Ложные атаки

С развитием интеренета и появлением несанкционированного доступа к личным файлам, документам и информации пользователи начали ставить на свои системы всевозможные программы для защиты информации, но иногда атака может быть не от внешних пользователей (хакеров, а в виде защиты самой себя ОС.

Построение любой современной информационной системы практически не обходится без разработки и реализации некоторых механизмов защиты.

Это могут быть как простые механизмы (например, аутентификация пользователей по идентификатору и паролю), так и достаточно сложные (например, аутентификация посредством внешних RADIUS-серверов). Таких механизмов может и не быть. В этом случае обеспечение информационной безопасности проектируемой системы возлагается на саму операционную систему или какие-либо дополнительные средства защиты. Однако во всех этих случаях перед отделами защиты информации и управлениями автоматизации возникает задача проверки, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.

Однако, администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые на Западе сканерами безопасности (security scanners). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники.

Функционировать такие средства могут на сетевом уровне, уровне операционной системы (ОС) и уровне приложения. Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в сетевом окружении. Вторыми по распространенности получили средства анализа защищенности операционных систем. Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако, из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-броузеры (Netscape Navigator, Microsoft Internet Explorer), СУБД (Microsoft SQL Server, Oracle) и т.п.

Применяя средства анализа защищенности можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). Также эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.

Как уже упоминалось в предыдущей статье, указанный метод контроля нарушений политики безопасности, т.е. применение средств, автоматизирующих работу администратора, не может заменить специалиста по безопасности. Эти средства могут лишь автоматизировать поиск некоторых известных уязвимостей. Поэтому надо скептически относиться к заявлениям фирм-поставщиков, что предлагаемая ими система обнаруживает все уязвимости, гарантируя тем самым стопроцентную безопасность.

Перед специалистами отделов защиты информации и управлений автоматизации встает задача правильного выбора системы анализа защищенности, учитывающего технологию обработки информации в организации. Ниже более подробно будут описаны средства анализа защищенности для этих трех уровней и приведены характеристики, на которые следует обращать внимание при приобретении этих средств.

Взаимодействие абонентов в любой сети базируется на использование сетевых протоколов и сервисов, определяющих процедуру обмена информацией между двумя и более узлами. Несмотря на то, что при разработке сетевых протоколов и сервисов к ним предъявлялись требования (однако явно недостаточные) по обеспечению безопасности обрабатываемой информации, постоянно появляются сообщения об обнаруженных в протоколах уязвимостях. Поэтому существует необходимость в постоянной проверке всех используемых в корпоративной сети протоколов и сервисов.

Системы анализа защищенности выполняют серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при осуществлении атак на корпоративные сети. Сканирование начинается с получения предварительной информации о сканируемой системе, например, разрешенных протоколах и открытых портах, версии операционной системы и т.п., и заканчивая попытками имитации проникновения, используя широко известные атаки, например, "подбор пароля" ("brute force"). Однако не стоит думать, что при помощи средств анализа защищенности на уровне сети можно тестировать только возможность несанкционированного доступа в корпоративную сеть из сети Internet. Эти средства могут быть использованы и во внутренней сети организации. Системы анализа защищенности на уровне сети могут быть использованы как для оценки уровня безопасности организации, так и для контроля эффективности настройки сетевого программного и аппаратного обеспечения.

В настоящий момент существует более десятка различных средств, автоматизирующих поиск уязвимостей сетевых протоколов и сервисов. Одним из первых таких средств является свободно распространяемая система анализа защищенности UNIX-систем - SATAN (Security Administrator Tool for Analyzing Networks), разработанная Витсом Венема и Дэном Фармером. Среди коммерческих систем анализа защищенности можно назвать Internet Scanner компании Internet Security Systems, Inc., CyberCop Scanner компании Network Associates (ранее называвшаяся Ballista компании Secure Networks Inc.) , NetSonar компании Cisco и ряд других.

Средства анализа защищенности данного класса не только анализируют уязвимость сетевых сервисов и протоколов, но и системного и прикладного программного обеспечения, отвечающего за работу с сетью. К такому обеспечению можно отнести Web-, FTP- и почтовые сервера, межсетевые экраны, броузеры и т.п. Кроме анализа программного обеспечения, некоторые предлагаемые на рынке средства проводят сканирование и аппаратных средств. Как правило, к ним относится коммутирующее и маршрутизирующее оборудование.

Типичная схема проведения анализа защищенности (на примере системы Internet Scanner) приведена на рисунке.

Средства этого класса предназначены для проверки настроек операционной системы, влияющих на ее защищенность. К таким настройкам можно отнести учетные записи пользователей (account), например длина пароля и срок его действия, права пользователей на доступ к критичным системным файлам, уязвимые системные файлы, установленные patch'и и т.п. Системы анализа защищенности на уровне ОС могут быть использованы не только отделами защиты информации, но и управлениями автоматизации для контроля конфигурации операционных систем.

Данные системы в отличие от средств анализа защищенности сетевого уровня проводят сканирование не снаружи, а изнутри анализируемой системы, т.е. не имитируют атаки внешних злоумышленников. Кроме возможностей по обнаружению уязвимостей некоторые системы анализа защищенности на уровне ОС (например, System Scanner компании Internet Security Systems) позволяют автоматически устранять часть обнаруженных проблем или корректировать параметры системы, не удовлетворяющие политике безопасности, принятой в организации.

Как уже упоминалось, средств анализа защищенности операционной системы существует меньше, чем средств проверки сети. Одной из первых известных систем можно назвать COPS (Computerized Oracle and Password System), разработанной соавтором системы SATAN Д. Фармером совместно с Ю. Спаффордом из лаборатории COAST.

Также широко известны системы System Security Scanner и Security Policy Manager компании Internet Security Systems, Inc., Kane Security Analyst компании Intrusion Detection и ряд других.

В настоящий момент только система Internet Scanner компании Internet Security Systems удовлетворяет этому требованию. Документация должна содержать описание всех операций, выполняемых средством анализа защищенности, инструкции по инсталляции и настройке системы, а также описание возможных ошибок. Хорошо, если в документации содержится подробное описание всех обнаруживаемых уязвимостей и способов их устранения.

Обязательным требованием, которое предъявляется к приобретаемой системе, является отсутствие необходимости изменения сетевой инфраструктуры предприятия. Иначе затраты на такую реорганизацию могут превысить стоимость самой системы анализа защищенности.

Так как при неправильном применении средств анализа защищенности ими могут воспользоваться злоумышленники для проникновения в корпоративную сеть, то эти средства должны обладать механизмами разграничения доступа к своим компонентам и собранным данным. К числу таких механизмов можно отнести ограничение на запуск данных средств только пользователем с правами администратора, шифрование архивов данных сканирования, аутентификация соединения при удаленном управлении, установка специальных прав на каталоги с системой и т.п.

Каких-то универсальных требований в данной группе нет. Все зависит от используемого программного и аппаратного обеспечения. Можно назвать следующие возможности, на которые необходимо обратить свое внимание:

• Возможность увеличения скорости сканирования за счет параллельной обработки нескольких устройств или сервисов.
• Возможность посылки уведомлений на каждый сканируемый узел сети для предотвращения несанкционированного использования системы.
• Возможность настройки на эксплуатационные требования вашей сети для минимизации ложных срабатываний.

Некоторые сотрудники управлений автоматизации и отделов защиты информатизации считают, что, проведя сканирование своей сети при помощи средств анализа защищенности один раз, на этом можно остановиться. Однако это не так. Постоянное изменение состояния корпоративной сети изменяет и ее защищенность. Поэтому хорошая система должно иметь функцию работы по расписанию, чтобы, не дожидаясь пока администратор "вспомнит" о ней, самой проверить уязвимости узлов сети и не только оповестить администратора о возникших проблемах, но и порекомендовать способы устранения выявленных уязвимостей. Если же такая возможность не встроена в саму систему анализа защищенности, то необходимо поинтересоваться у поставщика, может ли предлагаемая система работать из командной строки. Такая возможность позволит воспользоваться встроенными в операционную систему сервисами, позволяющими запускать заданные программы по расписанию (например, служба расписания AT для ОС Windows NT или CRON для ОС UNIX).

Постоянное обнаружение новых уязвимостей требует, чтобы система анализа защищенности содержала возможность пополнения базы данных уязвимостей. Это может быть реализовано как при помощи специального языка описания уязвимостей (например, APX в системах компании ISS, CASL в системе CyberCop Scanner), так и при помощи периодического пополнения уязвимостей, обеспечиваемого производителем системы.

Для последующего анализа изменений уровня защищенности узлов корпоративной сети, предлагаемое средство должно позволять накапливать сведения о проведенных сеансах сканирования.

Одной из немаловажных характеристик, на которую стоит обращать внимание -наличие системы генерации отчетов. Каковы бы эффективными не были механизмы обнаружения уязвимостей, но без качественного и наглядного отчета такие средства вряд ли найдут применение в организации. Система генерации отчетов должна позволять создавать документы различной степени детализации и для различных категорий пользователей, - начиная от технических специалистов и заканчивая руководителями организации. Если первых интересует подробности и технические детали (описания сетевых сервисов, уязвимостей и методов их устранения), то вторым необходим наглядный, желательно с использованием графики, отчет, содержащий описание вероятного ущерба в случае эксплуатации злоумышленниками найденных уязвимостей. Обязательным условием при выборе средств анализа защищенности является наличие в отчетах рекомендаций по устранению найденных проблем. Форма представления данных в отчетах также имеет немаловажное значение. Документ, насыщенный текстовой информацией не принесет пользы. Использование же графики наоборот наглядно продемонстрирует руководству все проблемы с безопасностью в сети организации.

Желательно, чтобы доступ к базе данных мог быть осуществлен при помощи средств, разработанных другими производителями, например, при помощи протокола ODBC. Это позволит более эффективно интегрировать приобретаемую систему анализа защищенности в технологию обработки информации, принятую в вашей организации.

Эффективность применения систем анализа защищенности будет достигнута только в том случае, если их производитель постоянно обеспечивает свои продукты соответствующей поддержкой, учитывающей последние изменения в области обеспечения информационной безопасности. Информация об уязвимостях должна постоянно пополняться. Поэтому, например, система SATAN не может быть рекомендована как надежное и эффективное средство, т.к. последние изменения в нее вносились около двух лет назад.

Информация об уязвимости в базе данных системы появится не раньше, чем найдется ей "противоядие". Это основной недостаток всех способов поиска уязвимостей, который приводит к тому, что злоумышленники могут воспользоваться имеющейся информацией до того, как появится способ устранения найденной уязвимости.

Характеристики, на которые следует обращать внимание при выборе и приобретении систем анализа защищенности:

• Поддержка используемого в организации программного и аппаратного обеспечения;
• Периодичность обновления базы данных уязвимостей;
• Возможность работы по расписанию;
• Возможность генерации отчетов различной степени детализации;
• Возможность разработки рекомендаций по устранению найденных проблем;
• Возможность разграничения доступа к файлам системы анализа защищенности.

К дополнительным характеристикам, которые могут повлиять на решение о приобретении системы, можно отнести:

• Возможность автоматической коррекции или устранения найденных уязвимостей;
• Возможность использования графических элементов в отчетах;
• Возможность получения демо-версии системы;
• Наличие документации на русском языке;
• Наличие и качество технической поддержки.