Аудит для повышения безопасности (часть 1)
Аудит для повышения безопасности (часть 1)
«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».
Вы должны понимать, что вам нужно много уровней (следовательно, глубокоэшелонированная защита) безопасности, чтобы иметь возможность чувствовать и быть в безопасности от потенциальных угроз. Возможная матрица глубокоэшелонированной защиты с включенным аудитом может выглядеть так, как показано на рисунке ниже.
Итак, теперь, когда вы знаете, почему аудит так важен, вам, вероятно, будет полезно дать хорошее определение термина «аудит». Аудит — это процесс анализа собранных данных с целью или намерением определить возможную проблему или, в области безопасности, атаку или эксплойт. Аудит лучше всего использовать в любой системе, которая может создавать файл журнала определенного типа, который вы можете сохранять, обращаться к нему и анализировать, особенно с течением времени.
В вашей стратегии безопасности должна быть реализована строгая политика аудита систем. Если у вас мало времени, я бы посоветовал вам, по крайней мере, внедрить политику аудита наиболее важных систем или систем, подключенных к Интернету. Таким образом, вы можете быть в некоторой степени проинформированы о возможных атаках на системы, которые, если они будут выведены из строя, могут вывести вас из бизнеса.
Вам следует попытаться определить уровень аудита, который необходимо развернуть в ваших системах, поскольку чрезмерный аудит будет генерировать слишком много событий для просмотра и анализа.
Не переусердствуй
Когда вы планируете аудит своих систем, вам действительно нужно провести некоторый анализ перед анализом! Проведите небольшое исследование и подумайте, что именно вы пытаетесь определить с помощью аудита. Неразумно просто включать все проверяемые события, даже не зная, что именно вы включаете. Чрезмерный аудит может на самом деле привести к потере некоторых зарегистрированных событий, если ваш журнал настроен на перезапись событий по мере необходимости.
На самом деле есть способы остановить эту деятельность, о которых будет рассказано в этой главе, но просто помните, что если вы вслепую включите аудит, не думая о том, чего вы хотите достичь, вы можете потерять данные. Есть способы остановить это… один из них — настроить размер журнала так, чтобы он содержал больше событий. Другой способ — настроить его так, чтобы вы могли очищать события только вручную, чтобы не потерять данные. (оба будут объяснены более подробно позже в этой главе). Другие способы — использовать дополнительные продукты сторонних инструментов, чтобы накапливать события в одном централизованном месте, таком как MOM. Вы можете использовать такой инструмент, как Microsoft Operations Manager, который поможет вам собирать, фильтровать и анализировать огромное количество событий во всех ваших системах.
Когда вы выполняете аудит, у вас может быть одна из двух категорий:
- Успех: событие успеха указывает на то, что пользователь успешно получил доступ к ресурсу.
- Сбой: событие сбоя указывает на то, что пользователь попытался получить доступ к ресурсу, но потерпел неудачу.
Эти две категории будут определять многое. Если вы отслеживаете оба, вы можете найти закономерности, например, если у вас есть серия неудач при входе в систему. Это может указывать на то, что кто-то пытается войти в систему и каждый раз терпит неудачу. Проблемы с аудитом такого типа поведения возникают, если у вас есть администратор, который, возможно, забыл пароль или, что еще хуже, нажимает клавишу Caps Lock при попытке входа в систему. Это будет отображаться в журнале событий. Если у вас череда неудач, за которыми следует успех, то видно, что либо администратор разобрался с ошибкой, либо, если это атака, то злоумышленнику удалось взломать систему. Вот как можно увидеть, как успех и неудача работают в сочетании друг с другом.
В наших следующих статьях мы рассмотрим, как настроить аудит в Windows 2000.