обязанностей.

Проверка функций наблюдения за безопасностью

Необходимо запланировать регулярное тестирование системы наблюдения за безопасностью перед реализацией подобной программы. Хотя первоначальное тестирование важно для проверки решения наблюдения за безопасностью, также важно иметь расписание регулярно выполняемых тестов, поскольку среда безопасности постоянно изменяется.

Тестирование может включать попытки вторжения и проверку использования привилегий администратора, чтобы определить, насколько эффективно решение обнаруживает подобные действия. Также необходимо изучать последние изменения в методах безопасности и профилях атак, чтобы определить необходимость внесения изменений. Угрозы корпоративным сетям постоянно изменяются, поскольку злоумышленники приспосабливаются к системам безопасности. Поэтому методы защиты и наблюдения должны постоянно развиваться, чтобы оставаться эффективными.

Установка процессов

Чтобы отделить авторизованные события от несанкционированных событий безопасности, необходимо создать план для установленных процессов обязательного контроля изменений и управления проблемами. Подобный план может предоставить подробный документальный след, который можно соотнести со сведениями журнала безопасности. Хотя отслеживание проблем широко распространено в большинстве компаний (для этого используются купоны службы поддержки или другие процедуры отслеживания проблем), контролем изменений зачастую пренебрегают. Контроль изменений является необходимым механизмом, который можно использовать не только для отслеживания тенденций с целью обнаружения проблемных систем или приложений, но также в качестве крайне важного механизма безопасности.

Процессы контроля изменений должны выполняться в качестве упреждающей процедуры, а реагирующие изменения следует ограничить использованием процесса управления проблемами. Процесс контроля изменений должен требовать рассмотрения и утверждения изменения перед его внесением и включать следующие сведения.

• Имя лица, утверждающего изменения.
• Имя лица, реализующего изменения.
• Временной интервал внесения изменения.
• Причины изменения.
• Вносимые изменения.
• Системы, затронутые изменением.
• Влияние на бизнес.
• Фактические результаты изменения.

Другой процесс, который необходимо установить, — это процесс подготовки пользователей, основанный на процедуре добавления, изменения и удаления пользователей, при которой также создается дневник аудита для защиты от несанкционированных изменений учетной записи. Перед созданием такого процесса важно провести аудит безопасности имеющихся учетных записей пользователей для проверки допустимости этих учетных записей и периодически проверять этот список по мере его изменения.

Использование решений для автоматической подготовки пользователей и управления идентификаторами, таких как Microsoft Identity Integration Server (MIIS) 2003, может быть полезным при автоматизации изменений учетных записей и выполняемых при этом процессов. При использовании подобных решений важно не забывать, что учетные записи администраторов все еще имеют возможность создавать новые учетные записи, но им не требуется этого делать, поскольку учетные записи будут создаваться в рамках установленных процессов. Таким образом, любые события, связанные с созданием учетных записей, например событие 624, должны относиться только к MIIS 2003 или иной установленной учетной записи службы, используемой для автоматической подготовки.

Хотя внешние угрозы компьютерным сетям предприятий постоянно освещаются в средствах массовой информации, опыт показывает, что сети и данные компании намного более подвержены потерям и раскрытию из-за неправильных настроек или нарушения процедур. Очень важно защититься от всех угроз, как внешних, так и внутренних, и многие производители предлагают решения для защиты компании от внешних угроз, но никто не предлагает пакет, позволяющий предотвратить ошибки людей, ответственных за работу и безопасность сети. Лучшим способом снижения таких рисков является реализация и принудительное использование надежных процессов и процедур для вносимых в сеть изменений.

Определение ответных действий, связанных с безопасностью

Чтобы ограничить ущерб, который может нанести нарушение безопасности, важно разработать определенный подходящий план ответных действий и определить процессы реагирования на нарушения безопасности. Хорошими примерами таких действий являются отчеты о нарушениях, формирование команды быстрого реагирования и протокол аварийных действий. Скорость и эффективность реагирования на нарушения безопасности повысит безопасность организации и ограничит фактический и кажущийся ущерб, который может нанести попытка вторжения.

Формирование установленного процесса реагирования на нарушения безопасности не только помогает ограничить ущерб, который может нанести реальный инцидент, но и является сдерживающим средством, благодаря уведомлению сотрудников и других лиц о немедленном скоординированном реагировании на любые нарушения безопасности.

Сотрудники

Согласно исследованиям, проведенным CERT и Секретной службой США, многие атаки из внутренних источников удалось бы предотвратить, если бы предприятия больше заботились о безопасности и предпринимали действия в ответ на изменения поведения сотрудников или угрозы. Вероятно, наиболее ценными ресурсами безопасности в бизнесе являются сами сотрудники, поскольку они знают, когда другие члены коллектива начинают испытывать недовольство, или могут предупредить соответствующий персонал о подозрительном поведении посетителя. Фактически, одним из первых действий внешней группы аудита безопасности будет выполнение общего осмотра, в ходе которого будут предприняты попытки найти сведения о паролях, записанные на бумаге, обнаружить незащищенные устройства или осуществить вторжение, напрямую подключившись к внутренней сети.

Персонал предприятия может служить важным уровнем защиты от внутренних и внешних угроз. Поощрение открытости в обсуждении подозрительного поведения коллег и обучение вспомогательного персонала приему от сотрудников любых сообщений о необычной компьютерной активности может существенно сократить количество попыток вторжения и происшествий, связанных с вредоносными программами. Внутреннее обучение также является важным методом обучения сотрудников определению типов поведения компьютера, о которых следует сообщать. Обучение также служит превентивной мерой для предотвращения атак, использующих методы социотехники.

Соотнесение нарушений политики безопасности с событиями аудита

Соотнесение сведений о событиях безопасности включает сбор событий безопасности с множества компьютеров и помещение этих данных в безопасное центральное хранилище. После соотнесения сведений о безопасности соответствующий персонал может проанализировать это центральное хранилище для выявления нарушений или внешних атак. Это хранилище важно не только для криминалистического анализа, но также является средством обнаружения атак и устранения уязвимостей. Хотя для этой цели имеется несколько решений сторонних производителей, следующие программные продукты и средства корпорации Майкрософт позволяют выполнять ее путем сбора журнала событий безопасности и иных сведений о наблюдении за безопасностью в центральном хранилище.

EventCombMT

Программа EventCombMT (многопоточная) описывается в руководстве по безопасности Windows Server 2003, которое можно найти по адресу http://go.microsoft.com/fwlink/?LinkId=14845 (эта ссылка может указывать на содержимое полностью или частично на английском языке). Это средство позволяет осуществлять синтаксический разбор и сбор событий из журналов событий на нескольких компьютерах. Оно запускается как многопоточное приложение, позволяющее пользователю указать любое количество параметров при сканировании журналов событий, например:

• коды событий (один или несколько),
• диапазоны кодов событий,
• источники событий,
• определенный текст события,
• срок события в минутах, часах или днях.

Рис. 4. EventCombMT

В средство EventCombMT встроены определенные категории поиска, например блокировки учетных записей (показанные на предыдущем рисунке), обеспечивающие возможность поиска перечисленных ниже событий.

• 529. Сбой при входе в систему (неправильное имя пользователя или пароль).
• 644. Учетная запись пользователя была автоматически заблокирована.
• 675. Сбой предварительной проверки подлинности в контроллере домена (неправильный пароль).
• 676. Сбой запроса билета проверки подлинности.
• 681. Сбой при входе в систему.

Другим событием, связанным с безопасностью, которое не записывается в файл журнала безопасности, является событие 12294, которое записывается в файл журнала системы. Это событие необходимо добавить во все поисковые запросы, поскольку его можно использовать для обнаружения попыток атак на учетную запись администратора, которая не имеет порогового значения блокировки и поэтому является уязвимой и привлекательной целью для любого потенциального злоумышленника.

Примечание.   Событие 12294 отражается как событие диспетчера учетных записей безопасности (Security Accounts Manager, SAM) в системном журнале, а не в журнале безопасности.

EventCombMT может сохранять события в таблицу базы данных Microsoft SQL Server™, что является полезным для долгосрочного хранения и анализа. После сохранения в базу данных SQL Server сведения из журналов событий можно оценить с помощью набора различных программ, например SQL Query Analyzer, Microsoft Visual Studio® .NET или программ сторонних производителей.

Log Parser 2.2

Log Parser является бесплатным средством от корпорации Майкрософт, которое можно использовать для поиска данных в журнале, загрузки журналов в базу данных SQL или CSV-файл и создания отчетов на основе журналов событий, CSV-файлов или иных форматов файлов журнала (включая журналы служб IIS, для которых это средство было изначально разработано).

Это средство сценариев командной строки можно использовать в качестве ресурса для помещения сведений журналов событий в центральное местоположение, разбора событий, представляющих интерес, и даже для создания отчетов. Однако интерфейс сценариев и командной строки требует описания, которое выходит за рамки данной статьи. Дополнительные сведения о средстве Log Parser, его использовании, и ресурсах сценариев можно найти на странице Log Parser 2.2 по адресу www.microsoft.com/technet/scriptcenter/tools/logparser/default.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке) и в статье «Описание работы средства Log Parser 2.2» по адресу www.microsoft.com/technet/community/columns/profwin/pw0505.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке).

EventQuery.vbs

EventQuery.vbs — это средство, выпущенное вместе с Windows XP. Его можно использовать для создания списка событий и свойств событий из одного или нескольких журналов событий. Для использования этого сценария необходимо запустить сервер сценариев на основе команд (CScript.exe). Если сервер сценариев Windows по умолчанию не назначен CScript, это можно сделать, выполнив следующую команду:

Cscript //h:cscript //s //nologo

Эта служебная программа сценариев командной строки является очень гибкой и может принимать множество различных параметров для настройки фильтрации и формата выходных данных. Дополнительные сведения об использовании этого средства и доступных параметрах см. в разделе «Управление журналами событий из командной строки» документации по Windows XP Professional по адресу www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/event_commandline.mspx?mfr=true (эта ссылка может указывать на содержимое полностью или частично на английском языке).

Ведение журнала служб Internet Information Services

Дополнительные функции ведения журнала доступны при использовании служб Internet Information Services (IIS), которые предоставляют возможность создания отчетов о посетителях веб-узла, ресурсах, к которым посетитель получал доступ, и времени доступа к этим ресурсам. В журналы службы IIS записываются сведения об удачных и безуспешных попытках получения доступа к веб-узлам, виртуальным папкам и файлам, и их можно настроить для выборочного аудита этих сведений, чтобы минимизировать требования к хранилищу и ограничить запись ненужных сведений.

Эти журналы можно сохранить как в исходном формате в виде файла, который затем можно отфильтровать с помощью одного из перечисленных ранее средств синтаксического разбора и сопоставления, так и напрямую в централизованное хранилище с помощью записи в журнал баз данных ODBC, что можно использовать для сохранения сведений в базу данных SQL или любую другую базу данных, совместимую с ODBC.

Необходимо тщательно отслеживать определенные действия и последовательности событий, включая перечисленные ниже.

• Многочисленные сбои команд, пытающихся запустить исполняемые файлы или сценарии.
• Слишком частые неудачные попытки входа в систему с одного IP-адреса или диапазона адресов, что может означать как попытку проведения атаки типа «отказ в обслуживании», так и попытку повышения полномочий.
• Неудачные попытки получения доступа или изменения файлов BAT или CMD.
• Несанкционированные попытки загрузки файлов в папку, которая содержит исполняемые файлы.

Начиная с Windows Server 2003, новые возможности аудита встроены в службы IIS, и их можно использовать совместно с новыми возможностями ведения журнала служб IIS, интегрированными напрямую в журнал событий. Также можно получить к ним доступ через страницы ASP для настраиваемых решений. Дополнительные сведения об этих возможностях и их реализации см. в документации к службам IIS.

Сервер Microsoft Internet Security and Acceleration Server

Сервер Microsoft Internet Security and Acceleration (ISA) Server является расширенным брандмауэром уровня приложений и пакетов, предоставляющим ряд дополнительных функций, включая возможности кэширования VPN и прокси-серверов.

Помимо служебной программы активной защиты, предоставляемой сервером ISA Server, его также можно использовать для наблюдения за безопасностью, используя его возможность работать в качестве средства централизованного ведения журнала, которое может отслеживать все действия, происходящие на периметре сети. Возможности ведения журнала сервера ISA Server включают возможности захвата трафика брандмауэра, активности прокси-сервера Интернета и журналов блокировки сообщений SMTP. Эти журналы можно отфильтровывать, опрашивать или наблюдать за ними в режиме реального времени, используя встроенное средство просмотра журналов в режиме реального времени (показано на следующем снимке экрана) или панель инструментов для наблюдения.

Рис. 5. Средство просмотра журналов в режиме реального времени сервера Microsoft ISA Server 2004

Помимо встроенных функций ведения журнала сервер ISA Server имеет функцию оповещения, которая позволяет отправлять оповещения по электронной почте, производить запись в журнал событий и даже запускать и останавливать службы. Возможность записи подозрительных действий в журнал событий особенно важна с точки зрения вопросов, рассматриваемых в данной статье. Эта возможность позволяет записывать и сохранять сведения о возможной атаке в централизованное хранилище совместно с другими данными журнала событий аудита.

Помимо функций ведения журнала и оповещения об опасности имеются также встроенные средства обнаружения вторжения, которые можно включить в сервере ISA Server. Эти простейшие службы обнаружения вторжений (IDS) лицензированы у компании Internet Security Systems и содержат несколько фильтров пакетов IP, фильтры приложений DNS и фильтр приложений POP. Данные службы позволяют обнаружить множество распространенных уязвимостей.

Функция обнаружения вторжения в сервере ISA Server может записывать в журнал события и создавать оповещения при обнаружении потенциальных атак. Она также может останавливать службы и прерывать подозрительные подключения. Ниже перечислены некоторые обнаруживаемые этой функцией профили атак.

• WinNuke (атаки Windows по внешним каналам).
• Land-атаки.
• IP-атаки полусканирования.
• UDP-бомбы.
• Сканирование портов.
• Атаки, использующие переполнение длины имени узла DNS.
• Переносы зоны DNS с привилегированных портов TCP/IP или портов TCP/IP с большими номерами.

В любом случае, при использовании сервера ISA Server или иного решения на основе брандмауэра или системы обнаружения вторжений при разработке системы наблюдения за безопасностью и обнаружения атак важно не забывать о периметре сети (также известном как демилитаризованная зона (DMZ) и экранированная подсеть).

Microsoft Operations Manager 2005

Microsoft Operations Manager (MOM) осуществляет наблюдение за несколькими серверами в сети предприятия из центрального местоположения. Агент MOM осуществляет сбор событий из журналов событий и отправляет их на сервер управления MOM, который затем заносит эти события в базу данных MOM. MOM 2005 и более поздние версии могут осуществлять сбор событий с компьютеров, на которых не запущен агент MOM.

MOM использует эксплуатационные правила управления для определения проблем, влияющих на эффективность работы серверов. Для наблюдения за определенными событиями можно создать дополнительные правила и, когда эти события произойдут, отправить оповещение по электронной почте, через всплывающие сообщения или напрямую на пейджер.

Хотя MOM предоставляет множество полезных функций, которые можно использовать для наблюдения за безопасностью и обнаружения атак, эта программа не предназначена для такого использования. В будущих версиях MOM будет больше возможностей по сбору журналов безопасности.

Сервер Microsoft Systems Management Server 2003

Сервер Microsoft Systems Management Server (SMS) 2003 может осуществлять наблюдение и управлять серверами и рабочими станциями в сети из центрального местоположения. Хотя этот сервер предназначен для выполнения задач управления, он также может выполнять в решении по наблюдению за безопасностью крайне важные функции, связанные с безопасностью, управляя распространением обновлений системы безопасности и сообщая о несанкционированных установках программного обеспечения.

Функции инвентаризации SMS могут быть крайне востребованы в решении по наблюдению за безопасностью в качестве централизованного решения по управлению инвентаризацией в режиме реального времени, что является важным для любого процесса аудита безопасности и наблюдения за безопасностью.

Реализация криминалистического анализа

Криминалистический анализ сам по себе является серьезной темой для обсуждения, которую невозможно полностью раскрыть в этой статье. В частности, в этой статье не обсуждаются требования к работе с вещественными доказательствами для криминалистического анализа и не описываются криминалистические данные, за исключением сведений, содержащихся в журналах событий безопасности.

Определение времени, серьезности и результатов нарушений безопасности, а также выявление систем, атакованных злоумышленниками, может быть выполнено в процессе криминалистического анализа. Чтобы быть полезными, сведения, собранные для криминалистического анализа, должны содержать следующие данные.

• Время атаки.
• Продолжительность атаки.
• Атакованные системы.
• Изменения, внесенные в процессе атаки.

Опять-таки, из-за большого количества мелких деталей, связанных с пониманием законов, управляющих процедурой сбора вещественных доказательств, ключевыми типами данных для криминалистического анализа, средствами, необходимыми для проведения анализа, сбором вещественных доказательств, хранением вещественных доказательств и судебными методами, невозможно подробно рассмотреть этот предмет в данной статье. Однако имеется несколько отличных ресурсов, например «Руководство для специалистов групп оперативного реагирования по судебным делам, связанным с компьютерами» от CERT, которое можно найти по адресу www.cert.org/archive/pdf/FRGCF_v1.3.pdf (эта ссылка может указывать на содержимое полностью или частично на английском языке). Это руководство также имеется на веб-узлах, посвященных компьютерной безопасности.

Проблемы бизнеса

Планирование использования криминалистического анализа отличается от подходов к другим решениям, поскольку оно связано с расследованием уже случившихся происшествий, вместо их анализа в режиме реального времени. Поэтому необходимо хранить подробную историю событий с множества компьютеров в течение длительного периода времени. Из-за этого дополнительного требования эффективная система криминалистического анализа должна быть централизованной и требует значительного объема свободного места на диске, чтобы хранить большое количество записей в подходящей структуре базы данных.

Одно из компромиссных решений заключается в ограничении времени хранения таких записей для криминалистического анализа, а также в выборе типа используемого срока хранения. Подобные факторы могут оказать значительное влияние на требования к хранилищу и оборудованию при планировании криминалистического анализа. В следующей таблице приведены типичные сроки хранения, часто использующиеся на предприятиях, внедривших планы криминалистического анализа.

Таблица 2. Ограничения хранилища для криминалистического анализа

Факторы хранилища	Ограничения хранилища	Комментарии
Онлайновое хранилище (база данных)	21 день	Обеспечивает быстрый доступ к сведениям о событии
Автономное хранилище (резервная копия)	180 дней	Разумное архивное ограничение для большинства организаций
Регулируемая среда	7 лет	Требование к архиву для предприятий, деятельность которых регулируется государством
Разведывательные службы	Постоянно	Требования к разведывательным и оборонным организациям

Примечание.   В некоторых отраслях, регулируемых государством (например в организациях, имеющих дело с медицинскими записями), используется задание ограничений времени хранения в терминах «не хранить дольше, чем» вместо задания срока хранения.

Один из возможных вариантов заключается в использовании онлайновых баз данных для хранения данных для криминалистического анализа и последующем архивировании старых событий в лучше поддающийся сжатию формат, например разделенный запятыми текст (также известный как значения, разделенные запятой, или CSV) для автономного хранения. При необходимости файлы CSV можно импортировать обратно в онлайновую базу данных для анализа.

Убедитесь в том, что независимо от выбранного решения имеется возможность быстрого расследования недавних событий и возможность восстановления старых событий при необходимости. При разработке плана, обеспечивающего наилучшее сочетание сроков хранения данных для онлайнового и автономного хранилищ, необходимо учитывать историю происшествий внутри организации и список имеющихся ресурсов. По возможности протестируйте систему сбора событий на достаточно большой базе данных с отчетами, которые необходимо запускать, и убедитесь в том, что отчеты выполняются за разумный промежуток времени и содержат сведения, обладающие исковой силой.

Необходимо также обеспечить безопасность данных для криминалистического анализа, поскольку доступ к этим сведениям необходим крайне редко. Если доступ необходим, его необходимо предоставить нескольким доверенным сотрудникам отдела безопасности. Доступ администратора к этим сведениям необходимо строго регулировать в рамках установленной процедуры контроля изменений с дополнительным контролем над безопасностью. Никто другой не должен иметь возможность доступа к этим сведениям, прерывать их сбор или изменять их.

Технические проблемы

Планирование решения по наблюдению за безопасностью для криминалистического анализа требует тщательной подготовки для безопасного и надежного сбора и хранения большого количества событий. Требования к наблюдению за безопасностью подобны требованиям, описанным для других решений, но подразумевают наличие намного большего объема ресурсов для хранения базы данных и высокоэффективного управления данными.

Ниже перечислены некоторые технические трудности, которые необходимо учитывать.

• Надежное и безопасное хранилище для онлайновых данных.
• Подготовка больших объемов высокопроизводительного дискового пространства для онлайнового хранилища.
• Надежные системы резервного копирования для записи старых событий на архивные носители.
• Безопасные процессы управления архивным хранилищем.
• Проверенные процессы восстановления для извлечения сведений из резервного хранилища.

Эти трудности не являются уникальными для наблюдения за безопасностью, поскольку администраторы баз данных сталкиваются с подобными проблемами при работе с другими приложениями, такими как базы данных оперативной обработки транзакций (OLTP). Тем не менее, в отличие от других традиционных приложений баз данных, таких как OLTP, база данных для криминалистического анализа должна справляться с намного большим количеством операций записи, чем операций чтения.

Требования

Для планирования эффективной программы криминалистического анализа необходимо выполнить указанные ниже требования.

• Правильная настройка параметров ведения журнала безопасности.
• Налаживание безопасных процессов проверки записи в журнале.
• Безопасная и централизованная процедура и точка сбора данных для журналов безопасности.
• Надежное хранилище сведений о наблюдении за безопасностью.
• Разработанные эффективные планы архивирования и расписания.

Требования, возможности и нормативно-правовые ограничения бизнес-среды необходимо включить в любое решение для криминалистического анализа, поскольку они различаются для каждой организации.