Защита от внутренних атак: Если друг оказался вдруг: (заключительная часть)

Обнаружение внутренних атак

В предыдущей части были описаны превентивные методы, направленные на затруднение самой возможности проведения внутренних атак. Но поскольку не существует никакой гарантии, что какой-нибудь особо настырный сотрудник не сумеет обойти все вышеописанные методы, системные администраторы должны также уметь определять успешные внутренние вторжения. Методы обнаружения во многом схожи с методами профилактики и заключаются в использовании внутренней IDS (системы определения вторжения), сетевой защиты и системы физического контроля доступа.

Внутренняя IDS и сетевая защита

Первый и наиболее эффективный инструмент обнаружения внутренних нападений - внутренняя система обнаружения вторжений. Внутренняя IDS работает по тому же самому принципу, что и система IDS, установленная по периметру: обнаруживает, регистрирует, пресекает, сообщает о попытке нападения.

Внутренняя IDS может строиться на основе сети или хоста, в зависимости от требований организации и сетевых настроек. По минимуму, внутренняя система IDS должна уметь обнаруживать и пресекать нападения против основных серверов и баз данных. В идеале, система IDS способна обнаруживать попытки вторжения в любую систему сети. Использование внутренней IDS постепенно становится общепринятой нормой для всех крупных корпораций, как для основной цели - сохранения внутренних секретов корпорации, так и для выявления неблагонадежных сотрудников.

Распределенные сетевые системы IDS способны собирать и анализировать информацию из гораздо большего числа источников, чем стандартные системы IDS. Информация собирается от всех сетевых защит, маршрутизаторов, коммутаторов и любых других регистрирующих устройств. Получив и сопоставив информацию о нападении от разных частей программного обеспечения и оборудования, система способна быстро выявить источник вторжения, несмотря на все попытки маскировки, предпринятые злоумышленником.

Проверка целостности файлов/сети

Второй инструмент, который может использоваться для обнаружения внутренних нападений - проверка программным обеспечением целостности файлов и сети. Такие программы предназначены для постоянной проверки серверов или компьютеров на любые изменения в файловой структуре и попытки инсталляции различных программ. Метод пресекает саму возможность инсталляции хакерских программ, которые могут в дальнейшем использоваться для вторжений. Также метод включает обнаружение любых инсталляций и изменений в стандартных используемых программах (типа ps и ls в операционных системах Linux/Unix). Отслеживая эти изменения, системные администраторы могут определить, что кто-то из сотрудников готовится к атаке или уже проводит ее. Наиболее известная и хорошо зарекомендовавшая себя программа этого класса - Tripwire for Servers компании TripWire.

Другая программа, предлагаемая TripWire, называется TripWire for Routers and Switches. Это программное обеспечение контролирует изменения в конфигурации маршрутизаторов и коммутаторов и предупреждает системных администраторов о любых произошедших изменениях. Также программа позволяет администраторам просматривать весь сетевой трафик, что в целом, обеспечивает неплохую защиту от внутренних атак.

Физический контроль доступа

Так как в подавляющем большинстве организаций персоналу разрешается свободно перемещаться по зданию, в том числе и находиться возле чужих рабочих станций и т.д., желательно применение физических методов контроля доступа. Контроль доступа может состоять из многих вещей, включая систему видеокамер и датчиков перемещения в наиболее важных областях здания (типа серверной или кабинетов руководства), и системы ключевых карт. Считается, что из предложенных методов система ключевых карт наиболее действенна и, что также немаловажно, не встречает негативной реакции со стороны сотрудников офиса. Действительно, ведь далеко не каждый руководитель будет приветствовать размещение видеокамеры у себя в кабинете. Используя же систему ключевых карт и датчиков во всем здании, связанных с центральной системой контроля, охрана может отслеживать, кто и где из сотрудников находится в данный момент, и как долго он там задерживается. Такая система предоставляет дополнительную защиту и удобство, чем метод простой блокировки и ключей для каждой двери. Дверь в офис может автоматически блокироваться, если по данным компьютера охраны, никто сейчас в нем не находится. Разблокирование двери также может происходить автоматически, когда сотрудник, имеющий право находиться в комнате, просто подходит к двери. Такая система при возникновении любых неприятностей (необязательно внутренней атаки, но даже порчи оборудования или хищения) всегда позволяет вызвать старую информацию за любой период времени, и отследить перемещение сотрудников по зданию.

Заключение

Причины внутренних атак могут быть самые разные, от недостаточной обученности персонала, неправильного уровня доступа сотрудников, до физической доступности уязвимых мест компании. Все эти проблемы, однако, могут быть решены как при использовании превентивных мер, так и при помощи методов определения нападения. Но только при объединении всех этих методов гарантируется хорошая защищенность от внутренних атак. Применение же любого одного из описанных методов хоть и улучшает ситуацию, но не может решить проблему в целом. В большинстве случаев для решения проблемы приходится идти на непопулярные меры, поэтому предварительно заручитесь поддержкой руководства, и наберитесь терпения.

Удачи вам в вашей работе!