 |
Системы System Scanner и Security Manager
|
|
|
|
Главная задача систем анализа защищенности компании ISS - собрать как можно больше информации о компьютерах клиента. Иногда это лучше всего сделать дистанционно через всю сеть с помощью Internet Scanner, но в некоторых случаях это лучше всего реализовать с локального компьютера. Например, проверки "слабых" паролей пользователей для увеличения скорости работы рекомендуется проводить именно с локального компьютера. Аналогичным образом, с локального компьютера проще проверить установленные патчи и обновления операционной системы или приложений. Зачастую такие проверки просто невозможно реализовать дистанционно. Например, если удаленный доступ к системному реестру запрещен, то получить сведения об установленных Service Packs, patch и hotfix, не так-то просто.
Система Internet Scanner является превосходным инструментом для анализа уязвимостей ОС Windows и Unix. Но дополнительный взгляд на анализируемые системы, осуществляемый системой System Scanner (S2), делает уровень проведения анализа защищенности с помощью продуктов ISS гораздо более высоким, чем, возможно, могут предоставить другие продукты анализа защищенности. Производители, как правило, реализуют только анализ защищенности на уровне сети, пренебрегая локальным сканированием на уровне операционной системы, и совсем забывая об анализе защищенности приложений. Система System Scanner обнаруживает большое количество уязвимостей, которые не видны при дистанционном сканировании через сеть, но представляют большую опасность для Unix- и Windows-систем. Примеры этих уязвимостей включают переполнение буфера ("buffer overflow") - уязвимости, которые локальные пользователи (включая пользователей с учетной записью "Guest") могут использовать для получения привилегированного (root) доступа.
|
|
|
Неправильная работа пользователя - один из наиболее важных путей нарушения работоспособности информационных систем. Сканирование с помощью продукта System Scanner дает гораздо более детальный анализ деятельности пользователя, чем сканирование с помощью систем дистанционного анализа защищенности на уровне сети. С его помощью можно проводить анализ файлов.rhost, использовать словарь часто используемых паролей, обнаруживать деятельность программ типа "анализатор протокола" ("sniffer") и т.д. Например, при помощи систем компании ISS мы в своей сети смогли быстро идентифицировать пользователей, которые использовали пароли менее 6 символов (с демонстрацией этих паролей) и пароли, совпадающие с именем пользователя.
Немаловажный вопрос для любого системного администратора - какие из патчей, имеющих отношение к защите не установлены? Компания ISS благодаря встроенным возможностям системы S2 использует встроенные возможности операционной системы для того, чтобы обнаруживать, какие патчи уже установлены, и какие патчи из свыше имеющихся 660, предоставляемых поставщиками программного и аппаратного обеспечения, по-прежнему необходимы.
В конце 1998 года компания ISS приобрела компанию March Information Systems, находящуюся в Великобритании. Одной из систем, которые предлагала компания March, а теперь предлагает компания ISS, является система Security Manager. Эта система во многом аналогична системе System Scanner и проводит анализ защищенности на уровне операционной системы. Однако в отличие от S2 система Security Manager поддерживает большее число платформ и операционных систем (в т.ч. SCO OpenServer и UnixWare, Netware и т.д.) и обладает возможностью добавления своих собственных проверок. В конце третьего квартала текущего года компания ISS планирует интегрировать системы System Scanner и Security Manager в единую систему анализа защищенности на уровне операционной системы.
|
|
|
Система Database Scanner
Система Database Scanner, входящая в семейство SAFEsuite, завершает линию продуктов компании ISS, предназначенных для анализа защищенности. Система Database Scanner обнаруживает различные проблемы, связанные с безопасностью баз данных в трех основных областях: аутентификация, авторизация и целостность. Дополнительно анализируемая системf управления базами данных (СУБД) проверяется на соответствие требованиям перехода к 2000 году. Встроенная база знаний (Knowledge Base), доступная непосредственно из создаваемых отчетов, рекомендует корректирующие действия, которые позволяют устранить обнаруженные уязвимости.
Система Database Scanner может быть использована для СУБД Microsoft SQL Server и Sybase Adaptive Server. Поддержка других СУБД (Oracle, Informix и т.д.) планируется обеспечить в конце второго квартала 1999 года. На сегодняшний день система Database Scanner является единственной самостоятельной системой, которая предназначена для анализа защищенности баз данных.
В целом, все системы анализа защищенности компании ISS схожи друг с другом, поскольку используют схожие методы работы и интерфейс. Поэтому приведенное выше подробное описание системы Internet Scanner применимо и к другим системам (System Scanner, Security Manager, Database Scanner). Все их различие заключается в уязвимостях, обнаруживаемых ими. Общее число уязвимостей, обнаруживаемых всеми четырьмя системами анализа защищенности, превышает 1600.
Система RealSecure
Как уже отмечалось выше, наряду с анализом защищенности процесс обеспечения адаптивной безопасности включает и обнаружение атак. В семейство SAFEsuite входит система RealSecure, которая позволяет в реальном режиме времени обнаруживать враждебную деятельность на хостах, распознавать атаки на Вашу корпоративную сеть и реагировать на них соответствующим образом. При этом, данная система может использоваться как для защиты внешнего доступа (например, из Internet), так и для защиты во внутренней сети. Ведь по статистике до 75% всех инцидентов происходит по вине сотрудников организации. Система RealSecure походит как нельзя лучше для защиты в этом случае.
На сегодняшний день это единственная система, которая функционирует и на уровне сети (network-based) и на уровне хоста (host-based). Другие производители, как правило, выпускают системы, обнаруживающие только сетевые атаки. В случае работы на уровне сети системы RealSecure анализирует весь сетевой трафик, а в случае работы на уровне хоста - журналы регистрации операционной системы (EventLog и syslog). Система RealSecure использует распределенную архитектуру и содержит два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем "прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.
|
|
|
Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module). В последнем случае консоль RealSecure Manager устанавливать не требуется. Для облегчения работы в распределенной сети, в которой ответственность за управление сетью возложена на несколько подразделений, возможно установка нескольких консолей, одновременно управляющих всеми модулями обнаружения атак.
Возможности реагирования на атаки является определяющими для любой системы обнаружения атак. В системе RealSecure такие варианты можно разделить на три типа: уведомление (notification), запоминание (storage) и активное реагирование (active response).
Уведомления можно посылать на одну или несколько консолей управления (RealSecure Manager), по электронной почте или, в случае подключения системы AlarmPoint, еще и по факсу, телефону и пейджеру. Предусмотрена генерация управляющих SNMP-последовательностей для показа информации о контролируемых событиях в системах сетевого управления (например, HP OpenView, CA Unicenter, Tivoli) [5].
Все данные о событиях сохраняются в стандартном (дата и тип события, адрес атакующего и атакуемого, дополнительные сведения) и расширенном формате. В последнем случае система RealSecure сохраняет содержание всего трафика. При этом возможно воспроизведение всех действий нарушителя с заданной скоростью для последующего анализа и "разбора полетов". Во многих случаях эта возможность помогает разобраться в том, каким образом злоумышленник проник в корпоративную сеть и что можно противопоставить ему в дальнейшем.
|
|
|
В случае осуществления атаки, которая может привести к выведению из строя узлов Вашей корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом, блокировка учетной записи нарушителя (если он является сотрудников организации) или реконфигурация межсетевых экранов и маршрутизаторов таким образом, чтобы в дальнейшем соединения с атакующим узлом были запрещены. В настоящий момент поддерживаются межсетевые экраны CheckPoint Firewall-1 и Lucent Managed Firewall, а также маршрутизаторы и коммутаторы компаний Cisco, Nortel и ODS Networks. Если названных вариантов реагирования недостаточно, то администратор может создать свои собственные сценарии обработки контролируемых событий.
Системы RealSecure не снижает производительности сети не только в случае работы с Ethernet, Token Ring и FDDI, но и при работе с высокоскоростными магистралями типа Fast Ethernet. При этом описываемая система может использоваться в т.ч. и в коммутируемых сетях.
Дополнительной возможностью, которая говорит в пользу системы RealSecure, является наличие всеобъемлющей базы данных по всем 700 контролируемым событиям (рис.3.).
Рис.3. Система RealSecure обеспечивает подробное описание каждой из обнаруживаемых атак
|
|
|
