Ответьте на нападение

Поговорим о способах реагирования. Беспрерывно звонящая сигнализация, на которую никто не реагирует, ничем не лучше, чем полное ее отсутствие. Ответ – это то, для чего, собственно, и нужны средства обнаружения.

Иногда реагировать легко: если украден номер телефонный карточки, значит, его следует аннулировать. Иногда бывает сложнее: кто-то проник на сервер электронной торговли. Можно закрыть сервер, но потери составят 10 миллионов долларов в час. И что теперь?

Ответить непросто, хотя часто бывает, что люди принимают разумные решения за доли секунды. «Кто-то забрался на стену и приближается к застекленной крыше. Что нам сейчас делать?» Это во многом зависит от ситуации. Но вы не можете бездействовать. Можно просто прогнать его. Можно прогнать его и удостовериться, что он больше не вернется. Можно прогнать его, определить, как ему удалось туда попасть, и закрыть уязвимое место.

Пресечь нападение – это только половина дела. Не менее важно выследить и найти нападающего. Это бывает очень трудно в некоторых случаях: например, в Интернете нападающий может переходить с одного компьютера на другой, чтобы «замести следы». Полиция не может тратить много времени на расследование таких случаев до тех пор, пока не будут привлечены дополнительные людские или финансовые ресурсы, и я думаю, что частные компании могут оказать помощь правосудию, например, собирая досье на некоторых взломщиков.

Столкнувшись с судебным разбирательством, большинство людей из компьютерного мира, чуждых правовой сфере, обнаруживают, какая это помойная яма. Недостаточно идентифицировать нападающего, необходимо еще доказать это в суде. В Англии предпринимались попытки привлечь к ответственности обвиняемых в мошенничестве с кредитными картами. Как проходит рассмотрение дела в суде?

Защитник требует представить подробные сведения о средствах безопасности, используемых банком: описание технологии, записи в контрольных журналах; обо всем, что может прийти ему в голову. Представитель банка обращается к судье: «Мы не можем представить эти сведения, поскольку это причинит ущерб нашей безопасности». Судья прекращает дело. Система безопасности могла бы быть идеальным образцом обнаружения, она могла бы правильно указать преступника, но если она не переносит процесса раскрытия информации, значит, она недостаточно полезна.

Когда Джон Уокер предстал перед судом за шпионаж, Агентство национальной безопасности тщательно взвешивало, что лучше: раскрыть информацию о том, как Уокер взламывал механизмы шифрования, или сохранить в тайне истинные размеры причиненного им ущерба. Хорошие способы обнаружения должны выдерживать судебный процесс, включая перекрестные допросы с привлечением экспертов, не теряя при этом своей эффективности. Хорошие средства обнаружения и контроля обязаны делать записи в контрольных журналах, которые могут быть использованы в суде в качестве доказательств. Должна быть возможность демонстрировать эти записи, не раскрывая секретов безопасности (это называется разделением знаний, knowledge partitioning).