БЕЗОПАСНОСТЬ
Расширение функциональности современных систем анализа защищенности помогает ИТ-менеджерам убедить руководство компании в необходимости приобретения таких средств. Существует ряд типичных сценариев, охватывающих до 90% случаев, в которых требуется применение систем анализа защищенности.
Инвентаризация и построение карты сети
Точная и надежная фиксация информации о компонентах корпоративной сети и данных с момента их появления до момента уничтожения - залог того, что будут успешно обнаружены практически любые нарушения безопасности. Эти данные позволят сравнивать эталонную картину состояния информационной системы при ее создании (или при последнем санкционированном изменении) с текущим состоянием и таким образом своевременно выявлять несанкционированные изменения. Подходы к поиску таких изменений обычно основаны на определении различий между текущим и предварительно зафиксированным, ожидаемым состоянием контролируемого объекта. Персонал отдела защиты должен постоянно знать, где и какой именно ресурс находится и в каком виде. Без этой информации нельзя адекватно определить, было ли что-то добавлено, изменено, нарушено и т. д. Особенно это важно для российских компаний, где практически всегда есть “продвинутые” сотрудники, которые, считая себя компетентными во всем, самостоятельно реконфигурируют свои рабочие станции и серверы, не ставя в известность ИТ-персонал.
Однако, к сожалению, во многих организациях этапом построения карты сети (network map) обычно пренебрегают. Связано это с тем, что сбор информации о компонентах ИС - довольно долгий и рутинный процесс, требующий не только материальной поддержки. Зачастую сотрудники отделов защиты информации не имеют соответствующей подготовки, порой у них нет доступа к оборудованию, функционирующему в сети. Поэтому приходится идти на компромисс со специалистами управления телекоммуникациями, информатизацией и т. д. Только совместная работа позволяет собрать всю необходимую информацию. Как показывает российская практика, карта сети создается (если создается вообще) лишь на этапе проектирования ИС. Затем она уже не поддерживается в актуальном состоянии и не может служить основой для контроля и обнаружения несанкционированных изменений. Кроме того, нередко карта сети находится только в управлениях по информатизации, а для отделов защиты недоступна, что существенно снижает эффективность их работы.
Карта сети - это не просто документ, содержащий полную информацию об ИС. Подобно географическому атласу, множество карт которого по-разному описывают одну и ту же территорию, сетевая карта содержит все аспекты функционирования корпоративной сети. Без такой карты можно оказаться в ситуации, когда надо “пойти туда, не знаю куда, и принести то, не знаю что”.
Для построения сетевой составляющей этой карты следует применять системы сетевого управления (HP OpenView, SPECTRUM, MS Visio и т. п.). Такого рода инструменты включают в себя функцию AutoDiscovery, которая автоматически поддерживает актуальность сетевой карты, отслеживая все несанкционированные изменения. Однако подобные средства стоят немалых денег и не всегда к ним имеют доступ сотрудники отделов защиты информации. В этом случае можно задействовать системы анализа защищенности, способные идентифицировать на узлах сети следующие параметры:
- имя (DNS и NetBIOS) и роль узла;
- сетевые сервисы;
- заголовки активных сервисов;
- типы и версии используемых ОС и прикладного ПО;
- разделяемые ресурсы NetBIOS (NetBIOS Share);
- учетные записи;
- общие параметры политики безопасности (политика аудита, использования паролей и учетных записей и т. д.).
Обнаружение конфигураций
“по умолчанию”
Как показывает практика, многие системные администраторы устанавливают ОС, прикладное программное и сетевое программно-аппаратное обеспечение в конфигурации, заданной по умолчанию. С одной стороны, это существенно облегчает и ускоряет их работу, а с другой - приводит к тому, что злоумышленники, используя известные слабости таких конфигураций, проникают на узлы корпоративной сети. Системы анализа защищенности могут быть настроены на поиск узлов с ПО, установленным в конфигурации “по умолчанию”, и рекомендовать шаги по устранению найденных проблем. Число уязвимостей в различных заданных по умолчанию конфигурациях ОС семейства Windows, обнаруженных системой Internet Scanner 6.1, приведено в таблице.
Обнаружение модемов
Часто сотрудники компаний, где доступ в Интернет регламентирован и разграничен с помощью различных защитных средств (межсетевых экранов, систем контроля содержания и т. д.), подключают к своим компьютерам модемы и используют их для выхода в Интернет, минуя защитные механизмы. По модему также можно получать обновления различных юридических и бухгалтерских программ (например, “Консультанта-Плюс” или “1С:Бухгалтерии”). И наконец, модемы применяют для доступа к рабочему месту из дома. Это представляет большую угрозу для многих компаний, так как компьютеры с подключенными модемами никак не защищены и любой злоумышленник, обнаружив такой “черный ход”, может воспользоваться им для несанкционированного доступа к ресурсам, требующим обязательной защиты. В своей практике я, к сожалению, не встречал ни одной компании, в которой не было бы хотя бы одного модема, имеющего канал во внешний мир в обход требований политики безопасности.
Системы анализа защищенности позволяют своевременно обнаруживать в корпоративной сети модемы и сообщать об этом администратору безопасности (см. рис. 1).
Рис. 1. Обнаружение модемов в защищенной корпоративной сети
Обнаружение неизвестных устройств
Нередки случаи, когда злоумышленники подключают свои ПК или ноутбуки к критически важным сегментам сети, получая таким образом доступ к передаваемой конфиденциальной информации (например, паролям или платежным поручениям). Установленные на этих компьютерах анализаторы протоколов (снифферы) позволяют перехватывать весь сетевой трафик, циркулирующий между узлами критичного сегмента. Опасность таких несанкционированно подключенных устройств в том, что они без труда получают доступ к паролям пользователей (в том числе и администратора), передаваемым в незащищенном виде по большинству протоколов на базе стека TCP/IP. В частности, беззащитны перед чужим любопытством HTTP, FTP, Telnet, POP3, IMAP и т. д. Открытой остается и информация, передаваемая между SQL-сервером и клиентским ПО.
Системы анализа защищенности обеспечивают своевременное обнаружение в корпоративной сети несанкционированно подключенных устройств и оповещают об этом администратора безопасности (рис. 2.).
Рис. 2. Обнаружение неизвестных устройств
Контроль эффективности работы ИТ-подразделений
Иногда ИТ-подразделения организации получают неограниченную и неконтролируемую власть над ИС и ее компонентами, что приводит к появлению уязвимых мест в программно-аппаратном обеспечении, неустраняемых в течение долгого времени. Обычно это происходит из-за лени, нехватки времени или просто нежелания заниматься рутинной работой.
Нередко обиженные или недовольные ИТ-администраторы могут бесконтрольно изменять конфигурацию сетевого оборудования, важных серверов и других устройств, чтобы нанести своей организации ущерб или шантажировать руководство.
Системы анализа защищенности являются эффективным, а зачастую единственным средством контроля сотрудников и подразделений, имеющих большую власть над информационной системой организации.
Анализ защищенности удаленных офисов
В последние годы в практику входит объединение филиалов одной организации, разбросанных по разным территориям и взаимодействующих по открытым каналам связи на базе Интернета, в общую корпоративную сеть. Обычно считается, что основное внимание злоумышленников направлено на центральный офис, содержащий важную конфиденциальную информацию. Его защите и уделяется максимум сил и средств. Понимая это, злоумышленники пытаются проникнуть к менее защищенным точкам корпоративной сети, т. е. именно к удаленным филиалам, с которыми у центрального офиса установлены доверительные отношения. И даже если сеть защищена межсетевым экраном, а связь с филиалом поддерживается с помощью VPN-соединений, злоумышленник вполне может реализовать свои атаки. Мало того, их эффективность будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. И если в центральном офисе всегда есть квалифицированные специалисты, способные оценить защищеность и проанализировать конфигурацию сетевого оборудования, то удаленные офисы и филиалы похвастаться такой возможностью никак не могут. Зачастую они попросту не имеют в штате сотрудников, отвечающих за защиту информации, что и приводит к печальным последствиям.
Функция дистанционного сканирования, реализованная в системах анализа защищенности, позволяет проводить поиск уязвимостей в удаленных филиалах и офисах (в том числе и находящихся в других городах и странах) так же эффективно, как и при анализе локальной сети (рис. 3).
Рис. 3. Дистанционное сканирование филиальной сети
Иногда помимо дистанционного сканирования удаленные офисы обращаются за помощью к экспертам-аудиторам, которые проводят необходимый анализ защищенности на месте. Системы анализа защищенности помогают и в этом случае: достаточно установить ее на ноутбук аудитора и по приезде в удаленный филиал подключить этот ноутбук к локальной сети.
Проведение обследований заказчика
Еще одна область использования средств анализа защищенности -аутсорсинг. Анализ обеспечения информационной безопасности показывает, что, во-первых, на приобретение средств защиты информации и на построение комплексной системы информационной безопасности необходимые финансовые ресурсы в российских компаниях не выделяются. В результате приобретается не то, что надо, а то, на что хватает денег, и в линии обороны предприятия появляются слабые места. Во-вторых, внедрение системы защиты - это длительный и кропотливый процесс, который может занять месяцы.
Кроме того, построение системы защиты требует привлечения высококвалифицированных специалистов, которые не только знают, на какие кнопки надо нажимать, но и понимают, когда нажимать и к чему это может привести. Мало того, свои знания и умения необходимо постоянно повышать, чтобы всегда быть в курсе последних достижений хакерских технологий и своевременно предотвращать новые способы атак и использования уязвимостей.
Есть и еще одна сторона у этой проблемы: предлагаемые на рынке средства защиты включают в себя большое число функций, многие из которых никогда не используются и вряд ли будут задействованы заказчиками. Например, если у вас нет в сети Unix-узлов, то вы и не будете проверять их на наличие уязвимостей при помощи возможностей Unix-сканирования, встроенных в систему анализа защищенности. Но в стоимость эти средства уже включены. Кроме того, некоторые решения вам нужны периодически. Так, некоторые компании проводят анализ защищенности своих узлов не постоянно, а раз в месяц. Все остальное время эти средства простаивают. И наконец, немалую проблему составляет поддержка и своевременное обновление (наращивание мощностей, масштабирование и т. д.) корпоративной системы защиты информации. Все эти вопросы остро стоят перед российскими потребителями, особенно теми, кто намерен заниматься электронной коммерцией, что сразу же делает их мишенью для злоумышленников. Решить эти проблемы качественно, быстро и за приемлемые деньги - очень непростая, а зачастую невозможная задача.
Именно поэтому в последнее время появляются компании, предлагающие заказчикам услуги по регулярному сканированию сетей, - провайдеры услуг по безопасности (Security Service Provider, SSP). Использование систем анализа защищенности - непременный атрибут их деятельности, позволяющий проводить поиск уязвимостей корпоративных ресурсов и средств защиты заказчика на регулярной основе. По результатам данного сканирования выявляются все уязвимые места, вырабатываются рекомендации по их устранению и предоставляются все необходимые обновления.
Заключение
В целом хочу отметить, что описанные здесь сценарии применения систем анализа защищенности наряду с “классическим” сканированием рабочих станций и серверов, сетевого оборудования, межсетевых экранов, IDS-систем и других средств защиты, а также анализом редко подключаемых сетевых сервисов позволяют существенно расширить область их применения и найти новых заказчиков для таких широко известных на российском рынке систем, как Internet Scanner, NetRecon, Nessus.
С автором можно связаться по адресу: luka@infosec.ru.