RFC: 2196
Оригинал: Site Security Handbook
Предыдущие версии: RFC 1244
Категория: Информационный
Дата публикации:
Автор:
Перевод: Семенов Юрий Алексеевич

5.3. Идентификация инцидента

5.3.1. Он действительно имел место?

Этот этап включает определение того, имеется ли проблема вообще. Конечно, многие, если не все признаки, часто ассоциируемые с вирусной инфекцией, вторжениями в систему, злонамеренными пользователями и т.д., являются просто аномалиями, такими как отказ оборудования или подозрительное поведение системы/пользователя. Чтобы помочь определить, имеет ли место инцидент, обычно полезно получить и использовать любую доступную детектирующую программу. Контрольная информация является также крайне полезной, особенно при определении того, имеет ли место сетевая атака. Чрезвычайно важно как можно быстрее записать состояние системы, как только возникло малейшее подозрение на атаку. Многие инциденты вызывают динамическую цепочку событий, и анализ исходного состояния системы может быть наиболее ценным инструментом для идентификации проблемы и источника атаки. Наконец, важно запустить систему журнальных файлов. Запись системных событий, телефонных переговоров, временных меток и т.д., может привести к более быстрому и систематическому выявлению проблемы, и является основой для дальнейшей работы над инцидентом.

Существуют определенные указания или "симптомы" инцидента, которые заслуживают особого внимания:

  1. Аварии системы

  2. Аккаунты новых пользователей (неожиданно создан аккаунт RUMPLESTILTSKIN), или необычно высокая активность на аккаунте, который был обычно мало активен.

  3. Новые файлы (обычно с новыми или странными именами, такими как data.xx или k или .xx).

  4. Рассогласование аккаунтингов (в системе UNIX вы можете заметить сжатие файлов аккаунтинга, называемого /usr/admin/lastlog, все что вызывает подозрение может быть результатом действия атакера).

  5. Changes in file lengths or dates (a user should be suspicious if .EXE files in an MS DOS computer have unexplainedly grown by over 1800 bytes).

  6. Попытки записи в системные файлы (системный менеджер заметил, что привилегированный пользователь в системе VMS пытается отредактировать RIGHTSLIST.DAT).

  7. Модификация или стирание данных (файлы начинают исчезать).

  8. Отказ в обслуживании (системный менеджер и другие пользователи оказываются блокированы в системе UNIX, система перешла в режим с одним пользователем).

  9. Необъяснимое, плохое поведение системы

  10. Анормальности (на дисплее отображается "GOTCHA" или частые необъяснимые звуковые сигналы).

  11. Подозрительные попытки (имеют место множественные неуспешные попытки авторизоваться из другого узла).

  12. Подозрительный просмотр (кто-то становится пользователем root системы UNIX и открывает файл за файлом, принадлежащие разным пользователям).

  13. Невозможность пользователя авторизоваться из-за модификаций его/ее аккаунта.

Этот список не является исчерпывающим; мы лишь перечислили несколько общих индикаторов. Лучше всего сотрудничать с техническим персоналом и лицами, ответственными за безопасность, чтобы принять совместное решение, произошел инцидент или нет.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.