 |
Средства анализа защищенности операционной системы
|
|
|
|
Средства этого класса предназначены для проверки настроек операционной системы, влияющих на ее защищенность. К таким настройкам можно отнести учетные записи пользователей (account), например длина пароля и срок его действия, права пользователей на доступ к критичным системным файлам, уязвимые системные файлы, установленные patch'и и т.п. Системы анализа защищенности на уровне ОС могут быть использованы не только отделами защиты информации, но и управлениями автоматизации для контроля конфигурации операционных систем.
Данные системы в отличие от средств анализа защищенности сетевого уровня проводят сканирование не снаружи, а изнутри анализируемой системы, т.е. не имитируют атаки внешних злоумышленников. Кроме возможностей по обнаружению уязвимостей некоторые системы анализа защищенности на уровне ОС (например, System Scanner компании Internet Security Systems) позволяют автоматически устранять часть обнаруженных проблем или корректировать параметры системы, не удовлетворяющие политике безопасности, принятой в организации.
Как уже упоминалось, средств анализа защищенности операционной системы существует меньше, чем средств проверки сети. Одной из первых известных систем можно назвать COPS (Computerized Oracle and Password System), разработанной соавтором системы SATAN Д. Фармером совместно с Ю. Спаффордом из лаборатории COAST.
Также широко известны системы System Security Scanner и Security Policy Manager компании Internet Security Systems, Inc., Kane Security Analyst компании Intrusion Detection и ряд других.
В настоящий момент только система Internet Scanner компании Internet Security Systems удовлетворяет этому требованию. Документация должна содержать описание всех операций, выполняемых средством анализа защищенности, инструкции по инсталляции и настройке системы, а также описание возможных ошибок. Хорошо, если в документации содержится подробное описание всех обнаруживаемых уязвимостей и способов их устранения.
|
|
|
Обязательным требованием, которое предъявляется к приобретаемой системе, является отсутствие необходимости изменения сетевой инфраструктуры предприятия. Иначе затраты на такую реорганизацию могут превысить стоимость самой системы анализа защищенности.
Безопасность
Так как при неправильном применении средств анализа защищенности ими могут воспользоваться злоумышленники для проникновения в корпоративную сеть, то эти средства должны обладать механизмами разграничения доступа к своим компонентам и собранным данным. К числу таких механизмов можно отнести ограничение на запуск данных средств только пользователем с правами администратора, шифрование архивов данных сканирования, аутентификация соединения при удаленном управлении, установка специальных прав на каталоги с системой и т.п.
Обнаружение уязвимостей
Каких-то универсальных требований в данной группе нет. Все зависит от используемого программного и аппаратного обеспечения. Можно назвать следующие возможности, на которые необходимо обратить свое внимание:
- Возможность увеличения скорости сканирования за счет параллельной обработки нескольких устройств или сервисов.
- Возможность посылки уведомлений на каждый сканируемый узел сети для предотвращения несанкционированного использования системы.
- Возможность настройки на эксплуатационные требования вашей сети для минимизации ложных срабатываний.
Конфигурация
Некоторые сотрудники управлений автоматизации и отделов защиты информатизации считают, что, проведя сканирование своей сети при помощи средств анализа защищенности один раз, на этом можно остановиться. Однако это не так. Постоянное изменение состояния корпоративной сети изменяет и ее защищенность. Поэтому хорошая система должно иметь функцию работы по расписанию, чтобы, не дожидаясь пока администратор "вспомнит" о ней, самой проверить уязвимости узлов сети и не только оповестить администратора о возникших проблемах, но и порекомендовать способы устранения выявленных уязвимостей. Если же такая возможность не встроена в саму систему анализа защищенности, то необходимо поинтересоваться у поставщика, может ли предлагаемая система работать из командной строки. Такая возможность позволит воспользоваться встроенными в операционную систему сервисами, позволяющими запускать заданные программы по расписанию (например, служба расписания AT для ОС Windows NT или CRON для ОС UNIX).
|
|
|
Постоянное обнаружение новых уязвимостей требует, чтобы система анализа защищенности содержала возможность пополнения базы данных уязвимостей. Это может быть реализовано как при помощи специального языка описания уязвимостей (например, APX в системах компании ISS, CASL в системе CyberCop Scanner), так и при помощи периодического пополнения уязвимостей, обеспечиваемого производителем системы.
Для последующего анализа изменений уровня защищенности узлов корпоративной сети, предлагаемое средство должно позволять накапливать сведения о проведенных сеансах сканирования.
Управление данными
Одной из немаловажных характеристик, на которую стоит обращать внимание -наличие системы генерации отчетов. Каковы бы эффективными не были механизмы обнаружения уязвимостей, но без качественного и наглядного отчета такие средства вряд ли найдут применение в организации. Система генерации отчетов должна позволять создавать документы различной степени детализации и для различных категорий пользователей, - начиная от технических специалистов и заканчивая руководителями организации. Если первых интересует подробности и технические детали (описания сетевых сервисов, уязвимостей и методов их устранения), то вторым необходим наглядный, желательно с использованием графики, отчет, содержащий описание вероятного ущерба в случае эксплуатации злоумышленниками найденных уязвимостей. Обязательным условием при выборе средств анализа защищенности является наличие в отчетах рекомендаций по устранению найденных проблем. Форма представления данных в отчетах также имеет немаловажное значение. Документ, насыщенный текстовой информацией не принесет пользы. Использование же графики наоборот наглядно продемонстрирует руководству все проблемы с безопасностью в сети организации.
|
|
|
Желательно, чтобы доступ к базе данных мог быть осуществлен при помощи средств, разработанных другими производителями, например, при помощи протокола ODBC. Это позволит более эффективно интегрировать приобретаемую систему анализа защищенности в технологию обработки информации, принятую в вашей организации.
Техническая поддержка
Эффективность применения систем анализа защищенности будет достигнута только в том случае, если их производитель постоянно обеспечивает свои продукты соответствующей поддержкой, учитывающей последние изменения в области обеспечения информационной безопасности. Информация об уязвимостях должна постоянно пополняться. Поэтому, например, система SATAN не может быть рекомендована как надежное и эффективное средство, т.к. последние изменения в нее вносились около двух лет назад.
Резюме для руководителя
Хочется еще раз отметить, что информация об уязвимости в базе данных системы появится не раньше, чем найдется ей "противоядие". Это основной недостаток всех способов поиска уязвимостей, который приводит к тому, что злоумышленники могут воспользоваться имеющейся информацией до того, как появится способ устранения найденной уязвимости.
Итак, приведем характеристики, на которые следует обращать внимание при выборе и приобретении систем анализа защищенности:
- Поддержка используемого в организации программного и аппаратного обеспечения;
- Периодичность обновления базы данных уязвимостей;
- Возможность работы по расписанию;
- Возможность генерации отчетов различной степени детализации;
- Возможность разработки рекомендаций по устранению найденных проблем;
- Возможность разграничения доступа к файлам системы анализа защищенности.
К дополнительным характеристикам, которые могут повлиять на решение о приобретении системы, можно отнести:
|
|
|
- Возможность автоматической коррекции или устранения найденных уязвимостей;
- Возможность использования графических элементов в отчетах;
- Возможность получения демо-версии системы;
- Наличие документации на русском языке;
- Наличие и качество технической поддержки.
Мошенничество (Fraud)
Немного о мошенничестве
Согласно докладу Нильсона, сумма потерь в результате различного рода мошенничества составила в 1989 800 миллионов долларов. В 1992 году эта цифра возросла до 1,2 миллиардов, а в 1993 - до 1,78 миллиардов долларов США. И цифра эта постоянно растет. При этом для совершения мошенничества совершенно не надо быть семи пядей во лбу. Достаточно быть причастным к сфере совершения мошенничества, т.е. быть сотрудником банка, или, будучи лицом посторонним, немного разбираться в этой сфере. Название журнала "Банковские технологии" говорит само за себя, поэтому данная публикация коснется только мошенничества в сфере банковских услуг и финансовых операций. Хотя и в других сферах мошенничество приносит немало проблем. Например, мошенничество с телефонами в США по некоторым оценкам достигает цифры в 1,3 миллиона долларов ежедневно.
Финансовое мошенничество может совершаться различными способами. Например, персоналом банка или финансовой компании. По статистике, зарубежные банки ежегодно увольняют до одного процента своих служащих, которые, в свою очередь, могут использовать свой опыт и знания для совершения мошенничества. По другим данным, в зарубежном банке, в котором карточки и PIN (Personal Identification Number) распространяются не по почте, а через свои филиалы, фиксируется примерно два случая их кражи среди персонала ежедневно. Мошенничество может осуществляться и посторонними лицами, к которым, например, случайно или намеренно попала секретная информация о карте или ее держателе, например, PIN. Также возможно использование фальшивых банкоматов, которые собирают номера счетов клиентов и их PIN-коды, перехват PIN-кодов при передаче их от банкомата до банка, эксплуатация уязвимостей в банковском программном обеспечении и т.д. Число различных вариантов мошенничества достаточно велико, чтобы рассказывать о нем в одной статье, тем более что каким бы образом ни осуществлялась финансовая махинация, цель любого банка - обнаружить ее и предотвратить.
Необходимо заметить, что материал данной публикации основан на зарубежном опыте борьбы с мошенничеством. В России такого опыта пока мало. Все, на что способны оставшиеся после экономического кризиса 17 августа банки, это обмениваться информацией о неплатежеспособных клиентах между управлениями безопасности. По результатам посещения автором различных семинаров, посвященных проблемам безопасности в российских платежных системах, можно сделать вывод, что все банки полагаются только криптографические методы защиты. Однако, как показывает опыт, криптография - это не панацея от всех бед. Она имеет свои положительные и отрицательные стороны, свою область применения. И, если уж злоумышленник обошел криптографическую систему защиты, то необходимы механизмы и средства, позволяющие своевременно зафиксировать и остановить совершаемое несанкционированное действие.
|
|
|
|
|
|
