Аудит и обнаружение вторжения

Есть еще одна политика гарантии качества, контролирующая использование сайта, — политика аудита. Какие процессы или события нужно протоколировать? За изменениями каких файлов необходимо следить? Если файлы протокола недостаточно защищены, злоумышленник сможет их изменить, тем самым уничтожив свидетельства своего присутствия. Windows NT дает возможность контролировать доступ к любому из указанных файлов, попытки входа в систему, ошибки приложений и прочие системные события. UNIX может отслеживать процессы и регистрировать системные и программные события. Log-файлы разумно хранить в защищенной сети, где они недоступны для хакера. Если это невозможно, если необходимо вести учет непосредственно в DMZ-сегменте, то позаботьтесь о том, чтобы протоколы событий регулярно записывались на CDR-диск. Генерация протоколов, их хранение и анализ — это лишь одна сторона политики обнаружения вторжения. Системы обнаружения вторжения (IDS) должны охватывать все звенья сетевой безопасности сайта. Локальные IDS заносят в протокол критические системные события (сбои, служебные ошибки, попытки несанкционированного доступа к файловой системе и т. п.). Сетевые IDS отслеживают график в поиске последовательностей пакетов, которые могут интерпретироваться как попытка вторжения. IDS может также следить за Web-трафиком и электронной почтой, что позволяет вовремя изолировать «небезопасные» данные. Кроме того, IDS часто выступает в роли антивируса. Задача системы IDS — обнаружить вторжение до того, как будет произведен анализ протокола событий. Согласитесь, злоумышленника легче и выгоднее остановить на этапе сбора информации, чем во время непосредственной атаки. Настройка IDS на подачу сигналов тревоги во время критических для системы событий и принятие соответствующих мер защиты — это часть общей политики чрезвычайного реагирования. Систему IDS можно также интегрировать с межсетевым экраном, что позволит останавливать нежелательный трафик в автоматическом режиме. Если на вашем сайте установлен центр сетевых операций (NOC), политика сетевой безопасности должна указывать на то, что сигналы тревоги, подаваемые системой IDS, будут транслироваться NOC для незамедлительного анализа. Если никто не следит за сигналами тревоги, IDS становится бесполезной. Однако надо учитывать, что IDS может дать сигнал ложной тревоги, из-за чего внимание к многочисленным сигналам тревоги, посылаемым системой IDS, со временем ослабевает. Избежать синдрома «неоправданной паники» можно только благодаря точной конфигурации IDS в соответствии с проходящим через него трафиком