Как
известно, сами по себе операционные логи в компьютерных системах доказательной
силы по случаю выявления атаки не имеют. Доказательством атаки могут служить
только производные от этих логов, а именно:
- протокол
осмотра пораженного атакой узла
- заключение эксперта-специалиста по информационной
безопасности
- квалифицированная интерпретация логов.
Поддержка
корректности и неизменности логов на этапе их жизненного цикла от генерации
одной программой до интерпретации человеком или другой программой является
обязательной.
При этом
содержимое разных лог-файлов как с самого узла так и имеющих к инциденту
отношение, но находящихся вне узла (на других узлах)
может:
- совпадать;
- быть
подмножеством другого;
- частично
пересекаться по времени или другому признаку;
- дополнять
друг друга по времени или другому признаку;
- не
совпадать.
Поэтому
доказательная сила логов заключается в
их корректной интерпретации. Следовательно основная работа эксперта во время
интерпретации заключается в выявлении взаимосвязей между различными записями в
лог-файлах, которые отражают те или иные события. Другими словами, специалист
занимается ручной корреляцией событий.
К примеру
если это сервер MS
IIS то отслеживание событий web-сайта
приходиться выполнять напрямую по следующим журналам:
- системный
- безопасность
- приложения
- служба
каталогов
- сервер
IIS
- служба
репликации файлов
- сервер
DNS.
При этом
сами типы корреляций могут быть следующие:
• локальная
корреляция,
осуществляемая непосредственно на защищаемом узле.
В этом процессе участвует
система обнаружения и предотвращения атак уровня узла если таковая имеется,
которая либо отражает атаку, о чем оповещает администратора безопасности,
либо нет
• корреляция
со сведениями об операционной системе. Если
Windows-атака направлена на Unix-узел, то
ее можно просто игнорировать. Если же ОС входит в список уязвимых для данной
атаки, то в действие вступает следующий
вариант корреляции
• корреляция
атак и уязвимостей. Следуя
определению атаки, она не может быть успешна, если атакуемый узел не содержит
соответствующей уязвимости. Таким образом, сопоставляя данные об атаке с
информацией об уязвимостях атакуемого узла, можно с уверенностью будет
сказать, применима ли зафиксированная атака к вашей сети и, если да, то
нанесет ли она вам какой-либо ущерб
• корреляция
по времени наступления события.
Корреляция позволяющая сопоставить разнородные события от разных источников в
один момент времени и представить общую схему атаки
• корреляция
по типу события.
Некоторое событие повлекло или могло повлечь другое событие. Такую корреляцию
довольно сложно реализовать простыми инструментами и поэтому в этом случае
требуется вмешательство специалистов, которые расследуют
инциденты.
При изучении нового видеокурса получил напоминание о том что у меня устаревший web-браузер. Это был Internet Explorer 8.0. Разумеется он не последний, но ведь так часто мы слышим призывы к кроссбраузерности контента, а тут такой пас. Конечно тут же было предложено перейти на новую 9-ю версию Internet Explorer-a либо перейти на альтернативный web-браузер Firefox, Opera или Chrome. Есть у меня все три альтернативы, 9-ку IE не поставлю потому как знаю что для этого понадобится и поменять ОС с Windows ХР на Windows 7. Я не против апдейта, но не в этом случае. 
