Как правило, в отношении брандмауэров такого образа действий достаточно, поскольку их единственная задача заключается в том, чтобы разрешать пользование одними сетевыми службами и блокировать другие. Единожды сконфигурированные, они надежно и с незначительными административными расходами делают свою работу. Другое дело IDS: любое нарушение директивы сначала должно быть проинтерпретировано системой и при определенных обстоятельствах охарактеризовано как «вторжение». Каждое вторжение в зависимости от уровня угрозы влечет за собой различные действия: одни выполняются автоматически с помощью систем предотвращения вторжений (Intrusion Prevention Systemen, IPS), другие же, напротив, требуют безусловного вмешательства администратора. Систему можно, к примеру, настроить так, чтобы в случае неразрешенного доступа к какой-либо определенной службе она самостоятельно блокировала IP-адрес отправителя. Существенно более опасные «вторжения», например заражение сети клиентами, находящимися под контролем злоумышленника и используемыми для проведения распределенных атак с целью вызвать «отказ в обслуживании», потребуют, возможно, отключения целых сегментов сети.
Решение о том, является ли нарушение защиты «вторжением», IDS принимает на основе наборов правил, заранее определенных уполномоченным персоналом ИТ. Неправильно или неполностью сконфигурированные, они могут привести к так называемым «ложным срабатываниям», когда обычный сетевой трафик ошибочно идентифицируется как вредоносный. Автоматизированные действия, вызванные «ложными срабатываниями», при определенных обстоятельствах способны нанести огромный ущерб. К определению сводов правил следует подходить с большой тщательностью, поскольку неправильное использование системы IDS вместо пользы может причинить вред, причем больший, нежели ее отсутствие. Необходимо принимать во внимание, что чем больше времени на этапе оценки тратится на анализ и описание инфраструктуры ИТ, тем эффективнее будут работать механизмы этапа выявления с точки зрения выполнения разумных действий, сокращения административных издержек и повышения уровня безопасности.
Этап 4: реакция. Вероятность несрабатывания механизмов этапа защиты исключить нельзя, как и то, что злоумышленник найдет лазейку в сети, расставленной на этапе выявления. На этот случай на этапе ответных действий подготавливаются надлежащие меры и соответствующие механизмы.
Если злоумышленник использует для атаки слабое место в программном обеспечении какой-либо службы сервера, разумные контрмеры состоят из следующих шагов: • физическое отключение всех сетевых соединений сервера;
• завершение работы пострадавшей серверной службы;
• запуск соответствующего исправления на сервере;
• выключение сервера;
• подключение отсоединенных сетевых шнуров;
• повторный запуск сервера;
• информирование персонала, ответственного за оценку. Однако в отдельных случаях исправления ошибок пострадавшего аппаратного и программного обеспечения недостаточно. Если причиненный ущерб столь велик, что нормальную работу инфраструктуры ИТ поддерживать уже не удается, то на этот случай должны быть заранее определены ответные правовые действия. Кроме того, при определенных обстоятельствах ущерб могут понести и партнерские предприятия, подключенные к корпоративной сети. Их, безусловно, надлежит известить о случившемся. Отключение целых сегментов сети в качестве крайней меры не должно относиться к сфере ответственности одного только администратора.
Для этого заранее устанавливаются уровни полномочий и компетенции. При каждом изменении инфраструктуры процесс обеспечения безопасности рекомендуется запускать заново с проведением всех его этапов. То же самое следует делать и при изменении оценок в уравнении риска.
Безопасность - это процесс, а не продукт. Предложенный вариант, состоящий из описанных выше этапов, нацелен на заблаговременное обнаружение и устранение слабых мест в такого рода процессе. В результате появляется структурированная модель поведения, реализация которой способствует достижению прозрачности и повышению уровня безопасности на предприятии. Анализ рисков закладывает основу для принятия в дальнейшем всех мер, связанных с безопасностью, и может быть проведен с незначительными издержками и большой пользой.
Список литературы
Журнал сетевых решений, февраль 2007