Читаем Политики безопасности компании при работе в Интернет полностью

Меняйте расписание мониторинга. Задача системного мониторинга не такая страшная, как могло бы показаться. Системные администраторы могут выполнять многие команды, используемые для мониторинга, периодически в течение дня, заполняя ими паузы (например, во время телефонного разговора). Это лучше, чем действовать строго по расписанию, При частом выполнении команд вы быстрее привыкнете к «нормальным» результатам и будете легче обнаруживать аномалии. Кроме того, варьируя время мониторинга, вы сделаете свои действия менее предсказуемыми для злоумышленников. Например, если злоумышленник знает, что каждый день в 17:00 проверяется, все ли вышли из системы, он просто переждет момент проверки и войдет позже. Но он не может предсказать, когда системный администратор выполнит команду вывода списка активных пользователей. Тем самым риск быть обнаруженным для злоумышленника существенно возрастает. Несмотря на достоинства, которыми обладает постоянный мониторинг, некоторые злоумышленники могут знать о стандартных регистрационных механизмах атакуемых систем. В результате возможно активное противодействие и выведение этих механизмов из строя. Таким образом, обычное отслеживание полезно для обнаружения нарушителей, но оно не гарантирует безопасности вашей системы, как не гарантирует оно и безошибочного выявления неавторизованных действий.

Что делать при подозрениях на неавторизованную деятельность

В дополнение к политике необходимо выписать процедуры реагирования на вторжения. Ответы на следующие вопросы должны стать частью процедур безопасности:

• Кто имеет право решать, что именно делать?

• Следует ли обращаться в правоохранительные органы?

Независимо от того, предпочтете ли вы пресекать действия нарушителя или следить за ним, вам необходимо держать наготове соответствующие инструменты, предварительно научившись ими пользоваться. Не ждите вторжения, чтобы овладеть методами отслеживания действий злоумышленников, вам будет не до того.