РЕЦЕНЗИИ
Лукацкий А. В. Обнаружение атак. СПб., “БХВ-Петербург”. 2001. - 624 с., ил.
Данная книга посвящена практически не рассматриваемому в ИТ-литературе вопросу обнаружения компьютерных атак. Эта тема, без сомнения, актуальна прежде всего тем, что создать абсолютно надежную систему защиты практически невозможно (что доказывает первая глава), но вполне реально обнаруживать все нарушения политики безопасности и улучшать на этой основе работу службы защиты. Такой подход к организации информационной безопасности выглядит сегодня наиболее разумным.
Вторая глава отведена классификации и структуре уязвимостей и компьютерных атак. В третьей главе даются базовые понятия о возможностях технологий обнаружения атак и задачах, которые можно решить с их помощью. В четвертой подробно рассмотрены признаки нарушений, источники информации об этих признаках и методы анализа такой информации.
Пятая глава рассказывает о конкретных способах обнаружения нарушений - преимущественно вручную. В шестой подробно рассматриваются средства автоматизации такой работы. Немаловажно, что особое внимание уделено средствам защиты СУБД. Очень интересен раздел, посвященный специальным средствам обмана хакеров, - имеются в виду инструменты сокрытия и подмены данных и дезинформации злоумышленников.
С шестой главы начинается анализ корпоративных аспектов защиты. Без него не обойтись, так как, во-первых, достаточно трудно выбрать подходящую систему из сотен подобных продуктов, представленных на рынке, во-вторых, систему надо внедрить, выполнить организационные преобразования, правильно ее эксплуатировать и сопровождать, а в-третьих, все нарушения нужно проанализировать и сделать соответствующие выводы.
Ответам на вопросы, как, где и чему учить персонал и какими должны быть соответствующие рабочие потоки в организации, посвящена седьмая глава. Восьмая глава подскажет, как выбрать систему обнаружения атак. После того как этот выбор сделан, надо правильно разместить компоненты системы в корпоративной сети, чтобы контролировать все потенциальные источники атак. В этом поможет девятая глава, а десятая расскажет, как эксплуатировать внедренную систему.
Вместе с тем системы обнаружения нарушений сами по себе также обладают недостатками, которые надо учитывать в ходе работы, - об этом речь идет в одиннадцатой главе. Двенадцатая вкратце описывает принципы разработки собственной системы обнаружения атак.
Вопросам создания стандартных протоколов и интерфейсов, позволяющих связываться друг с другом системам разных производителей, а также разработки требований к тестированию и сертификации систем выявления атак посвящена тринадцатая глава.
В заключительной, четырнадцатой главе даны рекомендации по организации действий сотрудников при обнаружении инцидента, связанного с нарушением безопасности.
Книга организована и логически структурирована очень хорошо. Она содержит немало специализированной информации, но написана корректно: несмотря на множество реальных примеров и подробных описаний возможных действий злоумышленников, использовать эту книгу в качестве хакерского учебника не удастся. А вот практическим руководством по защите она может служить для любого человека, более-менее знакомого с протоколом TCP/IP и принципами функционирования Web-серверов. Для системных администраторов и начальников ИТ-отделов книга А. В. Лукацкого представляется незаменимой. Хотя после ее прочтения с грустью понимаешь, сколь велик объем работ, которые необходимо выполнить для организации хорошей защиты корпоративной сети.