Ещё один класс систем обнаружения и предотвращения компьютерных атак,
функционирующий после завершения активного воздействия со стороны нарушителя,
это класс «Системы анализа журналов регистрации».
Их основное назначение — это максимальная автоматизация действий персонала,
снижение нагрузки на специалистов по защите информации.
Они предназначены для автоматизации анализа информации из всех доступных в
автоматизированной системе журналов регистрации,
то есть максимально обощённой и максимально полной информации.
Рекомендуется комбинировать их применение с действиями квалифицированного персонала.
От сотрудника неизбежно требуется выбрать источники информации, то есть указать,
из каких журналов следует информацию извлекать и подтверждать, что обнаруженная
при помощи системы информация действительно свидетельствует о конкретных
атаках и подозрительных действиях, а не является ложным срабатыванием.
При выборе журналов регистрации рекомендуется сформулировать следующие
положения: определить, какие признаки атак будут использоваться, определить,
в каких журналах регистрации фиксируется информация, служащая такими признаками,
и какая дополнительная информация о системе требуется службе безопасности для
принятия соответствующих мер в дальнейшем для изучения конкретного инцидента.
После того как на эти вопросы получены ответы, можно определить,
какие конкретно журналы регистрации требуется анализировать
при помощи системы обнаружения и предотвращения атак и, соответственно,
какую информацию из них следует извлекать.
При этом следует рассмотреть следующий перечень журналов регистрации,
некоторые из журналов которых могут потребоваться.
Это типичные журналы регистрации, в которых содержится информация,
которая может свидетельствовать о реализации атак.
Это журналы пограничных маршрутизаторов, то есть маршрутизаторов,
отделяющих локальную сеть от внешней сети, разумеется, журналы межсетевых экранов,
средств защиты информации в информационной системе, журналы сетевых систем
обнаружения атак, которые затем могут обрабатываться автоматизированно с помощью
системы анализа журналов регистрации, журналы различных сервисов, журналы
различных серверов в информационной системе и журналы рабочих станций.
Возможными признаками атак в таких журналах могут служить следующие записи.
Известные последовательности действий либо сетевых пакетов и тому подобных сущностей,
так называемые сигнатуры атак, то есть известные сценарии атак,
под которые подходят, например, некоторые последовательности действий или
последовательности отправляемых потенциальным нарушителем сетевых пакетов.
Повтор различных событий, например, повтор прохождения сеанса
авторизации пользователем или попыток пройти сеанс авторизации.
Это может свидетельствовать, например,
о попытке подбора пароля или о том, что пользователь по той
или иной причине предпочитает быстро завершать едва начавшийся сеанс.
По какой причине он это делает,
должно стать причиной соответствующего расследования.
Неадекватные ситуации действии субъектов информационной системы также
могут свидетельствовать о возможной атаке.
Некорректные параметры сетевых пакетов или трафика в целом вряд ли
возникнут сами собой.
Наверняка, они связаны с какой-то несанкционированной деятельностью,
будь то деятельность нарушителя либо сбой, либо ошибки пользователей.
В любом случае,
их также следует тщательно исследовать и принять меры для их недопущения в будущем.
Непредвиденные изменения в настройках информационной системы,
в правах доступа к объектам тоже зачастую свидетельствуют о начинающейся или
подготавливаемой компьютерной атаке.
Использование или поиск уязвимостей явно
свидетельствует о подготовке компьютерной атаки.
Нетипичные атрибуты событий безопасности, например,
доступ к какому-то конкретному файлу со стороны пользователя, который никогда
прежде к данному файлу не обращался, либо в какое-то нетипичное время,
либо при помощи какого-то нетипичного программного средства.
Например, попытка запуска программы под отладчиком, программы,
относящейся к обеспечению информационной безопасности.
Или попытка открыть какой-то файл системой,
которая позволяет его редактировать.
Например, исполнение файлов в среде редактирования программного кода
может свидетельствовать о попытке ввести несанкционированные изменения в какое-то
программное средство, например.
Аномальное поведение пользователей, то есть отклонения от статистических
параметров их профиля пользователя, описывающего их типичное поведение,
тоже может являться признаком атак и в любом случае должно расследоваться.
[МУЗЫКА]
[МУЗЫКА]