 |
Response Team - что это такое?
|
|
|
|
Как уже было сказано выше, самый простой метод анализа защищенности - это ознакомление с информационными бюллетенями, описывающими обнаруживаемые уязвимости и методы их устранения. Такого рода бюллетени ведутся т.н. командами реагирования (Response Team) на инциденты безопасности. Наиболее известными из них являются координационный центр Computer Emergency Response Team (CERT/CC), Computer Incident Advisory Capability (CIAC) и Forum of Incident Response and Security Teams (FIRST).
Данные группы собирают статистику о компьютерных нападениях и уязвимостях в программном и аппаратном обеспечении, находят эффективные способы противодействия им и публикуют эту информацию для всех заинтересованных лиц.
Все группы реагирования и производители средств обнаружения нарушения политики безопасности контактирует с производителями программного и аппаратного обеспечения для разработки эффективных способов противодействия атакам. Однако информация об уязвимости публикуется не раньше, чем найдется ей "противоядие". Это основной недостаток всех способов поиска уязвимостей, который приводит к тому, что злоумышленники могут воспользоваться имеющейся информацией до того, как появится способ устранения найденной уязвимости.
В России до недавнего времени отсутствовали организации, которые бы занимались такими исследованиями и публиковали информацию об обнаруженных уязвимостях для открытого доступа всех заинтересованных лиц. 15 сентября 1998 года РосНИИРОС объявил о начале действия проекта "CERT Russia", в рамках которого создан WWW-сервер, публикующий информацию об уязвимостях для российских специалистов. И хотя информации на этом сервере (http://www.cert.ru/) очень мало, я надеюсь, что проект будет развиваться и получит поддержку и признание отечественных организаций, работающих на рынке информационной безопасности. Работы по созданию базы данных уязвимостей также было рекомендовано начать на конференции Ассоциации документальной электросвязи (АДЭ), проходившей 9-10 декабря 1998 года в Москве.
|
|
|
Анализ информации, публикуемой зарубежными командами реагирования, показывает, что основное внимание уделяется исследованиям систем на платформе UNIX и Windows NT. Такая распространенная в России сетевая операционная система как Novell Netware, практически не рассматривается. Поэтому сотрудники отделов информационной безопасности и управлений автоматизации сталкиваются с трудностями при поиске такой информации. Единственное, что можно посоветовать для решения этой проблемы - чаще посещать Web-сервер технической поддержки компании Novell, расположенный по адресу: support.novell.com. Кроме того, недавно, компанией была создана, так называемая служба электронных инцидентов (electronic incident), содержащая информацию обо всех инцидентах, связанных с безопасностью в продуктах компании Novell. Эта служба расположена по адресу: support.novell.com/elecinc/elecinc.htm. С путями решения вопросов безопасности, связанными с продуктами компании Microsoft, можно ознакомиться на Web-сервере технической поддержки по адресу: support.microsoft.com.
Ниже приводится информация о наиболее известных компьютерных центрах, занимающихся вопросами информационной безопасности и, в частности, анализом защищенности информационных систем и поиском способов устранения найденных уязвимостей.
CERT
Координационный центр CERT/CC находится в Питсбурге (шт. Пенсильвания, США) при Университете разработки программного обеспечения Карнеги-Мэллона (Carnegie Mellon University's Software Engineering Institute, SEI). SEI, спонсируемый Министерством Обороны США, занимается улучшением методов разработки программного обеспечения. Координационный центр CERT/CC является частью программы, которая разрабатывается в SEI - Networked Systems Survivability (NSS). Основная цель данной программы гарантировать построение соответствующей технологии и методов управления системой, чтобы максимально эффективно противодействовать атакам, минимизировать ущерб и обеспечить непрерывность работы системы, даже в случае успешного осуществления атаки.
|
|
|
После известного случая с "червем Морриса", происшедшим в ноябре 1988 года и выведшим из строя почти 10% всех компьютеров сети Internet, Управление перспективных исследований Министерства Обороны США (Defense Advanced Research Projects Agency, DARPA), выделило деньги на создание центра, координирующего действия экспертов в области безопасности и позволяющего не только вовремя реагировать на возникающие атаки, но и предотвращать их в будущем.
Координационный центр CERT/CC предназначен для решения следующих задач:
• обеспечить постоянную и надежную связь для реагирования на сообщения об атаках;
• обеспечить взаимодействие между экспертами, работающими в области обеспечения информационной безопасности;
• служить центром для идентификации и коррекции уязвимостей в компьютерных системах;
• проводить научные исследования для повышения уровня безопасности существующих систем.
Начиная с момента своего основания, CERT/CC обработал больше 12000 сообщений о компьютерных инцидентах и атаках.
Однако очевидно, что одной организации практически не под силу объединить всех экспертов по безопасности и отвечать на сообщения со всех концов света. Поэтому CERT/CC предложил создать несколько отдельных групп, которые бы обеспечивали соответствующей информации свои категории пользователей. Так был создан CIAC, FIRST и другие группы реагирования на атаки.
Для периодического ознакомления с обнаруженными в исследовательских лабораториях CERT/CC уязвимостями программного и аппаратного обеспечения на WWW-сервере (http://www.cert.org/), FTP-сервере (ftp.cert.org/pub/cert_advisories), в телеконференции USENET (comp.security.announce) и через список рассылки, публикуются т.н. Advisories - описания уязвимостей и способов их устранения. Информация, полученная от фирм-производителей, о проблемах безопасности и их решении публикуется в специальных информационных бюллетенях от поставщиков (Vendor-Initiated Bulletins), распространяемых по тем же каналам, что и Advisories.
|
|
|
В настоящий момент CERT/CC - это самая крупная и известная группа, которая имеет более 40 своих представительств во многих странах мира (в т.ч. и в странах бывшего СССР).
Для подписки на список рассылки CERT Advisories и CERT Vendor-Initiated Bulletins необходимо послать сообщение на адрес: majordomo@cert.org. В теле сообщения требуется указать следующие строки:
subscribe cert-advisory <ваш адрес электронной почты>
subscribe cert-bulletin <ваш адрес электронной почты>
X-Force
В 1994 году один из организаторов CERT/CC - Кристофер Клаус основал компанию Internet Security Systems, Inc., которая является лидером в области разработки средств анализа защищенности и обнаружения атак. В компании ISS существует научно-исследовательская группа X-Force, объединяющая экспертов в области обеспечения информационной безопасности. Эта группа не только постоянно отслеживает все публикуемые другими группами реагирования сообщения об обнаруженных уязвимостях, но и сама проводит тестирование программных и аппаратных средств. Результаты этих исследований помещаются в базу данных уязвимостей и угроз (ISS X-Force Threat and Vulnerability Database).
База данных X-Force, находящаяся по адресу: www.iss.net/xforce/, является одной из лучших базой уязвимостей. Доступ к ней может осуществляться как путем подписки на свободно распространяемый список рассылки X-Force Alert, так и путем интерактивного поиска в базе данных на Web-сервере компании ISS. Поиск уязвимостей в базе данных может быть осуществлен по нескольким параметрам:
• по операционной системе, подверженной уязвимости;
• по имени уязвимости;
• по дате обнаружения;
• по степени риска (высокая, средняя, низкая).
Также существует возможность вывода всех уязвимостей за последний, предпоследний или все предыдущие месяцы.
Все обнаруженные уязвимости сразу же заносятся в базу данных уязвимостей системы анализа защищенности сетевых сервисов и протоколов Internet Scanner, системы обнаружения атак RealSecure, систем анализа защищенности операционных систем System Security Scanner и Security Manager и системы анализа защищенности баз данных Database Scanner.
|
|
|
Для подписки на список рассылки X-Force Alert необходимо послать по E-mail сообщение на адрес: majordomo@iss.net. В теле сообщения требуется указать следующую строку:
subscribe alert <ваш адрес электронной почты>
CIAC
Центр CIAC (Computer Incident Advisory Capability) был организован при Министерстве Энергетики США в 1989 г. Основной целью CIAC является обеспечение компьютерной безопасности служащих и подрядчиков Министерства Энергетики. CIAC выполняет множество функций, включая:
• обработку сообщений об инцидентах;
• обеспечение компьютерной безопасности служащих и подрядчиков Министерства Энергетики;
• проведение симпозиумов по вопросам информационной безопасности;
• консультации по вопросам защиты информации.
Группа CIAC входит в состав Центра безопасных компьютерных технологий (Computer Security Technology Center, CSTC) и расположена в Lawrence Livermore National Laboratory. Центр CIAC является одним из участников форума FIRST.
Для периодического ознакомления сообщества Internet с "дырами" CIAC аналогично координационному центру CERT/CC публикует информационные бюллетени (Advisories) на своем WWW-сервере (llnl.ciac.gov) и через список рассылки.
Для подписки на список рассылки CIAC Advisories необходимо послать сообщение на адрес: majordomo@llnl.ciac.gov. В теле сообщения требуется указать следующую строку:
subscribe ciac-advisories <ваш адрес электронной почты>
FIRST
После создания CERT/CC, CIAC и других групп, каждой со своим финансированием, своими целями и требованиями, стало ясно, что без единого, координирующего центра не обойтись. При взаимодействии между группами, зачастую находящимися в разных часовых поясах, возникали языковые и иные проблемы. Поэтому в 1990 году при содействии 11 участников (CERT, CIAC и т.д.) был создан FIRST (Forum of Incident Response and Security Teams) - международный форум, объединяющий практически все группы реагирования на инциденты. К середине 1997 года состав FIRST (http://www.first.org/) уже насчитывал более 60 команд и групп реагирования на инциденты из различных стран мира (см. таблицу 1).
Таблица 1. Команды реагирования, входящие в FIRST
| Название команды реагирования: | Пользователи: |
| Команды реагирования, входящие в FIRST | |
| AUSCERT (Australian Computer Emergency Response. Team) | Австралия |
| CARNet-CERT | Организации, подключенные к сети CARNet |
| CERT | Пользователи Internet |
| CERT-IT, Computer Emergency Response Team Italiano | Италия |
| CERT-NL | Организации, подключенные к сети SURFnet |
| DFN CERT | Германия |
| Israeli Academic Network | Пользователи университета Израэли |
| MxCERT (Mexican CERT) | Мексика (домен.mx) |
| JANET-CERT | Все организации Великобритании, подключенные к сети JANET |
| NORDUnet | NORDUnet |
| SWITCH-CERT | Организации, подключенные к сети SWITCH |
| Правительственные учреждения США, входящие в FIRST | |
| CIAC | Министерство Энергетики США, его партнеры, плюс организации, подключенные к Energy Science Network (Esnet) |
| Goddard Space Flight Center | Центр космических полетов Годдарда |
| NASA (Ames Research Center) | Аэрокосмическое агентство США |
| NASA Automated Systems Incident Response Capability (NASIRC) | Аэрокосмическое агентство США и аэрокосмические агентства других стран |
| NCSA-IRST (National Center for Supercomputing Applications IRST) | Сообщество супервычислений |
| U. S. National Institutes of Health | Служащие национального института здравоохранения |
| NIST/CSRC | NIST и гражданские агентства США |
| U.S. Social Security Administration | Министерство социального страхования США |
| Small Business Administration (SBACERT) | Сообщество малого бизнеса |
| Veteran's Health Administration Forum of Incident Response Security Team | Сообщество ветеранов здравоохранения |
| Военные организации США, входящие в FIRST | |
| AFCERT (Air Force CERT) | Военно-воздушные силы |
| ASSIST | Министерство обороны (команда реагирования ASSIST) |
| Defense Information Systems Agency | Агентство DISA |
| NAVCIRT (Naval Computer Incident Response Team) | Команда реагирования NAVAL |
| Образовательные учреждения США, входящие в FIRST | |
| Northwestern University | Северо-западный университет |
| Ohio State University Incident Response Team(OSU-IRT) | Команда реагирования университета штата Огайо |
| Pennsylvania State University | Университет штата Пенсильвания |
| Purdue Computer Emergency Response Team (PCERT) | Команда реагирования университета Purdue |
| Stanford University Network Security Team | Команда сетевой безопасности Стэнфордского университета |
| Зарубежные правительственные организации, входящие в FIRST | |
| BSI/GISA | Германские правительственные учреждения |
| CCTA | Правительственные учреждения и агентства Великобритании |
| Defense Research Agency, Malvern | Агентство оборонных исследований |
| Renater | Министерство исследований и образования Франции |
| Поставщики и производители компьютеров и устройство связи, входящие в FIRST | |
| Apple Computer | Apple Computer |
| Cisco Systems | Сотрудники и партнеры Cisco Systems |
| Digital Equipment Corporation (SSRT) | Заказчики DEC |
| FreeBSD, Inc. | Пользователи FreeBSD и других UNIX-систем |
| Hewlett-Packard Company | Заказчики HP-UX и MPE |
| IBM-ERS | Заказчики IBM |
| MCI | Сотрудники и партнеры MCI |
| Micro-BIT Virus Center | Любой звонящий |
| Motorola Comp. Emergency Response Team | Motorola |
| Silicon Graphics Inc. | Пользователи SGI |
| SUN Microsystems, Inc. | Заказчики SUN |
| UNISYS Computer Emergency Response Team (UCERT) | Пользователи Unisys |
| Sprint | Sprint Net (X.25) и Sprint Link (TCP/IP) |
| Другие коммерческие команды реагирования, входящие в FIRST | |
| ANS CO+RE Systems, Inc. | Заказчики ANS |
| Bellcore | Bellcore |
| Boeing CERT (BCERT) | Boeing |
| EDS | EDS и ее заказчики |
| General Electric Company | Тринадцать предпринимателей GE |
| Goldman, Sachs and Company | |
| JP Morgan | Сотрудники и консультанты JP Morgan |
| SAIC Security Emergency Response Center | Коммерческие и правительственные заказчики |
| TRW Inc. | Системные и сетевые администраторы TRW |
| Westinghouse Electric Corporation | Westinghouse Electric Corporation |
|
|
|
Цели FIRST:
• Обеспечение сотрудничества между участниками форума для эффективного предотвращения, обнаружения и восстановления информационных систем после компьютерных инцидентов;
• Обеспечение связи между участниками форума для аварийной и консультативной информации о потенциальных угрозах и атаках;
• Облегчение взаимодействия участников FIRST, проводящих исследования в области информационной безопасности;
• Облегчение распределения информации, инструментов и механизмов, обеспечивающих информационную безопасность.
FIRST - организатор ежегодного симпозиума Computer Security Incident Handling Workshop, на котором собираются все команды и группы реагирования на инциденты и на котором они обсуждают свои проблемы. На данном симпозиуме собираются не только участники FIRST, но и все желающие. 2-3 раза в год FIRST организует закрытые коллоквиумы только для своих участников.
Являясь координатором групп реагирования на инциденты, сам форум FIRST не публикует информации о уязвимостях и атаках на компьютерные системы.
NASIRC
Центр NASA Automated Systems Incident Response Capability (NASIRC) был создан американским аэрокосмическим агентством (NASA) для выполнения инструкции OMB A-130, закона Computer Security Act от 1987 года и других федеральных законов, нормативных документов и правил, имеющих отношение к защите информационных технологий.
Центр NASIRC (http://www-nasirc.nasa.gov) координирует, управляет и обеспечивает технической поддержкой по вопросам информационной безопасности, включая реагирование на атаки, все подразделения NASA. NASIRC решает следующие задачи:
• Анализ, координация деятельности и реагирование на широкий диапазон атак и угроз компьютерам и сетям. Исследование и выработка способов и рекомендаций, уменьшающих риск информационным системам.
• Анализ имеющихся на рынке средств защиты и распределение их среди подразделений NASA;
• Обучение служащих NASA. Выпуск брошюр и информационных бюллетеней, повышающих осведомленность пользователей в области защиты информации.
Аналогично многим другим командам реагирования на атаки, NASIRC входит в FIRST. NASIRC выполняет свои функции путем сотрудничества и координации внутренних подгрупп реагирования на инциденты, а также взаимодействуя с внешними организациями, типа FIRST.
COAST
Цель создания проекта и одноименной лаборатории Computer Operations Audit and Security Technology (COAST):
• исследовательская работа в области информационной безопасности;
• разработка защитных программных и аппаратных средств;
• обучение вопросам обеспечения информационной безопасности.
О создании COAST (www.cs.purdue.edu/coast/) был официально объявлено в 1992 году. Однако одноименная лаборатория существовала еще задолго до этого. В рамках научно-исследовательских работ, проведенных ее сотрудниками, было опубликовано большое число статей и книг, разработаны такие известные системы, как система анализа защищенности Unix-систем COPS; система контроля целостности файлов Tripwire; системы обнаружения атак IDIOT и AAFID и др.
Проект COAST поддерживается такими крупными компаниями и организациями, как Microsoft, Sun, CISCO, DARPA, AT&T, Internet Security Systems, NSA и многие другие.
FedCIRC, ASSIST и другие
FedCIRC (Federal Computer Incident Response Capability) - организация, основанная в конце 1996 г. при участии NIST, CERT и CIAC. Этот центр обеспечивает соответствующей информацией федеральные невоенные органы власти. Адрес FedCIRC: csrc.nist.gov/fedcirc/.
ASSIST (Automated Systems Security Incident Support Team) был создан для поддержания программы защиты информационных систем Министерства Обороны США (Defense Information Infrastructure, DII) - INFOSEC. Адрес ASSIST: http://199.211.123.12/.
SCC (Security Coordination Center) был создан в 1989 году Агентством коммуникаций Министерства Обороны США для координации и централизованного управления группами реагирования на инциденты. Однако своей цели не достиг и в настоящий момент является обычным центром по обеспечению информационной безопасности подразделений Министерства Обороны США.
Резюме
В таблице 2 указаны наиболее известные команды реагирования на компьютерные инциденты, публикующие информационные бюллетени, содержащие сведения об уязвимостях.
Таблица 2.
| Название | Адрес | Комментарий |
| CERT | http://www.cert.org/ | Информационные бюллетени об уязвимостях, список рассылки, телеконференция USENET |
| Russia CERT | http://www.cert.ru/ | "Русский CERT" |
| CIAC | ciac.llnl.gov | Информационные бюллетени об уязвимостях, список рассылки |
| X-Force | www.iss.net/xforce/ | Информационные бюллетени об уязвимостях, список рассылки, интерактивная база данных уязвимостей |
| FIRST | http://www.first.org/ | Координация групп реагирования |
| NASIRC | www-nasirc.nasa.gov | Информационные бюллетени об уязвимостях |
| ASSIST | http://www.assist.mil/ | Информационные бюллетени об уязвимостях |
| FedCIRC | fedcirc.llnl.gov | Информационные бюллетени об уязвимостях |
| Novell service electronic incident | support.novell.com/elecinc/elecinc.htm | Информация об уязвимостях в продуктах компании Novell |
| Microsoft Knowledge Base | support.microsoft.com | Информационные бюллетени об уязвимостях в продуктах компании Microsoft |
| SUN | security-alert@sun.com | Список рассылки по вопросам безопасности продуктов компании SUN |
| HP's Electronic Support Center | europe-support.external.hp.com | Информационные бюллетени об уязвимостях в продуктах компании Hewlett Packard |
| BUGTRAQ | listserv@netspace.org | Список рассылки по уязвимостям в различных системах |
|
|
|
