3.6 Процедуры для выявления несанкционированных задач в АС

Можно использовать несколько простых процедур для выявления незаконного использования АС. Эти процедуры используют средства, предоставляемые вместе с операционной системой ее производителем, или средства, полученные из других источников.

3.6.1 Наблюдение за использованием АС

Наблюдение за АС может осуществляться либо системным администратором, либо программой, написанной для этой цели. Наблюдение за АС включает в себя слежение за несколькими частями АС и поиск в них чего-либо необычного. Несколько самых простых способов осуществления этого описаны в этом разделе.

Самым важным при наблюдении за АС является его регулярность. Выделение специального дня в месяце для наблюдения за АС бессмысленно, так как нарушение защиты может быть осуществлено в течение нескольких часов. Только организовав постоянное наблюдение, вы можете ожидать, что обнаружите нарушения защиты и успеете отреагировать на них.

3.6.2 Средства для наблюдения за АС

Эта секция описывает средства и методы для наблюдения за АС с целью выявления несанкционированного доступа и использования.

3.6.2.1 Вход в АС

Большинство операционных систем хранят много информации в файлах-журналах входов в АС. Регулярное исследование этих файлов часто может послужить первой линией обороны при выявлении несанкционированного использования АС.

1. Сопоставьте списки пользователей, работающих сейчас, и предысторию входов в АС. Большинство пользователей обычно начинают и заканчивают работать приблизительно в одно и то же время каждый день. Если же пользователь вошел в АС в "необычное" время для этого пользователя, то возможно, что это злоумышленник.
2. Многие АС содержат записи о входах в АС для составления ведомостей о плате за пользование. Эти записи также могут быть использованы для выявления типового использования АС; необычные записи могут указывать на незаконное использование АС.
3. Следует проверять системные утилиты, связанные со входом в АС, такие как утилита UNIX "syslog", на наличие сообщений о необычных ошибках от системного программного обеспечения. Например, большое число аварийно завершившихся попыток входа в АС за короткий период времени может указывать на то, что кто-то пытается угадать пароль.
4. Команды операционной системы, которые выводят на экран список выполняющихся в данный момент процессов, могут быть использованы для обнаружения пользователей, запускающих программы, которые они не имеют права запускать, а также для обнаружения программ, которые были запущены злоумышленником.

3.6.2.2 Наблюдающее программное обеспечение

Кроме того, имеются ряд утилит, разработанных независимыми производителями, или доступных в организациях, распространяющих программное обеспечение общего пользования. Раздел 3.9.9 сообщает о некоторых источниках, из которых вы можете узнать, какие средства доступны, и как их получить.

3.6.2.3 Другие средства

Также могут использоваться другие средства для наблюдения за нарушениями защиты, хотя это и не является их основной задачей. Например, сетевые мониторы могут использоваться для выявления и регистрации соединений с неизвестными организациями.

3.6.3 Меняйте график наблюдения

Задача наблюдения за АС не является настолько устрашающей, как это может показаться. Системные администраторы могут выполнять многие из команд, используемых для наблюдения, на протяжении всего дня в свободное время (например, во время телефонного разговора), а не в фиксированное время, специально выделенное для наблюдения за АС. Выполняя команды часто, вы скоро научитесь узнавать "нормальные" результаты, и будете легко замечать нестандартные ситуации. Кроме того, запуская различные команды наблюдения в разное время в течение всего дня, вы усложняете для злоумышленника предсказание ваших действий. Например, если злоумышленник знает, что каждый день в 17:00 система проверяется на предмет того, все ли завершили работу с АС, он просто подождет, пока проверка не закончится, а потом опять войдет в АС. Но злоумышленник не может предугадать, когда системный администратор введет команду отображения всех работающих пользователей, и поэтому подвергается гораздо большему риску быть обнаруженным.

Несмотря на преимущества, которые дает регулярное наблюдение за АС, некоторые злоумышленники могут быть осведомлены о стандартных механизмах входа в АС, используемых в СВТ, которые они атакуют. Они будут активно вмешиваться в их работу и пытаться отключить механизмы наблюдения. Поэтому регулярное наблюдение полезно при обнаружении злоумышленников, но не дает никакой гарантии, что ваша АС защищена. Так что не стоит рассматривать наблюдение как непогрешимый метод обнаружения незаконного использования АС.