Учимся на уроках Code Red II

В середине августа 2001 года Сеть поразил Интернет-червь, получивший название Code Red II, который использовал хорошо известное слабое место в защите сервера Internet Information Server компании Microsoft. В последующие недели эта саморазмножающаяся программа «заползла» в сети сотен компаний, нарушив работу нескольких сотен тысяч Интернет-серверов, и нанесла ощутимый урон, который выразился как в снижении производительности, так и в упущенной прибыли.

Сегодня большинство атакованных компаний продолжают оправляться от разрушений, а ИТ-отделы ищут технологические решения, которые ускорят процесс восстановления и смогут защитить их системы от атак в будущем. Руководство же компаний прилагает все усилия, чтобы восстановить доверие потребителей, клиентов и деловых партнеров — всех тех, от кого зависит существование компании.

Хотя на данный момент восстановительные операции имеют больший приоритет, компаниям, активно использующим в своей работе сетевые технологии, следует выделить время на оценку рисков бизнеса и попытаться снизить их, разработав стратегию защиты информации. Проведя в жизнь план честного информирования всех внешних партнеров на случай возникновения новых неприятностей того же рода, компания сможет контролировать отрицательные последствия, которых не избежать при нарушении работы корпоративной сети.

Прежде всего…

Первый шаг в оценке стратегии обеспечения безопасности заключается в том, чтобы определить ее взаимосвязи с основными процессами компании, т. е. с теми, которые являются источником дохода и определяют общий порядок работы организации. Следует выделить участки, зависящие от информации, и определить ценность этой информации. Выполнив это, компания может приступать к усилению защищенности и разработке программы защиты информации, в которой задействуются людские ресурсы, процессы и технологии.

Стратегическое планирование жизненно необходимо, но не только от него зависит, насколько успешно компания сумеет справиться с нарушением ее системы защиты. Деловые партнеры и заказчики очень внимательно будут следить за тем, как компания противостоит сетевым атакам. Разработав и утвердив четкие процедуры реагирования на атаки, включая как технические меры, так и организационные планы восстановления в случае нарушения защиты, компания обретет твердую основу для общения с партнерами и заказчиками.

Семь шагов к безопасности

Создание программы защиты информации выполняется в семь этапов, которые описаны ниже.

1. Подготовка. Подготовленность к возможной атаке — лучшее доказательство того, что компания стремится обеспечить безопасность вычислительной среды; а значит, и сохранить доверие своих стратегических партнеров и клиентов. Наличие четко прописанного плана действий особенно важно в условиях, когда успешность основного бизнеса партнеров компании напрямую зависит от безопасности сетевых служб.

Подготовка начинается с таких базовых моментов, как разработка общекорпоративной политики безопасности, методов и стандартов, а также определение четких ответных действий для различных типов вторжений. Когда все это сделано, следует постоянно проводить тренировки и уточнять процедуру для поддержания актуальности и эффективности созданной структуры безопасности.

2. Обнаружение. Процесс обнаружения чрезвычайно сложен, хотя он и является неотъемлемой частью любой процедуры реагирования на вторжение. Сегодня в большинстве компаний собственная инфраструктура обнаружения вторжений достаточно слабо развита, поэтому проводить расследование атак обычно приходится в условиях острой нехватки данных.

Однако на самом деле в корпоративной сети очень много информации, связанной с безопасностью, — нужно лишь знать, где ее искать. Например, следы идущей атаки обнаруживаются в журналах маршрутизатора, коммутатора или межсетевого экрана. Так, в случае Code Red II файлы журналов Web-сервера помогают обнаружить попытки атак на серверы. Кроме того, для обнаружения некоторых видов атак полезны те же средства мониторинга и измерения производительности, которые применяются ИТ-персоналом для обеспечения доступности и устранения неполадок в реальном времени. В фазе распространения жизненного цикла Code Red II объем трафика в сетях компаний достигал очень высоких значений, что снижало производительность работы сети, а в некоторых случаях приводило к выходу из строя межсетевых экранов — вот отчетливый признак злонамеренных действий.

3. Идентификация. Если обнаружение — это событие, которое запускает процедуры реагирования, то идентификация — это действия, определяющие дальнейший сценарий развития событий. В начале этапа идентификации аналитики пытаются определить, действительно ли обнаруженная активность представляет собой вторжение; далее они исследуют характер атаки и определяют мероприятия по восстановлению системы.

В общем случае идентификация выполняется немедленно, и тип события определяется быстро — атака или ложная тревога. Некоторые события, например, переполнение удаленного буфера с предоставлением полного доступа к системе, выявляются моментально, и далее ответственным лицам предоставляется решать, каковы должны быть конкретные действия по сдерживанию атаки и восстановлению. Именно на этом этапе руководство компании переходит к разработанному на этапе подготовки плану предупреждения деловых партнеров о разворачивающихся событиях.

4. Сдерживание. Цель любых действий по восстановлению состоит в том, чтобы ограничить влияние атаки и не дать ей развиваться или «заражать» другое оборудование компании. Ответственные лица и другие сотрудники в горячке расследования того, кто несет ответственность за нарушение безопасности, могут легко упустить из виду действия, необходимые для восстановления контроля над затронутыми атакой частями сети.

На этом этапе требуется проявить активность: сообщить о случившемся служащим, клиентам, поставщикам и широкой публике — хотя в общем случае объявлять о нарушениях защиты или расследованиях лучше после их локализации. Если вторжение связано с уголовным или административным правонарушением, следует также уведомить органы правопорядка.

5. Подавление. «Дыры» в сети следует закрыть, чтобы предотвратить повторные атаки или новое заражение вирусом или червем. При подготовке плана восстановления разрушенных систем или данных компания должна также предпринять следующие шаги:

• определить, как произошло нападение;
• внедрить технологии, методики и процедуры защиты;
• проанализировать, нет ли на предприятии других подобных уязвимых участков.

Для большинства компаний восстановление, т. е. определение того, сохранить ли подвергшиеся атаке или затронутые системы или перестраивать их целиком, — задача не из простых. Рассматривая возможные варианты, члены группы реагирования на вторжения должны понимать, что от их решений во многом зависят временные рамки и затраты на восстановление. Наилучшее решение — это, как правило, компромисс между надежностью защиты и реалиями бизнеса.

6. Восстановление. Если на предыдущих этапах были составлены все необходимые планы, следует переходить к реализации рекомендаций группы реагирования на вторжения. В дальнейшем следует пристально наблюдать за восстановленными системами и сегментами сети, чтобы убедиться в успешности «лечения».

7. Дальнейшие действия. Причины нарушения защиты почти всегда кроются в каких-то неудачных политиках, процедурах, технологиях, неподходящих людях. Чтобы двигаться вперед, компания должна разрушить цепочку обстоятельств, которые обусловили успех атаки. Группа реагирования обязана подготовить подробный отчет о вторжении и распространить его среди топ-менеджеров, рядовых менеджеров и других заинтересованных лиц. Полученные уроки позволят предотвратить подобные инциденты и укрепить защиту предприятия.

Стивен Т. Бариш (Stephen T. Barish) — специалист по обнаружению онлайновых атак и реагированию на них. До прихода в компанию Ernst & Young он работал ведущим инженером по защите компьютерных сетей в Информационном центре ВВС США (Air Force Information Warfare Center). С ним можно связаться по e-mail: stephen.barish@ey.com.