|
Если злоумышленники захотят пробраться внутрь системы - вероятно они найдут
способ. Эксперты по безопасности дают советы о том, как обнаружить вторжение.
Заметные атаки, направленные против крупных промышленных компаний, показали,
что хорошая система защиты может усложнить проникновение в систему для
злоумышленника, но достаточно настойчивый хакер найдет способ проникнуть внутрь.
В этом году увеличилось количество атак, приведших к утечке корпоративной
информации: компания по
обеспечению информационной безопасности RSA,
маркетинговая фирма Epsilon
и развлекательный гигант
Sony подтвердили факт проникновения в их системы безопасности в 2011 году.
Не удивительно, что если раньше концепция глубокой защиты (defense-in-depth)
оставалась мантрой индустрии информационной безопасности, то сейчас поставщики и
консультанты более активно рекомендуют компаниям улучшать их способности в
обнаружении успешно проведенных атак.
"Когда все другие способы защиты не работают, и есть хоть небольшой шанс, что
злоумышленники могут проникнуть в систему, встает вопрос, сможем ли мы
обнаружить их", - считает Брет Хартман главный директор по технологиям RSA,
а также EMC.
В отличие от обычных кибер-преступников, злоумышленники, специализирующиеся
на целенаправленных, долговременных атаках, имеют тенденцию сосредотачиваться на
тайной разведке и проникновении в тыл своих жертв, что сильно усложняет
обнаружение угроз.
"Теперь они не "взрываются" внутри вашей сети — времена Nimda и Slammer уже
прошли", - говорит Джим Уолтер, менеджер службы по предотвращению угроз компании
McAfee (MTIS).
Чтобы быть готовым к тому, что злоумышленники
уже находятся внутри
корпоративной сети, менеджеры по безопасности должны предпринять несколько
шагов, говорят эксперты.
1. Знай свою сеть
Самый важный инструмент для поиска — твердое базовое знание
сети. Понимание конфигурации систем, того как они взаимодействуют между собой,
и какие порты и сервисы разрешены для каждого участника сети — необходимый шаг
для выявления вредоносных изменений, советует Джим Уолтер, менеджер службы по
предотвращению угроз компании McAfee (MTIS).
"Если ты точно не знаешь сколько машин в твоей сети, где они, что они
делают и как они взаимосвязаны, то ты абсолютно беззащитен", - написал Уолтер.
Компании должны постоянно обновлять свои знания о сети и соединенных с ней
системах для внесения и регистрации изменений. Проверка целостности файлов —
это ключевой инструмент, но и уверенность в том, что конфигурации достаточно
защищены и соответствуют политике компании также важна, говорит Дуэйн Меланкон, главный технический директор компании по информационной
безопасности Tripwire.
"Стоит им однажды попасть внутрь - они остаются внутри, но знание того, как все
выглядело до того, как они попали внутрь системы, дает тебе преимущество при
выяснении того, что именно произошло и как это остановить", - отмечает Мелакон.
2. Огради информацию
В добавок к всеобъемлющим знаниям о сети компаниям
также стоит поместить свою секретную информацию в хорошо контролируемые цифровые
"хранилища". Когда доступ к важной информации ограничен, любые вредоносные
попытки скопировать или выкрасть данные становятся более заметными, считает Джо
Стюарт, директор исследования вредоносного ПО в SecureWorks
Dell.
"Тебе нужно заранее иметь план", - говорит он. "И хранить твою секретную
информацию в отдельном анклаве, где применяется строгая политика безопасностия".
Кроме того, компании могут позаимствовать технологии из обороны от
инсайдеров, создавая
хонейпоты или файлы-приманки, привлекающие внимание, но поднимающие
тревогу если их просмотрят или попытаются скопировать.
"Это действительно эквивалент выявления инсайдерских атак, поскольку
злоумышленник уже действует изнутри", - считает Хартман из RSA.
3. Отслеживай хосты, регистрацию в сети и сетевой трафик
Как только
защитники получат базовые знания о своей сети, угрозы можно будет легко
отследить, найдя аномальное поведение в лог-файлах, хостах и сетевом трафике.
Компании, которые нерегулярно проверяют свои лог-файлы, скорее всего не обнаружат
брешь в своей системе безопасности. Например, в последнем выпуске Отчета об
исследованиях по утечке данных (Data Breach Investigations Report) компания Verizon показала, что 69% утечек, зарегистрированных за год, могли быть
обнаружены путем анализа логов. Вместо этого, почти 7 из
восьми утечек были раскрыты не самими жертвами, а сторонними фирмами —
и тенденция в том, что это вряд ли произойдет в случае кражи
интеллектуальной собственности.
Мониторинг сетевого трафика также может привести к обнаружению атаки. Кроме
того, системы, записывающие данные для последующего анализа, могут помочь
компании проанализировать потенциальные угрозы, говорит Хартман из RSA.
"Ты можешь увидеть в логах, что файл XYZ был похищен", - поясняет он.
"Но хороший атакующий удалит файл так, что ты даже не узнаешь, что он был
украден. С помощью анализа пакетов ты сможете понять, что именно было попало в
руки взломщика".
Наконец, host-based системы обнаружения вторжений, которые стоят на ступень выше, чем
антивирус и реактивное обнаружение сигнатур, также являются ключевыми факторами
для выявления причин аномалий в системе — действия ли это злоумышленника или
неправильная работа программы.
"Логи — это отлично, сетевой трафик — отлично, но они оба не дают вам
полного представления о том, что на самом деле делает программа", - подводит
итог Брет
Хартман из компании RSA.
|
, 
