 |
Какие системы я должен сканировать с помощью продуктов сетевого и системного уровней?
|
|
|
|
Сканер сетевого уровня может обнаруживать неизвестные и несанкционированные устройства и системы в сети, а также поможет найти неизвестные точки периметра вашей сети, такие как сервера несанкционированного удаленного доступа. Сканирование на сетевом уровне идентифицирует устройства в вашей сети, и оценивает конфигурации и влияния таких систем как МСЭ, маршрутизаторы и корпоративные Web-сервера, находящиеся снаружи МСЭ.
Из-за этих возможностей рекомендуется, чтобы система анализа защищенности сетевого уровня использовалась для сканирования всей сети. Хакер воспользуется преимуществом одноточечного доступа, который он/она может иметь. Незащищенные Windows 95/98 или рабочие станции и сервера NT могут предоставить необходимую базу для получения контроля над всем доменом.
Средства сканирования на системном уровне являются очевидным выбором для защиты серверов, которые содержат наиболее важные сервисы: почтовые, Web, удаленного доступа, управления базами данных и другие прикладные сервисы. Эти системы часто содержат наиболее критичные данные для ведения бизнеса, и сканирование на системном уровне поможет найти уязвимости высокой степени риска и предоставить администратору информацию для устранения найденных проблем. Сканирование на системном уровне также должно являться приоритетным при защите межсетевых экранов, которые обычно запускаются под управлением стандартных ОС Unix и NT, и часто содержат хорошо известные уязвимости и конфигурации, установленные по умолчанию. Даже правильно сконфигурированный МСЭ, не обеспечивает эффективной защиты периметра, если администратор или лицо с администраторскими привилегиями на межсетевом экране может быть скомпрометировано каким-либо способом.
|
|
|
Запомните, что термин "Хост" применим не просто к серверам, а к любым компьютерам, установленным в сети организации. Наиболее важная, стратегическая бизнес-информация размещается на настольных компьютерах ответственных сотрудников. Каждая из этих систем, будучи скомпрометированной, может представлять такой же большой риск для бизнеса, как и риск, от скомпрометированного сервера. Эта информация хранится, передается и пересылается каждый день по электронной почте, в рекламных листовках, в презентационных материалах и документах между руководителями, финансовыми и бизнес-партнерами, техническим персоналом, персоналом по маркетингу и продажам. Организации столкнется с серьезными проблемами, если конкурент сможет получить доступ к этим наиболее важным планам, стратегиям и корпоративным активам.
Стоит рассмотреть сканирование на сетевом и системном уровнях для desktop-систем, а также серверов по следующим причинам:
- пользователи рабочих станций, как правило, не имеют никакого представления о защите, и часто действуют так, что могут скомпрометировать систему защиты организации. В качестве примера можно назвать совместное использование жесткого диска, использование легко подбираемых паролей и т.д.
- пользователи рабочих станций могут скомпрометировать защиту всей сети, используя модем для установления незащищенных и несанкционированных соединений для личного удобства. Не осознавая того, что делают, эти пользователи создали новую точку доступа в сеть, не защищенную МСЭ. Крайне важно знать, подключена ли рабочая станция в вашей сети к телефонной линии или установлено ли на ней приложение удаленного управления. Средства сканирования системного уровня предоставляют такую информацию.
- В сети, работающей под управлением ОС Windows, защита Windows NT-домена является как сильным, так и слабым звеном. Скомпрометированная рабочая станция может быстро привести к более серьезным атакам. Хакер, как правило, находит слабую машину, получает привилегии локального администратора, использует полученные преимущества для получения привилегий администратора домена, а затем использует их как основу для того, чтобы атаковать новые NT-системы. Как правило, NT-сервера устанавливают, обращая большое внимание на их защиту, поэтому первоначальные атаки часто реализуются именно против менее защищенных рабочих станций.
Какие продукты лучше всего охватывают все три категории уязвимостей защиты?
|
|
|
Из анализа и примеров, рассмотренных выше, мы приходим к следующим выводам:
Риски, связанные с ПО, поставляемым продавцом:
Неустановленные патчи ОС, уязвимые сервисы, плохая настройка по умолчанию, или устаревший Java Security Manager в Web-броузере, лучше всего устраняются как системой анализа защищенности на уровне ОС так и уровне сети.
Риски, связанные с администраторами, включая не отвечающие политике безопасности значения в системном реестре, не отвечающие политике безопасности требования к минимальной длине пароля или несанкционированные изменения в конфигурации системы, легче идентифицировать с помощью системы сканирования сетевого уровня, а затем, для полного анализа, использовать средства системного уровня.
Риски, связанные с деятельностью пользователя, включая совместное использование директорий, отказ запускать антивирусное ПО, и использование модемов в обход корпоративного МСЭ, лучше всего определяются средствами анализа защищенности системного уровня.
Выводы: Тогда как каждая из этих технологий анализа защищенности (на сетевом и системном уровнях) имеет свои уникальные преимущества, скоординированное использование их обеих предоставит самый эффективный способ поиска уязвимостей. Сканеры сетевого уровня позволяют специалистам по информационной безопасности оценить и устранить уязвимости на уровне сети, подозрительные точки по периметру сети и усилить исходные линии обороны против атак. Сканер системного уровня предоставляет дополнительный уровень защиты, блокируя индивидуальные хосты с целью защиты наиболее важных ресурсов от доступа в случае несанкционированной деятельности внутри сети или от внешних хакеров, использующих скомпрометированные учетные записи.
|
|
|
Уязвимости информационных систем
Существует три основных типа уязвимостей:
Уязвимости проектирования,
Уязвимости реализации
3. уязвимости конфигурации.
Использование информационных бюллетеней по вопросам безопасности, публикуемых командами реагирования на компьютерные инциденты Response Team, позволяет обнаруживать, в основном, уязвимости реализации. Однако при увеличении числа компьютеров и их территориальной распределенности возникает серьезная проблема, заключающаяся в невозможности ручной проверки всех элементов Вашей сети. На выручку приходят автоматизированные средства анализа защищенности, которые обнаруживают и уязвимости реализации, и уязвимости конфигурации. Кроме того, при их использовании исчезает проблема с проверкой большого числа узлов, в т.ч. и удаленных. Однако и у этих средств есть свои недостатки, главный из которых - невозможность обнаружения уязвимостей проектирования. А такого рода уязвимости наиболее опасны. Они трудно исправляются, а процесс их обнаружения пока не автоматизирован. И вот тут на сцену выходит третий метод обнаружения уязвимостей (первые два подробно описаны во 2-ом и 3-ем номерах журнала "Мир Internet" за 1999 год). Способ этот заключается в использовании специальных групп экспертов в области безопасности, проводящих всесторонние испытания Вашей информационной системы. Использование опыта в области безопасности наравне с применением соответствующих автоматизированных средств и использованием информационных бюллетеней от Response Team позволяет с высокой степенью эффективности обнаружить уязвимости всех трех типов и порекомендовать меры по их устранению или, в случае невозможности устранения, снижению вероятного ущерба в случае использования.
Эти группы получили название "Tiger Team" ("команда тигров") для обозначения групп экспертов, пытающихся проникнуть в компьютерные системы Министерства Обороны США и найти лазейки в их подсистемах безопасности (70-80-е годы). Первое упоминание в официальных документах о таких командах можно найти в "Оранжевой книге" (DOD 5200.28-STD, Trusted Computer System Evaluation Criteria), опубликованной в августе 1983 года. Глава 10 "A Guideline On Security Testing" содержит описание требований к анализу защищенности информационных систем разработанных для использования в Министерстве Обороны США. Данная глава состоит из трех разделов, описывающих требования для систем, сертифицируемых по классам C, B или A (соответствуют 6 и 5, 4 и 3, 2 и 1 классам защищенности средств вычислительной техники по руководящим документам Гостехкомиссии России, соответственно). Каждый из разделов состоит из двух частей - "Персонал" и "Тестирование". В таблице 1 приведено краткое описание требований, описанных в данных разделах.
|
|
|
Таблица 1.
| Персонал | Тестирование | |||
| Число экспертов | Квалификация | Число тестов | Описание | |
| Системы класса С | Высшее техническое образование; опыт системного программирования | Время испытаний не должно быть меньше одного и больше трех месяцев. Анализу защищенности подвергается только программное обеспечение системы. | ||
| Системы класса В | Два эксперта с высшим образованием; один эксперт, имеющий ученую степень кандидата технических наук; один из экспертов должен иметь опыт проведения аналогичных проверок | Время, затрачиваемое на анализ защищенности не должно превышать четырех месяцев, но и не должно быть менее двух месяцев. Тестированию подвергается как программное, так и аппаратное обеспечение информационной системы. При этом анализируется проектная документация, исходный текст и объектный код модулей системы. | ||
| Системы класса А | Один специалист с высшим техническим образованием и два кандидата технических наук. Не менее двух экспертов должны иметь опыт проведения анализа защищенности. Как минимум один из экспертов должен быть знаком с аппаратным обеспечением, используемым в анализируемой информационной системе. | Испытания аналогичны испытаниям для систем класса B, но проводятся от трех месяцев до полугода. |
В работе "команд тигров" широко используется моделирование методов, используемых нарушителями для проникновения в Вашу информационную систему (penetration test). Эти методы, применяемые во благо, помогают понять, насколько эффективно настроены параметры операционных систем, телекоммуникационного оборудования, а также насколько правильно используются имеющиеся средства защиты. Такое тестирование позволяет подтвердить или опровергнуть заверения в качестве предлагаемых различными поставщиками решений. Рассмотрение информационной системы с точки зрения злоумышленника позволяет взглянуть на новые грани Вашей безопасности. Очень часто при проведении анализа защищенности с использование экспертных групп обнаруживаются уязвимости и каналы проникновения, которые были пропущены при проектировании системы защиты Вашей сети. Например, работа в Internet подразумевает использование протокола HTTP. Таким образом, при конфигурации межсетевого экрана необходимо разрешить трафик по протоколу HTTP. Для многих межсетевых экранов по умолчанию задается, что этот протокол функционирует на 80 порту. Однако, в случае, если Ваш Web-сервер настроен не на 80-й, а на другой порт (например, 8080), то трафик к Вашему Web-серверу становится неконтролируемым межсетевым экранов. И даже, если все-таки межсетевой экран контролирует трафик по порту 8080, то остается потенциальная возможность использования "враждебных" Java-апплетов, о которых при настройке межсетевых экранов часто забывают. И таких случаев можно привести множество.
|
|
|
Описание процедуры проведения анализа защищенности группой Tiger Team выходит за рамки данной статьи. Остановлюсь на том, какие требования необходимо предъявлять при использовании таких групп.
Существует два варианта использования услуг этих групп. Первый - создание в своем штате подразделения, отвечающего за анализ защищенности. На мой взгляд - это является лучшим решением. Однако опыт показывает, что очень немногие организации, как в России, так и за рубежом создают в своем штате такие группы. Считается, что они "проедают чужие деньги", и не малые деньги, не принося никакой прибыли. Кроме того, в российских организациях очень часто вопросы защиты информации очень часто возлагаются на человека в дополнение к его основным обязанностям (например, на системного администратора). Если же защитой информации и занимается выделенный штат, то число сотрудников в нем редко превышает двух-трех человек, которые отвечают и за работу со средствами защиты рабочих станций, и за генерацию и распространение криптографических ключей, и за защиту от ПЭМИН, и т.д. Информационная безопасность - очень сложная область, включающая в себя много различных дисциплин (операционные системы, сети, межсетевые экраны, антивирусная защита, организационные меры и т.д.). Быть специалистом во всех этих областях одному или двум человекам очень трудно. Поэтому обычно применяется второй путь, который заключается в приглашении независимых экспертов. Услуги по анализу защищенности предлагают многие известные консалтинговые фирмы и компании, работающие в области защиты информации. К их числу можно отнести Miora Systems Consulting, WheelGroup, NCSA и т.п. В России такого рода услуги оказывает, например, НИП "Информзащита".
Спектр предлагаемых услуг по анализу защищенности существенно различается у разных компаний, имеющих различную специализацию. Некоторые Tiger Team проводят тестирование только внешнего периметра сети, в то время как другие проводят тестирование и внутренних систем (рабочих станций, серверов баз данных и т.п.). Существенно различается и стоимость тестирования. Цифры варьируются от $250 за час работы до $700000 за выполнение полного объема всех проверок и предоставление отчета, содержащего рекомендации по устранению обнаруженных проблем.
При использовании независимых экспертов гарантируется непредвзятый взгляд на безопасность анализируемой системы. Свои же специалисты, являющиеся сотрудниками управлений безопасности и управлений автоматизации, как правило, пытаются затенить недостатки системы безопасности, чтобы не получить "нагоняй" от руководства компании. С другой стороны, руководство с неохотой идет на допуск независимых экспертов к своей конфиденциальной информации. Поэтому идеальным решением было бы создание отдельного подразделения, которое бы занималось только оценкой уровня защищенности информационной системы компании. Однако это требует вложения больших финансовых средств, которые могут окупиться только в случае крупных организаций.
Если вы остановили свой выбор на группе независимых экспертов, то выбирайте компании, которые давно и успешно работают на рынке средств защиты информации. А то в последнее время стали появляться сообщения о предоставлении услуг "Tiger Team" от компаний, которые считают, что для оценки уровня безопасности достаточно применить автоматизированные средства анализа защищенности.
При заключении договора на выполнение такого рода услуг необходима четкая фиксация того, что компания-заказчик хочет получить в результате тестирования. В дополнительном соглашении при заключении договора на оценку уровня безопасности необходимо четко описать, какие действия будут предприниматься при осуществлении анализа защищенности. Это надо для того, чтобы в случае возникновения нештатной ситуации, приведшей к нарушению работоспособности анализируемой системы или другим последствиям, можно было понять, на кого возложить ответственность за нанесенный ущерб. Кроме того, при проведении анализа защищенности необходимо вести подробный учет всех выполняемых действий. Во-первых, это поможет разобраться в потенциальных путях проникновения в тестируемую систему, а во-вторых, произвести своевременный "откат" в случае нарушения работоспособности анализируемой системы. Поскольку собираемая информация о системе информационной безопасности организации является очень важной, то в договор необходимо включить пункт о соблюдении конфиденциальности всей полученной в ходе обследования информации.
Так как при проведении обследования происходит проникновение или попытки проникновения в анализируемую систему необходимо, чтобы группе экспертов было дано разрешение на это лицом, имеющим соответствующие полномочия (например, председатель правления банка или вице-президент компании). Кроме того, необходимо установить контакты с представителями власти, чтобы процесс оценки уровня защищенности не был принят сотрудниками анализируемой организации за настоящую попытку "взлома". И хотя до недавнего времени в России орган, реагирующий на компьютерные преступления отсутствовал, сейчас ситуация началась меняться в лучшую сторону - во многих "силовых" ведомствах создаются отделы по борьбе с компьютерным мошенничеством.
Необходимо помнить, что информационная система изменяется динамически. Поэтому анализ защищенности должен проводиться на рабочей системе. Проведение такого процесса на стенде не имеет смысла.
По результатам проведенного анализа должны быть разработаны несколько отчетов, рассчитанных на различные группы сотрудников компании - от высшего руководства и руководителей среднего звена, до технических специалистов и пользователей. Каждый отчет должен показать предыдущее и текущее состояние уровня защищенности системы и их сравнение. Обязательным условием является, чтобы отчете содержались рекомендации по устранению обнаруженных уязвимостей.
Однако проведенное обследование еще не означает, что вы теперь защищены. Данные, полученные в процессе анализа защищенности, - зависят от времени и не могут быть постоянно актуальны в течение долгого времени. Анализ защищенности показывает уровень безопасности вашей сети на момент проведения оценки. Периодически проводимая оценка уровня безопасности позволит гарантировать, что текущее состояние системы защиты информации Вашей организации всегда известно.
Итак, завершая серию статей, посвященную методам анализа защищенности, хочется отметить, что обнаружение уязвимостей конфигурации, реализации и проектирования информационной системы возможно только в случае:
- постоянного ознакомления с информационными бюллетенями, публикуемыми группами реагирования на компьютерные инциденты Response Team;
- периодического использования автоматизированных средств анализа защищенности;
- использования опыта независимых экспертов в области информационной безопасности Tiger Team для оценки уровня защищенности корпоративных ресурсов.
|
|
|
