Реакция на вторжение или подача сигнала тревоги

Своевременное осознание того, что произошел прорыв в систему, может помочь предотвратить существенные потери. Надо осуществлять постоянный аудит операционной системы, чтобы идентифицировать возможные прорехи в системе безопасности. Выработайте способ подачи автоматического сигнала тревоги сетевому администратору, когда происходит какое‑то необычное событие. При этом имейте в виду, что если атакующий уже получил высокие привилегии и осведомлен о контроле, он может отключить эту систему подачи сигнала тревоги.

ВЫЯВЛЕНИЕ НЕАВТОРИЗОВАННЫХ ИЗМЕНЕНИЙ В ПРИЛОЖЕНИЯХ

Роберт мог заменить приложение helpdesk.exe, используя неправильную конфигурацию FrontPage. После того, как он достиг своей цели, и получил коды главного продукта компании, он оставил «взломанную» версию приложения helpdesk, чтобы иметь возможность вернуться сюда через какое‑то время. Загруженный сетевой администратор может так никогда и не понять, что хакер скрытно изменил существующую программу, особенно, если он не делает никаких проверок на целостность системы. В качестве альтернативы ручным проверкам можно посоветовать лицензированную программу tripware, которая автоматизирует процесс выявления неавторизованных изменений.