|
О беспроводном
вторжении надо писать отчет таким же образом, как и о любом
другом типе вторжения или инциденте. При этом в большинстве
случаев беспроводное вторжение труднее обнаружить и еще
труднее «задокументировать». А подробный доклад о серьезном
вторжении - это ключевой момент ответственного подхода к
безопасности. Именно в такой ситуации очень важны постоянный
контроль системы с помощью IDS и запись всей активности в
сети. Собрав все записи с устройств безопасности,
постарайтесь понять, насколько серьезно вторжение. Есть ли
устройства, атака против которых увенчалась успехом? Откуда
исходила атака? Если вы подозреваете, что хакер проник в то
или иное устройство, отключайте его немедленно, используя
как можно меньше команд. Если вы уверены в том, что вы
делаете, и знакомы с юридическими тонкостями сбора
доказательств, то готовьте собранные материалы для передачи
в «авторитетные органы». Причина этого в том, что обычно
атакующий устанавливает в компьютере, в который проник,
специальную систему «задней двери». Это чаще всего означает
такие ловушки, которые могут разрушить на сервере важную
информацию. Подобную ловушку можно встроить даже в программу
отключения компьютера, вам лучше просто отключить компьютер
от сети, а не осуществлять его отключения в нормальном
режиме. После того как компьютер отключен, лучше всего
сделать две копии зараженного диска для доказательств. Если
авторитетные органы уведомлены и занялись этим делом, они
потребуют доказательств, которые следует тщательно сохранить
для будущего расследования.
Зачистка
Устранение последствий вторжения является не менее сложной
задачей для компании. После того как выяснен размах
вторжения и собраны необходимые доказательства, можно
начинать перенастраивать сетевые ресурсы. Серверы чаще всего
восстанавливаются при помощи копии всего ПО, записанной на
ленте, но в некоторых случаях приходится разбираться с
пораженным диском. Это решение должно быть принято после
того, как определена степень вторжения. Восстанавливая
систему при помощи ленточной копии, вы восстанавливаете не
самое последнее ее состояние, и вероятность атаки продолжает
существовать. Некоторые администраторы считают, что нет
необходимости перезагружать атакованный компьютер -
достаточно просто закрыть обнаруженную «дыру» в системе
безопасности. Это плохая идея из-за упомянутых проблем с
возможностью «задних дверей». Самое оптимальное решение -
начать с безопасной копии ПО. После ее установки надо
попытаться максимально модернизировать ее, используя только
проверенные «заплатки» от производителей оборудования. Если
вы предполагаете, что атака исходит от беспроводного
устройства, беспроводную сеть надо тщательно перепроверить.
Иногда бывает трудно установить точно, какую ТД использовал
атакующий для вторжения, но если у вас есть ТД, к которой
достаточно просто подобраться извне, то, скорее всего, это
именно она. |
