Дополнительные источники

В идеальном варианте следовало бы установить системы обнаружения атак на все компоненты информационной системы. Однако это невозможно сделать по многим причинам и не только по финансовым. На некоторых компонентах ИС в принципе невозможно установить систему обнаружения атак. Тем не менее, обнаруживать попытки с целью нарушить функционирование этих компонентов необходимо. В качестве примера можно привести пользовательское приложение, использующее для взаимодействия протокол SPX. Как я уже упоминал выше, системы обнаружения, задействующие в качестве источника информации сетевой трафик, обрабатывают только CP/IP-пакеты. Журнал регистрации и какие-либо механизмы контроля действий пользователей не предусмотрены. Поэтому приходится обращаться к дополнительным источникам информации.

Уведомления от пользователей

Один из основных источников дополнительной информации — это сообщения от пользователей, которыми не стоит пренебрегать. И хотя зачастую такие сообщения – всего лишь плод воображения неквалифицированных пользователей, иногда они могут помочь выявить проблемы, не обнаруживаемые другими способами. Примером такого сообщения можно назвать уведомление о появлении дубликата IP-адреса, которое может появиться на рабочей станции пользователя Windows NT. И если нет возможности своевременно отреагировать на сообщения пользователей информационной системы, то необходимо хотя бы зафиксировать их, чтобы в случае возникновения проблем можно было бы использовать сохраненные записи для дальнейшего разбирательства.

Списки рассылки

Списки рассылки (maillist) очень популярны как за рубежом, так и в России. Этот дополнительный источник абсолютно не требует никаких материальных затрат, кроме оплаты подключения к Internet, т. к. сообщения о новых способах атак и уязвимостях распространяются абсолютно бесплатно всем заинтересованным лицам [Лукацкий2-99].

Такого рода бюллетени ведутся так называемыми командами реагирования (Response Team) на инциденты безопасности. Наиболее известными из них являются координационный центр Computer Emergency Response Team (CERT/CC), Computer Incident Advisory Capability (CIAC) и Forum of Incident Response and Security Teams (FIRST).

Упомянутые группы собирают статистику об атаках и уязвимостях в программно-аппаратном обеспечении, находят эффективные способы противодействия им и публикуют информацию для всех заинтересованных лиц через списки рассылки или Web-серверы. Все группы реагирования и производители средств обнаружения нарушений политики безопасности контактируют с изготовителями программного и аппаратного обеспечения для разработки эффективных способов противодействия атакам. Однако информация об уязвимости официально публикуется не раньше, чем найдется ей "противоядие". Это основной недостаток всех способов поиска уязвимостей, который приводит к тому, что злоумышленники могут воспользоваться имеющейся информацией до того, как появится способ устранения найденной "бреши".

В России до недавнего времени отсутствовали организации, которые бы занимались подобными исследованиями и публиковали информацию об обнаруженных уязвимостях для открытого доступа всех заинтересованных лиц. 15 сентября 1998 года РосНИИРОС объявил о начале действия проекта "CERT Russia", в рамках которого создан WWW-сервер, размещающий на своих страницах новости и обзоры об уязвимостях для российских специалистов. И хотя информации на этом сервере (http://www.cert.ru) на момент написания книги было немного, я надеюсь, что проект будет развиваться и получит поддержку и признание отечественных организаций, работающих на рынке информационной безопасности. Работы по созданию базы данных уязвимостей также было рекомендовано начать на конференции Ассоциации документальной электросвязи (АДЭ), проходившей 9-10 декабря 1998 года в Москве.

Анализ информации, публикуемой зарубежными командами реагирования, показывает, что основное внимание уделяется исследованиям систем на платформе Unix и Windows NT. Такая распространенная в России сетевая операционная система, как Novell NetWare, практически не рассматривается. Поэтому сотрудники отделов информационной безопасности и управлений, автоматизации сталкиваются с трудностями при поиске информации об уязвимостях и атаках на данную ОС. Единственное, что можно посоветовать для решения этой проблемы — чаще посещать Web-сервер технической поддержки компании Novell, расположенный по адресу http://support.novell.com. Кроме того, недавно компанией была создана так называемая служба электронных инцидентов (electronic incident), содержащая информацию обо всех инцидентах, связанных с безопасностью в продуктах компании Novell. Эта служба расположена по адресу: http://support.novell.com/elecinc/elecinc.htm. С путями решения вопросов защиты, связанными с продуктами компании Microsoft, можно ознакомиться на Web-сервере технической поддержки по адресу http://www.microsoft.com/security/.

Ниже приводятся сведения о наиболее известных компьютерных центрах, занимающихся вопросами информационной безопасности и, в частности, анализом защищенности информационных систем и поиском способов устранения найденных уязвимостей.