Технологии расследования компьютерных инцидентов Текст научной статьи по специальности «Компьютерные и информационные науки»

ТЕХНИЧЕСКИЕ НАУКИ

ТЕХНОЛОГИИ РАССЛЕДОВАНИЯ КОМПЬЮТЕРНЫХ

ИНЦИДЕНТОВ Бутин А.А.

Бутин Александр Алексеевич - кандидат физико-математических наук, доцент, направление: информационная безопасность, кафедра информационных систем и защиты информации, Иркутский государственный университет путей сообщения, г. Иркутск

Введение

Необходимо признать, что компьютерные преступления (инциденты) всегда совершались, совершаются и будут совершаться. Не существует системы защиты, которую нельзя обойти или сломать при наличии достаточного количества ресурсов. Даже если защита от вторжений идеальна по внешнему периметру, всегда есть субъекты, которые обслуживают систему внутри, т.е. имеют легальный доступ к ней.

Ежегодно из-за компьютерных преступлений теряются огромные финансовые средства. Сейчас вряд ли можно найти человека или организацию, которые не сталкивались бы с банальными компьютерными вирусами. Один вирус, принесенный на флеш-накопителе или полученный по почте, может уничтожить всю базу данных организации.

Эти потери могут быть невосполнимыми и зачастую от них нельзя застраховаться. Существует базовый способ борьбы с компьютерной преступностью. Это постоянное отслеживание состояния защищаемой системы, создание резервных копий, систематическое обновление программных продуктов и установка пакетов обновления безопасности. Но и эти меры не будут гарантировать стопроцентной защиты, т.к. может получиться, что злоумышленник будет искать уязвимость именно в данной системе и эта уязвимость будет уникальной. Следовательно, узнать об этом можно только после того, как компьютерный инцидент произойдет. И тогда нужно будет направить все силы на его расследование и выявить, каким же именно способом и кем он был совершен. Если этого не сделать, инцидент может повториться. Ниже приводится одна из возможных технологий расследования компьютерных инцидентов (наряду с опубликованными [1]-[5]).

Методология расследования компьютерных инцидентов. Методология реагирования на компьютерный инцидент предназначена для решения следующих задач:

• подтверждение или опровержение самого факта инцидента;

• сбор достоверной информации об инциденте;

• контроль за правильностью обнаружения и сбора фактов;

• защита гражданских прав, установленных законом и политикой информационной безопасности;

• минимизация влияния на основные операции организации;

• формирование гражданских и уголовных исков к нарушителям;

• создание точного отчета и полезных рекомендаций для будущих реакций на инциденты.

Компьютерные инциденты часто приводят к сложным и многофакторным проблемам. Как и любая другая сложная техническая проблема, реакция на инциденты может рассматриваться как черный ящик. Проблемы разделяются на составные части, затем исследуется входная и выходная информации каждого компонента. Поэтому предложенная методология реакции на инциденты состоит из следующих процедур:

Подготовка к инциденту - действия, которые позволяют подготовиться к возможным инцидентам.

Выявление инцидентов - исследование подозрительных инцидентов в системе безопасности.

Первоначальная реакция - проведение первоначального расследования, получение наиболее очевидных фактов (включая свидетельские показания) и подтверждение самого факта инцидента.

Формирование стратегии реакции на инцидент - на основе собранных фактов определяется наиболее эффективная реакция на инцидент, которая утверждается руководством компании.

Дублирование (судебное резервное копирование) - создание материалов для предоставления в судебные инстанции для расследования инцидента или получения дополнительных фактов.

Исследование - проведение подробного изучения того, что произошло, кто это сделал и как можно предотвратить подобные инциденты в будущем.

Реализация мер безопасности - активное воздействие на пострадавшую систему, предполагающее проведение мероприятий безопасности для изоляции и устранения последствий инцидента.

Сетевой мониторинг - исследование операций в сети для изучения и защиты пострадавших сетевых устройств.

Восстановление - возобновление нормального операционного состояния пострадавшей системы.

Отчет - точное документирование всех подробностей расследования и применение мероприятий безопасности.

Завершение работы - анализ предпринятых действий, изучение полученного опыта и устранение всех выявленных проблем.

Подготовка к инциденту. Компьютерные инциденты являются случайными, поэтому исследователи заранее не знают, когда произойдет очередной инцидент в системе безопасности. Более того, исследователи вообще не могут получить управление и не имеют доступ к компьютеру, пока на нем не произойдет инцидент. Однако, как и с научным прогнозированием землетрясений или ураганов, можно с уверенностью сказать, что инцидент может произойти. И это поможет хорошо подготовиться и к очередному инциденту.

При подготовке к инциденту предполагается не только получение программных инструментов и технологий, но и некоторые действия в системе и сети для предварительной подготовки к реакции на инцидент. Если исследователи могут немного контролировать компьютеры и сеть, то можно предпринять разнообразные предварительные действия, которые помогут ускорить реакцию после возникновения инцидента. Например, можно усовершенствовать процедуру входа на хосты и в сети, а также регулярно проводить резервное копирование.

Вне зависимости от полномочий доступа к потенциальным жертвам инцидентов (т.е. к хостам и сетям), необходимо заранее распределить роли между членами команды реакции на инцидент, а также подготовить оборудование и программные средства для этой реакции.

Идентификация жизненно важных активов компании. Основой подготовки к инциденту является создание предпосылок для выработки быстрых ответов на вопросы, возникшие после инцидента. Среди этих вопросов:

• Что реально произошло?

• Какие системы затронуты инцидентом?

• Какая информация скомпрометирована?

• Какие файлы были созданы, изменены, скопированы или удалены?

• Что могло стать причиной инцидента?

• Кого следует уведомить об инциденте?

• Какие действия нужно предпринять для быстрого возобновления бизнес операций в компании?

Первым этапом в подготовке к возможным инцидентам должна стать безопасность сети. Необходимо затратить время на исследование потенциальных рисков, связанных с компьютерными инцидентами:

• Что больше всего может повредить компании: остановка бизнеса, потеря репутации, снижение уровня доверия или кража критически важной информации?

• На чем следует сосредоточиться: на краже интеллектуальной собственности, изменении данных или разрушении важных информационных архивов?

• Кто представляет наибольшую опасность для компании?

Имея общее представление о возможных рисках, компании должна сформировать правила для безопасности наиболее важных активов, правила станут базой для формирования политик и процедур безопасности активов компании.

Для защиты сети от атаки можно применять мероприятия безопасности на уровне хостов или на уровне всей сети в целом. В любом случае следует предотвращать возможные атаки и регистрировать попытки неавторизованного доступа.

В некоторых случаях можно позволить атакующему продолжить свои операции, но тщательно отслеживать все неавторизованные или незаконные действия.

Подготовка отдельных хостов. Что необходимо выполнить на каждом компьютере, чтобы гарантировать быструю и эффективную реакцию на инцидент? Приведем несколько рекомендаций, которые помогут в любом исследовании наиболее эффективных методов реакции на инцидент:

• Запись криптографической контрольной суммы всех важных файлов;

• Усиление или разрешение аудита безопасности;

• Создание индивидуальных средств безопасности каждого хоста;

• Резервное копирование критически важных данных и хранение полученных архивных носителей в безопасном месте;

• Обучение пользователей методом индивидуальной защиты хостов;

Если надежно защищены все хосты, можно избежать многих инцидентов компрометации безопасности. При подготовке к инцидентам обязательно должны учитываться индивидуальные средства защиты хостов. Действия по увеличению безопасности хостов не только снизят вероятность инцидентов, но и упростят расследование после возникновения компьютерного инцидента.

Предложим несколько рекомендаций для изучения способов защиты хостов:

• Необходимо убедиться, что используются последние версии операционной системы и приложений;

• Следует отключить неиспользуемые службы;

• Нужно внимательно отнестись к настройке конфигурационных параметров;

Большое количество уязвимостей в системе безопасности связаны только с

ошибками системных администраторов.

Подготовка сети. Многие сетевые средства помогут реагировать на компьютерные инциденты. Необходима сетевая регистрация событий, которая во многих случаях предоставит неоспоримые (а иногда и единственные) факты вторжения. Поэтому в реакции на инцидент важную роль играет сетевой администратор.

Сетевой администратор отвечает за сетевую архитектуру и топологию, поэтому может дать полный ответ на вопрос: «Какие системы могут быть скомпрометированы во время инцидента?». Именно сетевой администратор обслуживает брандмауэры, маршрутизаторы и системы выявления вторжений IDS (Intrusion Detection Systems), которые дают критически важные файлы журналов регистрации. Сетевой

администратор поможет изменить конфигурацию некоторых устройств для блокирования определенных потоков трафика во время реакции на инцидент.

К сетевым мероприятиям безопасности относятся:

• Установка брандмауэров и систем IDS;

• Использование списков управления доступом в маршрутизаторах;

• Создание сетевой топологии, облегчающей мониторинг;

• Шифрование сетевого трафика.

Установка подходящей политики и процедур безопасности. Политика, принятая на предприятии может способствовать или препятствовать расследованию компьютерного инцидента, связанного с нарушением безопасности.

Без учета действующей политики сотрудники не смогут ожидать обеспечения своих гражданских прав, а руководство не сможет проводить мониторинг ежедневной работы сотрудников, знакомиться с почтовыми сообщениями, анализировать привычки при перемещении в Web, получать доступ к системам голосовой почты или узнавать о содержимом компьютерных систем своих сотрудников.

Уволившийся сотрудник способен переслать по e-mail важные промышленные секреты, а хакеры - получить полный доступ к корпоративной сети.

Без установки правильной политики нельзя легально проводить мониторинг таких незаконных действий.

После инцидента с нарушением безопасности расследование может предполагать вторжение, например, проведение мониторинга действий сотрудников или неавторизованных в сети взломщиков. Подготовка, планирование, формирование правильной политики и другие внутренние мероприятия, с которыми придется столкнуться, определяются целями, поставленными при реакции на инцидент.

Формирование команды реагирования на инцидент. Сбор команды реагирования, после того, как произошел компьютерный инцидент нарушения безопасности системы, может значительно увеличить время реагирования и расследования инцидента, и снизить результативность работы. Неподготовленный и нетренированный персонал не сможет достичь успеха. В состав команды реагирования должны войти люди, которые обращают внимание на все детали происходящих событий, держат их под контролем, не пропускают важных фактов и тщательно документируют свои действия.

Целями команды реагирования на инциденты являются:

• Реакция на все явные и предполагаемые компьютерные инциденты в организации и проведение установленной процедуры расследования;

• Беспристрастное (насколько это возможно) и полное расследование инцидента;

• Быстрое подтверждение или опровержение факта вторжения или нарушения безопасности систем;

• Определение ущерба и области действия инцидента;

• Установка линии постоянной связи (24 часа, 7 дней в неделю) для клиентов на время проведения расследования;

• Контроль и подавление последствий инцидента;

• Сбор фактов и документирование инцидента;

• Прослеживание цепочки взаимосвязанных событий (защита фактов во время сбора информации об инциденте);

• Привлечение дополнительных сил (при необходимости);

• Защита гражданских прав, установленных законом и/или корпоративной политикой;

• Обеспечение взаимодействия с органами правопорядка и судебными инстанциями;

• Обеспечение должного уровня конфиденциальности, позволяющего защитить от утечки информации, которая может скомпрометировать организацию;

27

• Проведение сбора свидетельских показаний;

• Предоставление руководству рекомендаций, полностью, основанных на фактах, выявленных при расследовании инцидента.

После инцидента первым мероприятием должно стать назначение одного из сотрудников руководителем команды реагирования или присвоением ему полномочий главного следователя. В этом случае сотрудник получит в команде право на окончательное решение (демократические принципы существенно замедлят работу команды реагирования на инциденты).

Все исследователи компьютерных инцидентов должны быть знакомы с соответствующими технологиями, а также иметь необходимую квалификацию для оценки преимуществ и недостатков различных стратегий реагирования. Таких специалистов немного, но необходимым уровнем квалификации должен обладать хотя бы руководитель команды реагирования.

Руководитель команды реагирования должен оценить необходимые людские и технические ресурсы еще до начала формирования команды.

Например, если жертвой атаки стал маршрутизатор Cisco, в команду следует пригласить специалиста по этому устройству.

Состав команды реагирования зависит от многих факторов, включая следующие:

• Количество хостов, участвовавших в инциденте;

• Количество операционных систем, участвовавших в инциденте;

• Сложность инцидента;

• Предполагаемый ущерб (чем больше ущерб, тем больше потребуется ресурсов).

Единственным способом оценки необходимых людских и технических ресурсов

остается практика.

Выявление инцидентов. Выявление является первым этапом реакции на инциденты. Перед выявлением исследователь должен быть уведомлен о возможности инцидента. Для этого служат определенные каналы, позволяющие получить информацию еще до начала исследования инцидента.

Не следует считать, что нельзя предугадать, когда произойдет следующий инцидент. Можно обратиться к публикациям о вторжениях в операционные системы и приложения. Раньше команда быстрого реагирования на компьютерные инциденты (CERT, Compuiei Emergenсу Response Team) отмечала сотни событий, причем чаще всего в летние месяцы.

Предполагаемый инцидент может быть обнаружен различными техническими и организационными средствами. К техническим средствам относятся системы обнаружения вторжений IDS и брандмауэры (firewall), которые формируют сообщения об аварийных событиях в сети. В процессе своей обычной работы администраторы и пользователи могут заметить необычные операции по использованию учетных записей или ресурсов. Посетители вполне могут уведомить о неправильном функционировании службы или исковерканном Web сайте.

Вне зависимости от метода выявления инцидента, необходимо записать все полученные сведения. Предполагается пользоваться списком уведомлений (notification checklist), который позволяет не упустить важные подробности и факты. Список уведомлений должен содержать все необходимые подробности, хотя не все данные могут использоваться для уведомления. Однако необходимо зафиксировать очевидные факты, к которым относятся:

• Текущие дата и время;

• Кто или что уведомил об инциденте;

• Природа инцидента;

• Как произошел инцидент;

• Участвовавшее в инциденте оборудование и программное обеспечение;

• Контактная информация лиц, обнаруживших инцидент.

Заполнив список уведомлений, следует привлечь команду реагирования на

инцидент и обратиться в соответствующее подразделение компании.

Список литературы

1. Мандиа Кении, Просис Крис. Защита от вторжений: расследование компьютерных преступлений. М.: Издательство «ЛОРИ», 2005. 476 с.

2. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. К.: ООО «ТИД ДС», 2001. 688 с.

3. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. Спб.: БХВ-Петербург, 2005. 752 с.

4. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. Горячая Линия - Телеком, 2002. 336 с.

5. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. Питер, 2008. 320 с.

ТРЕХМЕРНОЕ МОДЕЛИРОВАНИЕ С ПРИМЕНЕНИЕМ

СРЕДСТВ АВТОМАТИЗИРОВАННОГО ПРОЕКТИРОВАНИЯ

1 2 Ломовская Е.В. , Алешкова Е.Н.

1Ломовская Елена Владиславовна - заведующая учебной частью;

2Алешкова Елена Николаевна - заведующая отделением очного обучения, Государственное бюджетное профессиональное образовательное учреждение

Ростовской области Волгодонский техникум металлообработки и машиностроения, г. Волгодонск

Аннотация: в статье рассматривается создание комплекса подсистем трехмерного геометрического моделирования, основанного на экспертных знаниях и включающего не только системы вывода и визуализации информации, но и алгоритмические и интеллектуальные методы поддержки принятия решений, который позволит пользователю принимать высокоэффективные решения при проектировании на основании методов компьютерной обработки данных о трехмерных геометрических моделях.

Проектное решение выводится путем предоставления информации о сформированной трехмерной модели, в соответствии с правилами размещения и компоновки технологического оборудования с учетом общеэкономических, природосберегающих, спецтехнологических и других проектных ограничений, что позволит повысить результативность существующих систем, учитывая страну-производитель, требуемых образцов продукции, а также габариты имеющегося или проектируемого помещения или здания.

Ключевые слова: трехмерное моделирование, компьютерная графика, автоматизированное проектирование.

В современном мире с каждым годом происходит все больший рост конкурентной борьбы и ограничений отрицательного влияния на природу, что, в совокупности, ведет к повышению требований к качеству продукции, но сохранении ее низкой стоимости. А, как известно, технологическое оборудование в современных производственных системах имеет обширные конфигурации, которые зависят от видов выпускаемой продукции и перечня продуктов, выпускаемого на каждой из линий производства. В связи с этим возникает необходимость в разработке таких