Выявление вторжений. Аудит системы защиты

Даже самая лучшая система защиты рано или поздно будет взлома­на. Обнаружение попыток вторжения является важнейшей задачей систе­мы защиты, поскольку ее решение позволяет минимизировать ущерб от взлома и собирать информацию о методах вторжения. Как правило, пове­дение взломщика отличается от поведения легального пользователя. Иногда эти различия можно выразить количественно, например, подсчи­тывая число некорректных вводов пароля во время регистрации.

Основным инструментом выявления вторжений является запись данных аудита[2]. Отдельные действия пользователей протоколируются, а полученный протокол используется для выявления вторжений.

Аудит, таким образом, заключается в регистрации специальных дан­ных о различных типах событий, происходящих в системе и так или иначе влияющих на состояние безопасности компьютерной системы. К числу таких событий обычно причисляют следующие:

• вход или выход из системы;

• операции с файлами (открыть, закрыть, переименовать, удалить);

• обращение к удаленной системе;

• смена привилегий или иных атрибутов безопасности (режима доступа, уровня благонадежности пользователя и т. п.).

Если фиксировать все события, объем регистрационной информа­ции, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. Следует предусматривать наличие средств выбо­рочного протоколирования как в отношении пользователей, когда слеже­ние осуществляется только за подозрительными личностями, так и в от­ношении событий. Слежка важна в первую очередь как профилактиче­ское средство. Можно надеяться, что многие воздержатся от нарушений безопасности, зная, что их действия фиксируются.

Помимо протоколирования, можно периодически сканировать сис­тему на наличие слабых мест в системе безопасности. Такое сканирование может проверить разнообразные аспекты системы:

• короткие или легкие пароли;

• неавторизованные set-uid программы, если система поддерживает этот механизм;

• неавторизованные программы в системных директориях;

• долго выполняющиеся программы;

• нелогичная защита как пользовательских, так и системных директо­рий и файлов. Примером нелогичной защиты может быть файл, ко­торый запрещено читать его автору, но в который разрешено записы­вать информацию постороннему пользователю;

• потенциально опасные списки поиска файлов, которые могут при­вести к запуску «троянского коня»;

• изменения в системных программах, обнаруженные при помощи контрольных сумм.

Любая проблема, обнаруженная сканером безопасности, может быть как ликвидирована автоматически, так и передана для решения менеджеру системы.