Одним из самых значительных событий на рынке продуктов для обеспечения информационной безопасности стало появление брандмауэров с возможностью регистрации всех двоичных данных. Брандмауэр операционной системы OpenBSD (IPFilter) и коммерческий брандмауэр Raptor могут сохранять данные в формате BPF. Сохранение данных в двоичном формате позволяет использовать для их анализа программы Snort или TCPdump. Это про сто невероятно! Я уже упоминал устройства для брандмауэров hogwash и UnityOne, в которые встроены возможности обнаружения взлома. Лично я предпочитаю использовать оба устройства: если одно выйдет из строя, его подменит второе.

Кроме того, для обнаружения взлома по-прежнему можно использовать и другие брандмауэры без возможности сохранения данных в двоичном формате. В качестве примера назовем Dshield (www.dshield.org) - технологию, применяемую компанией lncidents.org, которая позволяет использовать данные, сохраненные брандмауэром для общей возможности выявления взлома. Брандмауэры могут использоваться как датчики. Разумеется, они не фиксируют большинство значений полей TCP-заголовков, например TCP-флаги, что значительно ограничивает возможности анализа трафика. Однако брандмауэры Linux (например, программа iptables) позволяют использовать большинство методов анализа трафика, описанных в этой книге.

Если приобретение системы обнаружения вторжений невозможно, то при исследовании журналов своих брандмауэров можно и нужно использовать сведения, которые изложены в этой книге. Безусловно, сначала нужно получить разрешение и не стоит поднимать тревогу раньше времени!

Предел расходов

Недавно в газете “Sunday” была опубликована статья под заголовком “Десять советов о том, как повысить свое благосостояние”. В статье рекомендовалось не покупать лодку, а если она есть, продать ее. Я не настолько нуждаюсь в деньгах, чтобы выбрасывать свои лодки, тем более, что они так и не упали в цене.

Я расскажу еще одну историю, которая поможет понять озабоченность руководителя при бесконечной трате денежных средств. Однажды я сообразил, что вся моя работа заключается в использовании нескольких переносных компьютеров и расходов на мобильный телефон. Тогда я понял, что могу жить где угодно, лишь бы там была сотовая связь и высококачественное соединение с Internet. Во время отпуска на Гавайях меня попросили выполнить срочную работу по установке системы обнаружения взлома на Оаху. Через две недели мы с женой купили дом нашей мечты на Гавайях. Через месяц после переселения дом мечты превратился в дом кошмаров, так как оказалось, что он построен на проседающей почве. Начались бесконечные консультации с агентами страхования, которые заявляли, что в страховке этот пункт не оговорен, за ними пришли инженеры, утверждавшие,-что раньше не видели ничего подобного. Наконец, мне рассказали о лучшем подрядчике на острове, Луисе Солтрене, но к тому времени дом уже почти развалился. Услуги Луиса, как и любого профессионала, стоили недешево. Деньги начали улетать, как в трубу. Мы находили новые и новые проблемы. Я не новичок в строительстве, поэтому понимал, что все расходы были необходимыми. Общая смета становилась все больше и больше. В конечном итоге она составила (без преувеличения) 200 тыс. долл. Я заработал язву, а расходы все увеличивались. Когда перестройка дома была закончена, я получил один важный урок. Фраза “общая стоимость владения” в наше время очень широко используется в сфере информационных технологий, но я никогда над ней не задумывался, пока не занялся строительством своего дома, когда конечную сумму расходов знать заранее было невозможно.

Теперь применим этот опыт по отношению к обнаружению взлома и руководству организации. Не забывайте, что хороший руководитель считает каждый доллар, и неконтролируемые расходы вызывают у него плохое настроение.

Возможно, что руководитель будет готов заплатить даже 100 тыс. долл., но нужно доказать, что предлагаемые цифры расходов верны, и что вы не будете приходить за деньгами снова и снова. Например, классической ошибкой является планирование использования для системы обнаружения вторжений купленных ранее компьютеров прошлого поколения. Лучше сделать наоборот: купить компьютеры последнего поколения и через полгода или год перевести их в разряд настольных компьютеров.

Руководство наверняка оценит такой честный и вдумчивый подход. Это позволит организации получить все возможности обнаружения взлома и сэкономить деньги на последующей модернизации парка компьютеров.

Дестабилизация положения дел

Система обнаружения вторжений как бы “открывает глаза” организации на истинное положение дел. Студенты, прошедшие курс обучения в SANS, по возвращению на рабочие места часто осознают, что должны в корне пересмотреть методы работы в своей организации. И это правильно! Но это перемена, а люди по своей натуре подозрительны и консервативны. Предлагая добавить возможности обнаружения взлома, будьте очень внимательны по отношению к возможным изменениям в рабочем процессе организации и сделайте все возможное, чтобы убедить сотрудников в том, что система обнаружения вторжений “впишется” в этот процесс. Сложности могут возникнуть в связи с конфигурацией сети, режимом работы некоторых сотрудников и необходимостью добавить новые правила безопасности.

Проблемы с локальной сетью

Мы уже рассказывали о сложностях работы в коммутируемых сетях. Перед установкой системы обнаружения вторжений следует обязательно рассмотреть вопрос координации действий с пользователями локальной сети. Для этого лучше всего использовать связующий порт коммутатора, к которому подключается анализатор пакетов. Если поддержка работоспособности одного связующего порта слишком трудна для системного администратора, стоит рассмотреть возможность создания ответвлений от сети для прослушивания портов системой обнаружения взлома. Датчик системы обнаружения вторжений часто оснащают несколькими сетевыми адаптерами для следующих целей:

■ прослушивание портов в неразборчивом режиме (promiscuous mode), но без IP-адреса, что усложняет злоумышленникам задачу выявления датчика;

■ создание интерфейса с IP-адресом для связи с датчиком.

Установка системы обнаружения вторжений практически всегда требует изменений в работе брандмауэра. Похоже, что все поставщики коммерческих систем считают, что создание собственного протокола для взаимодействия консоли аналитика, датчиков и баз данных будет выделять их среди конкурентов. И, конечно, только их система работает абсолютно правильно. Придется потрудиться и самостоятельно выяснить, какие порты должны оставаться открытыми для нормальной работы конкретной системы обнаружения вторжений. Хорошо, если эту систему можно изменить так, чтобы использовать уже открытые порты брандмауэра. Даже в брандмау эрах, работающих на ргоху-серверах, часто имеются возможности пропуска пакетов только по паролю, без каких-либо сведений об используемом протоколе. Этот метод применяется для поддержки некоторых приложений. Будет просто здорово, когда группа IDWC (Intrusion Detection Working Group) закончит свою работу над стандартным транспортным протоколом на основе тонально-модулированного сигнала (www.beepcore .org/beepcore/docs/prof ile-idxp) для всех систем обнаружения вторжений.

Изменение стиля работы сотрудников

Необходимость изменения стиля работы является еще одним следствием установки системы обнаружения вторжений. Система обнаружения вторжений не защищает от всех напастей. Она представляет собой всего лишь средство для сбора и анализа данных, поэтому при желании все равно можно нарваться на неприятности. Вы должны подготовить сотрудников организации к тому, что теперь весь передающийся по сети трафик будет просматриваться. В качестве примера рассмотрим использование сервера IRC.

После установки системы обнаружения взлома вы обнаруживаете, что молодой человек из отдела по обслуживанию компьютеров использует один из локальных компьютеров как IRC-сервер. Как можно об этом узнать, если служба IRC не контролируется? Известно, что DNS-серверы, Web-серверы и серверы электронной почты вызывают интерес со стороны злоумышленников. Однако этот интерес нельзя и близко сравнить с заинтересованностью хакеров к серверу IRC! Аналитик сетевого трафика сразу же увидит бесчисленное количество атак и попыток сканирования этого сервера. Дальнейшее расследование позволит выявить цель любопытства хакеров. Очевидно, что для организации будет лучше устранить этот источник проблем. Опытный аналитик сначала определяет политику безопасности и только потом запускает систему обнаружения вторжений.

Политика безопасности

В первое время в организации может использоваться политика всепрощения. Приблизительно к первым десяти нарушениям установленной политики можно отнестись со снисхождением. Затем можно разослать уведомление, в котором будут перечислены примеры нарушений и указано, что в дальнейшем такие действия прощаться не будут. Я видел несколько организаций, в которых включили новенькие системы обнаружения вторжений и сразу же начали внимательно исследовать передающийся трафик. Представьте себе их удивление, когда они увидели массу того, что было запрещено для получения или отправки. В этот момент организация должна принять важное решение. Если виновные будут немедленно наказаны или даже уволены, то система обнаружения вторжений всегда будет вызывать недоверие и враждебность. Особенно осторожно нужно общаться с системными администраторами и администраторами сетей. Они привыкли к тому, что могут делать все, что угодно. Если кто-то из группы по обслуживанию компьютеров или локальной сети будет уволен по причине нарушения политики безопасности, то, вполне вероятно, что система обнаружения вторжений будет часто выходить из строя из-за умышленного обрыва кабелей.

Руководители организаций обычно осведомлены о взаимоотношениях в организации и особенно о проблемах между начальниками и подчиненными. Они сами сталкиваются с ними ежедневно. Они будут более радушны, если в вашем бизнес-плане будет продемонстрирована забота о других сотрудниках организации, и вы гарантируете, что система обнаружения вторжений не станет причиной разногласий.

Часть общей стратегии

Эта книга в основном предназначена для помощи специалистам по обслуживанию сетевых систем обнаружения вторжений. Однако мы также затронули темы безопасности отдельных компьютеров, риска, программ сканирования уязвимых мест, несанкционированного доступа, восстановления после взлома, а теперь рассмотрим методы ведения бизнеса. Вы должны быть готовы продемонстрировать, как система обнаружения вторжений вписывается в общую стратегию обеспечения информационной безопасности организации.

Если честно, то раньше я так не думал. Я считал, что моя работа заключается в установке наиболее эффективного средства за минимальную цену, что поможет моей организации достичь “мирового уровня”. Намерение неплохое. Однако когда я подходил к своему начальнику и предлагал реализовать новую технологию, он отвечал: “Это все хорошо, но покажи мне общую картину”. Это меня выводило из себя. Я думал, что он полный идиот и какой-то “компьютероненавистник”. Только через 15 лет я начал его понимать. Нельзя сыграть на арфе с одной струной. Любая технология, даже наилучшая, бесполезна, если она не соответствует методам ведения бизнеса в организации. Информируя руководство о великолепной системе обнаружения вторжений, которую нужно приобрести, не забывайте осветить вопросы защиты систем, риска, сканирования уязвимых мест, несанкционированного доступа, устранения последствий взлома и влияния на ведение всей коммерческой деятельности. Позвольте мне еще раз напомнить семь основных принципов обеспечения безопасности.

1. Установить политику безопасности (с учетом ведения бизнеса).

2. Проанализировать возможные риски; исследовать уязвимые места.

3. Организовать инфраструктуру безопасности.

4. Разработать методы контроля и установить стандарты для каждой технологии.

5. Определить, какие ресурсы будут доступны пользователям, задать приоритеты для мер противодействия незаконным операциям и реализовать наиболее строгие меры противодействия, какие только можно себе позволить.

6. Выполнять периодические проверки и по возможности тестирование.

7. Установить систему обнаружения вторжений и определить порядок ответных действий в случае атаки.

Если предложение о покупке системы обнаружения вторжений будет составлено с учетом этих принципов, то руководству сразу будет ясно, что оно является частью общей стратегии информационной безопасности. У руководителя нет времени на изучение отдельных частей информации, он должен руководить всем процессом. Потратьте немного своего времени, чтобы облегчить его работу'.

Таким образом, мы рассмотрели четыре основные темы, которые должны быть изложены руководству в бизнес-плане обнаружения взлома. Если эти темы не будут освещены, то бизнес-план так и останется только на бумаге. Повторим еще раз:

■ реальный результат;

■ точная смета расходов;

■ технология, не нарушающая работу организации;

■ проект, являющийся частью общей стратегии защиты информации.

Теперь можно перейти к технической стороне вопроса, которой отведена вторая часть вашего плана или предложения.

Часть вторая: угрозы и уязвимые места

Во второй части вашего плана должны быть раскрыты угрозы в сопоставлении с существующими уязвимыми местами и стоимостью имущества. Все это делается, чтобы ответить на вопрос о необходимости дополнительных мер безопасности. Я считаю, что главным предназначением сетевой системы обнаружения вторжений, установленной перед брандмауэром, является оценка опасности атак, направленных против хостов организации. Благодаря такой системе можно организовать надежную защиту от выявленных атак. Но как можно оценить угрозы, когда система обнаружения вторжений еще не куплена? Необходимо исследовать проблему, угрозы и уязвимые места до того, как предлагать средство обнаружения взлома в качестве решения. Базовые сведения о риске, необходимые для написания этой части плана, были изложены в главе 17, “Безопасность в организации”. Вторую часть плана можно разбить на несколько пунктов:

■ оценка и анализ угроз;

■ оценка имущества;

■ анализ уязвимых мест;

■ оценка риска.

Оценка и анализ угроз

С формальной точки зрения сначала нужно взять словарь, выписать все возможные угрозы, а затем приступить к их анализу. Это плохая идея для плана внедрения системы обнаружения вторжений, который будет читать руководитель. Ваша цель - не показать все возможные угрозы, а выбрать из них наиболее важные. Основное внимание должно быть уделено тому, что может произойти и по какой причине. Ниже перечислены основные угрозы в порядке убывания степени их опасности:

■ внешняя атака по сетевому кабелю;

■ внешняя атака по телефонному соединению;

■ атака локального пользователя по локальной сети;

■ атака локального пользователя той же системы;

■ атаки с помощью вредоносных программ.

Источники атак

В туалетах ресторанов часто висит табличка “Не забудьте вымыть руки перед едой”. Общеизвестно, что несоблюдение этого правила гигиены является причиной (источником) многих болезней.

Сетевые системы обнаружения вторжений позволяют выявлять внешние атаки по сети, локальные атаки по сети и, возможно, атаки с использованием специальных программ. Системы обнаружения вторежений для защиты отдельного хоста способны выявлять все типы атак.

Поиск угрозы

В бизнес-плане обнаружения взлома из всех существующих угроз должны быть выделены хорошо известные, наиболее вероятные угрозы. Как их определить? Для этого можно использовать информацию из следующих источников:

ш газетные публикации или статьи на \УеЬ-сайтах об атаках в других местах (если это случилось один раз, то может повториться еще);

■ журналы брандмауэров или средств обнаружения взлома с описанием конкретных атак;

■ системные журналы;

м сведения, полученные в результате демонстрационного использования системы обнаружения вторжений.

Многие поставщики коммерческих систем обнаружения вторжений разрешают тестировать свои системы в течение примерно 30 дней. Если вы действительно хотите реализовать качественное обнаружение атак, то такую возможность нельзя переоценить. Это позволяет получить список действительных атак против вашей сети, т.е. определить реальные угрозы. В итоге мы получаем обоснование для третьей части нашего плана, в которой приводятся аргументы в пользу установки именно системы обнаружения вторжений, а не, скажем, еще одного брандмауэра. Кроме того, можно узнать о справедливости заявлений поставщика коммерческой системы. Слишком часто люди принимают решение или на основе где-то вычитанной информации или по совету' продавца. Временное использование системы обнаружения вторжений позволяет принять правильное решение при выборе той или иной системы в третьей части плана.

Если на это есть время, то побеседуйте с сотрудниками разных отделов вашей организации. Они могут указать на уязвимые места, которые вы могли не заметить. Иногда на вопрос о самой большой угрозе для защиты информации в организации я получал ответы, в которых люди рассказывали о поразительно неосторожных действиях. Однако по собственной инициативе сотрудники ничего не говорят. Как мне сказали однажды в Алабаме: “А вы никогда не спрашивали”.

Оценка имущества

Об оценке имущества говорилось в главе 17, “Безопасность в организации”. Рассмотрим эту тему подробнее. Данные представляют огромную ценность. Если большинство сотрудников используют компьютеры на протяжении большей части рабочего дня, то стоимость данных, хранящихся на жестком диске их компью теров, может быть определена как затраты на заработную плату конкретного владельца. Угроза для данных заключается в возможности их копирования, уничтожения или изменения.

Эта тема не раз затрагивается на страницах данной книги. Повторю еще: основной угрозой для информации является ее уничтожение самим владельцем системы. Таким образом, есть опасность как действия, так и бездействия. В первом случае это явное действие: случайное или умышленное удаление данных без возможности их восстановления. Под бездействием понимаются ошибки при резервном копировании данных, в том числе тех копий, которые хранятся вне локальной сети.

Полностью защитить все данные от копирования, уничтожения или изменения практически невозможно. То же самое можно сказать и о возможности резервного копирования всей выполненной работы, которой не обладает ни одна из известных мне организаций. Подобное вступление часто используется в текстах по защите информации при описании критически важных данных.

Стоимость данных

Разные данные имеют разную ценность. На самом деле только небольшая часть информации организации позволяет ей выделяться среди конкурентов. Именно эти данные должны быть защищены лучше всего.

Этот аспект должен найти свое отражение в вашем плане, а именно в разделе, посвященном угрозам. Рассмотрите источники атак и наиболее известные угрозы и используйте эти примеры описания угроз и уязвимых мест во второй части вашего бизнес-плана обнаружения взлома.

В третьей части плана будут рассмотрены меры противодействия описанным угрозам целостности наиболее ценных данных. К этим мерам относятся:

■ установка систем обнаружения вторжений на критически важных системах;

■ создание контролируемых файлов. Если в вашей организации есть особо важные документы, то в них можно добавить специальные строки символов. Появление в трафике этих строк будет отслеживаться системой обнаружения вторжений с помощью заданного правила. Теперь вы будете знать, когда важный документ поступает в локальную сеть или отправляется за ее пределы;

■ оснащение локальных компьютеров персональными брандмауэрами;

■ установка сетевых систем обнаружения вторжений в особо важных точках сети.

Поиск уязвимых мест

Уязвимые места - это ворота, через которые действуют угрозы. Если уязвимые места отсутствуют, то никакая угроза не страшна.

Вы разочарованы, что я не привожу длинный перечень всех уязвимых мест? Но этот список постоянно меняется, и точное перечисление просто невозможно. Лично мне очень по душе проект СУЕ (cve.mitre.org), так как там даются ссылки на многие списки уязвимых мест, например Ьид^ад или Х-Еогсе. Не следует находить эти уязвимые места без использования специальных программ. Со ставить список основных угроз и оценить главные уязвимые места совсем не сложно. Для этого существует немало программных средств. С их помощью можно выявить потенциально уязвимые места и проверить реальность конкретной угрозы. Рассмотрим три типа таких программ: программы сканирования уязвимых мест на хосте, программы сканирования уязвимых мест сети и программы сканирования телефонных линий.

Пакеты COPS, SPI, Tiger и STAT используются для сканирования уязвимых мест на локальных компьютерах. Они позволяют выявить отсутствие заплат, некорректно установленные права доступа к файлам и другие похожие проблемы.

Для поиска уязвимых мест в сети используются программы сканирования пшар, nessus, saint, Internet Scanner и NetRecon. Они работают быстро и эффективно и позволяют выявить незащищенные порты или службы на хостах всей сети.

При оценке уязвимых мест также можно оценить риск сканирования злоумышленниками телефонных линий в поисках работающих модемов. Наиболее популярной программой для этой цели является Toneloc, которая доступна практически на всех сайтах хакеров. Коммерческая программа Phonesweep (http://www.sandstorm.net) обладает расширенными возможностями сканирования телефонных линий.

Оценка уязвимого места должна состоять из трех компонентов:

■ со стороны системы (определяется с помощью программ сканирования систем);

■ со стороны сети (выполняется внутреннее сканирование локальной сети);

■ со стороны Internet (сканирование локальной сети и (желательно) телефонных линий выполняется из точки перед брандмауэром).

Не забудьте отдельно просканировать свой брандмауэр, DNS-сервер, Web-сервер и сервер электронной почты, а также наиболее важные системы. От надежности защиты этих систем зависит безопасность вашей организации.

Очевидно, что работы будет много. Кроме того, оценка уязвимых мест не выполняется один раз и навсегда. Зачем аналитику сетевого трафика участвовать в поиске уязвимых мест? Это позволит ему выявить конкретные недостатки, а также уязвимые места в локальной сети организации.

Оценка риска

Мы получили большой объем сведений. Что с ними делать? Полученную информацию совсем не нужно включать в отчет, даже в виде приложений. С другой стороны, следует упорядочить эту информацию и обеспечить к ней оперативный доступ. При докладе руководителю все-таки нужно оперировать какими-то реальными данными. Это значит, что если есть 12 компьютеров; на которых хранится критически важная информация, то вы должны иметь под рукой список этих систем и рациональное пояснение, почему были выбраны именно они.

Итак, мы разобрались, что не нужно включать во вторую часть отчета. А что должно присутствовать обязательно?

■ Стоимость имущества организации. Предположим, есть 100 компьютеров, рассчитанных на пятилетний срок эксплуатации. Аппаратные средства, программное обеспечение и обслуживание стоят 200 тыс. долл. в год. Таким образом, стоимость информации составляет 1 млн. долл.

■ Схема сети, на которой будут показаны границы защищаемой зоны.

■ Краткое описание основных источников угроз.

■ Выводы относительно обнаруженных уязвимых мест.

■ Описание критически важных систем: где они находятся, их стоимость и т.д. (включая брандмауэр, сервер электронной почты, DNS- и Web-cepBep).

■ Конкретные угрозы для критически важных систем.

■ Конкретные уязвимые места критически важных систем.

Этот доклад должен существовать в письменном виде, а также в виде графической презентации. При создании презентации с помощью PowerPoint представьте каждый пункт приведенного выше списка в виде отдельного слайда с тремя-пятью пунктами.

Часть третья: альтернативы и рекомендуемое решение

Наконец-то вы установили свою систему обнаружения вторжений и не можете дождаться того момента, когда сядете за новую консоль. Подождите еще немного. Необходимо предложить ряд альтернативных вариантов, не забывая при этом, что все должно выглядеть как единое целое. Обнаружение взлома является сложной задачей. Следующим этапом оценки риска должно стать определение критериев его допустимости. Это значит, что нужно дать руководству возможность самостоятельно определить допустимый уровень риска. Затем снова приходит ваш черед - нужно разработать эффективные меры противодействия всем рискам, уровень которых будет выше допустимого. Для этого нужно сделать следующее:

■ описать архитектуру управления риском согласно концепции защиты информации;

■ определить, что уже сделано;

■ указать неотложные действия;

■ описать рекомендуемые меры противодействия;

■ провести анализ по типу “затраты-выгода”;

■ составить график выполнения проекта;

■ описать следующие действия, чтобы определить будущее направление деятельности.

Описание архитектуры управления риском

Задача может показаться сложной, но на самом деле все просто. Основные угрозы уже определены. Меры противодействия тоже известны и заключаются в применении следующих аппаратно-программных решений:

■ установка брандмауэра на линии соединения с Internet;

■ внедрение сетевой системы обнаружения вторжений перед брандмауэром;

■ применение локальных брандмауэров для критически важных систем;

■ использование сетевых систем обнаружения вторжений для защиты группы наиболее ценных компьютеров;

■ установка системы обнаружения вторжений на критически важных системах;

■ добавление подложных файлов в файловые системы хостов, играющих ключевую роль;

■ базовая защита всех компьютеров (антивирусные программы, заплаты, контроль за установкой корректных прав доступа к файлам);

■ выполнение резервного копирования информации на накопитель, установленный за пределами локальной сети;

■ ежеквартальное сканирование локальной сети для выявления уязвимых мест;

■ шифрование на основе цифровых подписей при обмене данными по Internet с клиентами, заказчиками, а также работающими дома сотрудниками;

■ строгая аутентификация пользователей при входных соединениях;

■ шифрование данных на дисках и персональные брандмауэры для переносных компьютеров.

Этот список может быть дополнен для конкретной организации, но он дает общую картину правил обеспечения защиты информации.

Что уже сделано

В каждом докладе руководителю должно указываться текущее состояние дел. Если после описания архитектуры управления риском при защите информации дать определение текущей ситуации, то сразу становятся очевидными ваши последующие действия.

Рекомендации

Вы определились с системой обнаружения вторжений своей мечты. Хорошо бы к ней в дополнение получить программу сканирования уязвимых мест (или что-то подходящее для вашей организации). В полном плане по внедрению системы защиты должны быть перечислены возможности, предоставляемые в результате реализации этого плана, а также указана стоимость и определен график выполнения работ.

Я очень расстраиваюсь, когда вижу, как кто-то забирает час времени руководителя на “краткое” описание проблемы и предлагает свое решение этой проблемы, не имея сметы и дополнительных данных. Если руководителю покажется недостаточным объем предоставленной информации, то проект будет просто отложен. Здесь нужно учитывать психологию человека. Когда мы в первый раз слышим о возникшей проблеме, мы пугаемся и пытаемся что-то сделать для ее устранения. Однако, если ничего так и не будет сделано, то проблема теряет свою остроту, и повторное ее описание не вызывает желания немедленно все исправить. Поэтому необходимо, чтобы ваш проект был принят с первого раза!

Описание мер противодействия

Ненавижу это! Я знаю, чего я хочу! Я изучил рынок. Почему я должен описывать выбранный мною продукт? Если вы не знали, то поставщики коммерческих систем обнаружения вторжений совсем не глупы. Они стараются выйти на руководящих лиц вашей организации и рассказать им о своей системе в самых общих чертах (ориентируясь на предоставляемые преимущества решения проблем), не углубляясь в технические детали. Например, во многих организациях прежде всего беспокоятся об атаках со стороны локальных пользователей. Поэтому, обратившись к руководителю такой организации с проектом, в котором не будут упомянуты локальные угрозы или этому не будет уделено должного внимания, вы можете навсегда Потерять свою репутацию.

Персональные брандмауэры

Если при встрече с руководством встает вопрос об атаках локальных пользователей, то пригодятся данные, сохраненные локальными и персональными брандмауэрами. Они могут предупреждать специалиста по безопасности о возникновении проблем в локальной сети. Перед тем как спрашивать руководителя о том, кто в организации несет ответственность за управление риском, финансирование и поддержку, следует как можно больше узнать о потенциальном риске.

Оставьте время на описание в докладе по крайней мере еще одного варианта решения проблемы и альтернативного продукта, приобретение которого вы рекомендуете. На эту тему не нужно создавать слайды. Этот вариант оставьте только на случай возникновения проблем. При этом нужно следить за согласованностью всего предлагаемого решения. Следует четко сформулировать свои цели: вам нужна игрушка, чтобы получить опыт работы и усовершенствовать свои знания, или вы хотите защитить свою организацию? Зачем было нужно изучать журналы брандмауэров? Если они работают правильно и хорошо, то, возможно, стоит потратить время и деньги на другие проблемы системы защиты информации.

Сравнительный анализ затрат и выгод

Сторона затрат в этом разделе важнее получаемых выгод. Здесь вы намекаете своему руководству, что осведомлены о том, сколько будут стоить рекомендуемые меры противодействия. Когда я как руководитель проекта, понимаю, что мне что-то нужно, я не хочу знать никакой лишней информации - только скажите мне, сколько это будет стоить, и когда я его получу. Выше мы говорили о ситуации, когда весь доклад должен уложиться в пять минут. В этой ситуации нужно показать только три слайда: резюме для руководства, смета и график выполнения работ.

Важность анализа затрат и выгод

Аналитикам сетевого трафика совершенно не хочется заниматься подсчетом затрат и выгод, но написание даже одной страницы финансового анализа стоит потраченного времени. Когда-то у меня работала одна очень способная сотрудница, которая имела талант выдвигать абсолютно неосуществимые проекты. Поскольку вообще она была очень сообразительна, вначале я рассматривал ее предложения всерьез. Потом я понял, что каждый раз буду даром тратить свое время, потерплю поражение и буду выглядеть полным глупцом в глазах начальства. Как вы думаете, что было потом? Она снова приходила ко мне со своей обычной фразой “Я думаю, мы должны...”. Мое сердце замирало, мысли путались, это был очередной стресс. Более опытный начальник сел бы с ней рядом и научил ее подсчитывать стоимость, риск и потенциальные выгоды предлагаемых действий. Это очень просто, стоит только один раз научиться. Я просто напоминал ей о предыдущих ошибках, отказываясь выслушать, возможно замечательное предложение хорошего программиста.

Не все выгоды очевидны, и это очень важно. Настал момент для подсчета затрат. В письменном докладе нужно перечислить все затраты, в презентации можно ограничиться основными.

У вас когда-нибудь возникали разногласия с руководством? Допустим, одно из высокопоставленных лиц заявляет: “Не думаю, что это будет работать”. Он даже не дает никаких объяснений. Возможно, его интеллектуальные способности очень высоки, но ведь вы в центре внимания. Здесь поможет предварительная подготовка. Представьте себе следующий диалог. Руководители часто задают вопросы, а вы отвечаете. Будет ли система обнаружения вторжений:

■ блокировать все атаки? Нет;

■ обнаруживать все попытки атак? Нет;

■ требовать значительных расходов на покупку оборудования и зарплату? Да.

Как видите, подготовка действительно нужна! В качестве дополнительного материала я рекомендую подсчитать значение параметра ALE или SLE для наиболее опасных (по вашему мнению) угроз для организации. По возможности лучше знать пару примеров конкретных угроз для критически важных систем. Выбирайте эти угрозы с осторожностью: так, чтобы они соответствовали рекомендуемым мерам противодействия. Если эти слайды понадобятся, а их не будет, то ваш доклад будет иметь “бледный вид”. Поэтому постарайтесь подготовиться как следует.

Бизнес-план

Я откровенный, бесхитростный человек и хочу быть честным до конца. Я физически не способен создать документ, который можно было бы назвать “анализ затрат и выгод”. Конечно, 9 из 10 консультантов согласятся с подобным названием для документа, который предоставляется руководству для окончательного одобрения проекта. Возможно, именно этого и ждет руководитель, принимающий решение. Позвольте мне рассказать, что делаю я. Я пишу несколько страниц бизнес-плана, в котором основное внимание уделяется существующим проблемам. Его содержимое во многом схоже с анализом затрат и выгод. Я описываю затраты, преимущества, очевидные и неочевидные выгоды и то, как это поможет в продвижении бизнеса. По моему мнению, всё действия должны служить двум целям: решению проблем и улучшению бизнеса. Прилагаемые усилия и материальные средства должны помочь организации занять лидирующие позиции в области ее деятельности. Вы можете возразить, что обнаружение взлома только требует средств, и делать деньги на защите информации невозможно. Хотите поспорить? Обнаружение взлома позволило мне заработать очень, очень много денег, как и многим моим друзьям. Не лишайте себя заработка и не пропускайте материал этой главы. Учитесь писать бизнес-планы и выполнять анализ затрат и выгод. Полученные навыки окупятся в прямом смысле этого слова.

График выполнения проекта

Я создавал программы около 15 лет, а кроме того, я руководил группой квалифицированных программистов. Я стараюсь от них получить сведения о сроках выполнения проекта. В некоторых случаях я увеличиваю указанный срок в два или три раза. Все программисты думают, что достаточно добавить несколько строк кода и все будет в порядке, пока не сталкиваются с настоящими сложностями.

Мне иногда кажется, что руководители обладают каким-то шестым чувством, позволяющим им сразу определять нереальные сроки. Сейчас мы рассматриваем предпоследний слайд вашей презентации или предпоследний раздел вашего отчета. Не хотелось бы допускать здесь решающих ошибок.

Для тех, кто не имеет опыта руководства проектами, приведем несколько примеров ситуаций с вымышленными коэффициентами, на которые нужно умножить первоначально установленные сроки.

■ Розыск всего необходимого (2х).

■ Компиляция и запуск всех бесплатных программ (2х).

■ Получение разрешения руководства на определение нужной политики (5х).

м Установка программного обеспечения и его тестирование (2х).

■ Введение в эксплуатацию датчика на коммутируемой сети (5х).

■ Подключение консоли аналитика к сенсору через брандмауэр (Зх).

■ Получение разрешения на установку программного обеспечения системы обнаружения вторжений на отдельных компьютерах (5х).

■ Проверка уязвимых мест по телефонным линиям (5х).

■ Устранение обнаруженных уязвимых мест (5х).

Этот список носит немного шутливый характер, но есть в нем и доля истины. Если эти пункты присутствуют в вашем графике, то, возможно, их стоит проверить еще раз.

Следующие действия

К этому моменту сделано все для формирования готового решения. Определены и оценены как проблема, так и ее решение с возможными вариантами. Что могло быть упущено? Устранит ли предложенное решение все проблемы организации? Если нет, нужно определить несколько следующих действий. Если, например, рекомендуется установить сетевую систему обнаружения вторжений, то следующими действиями могут быть:

■ защита по периметру сети критически важных систем;

■ для проведения анализа тенденций создание базы данных, которая позволяет исследовать сведения, полученные от систем обнаружения вторжений, брандмауэров, маршрутизаторов и из файлов системных журналов;

■ установка сетевых систем обнаружения вторжений для особо важных подсетей;

■ повсеместная защита отдельных хостов.

Каждое из этих действий должно быть определено по срокам исполнения и требующимся затратам. Это означает, что вы представляете в целом весь проект, и ваш план действительно хорошо продуман. Кроме того, бюджет на капитальные вложения рассчитывается на несколько лет вперед, и разработчики бюджета смогут учесть ваши запросы.

Резюме

Надеюсь, что эта глава была вам полезна. Она написана для профессионалов в области защиты информации, у которых нет средства для обнаружения взлома, и которые хотят усовершенствовать возможности защиты или повысить свою квалификацию. В этой главе мы показали, как общаться с руководством и как согласовать свои действия с коммерческой деятельностью организации.

Самое главное - не забывать (как и самому, так и при докладе руководству), что обнаружение взлома должно стать неотъемлемой частью общей стратегии защиты информации. Более того, обнаружение вторжений должно стать частью информационной безопасности каждого государства. Это доказали недавние события начиная с распределенных атак отказа в обслуживании, осуществленных с помощью IRC, и заканчивая запуском программ атаки с использованием возможностей SNMP и ASN.1. Для выявления распределенной атаки отказа в обслуживании не обязательно использовать систему обнаружения вторжений, но эта система позволяет найти скомпрометированные хосты до того, как они будут использованы хакерами. В последней главе нашей книги рассматриваются перспективные направления деятельности по обнаружению взлома.

Прогнозы и тенденции с

VJ оставление прогнозов - дело неблагодарное. Вы когда-нибудь читали точные прогнозы в газетных статьях? Как тут быть? Попытаемся отразить только самые основные вопросы: появляющиеся новые средства и тенденции в области обнаружения взлома. Меня приглашают рассказать о моих прогнозах на будущее по нескольку раз в год, поэтому я всегда стараюсь оставаться в курсе всех последних событий и слежу за развивающимися тенденциями.

Что касается этой главы, то мы обсудим новые угрозы, компьютерный терроризм, установку и запуск хакерами на чужом компьютере вредоносных программ, усовершенствованные методы проведения разведывательных действий и поиска цели атаки, многоуровневую систему защиты и глобальные методы обнаружения взлома. Завершит главу небольшой раздел об актуальных тенденциях в сфере информационной безопасности.

Возрастание угроз

Одна из причин постоянного интереса к проблемам обнаружения взлома заключается в постоянном росте числа угроз со стороны злоумышленников. Прогресс средств атаки за последний год поистине невероятен. Я не говорю о вирусах наподобие Code Red или Leaves и автоматических программах атаки на службу RPC, которые достигли значительного уровня сложности в середине 2001 года. Злоумышленники способны вывести из строя практически любой узел Internet. Скоординированные действия при сканировании позволяют проверить половину компьютеров сети класса В приблизительно за пять минут. При этом число сканирующих хостов достигает 2500 компьютеров, которые установлены в разных сетях. Сканирования могут быть и очень медленными, практически незаметными. При этом многие из злоумышленников днем работают на должностях специалистов по защите информации, что не может не вызывать беспокойства. Эти люди совершенно не планируют прекращать создание программ атаки.

“Ты не заметил увеличения количества атак, чего-то необычного?” Не менее пяти моих друзей, которые работают на правительство, задали мне этот вопрос к полудню 11 сентября 2001 года. Тогда мы впервые услышали о компьютерном терроризме и после выхода директивы 13231 поняли, что правительство США готовит защитные меры против таких террористов. Лично мне не удалось найти никаких доказательств реальных атак со стороны террористов. Ходят анекдоты и разные слухи, но основными средствами террористов по-прежнему остаются бомбы и пистолеты. Является ли компьютерный терроризм реальной угрозой? В некотором смысле, да. Многие учреждения управляются компьютерами, а компьютеры уязвимы. Однако основным сдерживающим моментом для такого терроризма является то, что у злоумышленников отсутствуют необходимые знания и мотивация. Другими словами, террористы пока предпочитают бомбы переносным компьютерам.

Теперь давайте обсудим последствия крупных атак на компьютерные сети, проведенных в прошлом году. Одна из причин, по которой эти атаки не нанесли большого ущерба, заключалась в том, что многие из нарушителей, участвовавших в создании этих атак, были не слишком злобными.

Любопытная тенденция, которая продолжает оставаться справедливой с 1997 года, заключается в том, что основную часть этих атак составляют атаки отказа в обслуживании на ШС. Группы хакеров сражаются за контроль над комнатами чатов ІКС и для этой цели создают средства отказа в обслуживании. Интересно, что многие из таких атак могут использоваться не только для атаки на службу ШС. Если бы группе террористов удалось захватить одну из сетей для использования в своих целях, они могли бы нанести значительный ущерб, особенно экономике. Каким будет финансовый ущерб, если десять крупнейших служб электронной коммерции в ІШетеї выйдут из строя на неделю? Будет потерян доход, ослаблены позиции некоторых компаний и нанесен удар по фондовым биржам.

Основной мерой защиты против любого вида терроризма является разработка плана действий в чрезвычайной ситуации. После 11 сентября казалось, что все решили заняться созданием таких планов, но энтузиазм быстро прошел. Основная задача этого плана - обеспечить альтернативный способ ведения бизнеса, если обмен данными по компьютерным сетям будет сильно затруднен.

Бизнес-план обнаружения взлома | Обнаружение нарушений безопасности в сетях | Компрометация многих компьютеров


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Октябрь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс