Проведение аудита безопасности
Итак, что же следует искать при аудите сайта после инцидента, связанного с нарушением безопасности? Ответ на этот вопрос либо очень прост – поиск всего, что свидетельствует о подозрительной или необычной активности, либо ответ заключается в отсутствии ответа на этот вопрос. В данном случае больше подходит вопрос: "С чего начать?". Начать следует с просмотра журналов на предмет обнаружения улик в различных областях.
Необходимо определить нанесенный ущерб. Утеряны ли файлы? Имел ли место явный сбой в работе сервера? Обнаружен ли признак хорошо известной атаки в журналах? Присутствует ли в системе вирус? Ответы на эти вопросы и будут той базой, на основе которой вы продолжите "разбор полетов".
После этого исследуйте каждую категорию событий для выявления этапов проведения атаки. При включенном аудите (см. лекцию 5) фиксируются данные о следующих категориях событий:
- события входа;
- управление учетными записями;
- доступ к объектам;
- использование привилегий;
- изменение политики;
- системные события.
В общем, с помощью исследования файлов или объектов, на которые было оказано воздействие, можно выявить последовательность событий, которая привела к сбою.
В лекции 6 содержатся подробные инструкции по аудиту, предоставленные Microsoft Security Operations Guide Windows 2000 Server (Руководство по безопасности сервера Windows 2000). Это руководство содержит детали всех конкретных событий, которые необходимо отследить. Адрес URL данного руководства очень велик и, скорее всего, уже изменился, поэтому здесь он не приводится. Можно найти это руководство через поиск на сайте Microsoft TechNet (www.microsoft.com/technet) строки "Security Operations Guide for Windows 2000 Server".
