Концепция адаптивного управления безопасностью

Атакой на корпоративную информационную систему считается любое действие, выполняемое нарушителем для реализации угрозы путем использования уязвимостей КИС. Под уязвимостью корпоративной информационной системы понимается любая характеристика или элемент КИС, использование которых нарушителем может привести к реализации угрозы.

Уязвимы практически все компоненты корпоративной информационной системы. Во-первых, это сетевые протоколы (TCP/IP, IPX/SPX, NetBIOS/SMB) и устройства (маршрутизаторы, коммутаторы), образующие сеть; во-вторых – операционные системы (Windows NT, UNIX, Netware); в-третьих – базы данных (Oracle, Sybase, MS SQL Server) и приложения (SAP, почтовые и Web-серверы и т.д.) [50].

В общем случае архитектура корпоративной информационной системы включает в себя четыре уровня:

1. Уровень прикладного программного обеспечения, отвечающий за взаимодействие с пользователем. Примером элементов ИС, работающих на этом уровне, можно назвать текстовый редактор WinWord, редактор электронных таблиц Excel, почтовую программу Outlook Express, системы MS Query и т.д.

2. Уровень системы управления базами данных, отвечающий за хранение и обработку данных информационной системы. Примером элементов ИС, работающих на этом уровне, можно назвать СУБД Oracle, MS SQL Server, Sybase и даже MS Access.

3. Уровень операционной системы, отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примером элементов ИС, работающих на этом уровне, можно назвать ОС Microsoft Windows NT, Sun Solaris, Novell Netware.

4. Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примером элементов ИС, работающих на этом уровне, можно назвать стеки протоколов TCP/IP, IPS/SPX и SMB/NetBIOS.

Злоумышленник располагает широким спектром возможностей для нарушения безопасности КИС. Эти возможности могут быть реализованы на всех четырех перечисленных выше уровнях КИС. Например, для получения несанкционированного доступа к финансовой информации в СУБД MS SQL Server злоумышленник может реализовать одну из следующих возможностей:

1. Перехватить передаваемые по сети данные (уровень сети).

2. Прочитать файлы базы данных, обращаясь непосредственно к файловой системе (уровень ОС).

3. Прочитать нужные данные средствами самой СУБД (уровень СУБД).

4. Прочитать записи БД при помощи SQL-запросов через программу MS Query, которая позволяет получать доступ к записям СУБД (уровень прикладного ПО).

При построении большинства традиционных компьютерных средств защиты использовались классические модели разграничения доступа, разработанные еще в 1970-1980-е годы. Недостаточная эффективность таких традиционных механизмов защиты, как разграничение доступа, аутентификация, фильтрация и др., обусловлена тем, что при их создании не учтены многие аспекты, связанные с современными атаками.

Рассмотрим этапы осуществления атаки на КИС (рис. 10.1) [50].

Предпосылки Реализация Завершение

проведения атаки атаки атаки

 

Рис. 10.1. Этапы осуществления атаки

Первый, подготовительный, этап заключается в поиске злоумышленником предпосылок для осуществления той или иной атаки. На этом этапе злоумышленник ищет уязвимости в системе. На втором, основном, этапе – реализации атаки – осуществляется использование найденных уязвимостей. На третьем, заключительном, этапе злоумышленник завершает атаку и старается скрыть следы вторжения. В принципе, первый и третий этапы сами по себе могут являться атаками. Например, поиск злоумышленником уязвимостей при помощи сканеров безопасности считается атакой.

Следует отметить, что существующие механизмы защиты, реализованные в межсетевых экранах, серверах аутентификации, системах разграничения доступа, работают только на этапе реализации атаки. Фактически, эти механизмы защищают от атак, которые находятся уже в процессе осуществления. Более эффективным было бы упреждение атак, то есть предотвращение самих предпосылок реализации вторжения. Комплексная система обеспечения информационной безопасности должна эффективно работать на всех трех этапах осуществления атаки.

К сожалению, в организациях часто не учитывается тот факт, что администраторы и пользователи регулярно изменяют конфигурацию информационной системы. В результате этих изменений могут появляться новые уязвимости, связанные с операционными системами и приложениями. Кроме того, очень быстро изменяются информационные и сетевые технологии, регулярно появляется новое программное обеспечение. Непрерывное развитие сетевых технологий при отсутствии постоянно проводимого анализа их безопасности и нехватке ресурсов для обеспечения защиты приводит к тому, что с течением времени защищенность корпоративной информационной системы падает, так как появляются новые неучтенные угрозы и уязвимости системы.

В большинстве случаев для решения возникающих проблем с защитой в организациях используются частичные подходы. Эти подходы обычно обусловлены, прежде всего, текущим уровнем доступных ресурсов. Кроме того, администраторы безопасности имеют тенденцию реагировать только на те риски безопасности, которые им понятны. Фактически таких рисков может быть существенно больше. Только строгий текущий контроль защищенности КИС и комплексный подход, обеспечивающий единую политику безопасности, позволяют значительно снизить риски безопасности.

Адаптивный подход к безопасности позволяет контролировать, обнаруживать и реагировать в режиме реального времени на риски безопасности, используя правильно спроектированные и хорошо управляемые процессы и средства.

Адаптивная безопасность сети обеспечивается тремя основными элементами [Х46]:

– технологиями анализа защищенности (security assessment);

– технологиями обнаружения атак (intrusion detection);

– технологиями управления рисками (risk management).

Оценка риска состоит в выявлении и ранжировании уязвимостей (по степени серьезности ущерба потенциальных воздействий), подсистем сети (по степени критичности), угроз (исходя из вероятности их реализации) и т.д. Поскольку конфигурация сети постоянно изменяется, то и процесс оценки риска должен проводиться непрерывно. С оценки рисков должно начинаться построение системы защиты корпоративной информационной системы.

Анализ защищенности — это поиск уязвимых мест в сети. Сеть состоит из соединений, узлов, хостов, рабочих станций, приложений и баз данных. Все они нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных уязвимостей в них. Технологии анализа защищенности позволяют исследовать сеть, найти слабые места в ней, обобщить эти сведения и выдать по ним отчет. Если система, реализующая эту технологию, содержит и адаптивный компонент, то устранение найденной уязвимости будет осуществляться не вручную, а автоматически. Технология анализа защищенности является действенным методом, позволяющим реализовать политику сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.

Перечислим некоторые из проблем, идентифицируемых технологией анализа защищенности:

– «дыры» в системах (back door) и программы типа троянский конь;

– слабые пароли;

– восприимчивость к проникновению из незащищенных систем и атакам типа «отказ в обслуживании»;

– отсутствие необходимых обновлений (патчей и др.) операционных систем;

– неправильная настройка межсетевых экранов, Web-серверов и баз данных и многое другое.

Обнаружение атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и приложения, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные события, в том числе и действия, использующие известные уязвимости (рис. 10.2).

Рис. 10.2. Взаимодействие систем анализа защищенности и обнаружения атак

Адаптивный компонент модели адаптивного управления безопасностью ANS отвечает за модификацию процесса анализа защищенности, предоставляя самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией об атаках. В качестве примера адаптивного компонента можно указать механизм обновления баз данных антивирусных программ для обнаружения новых вирусов. Управляющий компонент должен быть способен к генерации отчетов и анализу тенденций, связанных с формированием системы защиты организации.

В отчете Yankee Group указано, что адаптация данных реализуется в различных формах реагирования, которые могут включать:

– отправление уведомлений системам сетевого управления по протоколу ANMP, по электронной почте или на пейджер администратору;

– автоматическое завершение сессии с атакующим узлом или пользователем, реконфигурация межсетевых экранов или иных сетевых устройств (например, маршрутизаторов);

– выработка рекомендаций администратору, позволяющих своевременно устранить обнаруженные уязвимости в сетях, приложениях или иных компонентах информационной системы организации [51].

Использование модели адаптивного управления безопасностью сети (рис. 10.3) дает возможность контролировать практически все угрозы и своевременно реагировать на них высокоэффективным способом, позволяющим не только устранить уязвимости, которые могут привести к реализации угрозы, но и проанализировать условия, приводящие к появлению уязвимостей.

 

Идентификация/ аутентификация

Рис. 10.3. Модель адаптивного управления безопасностью

Модель адаптивного управления безопасностью сети позволяет также уменьшить злоупотребления в сети, повысить осведомленность пользователей, администраторов и руководства компании о событиях в сети. Следует отметить, что данная модель не отбрасывает уже используемые механизмы защиты (разграничение доступа, аутентификацию и т.д.). Она расширяет их функциональность за счет новых технологий. Для того чтобы привести свою систему обеспечения информационной безопасности в соответствие современным требованиям, организациям необходимо дополнить имеющиеся решения тремя новыми компонентами, отвечающими за анализ защищенности, обнаружение атак и управление рисками.

⇐ Предыдущая12345Следующая ⇒

Поделиться: