RFC: 2196
Оригинал: Site Security Handbook
Предыдущие версии: RFC 1244
Категория: Информационный
Дата публикации:
Автор:
Перевод: Семенов Юрий Алексеевич

5.4.4. Подавление

Когда факт инцидента установлен, наступило время ликвидации последствий и причин. Но прежде чем устранять причины, должны быть приняты меры по сбору всей необходимой информации о компрометированных системах и причинах инцидента, так как эти данные будут потеряны после полной очистки системы.

Помощь в ликвидации причин и последствий инцидента могут оказать специальные программы, такие, например, как антивирусные. Если атакером были созданы какие-либо файлы, архивируйте их прежде чем уничтожать. В случае вирусного заражения важно очистить и повторно отформатировать среду, содержащую инфицированные файлы. Наконец, убедитесь, что все резервные копии не содержат зараженных файлов. Многие системы, инфицированные вирусами, повторно заражаются просто потому, что народ своевременно не удаляет вирусы с контрольных копий. После ликвидации причин и последствий следует сформировать новые контрольные копии (backup).

Удалить все уязвимости после инцидента достаточно трудно. Ключевым моментом при ликвидации слабостей системы является понимание характера уязвимостей.

Может быть, необходимо взять исходный дистрибутив и заново сформировать систему. Чтобы облегчить наихудший сценарий следует записать установочную конфигурацию системы и каждое изменение конфигурации. В случае сетевой атаки важно инсталлировать все коррекции программ (patches) для каждой уязвимости операционной системы, которая может быть использована для атаки. Как это описано в разделе 5.4.2, журнальные записи безопасности могут оказаться наиболее ценными на фазе ликвидации уязвимостей. Журнальные записи показывающие, как инцидент был обнаружен и локализован, могут быть полезны позднее, чтобы помочь определить насколько велик был ущерб от данного инцидента. В идеале, следует автоматизировать и регулярно использовать тест для выявления инцидентов, сопряженных с безопасностью.

Если конкретная уязвимость локализована, следующим шагом является нахождения механизмов защиты системы. Информацию для решения этой проблемы можно найти с помощью тематических подписных листов и бюллетеней, целесообразно проконсультироваться в группах по ликвидации последствий инцидентов.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.