Источник: http://itsecure.org.ua/publ/10-1-0-111
Развитие современных
информационных технологий в организации ведет к тому, что происходит
постепенный переход к объединению автономных компьютеров и локальных сетей
филиалов и отделений компании в единую корпоративную сеть. Помимо явных
преимуществ такой переход несет с собой и ряд проблем, специфичных для
корпоративных сетей. С этими проблемами приходится сталкиваться как
специалистам служб безопасности, так и сотрудникам управлений автоматизации. К
причинам, приводящим к возникновению таких проблем, можно отнести:
- Сложность и разнородность используемого программного и аппаратного
обеспечения. В настоящий момент очень трудно встретить сети, построенные на
основе только одной сетевой операционной системы (ОС). Опыт показывает, что в
российских компаниях используется следующий вариант построения корпоративной
сети: рабочие станции под управлением ОС MS DOS, Windows 95 и Windows NT, а в
качестве сетевой операционной системы используется Novell NetWare и Windows NT.
Системы обширного семейства UNIX пока не получили широкого распространения в
России. Большое число конфигурационных параметров используемого программного и
аппаратного обеспечения затрудняет его эффективную настройку и эксплуатацию.
- Большое число узлов корпоративной сети, их территориальная
распределенность и отсутствие времени для контроля всех настроек. Уже не
редкость, когда узлы, объединенные в корпоративную сеть, разбросаны по разным
территориям не только одного города, но и региона. Эта особенность, а также
отсутствие времени на контроль всех настроек, не позволяет администраторам
лично и своевременно контролировать деятельность пользователей системы на всех
узлах корпоративной сети и соответствия настроек программного и аппаратного
обеспечения заданным значениям.
- Подключение корпоративной сети к сети глобальной Internet и доступ внешних
пользователей (клиентов, партнеров и пр.) в корпоративную сеть. Данная
причина приводит к тому, что, зачастую, очень трудно определить границы сети и
всех, подключенных к ней пользователей, что может привести к попыткам
несанкционированного доступа к защищаемой информации.
Одной из важных проблем, возникающей вследствие действия названных причин, является увеличение числа уязвимостей корпоративной сети и атак на информационные ресурсы. Поэтому для их устранения и обеспечения надлежащего уровня защищенности информации, циркулирующей в корпоративной сети, применяются различные механизмы и средства обеспечения безопасности. Соответствующая настройка этих средств зависит от технологии обработки информации, принятой в компании, порядка и правил обращения с защищаемой информацией. Совокупность таких правил, законов и практических рекомендаций по обеспечению безопасности, охватывающих все особенности процесса обработки информации, называется политикой безопасности. К средствам, обеспечивающим политику безопасности и, соответственно, защиту технологии обработки информации, можно отнести межсетевые экраны, системы обнаружения атак, системы шифрования трафика, системы контроля "мобильного кода" (Java, ActiveX) и т.п. Однако при использовании этих средств возникает закономерный вопрос: "А правильно ли настроены используемые механизмы защиты? Решают ли они все возложенные на них задачи?". Другими словами, насколько надежно обеспечивает реализованная политика безопасности защиту ресурсов корпоративной сети от внешних и внутренних нарушителей?
Приведем несколько определений, необходимых для дальнейшего понимания статьи. Уязвимость - это любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы. Угрозой информационной системе называется потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба (материального, морального или иного) ресурсам системы. Атакой называется действие нарушителя, которое приводит к реализации угрозы путем использования уязвимостей информационной системы.
Существует несколько различных методов контроля правильности политики безопасности и средств, их реализующих. В данной статье мы кратко рассмотрим различные варианты этих методов - от простых, доступных небольшим банкам и не требующим больших материальных затрат, до более дорогостоящих, и более эффективных.
Первый вариант, самый
простой и доступный, - это ознакомление с информационными бюллетенями,
описывающими обнаруживаемые уязвимости и методы их устранения. Такого рода
списки ведутся т.н. командами реагирования (Response Team) на инциденты
безопасности. Наиболее известными из
них являются координационный центр Computer
Emergency Response Team (CERT/CC), Computer Incident Advisory Capability (CIAC)
и Forum of Incident
Response and Security Teams (FIRST).
Данные группы собирают статистику о компьютерных нападениях и уязвимостях в программном и аппаратном обеспечении, находят эффективные способы противодействия им и публикуют эту информацию для всех заинтересованных лиц. Все группы реагирования и производители средств обнаружения нарушения политики безопасности контактирует с производителями программного и аппаратного обеспечения для разработки эффективных способов противодействия атакам. Однако информация об уязвимости публикуется не раньше, чем найдется ей "противоядие". Это основной недостаток всех способов поиска уязвимостей, который приводит к тому, что злоумышленники могут воспользоваться имеющейся информацией до того, как появится способ устранения найденной уязвимости.
В России до недавнего времени отсутствовали организации, которые бы занимались такими исследованиями и публиковали информацию об обнаруженных уязвимостях для открытого доступа всех заинтересованных лиц. 15 сентября 1998 года РосНИИРОС объявил о начале действия проекта "CERT Russia", в рамках которого создан WWW-сервер, публикующий информацию об уязвимостях для российских специалистов. И хотя информации на этом сервере (www.cert.ru) очень мало, я надеюсь, что проект будет развиваться и получит поддержку и признание отечественных организаций, работающих на рынке информационной безопасности. Работы по созданию базы данных уязвимостей также было рекомендовано начать на конференции Ассоциации документальной электросвязи (АДЭ), проходившей в конце прошлого года в Москве.
Анализ информации, публикуемой зарубежными командами реагирования, показывает, что основное внимание уделяется исследованиям систем на платформе UNIX и Windows NT. Такая распространенная в России сетевая операционная система как Novell NetWare, практически не рассматривается. Поэтому сотрудники отделов информационной безопасности и управлений автоматизации сталкиваются с трудностями при поиске такой информации. Единственное, что возможно посоветовать для решения этой проблемы - чаще посещать Web-сервер технической поддержки компании Novell, расположенный по адресу: http://support.novell.com. Кроме того, в прошлом году компанией была создана, так называемая служба электронных инцидентов (electronic incident), содержащая информацию обо всех инцидентах, связанных с безопасностью в продуктах компании Novell. Эта служба расположена по адресу: http://support.novell.com/elecinc/elecinc.htm. С путями решения вопросов безопасности, связанными с продуктами компании Microsoft, можно ознакомиться на Web-сервере технической поддержки по адресу: http://support.microsoft.com.
Этот способ не требует никаких материальных затрат, кроме оплаты подключения к Internet, т.к. эти бюллетени распространяются абсолютно бесплатно всем заинтересованным лицам.
Второй вариант, позволяющий своевременно обнаруживать нарушения политики безопасности, - применение автоматизированных средств анализа защищенности, называемые на Западе сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники. Причем использоваться данные средства могут не только отделами защиты информации, но и управлениями автоматизации для контроля правильности настройки сервисов и протоколов сети, настроек операционных систем и прикладных программ и т.п.
Функционировать такие средства могут на сетевом уровне, уровне операционной системы (ОС), уровне баз данных и уровне приложения. Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в сетевом окружении. Вторыми по распространенности получили средства анализа защищенности операционных систем. Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако, из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-броузеров (Netscape Navigator, Microsoft Internet Explorer), Microsoft Office и BackOffice и др. Из систем анализа защищенности СУБД известна только одна - система Database Scanner, предназначенная для проверки СУБД Microsoft SQL Server, Oracle и Sybase Adaptive Server.
Применяя средства анализа защищенности можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). Также эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.
Средний уровень затрат на приобретение данных средств и эффективность при обнаружении уязвимостей, делают указанные системы самым распространенным методом анализа защищенности. Поэтому остановимся на нем более подробно и опишем характеристики, на которые следует обращать внимание при приобретении этих средств.
Взаимодействие абонентов в любой сети базируется на использование сетевых протоколов и сервисов, определяющих процедуру обмена информацией между двумя и более узлами. Несмотря на то, что при разработке сетевых протоколов и сервисов к ним предъявлялись требования по обеспечению безопасности обрабатываемой информации, постоянно появляются сообщения об обнаруженных в протоколах уязвимостях. Поэтому существует необходимость в постоянной проверке всех используемых в корпоративной сети протоколов и сервисов.
Системы анализа защищенности выполняют серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при осуществлении атак на корпоративные сети. Сканирование начинается с получения предварительной информации о сканируемой системе, например, разрешенных протоколах и открытых портах, версии операционной системы и т.п., и заканчивая попытками имитации проникновения, используя широко известные атаки, например, "подбор пароля".
В настоящий момент существует более десятка различных средств, автоматизирующих поиск уязвимостей сетевых протоколов и сервисов. Одним из первых таких средств является свободно распространяемая система анализа защищенности UNIX-систем - SATAN (Security Administrator's Tool for Analyzing Networks), разработанная В. Венема и Д. Фармером. Среди коммерческих систем анализа защищенности можно назвать Internet Scanner компании Internet Security Systems, Inc. Данная система на сегодняшний день является единственной системой сертифицированной в Гостехкомиссии России (сертификат №195 от 02.09.98).
Типичная схема проведения анализа защищенности (на примере системы Internet Scanner) приведена на рисунке.
Средства этого класса предназначены для проверки конфигурации операционной системы, влияющей на защищенность ОС. К таким настройкам можно отнести права пользователей на доступ к критичным системным файлам, привилегии процессов, регистрационные записи пользователей (account), например длина пароля и срок его действия и т.п.
Данные системы в отличие от средств анализа защищенности сетевого уровня не имитируют атаки злоумышленников. Они предназначены для внутренней проверки настроек операционной системы конкретных узлов корпоративной сети. Кроме того, многие средства данного класса не только определяют уязвимости и рекомендуют меры по их устранению, но и позволяют автоматически корректировать параметры системы, не удовлетворяющие политике безопасности, принятой в организации, и приводящие к возникновению уязвимостей.
Средств анализа защищенности на уровне операционной системы существует меньше, чем средств тестирования на уровне сети. Одной из первых известных систем можно назвать свободно распространяемую систему COPS (Computerized Oracle and Password System), разработанную соавтором системы SATAN Д. Фармером совместно с Ю. Спаффордом из лаборатории COAST.
Среди коммерческих систем анализа защищенности операционных систем можно назвать, например, систему System Security Scanner компании Internet Security Systems, Inc.
Возможности по анализу защищенности приложений существуют как в системах анализа сетевых сервисов, так и в системах анализа операционной системы. Например, в системе Internet Scanner существует возможность проверки распространенных Web-серверов, межсетевых экранов, броузеров и т.п., а в системе System Security Scanner реализованы проверки для пакета Back Office компании Microsoft, антивирусных систем и т.п. Однако все это частные случаи. Несмотря на большой спрос со стороны специалистов в области информационных технологий и безопасности, средства, которые были бы предназначены для анализа именно приложений, стали появляться только недавно.
Во-первых, предлагаемое на рынке средство должно позволять анализировать уязвимости программного и аппаратного обеспечения, используемого в организации. При этом необходимо учитывать возможную перспективу перехода на новые платформы. Как минимум, средство анализа защищенности должно иметь возможность тестирования протоколов семейства TCP/IP и основанных на них сетевых сервисах, реализованных для операционных систем Windows NT и UNIX.
Т.к. к каждой новой версии операционной системы добавляются новые и изменяются существующие механизмы и параметры конфигурации, то средство анализа защищенности должно учитывать различия в версиях сканируемой ОС. Такая возможность реализована далеко не во всех продуктах, предлагаемых на российском и зарубежном рынках средств защиты информации.
Эффективность применения систем анализа защищенности будет достигнута только в том случае, если их производитель постоянно обеспечивает свои продукты соответствующей поддержкой, учитывающей последние изменения в области обеспечения информационной безопасности. Информация об уязвимостях должна постоянно пополняться. Поэтому, например, система SATAN не может быть рекомендована как надежное и эффективное средство, т.к. последняя версия датирована 1995 годом.
Некоторые сотрудники управлений автоматизации и отделов защиты информатизации считают, что, проведя сканирование своей сети при помощи средств анализа защищенности один раз, на этом можно остановиться. Однако это не так. Постоянное изменение состояния корпоративной сети изменяет и ее защищенность. Поэтому хорошая система должно иметь функцию работы по расписанию, чтобы, не дожидаясь пока администратор "вспомнит" о ней, самой проверить уязвимости узлов сети и не только оповестить администратора о возникших проблемах, но и порекомендовать способы устранения выявленных уязвимостей, а в некоторых случаях и автоматически устранить их. Если же такая возможность не встроена в саму систему анализа защищенности, то необходимо поинтересоваться у поставщика, может ли предлагаемая система работать из командной строки. Такая возможность позволит воспользоваться встроенными в операционную систему сервисами, позволяющими запускать заданные программы по расписанию (например, служба расписания AT для ОС Windows NT или CRON для ОС UNIX).
Одной из немаловажных характеристик, на которую стоит обращать внимание -наличие системы генерации отчетов. Каковы бы эффективными не были механизмы обнаружения уязвимостей, но без качественного и наглядного отчета такие средства вряд ли найдут применение в организации. Система генерации отчетов должна позволять создавать документы различной степени детализации и для различных категорий пользователей, - начиная от технических специалистов и заканчивая руководителями организации. Если первых интересуют подробности и технические детали (описания сетевых сервисов, используемых в сети, обнаруженные уязвимости и методы их устранения), то вторым необходим наглядный, желательно с использованием графики, отчет, содержащий описание вероятного ущерба в случае эксплуатации злоумышленниками найденных уязвимостей. Обязательным условием при выборе средств анализа защищенности является наличие в отчетах рекомендаций по устранению найденных проблем. Форма представления данных в отчетах также имеет немаловажное значение. Документ, насыщенный текстовой информацией не принесет пользы. Использование же графики наоборот наглядно продемонстрирует руководству все проблемы с безопасностью в сети организации.
Для последующего анализа изменений уровня защищенности узлов корпоративной сети, предлагаемое средство должно позволять не только накапливать сведения о проведенных сеансах сканирования, но и проводить сравнительный анализ состояний защищенности, измеренных в различные промежутки времени.
Так как при неправильном применении средств анализа защищенности ими могут воспользоваться злоумышленники для проникновения в корпоративную сеть, то эти средства должны обладать механизмами разграничения доступа к своим компонентам и собранным данным. К числу таких механизмов можно отнести ограничение на запуск данных средств только пользователям с правами администратора, шифрование архивов данных сканирования, аутентификация соединения при удаленном управлении и т.п.
Возможность простой эксплуатации средств анализа защищенности является немаловажной характеристикой. Даже очень мощное и эффективное средство не будет использоваться, если у него отсутствует дружественный интерфейс и оно сложно в управлении. При покупке продавец должен продемонстрировать вам работу предлагаемого продукта. Неплохо, если он сможет предоставить демонстрационную версию. Необходимо отметить, что такую возможность предоставляют практически все российские поставщики систем анализа защищенности.
Особое значение имеет наличие качественной и полной документации и системы подсказки, причем желательно на русском языке. Однако похвастаться этим могут немногие. Из представленных в России систем только система Internet Scanner компании Internet Security Systems удовлетворяет этому требованию. Документация должна содержать описание всех операций, выполняемых средством анализа защищенности, инструкции по инсталляции и настройке системы, а также описание возможных ошибок. Хорошо, если в документации содержится подробное описание всех обнаруживаемых уязвимостей и способов их устранения.
Таким образом, использование средств анализа защищенности, тестирующих программное и аппаратное обеспечение различного уровня и назначения, позволяет своевременно и качественно не только обнаружить практически все известные уязвимости, но и устранить их.
Применение средств, автоматизирующих работу администратора, не может заменить специалиста по информационной безопасности. Они могут лишь автоматизировать поиск некоторых уязвимостей и подтвердить, что анализируемая система свободна от некоторых из них. Поэтому наиболее эффективным, хотя и не всегда приемлемым, способом контроля нарушений политики безопасности является приглашение группы экспертов в области безопасности, проводящей всесторонние испытания банковской информационной системы, в т.ч. и при помощи средств анализа защищенности.
Первое упоминание о такой команде можно найти в "Оранжевой книге" (DOD 5200.28-STD, Trusted Computer System Evaluation Criteria), опубликованной в августе 1983 года. Глава 10 "A Guideline On Security Testing" содержит описание требований к анализу защищенности информационных систем разработанных для использования в Министерстве Обороны США. Команды, состоящие из независимых экспертов, проводящих тестирование информационных систем Министерства Обороны США, стали называться "Tiger Team" ("Команда тигров").
Существует два варианта использования таких групп. Первый - создание собственного подразделения анализа защищенности. Данный путь является лучшим решением. Однако опыт показывает, что очень немногие организации, как в России, так и за рубежом создают в своем штате такие группы. Считается, что они "проедают чужие деньги", и не малые деньги, не принося никакой прибыли. Второй путь - приглашение независимых экспертов. В настоящий момент именно это решение получило широкое распространение во всем мире. Услуги по анализу защищенности предлагают многие известные консалтинговые фирмы и компании, работающие в области защиты информации. К их числу можно отнести PricewaterhouseCoopers, Miora Systems Consulting, WheelGroup, NCSA и т.п. В России такого рода услуги оказывает, например, НИП "Информзащита".
Каждый из указанных методов имеет свои достоинства и свои недостатки, свои ограничения на применение. Зависят эти ограничения от финансовых возможностей компании, от квалификации специалистов отделов защиты информации, понимания руководством предприятия необходимости обеспечения безопасности своих информационных ресурсов и т.п.
С течением времени информационные технологии изменяются. Новые компьютеры, новые прикладные программы и версии ОС, обнаруженные уязвимости, придают корпоративной сети постоянно изменяющийся облик. Многие сотрудники управлений автоматизации и отделов защиты информации считают, что, проверив один раз свою корпоративную сеть при помощи описанных методов, на этом можно остановиться. Однако это не так. Применение описанных выше методов - это не разовая мера, а периодически проводимое мероприятие. И специалисты компании должны постоянно следить за соблюдением уже принятой политики безопасности организации и правильности ее положений, используя все имеющиеся в их распоряжении возможности и механизмы.