 |
Семейство средств адаптивного управления безопасностью SAFEsuite
|
|
|
|
В данном материале описывается семейство программных продуктов SAFEsuite компании Internet Security Systems, Inc., реализующих новое направление в области обеспечения безопасности информации - адаптивная безопасность. Средства, реализующие данную технологию, позволяют контролировать, обнаруживать и реагировать в реальном масштабе времени на постоянно изменяющиеся условия информационной инфраструктуры любого предприятия. Добавление новых пользователей, обновление программного обеспечения, изменение настроек аппаратных средств - все это существенно влияет на защищенность организации. Контроль этих изменений при помощи средств, входящих в семейство SAFEsuite, и настройка существующих средств и механизмов защиты в соответствие с текущим состоянием сети позволяет своевременно обнаруживать и устранять постоянно появляющиеся уязвимости и атаки, тем самым поддерживая необходимый уровень защищенности предприятия.
Современные сетевые технологии уже не могут обойтись без механизмов защиты. Необходимость в их присутствии в сетевых операционных системах и телекоммуникационном оборудовании (маршрутизаторах, коммутаторах и т.д.) уже ни у кого не вызывает сомнения. Однако при детальном анализе реализованных защитных механизмов можно придти к двум основным вопросам. Первый - "Насколько эффективно реализованы и настроены имеющиеся механизмы?". Это очень серьезная проблема. Не так давно прошла информация о наличии уязвимости в Cisco Catalyst 5000. Аналогичная информация об уязвимостях в других аппаратных и программных средствах постоянно публикуется в различных списках рассылки по вопросам безопасности, например, Bugtraq. Поэтому в составе сетевых средств защиты необходимо иметь системы, позволяющие проводить автоматизированный поиск уязвимостей во всем спектре программного и аппаратного обеспечения, используемого в организации [1]. Второй вопрос - "Противостоит ли имеющая инфраструктура атакам и может ли администратор безопасности своевременно узнать о начале атаки?" Казалось бы этот вопрос не вызывает сомнений, если в сети установлен межсетевой экран (firewall). Однако это распространенное заблуждение в 100%-ой гарантии безопасности сети в случае использования межсетевого экрана может обернуться серьезными последствиями. Например, межсетевой экран не сможет защитить от пользователей, прошедших аутентификацию на межсетевом экране. А кража идентификатора и пароля авторизованного пользователя достаточно легко реализуется квалифицированным пользователем. Кроме того, межсетевой экран не только не защищает, но и не может обнаружить факты проникновения в защищаемую сеть, осуществляемые через модем или иные точки доступа к сети [2].
|
|
|
На эти, а также на множество других вопросов сможет ответить модель адаптивного управления безопасностью сети (Adaptive Network Security, ANS), которая позволяет контролировать, обнаруживать и реагировать в реальном режиме времени на постоянно изменяющиеся риски безопасности, используя правильно спроектированные и хорошо управляемые процессы и средства защиты.
В июне 1998 года компания Yankee Group опубликовала отчет, в котором адаптивная безопасность сети описывается как процесс, содержащий:
- технологию анализа защищенности (security assessment) или поиска уязвимостей (vulnerabilities assessment);
- технологию обнаружения атак (intrusion detection);
- адаптивный компонент, который включает в себя и расширяет две первые технологии;
- управляющий компонент.
Описание каждого из этих элементов приведено ниже:
Анализ защищенности - это поиск уязвимых мест в сети. Сеть состоит из соединений, узлов, хостов, рабочих станций, приложений и баз данных. Все они нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных уязвимостей в них [3]. Технологии анализа защищенности исследуют сеть и ищут "слабые" места в ней, обобщают эти сведения и печатают по ним отчет. Если система, реализующая эту технологию, содержит и адаптивный компонент, то вместо "ручного" устранения найденной уязвимости оно будет осуществляться автоматически. Перечислим некоторые из проблем, идентифицируемых технологией анализа защищенности:
- "люки" в системах (back door) и программы типа "троянский конь";
- слабые пароли;
- восприимчивость к проникновению из незащищенных систем и атакам типа "отказ в обслуживании";
- отсутствие необходимых обновлений (patch, hotfix) операционных систем;
- неправильная настройка межсетевых экранов, Web-серверов и баз данных;
- и многие другие.
|
|
|
Технологии анализа защищенности являются действенным методом, позволяющим реализовать политику сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.
Обнаружение атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и приложения, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в т.ч. и использующие известные уязвимости.
Адаптивный компонент ANS отвечает за модификацию процесса анализа защищенности, предоставляя ему самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией об атаках. Пример адаптивного компонента - механизм обновления баз данных антивирусных программ для обнаружения новых вирусов.
Управляющий компонент должен быть способен к генерации отчетов и анализу тенденций, связанных с усилиями формирования системы защиты организации.
Очевидно, что одна система не может эффективно реализовать все описанные технологии. Поэтому для реализации концепции адаптивной безопасности необходимо использовать совокупность систем, объединенных единым замыслом. Ярким примером таких систем является семейство SAFEsuite, разработанное американской компанией Internet Security Systems, Inc. [4]. Это первое, и на сегодняшний день единственное, семейство, которое включает в себя все компоненты модели адаптивного управления безопасностью сети.
|
|
|
Первоначально данное семейство состояло всего из трех систем:
- системы анализа защищенности на уровне сети Internet Scanner;
- системы анализа защищенности на уровне хоста System Scanner;
- системы обнаружения атак на уровне сети RealSecure Network Engine.
В процессе развития данное семейство пополнилось еще несколькими системами:
- системы анализа защищенности на уровне баз данных Database Scanner;
- системы обнаружения атак на уровне хоста RealSecure System Agent.
В настоящий момент семейство SAFEsuite стало базой для создания нового семейства продуктов - SAFEsuite Enterprise. Первой системой, которая является одной из составляющих нового семейства, можно назвать систему поддержки принятия решения в области безопасности SAFEsuite Decisions. Но обо всем по порядку.
Система Internet Scanner
Система анализа защищенности Internet Scanner предназначена для проведения регулярных, всесторонних или выборочных тестов сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п. На основе проведенных тестов система Internet Scanner вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах корпоративной сети и рекомендации по их коррекции или устранению. 2 сентября 1998 года система была сертифицирована в Гостехкомиссии России (сертификат © 195). На сегодняшний день это единственная система анализа защищенности, прошедшая сертификацию в государственных органах сертификации средств защиты информации. Достоинства системы Internet Scanner были по праву оценены более чем 3000 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система Internet Scanner имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности.
|
|
|
Система Internet Scanner может быть использована для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP. Это могут быть как компьютеры, подключенные к локальной или глобальной сети (Internet), так и автономные компьютеры с установленной поддержкой TCP/IP.
Система Internet Scanner состоит из трех основных подсистем, предназначенных для тестирования рабочих станций, серверов, X-терминалов и т.д. (подсистема Intranet Scanner), межсетевых экранов и коммуникационного оборудования (подсистема Firewall Scanner) и Web-, FTP-, SMTP- и т.п. серверов (Web Security Scanner). Подсистема Firewall Scanner используется Гостехкомиссией России при сертификации межсетевых экранов по требованиям безопасности информации.
В данной статье мне не хотелось бы подробно описывать все возможности системы Internet Scanner. Этому посвящено немало статей в российской прессе (полный их список можно посмотреть на сервере www.infosec.ru). Остановлюсь на некоторых специфичных моментах, которые пока не освещены в публикациях на русском языке.
Однако для начала позволю себе вкратце перечислить ключевые возможности Internet Scanner:
- большое число проводимых проверок (в текущей версии это число превышает 600);
- задание своих собственных проверок;- задание степени глубины сканирования;
- тестирование межсетевых экранов и Web-серверов;
- централизованное управление процессом сканирования;
- параллельное сканирование до 128 сетевых устройств и систем;
- запуск процесса сканирования по расписанию;
- возможность работы из командной строки;
- мощная система генерации отчетов;
- использование протокола ODBC;
- различные уровни детализации отчетов;
- различные форматы отчетов;
- функционирование под управлением многих операционных систем;
- мощная система подсказки;
- простота использования и интуитивно понятный графический интерфейс;
- невысокие системные требования к программному и аппаратному обеспечению.
В версии 5.6. появилась возможность "обучения" системы Internet Scanner при помощи технологии SmartScan, которая была разработана экспертами компании ISS, и которая действует в режиме, напоминающем деятельность настоящего хакера. Она позволяет проводить изучение сети, запоминать и автоматически использовать информацию, собранную в течение различных сеансов сканирования сети, для дальнейшего более глубокого проникновения в полную картину уязвимостей организации. Технология SmartScan использует накопленную информацию таким образом, чтобы автоматически применить ее для расширения возможностей сканирования, что в результате приводит к значительному повышению эффективности анализа защищенности.
|
|
|
Для ускорения процесса сканирования система Internet Scanner позволяет проводить одновременное сканирование до 128 сетевых устройств. Для настройки на специфичное для каждой организации сетевое окружение система Internet Scanner позволяет создавать на основе уже имеющихся, свои собственные шаблоны, согласно которым проводится поиск тех или иных уязвимостей. Все 600 уязвимостей, обнаруживаемые Internet Scanner, разделены на 26 категорий, облегчающих работу по созданию своего шаблона. Не останавливаясь подробно на описании обнаруживаемых уязвимостей, хочу отметить такую уникальную проверку, как определение работающих в сети модемов. С помощью этой проверки, некоторые из пользователей системы Internet Scanner смогли предотвратить несанкционированный доступ к корпоративную сеть через модем в обход межсетевого экрана.
Механизм генерации отчетов, имеющийся в Internet Scanner, уникален. Во-первых, система поставляется с 30-тью готовыми формами для генерации различных отчетов. Во-вторых, эти отчеты позволяют быстро переходить от обобщенных данных, содержащих информацию об уровне защищенности организации (рис.1.), к подробным отчетам с детальной технической информацией о том где и какая уязвимость обнаружена. Кроме того, данные отчеты содержат подробные инструкции по устранению найденных проблем. К таким инструкциям можно отнести пошаговые рекомендации по изменению системного реестра Windows, строки, которые надо внести в конфигурационные файлы Unix. В случае наличия у производителя обновления или патча, устраняющего соответствующую уязвимость, в отчете содержится гиперссылка на заданный FTP- или Web-сервер, на который можно перейти не запуская броузера. Если все же имеющихся 30 отчетов недостаточно, то администратор может создать и подключить к Internet Scanner свои собственные отчеты, учитывающие специфику своей организации (например, требования к оформлению документов).
Теперь отчеты могут быть выведены не только на английском языке, но и на немецком, французском, испанском, португальском и, что примечательно, русском
Рис.1. Итоговый отчет по уровню защищенности сети для руководства организации
Русификация системы Internet Scanner была проведена специалистами НИП "Информзащита", являющегося единственным представителем компании ISS в России и странах СНГ. Кроме отчетов, была также русифицирована система подсказки (рис.2.). Теперь информацию обо всех обнаруживаемых уязвимостях администраторы могут получать на русском языке, что является подспорьем для специалистов, не очень хорошо разбирающихся в английской терминологии в области защиты информации.
Рис.2. Подсистема подсказки Internet Scanner
В версии Internet Scanner 5.8 наконец-то появилась возможность добавления своих собственных проверок (механизм Flex Check). Даже, несмотря на то, что эта возможность используется очень редко, в некоторых случаях она может помочь администраторам своевременно реализовать проверку уязвимости, описанной, например, в Bugtraq, или обнаруженной в процессе работы.
Кроме того, совместно с системой Internet Scanner бесплатно поставляется система моделирования атак Advanced Packet eXchange, при помощи которой администратор может создавать различные допустимые и запрещенные IP-пакеты, которыми он может проверить функционирование и эффективность защитных механизмов маршрутизаторов, межсетевых экранов, Web-серверов и других системного и прикладного программного обеспечения.
|
|
|
