Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Response Team - что это такое?




Как уже было сказано выше, самый простой метод анализа защищенности - это ознакомление с информационными бюллетенями, описывающими обнаруживаемые уязвимости и методы их устранения. Такого рода бюллетени ведутся т.н. командами реагирования (Response Team) на инциденты безопасности. Наиболее известными из них являются координационный центр Computer Emergency Response Team (CERT/CC), Computer Incident Advisory Capability (CIAC) и Forum of Incident Response and Security Teams (FIRST).

Данные группы собирают статистику о компьютерных нападениях и уязвимостях в программном и аппаратном обеспечении, находят эффективные способы противодействия им и публикуют эту информацию для всех заинтересованных лиц.

Все группы реагирования и производители средств обнаружения нарушения политики безопасности контактирует с производителями программного и аппаратного обеспечения для разработки эффективных способов противодействия атакам. Однако информация об уязвимости публикуется не раньше, чем найдется ей "противоядие". Это основной недостаток всех способов поиска уязвимостей, который приводит к тому, что злоумышленники могут воспользоваться имеющейся информацией до того, как появится способ устранения найденной уязвимости.

В России до недавнего времени отсутствовали организации, которые бы занимались такими исследованиями и публиковали информацию об обнаруженных уязвимостях для открытого доступа всех заинтересованных лиц. 15 сентября 1998 года РосНИИРОС объявил о начале действия проекта "CERT Russia", в рамках которого создан WWW-сервер, публикующий информацию об уязвимостях для российских специалистов. И хотя информации на этом сервере (http://www.cert.ru/) очень мало, я надеюсь, что проект будет развиваться и получит поддержку и признание отечественных организаций, работающих на рынке информационной безопасности. Работы по созданию базы данных уязвимостей также было рекомендовано начать на конференции Ассоциации документальной электросвязи (АДЭ), проходившей 9-10 декабря 1998 года в Москве.

Анализ информации, публикуемой зарубежными командами реагирования, показывает, что основное внимание уделяется исследованиям систем на платформе UNIX и Windows NT. Такая распространенная в России сетевая операционная система как Novell Netware, практически не рассматривается. Поэтому сотрудники отделов информационной безопасности и управлений автоматизации сталкиваются с трудностями при поиске такой информации. Единственное, что можно посоветовать для решения этой проблемы - чаще посещать Web-сервер технической поддержки компании Novell, расположенный по адресу: support.novell.com. Кроме того, недавно, компанией была создана, так называемая служба электронных инцидентов (electronic incident), содержащая информацию обо всех инцидентах, связанных с безопасностью в продуктах компании Novell. Эта служба расположена по адресу: support.novell.com/elecinc/elecinc.htm. С путями решения вопросов безопасности, связанными с продуктами компании Microsoft, можно ознакомиться на Web-сервере технической поддержки по адресу: support.microsoft.com.

Ниже приводится информация о наиболее известных компьютерных центрах, занимающихся вопросами информационной безопасности и, в частности, анализом защищенности информационных систем и поиском способов устранения найденных уязвимостей.

CERT

Координационный центр CERT/CC находится в Питсбурге (шт. Пенсильвания, США) при Университете разработки программного обеспечения Карнеги-Мэллона (Carnegie Mellon University's Software Engineering Institute, SEI). SEI, спонсируемый Министерством Обороны США, занимается улучшением методов разработки программного обеспечения. Координационный центр CERT/CC является частью программы, которая разрабатывается в SEI - Networked Systems Survivability (NSS). Основная цель данной программы гарантировать построение соответствующей технологии и методов управления системой, чтобы максимально эффективно противодействовать атакам, минимизировать ущерб и обеспечить непрерывность работы системы, даже в случае успешного осуществления атаки.

После известного случая с "червем Морриса", происшедшим в ноябре 1988 года и выведшим из строя почти 10% всех компьютеров сети Internet, Управление перспективных исследований Министерства Обороны США (Defense Advanced Research Projects Agency, DARPA), выделило деньги на создание центра, координирующего действия экспертов в области безопасности и позволяющего не только вовремя реагировать на возникающие атаки, но и предотвращать их в будущем.

Координационный центр CERT/CC предназначен для решения следующих задач:

• обеспечить постоянную и надежную связь для реагирования на сообщения об атаках;

• обеспечить взаимодействие между экспертами, работающими в области обеспечения информационной безопасности;

• служить центром для идентификации и коррекции уязвимостей в компьютерных системах;

• проводить научные исследования для повышения уровня безопасности существующих систем.

Начиная с момента своего основания, CERT/CC обработал больше 12000 сообщений о компьютерных инцидентах и атаках.

Однако очевидно, что одной организации практически не под силу объединить всех экспертов по безопасности и отвечать на сообщения со всех концов света. Поэтому CERT/CC предложил создать несколько отдельных групп, которые бы обеспечивали соответствующей информации свои категории пользователей. Так был создан CIAC, FIRST и другие группы реагирования на атаки.

Для периодического ознакомления с обнаруженными в исследовательских лабораториях CERT/CC уязвимостями программного и аппаратного обеспечения на WWW-сервере (http://www.cert.org/), FTP-сервере (ftp.cert.org/pub/cert_advisories), в телеконференции USENET (comp.security.announce) и через список рассылки, публикуются т.н. Advisories - описания уязвимостей и способов их устранения. Информация, полученная от фирм-производителей, о проблемах безопасности и их решении публикуется в специальных информационных бюллетенях от поставщиков (Vendor-Initiated Bulletins), распространяемых по тем же каналам, что и Advisories.

В настоящий момент CERT/CC - это самая крупная и известная группа, которая имеет более 40 своих представительств во многих странах мира (в т.ч. и в странах бывшего СССР).

Для подписки на список рассылки CERT Advisories и CERT Vendor-Initiated Bulletins необходимо послать сообщение на адрес: [email protected]. В теле сообщения требуется указать следующие строки:

subscribe cert-advisory <ваш адрес электронной почты>

subscribe cert-bulletin <ваш адрес электронной почты>

 

X-Force

В 1994 году один из организаторов CERT/CC - Кристофер Клаус основал компанию Internet Security Systems, Inc., которая является лидером в области разработки средств анализа защищенности и обнаружения атак. В компании ISS существует научно-исследовательская группа X-Force, объединяющая экспертов в области обеспечения информационной безопасности. Эта группа не только постоянно отслеживает все публикуемые другими группами реагирования сообщения об обнаруженных уязвимостях, но и сама проводит тестирование программных и аппаратных средств. Результаты этих исследований помещаются в базу данных уязвимостей и угроз (ISS X-Force Threat and Vulnerability Database).

База данных X-Force, находящаяся по адресу: www.iss.net/xforce/, является одной из лучших базой уязвимостей. Доступ к ней может осуществляться как путем подписки на свободно распространяемый список рассылки X-Force Alert, так и путем интерактивного поиска в базе данных на Web-сервере компании ISS. Поиск уязвимостей в базе данных может быть осуществлен по нескольким параметрам:

• по операционной системе, подверженной уязвимости;

• по имени уязвимости;

• по дате обнаружения;

• по степени риска (высокая, средняя, низкая).

Также существует возможность вывода всех уязвимостей за последний, предпоследний или все предыдущие месяцы.

Все обнаруженные уязвимости сразу же заносятся в базу данных уязвимостей системы анализа защищенности сетевых сервисов и протоколов Internet Scanner, системы обнаружения атак RealSecure, систем анализа защищенности операционных систем System Security Scanner и Security Manager и системы анализа защищенности баз данных Database Scanner.

Для подписки на список рассылки X-Force Alert необходимо послать по E-mail сообщение на адрес: [email protected]. В теле сообщения требуется указать следующую строку:

subscribe alert <ваш адрес электронной почты>

 

CIAC

Центр CIAC (Computer Incident Advisory Capability) был организован при Министерстве Энергетики США в 1989 г. Основной целью CIAC является обеспечение компьютерной безопасности служащих и подрядчиков Министерства Энергетики. CIAC выполняет множество функций, включая:

• обработку сообщений об инцидентах;

• обеспечение компьютерной безопасности служащих и подрядчиков Министерства Энергетики;

• проведение симпозиумов по вопросам информационной безопасности;

• консультации по вопросам защиты информации.

Группа CIAC входит в состав Центра безопасных компьютерных технологий (Computer Security Technology Center, CSTC) и расположена в Lawrence Livermore National Laboratory. Центр CIAC является одним из участников форума FIRST.

Для периодического ознакомления сообщества Internet с "дырами" CIAC аналогично координационному центру CERT/CC публикует информационные бюллетени (Advisories) на своем WWW-сервере (llnl.ciac.gov) и через список рассылки.

Для подписки на список рассылки CIAC Advisories необходимо послать сообщение на адрес: [email protected]. В теле сообщения требуется указать следующую строку:

subscribe ciac-advisories <ваш адрес электронной почты>

 

FIRST

После создания CERT/CC, CIAC и других групп, каждой со своим финансированием, своими целями и требованиями, стало ясно, что без единого, координирующего центра не обойтись. При взаимодействии между группами, зачастую находящимися в разных часовых поясах, возникали языковые и иные проблемы. Поэтому в 1990 году при содействии 11 участников (CERT, CIAC и т.д.) был создан FIRST (Forum of Incident Response and Security Teams) - международный форум, объединяющий практически все группы реагирования на инциденты. К середине 1997 года состав FIRST (http://www.first.org/) уже насчитывал более 60 команд и групп реагирования на инциденты из различных стран мира (см. таблицу 1).

 

Таблица 1. Команды реагирования, входящие в FIRST

Название команды реагирования: Пользователи:
Команды реагирования, входящие в FIRST
AUSCERT (Australian Computer Emergency Response. Team) Австралия
CARNet-CERT Организации, подключенные к сети CARNet
CERT Пользователи Internet
CERT-IT, Computer Emergency Response Team Italiano Италия
CERT-NL Организации, подключенные к сети SURFnet
DFN CERT Германия
Israeli Academic Network Пользователи университета Израэли
MxCERT (Mexican CERT) Мексика (домен.mx)
JANET-CERT Все организации Великобритании, подключенные к сети JANET
NORDUnet NORDUnet
SWITCH-CERT Организации, подключенные к сети SWITCH
Правительственные учреждения США, входящие в FIRST
CIAC Министерство Энергетики США, его партнеры, плюс организации, подключенные к Energy Science Network (Esnet)
Goddard Space Flight Center Центр космических полетов Годдарда
NASA (Ames Research Center) Аэрокосмическое агентство США
NASA Automated Systems Incident Response Capability (NASIRC) Аэрокосмическое агентство США и аэрокосмические агентства других стран
NCSA-IRST (National Center for Supercomputing Applications IRST) Сообщество супервычислений
U. S. National Institutes of Health Служащие национального института здравоохранения
NIST/CSRC NIST и гражданские агентства США
U.S. Social Security Administration Министерство социального страхования США
Small Business Administration (SBACERT) Сообщество малого бизнеса
Veteran's Health Administration Forum of Incident Response Security Team Сообщество ветеранов здравоохранения
Военные организации США, входящие в FIRST
AFCERT (Air Force CERT) Военно-воздушные силы
ASSIST Министерство обороны (команда реагирования ASSIST)
Defense Information Systems Agency Агентство DISA
NAVCIRT (Naval Computer Incident Response Team) Команда реагирования NAVAL
Образовательные учреждения США, входящие в FIRST
Northwestern University Северо-западный университет
Ohio State University Incident Response Team(OSU-IRT) Команда реагирования университета штата Огайо
Pennsylvania State University Университет штата Пенсильвания
Purdue Computer Emergency Response Team (PCERT) Команда реагирования университета Purdue
Stanford University Network Security Team Команда сетевой безопасности Стэнфордского университета
Зарубежные правительственные организации, входящие в FIRST
BSI/GISA Германские правительственные учреждения
CCTA Правительственные учреждения и агентства Великобритании
Defense Research Agency, Malvern Агентство оборонных исследований
Renater Министерство исследований и образования Франции
Поставщики и производители компьютеров и устройство связи, входящие в FIRST
Apple Computer Apple Computer
Cisco Systems Сотрудники и партнеры Cisco Systems
Digital Equipment Corporation (SSRT) Заказчики DEC
FreeBSD, Inc. Пользователи FreeBSD и других UNIX-систем
Hewlett-Packard Company Заказчики HP-UX и MPE
IBM-ERS Заказчики IBM
MCI Сотрудники и партнеры MCI
Micro-BIT Virus Center Любой звонящий
Motorola Comp. Emergency Response Team Motorola
Silicon Graphics Inc. Пользователи SGI
SUN Microsystems, Inc. Заказчики SUN
UNISYS Computer Emergency Response Team (UCERT) Пользователи Unisys
Sprint Sprint Net (X.25) и Sprint Link (TCP/IP)
Другие коммерческие команды реагирования, входящие в FIRST
ANS CO+RE Systems, Inc. Заказчики ANS
Bellcore Bellcore
Boeing CERT (BCERT) Boeing
EDS EDS и ее заказчики
General Electric Company Тринадцать предпринимателей GE
Goldman, Sachs and Company  
JP Morgan Сотрудники и консультанты JP Morgan
SAIC Security Emergency Response Center Коммерческие и правительственные заказчики
TRW Inc. Системные и сетевые администраторы TRW
Westinghouse Electric Corporation Westinghouse Electric Corporation

 

Цели FIRST:

• Обеспечение сотрудничества между участниками форума для эффективного предотвращения, обнаружения и восстановления информационных систем после компьютерных инцидентов;

• Обеспечение связи между участниками форума для аварийной и консультативной информации о потенциальных угрозах и атаках;

• Облегчение взаимодействия участников FIRST, проводящих исследования в области информационной безопасности;

• Облегчение распределения информации, инструментов и механизмов, обеспечивающих информационную безопасность.

FIRST - организатор ежегодного симпозиума Computer Security Incident Handling Workshop, на котором собираются все команды и группы реагирования на инциденты и на котором они обсуждают свои проблемы. На данном симпозиуме собираются не только участники FIRST, но и все желающие. 2-3 раза в год FIRST организует закрытые коллоквиумы только для своих участников.

Являясь координатором групп реагирования на инциденты, сам форум FIRST не публикует информации о уязвимостях и атаках на компьютерные системы.

NASIRC

Центр NASA Automated Systems Incident Response Capability (NASIRC) был создан американским аэрокосмическим агентством (NASA) для выполнения инструкции OMB A-130, закона Computer Security Act от 1987 года и других федеральных законов, нормативных документов и правил, имеющих отношение к защите информационных технологий.

Центр NASIRC (http://www-nasirc.nasa.gov) координирует, управляет и обеспечивает технической поддержкой по вопросам информационной безопасности, включая реагирование на атаки, все подразделения NASA. NASIRC решает следующие задачи:

• Анализ, координация деятельности и реагирование на широкий диапазон атак и угроз компьютерам и сетям. Исследование и выработка способов и рекомендаций, уменьшающих риск информационным системам.

• Анализ имеющихся на рынке средств защиты и распределение их среди подразделений NASA;

• Обучение служащих NASA. Выпуск брошюр и информационных бюллетеней, повышающих осведомленность пользователей в области защиты информации.

Аналогично многим другим командам реагирования на атаки, NASIRC входит в FIRST. NASIRC выполняет свои функции путем сотрудничества и координации внутренних подгрупп реагирования на инциденты, а также взаимодействуя с внешними организациями, типа FIRST.

COAST

Цель создания проекта и одноименной лаборатории Computer Operations Audit and Security Technology (COAST):

• исследовательская работа в области информационной безопасности;

• разработка защитных программных и аппаратных средств;

• обучение вопросам обеспечения информационной безопасности.

О создании COAST (www.cs.purdue.edu/coast/) был официально объявлено в 1992 году. Однако одноименная лаборатория существовала еще задолго до этого. В рамках научно-исследовательских работ, проведенных ее сотрудниками, было опубликовано большое число статей и книг, разработаны такие известные системы, как система анализа защищенности Unix-систем COPS; система контроля целостности файлов Tripwire; системы обнаружения атак IDIOT и AAFID и др.

Проект COAST поддерживается такими крупными компаниями и организациями, как Microsoft, Sun, CISCO, DARPA, AT&T, Internet Security Systems, NSA и многие другие.

FedCIRC, ASSIST и другие

FedCIRC (Federal Computer Incident Response Capability) - организация, основанная в конце 1996 г. при участии NIST, CERT и CIAC. Этот центр обеспечивает соответствующей информацией федеральные невоенные органы власти. Адрес FedCIRC: csrc.nist.gov/fedcirc/.

ASSIST (Automated Systems Security Incident Support Team) был создан для поддержания программы защиты информационных систем Министерства Обороны США (Defense Information Infrastructure, DII) - INFOSEC. Адрес ASSIST: http://199.211.123.12/.

SCC (Security Coordination Center) был создан в 1989 году Агентством коммуникаций Министерства Обороны США для координации и централизованного управления группами реагирования на инциденты. Однако своей цели не достиг и в настоящий момент является обычным центром по обеспечению информационной безопасности подразделений Министерства Обороны США.

Резюме

В таблице 2 указаны наиболее известные команды реагирования на компьютерные инциденты, публикующие информационные бюллетени, содержащие сведения об уязвимостях.

 

Таблица 2.

Название Адрес Комментарий
CERT http://www.cert.org/ Информационные бюллетени об уязвимостях, список рассылки, телеконференция USENET
Russia CERT http://www.cert.ru/ "Русский CERT"
CIAC ciac.llnl.gov Информационные бюллетени об уязвимостях, список рассылки
X-Force www.iss.net/xforce/ Информационные бюллетени об уязвимостях, список рассылки, интерактивная база данных уязвимостей
FIRST http://www.first.org/ Координация групп реагирования
NASIRC www-nasirc.nasa.gov Информационные бюллетени об уязвимостях
ASSIST http://www.assist.mil/ Информационные бюллетени об уязвимостях
FedCIRC fedcirc.llnl.gov Информационные бюллетени об уязвимостях
Novell service electronic incident support.novell.com/elecinc/elecinc.htm Информация об уязвимостях в продуктах компании Novell
Microsoft Knowledge Base support.microsoft.com Информационные бюллетени об уязвимостях в продуктах компании Microsoft
SUN [email protected] Список рассылки по вопросам безопасности продуктов компании SUN
HP's Electronic Support Center europe-support.external.hp.com Информационные бюллетени об уязвимостях в продуктах компании Hewlett Packard
BUGTRAQ [email protected] Список рассылки по уязвимостям в различных системах

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...