Межсетевое экранирование

Восстановление при компрометации безопасности


Большинство организаций при определенных обстоятельствах сталкиваются с успешной компрометацией одного или более хостов в своей сети. Первый шаг при восстановлении состоит в создании и документировании требуемых политик и процедур в ответ на успешное вторжение до осуществления самого вторжения. Ответные процедуры должны очерчивать действия, которые требуются в ответ на успешную компрометацию web-сайта, и соответствующую последовательность этих действий (последовательность может быть критически важной). Эти процедуры должны содержаться в политике безопасности организации.

Web-администраторы должны выполнить следующие шаги при определении успешной компрометации:

  • Сообщить об инциденте.
  • Просмотреть политику безопасности организации.
  • Изолировать скомпрометированную систему(ы) и выполнить шаги по сохранению следов атаки, чтобы могли быть собраны дополнительные доказательства.
  • Исследовать другие "аналогичные" хосты (в том же самом диапазоне адресов, имеющие те же или аналогичные пароли, разделяющие отношение доверия и имеющие ту же ОС и приложения) для определения того, не скомпрометировал ли атакующий и другие системы.
  • Просмотреть соответствующее законодательство.

  • Проанализировать проникновение, включая:

    • модификации, сделанные в ПО и конфигурациях;
    • модификации, сделанные в данных;
    • инструментальные средства или данные, оставленные нарушителем;
    • данные из системных логов, определение проникновения и файлы логов firewall.

  • Выполнить восстановление системы.

    • Существуют две возможности:

      • инсталлировать чистые ОС, приложения, необходимые patches и содержимое web-сервера;
      • восстановить из backup’а (данное действие может быть более рискованным, так как backup мог быть сделан после компрометации и восстановление компрометированного backup может позволить атакующему в дальнейшем получить доступ к системе).

    • Запретить сервисы, не являющиеся необходимыми.
    • Применить все patches.
    • Изменить все пароли (даже на нескомпрометированных хостах).
    • Переконфигурировать элементы сетевой безопасности (например, firewall, роутер, IDS) для обеспечения дополнительной защиты и оповещения.


  • Заново присоединить систему к сети.
  • Протестировать систему для гарантирования безопасности.
  • Выполнить мониторинг системы и сети, чтобы убедиться, что атакующий снова не сможет получить доступ к системе или сети.
  • Все документировать.


Системные администраторы должны рассмотреть следующие параметры при принятии решения о том, следует ли переинсталлировать ОС на скомпрометированной системе или же достаточно восстановить все из backup’а:

  • Уровень доступа, который получил нарушитель (например, root, user, guest, system).
  • Тип атакующего (внутренней или внешний).
  • Цель компрометации (например, изуродовать web-страницу, получить незаконный доступ к репозиторию ПО, платформе для выполнения других атак).
  • Метод компрометации системы.
  • Действия атакующего в течение и после компрометации (например, просмотр логов, отчетов об обнаружении проникновения).
  • Продолжительность компрометации.
  • Распространение компрометации на сеть (например, количество скомпрометированных хостов).
  • Результаты консультаций с адвокатами.


Более низкий уровень доступа, полученный нарушителем, и большие знания web-администратора о действиях нарушителя уменьшают риск, существующий при восстановлении из backup’а и выполнении patch для устранения уязвимостей. Если о действиях нарушителя известно мало, то нужно переустановить все ПО на хосте.


Содержание раздела