M 4.93z Regulaarne tervikluse kontroll


Algatamise eest vastutavad: IT-juht, IT-turbespetsialist
Rakendamise eest vastutavad: administraator

Failisüsteemi, failiatribuutide ja protsessiinfo ning muude süsteemikonfiguratsiooni oluliste elementide (nt Windowsi registri) regulaarne kontrollimine võimalike ootamatute muudatuste suhtes aitab tuvastada ebakõlasid. Selliste ebakõlade tuvastamist saab kasutada süsteemi töökindluse tagamiseks. Muuhulgas võimaldab see varakult tuvastada ka ründeid. Kui tegu on tõesti ründega, on oluline tuvastada ründaja valitud tegutsemisviis. Esmalt võimaldab see tuvastada võimalikke andmemanipulatsioone, teisalt aitab aga leida ka varjatud tagauksi, mille võis paigaldada ründaja eesmärgiga kunagi hiljem arvutile ligi pääseda. Manipulatsioonide tuvastamiseks saab kasutada programme, mis arvutavad suure hulga süsteemi failide jaoks või muude ressursside kohta välja krüptograafilised kontrollsummad. Seejuures tuleb eristada tervikluse kontrollimise programme, mis töötavad ainult faili tasandil, ja selliseid, mis suudavad kontrollida ka protsesse ja spetsiaalseid konfiguratsiooniandmeid, nt Windowsi registrit või kernel ’i andmestruktuure. On soovitatav, et neid tööriistu peaks saama ka tsentraalselt hallata ja seirata. Lisaks peavad programmi poolt kasutatavad krüptograafilised mehhanismid vastama kaasaegsetele tehnilistele nõuetele.

Mõned programmid suudavad vaid kindlaks teha, kas failisüsteemi on muudetud või mitte. Selleks kontrollitakse, kas pääsuõiguseid, viimase sisseviidud muudatuse kuupäeva või vastava faili sisu on muudetud. Modifikatsioonide tuvastamiseks võrreldakse eelnevalt loodud krüptograafilisi kontrollsummasid värskelt väljaarvutatud kontrollsummadega. Eriseadistusega saab sageli tuvastada ka ainult lugemisega piirdunud juurdepääsu. Takistamaks tervikluse kontrollimise programmi enda või süsteemi kontrollsummasid sisaldava faili võltsimist ründaja poolt, peavad need asuma kirjutuskaitsega andmekandjal. Failisüsteemi lubatud muudatuste puhul peab siiski muutuma ka kontrollsumma fail, seega tuleks selleks otstarbeks kasutada CD-, DVD- või muid vahetatavaid plaate. Alternatiiviks on teha kontrollsumma faili kättesaadavaks läbi võrgu, rakendades sellele kirjutuskaitset. Kui tervikluse kontrollprogrammi hallatakse võrgu kaudu, tulekski eelistada just seda meetodit.

Tervikluse kontrolli tuleks teha regulaarselt, nt igal öösel. Sobiva kontrollintervalli valik sõltub olulisel määral vastava IT-süsteemi kasutusotstarbest ja kasutuskeskkonnast. Tervikluse kontrolli läbiviimisel tuleb arvestada ka kontrollsummade kontrollile kuluva mäluruumi ja arvutusajaga. Tervikluse kontrollprogrammi kasutamine ei tohi takistada igapäevaste tööprotsesside toimimist. Iga suurema IT-süsteemi käitamise raames toimub süsteemifailides pidevalt suuremaid ja väiksemaid muudatusi. Seega on soovitatav seadistada tervikluse kontrollprogrammi selliselt, et muudatusi tuvastatakse ainult olulistes failides. Vastasel korral esineb oht tekitada suurel hulgal muudatusi kajastavaid teateid, mille põhjuseks on tegelikult tavaline tööprotsess ning mis pole seotud rünnakutega (false positives). Selle tulemusel võib juhtuda, et logifaile ei jõuta enam piisavalt kiiresti analüüsida. Süsteem peaks administraatorile tulemustest teada andma ka siis, kui muudatusi ei tuvastatud, nt automaatselt meili teel või mõnel muul sobival meetodil. Juba eelnevalt tuleb kindlaks määrata, millised meetmed tuleb tarvitusele võtta siis, kui tuvastatakse reaalne tervikluse kadu. Näiteks on oluline teada, kas tarvituselevõetavad töösammud tuleb läbi teha käsitsi või need toimuvad automaatselt.

Täiendavad kontrollküsimused:
  • Kas terviklust kontrollitakse regulaarselt?
  • Kas kontrollsumma fail ja kontrollprogramm ise on piisaval määral manipulatsioonide eest kaitstud?
  • Kas on tagatud, et oluline info tervikluse kao kohta ei mattu ebaoluliste, muudatusi kajastavate teadete (false positives) alla?
  • Kas on määratletud, milliseid meetmeid tuleb rakendada tervikluse kao korral? Kas on kehtestatud kohustuslikud operatsioonid, mis toimivad kas automaatselt, või mis tuleb läbi teha käsitsi?
  • Kas tervikluse kontrollprogramm kasutab kaasaegsetele tehnilistele nõuetele vastavaid krüptograafilisi mehhanisme?