Если злоумышленники захотят пробраться внутрь системы - вероятно они найдут способ. Эксперты по безопасности дают советы о том, как обнаружить вторжение.

Заметные атаки, направленные против крупных промышленных компаний, показали, что хорошая система защиты может усложнить проникновение в систему для злоумышленника, но достаточно настойчивый хакер найдет способ проникнуть внутрь.

В этом году увеличилось количество атак, приведших к утечке корпоративной информации: компания по обеспечению информационной безопасности RSA, маркетинговая фирма Epsilon и развлекательный гигант Sony подтвердили факт проникновения в их системы безопасности в 2011 году. Не удивительно, что если раньше концепция глубокой защиты (defense-in-depth) оставалась мантрой индустрии информационной безопасности, то сейчас поставщики и консультанты более активно рекомендуют компаниям улучшать их способности в обнаружении успешно проведенных атак.

"Когда все другие способы защиты не работают, и есть хоть небольшой шанс, что злоумышленники могут проникнуть в систему, встает вопрос, сможем ли мы обнаружить их", - считает Брет Хартман  главный директор по технологиям RSA, а также EMC.

В отличие от обычных кибер-преступников, злоумышленники, специализирующиеся на целенаправленных, долговременных атаках, имеют тенденцию сосредотачиваться на тайной разведке и проникновении в тыл своих жертв, что сильно усложняет обнаружение угроз.

"Теперь они не "взрываются" внутри вашей сети — времена Nimda и Slammer уже прошли", - говорит Джим Уолтер, менеджер службы по предотвращению угроз компании McAfee (MTIS).

Чтобы быть готовым к тому, что злоумышленники уже находятся внутри корпоративной сети, менеджеры по безопасности должны предпринять несколько шагов, говорят эксперты.

1. Знай свою сеть

Самый важный инструмент для поиска — твердое базовое знание сети. Понимание конфигурации систем, того как они взаимодействуют между собой, и какие порты и сервисы разрешены для каждого участника сети — необходимый шаг для выявления вредоносных изменений, советует Джим Уолтер, менеджер службы по предотвращению угроз компании McAfee (MTIS).

"Если ты точно не знаешь сколько машин в твоей сети, где они, что они делают и как они взаимосвязаны, то ты абсолютно беззащитен", - написал Уолтер.

Компании должны постоянно обновлять свои знания о сети и соединенных с ней системах для внесения и регистрации изменений. Проверка целостности файлов — это ключевой инструмент, но и уверенность в том, что конфигурации достаточно защищены и соответствуют политике компании также важна, говорит Дуэйн Меланкон, главный технический директор компании по информационной безопасности Tripwire.

"Стоит им однажды попасть внутрь - они остаются внутри, но знание того, как все выглядело до того, как они попали внутрь системы, дает тебе преимущество при выяснении того, что именно произошло и как это остановить", - отмечает Мелакон.

2. Огради информацию

В добавок к всеобъемлющим знаниям о сети компаниям также стоит поместить свою секретную информацию в хорошо контролируемые цифровые "хранилища". Когда доступ к важной информации ограничен, любые вредоносные попытки скопировать или выкрасть данные становятся более заметными, считает Джо Стюарт, директор исследования вредоносного ПО в SecureWorks Dell.

"Тебе нужно заранее иметь план", - говорит он. "И хранить твою секретную информацию в отдельном анклаве, где применяется строгая политика безопасностия".

Кроме того, компании могут позаимствовать технологии из обороны от инсайдеров, создавая хонейпоты или файлы-приманки, привлекающие внимание, но поднимающие тревогу если их просмотрят или попытаются скопировать.

"Это действительно эквивалент выявления инсайдерских атак, поскольку злоумышленник уже действует изнутри", - считает Хартман из RSA.

3. Отслеживай хосты, регистрацию в сети и сетевой трафик

Как только защитники получат базовые знания о своей сети, угрозы можно будет легко отследить, найдя аномальное поведение в лог-файлах, хостах и сетевом трафике.

Компании, которые нерегулярно проверяют свои лог-файлы, скорее всего не обнаружат брешь в своей системе безопасности. Например, в последнем выпуске Отчета об исследованиях по утечке данных (Data Breach Investigations Report) компания Verizon показала, что 69% утечек, зарегистрированных за год, могли быть обнаружены путем анализа логов. Вместо этого, почти 7 из восьми утечек были раскрыты не самими жертвами, а сторонними фирмами — и тенденция в том, что это вряд ли произойдет в случае кражи интеллектуальной собственности.

Мониторинг сетевого трафика также может привести к обнаружению атаки. Кроме того, системы, записывающие данные для последующего анализа, могут помочь компании проанализировать потенциальные угрозы, говорит Хартман из RSA.

"Ты можешь увидеть в логах, что файл XYZ был похищен", - поясняет он. "Но хороший атакующий удалит файл так, что ты даже не узнаешь, что он был украден. С помощью анализа пакетов ты сможете понять, что именно было попало в руки взломщика".

Наконец, host-based системы обнаружения вторжений, которые стоят на ступень выше, чем антивирус и реактивное обнаружение сигнатур, также являются ключевыми факторами для выявления причин аномалий в системе — действия ли это злоумышленника или неправильная работа программы.

"Логи — это отлично, сетевой трафик — отлично, но они оба не дают вам полного представления о том, что на самом деле делает программа", - подводит итог Брет Хартман из компании RSA.