Хакеры переступившие черту

Первая черта, которую следует провести, — это черта между попыткой вторжения и самим вторжением. Неважно, какого размера ваша компания, — попытки взлома сайта не прекратятся никогда. Некоторые из них будут бесполезными или даже глупыми — как правило, большинство из них. Я говорю, в частности, об «атаках» с применением эксплойта Windows NT против UNIX-сервера или о попытках соединиться с Windows посредством программы Rsh. В одной крупной компании — производителе программного обеспечения, где я отвечал за межсетевое экранирование, каждый день совершалось больше тысячи попыток соединиться по Telnet-протоколу с главным Web-сервером. Каждая попытка была остановлена экраном и зарегистрирована. Можно только гадать о том, что собирались сделать злоумышленники в случае успешного соединения, может быть, зайти с Гостевыми правами доступа? К сожалению, причиной аналогичных попыток вторжения является уязвимость многих узлов к такого рода атакам. Злоумышленник допускает, что 5% всех узлов, которые он пытается «пробить», имеют «слабую» конфигурацию и «дыры». Почему бы ему не попробовать? Итак, весь день напролет ваш сайт испытывает на себе пробы и подвергается сканированию. Кто-то тестирует свой новый инструментарий, потенциальные злоумышленники собирают разведывательную информацию, и возможно, что систему «обнюхивает» один из сетевых червей. Таких проб за день может быть от нескольких дюжин до нескольких тысяч. Все эти попытки нельзя считать инцидентами, хотя бы потому, что на это не хватит никакого времени. Нужен ряд критериев, чтобы решать, как реагировать на определенное событие. Реакция может варьироваться от простого игнорирования до возбуждения уголовного дела. Можно сообщить о злоумышленнике его Internet-провайдеру или компании, где он работает. Ваша команда реагирования или те, кто создают для нее политику, должны определить рамки преследования злоумышленника в каждом конкретном случае.