Что нужно делать в случае атаки на сервер
Категория: Безопасность | Автор: admin | 11-06-2010, 23:09 | Просмотров: 2804

Ключ к отражению атаки прост: не паниковать. Весьма вероятно, что к моменту обнаружения факта вторжения большая часть ущерба уже нанесена. Возможно, хакер "гулял" по системе несколько недель или даже месяцев. Вероятность того, что вы поймали вора, прокравшегося в систему всего час назад, близка к нулю.

Мудрая сова в подобном случае посоветовала бы сделать глубокий вздох и начать тщательно продумывать стратегию устранения "взлома". Старайтесь не вспугнуть злоумышленника, во всеуслышание заявляя о происшествии или выполняя какие-то действия, которые покажутся ненормальными для того, кто, возможно, наблюдает за деятельностью организации на протяжении нескольких недель. (Подсказка: в данный момент неплохо было бы выполнить резервное копирование. Надеемся, это не удивит нарушителя?!)

Стоит также напомнить самому себе о том, что, согласно исследованиям, в 60% инцидентов, связанных с нарушением безопасности, присутствовал "внутренний враг". Не изучив всех фактов, старайтесь не посвящать в проблему лишних людей, кем бы они ни были.

Приведем короткий план, который, будем надеяться, поможет администратору пережить кризис.

Этап 1: прекратите панику. Во многих случаях проблема обнаруживается только спустя какое-то время. Еще один-два часа или пара дней уже ничего не решают. Но имеет значение, какой будет реакция на событие: панической или рациональной. Часто в результате возникшей паники ситуация только усугубляется уничтожением важной информации.

Этап 2: определите адекватную степень реакции. Никому не выгодно раздувание инцидента. Будьте благоразумны. Решите, кто из персонала будет участвовать в решении возникшей проблемы и какие ресурсы при этом должны быть задействованы. Остальные будут помогать осуществлять "вынос тела", когда все закончится.

Этап 3: соберите всю возможную информацию. Проверьте учетные и журнальные файлы. Попробуйте определить, где первоначально произошел "взлом". Выполните резервное копирование всех систем. Убедитесь в том, что резервные ленты физически защищены от записи, если вы вставляете их в дисковод для чтения.

Этап 4: оцените нанесенный ущерб. Определите, какая важная информация (если таковая имеется) "покинула" компанию, и выработайте стратегию смягчения возможных последствий. Оцените степень будущего риска.

Этап 5: выдерните шнур. Если это необходимо и возможно, отключите "взломанные" компьютеры от сети. Остановите кровотечение и перевяжите раны. В архиве Compromise FAQ компании ISS даны дельные технические советы относительно того, что следует делать в случае "взлома" системы. Архив доступен по адресу

http://xforce.iss.net/security_library/faqs/compromise.php3

Этап 6: разработайте стратегию восстановления. Соберите толковых людей и обсудите план восстановления. Не заносите его в компьютер. Сосредоточьтесь на том, чтобы свести ущерб к минимуму. Постарайтесь никого не обвинять и не нагнетать обстановку. Помните о том психологическом ударе, который могут испытать пользователи.

Этап 7: сообщите о своем плане. Расскажите пользователям и управляющему персоналу о последствиях "взлома", возможных проблемах и предварительной стратегии восстановления. Будьте честны и откровенны. Инциденты, связанные с безопасностью, являются неотъемлемой частью современной сетевой жизни. Это не отражение ваших способностей как системного администратора или чего-то другого, чего можно было бы стыдиться. Открытое признание возникшей проблемы — 90% победы, поскольку тем самым вы демонстрируете, что у вас есть план выхода из ситуации.

Этап 8: воплотите план в жизнь. Вы знаете свои системы и сети лучше, чем кто-либо другой. Доверьтесь плану и инстинктам. Посоветуйтесь с коллегами из других организаций, чтобы убедиться в правильности выбранного направления.

Этап 9: сообщите об инциденте в компетентные органы. Если в инциденте участвовал "внешний игрок", сообщите об этом случае в организацию CERT (адрес её электронной почты — cert@cert.org), предоставив как можно больше информации.

Стандартная форма отчета находится на Web-узле www.cert.org. Ниже перечислено, что желательно в него включить:

  • информацию о моделях и архитектуре "взломанных" компьютеров, а также об установленных на них операционных системах;
  • список "заплат", которые были установлены в системе на момент инцидента;
  • список учетных записей, подвергшихся нападению;
  • имена и IP-адреса удаленных компьютеров, вовлеченных в инцидент;
  • соответствующие журнальные записи и учетные данные;
  • контактную информацию.

 

Если в ходе инцидента была обнаружена ранее неизвестная прореха в программном обеспечении, следует сообщить о ней компании-разработчику.



 (голосов: 0)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page