Читаем Секреты и ложь. Безопасность данных в цифровом мире полностью

В Интернете обнаружение может оказаться сложным делом. Недостаточно установить брандмауэр и этим ограничиться. Вы должны обнаруживать нападения на сеть. Это требует чтения, понимания и интерпретации огромного количества записей в контрольных журналах, которые делает брандмауэр, а также маршрутизаторы, серверы и другие сетевые устройства, так как вполне возможно, что некоторые атаки обойдут брандмауэр. Такие нападения всегда где-нибудь оставляют след.

Обнаружение должно быть своевременным. (Поздно реагировать на нападение, о котором вы узнаете из утренних газет.) Это означает, что требуется система контроля в реальном времени. Чем скорее вы обнаружите что-то подозрительное, тем скорее вы сможете отреагировать.

Простого обнаружения недостаточно, необходимо понять – что это за нападение и что оно означает. Традиционно, военные разделяют этот процесс на четыре этапа.

Обнаружение. Осознание того, что произошло нападение. Три ключевых сервера вашей сети одновременно вышли из строя. Что это – нападение или просто проблемы программного обеспечения сети? Или, может быть, случайное совпадение? Если вы даже не знаете, нападение это или нет, вы не можете адекватно отреагировать.

Локализация. Определение точки, в которой произошло нападение. Даже если вы знаете, что сеть атакована, вы можете не иметь сведений о том, какие компьютеры или порты подвергаются нападению. Вы можете знать, что поломка серверов – результат нападения, но не иметь никакого понятия, как нападающему это удалось сделать и чем он занят в настоящее время.

Идентификация. Определение, кем является нападающий и откуда он работает. Это поможет составить представление о его сильных и слабых сторонах. Например, с нападающим из Соединенных Штатов можно бороться иными методами, нежели с нападающим из Молдавии. (Этот шаг более важен в традиционном военном процессе, чем в сетевой безопасности.)

Оценка. Понимание целей и мотивов атакующего, его стратегии и тактики, его возможностей и, желательно, его уязвимых мест. Эта информация имеет чрезвычайно важное значение для выбора средств реагирования. Реакция на шалости ребенка будет совершенно иной, нежели на действия промышленного шпиона. Ребенок, вероятно, сразу отключится от соединения, если вы хоть как-то прореагируете на него. Более упорного нападающего так легко остановить не удастся.

Каждый последующий шаг труднее, чем предыдущий, и требует более детальной информации. Часто ее анализ нуждается в участии квалифицированных специалистов, компьютер, предоставленный сам себе, рано или поздно не сможет справиться с этой задачей (хотя автоматическая программа может хорошо работать довольно долго).

На каждом шаге вы получаете все больше информации о ситуации. Чем больше информации вы получаете (и чем скорее), тем лучше вы вооружены. К сожалению, большинство сетевых администраторов никогда не знают, что они подверглись нападению, а если и знают, то не понимают, откуда оно исходит. Идентификацию и оценку особенно трудно осуществить в Интернете, где нападающему легко маскировать свое местоположение.

Скорость существенна. Чем быстрее вы проанализируете нападение, тем быстрее ответите на него.

Поговорим о способах реагирования. Беспрерывно звонящая сигнализация, на которую никто не реагирует, ничем не лучше, чем полное ее отсутствие. Ответ – это то, для чего, собственно, и нужны средства обнаружения.

Иногда реагировать легко: если украден номер телефонный карточки, значит, его следует аннулировать. Иногда бывает сложнее: кто-то проник на сервер электронной торговли. Можно закрыть сервер, но потери составят 10 миллионов долларов в час. И что теперь?

Ответить непросто, хотя часто бывает, что люди принимают разумные решения за доли секунды. «Кто-то забрался на стену и приближается к застекленной крыше. Что нам сейчас делать?» Это во многом зависит от ситуации. Но вы не можете бездействовать. Можно просто прогнать его. Можно прогнать его и удостовериться, что он больше не вернется. Можно прогнать его, определить, как ему удалось туда попасть, и закрыть уязвимое место.

Пресечь нападение – это только половина дела. Не менее важно выследить и найти нападающего. Это бывает очень трудно в некоторых случаях: например, в Интернете нападающий может переходить с одного компьютера на другой, чтобы «замести следы». Полиция не может тратить много времени на расследование таких случаев до тех пор, пока не будут привлечены дополнительные людские или финансовые ресурсы, и я думаю, что частные компании могут оказать помощь правосудию, например, собирая досье на некоторых взломщиков.

Столкнувшись с судебным разбирательством, большинство людей из компьютерного мира, чуждых правовой сфере, обнаруживают, какая это помойная яма. Недостаточно идентифицировать нападающего, необходимо еще доказать это в суде. В Англии предпринимались попытки привлечь к ответственности обвиняемых в мошенничестве с кредитными картами. Как проходит рассмотрение дела в суде?