Реклама на сайте




Введение в реагирование на компьютерные инциденты


Что понимать под реагированием или реакцией на компьютерные инциденты (incident response). Чтобы дать определение этому термину, нужно разобраться со словом "инцидент". Инцидентами называются события, прерывающие нормальную операционную процедуру и приводящие к некоторой кризисной ситуации. В частности, инцидентами являются вторжения в компьютерные системы, атаки отказа в обслуживании, кража информации и другие неавторизированные или незаконные действия, на которые должен реагировать персонал подразделения компьютерной безопасности, системный администратор или исследователь компьютерных преступлений. Всех этих людей (и подразделения) мы будем называть исследователями (investigator).

Для инцидентов характерны стрессовые условия, а также ограничения по времени и ресурсам. Серьезные инциденты затрагивают критические ресурсы системы. Кроме того, не существует двух идентичных инцидентов, на которые можно реагировать одинаково. Будут рассматриваться способы реагирования на инциденты. Кроме того, будет предложена формализованная процедура для практических действий в ответ на инцидент.

ЦЕЛИ РЕАГИРОВАНИЯ НА ИНЦИДЕНТ

В предлагаемой методологии реагирования на инцидент мы ориентируемся на профессионалов в области компьютерной безопасности, но не собираемся исключить из обсуждения и официальных представителей государственных органов. Поэтому методология реагирования на инцидент предназначена для решения следующих задач:
• Подтверждение или опровержение самого факта инцидента
• Сбор достоверной информации об инциденте
• Контроль за правильностью обнаружения и сбора фактов
• Защита гражданских прав, установленных законом и политикой безопасности
• Минимизация влияния на бизнес и сетевые операции
• Формирование гражданских и уголовных исков к нарушителям
• Создание точного отчета и полезных рекомендаций для будущих реакций на инциденты

Чтобы решить все эти задачи, предлагается гибкая методология, в которую вошли реальные реакции на инциденты различного типа.

МЕТОДОЛОГИЯ РЕАКЦИИ НА ИНЦИДЕНТ

Компьютерные инциденты часто приводят к сложным и многофакторным проблемам. Как и любая другая сложная техническая проблема, реакция на инциденты может рассматриваться как черный ящик. Проблемы деля к я на составные части, затем исследуется входная и выходили информации каждого компонента. Поэтому предложенная методология реакции на инциденты состоит из следующих процедур:

• Подготовка к инциденту Действия, которые позволяют подготовиться к возможным инцидентам.
• Выявление инцидентов Исследование подозрительных инцидентов в системе безопасности.
• Первоначальная реакция Проведение первоначального расследования. Получение наиболее очевидных фактов (включая свидетельские показания) и подтверждение самого факта инцидента.
• Формирование стратегии реакции на инцидент На основе собранных фактов определяется наиболее эффективная реакция на инцидент, которая утверждается руководством компании.
• Дублирование (судебное резервное копирование) Создание материалов для предоставления в судебные инстанции для расследования инцидента или получения дополнительных фактов.
• Исследование Проведение подробного изучения того, что произошло, кто это сделал и как можно предотвратить подобные инциденты в будущем.
• Реализация мер безопасности Активное воздействие на пострадавшую систему, предполагающее проведение мероприятий безопасности для изоляции и устранения последствий инцидента.
• Сетевой мониторинг Исследование операций в сети для изучения и защиты пострадавших сетевых устройств.
• Восстановление Возобновление нормального операционного состояния пострадавшей системы.
• Отчет Точное документирование всех подробностей расследования и применение мероприятий безопасности.
• Завершение работы Анализ предпринятых действий, изучение полученного опыта и устранение всех выявленных проблем.

ПОДГОТОВКА К ИНЦИДЕНТУ

Компьютерные инциденты являются случайными, т.е. исследователи заранее' не знают, когда произойдет очередной инцидент в системе безопасности. Более того, исследователи вообще не могут получить управление и не имеют доступ к компьютеру, пока на нем не произойдет инцидент. Однако как и с научным прогнозированием землетрясений или ураганов, мы точно знаем, что инцидент может произойти. И это поможет хорошо подготовиться и к очередному инциденту.

При подготовке к инциденту предполагается не только получение программных инструментов и технологий, но и некоторые действия в системе и сети для предварительной подготовки к реакции на инцидент. Если исследователи могут хоть немного контролировать компьютеры и сеть, то можно предпринять разнообразные предварительные действия, которые помогут ускорить реакцию после возникновения инцидента. Например, можно усовершенствовать процедуру входа на хосты и в сети, а также регулярно проводить резервное копирование.

Вне зависимости от полномочий доступа к потенциальным жертвам инцидентов (т.е. к хостам и сетям), необходимо заранее распределить роли между членами команды реакции на инцидент, а также подготовить оборудование и программные средства для этой реакции.

ВЫЯВЛЕНИЕ ИНЦИДЕНТОВ

Выявление является первым этапом реакции на инциденты. Перед выявлением исследователь должен быть уведомлен о возможности инцидента. Для этого служат определенные каналы, позволяющие получить информацию еще до начала исследования инцидента.

НАГЛЯДНЫЙ ПРИМЕР

Не совсем правильно говорить, что нельзя предугадать, когда произойдет следующий инцидент. Можно обратиться к публикациям о вторжениях в операционные системы и приложения. Раньше команда быстрого реагирования на компьютерные инциденты (CERT, Compuiei Emergen су Response Team) отмечала сотни событий, причем поныне всего в летние месяцы.

Предполагаемый инцидент может быть обнаружен различными техническими и организационными средствами. К техническим средствам относятся системы обнаружения вторжений (IDS, intrusion detection systems) и брандмауэры (firewall), которые формируют сообщения об аварийных событиях в сети. В процессе своей обычной работы администраторы и пользователи могут заметить необычные операции по использованию учетных записей или ресурсов. Посетители вполне могут уведомить о неправильном функционировании службы или исковерканном Web-сайте.

Вне зависимости от метода выявления инцидента, необходимо записать все полученные сведения. Предполагается пользоваться списком уведомлений (notification checklist), который позволяет не упустить важные подробности и факты. Список уведомлений должен содержать все необходимые подробности, хотя не все данные могут использоваться для уведомления. Однако необходимо зафиксировать очевидные факты, к которым относятся:

• Текущие дата и время
• Кто или что уведомил об инциденте
• Природа инцидента
• Как произошел инцидент
• Участвовавшее в инциденте оборудование и программное обеспечение
• Контактная информация лиц, обнаруживших инцидент

НАГЛЯДНЫЙ ПРИМЕР

Уведомление об инциденте может быть получено разными путями. Несколько лет назад мы уведомили одного из клиентов об инциденте, обнаруженном во время проведения теста на вторжение. Клиент нанял нас проверить системы безопасности для обращений из Интернета. Когда мы успешно проникли из Интернета на тестируемый хост UNIX, то обнаружили, что были не первыми. На хосте уже работала программа-анализатор, собиравшая имена пользователей и пароли для какого-то хакера из Интернета!
Заполнив список уведомлений, следует привлечь команду реагирования на инцидент и обратиться в соответствующее подразделение компании. Команда реагирования на инцидент уже сформирована на фазе подготовки к инциденту, поэтому на основе полученного списка уведомлений начинает следующую фазу процесса — первоначальную реакцию на инцидент.