ISSN 1991-3087
Рейтинг@Mail.ru Rambler's Top100
Яндекс.Метрика

НА ГЛАВНУЮ

Автоматизированные средства анализа защищенности информационных систем.

 

Суханов Андрей Вячеславович,

кандидат технических наук,

начальник управления специальных работ ЗАО «ЭВРИКА», г. Санкт – Петербург.

 

Для решения задачи обеспечения эффективной безопасности ИС необходимо применять комплексные средства защиты, складывающиеся из применения традиционных средств обеспечения ИБ (криптография, аутентификация, контроль доступа и т.д.), периодического проведения анализа сети на наличие уязвимостей (аудит) и постоянного контроля трафика в информационной системе на предмет обнаружения вторжений (мониторинг).

Для своевременного обнаружения нарушений политики безопасности применяются ряд механизмов, самым распространенным из которых является применение автоматизированных средств анализа защищенности информационных систем (ИС) [6]. Данные средства, имитируя атаки злоумышленников, позволяют выявлять в ИС уязвимости и выдавать рекомендации по их устранению [7, 8].

Известные средства анализа защищенности ИС ориентированы на конкретную операционную систему (ОС), либо тестирование отдельной уязвимости (например, Crack), либо знание архитектуры сети и ОС (например, SATAN). Поэтому для принятия решения о выборе средства оценки защищенности ИС, необходим анализ используемого программного (ПО) и аппаратного обеспечения и учет функциональных особенностей ИС.

 

Программные средства анализа защищенности ИС.

 

Рассмотрим программные средства SAFEsuite [9] компании ISS (Internet Security Systems Inc.), предназначенные для анализа защищенности сетевых сервисов и протоколов Internet Scanner; операционных систем System Security Scanner; баз данных Database Scanner; обнаружения атак на сегменты и узлы сети RealSecure; поддержки принятия решения SAFEsuite Decisions.

Internet Scanner предоставляет способ для анализа и управления рисками безопасности путем автоматического сканирования сети и обнаружения известных уязвимостей, собранных в пополняемую базу данных уязвимостей и атак. Обеспечивает эффективный анализ защищенности как на уровне сети и уровне ОС, так и на уровне прикладного ПО за счет устранения ряда недостатков, присущих средствам защиты информации, которые:

1.                  Являются средствами предотвращения НСД к узлам информационной системы или атакам на них, но, как правило, не устраняют уязвимости ОС и прикладного ПО, которые могут быть использованы злоумышленниками. Существует потребность в дополнении средств предотвращения атак, средствами упреждения.

2.                  Не защищают от внутренних угроз. СЗИ должны предотвращать НСД к ресурсам ИС независимо от привилегий пользователей.

3.                  Не позволяют оценивать эффективность настройки. Неправильная конфигурация при использовании эффективных средств защиты может привести к проникновению злоумышленника в ИС. Поэтому администраторам безопасности требуются средства, контролирующие правильность параметров настройки СЗИ, ОС и прикладного ПО, влияющих на уровень защищенности информационной системы.

4.                  Функционируют по однажды заданным правилам и не позволяют динамично изменять конфигурацию СЗИ. Большинство средств защиты требует участия администратора безопасности в процессе реконфигурации, что в экстренных случаях может привести к выводу ИС из строя раньше, чем администратор получит об этом уведомление. Поэтому возможность динамического изменения правил функционирования является необходимым условием эффективного функционирования современных средств защиты информации.

Internet Scanner использует технологию SmartScan, которая учитывает шаблон поведения хакера. Технология позволяет проводить изучение ИС, запоминать и автоматически использовать информацию, собранную в течение ряда сеансов сканирования, для более детального анализа уязвимостей ИС. Технология SmartScan на основе анализа сеансов сканирования вносит выявленные уязвимости в базу данных с тем, чтобы обнаруживать дополнительные уязвимости. Затем использует накопленные знания для расширения возможностей сканирования и повышения эффективности анализа защищенности. В системе реализована возможность удаленного обнаружения модемов, которые могут быть использованы для обхода межсетевого экрана (МСЭ) и НСД к ресурсам ИС.

System Security Scanner - система анализа защищенности предназначена для обнаружения уязвимостей на уровне ОС за счет сканирования компьютера изнутри, в то время как система Internet Scanner - снаружи.

Database Scanner - система обнаружения уязвимостей в базах данных под управлением Microsoft SQL Server, Sybase и Oracle.

RealSecure - система обнаружения атак на узлы ИС и устанавливается на защищаемый сегмент сети для постоянного слежения за сетевым IP-трафиком. Обнаружение атаки производится в режиме реального времени путем выявления статистических закономерностей трафика и сравнения их с масками, хранящимися в базе данных, так и путем слежения за нарушениями профилей, ранее сформированных для защищаемой системы.

SAFEsuite Decisions - система централизованно накопления информации о защите, поступающей из различных источников, включая данные от МСЭ, системы обнаружения атак и систем анализа защищенности. Позволяет собирать данные от отечественных МСЭ «Пандора» и «Застава-Джет». SAFEsuite Decisions автоматически сравнивает и анализирует поступающие данные для определения уровня защищенности информационной системы.

Недостатком рассмотренного комплекса средств защиты можно считать отсутствие количественной оценки свойства «защищенность» ИС.

 

Системы автоматического сканирования ИС.

 

Систему автоматического сканирования ИС рассмотрим  на примере Internet Scanner, предназначенного для обнаружения уязвимостей путем проведения тестов сетевых сервисов, ОС, прикладного ПО, маршрутизаторов, МСЭ, Web-серверов и пр. По итогам тестирования Internet Scanner формирует отчеты, содержащие описание обнаруженных уязвимостей, их расположение на узлах информационной системы и рекомендации по их устранению.

Internet Scanner применяется для анализа защищенности ИС на основе стека протоколов TCP/IP. Периодическое сканирование сетевых устройств и ПО позволяет устранить потенциальные уязвимости до того, как ими воспользуются злоумышленники. Internet Scanner состоит из 3 подсистем, предназначенных для тестирования устройств ИС (Intranet Scanner), МСЭ (Firewall Scanner) и Web-серверов (Web Security Scanner).

Подсистема Intranet Scanner (рис. 1) - средство анализа сетевой безопасности для автоматического обнаружения уязвимостей. Подсистема, используя тесты, позволяет оценить эффективность и надежность конфигурации рабочих станции в составе ИС. К системам, тестируемым Intranet Scanner, относятся ИС, использующие ОС UNIX, ОС Microsoft Windows и др. ОС, поддерживающие стек протоколов TCP/IP, а также интеллектуальные принтеры (имеющие IP-адрес),  удаленные терминалы и т. п.

Администраторы безопасности, как правило, защищают компьютеры, на которых обрабатывается критичная информация. Однако общий уровень безопасности сети определяется уровнем безопасности самого слабого ее звена [10]. Поэтому недооценка в защите редко используемых служб, например, сетевой печати или сетевого факса может быть использована злоумышленниками для проникновения в ИС. Intranet Scanner обнаруживает слабые места и формулирует предложения по их коррекции или устранению.

Подсистема Firewall Scanner (рис. 2) повышает уровень защищенности ИС путем тестирования МСЭ на наличие известных уязвимостей и некорректной конфигурации.

Подсистема Web Security Scanner (рис. 3) позволяет выявить известные уязвимости и неправильную конфигурацию Web-сервера и формирует рекомендации по повышению уровня его защищенности. Web Security Scanner проводит анализ ОС, под управлением которой работает Web-сервер, и приложения, реализующего функции Web-сервера.

 

Рис. 1.

Подсистема Intranet Scanner.

 

Рис. 2.

Подсистема Firewall Scanner.

 

Рис. 3.

Подсистема Web Security Scanner.

 

В процессе тестирования оценивается безопасность файловой системы, проводится поиск известных уязвимостей и анализ пользовательских скриптов. Уязвимости идентифицируются и формируется отчет с рекомендациями по их устранению.

Система Internet Scanner гарантирует качество анализа защищенности ИС за счет:

·                     разнообразия проводимых тестов;

·                     создания тестов, учитывающих специфику ПО, используемого в ИС;

·                     автоматического обновления базы данных уязвимостей и компонентов системы Internet Scanner через Internet;

·                     задания глубины сканирования (5 иерархических уровней);

·                     централизованного управления процессом сканирования;

·                     параллельного сканирования до 128 сетевых устройств;

·                     запуска процесса сканирования по расписанию - для периодического проведения анализа защищенности ИС;

·                     возможности управления из командной строки;

·                     наличия системы генерации отчетов;

·                     сохранения информации о процессе сканирования в базе данных;

·                     различных уровни детализации отчетов;

·                     различных форматы отчетов;

·                     функционирования под управлением ОС, поддерживающих стек протоколов TCP/IP: Linux, Windows, SunOS, Solaris, HP UX, AIX;

·                     справочной системы, которая помогает проводить анализ ИС;

·                     простого и интуитивно понятного интерфейса;

·                     невысоких требований к ПО и аппаратному обеспечению.

Недостатком рассмотренных средств автоматического сканирования ИС можно считать отсутствие численных показателей, позволяющих сопоставить качество различных СЗИ или динамику изменения защищенности конкретной ИС в процессе эксплуатации.

 

Оценки защищенности информационных систем.

 

Официально признаваемой оценкой защищенности ИС являются классы защищенности, описание которых приведено в стандартах защищенности.

Известные оценки защищенности АС исходят из наличия определенного набора средств и механизмов защиты, методик изготовления, эксплуатации и тестирования, позволяющих отнести то или иное устройство или ИС в целом к одному из дискретных уровней защищенности в соответствии с используемыми в данной стране стандартами [1 - 5].

Для количественной оценки уровня защищенности используют рейтинговые показатели, которые учитывает распределение механизмов защиты по уровням иерархической модели СЗИ и изменение вероятности достижения злоумышленником объекта защиты в зависимости от уровня СЗИ [11].

 

Литература.

 

1.                   ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - Часть1. Введение и общая модель. – Госстандарт России, Москва, 2002.

2.                   ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. – Госстандарт России, Москва, 2002.

3.                   ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. – Госстандарт России, Москва, 2002.

4.                   Девянин П. Н. и др. Теоретические основы компьютерной безопасности. - М.: «Радио и Связь» - 2000.

5.                   Common Criteria for Information Technology Security Evaluation. Version 2.2. Revision 256. Part 1: Introduction and general model. – January 2004.

6.                   Городецкий В. И., Котенко И. В. Командная работа агентов-хакеров: применение многоагентной технологии для моделирования распределенных атак на компьютерные сети // VIII Национальная конференция по искусственному интеллекту КИИ-2002. - М.: Физматлит, 2002.

7.                   Gorodetski V., Kotenko I. Attacks against Computer Network: Formal Grammar-based Framework and Simulation Tool // Recent Advances in Intrusion Detection. Switzerland. Proceedings. Lecture Notes in Computer Science, V.2516. 2002.

8.                   http://www.iss.net.

9.                   Мельников В. В. Защита информации в компьютерных системах. - М.: Финансы и статистика; Электронинформ, 1997.

10.                Осовецкий Л., Шевченко В. Оценка защищенности сетей и систем // Экспресс электроника. 2002. № 2 - 3. С. 20 -  24.

11.                Карпычев В. Ю., Минаев В. А. Цена информационной безопасности // Системы безопасности. 2003, № 5. С. 128 - 130.

 

Поступила в редакцию 23.04.2008 г.

2006-2019 © Журнал научных публикаций аспирантов и докторантов.
Все материалы, размещенные на данном сайте, охраняются авторским правом. При использовании материалов сайта активная ссылка на первоисточник обязательна.