Наблюдение за безопасностью и обнаружение атак

Развертывание и управление решением

Возможность обнаружения, локализации и реагирования на атаку является основной целью любого решения наблюдения за безопасностью и обнаружения атак. Таким образом, большая часть этого раздела будет посвящена подробному обсуждению событий, появление записей о которых в журнале событий может свидетельствовать об атаке. С учетом всего сказанного выше план по наблюдению за безопасностью и обнаружению атак должен удовлетворять следующим требованиям.

• Обнаружение внутренних нарушений политики.
• Определение атак из внешних источников.
• Эффективный и точный криминалистический анализ.

В решении, описанном в данной статье, подобные компоненты используются для каждого из этих трех требований. К реализации возможностей криминалистического анализа предъявляются дополнительные требования, которые будут рассмотрены ниже.

Наблюдение за безопасностью и обнаружение атак

Концепция решения для наблюдения за безопасностью и обнаружения атак требует планирования соответствующих уровней аудита безопасности для перечисленных ниже сфер.

• Управление учетными записями.
• Защищенный доступ к файлам.
• Изменения политики безопасности.
• Доверенное создание и удаление.
• Использование прав пользователей.
• Перезапуски системы и изменения времени.
• Изменения реестра.
• Запуск неизвестных программ.

Система наблюдения за безопасностью и обнаружения атак осуществляет сбор сведений из журналов событий безопасности и сохраняет эти сведения в центральном хранилище. Аудиторы безопасности могут затем проанализировать эти данные на наличие подозрительных действий. Кроме того, эти сведения также можно хранить и архивировать для последующего криминалистического анализа, если возникнет такая необходимость.

Основным компонентом этого решения является возможность настройки функции Microsoft Windows 2003 с пакетом обновления 1 (SP1) и Microsoft Windows XP с пакетом обновления 2 (SP2), называющейся «индивидуальный аудит пользователей». Индивидуальный аудит пользователя допускает задание различных уровней аудита для определенных учетных записей пользователей, позволяя таким образом устанавливать более высокий уровень аудита для важных или подозрительных учетных записей.

Необходимые предпосылки решения

Ниже перечислены необходимые предпосылки для настройки данного решения по наблюдению за безопасностью и обнаружению атак.

• На серверах должна быть установлена ОС Windows Server 2003 с пакетом обновления 1 или более поздняя версия, серверы должны входить в домен Active Directory.
• На клиентских компьютерах должна быть установлена ОС Windows XP с пакетом обновления 2 или более поздняя версия, клиентские компьютеры должны входить в домен Active Directory.

Примечание.   Если компьютеры по периметру компании не входят в домен, их нельзя будет настроить с помощью параметров групповой политики Active Directory. Однако для настройки таких систем можно использовать локальные политики и шаблоны политик.

Основное внимание в этой статье уделяется определению характерных признаков атак. В ней не дается никаких рекомендаций относительно конкретной технологии, используемой для сопоставления событий безопасности, хотя и перечисляются некоторые возможные решения. После принятия решения о подходящем механизме сбора данных можно использовать события и последовательности событий, перечисленные в этой статье, для разработки запросов и оповещений о подозрительном поведении.

Нарушения политики и пороговые значения

Новые возможности, доступные в Microsoft Windows Server 2003 и Microsoft Windows XP с пакетом обновления 2 предусматривают выборочные уровни аудита для отдельных учетных записей пользователей. Например, можно установить уровни аудита таким образом, чтобы сообщать только о входе в систему и выходе из системы для всех пользователей, в то же время осуществляя аудит всех действий определенного пользователя. Выборочный аудит пользователей также можно использовать для уменьшения количества событий в журнале безопасности, исключая аудит определенных действий для некоторых учетных записей. С помощью этих функций можно вести аудит только учетных записей пользователей; вести аудит групп безопасности и групп рассылки таким образом не получится. Учетные записи, принадлежащие локальной группе администраторов, нельзя исключить из аудита, используя механизм выборочного аудита пользователей.

Служебная программа командной строки, используемая для задания политики аудита на пользователя в Windows Server 2003 и Windows XP с пакетом обновления 2, называется Auditusr.exe. Допустимые выборочные категории аудита:

• системное событие;
• вход или выход из системы;
• доступ к объектам;
• привилегированное использование;
• подробное отслеживание;
• изменение политики;
• управление учетными записями;
• доступ к службе каталогов;
• Вход в систему учетной записи

При запуске Aauditusr.exe из командной строки без параметров будут показаны текущие параметры выборочного аудита, которые при первом запуске будут пустыми. Имеется два способа заполнения параметров выборочного аудита: индивидуальный ручной ввод с помощью параметров командной строки или ввод сразу нескольких параметров путем импорта файла параметров индивидуального аудита пользователей.

Программа Audituser.exe используется следующим образом:

Audituser.exe /параметр учетная_запись_пользователя:«категория»

(или список категорий, разделенных запятой).

Например, для включения аудита сбоев системных событий и событий входа и выхода из системы для учетной записи с именем ЛокальныйПользователь используется следующая запись командной строки:

Audituser /if ЛокальныйПользователь:”System Event”,”Logon/Logoff”

В командной строке можно использовать следующие параметры:

• /is — добавляет или изменяет запись в списке успешного выполнения;
• /if — добавляет или изменяет запись в списке выполнения с ошибками;
• /es — добавляет или изменяет запись в списке успешного выполнения;
• /ef — добавляет или изменяет запись в списке исключений выполнения с ошибками;
• /r — удаляет все записи индивидуального аудита пользователей для определенной учетной записи пользователя;
• /ra — удаляет все записи индивидуального аудита пользователей для всех учетных записей пользователей;
• /e — экспортирует параметры в файл с указанным именем;
• /i — импортирует параметры из файла с указанным именем.

Файл параметров индивидуального аудита пользователей является обычным текстовым файлом. Его формат приведен на следующем рисунке.

Рис. 6. Пример файла импорта Auditusr.exe

Примечание.   Для успешного импорта файл импорта должен начинаться со строки Auditusr 1.0, как показано на рисунке.

Таким образом, чтобы импортировать файл параметров аудита, показанный на предыдущем рисунке, необходимо выполнить следующую команду:

Audituser /i path\audit.txt

Эту служебную программу можно использовать для задания пороговых значений сведений о ведении журнала аудита, что может снизить требования к хранилищу и увеличить вероятность обнаружения попыток вторжения.

Нарушения политики безопасности и корреляция событий аудита

Хотя в этом разделе не делается различий между нарушениями политики, вызванными внешними или внутренними источниками, важно отметить, что внутренние нарушения политики могут быть столь же опасны для организации, как и атаки извне. Как было отмечено ранее в этой статье, значительный процент вредоносных атак проводится из внутренних источников, и этот процент не включает в себя случайный ущерб, вызванный неправильным использованием повышенных привилегий за пределами установленной сферы действия.

Из-за риска, связанного со случайным или намеренным злоупотреблением внутренних источников повышенными привилегиями, важно установить политики и процедуры, контролирующие правильное использование таких привилегий, а также задать контрольные журналы для взаимной корреляции. После создания процесса управления изменениями и политики документации можно приступить к разработке корреляции для сопоставления сведений об аудите с утвержденными и неутвержденными событиями, облегчая возможность обнаружения необычного поведения внутри организации. Этот раздел поможет задать подобную корреляцию путем описания различных типов событий, которые впоследствии можно отслеживать, и способов их возможного применения к политикам и процессам.

Доступ к несанкционированным компьютерам

Административный и обслуживающий персонал все шире использует средства удаленного управления, например службы терминалов, для подключения и управления удаленными системами. На этих системах необходимо отслеживать попытки интерактивного входа в систему, а каждую попытку подключения необходимо проверять на допустимость. При таких проверках необходимо выполнять указанные ниже действия.

• Определение входов в систему учетных записей служб.
• Запись попыток доступа со стороны несанкционированных учетных записей.
• Расследование попыток подключения из необычных географических местоположений.
• Создание списка попыток подключения с диапазонов внешних IP-адресов.

Особое внимание необходимо уделить наблюдению за активами, имеющими большую ценность. Подобные критически важные ресурсы должны находиться на особых серверах, для которых установлены жесткие параметры аудита и контроля доступа.

В следующей таблице приведены события аудита входа в систему, которые следует сравнивать со списком авторизованных учетных записей при обнаружении этих событий на компьютерах, имеющих большую ценность.

Таблица 3. События несанкционированного использования компьютера

Код события	Событие	Комментарии
528	Успешный вход в систему	Проверьте имя рабочей станции и имя учетной записи пользователя. Убедитесь в том, что сетевой адрес источника находится внутри сети.
529	Сбой при входе в систему — неизвестное имя пользователя или неправильный пароль	Проверьте наличие попыток входа в систему, при которых имя целевой учетной записи — «Администратор» или переименованная учетная запись администратора по умолчанию. Также проверьте наличие множества неудачных попыток входа в систему, количество которых меньше порогового значения блокировки.
530	Сбой при входе в систему — ограничения времени	Обозначает попытку входа в систему вне разрешенного промежутка времени. Проверьте имя пользователя и имя рабочей станции.
531	Сбой при входе в систему — учетная запись в настоящий момент отключена	Проверьте имя целевой учетной записи и имя рабочей станции. Это событие может сигнализировать о попытках вторжения со стороны бывших пользователей и является поводом для расследования.
532	Сбой при входе в систему — указанная учетная запись пользователя устарела	Проверьте имя целевой учетной записи и имя рабочей станции. Это событие может сигнализировать о попытках злоупотреблений со стороны подрядчиков или временных сотрудников и является поводом для расследования.
533	Сбой при входе в систему — пользователю не разрешено входить в систему на этом компьютере	Означает, что пользователь пытается войти в систему на рабочих станциях, доступ к которым ограничен.
534	Сбой при входе в систему — тип входа в систему не разрешен	Проверьте имя целевой учетной записи, имя рабочей станции и тип входа в систему. Это событие обозначает неудачную попытку интерактивного входа в систему с учетными данными учетной записи службы, в то время как параметры групповой политики запрещают интерактивный вход в систему с подобными учетными записями.
535	Сбой при входе в систему — пароль указанной учетной записи устарел	Означает, что пользователь пытается войти в систему с учетной записью, пароль которой устарел. Это событие может стать поводом для расследования, если оно повторяется без изменения соответствующего пароля или обращения в службу поддержки.
536	Сбой при входе в систему — компонент NetLogon не активен	Убедитесь в том, что служба NetLogon работает. В противном случае, это событие может стать поводом для расследования.
540	Успешный вход в систему	Это событие является сетевым эквивалентом события 528.

Троянские программы, руткиты и вредоносные программы

Код события 592 особенно полезен для обнаружения проявлений троянских программ, руткитов и иных вредоносных программ, поскольку он создается при запуске нового процесса. Каждое появление этого события должно быть поводом для немедленного расследования каждый раз, когда имя файла образа не соответствует процессу из списка утвержденных программ.

Троянские программы и клавиатурные шпионы сравнительно легко обнаружить. Однако руткиты, в отличие от них, скрываются очень тщательно. Их можно обнаружить, найдя неизвестные программы, которые запускаются и затем очень быстро останавливаются. Однако операционная система никак не может обнаружить руткит при его запуске и поэтому не создает никаких событий.

Вредоносные программы также могут пытаться проникать в систему в виде вложений электронной почты или через зараженные веб-узлы. Если исполняющая учетная запись не имеет прав на запуск новых программ, они могут пытаться повысить привилегии. В таких случаях запуск несанкционированного программного обеспечения должен привести к созданию события о сбое, которое необходимо будет расследовать, особенно при возникновении перечисленных ниже событий.

• Процессы, порождаемые учетной записью LocalSystem. Процессы, запускаемые от имени учетной записи LocalSystem, должны присутствовать в списке утвержденных программ и могут включать такие процессы как Services.exe.
• Процессы, порожденные в непредвиденное время. Если в наблюдаемой системе не используются никакие запланированные пакетные процессы, выполнение некоторых действий (например резервного копирования, запуска CGI или сценариев) должно становиться поводом для проведения расследования. В других случаях расследование необходимо проводить, если подобные события происходят не по обычному расписанию.

Таблица 4. Событие 592

Код события	Событие	Комментарии
592	Создание нового процесса	Проверьте записи «Имя файла образа» и «Имя пользователя» на наличие неутвержденного процесса, непредвиденного времени запуска или быстрой последовательности запуска и остановки неизвестных программ.

Доступ к ресурсам путем изменения разрешений на файлы

Привилегии администратора можно использовать для доступа к файлам, доступ к которым обычно запрещен, путем изменения владельца данных и последующего добавления учетных записей в список разрешений на чтение для этих данных. Подобные действия в Windows Server 2003 можно скрыть, изменив владельца и разрешения обратно на исходные параметры.

В такой ситуации чрезвычайно важно определить особо ценные активы и данные, поскольку реализовывать аудит доступа к объектам для всех файлов в типичной сети предприятия среднего размера было бы непродуктивно из-за огромного количества событий доступа, происходящих каждый день. Аудит доступа к объектам следует включить для важных файлов и папок. Одних лишь записей списка управления доступом (ACL) недостаточно для обеспечения защиты от попыток несанкционированного доступа.

Для эффективного обнаружения нелегальных действий, необходимо обеспечить легкость определения перечисленных ниже факторов для всех особо ценных файлов.

• Какой объект был целью попытки получения доступа?
• Какая учетная запись использовалась для запроса доступа?
• Какая учетная запись санкционировала доступ?
• Какой тип доступа пытались использовать?
• Было ли событие успешным или безуспешным?
• Какой компьютер использовался для запуска попытки?

Встроенное средство просмотра событий не имеет достаточного числа параметров фильтрации для определения этих сведений. Таким образом, для выполнения такого анализа необходимо использовать EventCombMT или какой-либо другой механизм.

События аудита доступа к объектам, приведенные в следующей таблице, связаны с попытками подобного рода.

Таблица 5. События изменения разрешений для файлов

Код события	Событие	Комментарии
560	Доступ предоставлен существующему объекту	Обозначает успешно выполненный запрос на предоставление доступа к объекту. Для обнаружения несанкционированного доступа проверьте первичный идентификатор для входа в систему, имя пользователя клиента и основное имя пользователя. Проверьте поле «Доступ», чтобы определить тип операции. Это событие позволяет обнаружить только запросы на получение доступа, но не факт его получения.
567	Разрешение, связанное с использованным дескриптором	Обозначает использование первого экземпляра типа доступа к объекту и изменение разрешений, если поле «Доступ» содержит строку WRITE_DAC. Соотнесите с событием 560, сравнив поля «Дескриптор».

Доступ к ресурсам путем сброса паролей

Изменения паролей должны происходить только в утвержденных рамках установленных процедур. При правильно настроенных уровнях аудита должна выполняться запись событий управления учетными записями, показанными в следующей таблице и проверка этих событий на соответствие установленным процедурам для определения деятельности, которая не следует этим процедурам.

Таблица 6. События сброса пароля

Код события	Событие	Комментарии
627	Попытка изменения пароля	Обозначает запрос на изменение пароля, при котором запрашивающая сторона представила исходный пароль. Сравните имя основной учетной записи с именем целевой учетной записи, чтобы определить, является ли запрашивающая учетная запись измененной учетной записью.
628	Установка или сброс пароля учетной записи пользователя	Скорее всего, обозначает сброс пароля с помощью административного интерфейса, а не процесс изменения пароля. Запрашивающая сторона должна быть авторизованной учетной записью, например учетной записью справочной службы или учетной записью самообслуживания для сброса пароля.
698	Изменение пароля режима восстановления служб каталогов	Обозначает попытку изменения пароля режима восстановления служб каталогов в контроллере домена. Проверьте IP-адрес рабочей станции и имя учетной записи. Это событие требует немедленного расследования.

Изменение учетной записи пользователя

Любое изменение учетной записи, будь то добавление, удаление или модификация учетной записи, должно соответствовать установленной процедуре, включающей многошаговую процедуру бизнес-логики, инициируемую по официальному запросу руководящего сотрудника. Все события в следующей таблице должны соответствовать официальному запросу на изменение учетной записи. В противном случае они требуют немедленного расследования.

Таблица 7. События изменения учетной записи пользователя

Код события	Событие	Комментарии
624	Создание учетной записи пользователя	Обозначает создание сетевой учетной записи.
630	Удаление учетной записи пользователя	Обозначает удаление сетевой учетной записи.
642	Изменение учетной записи пользователя	Обозначает изменения учетной записи пользователя, связанные с безопасностью, но не описываемые событиями 627-630.
685	Изменение имени учетной записи пользователя	Обозначает изменение имени учетной записи пользователя.

Для эффективного выявления проблем с управлением учетными записями, необходимо настроить запросы описанным ниже образом.

• Найти отклоняющиеся от нормы или необычные действия учетной записи.
• Выявить учетные записи уровня администратора, злоупотребляющие правами создания или изменения учетных записей.
• Обнаружить схему действий учетных записей, выходящую за рамки политики безопасности организации.

Также важно установить интервал между созданием учетной записи и первоначальным входом в систему и изменением пароля. Если новая учетная запись не используется в течение предварительно определенного временного интервала, (обычно в процессе создания учетной записи записывается ожидаемая дата начала работы нового пользователя), такую учетную запись следует отключить и начать расследование для определения причины задержки.

Изменения членства в группах

Правильный режим безопасности подразумевает использование принципа наименьших привилегий, что означает предоставление учетным записям минимального уровня доступа, необходимого для адекватного выполнения их функций. При использовании такого режима большинство учетных записей будут членами группы пользователей домена по умолчанию с дополнительным членством в группах безопасности, характерных для конкретной организации.

Изменение членства в группах безопасности должно происходить только в рамках установленной политики, особенно для учетных записей с повышенными привилегиями. Подобные изменения членства в группах должны выполняться только установленными учетными записями, используемыми для управления учетными записями, а подобные события должны соответствовать установленной для вышеупомянутых изменений процедуре. Любые изменения, выходящие за рамки этой процедуры, должны становиться поводом для немедленного расследования.

События аудита управления учетными записями, приведенные в следующей таблице, объясняют изменения членства в группе.

Таблица 8. События изменения членства в группе

Код события	Событие	Комментарии
631, 632, 633, 634	Изменение глобальной группы с включенной безопасностью	Проверьте поле «Имя целевой учетной записи», чтобы определить, была ли измененная группа глобальной, и имела ли она обширные права доступа.
635, 636, 637, 638	Изменение локальной группы с включенной безопасностью	Проверьте поле «Имя целевой учетной записи», чтобы определить, была ли измененная группа группой администраторов, операторов сервера или операторов резервного копирования.
639, 641, 668	Изменение группы с включенной безопасностью	Обозначает изменение группы, отличное от удаления, создания или изменения членства. Проверьте поле «Имя целевой учетной записи», чтобы убедиться в том, что не была изменена группа с высокими привилегиями.
659, 660, 661, 662	Изменение универсальной группы, связанное с безопасностью	Проверьте поле «Имя целевой учетной записи», чтобы убедиться в том, что не была изменена группа с высокими привилегиями, например группа администраторов предприятия.

Примечание.   Членство в группах рассылки не дает доступа к сетевым ресурсам, поскольку группы рассылки не определяют безопасность. Тем не менее, членство в определенных группах рассылки может приводить к проблемам с безопасностью в зависимости от группы. Например, помещение учетных записей пользователей в группу рассылки менеджеров или руководителей может привести к получению пользователем по электронной почте сообщений, не соответствующих занимаемой должности.