Program: ELEKTRONIČKE I INFORMATIČKE TEHNOLOGIJE U POMORSTVU Sadržaj predavanja Uvod Prepoznavanje znakova sigurnosnih incidenata Priprema sustava za prepoznavanje incidenata Integritet sustava za prepoznavanje neovlaštenih aktivnosti Nadgledanje i kontrola aktivnosti Fizičke forme neovlaštenih aktivnosti Praćenje dogañanja
Uvod ukoliko sumnjamo ili smo obaviješteni da nam je sigurnost računalnog sustava ugrožena, potrebno je utvrditi: je li napad u procesu ili se već dogodio je li napad uspješno izvršen nivo kompromitiranja sustava prepoznavanje sigurnosnih incidenata, odnosno prepoznavanje eksploatacije sigurnosnih rizika može biti rutinsko, pomalo izazovno ili ekstremno teško moderni informacijski sustavi su veliki, kompleksni i nesavršeni dinamički sustavi s mnogo mjesta i mogućnosti za napadače za prikrivanje tragova
Prepoznavanje znakova incidenata - priprema sustava, politike i procedure sigurnosna politika definira pravila kojima reguliramo načine po kojima upravljamo i štitimo resurse IS-ova jedna od prvih sugestija sigurnosne politike unutar
prepoznavanja znakova sigurnosnih incidenata jest
dokumentiranje važnih informacija o resursima sustava te prijetnji tim važnim resursima procedure pripreme za sigurnosne incidente uključuju akcije
neophodne za promatranje sustava s namjerom otkrivanja
neočekivanog ponašanja, uključujući neovlaštene aktivnosti može biti u formi nadgledanja, istraživanja i zapisivanja
dogañaja svi koji su uključeni u zaštitu sustava u mogućnosti su
utvrditi operacijske korake koje su obvezni poduzeti
Prepoznavanje znakova incidenata - priprema sustava, karakteristični podaci sakupljanje podataka generiranih od strane sustava, mreže, aplikacije ili korisničke aktivnosti esencijalno je važno za analizu sigurnosti resursa sustava i za otkrivanje znakova sumnjivog i neočekivanog ponašanja knjige praćenja dogañaja (log datoteke) sadrže informacije o prošloj aktivnosti potrebno je odrediti mehanizme snimke stanja sustava i tipove prikupljanja informacija (sustav, pristup podacima, procesi, odreñene aplikacije itd.) dostupne za svaki pojedini resurs, te odreñivanje podataka zapisanih svakim logom
Prepoznavanje znakova incidenata - priprema sustava, karakteristični podaci u pojedinim situacijama potrebno je korištenje dodatnih mehanizama za sakupljanje informacija, na primjer virusno pretraživanje, pregledavanje ranjivosti sustava itd. log datoteke često su jedini zapisi sumnjivog ponašanja pogreške u konfiguraciji mehanizama za pohranu važnih informacija te njihovo korištenje za pokretanje mehanizama upozorenja, eliminira sposobnost otkrivanja pokušaja neovlaštenih aktivnosti
Integritet sustava za prepoznavanje neovlaštenih aktivnosti provjeravanje korištenja samo provjerenog programa može biti vrlo teško napadači su u mogućnosti napraviti promjene na sustavu tako da ponašanje sustava i dalje izgleda normalno i očekivano na primjer, napadač ukoliko zamijeni naredbu "ps" na UNIX sustavima onom koja ne prikazuje odreñeni, napadačev proces
Nadgledanje i kontrola aktivnosti pod nadgledanjem i kontrolom aktivnosti podrazumijevamo upravljanje aktivnostima koje nisu očekivane, tj. nisu u skladu sa sigurnosnom politikom, s ciljem prepoznavanja i sprječavanja sigurnosnih incidenata općenito, aktivnosti možemo podijeliti na aktivnosti na: sustavu mreži datotekama i direktorijima
Nadgledanje i kontrola aktivnosti - aktivnosti na sustavu odreñivanje zaduženja i odgovornosti osoba zaduženih za izvršavanje nadgledanja i kontrole sustava, procesa i korisničke aktivnosti odreñivanje formi neočekivanog ponašanja koje je potrebno nadgledati, zahtijevanje od strane korisnika izvještavanje o neočekivanom ponašanju odreñivanje koji programe i podatke korisnici i administratori smiju instalirati i koristiti, te eksplicitne procedure i uvjete za to odreñivanje programa koje korisnici i administratori smiju izvršavati i pod kojim uvjetima
Nadgledanje i kontrola aktivnosti - aktivnosti na mreži neočekivano mrežno ponašanje predstavljaju promjene u performansama mreže (varijacija količine prometa unutar odreñenog vremena), promet od i prema neočekivanoj lokaciji, konekcije uspostavljene u neobično vrijeme, česti neuspješni pokušaji uspostavljanja veze, neovlašteno pretraživanje i ispitivanje podatke o mrežnoj aktivnosti (promet, performanse itd.) možemo sakupljati iz više izvora kao što su log datoteke (usmjerivači, vatrozidi itd.), statističkim izvještajima mrežnih performansi i administratorskih ispitivanja (ICMP ping, ispitivanje aktivnih portova itd.)
Nadgledanje i kontrola aktivnosti - aktivnosti na mreži log datoteke mrežnog prometa mogu sadržavati dokaze o neuobičajenim, sumnjivim ili neočekivanim aktivnostima, ukazujući da netko ugrožava ili pokušava ugroziti sigurnost sustava redovitim nadgledanjem log datoteka moguće je otkriti izviñanje i ispitivanje napadača koje prethodi napadu na sustav moguće je i otkrivanje pokušaja ili uspješnih neovlaštenih aktivnosti ubrzo nakon izvršenja
Nadgledanje i kontrola aktivnosti - aktivnosti na mreži u sigurnosnu politiku trebalo bi uključiti sljedeće: zahtijevanje obavještenja korisnika sustava o nadgledanju mrežnog prometa odreñivanje koji od podatkovnih nizova će biti promatrani i za koje potrebe odreñivanje zaduženja i odgovornosti osoba zaduženih za rukovanje obavijestima generiranim alatima za logiranje i nadgledanje odreñivanje formi neočekivanog ponašanja koje su korisnici obvezni nadgledati te zahtijevanje od strane korisnika izvještavanje o neočekivanom ponašanju
Nadgledanje i kontrola aktivnosti - aktivnosti na datotekama i direktorijima neočekivane promjene na direktorijima i datotekama, a posebno u situacijama kada je pristup zabranjen, mogu upozoriti na neovlaštene aktivnosti promjene uključuju modifikacije, kreiranje ili brisanje direktorija ili datoteka ono što čini neočekivanom promjenom ovisi o tome tko je promjenu izvršio, gdje, kada i na koji način napadači obično kreiraju, zamjenjuju, mijenjaju, oštećuju i uništavaju datoteke na sustavu, a prema kojima su ostvarili pristup
Nadgledanje i kontrola aktivnosti - aktivnosti na datotekama i direktorijima s namjerom skrivanja prisutnosti na sustavu, vrlo je često da napadači zamjenjuju programe sustava s zamjenskim koji izvršavaju iste funkcije, ali izostavljaju informacije koje bi mogle otkriti njihove zlonamjerne aktivnosti takoñer često mijenjaju log datoteke sustava s namjerom uklanjanja tragova njihove aktivnosti skrivanjem svoje prisutnosti na kompromitiranome sustavu napadači produžuju vrijeme koje imaju za neovlašteno korištenje sustava u mnogo slučajeva prisutnost napadača na sustavu otkrivena je tek nakon nekoliko mjeseci
Nadgledanje i kontrola aktivnosti - aktivnosti na datotekama i direktorijima napadači su u mogućnosti i kreirati nove datoteke na sustavu na primjer, instalacijom backdoor programa ili alata koji služe za ostvarenje privilegiranog pristupa sustavu napadači se koriste slobodnim memorijskim prostorom za pohranu svojih alata i drugih rukotvorina privatne podatkovne datoteke i datoteke s kritičnim informacijama najčešće su mete napada informacije o organizaciji dostupne preko javnih mreža i Interneta takoñer su česta meta napada
Nadgledanje i kontrola aktivnosti - aktivnosti na datotekama i direktorijima u sigurnosnu politiku trebalo bi uključiti sljedeće: zahtijevanje obavještenja korisnika sustava o nadgledanju neočekivanih aktivnosti nad datotekama i direktorijima odreñivanje zaduženja i odgovornosti osoba zaduženih za nadgledanje neočekivanih aktivnosti nad datotekama i direktorijima zahtijevanje od strane korisnika izvještavanje o neočekivanim promjenama datoteka i direktorija
Fizičke forme neovlaštenih aktivnosti podrazumijevamo neovlaštene aktivnosti kod kojih su dijelovi računalnog sustava izloženi fizičkom kompromitiranju u obliku krañe, uništenja, korupcije ili neovlaštenog korištenja postoje dva aspekta prepoznavanja fizičkih neovlaštenih aktivnosti: istraživanje neovlaštenog sklopovlja priključenog na sustav nadgledanje fizičkih resursa zbog znakova neovlaštenog pristupa
Praćenje dogañanja većina znakova asocirana sigurnosnim incidentima, jednostavne su anomalije kao što su sklopovski propusti ili sumnjiva ponašanja sustava ili korisnika praćenje informacija kojim su opisani dogañaji vrlo je korisno za prepoznavanje sigurnosnih incidenata te za pravovremeno poduzimanje odgovarajućih akcija u nastavku obrañena su dva dodatna važna aspekta sigurnosti sustava: pregledavanje izvještaja korisnika i vanjskih kontakta poduzimanje odgovarajućih akcija
Praćenje dogañanja - poduzimanje odgovarajućih akcija u sigurnosnu politiku trebalo bi uključiti sljedeće: odreñivanje akcija koje je potrebno poduzeti nakon utvrñivanja neočekivane, neobične i sumnjive aktivnosti zahtijevanje izvršavanja propisanih akcija odreñivanje zaduženja i odgovornosti osoba zaduženih za izvršavanje propisanih akcija