Чем ближе система с автоматическими ответными действиями будет расположена к точке подключения к Internet, тем эффективнее она будет работать. Однако при этом возрастает риск подмены и манипуляции IP-адресами. Основная причина состоит в том, что пакеты в точке подключения к Internet обычно не фильтруются, они только затем поступают на брандмауэр или фильтрующий маршрутизатор. Это означает, что устройства, установленные в точке подключения к Internet, могут быть атакованы с использованием IP-дейтаграмм, в которых указаны любые адреса (в том числе и подложные), TCP-пакетов с указанием любых портов отправителя (в диапазоне 0-65535) и комбинаций флагов и параметров, UDP-пакетов тоже с любыми параметрами, ICMP-сообщений, фрагментированных пакетов, а также с помощью всех типов пакетов протокола IP. Это обширное поле деятельности для организации защиты. Политика “запрета всего, что не разрешено” позволяет блокировать большую часть атак на периметре локальной сети, но обработка всех входящих пакетов с использованием автоматических ответных действий довольно рискованна. И все-таки автоматические ответные действия используются довольно широко благодаря своему основному преимуществу - возможности при внезапном возникновении угрозы отвечать автоматически с задержкой по времени, необходимой только для обработки одного пакета. Создание средств наподобие hogwash и UnityOne компании Tip-pingpoint’s (www.tippingpoint.com) подтверждает принцип, согласно которому эффективность автоматического ответа повышается с приближением к точке подключения к Internet.

Брандмауэры в локальной сети

Автоматические ответные действия, осуществляемые брандмауэрами, которые находятся в локальной сети, намного безопаснее, поскольку на эти брандмауэры поступает как минимум частично отфильтрованный трафик. Кроме того, можно значительно точнее определить политику безопасности. Например, если брандмауэр предназначен для защиты пяти локальных хостов, то можно точно сказать, какие службы и порты должны на них использоваться. Конечно, при этом автоматические ответные действия выполняются значительно реже. Здесь необходимо учитывать затраты на аппаратные средства, программное обеспечение и администрирование. Положительным моментом является наличие устройств, которые практически не нуждаются в настройке. Благоприятные условия для этого создала революция на рынке кабельных модемов и DSL-модемов, и в данное время существует множество решений от таких фирм, как Cisco, Linksys, Netgear и Symantec. Например, стоит приобрести для своей организации средство NAT (Network Address Translations), которое обеспечивает высокую степень защиты от атак при сравнительно низкой стоимости ($250). Если люди начнут повсеместно использовать такие устройства, то скоро мне придется подыскивать себе новую работу, не связанную с обнаружением взлома.

Защита на хостах

Автоматические ответные действия, организуемые на хостах, реагируют на самое небольшое количество внешних воздействий, но широко распространены, и риск подмены IP-адресов отправителя намного ниже, чем на периметре локальной сети. Существуют два основных метода: установка брандмауэров в локальных сетях и защита с помощью брандмауэров конкретных хостов. Многие люди целиком полагаются на защиту с помощью персональных брандмауэров, например, на программу PortSentry компании Psionic для UNIX-систем. Эта программа блокирует хост нарушителя, не разрешает устанавливать с ним новые соединения и даже удаляет , маршрут, что полностью предотвращает возможность обмена данными. Систем персональных брандмауэров довольно много, но так как эта глава посвящена автоматическим ответным действиям, то следует особо выделить программу ВаскОШсег Friendly (www.nfr.com/products/bof/index.html). Это нечто большее, чем просто персональный брандмауэр! Ее можно считать активным средством защиты. Тем, кто работает в Windows и хочет узнать об автоматических ответных действиях, следует загрузить эту программу и проверить ее в боевых условиях. Единственным ее недостатком является отсутствие обновлений. Тем не менее это очень эффективная программа для защиты хоста, которая проста в установке, настройке и обслуживании. Почему пользователи столь зависимы от подобных программ? Очень часто ими пользуются администраторы локальных сетей, если при подключении к Internet вообще не осуществляется никакой фильтрации трафика. Основными сетями, в которых не осуществляется фильтрация входящих пакетов, являются:

■ сети, в которых используются подключения с помощью кабельных модемов или DSL-модемов;

■ сети коммерческих организаций, в которых защита просто игнорируется;

■ сети университетов (отсутствие защиты во имя свободы);

* сети Ethernet в гостиницах.

Использование кабельных модемов и модемов для цифровых абонентских сетей (DSL-модемов) становится все большей угрозой для специалистов по безопасности (поэтому, скорее всего, мне не придется менять работу). Я лично создал много соединений с Internet с помощью кабельных модемов и наблюдал приблизительно от 5 до 20 попыток сканирования каждый день. Сотни людей подключаются к Internet по кабельным и цифровым сетям, и на большинстве их систем нет никаких средств защиты. Бот почему мы были так озабочены в 2001 году, когда появились вирусы Code Red, nimda и Leaves. Основными средствами защиты при использовании кабельных модемов являются программы наподобие NAT и персональные брандмауэры. Эти средства не обеспечивают автоматических ответных действий, но это неплохая сделка: защита от взлома взамен его обнаружения.

Коммерческие организации, которые не придают значения защите при подключении к Internet, не выдержат перехода к экономике, основанной на информационных технологиях. Просто поразительно, сколько существует узлов, на которых не установлены брандмауэры или не задействована какая-либо адекватная защита на периметре локальной сети. Любое соединение работающего компьютера с Internet будет проверено хакерами. Если системы не готовы к защите, то они будут взломаны. Если повезет, то хакеры просто позабавятся со взломанными хостами, но и в этом случае такие хосты, скорее всего, будут использованы для проведения следующих атак. Гораздо хуже, если скомпрометированные хосты организации используются для кражи коммерческих тайн. Если бы я был серьезным бизнесменом, то в дополнение к основному брандмауэру обязательно установил несколько брандмауэров в своей локальной сети. В противном случае атаки хакера, которому удалось взломать защиту на периметре, не смогут быть ни заблокированы, ни выявлены. Самые важные компьютеры обязательно должны быть защищены дополнительными средствами.

Я несколько лет наблюдал интересные сражения в университетских сетях. На многих узлах университетов брандмауэры или средства фильтрации пакетов отсутствуют напрочь. Но некоторые факультеты не хотят впускать в свои сети всех желающих и покупают собственные брандмауэры. Кроме того, сознательные администраторы пользуются программами защиты своих хостов. Ничем не ограниченное соединение с Internet уже устарело и может считаться пережитком университетских свобод. Вряд ли подобная практика просуществует более четырех лет. Будет любопытно понаблюдать за этим процессом. Ученые, которые заявляют, что все пакеты должны свободно поступать и передаваться в Internet, наверняка скоро изменят свое мнение. Нужно только дождаться, когда 50% бюджета факультета будет потрачено на удовлетворение судебного иска, поданного какой-то коммерческой организацией, которая понесет убытки от атаки, осуществленной со скомпрометированных хостов сети университета.

Подключения к Internet во время путешествий требуют особой осторожности. Я часто вожу с собой небольшой концентратор Linksys с возможностью маршрутизации и таким образом создаю два эшелона защиты: с помощью программы NAT и с помощью персонального бпанлмауэоа. Кгюме того, это позволяет одновременно рабо тать в Internet и мне, и моей жене. Использование NAT позволяет снизить риск взаимодействия с другими пользователями и доступа к моим секретным документам.

Автоматические ответные действия следует применять с осторожностью. Я предпочитаю использовать их в сетях учебных учреждений, особенно во время рождественских каникул. В это время людей обычно нет, а компьютеры остаются и их можно использовать для экспериментов с автоматическими ответными дей-. ствиями. Поскольку никакой работы практически не выполняется, риск использования автоматических ответных действий снижается до минимума, и можно проверить, на что они способны.

В следующих разделах мы рассмотрим варианты автоматических ответных действий. При этом не забывайте о том, где эти возможности ответа будут иметь наибольший эффект.

Увеличение задержки ответа

Это хороший метод реагирования на сканирование портов, зондирование сети, SYN-наводнения и составление схем сети. Идея заключается в том, чтобы, обнаружив наводнение SYN-пакетами или сканирование, постепенно увеличивать время задержки ответов. Так можно заблокировать сканирование нескольких типов, например составление схемы сети с помощью ping-запросов (широковещательные адреса 0 или 255). Подобные методы сканирования основаны на сценариях, согласно которым определение хостов под управлением UNIX основано на времени их ответа. В маршрутизаторах Enterasys и Cisco поддерживается возможность ограничения интенсивности пропускаемого трафика. Вообще, любое устройство с функциями обеспечения качества обслуживания (Quality of Service - QoS) должно предоставлять подобные возможности.

Увеличение задержки может осуществляться и на уровне протокола. Для протокола UDP “глушится” хост-отправитель. Для протокола TCP, если трафик проходит через брандмауэр, в ответных пакетах может занижаться размер окна. Я стараюсь при использовании программы LaBrea не устанавливать размер окна со значением 1. В этом случае злоумышленники могут догадаться о причине задержки, но значение 5, например, великолепно подходит для замедления атаки.

Обрыв соединения

Описание обрыва соединения взято из руководства по определению соответствия атак выявленным в трафике строкам символов. В данном случае термин “соединение” относится к TCP-соединению, но этот же термин применим и к UDP-соединениям при использовании метода блокирования нарушителей (описан в следующем разделе).

Нарушитель устанавливает соединение с открытым портом. Затем он отправляет пакет или пакеты (для таких систем, обладающих возможностями повторной сборки получаемых пакетов, как Cisco Secure IDS или Snort), в которых содержится строка символов для проведения атаки или программа атаки. Система обнаружения вторжений выявляет эту строку и выдает команду брандмауэру оборвать соединение. Возможно, что система уже скомпрометирована, но хакер не может сразу же воспользоваться этим. В случае атаки на переполнение буфера в этот момент на взломанном компьютере запускается программный код (вероятно, с привилегиями суперпользователя), который содержался в специальной строке, выходившей за пределы размера буфера. Если же это программа типа “абордажный крюк” (небольшой демон telnet, запускающийся на заданном порту), то обрыв соединения даст только несколько секунд передышки.

Блокирование нарушителя

Блокирование является одним из важнейших методов защиты как при автоматических ответных действиях, так и при самостоятельных действиях системного администратора.

В ходе атаки на скомпрометированном хосте запускаются новые процессы с привелегиями суперпользователя (root), например, хакер может организовать telnet-ceaHc, возврат запрошенных данных с помощью системы X Window или создать любой другой потайной ход для доступа к системе. Обрыв соединения ничего не дает, так как немедленно будет организовано новое соединение, а в X Window инициируется исходящее соединение со взломанного хоста. В этом случае блокирование будет намного эффективнее. Блокирование позволяет полностью запретить обмен данными (как получение, так и отправку) с хостом злоумышленника. Можно заблокировать отдельный хост или всю его подсеть. При использовании этого метода просматривается файл, в котором сохранены запрещенные для блокирования IP-адреса хостов (так называемый “белый список” - IP-адреса постоянных клиентов и поставщиков). Это позволяет предотвратить атаку с использованием подложных IP-адресов, целью которой является нарушить взаимодействие организации с ее партнерами.

Блокирование не поможет при использовании хакером нескольких 1Р-адресов, принадлежащих хостам различных подсетей. Такое случается довольно часто. Мой друг, Педро Васкес (Pedro Vasques), прислал мне из Бразилии трассировку именно одной такой скоординированной атаки на переполнение буфера сервера DNS. Атака осуществлялась с одного хоста, а окно X Window открывалось на другом хосте нарушителя. Тем не менее не стоит отказываться от метода блокирования только потому, что он не помогает абсолютно во всех ситуациях.

Предварительное блокирование

Как ни странно, но многие поставщики услуг Internet и даже целые страны не могут или не хотят управлять работой своих хостов. Со временем, когда вы наберетесь опыта в обнаружении взломов, то увидите, что огромное количество атак осуществляется из одних и тех же сетей. Зачем играть с огнем? В конце концов они найдут способ взломать защиту. Лучше блокировать их до этого. Более того, используйте для блокирования два байта адреса (шестнадцатибитовую маску). Можно заблокировать все хосты целой страны, если в ней не преследуют хакеров. Если страны, которые не контролируют свои “исследовательские сети”, окажутся в изоляции и не смогут получать доступ к целым областям Internet, то скоро им придется изменить свое беспечное поведение.

Мы проверили этот вопрос на Web-сервере SANS и нашли одного провайдера услуг Internet, ргоху-серверы которого пропускали больше атак, чем поступало от любых других групп IP-адресов. Мы заблокировали этого провайдера на несколько месяцев и получили письмо с извинениями. Но в тот же день, когда мы сняли запрет, мы снова подверглись атаке. Запрет доступа из сетей этого провайдера стал постоянным.

Отключение питания

Метод отключения питания - это крайнее средство автоматических ответных действий. Смысл его в том, что при выявлении большого числа атак за короткий промежуток времени (обычно, когда аналитик сетевого трафика отсутствует на работе) система обнаружения вторжений отправляет сигнал на Х10 или другое подобное реле с управляемыми логическими схемами и отключает питание маршрутизатора. В результате узел оказывается изолированным от Internet. Хотя такой метод защиты создает благоприятные условия для проведения хакерами атак отказа в обслуживании, это вполне приемлемая стратегия на время трехдневных выходных на узлах с высоким уровнем безопасности. Для возможности автоматического отключения следует добавить несколько строк кода в любую систему обнаружения вторжений, которая реализует выдачу сообщений по протоколу SNMP. При внимательном рассмотрении такой метод может оказаться не очень удачным, и подобные автоматические ответные действия часто приводят к отказам в обслуживании, вызванным своими же компьютерами. Поэтому организовывать подобные ответные действия нужно только в самых опасных ситуациях.

Выдача SYN/АСК-пакетов

Предположим, что система обнаружения вторжений имеет сведения о портах, доступ к которым заблокирован с помощью брандмауэра или фильтрующего маршрутизатора. В ответ на получение SYN-пакета, предназначенного одному из таких портов, система организует отправку подложного пакета с установленными флагами SYN и АСК. Злоумышленники могут обрадоваться массе обнаруженных целей для атаки, но это будет ошибкой. Последнее поколение программ для сканирования благодаря своим возможностям маскирования доставило массу проблем для специалистов по безопасности. Применение данного метода будет достойным ответом хакерам. Недавно А увидел его в действии. Несколько моих друзей установили брандмауэр Raptor. Он работает просто отлично. Нарушитель завершает процедуру установки соединения и даже пытается отправить данные в последнем АСК-пакете, и можно узнать, чего он хотел.

Отправка RST-пакетов

Этот метод еще называют Reset-убийством (Reset kill) или “завершением сеанса”. Я должен высказать серьезные предупреждения по поводу его использования. Этот метод может обрывать абсолютно нормальные TCP-соединения, и я видел тому примеры в нескольких коммерческих системах обнаружения взлома при появлении ложных тревог. Смысл метода заключается в том, что при обнаружении в трафике установленного TCP-соединения сигнатуры, требующей выполнения ответного действия, для разрыва соединения отправляется по одному пакету Reset каждой стороне этого соединения. Этот метод предназначен для воздействия на хост-инициатор соединения, но хакеры быстро понимают необходимость игнорировать RST-пакеты. Нельзя сказать, что метод широко распространен, но он доступен в Snort и еще в нескольких коммерческих системах обнаружения вторжений.

Ловушка для хакера

На некоторых узлах в дополнение к увеличению задержки на запросы хакера маршрутизатор может направлять получаемый от него трафик на специально оборудованную систему, которую называют ловушкой (honeypot). Ловушка может использоваться как “дублер” настоящей цели атаки хакера. Мы также использовали ловушки со статическими ІР-адресами как замену для локальных хостов, подвергавшихся атаке.

Иногда защищаемый хост вдруг становится предметом особого внимания со стороны хакеров. В такой ситуации удачным решением будет изменить его имя и ІР-адрес и установить вместо него ловушку. Согласно информации на сайте www.incidents.org ловушки создаются в основном для определения целей и методов атак хакеров. Известны ловушки трех типов: система-приманка (proxy system), набор средств DTK (Deception Tool Kit) и “пустой” компьютер (метод альянса Honeynet).

Система-приманка

В 1996 и 1997 годах проводилось исследование используемых хакерами технологий. Целью проекта было собрать максимально возможное количество программ атак. Я взял компьютер на платформе Sun, работающий под управлением SunOS 4.1.3, добавил все доступные заплаты и установил набор средств TIS, назвав систему сгауЗ. Скопировав файл /etc/motd из операционной системы Unicos, я сделал все возможное, чтобы он стал похож на сгау. Слава Богу, что в то время не было метода определения операционной системы по протоколу TCP.

Для имитации работы служб FTP, telnet, SMTP и других использовался набор средств TIS. Скомпилировав программу IRC (Internet Relay Chat), я хотел подключиться к каналам IRC, в которых друг с другом общаются хакеры, обменяться опытом, вызвать атаки на свою систему и собрать используемые при этом методы. Была только одна небольшая проблема. Я никогда не общался в IRC! А ведь если делать что-то неправильно, то тебя просто засмеют. Поэтому я решил начать с канала #thirtysomething. Флирт никогда не был моим любимым занятием, и очень скоро я прекратил бессмысленно смотреть на пробегающие по экрану слова.

Следующей попыткой был канал #Jesus. Я думал, что религиозно настроенные люди будут добры ко мне. Как бы не так! Они выбросили меня из чата через 10 минут.

Наконец, в полном разочаровании я зарегистрировался на канале #abortion. Там были замечательные ребята, хотя их взгляды часто не совпадали. Самое главное, они были готовы обучить новичка. После недельной практики я решился зайти в канал #hack, но тут возникла еще одна заминка. Мы условились, что не должно быть никакого намека на проводимую провокацию, а так как я работал в Министерстве обороны, то мой исходящий адрес оказался из домена .mil. Это снова напомнило мне школьные годы и листок на спине с надписью “Ударь меня”. Хакеры не стали ждать дополнительного приглашения.

Я выдержал несколько дуэлей по TCP, и немного времени спустя дела пошли на лад. Это было очень интересно, а хакеры просто не могли отказать себе в удовольствии атаки на систему из домена .mil, поэтому нам удалось собрать большой объем полезной информации.

DTK

Автором набора инструментальных средств DTK (Deception Tool Kit) является Фред Коэн (Fred Cohen). Получить этот набор можно по адресу http://all.net/dtk.

Набор средств DTK написан на языках Perl и С и позволяет эмулировать работу практически любой службы. Компиляция и установка не представляют никакой сложности. Однако после его улучшения с целью приблизить к реальности настройка стала вызывать определенные проблемы.

Метод работы DTK сильно напоминает использование средства BackOfficer Friendly.

“Пустой” компьютер

Ничто так не похоже на UNIX-систему, как другая UNIX-система. То же самое можно сказать и про системы под управлением Windows NT. Поэтому лучшей приманкой для хакера будет подобная система, которая немного старее и медленнее, а жесткий диск имеет меньший объем (чем меньше, тем лучше, если атакуемая система будет потеряна). После подмены можно установить на такую систему необходимые программы для сбора информации о проводимых атаках. Этот метод был разработан на научной основе командой альянса Honeynet. Компания Incidents.org входит в альянс Honeynet и использует средство vmware (www. vmware . огд), а также брандмауэр, систему обнаружения вторжений и несколько операционных систем, которые запущены на одном компьютере. Возможности программы vmware поистине поразительны. Не так давно поступили тревожные сигналы, что хакеры обнаружили некоторые ловушки, знают их IP-адреса и стараются не атаковать эти системы.

Резюме по ловушкам для хакеров

Использование ловушек довольно эффективно, но может не оправдать вложенных средств. С другой стороны, при блокировании атак с помощью брандмауэра или фильтрующего маршрутизатора нельзя ничего узнать о методах хакеров. Если в сети нет особо важных систем, то лучше всего использовать ловушку для подмены DNS-сервера, Web-cepBepa или сервера электронной почты. Эти системы всегда входят в перечень целей хакеров. Хорошо, что можно изучать методы атак, но плохо, что очень часто повторяются одни и те же атаки.

Атака: ответные действия аналитика

Аналитики сетевого трафика нередко выполняют еще и обязанности специалиста по устранению последствий взлома. Запомните одну вещь: компьютер все равно будет взломан. Внешние атаки из Internet, атаки локальных пользователей и угрозы со стороны вредоносных программ рано или поздно приведут к компрометации. Аналитики часто считают, что они несут полную ответственность за абсолютную защиту организации. Это не так! Не могут спасатели отвечать за аварии. Мы только можем просить их о помощи после случившегося. Задумайтесь над моими словами. Я руководил большой группой по обнаружению вторжений, которая контролировала доступ ко многим узлам, и видел специалистов, убежденных в том, что они несут персональную ответственность за обеспечение защиты от абсолютно всех атак.

Если мы готовы принять удар, то компрометация системы не станет чем-то наподобие конца света. Главное выполнять свою работу максимально рационально и эффективно. Поскольку компрометация связана со стрессовой ситуацией, то план устранения последствий взлома должен быть максимально простым и четким. У реаниматологов используется весьма содержательная аббревиатура АБС. Она расшифровывается следующим образом.

■ Airway (доступ воздуха). Убедиться, что воздух поступает.

■ Breathing (дыхание). Есть или нет?

■ Cardiac (сердечная деятельность). Сердце бьется или нет?

Приведенный ниже план действий по устранению последствий взлома я нашел в одном правительственном документе в 1995 году. С тех пор я работаю над усовершенствованием этой модели. План состоит из шести основных этапов:

■ подготовка;

■ идентификация проблемы;

■ ограничение распространения атаки;

■ устранение ошибок;

■ восстановление;

в выводы из случившегося.

В этой главе не описываются подготовка и идентификация. В конце концов, большая часть этой книги посвящена этой теме.

Ограничение распространения атаки

Во время устранения последствий взлома следует соблюдать разумный темп действий, при спешке можно допустить ошибки, которые обойдутся очень дорого. В этом правиле есть одно исключение- нужно немедленно ограничить распространение атаки. Лучше восстанавливать два компьютера, чем четыре, и лучше разбираться с одной скомпрометированной рабочей группой, чем со всем доменом Windows. Опытные команды по устранению последствий взлома могут работать параллельно. Это особенно важно, когда атака затронула несколько компьютеров. Как только поступают данные об успешной атаке, я делаю копию, определяю круг компьютеров, который она могла затронуть, записываю все на бумагу и без лишних слов передаю эту бумагу человеку, занимающемуся устранением последствий взлома.

Первым делом следует прекратить возможность связи по сети со взломанными компьютерами.

Остановка атаки

Сначала я звоню человеку, который находится ближе всего к консоли взломанной системы. Следующие фразы являются результатом многих лет работы в области безопасности. Вы технический специалист, но тот, кому вы звоните, может ничего не смыслить в компьютерах. Кроме того, он может видеть наличие проблемы и быть в стрессовом состоянии. Конечно, у каждого свои методы, но я, когда звоню человеку, у которого возникла проблема со взломом компьютера, говорю:

- Пожалуйста, уберите руки с клавиатуры и отойдите от компьютера.

- Спасибо. На задней стороне системного блока есть кабель подключения к сети. Пожалуйста, найдите его и отсоедините от компьютера.

- Меня зовут Стивен Норткат, а как ваше имя?

- Рад познакомиться. Где находится ваш офис?

- Понятно. Вы можете сказать мне свой номер телефона и другие номера телефонов в офисе?

- Замечательно. Мы скоро будем. У вас есть факс? Отлично, пока наша команда в пути, я отправлю вам несколько инструкций. Нам очень нужна ваша помощь, и я буду крайне признателен, если вы будете действовать в соответствии с полученным руководством по обработке взлома. Вы можете сказать, какая операционная система установлена на вашем компьютере?

Это самые важные слова. Нужно сказать как можно меньше слов и при этом точно передать свою мысль. Тем не менее вежливость необходима, и такие слова, как “спасибо”, “пожалуйста” и “отлично”, никогда не помешают. Несмотря на присутствие злоумышленников, я продолжаю верить, что основная опасность заключается в наших собственных действиях. Я также работаю над интонацией. У меня отсутствует командный голос, поэтому я стараюсь говорить с уверенностью, немного медленнее, чем обычно, пытаясь добавить нотки доброты и симпатии.

Пример бланка для отправки по факсу

Офис отдела безопасности организации_

Форма последовательности действий в ответ на взлом локального компьютера Редакция 2.1.1

Дата: Время: Полное имя печатными буквами:

Благодарим Вас за то, что Вы уведомили отдел безопасности о случившемся инциденте. Пожалуйста, не прикасайтесь к скомпрометированным компьютерам без разрешения члена группы по устранению последствий взлома. Не оставляйте компьютер без надзора, пока прибывший специалист по безопасности не убедится, что к компьютеру никто не прикасался. Пожалуйста, опишите все подробности инцидента. Нам нужен список людей, которые были свидетелями случившегося. Напишите их имена ниже. Если нужно больше места, продолжите список на отдельном листе бумаги.

Свидетели:

1)

2)

3)

По каким признакам вы определили, что что-то произошло? Пожалуйста, опишите все как можно точнее и подробнее.

Признаки происшествия:

Следующий раздел очень важен. Пожалуйста, постарайтесь вспомнить все команды, которые вы выполняли, и все файлы, к которым вы обращались, за время от начала замеченных неполадок и до момента звонка в отдел безопасности или группу реагирования на происшествия.

Введенные команды и файлы, к которым осуществлялся доступ:

Подпись:_

Ситуация в локальной сети

При устранении последствий взлома лучше использовать двух человек: один из них будет проверять работоспособность локальной сети, а второй, более опытный, должен следить за устранением последствий атаки на взломанном компьютере.

Проверка локальной сети

Специалист, который будет проверять работоспособность локальной сети, должен иметь при себе диктофон и описывать сложившуюся ситуацию. Запишите имена всех, кто находится поблизости. Попросите прекратить работу всех, кто не был на месте во время происшествия. В то время, пока делаются резервные копии данных взломанного хоста, задайте несколько вопросов человеку, который сообщил об инциденте. Выясните признаки произошедшего. Обратитесь к другим сотрудникам организации и узнайте, не наблюдались ли подобные признаки на их системах. Записывайте или на магнитофон, или на бумагу все, что вы видите. Каждые несколько минут подходите к специалисту, занимающемуся устранением последствий взлома, и регистрируйте его действия с указанием времени их выполнения.

Работа на взломанном хосте

Специалист, который выполняет восстановление системы после взлома, должен пригласить администратора этой системы и попросить его внимательно наблюдать за его действиями. Попросите его составить письменный отчет. Одной из основных задач является создание резервной копии данных взломанной системы.

У опытных специалистов есть свои приложения в двоичном коде, в число которых входят утилиты для выполнения резервного копирования. Если нет резервной копии для проведения сравнительного анализа и не установлены средства для контроля за важнейшими файлами, например saf eback, то будет правильным перед выполнением каких-либо действий скопировать все файлы истории и файлы системных журналов на сменные носители. Кроме того, на сменных носителях часто сохраняют содержимое оперативной памяти (это легко сказать, но иногда трудно сделать). Лучшими резервными копиями являются побитовые резервные копии. Если создание таких копий невозможно, нужно определить важность этого компьютера и узнать, сколько есть времени на восстановление системы после взлома. Если есть подозрения в незаконных действиях и основания считать происшествие действительным взломом, желательно выполнить следующие операции:

■ выключить компьютер;

■ вынуть дисковод;

■ положить в пакет дисковод и сделанные записи, а также отчет того человека, который сообщил о происшествии;

■ положить дисковод в сейф для хранения в качестве улики.

Быстрое восстановление

Если система является критически важной, а преследование преступника - не основная цель, то нужно быстро найти источник проблем. Здесь пригодятся средства наподобие encase или ТСТ (The Coroner’s Toolkit). Оба эти средства доступны как для устаревших систем Windows (с файловыми системами FAT), так и для современных Windows-систем (файловая система NTFS). Перед запуском любого средства я обычно запускаю программу Tripwire для сохранения контрольных сумм файлов на проверяемом диске и в моей операционной системе. Это позволяет мне быстро выяснить источник проблем, если что-то пойдет не так. Раньше я использовал программу Expert Witness, но теперь ее применение запрещено решением суда.

В любом случае основная цель - определить, имеет ли система признаки, о которых сообщалось. Это называется подтверждением происшествия, и исследование не ограничивается проверкой данных жесткого диска. Хорошая команда по восстановлению после взлома работает сообща, и, пока один из специалистов занимается скомпрометированным компьютером, второй проверяет отчеты системы обнаружения вторжений и другие источники информации.

Устранение ошибок

Иногда после анализа ситуации оказывается, что проблему можно устранить полностью, иногда это невозможно. Здесь я хочу остановиться на превратностях судьбы специалиста по устранению последствий взлома. Сотрудники организации, в которой были взломаны компьютеры, обычно напуганы. Если прибывшая группа по устранению последствий взлома четко и быстро выполняет свою работу, то сотрудники будут весьма признательны и в их глазах вы увидите благодарность. Это хорошо. Значит, вы - герой.

Я работал на чем-то подобной работе, когда служил в ВМС США. Если какой-нибудь самолет падал в воду, мы зависали над спасшимися летчиками на вертолете, я выпрыгивал, подплывал к ним, прицеплял спасательный трос и мы вытягивали их из океана. Всякий раз, когда я потом встречал их на корабле, они мне приветливо кивали и благодарили за спасение.

Но! Если по завершению работы, на следующий день проблемы появляются снова, то вы уже не герой, вы становитесь некомпетентным идиотом. Очень важно устранить все ошибки, даже если для этого придется переставить операционную систему.

Специалист по устранению последствий взлЬма должен обладать полномочиями на удаление или сохранение данных в целях спасения организации. Пожалуйста, отнеситесь к смыслу предыдущего предложения со всей серьезностью. Необходимо, чтобы все действия группы восстановления после взлома были заранее одобрены одним из главных должностных лиц организации. Специалист по устранению взлома должен не бояться посмотреть в глаза очень молодому, очень преуспевающему руководителю, ответственному за программное обеспечение, который по своей прихоти уволил многих ценных сотрудников, и сказать: “Да, я знаю, насколько важен этот компьютер. Мы восстановим все данные, которые были сохранены на резервных копиях, но саму операционную систему спасти не удастся”. Очень часто для устранения проблемы приходится быть максимально жесткими с подобными юнцами.

И еще. Когда я подплывал к армейским летчикам, они всегда хотели внать, а что же случилось. Было очевидно, что они хотели понять, не было ли в случившемся их вины. Точно так же и при взломе: пользователь думает, что он сделал что-то не так. Почему каждый считает, что виноват может быть кто угодно, толь ко не он? Б разговоре будьте вежливы и спокойны. Не делайте поспешных выводов. Во многих случаях для выяснения причины инцидента приходится действовать очень аккуратно, как будто чистить капусту листик за листиком. Даже если вы уверены в вине пользователя, оставайтесь доброжелательными. Бремя, когда придется выяснять причины произошедшего, наступит очень скоро!

Восстановление

Целью процесса устранения последствий взлома является восстановление работоспособности системы. Б ходе этого процесса нужно постараться сохранить как можно больше данных, даже если резервное копирование выполнялось очень давно. Часто можно смонтировать потенциально поврежденный диск как диск данных и скопировать с него нужные файлы. И здесь снова пригодится программа Tripwire. Перед монтированием подозрительного диска на переносной компьютер убедитесь, что запущена последняя версия Tripwire. Это гарантирует, что вредоносный программный код не проникнет на ваш компьютер.

Инструкторы по оказанию первой медицинской помощи для наглядности описываемых ситуаций используют несколько примеров. Одна из основных задач - не стать самому жертвой атаки. Например, если кто-то лежит ничком на земле, обернутый высоковольтным кабелем, к нему лучше не приближаться. Вдруг кабель и является причиной смерти этого человека? Что случится с вами, если вы возьметесь за этот кабель? Поэтому нужно сначала оценить ситуацию и продумать, какие обстоятельства сопутствовали компрометации компьютера. Будет глупо восстановить работоспособность системы, не устранив проблемы, которая привела к его взлому.

Это важный момент, так как система, скорее всего, в какой-то степени изменится. Довольно часто владельцы системы пользуются моментом и проводят модернизацию компьютера или устанавливают дополнительные заплаты. Весьма забавно, когда тот же руководитель, который в начале говорил о необходимости сохранения системы в прежнем виде, предлагает модернизировать операционную систему восстанавливаемого компьютера.

Операционную систему вполне стоит обновить. Но что происходит, когда кто-то со стороны вносит изменения в локальную сеть организации? Однажды я руководил установкой брандмауэра в сети, в которой его раньше никогда не было. В течение следующих пяти лет, если кто-то не мог установить соединение, или не работали какие-то программы, мне или звонили, или отправляли письма по электронной почте с вопросом, а не брандмауэр ли является причиной проблем. В этом и заключается сложность работы специалиста по безопасности. Вспомните нашего молодого преуспевающего руководителя. Если что-то будет работать не так, он постарается перенести внимание на эту проблему и отвлечь от факта компрометации его собственного компьютера. Как поступить в этой ситуации?

В процессе устранения последствий взлома старайтесь держать владельцев компьютеров в курсе всех событий. Пока они в опасности, они являются заинтересованными лицами. Увидев, что все становится на свои места, они переключаются на что-то другое. Очень важно в начале процесса восстановления, когда уровень адреналина в крови еще достаточно высок, отвести владельца в сторонку и сказать ему нечто подобное:

“Сэр, наша основная задача - восстановить работоспособность вашего компьютера за минимально короткий срок и с минимальными затратами. Я надеюсь, вы понимаете, что так как система была скомпрометирована, то нам придется внести определенные изменения, или взлом может повториться. Чтобы гарантировать, что внесенные нами изменения не повлияют на выполнение ваших задач, нам нужна копия технической документации компьютера, особенно сведения о конфигурации, руководства по настройке программ и, самое главное, план тестирования вашей системы. Перед тем как мы уйдем, мы будем рады вместе с вашими сотрудниками протестировать работ)' системы”.

Известно, что едва ли найдется пять компьютеров на всей планете, для которых составлен отвечающий всем требованиям текущего момента, исчерпывающий план тестирования. Едва ли наш пронырливый молодой руководитель способен его составить. Настало время для бумажной работы. Используем заранее заготовленный бланк выполнения работ. На этом бланке есть место для подписей системного администратора, заказчика работ и владельца системы, которыми они должны заверить, что протестировали восстановленную систему, и она полностью работоспособна. Поэтому можно сказать следующее:

“Нет плана тестирования? Да, но я не могу закончить работу, не удостоверившись в работоспособности системы. Говорите, что хотите, но если ваши люди не запустят тесты, которыми они проверяют работоспособность компьютеров, и не распиигутся на бланке, то мы не сможем уйти. Я готов оставаться здесь сколько потребуется, так как вы знаете, что начальник отдела безопасности не должен допускать простоя системы более чем на одни сутки, а мы не можем считать инцидент исчерпанным, пока система не будет протестирована”.

Я неспроста посвятил несколько абзацев подобным заявлениям. Обидно, когда молодого многообещающего специалиста по устранению последствий взлома (особенно если это девушка) винят во всех проблемах, когда он (или она) вложил душу в восстановление системы.

Зная о риске, можно без страха начинать процедуру устранения последствий взлома. После компрометации система может перейти в полную собственность хакера. Хакеры используют различные методы для маскировки своих действий. Я знаю несколько случаев, когда скомпрометированная система была восстановлена, возвращена в эксплуатацию, а хакеры очень быстро возобновили над ней контроль. Используйте возможности своих средств обнаружения взлома для мониторинга восстановленной системы. Возможно, стоит изменить имя системы и 1Р-адрес, а также установить ловушку на несколько недель.

Выводы из случившегося

Сначала происшествие вызывает огромный интерес, и практически каждый хочет принять участие в его исследовании. В поисках злоумышленника изучается цепь событий, которые привели ко взлому. Затем наступает этап медленного процесса восстановления и тестирования. Это уже не так интересно, и все любопытные быстро расходятся со словами: “Ребята, я думаю, дальше вы справитесь сами”. Так и происходит. Мы находим проблему, устраняем ее и восстанавливаем систему. Это стоит больших усилий. И очень трудно заставить себя оформить все бумаги.

Профессионала от любителя можно отличить по двум признакам. Во-первых, профессионал аккуратно и полностью записывает каждое свое действие, а во-вторых, он всегда доделывает работу до конца. Это не природные качества, а результат дисциплинированности. При устранении последствий любого взлома случаются ошибки. По этому поводу не следует слишком переживать. Идеал недостижим. Главное не повторять одних и тех же ошибок снова.

Выводы из случившегося - важнейшая часть процесса устранения последствий взлома, если посмотреть на него с правильной точки зрения. Нет ничего зазорного в том, что что-то можно было сделать лучше.

Специалист по устранению последствий взлома составляет черновой вариант отчета о происшествии. Машинистка перепечатывает этот отчет, размножает его и отправляет всем свидетелям, заказчику работ и владельцу системы. Каждый из них может внести свои дополнения, которые войдут в окончательный вариант отчета. При этом специалист по обработке взломов должен быть уведомлен о внесенных изменениях. В течение недели после взлома участники процесса восстановления системы должны встретиться все вместе. Единственным вопросом повестки дня должен стать анализ рекомендаций в окончательном отчете по поводу улучшения процесса устранения последствий взлома. Вряд ли удастся прийти к единому решению, поэтому лучше голосовать по каждому вопросу.

Основной частью отчета о происшествии является резюме для руководства. В нем приводятся доводы, согласно которым команда по устранению последствий взлома сэкономила для организации значительную сумму денег.

Резюме

Риск возникает при добавлении в систему каждого нового пользователя и запуске каждой новой службы (разрешенной на брандмауэре). Эффективность снижения этого риска заключается в эффективности ответных действий как автоматических, так и выполняемых вручную. Это позволяет организации быть на шаг впереди в нашем быстро меняющемся мире. Среди автоматических ответных действий можно назвать увеличение задержки ответа для замедления атаки, обрыв соединения, блокирование хакера при повторных попытках установить соединение, отключение от Ьиегпе! в особо опасных ситуациях, разные хитрости с использованием протоколов (например, отправка пакетов /АСК для незапущенных служб).

В каждой организации есть группа людей, занимающихся устранением последствий при чрезвычайных ситуациях (возможно, неофициальная). Профессиональная группа по устранению последствий взлома компьютеров должна следовать стандартной последовательности действий: подготовка; идентификация проблемы; ограничение распространения атаки; устранение ошибок; восстановление; подведение итогов. Аналитик сетевого трафика всегда должен входить в состав такой группы, и лучше, если в качестве ее руководителя.

Согласно одной из моделей безопасности период защищенности зависит от времени, требующегося на обнаружение атаки и выполнение ответных действий. При улучшении методов автоматических ответных действий и действий вручную мы учимся действовать быстрее и эффективнее, тем самым повышая защиту сетей контролируемых организаций.

Автоматические ответные действия | Обнаружение нарушений безопасности в сетях | Бизнес-план обнаружения взлома


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Октябрь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс