5.2 Оценка

5.2.1 Что случилось на самом деле?

Эта этап включает точное выявление проблемы. В большинстве случаев причиной событий, ассоциируемых с заражением вирусами, проникновением в АС, и т.д., оказываются просто аппаратные сбои. Для того чтобы помочь выявить, произошел ли инцидент на самом деле, обычно полезно получить и применить любое обнаруживающее программное обеспечение, которое может быть доступно. Например, широко распространенные программы могут сильно помочь любому, кто подозревает наличие вируса на компьютере Macintosh. Контрольная информация также очень важна, особенно при выявлении сетевой атаки. Крайне важно получить образ памяти АС, если есть подозрение, что происходит что-то необычное. Многие инциденты приводят к возникновению динамической цепочки событий, и образ памяти АС в начале может помочь при выявлении проблемы и источника атаки больше, чем любые другие действия, предпринимаемые на этом этапе. Наконец, важно завести журнал. Занесение в него записей о системных событиях, телефонных звонках, и т.д. поможет произвести более быстрое и надежное выявление проблемы, а также послужит основой для следующих этапов улаживания инцидента.

Существуют определенные признак или "симптомы" того, что произошел инцидент, требующий особого внимания:

• аварийные завершения работы АС;
• новые регистрационные имена пользователей (например, может появиться необъяснимым образом регистрационное имя RUMPLESTILTSKIN), или высокая активность регистрационного имени, которое несколько месяцев не проявляло никакой активности;
• новые файлы (обычно со странными именами, такими как data.xx или k);
• наличие несоответствий в информации о работе регистрационных имен ( например, в UNIX вы можете заметить, что файл учета работы регистрационных имен, названный /usr/admin/lastlog, был обрезан, что является очень подозрительным);
• изменения в длинах файлов или их датах (например, у пользователя должно появиться подозрения, если он видит, что .EXE-файлы в ЭВМ с MS-DOS неожиданно увеличились на 1800 байт);
• попытки записи в системные файлы (например, системный администратор замечает, что привилегированный пользователь в VMS пытается изменить файл RIGHTSLIST.DAT);
• модификация или удаление данных (например, начинают исчезать файлы);
• отказ в обслуживании (например, системный администратор и остальные пользователи блокированы ОС UNIX, которая перешла в однопользовательский режим);
• необъяснимо медленная работа АС (например, выдача сообщений АС становится необычно медленной);
• аномалии (например, на экране терминала высвечивается GOTCHA или слышатся частые необъяснимые гудки динамика ЭВМ);
• подозрительные входы в АС (например, большое число неудачных попыток войти в АС с другого узла сети);
• подозрительный просмотр файлов (например, кто-то становится суперпользователем в UNIX и начинает последовательно просматривать файлы одного регистрационного имени, затем другого и т.д.).

Ни один из этих признаков не является абсолютным доказательством того, что происходит инцидент, кроме того при инциденте могут наблюдаться не все перечисленные выше признаки. Если вы заметили любой из этих признаков, то следует, тем не менее, заподозрить возникновение инцидента и действовать соответствующим образом. Не существует формулы, позволяющей со стопроцентной точностью определить, что происходит инцидент (возможное исключение: когда антивирусная программа сообщает, что на вашем СВТ есть вирус nVIR, и вы убеждаетесь в этом, обнаружив на вашем Macintosh его текст, вы можете быть уверены, что ваше СВТ заражено). В этот момент лучше всего связаться с персоналом, отвечающим за защиту СВТ, для принятия коллективного решения о том, происходит ли инцидент.

5.2.2 Область распространения инцидента

Вместе с идентификацией инцидента следует проводить оценку области распространения и опасности инцидента. Важно корректно идентифицировать границы инцидента, для того чтобы эффективно его уладить. Помимо этого, опасность инцидента определит приоритеты при распределении привлекаемых ресурсов. Не зная области распространения и опасности события, трудно произвести корректные ответные действия.

Для того чтобы идентифицировать область распространения и опасность, следует создать набор критериев, который будет меняться в зависимости от организации и сетевых соединений. Вот некоторые из них:

• Этот инцидент затрагивает несколько организаций?
• Много ли СВТ вашей организации пострадали из-за этого инцидента?
• Затрагивает ли он конфиденциальную информацию?
• Что было начальной точкой при его распространении (сеть, телефонная линия, местный терминал, и т.д)?
• Знает ли о нем пресса?
• Каковы потенциальные разрушительные последствия инцидента?
• Сколько ориентировочно понадобится времени, чтобы уладить инцидент?
• Какие ресурсы потребуются для улаживания инцидента?