Введение. 5 Структура Операций Microsoft (mof) 6 Добейтесь безопасности и оставайтесь в безопасности 7
| Вид материала | Документы |
СодержаниеПример: Урегулирование инцидента в компании Northwind Traders Таблица 7.3 Пример компании Northwind Traders Смежные темы Дополнительная информация |
- Учебная программа курса Введение в обязанности и условия работы специалиста по технической, 16.36kb.
- Введение, 234.92kb.
- План. Введение Структура экономической безопасности страны. Характеристика аспектов, 183.23kb.
- I. введение, 424.45kb.
- Календарно – тематическое планирование, 135.98kb.
- Малюк А. А., Пазизин С. В., Погожин Н. С. Введение в защиту информации в автоматизированных, 3940.4kb.
- Работа школы по обеспечению личной безопасности обучающихся, 26.09kb.
- Конституции Российской Федерации и федеральных закон, 327.39kb.
- Личная безопасность персонала скорой медицинской помощи, 108.54kb.
- Рабочая программа по технологии 9 класс Календарно тематическое планирование, 132.44kb.
Пример: Урегулирование инцидента в компании Northwind Traders
Чтобы показать, как должны проходить различные этапы реагирования на вторжение, мы расскажем, как группа CSIRT компании Northwind Traders действовала в ситуации заражения вирусом «червя» Code Red II. Хотя этот пример вымышленный, принятые меры весьма близки к тем, которые принимаются реальными организациями в случае нападения.
Таблица 7.3 Пример компании Northwind Traders
Этап реагирования | Предпринятые действия |
| Начальная оценка | Саманта Смит, сотрудник CSIRT по вызову, получила сообщение с кратким описанием события, зафиксированного в системном журнале системы обнаружения вторжений компании Northwind Traders. Система определила возможное заражение вирусом Code Red II Web-сервера с именем WEB2. Она проверяет системный журнал IIS на WEB2 на наличие строки подписи и ищет root.exe на c:\inetpub\scripts. Результаты исследований явно показывают, что не ошибочный сигнал. |
| Сообщение о вторжении | Саманта по телефону уведомляет остальных членов CSIRT о том, что обнаружила, и обещает сообщить дополнительные подробности, как только таковые будут доступны. |
| Остановка нападения и минимизация риска | Политика реагирования на инциденты Northwind Traders утверждает, что для проверки на наличие «червя» систему нужно вывести из сети. Саманта отключает сетевой шнур. К счастью, WEB2 – это элемент множества серверов с распределенной нагрузкой, поэтому простой сервера из-за его отключения на клиентах не скажется. |
| Оценка серьезности вмешательства | Саманта сканирует системные журналы остальных серверов, чтобы выяснить, не распространился ли «червь». Выясняется, что нет. |
| Сообщение о вторжении | Саманта сообщает остальным членам CSIRT о последних событиях по e-mail и лично обращается к начальнику группы. Начальника зовут Майк Данселио, он менеджер по информационной безопасности и руководитель по нейтрализации данного инцидента. Майк будет координировать всю деятельность и связь с ядром CSIRT. Майк сообщает техническому директору и сотрудникам телефонной службы технической информации, что сервер отключен от сети и будет очищен от «червя», прежде чем снова включиться в сеть. Майк также оповещает исполнительного директора, юриста и специалиста по связям. Юрист сообщает Майку, что хотя преследование злоумышленника, скорее всего, не возможно, все-таки стоит выполнить процедуру сбора доказательств. |
| Остановка нападения и минимизация риска | Другой член CSIRT, Роберт Браун, запускает Hfnetchk, чтобы определить, установлены ли на остальных серверах «патчи» для борьбы с Code Red II. Он обнаруживает, что два сервера не обновлялись, и тут же устанавливает на них этот «патч». |
| Оценка серьезности вмешательства | Роберт проводит дальнейшее сканирование системных журналов остальных IIS-серверов и не находит никаких признаков Code Red II. |
| Защита доказательств | Все указывает на то, что нападение остановлено в WEB2. Поскольку нападение остановлено и юрист указал на важность сбора доказательств, Майк решает сделать это, прежде чем начинать более глубокий анализ системы, который мог бы разрушить эти доказательства. Остальные члены группы продолжают мониторинг остальных Web-серверов и журналов на предмет подозрительной активности. Один из членов группы, обученный сбору улик, создает две копии скомпрометированной системы. Одна из этих копий со всей осторожностью сохраняется для будущего расследования. Другая, возможно, будет использована для восстановления данных в сочетании с чистыми резервными копиями, созданными до события. Судебная копия создана на новом носителе информации без права перезаписи, внимательно документирована и опечатана вместе с жесткими дисками с сервера, согласно политике безопасности. |
| Определение типа и серьезности нападения | Портативный компьютер организации, содержащий набор утилит безопасности, среди которых есть и судебные утилиты, просмотрел восстановительную копию в поисках указаний на дополнительные повреждения. Просмотрены записи журнала и папки на предмет дополнительных областей, запускающих программы сразу после загрузки системы, таких как директории profile/startup и ключи реестров Run и RunOnce. Просматриваются также учетные записи пользователей и групп, политики прав пользователя и безопасности – на наличие любых изменений. |
| Уведомление внешних служб | Так как Northwind Traders участвует во многих правительственных проектах США, Майк сообщает об инциденте в Национальный Центр защиты информации ФБР (National Infrastructure Protection Center). Клиенты компании не уведомляются, так как ни сведения о клиентах, ни системный доступ не пострадали. |
| Системы восстановления | Хотя имеются инструменты удаления Code Red II с WEB2, CSIRT и команда поддержки WEB2 решают переустановить операционную систему на новом носителе. Таким образом, они рассчитывают получить чистую систему без хакерских лазов и поврежденных файлов. После переустановки Windows 2000 безопасность в системе повышается благодаря следованию инструкциям, приведенным в предыдущих главах данного руководства. Незараженная копия помещается в систему, и данные с большими предосторожностями восстанавливаются. Если бы данные можно было восстановить только с пораженной копии, их следовало бы списать в отдельную, внесетевую систему, а затем, устранив опасные места, перенести на сервер. Группа CSIRT проводит полную оценку уязвимости системы, документируя всю информацию, получаемую в этом процессе. WEB2 восстанавливается и тщательно проверяется. |
| Составление и организация документации об инциденте | Майк и CSIRT выясняют причину уязвимости и обнаруживают, что система недавно переустанавливалась, но «патчи» применялись не везде. Это противоречит ясно определенной политике. Ошибки, которые привели к заражению, произошли в трех местах: команда поддержки не установила «патчи», отдел защиты информации не провел аудит применяемых «патчей» по времени, а группа Configuration Management не выявила необходимость в установке «патчей» и последующем обращении в отдел защиты информации, чтобы его сотрудники проверили систему перед возвращением ей рабочего статуса. Любая из этих процедур могла бы предотвратить инцидент. Группа решает внедрить новую процедуру, чтобы избежать таких происшествий в будущем. Составляется таблица контрольных проверок, которая должна быть заполнена до того, как отдел защиты информации сменит конфигурацию брандмауэра с возможностью доступа извне. Отдел аудита также должен регулярно просматривать таблицы контрольных проверок, следя за тем, чтобы они заполнялись аккуратно и целиком. Майк и CSIRT составляют всю документацию, определяя, какие задачи выполнялись в связи с инцидентом, сколько времени заняла каждая из них и кто их выполнял. Эта информация передается в финансовый отдел для подсчета затрат согласно общепринятым принципам расчета ущерба из-за компьютерных преступлений. Начальник CSIRT доводит до сведения руководства общую сумму затрат, причину их возникновения и план предотвращения подобных ситуаций в будущем. Для руководства важно видеть последствия недостатка или не выполнения процедур и отсутствия на месте необходимых ресурсов, таких как CSIRT. Общая документация готова; уроки усвоены; члены группы проверили все политики, которые проводились и не проводились. Юрист, руководство CSIRT и компании просмотрели всю документацию, необходимую для подачи искового заявления в суд. |
Резюме.
В данном руководстве много внимания уделялось мерам, которые вы можете принять для минимизации угрозы вторжения. Однако хороший способ успешного управления безопасностью в вашей организации – делать все, что можно, чтобы свести к минимуму возможность нападения, а затем согласиться с тем, что нападение возможно. Часть этого процесса – внимательная проверка на событие вторжения, описанная в главе 6. Другая, столь же важная часть – иметь в наличии определенный, хорошо отработанный ряд процедур реагирования, которые можно провести в случае, если все-таки произойдет успешное вторжение.
Смежные темы
Hacking Exposed Windows 2000 by Joel Scambray and Stuart McClure (McGraw-Hill Professional Publishing; ISBN: 0-0721-9262-3)
Computer Security Institute (www.gocsi.com) — выпускает учебник под названием «the Computer Crime and Security Survey»
Дополнительная информация
Для получения дополнительной информации от Symantec о реагировании на вторжения смотрите:
esponse.symantec.com/avcenter/security/Content/security.articles/incident.response.phpl
Справочник для CSIRT:
ve.sei.cmu.edu/Recent_Publications/1999/March/98hb001.php
Forum of Incident Response and Security Teams (FIRST):
.org
Incident Response: Investigating Computer Crime by Chris Prosise and Kevin Mandia (McGraw-Hill Professional Publishing; ISBN: 0-0721-3182-9)
Microsoft Security Operations Guide for Windows 2000 Server 158
The Internet Security Guidebook: From Planning to Deployment by Juanita Ellis, Tim Speed, William P. Crowell (Academic Pr; ISBN: 0-1223-7471-1)
RFC 2196:
org/rfc/rfc2196.txt?number=2196
Chapter 27 of the Windows 2000 Professional Resource Kit:
soft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windows2000pro/reskit/part6/proch27.asp
The Cert Coordination Center (CERT/CC):
org