Контрольная работа по дисциплине Современные технологии обеспечения информационной безопасности
Скачать 59.08 Kb.
|
Федеральное агентство связи «Сибирский государственный университет телекоммуникаций и информатики» (СибГУТИ) Кафедра Безопасность и управление в телекоммуникациях Тема: Проблема небезопасности Web-технологий Контрольная работа по дисциплине «Современные технологии обеспечения информационной безопасности» (вариант № 4) Выполнил: студент ФАЭС, гр. АБ-88 / А.В. Громов/ «__»_________ 2022г. (подпись) Проверил: / А.А. Киселев/ «__»_________ 2022 г. (подпись) Новосибирск 2022 ОглавлениеВведение 2 1.Проблемы небезопасности современных веб-технологий 4 2. Информационная безопасность Web приложений –современные решения 11 3. Средства защиты информации 19 Заключение 26 Список использованных истчоников 27 Введение Сеть Интернет в последнее время демонстрирует небывалые показатели роста, как по количеству пользователей, так и по числу веб-серверов. Одновременно с ростом использования Интернет в качестве бизнес-инструмента растет и ущерб, который наносит различным веб-приложениям и их владельцам несанкционированный доступ к находящейся там информации. Практика показывает, что эффективно защитить веб-приложение можно, лишь предусмотрев все опасности на стадии разработки. Internet - глобальная компьютерная сеть, охватывающая весь мир. Сегодня Internet имеет около 15 миллионов абонентов в более чем 150 странах мира. Ежемесячно размер сети увеличивается на 7-10%. Internet образует как бы ядро, обеспечивающее связь различных информационных сетей, принадлежащих различным учреждениям во всем мире, одна с другой. Если ранее сеть использовалась исключительно в качестве среды передачи файлов и сообщений электронной почты, то сегодня решаются более сложные задачи распределенного доступа к ресурсам. Около двух лет назад были созданы оболочки, поддерживающие функции сетевого поиска и доступа к распределенным информационным ресурсам, электронным архивам. Internet, служившая когда-то исключительно исследовательским и учебным группам, чьи интересы простирались вплоть до доступа к суперкомпьютерам, становится все более популярной в деловом мире. Компании соблазняют быстрота, дешевая глобальная связь, удобство для проведения совместных работ, доступные программы, уникальная база данных сети Internet. Они рассматривают глобальную сеть как дополнение к своим собственным локальным сетям. Фактически Internet состоит из множества локальных и глобальных сетей, принадлежащих различным компаниям и предприятиям, связанных между собой различными линиями связи. Internet можно представить себе в виде мозаики сложенной из небольших сетей разной величины, которые активно взаимодействуют одна с другой, пересылая файлы, сообщения и т.п. В архивах свободного доступа сети Internet можно найти информацию практически по всем сферам человеческой деятельности, начиная с новых научных открытий до прогноза погоды на завтра. Кроме того Internet предоставляет уникальные возможности дешевой, надежной и конфиденциальной глобальной связи по всему миру. Это оказывается очень удобным для фирм имеющих свои филиалы по всему миру, транснациональных корпораций и структур управления. Обычно, использование инфраструктуры Internet для международной связи обходится значительно дешевле прямой компьютерной связи через спутниковый канал или через телефон1. Цель работы рассмотреть и выявить проблемы небезопасности Web-технологий. Работа состоит из введения, основной части, заключения, списка источников. 1.Проблемы небезопасности современных веб-технологий Использование рекомендаций Open Web Application Security Project (OWASP) давно стало стандартом обеспечения безопасности веб-приложений. OWASP Top 10 – это отчет или информационный документ, в котором перечислены основные проблемы, связанные с безопасностью веб-приложений. Он регулярно обновляется, чтобы постоянно отображать 10 наиболее серьезных рисков, с которыми сталкиваются организации. OWASP рекомендует всем компаниям учитывать выводы документа при построении корпоративных процессов, чтобы минимизировать и смягчить актуальные риски безопасности2. Отчет об уязвимостях OWASP формируется на основе консенсуса мнений экспертов по безопасности со всего мира. Он ранжирует риски на основе частоты дефектов, серьезности уязвимостей и их потенциального воздействия. Это дает разработчикам и специалистам по безопасности понимание наиболее серьезных рисков и позволяет им минимизировать возможные последствия эксплуатации уязвимостей злоумышленниками. В последнем отчете OWASP перечислены 10 основных уязвимостей: Инъекции (Injections). Нарушенная аутентификация (Broken Authentication). Раскрытие критически важных данных (Sensitive Data Exposure). Внешние объекты XML (XXE) (XML External Entities (XXE)). Нарушенный контроль доступа (Broken Access control). Неправильная конфигурация безопасности (Security misconfigurations). Межсайтовый скриптинг (XSS) (Cross Site Scripting (XSS)). Небезопасная десериализация (Insecure Deserialization). Использование компонентов с известными уязвимостями (Using Components with known vulnerabilities). Недостаточно подробные журналы и слабый мониторинг (Insufficient logging and monitoring). 1. Инъекции Инъекционные атаки происходят, когда ненадежные данные передаются интерпретатору кода через ввод формы или с помощью другого способа отправки информации в веб-приложение. Например, злоумышленник может ввести код на SQL в форму, которая ожидает имени пользователя. Если ввод данных не защищен должным образом, это приведет к выполнению кода – такие атаки известны как SQL-инъекции. Инъекционные атаки можно предотвратить путем проверки и/или очистки отправленных пользователем данных. В первом случае подозрительные данные отклоняются полностью, а во втором производится очистка только их подозрительной части. Кроме того, администратор базы данных может установить специальные элементы управления, чтобы минимизировать объем информации, которую может раскрыть атака с использованием SQL-инъекций. 2. Нарушенная аутентификация Уязвимости аутентификации могут позволить злоумышленникам получить доступ к учетным записям пользователей, включая привилегированные, которые затем можно использовать для получения контроля над корпоративными информационными системами. Веб-сайты часто имеют проблемы с механизмами аутентификации. Прежде всего связаны они с некорректным управлением сеансами, что может быть использовано злоумышленниками для получения доступа к учетным записям пользователей и учетным данным для входа. OWASP Top 10 содержит целый список подобных уязвимостей: Возможность автоматизированного заполнения учетных данных и/или подбора пароля. Возможность использования стандартных, слабых и известных паролей. Неэффективные процессы восстановления учетных данных. Отсутствие многофакторной аутентификации (MFA) или ее неэффективная реализация. Предоставление идентификаторов сеансов в унифицированном указателе ресурсов (URL), отсутствие чередования идентификаторов сеансов и неправильное аннулирование идентификаторов сеансов и токенов аутентификации при выходе пользователя из системы или после периода бездействия. Количество уязвимостей можно уменьшить путем внедрения многофакторной аутентификации, а также внедрения ограничений, делающих невозможности автоматизированные атаки грубой силы (например, путем перебора). Не менее важно отсутствие спешки и наличие у разработчиков времени на проверку изменений перед запуском в продакшен, а также внедрение процедур тестирования кода на безопасность. Также необходимо внедрить жесткую парольную политику и использовать безопасные диспетчеры сеансов. 3. Раскрытие критически важных данных Основная причина риска раскрытия критически важных данных связана с отсутствием шифрования или с использованием ненадежных методов генерации и управления ключами, слабых алгоритмов шифрования, ненадежных способов хранения паролей и т.д. Кроме того, разработчики веб-приложений часто хранят конфиденциальные данные, даже если в этом нет необходимости. 4. Внешние объекты XML (XXE) Атаки XXE нацелены на веб-приложения, которые анализируют расширяемый язык разметки (XML). Они возникают, когда ввод содержащего ссылку на внешний объект кода XML обрабатывается синтаксическим анализатором со слабой конфигурацией. Анализаторы XML часто по умолчанию уязвимы для XXE, а значит разработчики должны удалить уязвимость вручную. Атаки XXE можно избежать, если веб-приложения принимают менее сложные формы данных (например, веб-токены JavaScript Object Notation (JSON)), исправляя синтаксические анализаторы XML или отключая использование внешних сущностей. Защититься от атак XXE можно, развернув шлюзы безопасности интерфейса прикладного программирования (API), виртуальные исправления и брандмауэры веб-приложений (WAF). 5. Нарушенный контроль доступа Проблемы с контролем доступа позволяют злоумышленникам обойти заданные ограничения и получить несанкционированный доступ к системам и конфиденциальным данным, а также потенциально получить доступ к учетным записям администраторов и привилегированных пользователей. Риск нарушения контроля доступа можно снизить, развернув концепцию наименее привилегированного доступа, регулярно проверяя серверы и веб-сайты, применяя MFA и удаляя с серверов неактивных пользователей и ненужные службы. Можно также защитить элементы управления доступом, используя токены авторизации при входе пользователей в веб-приложение и делая их недействительными после выхода из системы. Другие рекомендации включают регистрацию и отчеты об ошибках доступа, а также использование ограничения скорости для минимизации причиняемого автоматическими атаками ущерба. 6. Неправильная конфигурация безопасности Ошибки настройки безопасности считаются наиболее распространенной уязвимостью в рейтинге OWASP Top 10. Чаще всего они связаны с использованием стандартных настроек веб-сайтов или системы управления контентом (CMS). К распространенным ошибкам конфигурации также относятся неспособность исправить недостатки программного обеспечения, неиспользуемые веб-страницы, незащищенные каталоги и файлы, разрешения на совместное использование по умолчанию для служб облачного хранения, а также неиспользуемые или ненужные службы. Неправильная конфигурация безопасности может быть где угодно: в приложениях и веб-серверах, базах данных, сетевых службах, пользовательском коде, фреймворках, предустановленных виртуальных машинах и контейнерах. Конфигурацию безопасности можно исправить, изменив настройки веб-сервера или CMS по умолчанию, удалив неиспользуемые функции кода и контролируя данные пользователей и видимость пользовательской информации. Разработчики также должны удалить ненужную документацию, функции, структуры и образцы, сегментировать архитектуру приложений и автоматизировать проверку эффективности конфигураций и настроек веб-среды. 7. Межсайтовый скриптинг (XSS) Уязвимости XSS позволяют киберпреступникам внедрять скрипты на веб-сайт и использовать его для распространения выполняющегося в браузере пользователя вредоносного кода. Как правило это нужно для перехвата пользовательских сеансов, кражи конфиденциальных данных или перенаправления пользователя на вредоносные сайты3. Предотвратить эксплуатацию уязвимостей XSS можно с помощью брандмауэров веб-приложений (WAF), в то время как разработчики могут снизить вероятность XSS-атак, отделяя ненадежные данные от активных браузеров. Это включает в себя использование фреймворков, которые избегают XSS по своей конструкции, использование очистки и проверки данных, избегание ненадежных данных запроса протокола передачи гипертекста (HTTP) и развертывание политики безопасности контента (CSP). 8. Небезопасная десериализация В терминах хранения данных и информатики сериализация означает преобразование объектов или структур данных в байтовые строки. Десериализация означает преобразование этих байтовых строк в объекты. Небезопасная десериализация предполагает, что злоумышленники изменяют данные до того, как они будут десериализованы. Рекомендации OWASP по защите в отношении небезопасной десериализации касаются супер-файлов cookie, которые содержат сериализованную информацию о пользователях. Если злоумышленники могут успешно десериализовать объект, они могут предоставит себе роль администратора, сериализовать данные и поставить под угрозу все веб-приложения. Этого можно избежать, запретив сериализованные объекты и запретив десериализацию данных, поступающих из ненадежных источников. OWASP также рекомендует отслеживать деятельность по десериализации, внедрять проверки целостности любых сериализованных объектов для предотвращения подделки данных, изолировать десериализованный код от сред с низким уровнем привилегий, обеспечивать регистрацию всех исключений и сбоев десериализации, а также ограничивать и отслеживать сетевое подключение из контейнеров и серверов, десериализирующих данные. 9. Использование компонентов с известными уязвимостями Программные компоненты, такие как фреймворки и библиотеки, часто используются в веб-приложениях для обеспечения определенных функций. Однако эти компоненты могут содержать уязвимости, позволяющие злоумышленнику начать кибератаку. 10. Недостаточно подробные журналы и слабый мониторинг Успешную хакерскую атаку или утечку данных удается обнаружить далеко не всегда. Часто злоумышленники не только получают несанкционированный доступ к информационным системам, но хозяйничают в них месяцами или годами, оставаясь невидимыми. Чтобы этого не произошло, необходимо регистрировать и отслеживать поведение веб-приложения, чтобы своевременно распознать подозрите 2. Информационная безопасность Web приложений –современные решенияНаиболее простым способом компрометации конфиденциальной корпоративной информации сегодня является использование уязвимостей Web-приложений. Как снизить риски системы информационной безопасности путем своевременного обнаружения и устранения недостаточно надежных Web-приложений? Логика современного бизнеса тесно связана с обработкой конфиденциальной информации, в том числе и информации, доступной посредством Web. Потенциально секреты компании можно получить, используя обычный браузер. Если в дополнение к этому от Web-приложений требуется соблюдение стандартов безопасности (PCI DSS, NIST и др.), международных критериев (ISO/IEC 27005:2008, ITIL, COBIT и др.) и законодательных требований, то станет понятна необходимость проведения регулярного анализа защищенности. Способы анализа защищенности Сегодня имеется большое количество материалов, посвященных проведению анализа защищенности Web-приложений. Наиболее интересные из них?— библиотека документов Open Web Application Security Project (OWASP), содержащая полное руководство по поиску всевозможных уязвимостей, их классификацию, а также рекомендации к процессу проведения анализа защищенности. С точки зрения классификации уязвимостей интересны материалы проекта Web Application Security Consortium (WASC). Стоит также отметить открытый стандарт Open Source Security Testing Methodology Manual (OSSTMM), который рассматривает анализ защищенности Web-приложений в контексте комплексного процесса проведения тестирования на проникновение. Инструментальный анализ Данный способ в первую очередь предусматривает использование сканеров безопасности, а также дополнительных инструментов, автоматизирующих некоторые сценарии эксплуатации и выявления уязвимостей. Из наиболее популярных сканеров безопасности можно выделить Acunetix Web Security Scanner, HP Web Inspect и Positive Technologies MaxPatrol (ранее XSpider). Дополнительно может применяться утилита sqlmap, исследующая наличие SQL-инъекций, а также различные утилиты класса fuzzing, суть которых состоит в подаче намеренно некорректных данных на вход приложения и анализе возвращаемых им данных. Инструментальное обследование является наиболее простым и как следствие наиболее распространенным способом анализа защищенности Web-приложений. За простоту приходится расплачиваться ошибками «второго рода» (false negative) — пропуском части уязвимостей, которым подвержено исследуемое приложение. Например, сегодня сканеры не могут самостоятельно (то есть без использования сигнатур) выявить такие уязвимости, как небезопасное восстановление паролей (Weak Password Recovery Validation), отсутствие тайм-аута сессии (Insufficient Session Expiration) или логические атаки4. Если объектом атаки будет приложение, использующее рабочий процесс, в свою очередь реализующий некую бизнес-задачу, то это приложение может оказаться уязвимым, если не осуществляются проверки выполнения всех предыдущих этапов процесса. Предположим, что существует Web-приложение, которое использует некий процесс для активации денежной суммы с пластиковой карты. На первом этапе этого процесса приложение удостоверяется в корректности данных, вводимых пользователем, затем идет проверка, числится ли эта пластиковая карта в базе клиентов банка и соответствует ли запрашиваемая сумма номиналу счета. При отрицательном результате пользователь получает сообщение об ошибке. На последнем этапе этого процесса происходит изменение баланса счета пользователя в соответствии с введенными данными на первом этапе. Успешная атака на такое приложение может быть реализована в том случае, если существует возможность обратиться к последнему этапу процесса (пополнение счета) с передачей произвольной суммы для изменения баланса. Сканер безопасности пропустит подобную уязвимость — ему не известно, что была выполнена операция пополнения счета с произвольной суммой. Все, чем будет располагать сканер безопасности, это то, что при обращении к «такой-то» странице, на ней меняется «такое-то» значение и с его точки зрения — это не является уязвимостью. По такому же принципу может работать вполне безопасное приложение, например новостная лента или доска объявлений. Стоит отметить, что, несмотря на некоторые ограничения инструментального анализа защищенности, данный способ удовлетворяет требованиям стандарта Payment Card Industry Data Security Standard (PCI DSS) при проведении оценки защищенности узлов, доступных в Internet. Анализ вручную Поиск вручную в большинстве случаев позволяет выявить уязвимости, которые невозможно обнаружить инструментальным путем, однако требует больше времени. При этом качество анализа сильно зависит от уровня знаний специалиста в данной предметной области и его опыта проведения подобных работ. Важно понимать, что когда большинство проверок осуществляется вручную, то растет риск проявления «человеческого фактора». Однако существуют Web-приложения, в отношении которых невозможно или крайне затруднительно провести инструментальное обследование, например приложения из банковской сферы, использующие модель защиты от уязвимостей, основанных на так называемой «межсайтовой подделке запросов» (Cross-Site Request Forgery, CSRF). В этом случае единственным способом анализа защищенности является выполнение всех проверок вручную. Анализ исходного кода В отличие от анализа вручную, анализ исходного кода позволяет проверить защищенность Web-приложения, не затрагивая его работу, — исследование может выполняться без доступа к самому Web-серверу, если не требуется выполнение проверок эксплуатации уязвимости. Это наиболее безопасный способ проведения подобных работ. Одним из недостатков этого способа является невозможность провести оценку защищенности состояния Web-ресурса – здесь требуется непосредственный доступ к нему5. Анализ исходного кода позволяет выявить многие уязвимости, которым подвержено Web-приложение, однако для этого может потребоваться довольно много времени, которое зависит от сложности стиля программирования, используемого при написании приложения, и объема анализируемого кода. Кроме того, существует множество коммерческих приложений, разработчики которых распространяют свои продукты только в виде бинарных файлов (например, с использованием кодирования Zend или технологии ASP.NET), что не позволяет применить данный способ. Хотя стоит заметить, что можно проводить и бинарный анализ приложения (этим, в частности, занимается компания Veracode). На практике анализ исходного кода осуществляется в полном объеме преимущественно лишь для отдельных модулей или функций обследуемого приложения. В случае когда необходим анализ исходного кода на наличие уязвимостей всего приложения, прибегают к автоматизированному способу, проводимому статически или динамически. Поиск методом статистического анализа исходного кода основан на использовании сигнатур, которые в свою очередь базируются на аппарате регулярных выражений. Данный метод в силу своей простоты получил наибольшее распространение. Необходимо учитывать, что при использовании статического анализа неизбежны ошибки первого и второго рода, когда анализирующее приложение не сможет выявить некоторое число уязвимостей в силу отсутствия соответствующей сигнатуры. Возможны также многочисленные ложные уведомления о наличии уязвимости. Ошибки первого рода (false positive — «ненайденные уязвимости») при использовании статического анализа исходного возникают в силу следующих причин: при программировании Web-при-ложения используется сложный синтаксис; проверки переменных происходят с использованием собственных функций приложения; отсутствуют соответствующие сигнатуры. Динамический анализ более эффективен по сравнению со статическим. Средство, позволяющее выполнить динамический анализ кода, досконально разбирает синтаксис языка программирования, на котором написано исследуемое приложение, и проводит ряд проверок, направленных на выявление необработанных данных со стороны пользователя, поступающих в потенциально опасные функции приложения в качестве аргументов. Такой анализ позволяет за короткое время выявить все грубые ошибки, допущенные программистами, и выдать отчет с минимальным количеством ошибок первого и второго рода. Однако из-за сложности реализации таких средств, а также в силу необходимости поддержки множества языков программирования (PHP, ASP, Perl, Python, Java и др.), на которых могут быть написаны Web-приложения, подобных средств не так уж и много. Наибольшее распространение получили Coverity, Valgrind и Fortify PTA. Стоит учитывать, что автоматизированным анализаторам исходного кода присущи те же недостатки, что и сканерам безопасности. К примеру, невозможно выявить уязвимости «Небезопасное восстановление паролей», «Отсутствие тайм-аута сессии», «Логические атаки» и пр. Поэтому, как правило, при всестороннем анализе исходного кода приходится комбинировать использование одного или обоих методов автоматизированного анализа исходных текстов, а также проводить экспертный анализ отдельных модулей приложения: аутентификации, авторизации, восстановления паролей, проводки транзакций и др. Из наиболее известных разработчиков коммерческих продуктов по автоматизированному анализу исходных текстов Web-приложений можно выделить компании Armorize Technologies, Fortify и Ounce Labs. Комплексная оценка Данный способ позволяет провести анализ защищенности Web-приложения с позиций среды его функционирования, что бывает полезно в случае сервис-ориентированных архитектур и при проведении аудита информационной системы в целом. По сути, можно в разной степени комбинировать перечисленные подходы к анализу защищенности, дополняя процесс исследования такими возможностями, как например Compliance (оценка соответствия неким критериям). При проведении анализа могут использоваться следующие принципы. Принцип «черного ящика» (black-box). Проведение работ по оценке защищенности приложения без предварительного получения какой либо информации о нем. Это полезно, когда необходимо оценить защищенность с позиций злоумышленника, обычно располагающего минимальными знаниями об исследуемой системе. В основном подобные оценки осуществляются в рамках «тестирования на проникновение» (penetration testing). Все исследования могут проходить как с предупреждением обслуживающего персонала о планируемых работах, так и без него. Во втором случае существует возможность оценить, за какое время после начала исследования персонал зафиксирует инцидент, а также какова адекватность предпринимаемых действий по минимизации его воздействия или предотвращения. Принцип «серого ящика» (gray-box). Проведение работ с предоставлением всей необходимой информации о приложении, кроме обеспечения непосредственного доступа к самому серверу, на котором функционирует исследуемое Web-приложение. Обычно исполнителю предоставляются следующие данные: структура каталогов приложения, данные для авторизованного подключения в пространстве Web-приложения (например, имя пользователя, пароль и набор одноразовых паролей для проводки транзакций), исходный код некоторых файлов или функций и пр. Принцип «белого ящика» (white-box). Данный принцип подразумевает передачу исполнителю всего приложения с его последующим развертыванием на площадке консультанта, выполняющего работу по его анализу, либо организацию аналогичной копии приложения в собственной информационной системе с предоставлением исполнителю полного доступа к этому ресурсу. В данном случае имеется возможность отследить, каким образом приложение реагирует на любой передаваемый к нему запрос. Это наиболее продуктивный метод проведения анализа защищенности Web-приложений, позволяющий выявить наибольшее число уязвимостей. Однако стоит заметить, что данный метод лишен возможности взглянуть на приложение с позиций атакующего. Организация процесса анализа защищенности Прежде всего, необходимо понять, какую цель должен преследовать анализ, а затем определить область исследования и, руководствуясь стратегией управления информационными рисками и допустимым бюджетом, сформировать перечень проверок. Если цель анализа заключается в демонстрации возможности проникновения, нарушения штатного режима работы приложения или демонстрации компрометации чувствительной информации, тогда работы стоит организовать по принципу «черного ящика» без ограничений по проводимым проверкам. Результаты подобного исследования продемонстрируют текущее состояние дел с безопасностью объектов исследования. В случае низкого уровня защищенности Web-приложений подобные работы наглядно демонстрируют реализуемые угрозы со стороны внешнего нарушителя, и следствием этого может стать выделение дополнительного бюджета на работы по минимизации рисков6. Когда цель анализа защищенности заключается в повышении уровня безопасности приложения в условиях ограниченного бюджета, то лучше всего организовать процесс анализа ресурса методом «серого ящика» с использованием инструментального подхода к его обследованию с частичными проверками, выполненными вручную. Какой бы вариант проведения обследования ни был выбран, важно выполнить резервное копирование ресурса до начала проведения. Бурный рост и развитие веб-технологий – безусловно положительная тенденция. Веб-технологии позволяют нам моментально получать любые интересующие нас данные, находясь в любой точки мира, снижают затраты на разработку и владение системой. Их единственным минусом, пожалуй, являются возможные проблемы с безопасностью. Но вызваны они не тем, что веб-технологии и веб-приложения невозможно или проблематично защитить, а тем, что зачастую компании-разработчики в погоне за количеством разработок порой забывают об их качестве. Тем не менее, найти разработчика, который не забывает о важности обеспечения безопасности системы, вполне возможно. При этом стоит помнить, что нет систем, которые нельзя было бы взломать, однако создать или заказать веб-приложение, риск взлома которого приближается к нулю, вполне возможно7. 3. Средства защиты информации Современный рынок средств защиты информации (СЗИ) представлен различными аппаратными, программными и комбинированными комплексами. Продукты различаются по цене, функциональности и настройкам. Прежде чем сделать выбор, IT-специалист должен все это хорошо изучить. Ведь ценность защищаемой информации не дает ему права на ошибку, а руководитель требует обосновать стоимость покупки конкретного СЗИ. Сейчас вряд ли кому-то надо доказывать, что при подключении к Internet Вы подвергаете риску безопасность Вашей локальной сети и конфиденциальность содержащейся в ней информации. По данным CERT Coordination Center в 1999 году было зарегистрировано 2421 инцидентов - взломов локальных сетей и серверов. По результатам опроса, проведенного Computer Security Institute (CSI) среди 500 наиболее крупных организаций, компаний и университетов с 1995 число незаконных вторжений возросло на 48.9 %, а потери, вызванные этими атаками, оцениваются в 66 млн. долларов США. Одним из наиболее распространенных механизмов защиты от интернетовских бандитов - “хакеров” является применение межсетевых экранов - брэндмауэров (firewalls). Стоит отметить, что в следствии непрофессионализма администраторов и недостатков некоторых типов брэндмауэров порядка 30% взломов совершается после установки защитных систем. Не следует думать, что все изложенное выше - “заморские диковины”. Всем, кто еще не уверен, что Россия уверенно догоняет другие страны по числу взломов серверов и локальных сетей и принесенному ими ущербу, следует познакомиться с тематической подборкой материалов российской прессы и материалами Hack Zone (Zhurnal.Ru)8. Не смотря на кажущийся правовой хаос в рассматриваемой области, любая деятельность по разработке, продаже и использованию средств защиты информации регулируется множеством законодательных и нормативных документов, а все используемые системы подлежат обязательной сертификации Государственной Технической Комиссией при президенте России. Архитектура Internet подразумевает подключение к внешним открытым сетям, использование внешних сервисов и предоставление собственных сервисов вовне, что предъявляет повышенные требования к защите информации. В Internet-системах используется подход клиент-сервер, а главная роль на сегодняшний день отводится Web-сервису. Web-серверы должны поддерживать традиционные защитные средства, такие как аутентификация и разграничение доступа; кроме того, необходимо обеспечение новых свойств, в особенности безопасности программной среды и на серверной, и на клиентской сторонах. Таковы, если говорить совсем кратко, задачи в области информационной безопасности, возникающие в связи с переходом на технологию Inernet. Далее мы рассмотрим возможные подходы к их решению. Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно разделить на четыре уровня: законодательный (законы, нормативные акты, стандарты и т.п.); административный (действия общего характера, предпринимаемые руководством организации); процедурный (конкретные меры безопасности, имеющие дело с людьми); программно-технический (конкретные технические меры). Понятие «информационная безопасность» включает комплекс мер, направленных на предупреждение и устранение несанкционированного доступа, обработки, искажения, форматирования, анализа, несогласованного обновления, корректирования и уничтожения данных. Проще говоря, это комплекс действий, стандартов и технологий, необходимых для защиты конфиденциальных данных. Крупные корпорации и предприятия малого бизнеса, в силу необходимости сохранения важной и ценной деловой информации, нанимают в штат профессионалов в сфере защиты конфиденциальных данных. Их задачей является защита всех электронных устройств от хакерских атак, чаще всего направленных на кражу конфиденциальной информации или перехват управления IT-системой организации. Госорганы, оборонный комплекс, бизнес-корпорации, финансовые структуры, медучреждения и представители малого бизнеса регулярно собирают большие объемы конфиденциальных данных о персонале, клиентах, конкурентах, продукции и финансовых оборотах. Утечка ценной информации к конкурентам или мошенникам сулит компании, ее руководству и клиентам значительные финансовые потери и бьет по престижу организации. Создание надежной системы сохранения конфиденциальной информации – трудоемкий процесс, которому нужно уделять пристальное внимание. При этом важно владеть знаниями и оперировать методиками, обеспечивающими информационную безопасность. Цель защиты информации – сохранить данные и целостность системы, минимизировать потери в случае искажения информационных сведений. Сотрудники отделов информационной безопасности компании с помощью специального ПО могут отследить любое действие в корпоративной системе – создание, изменение, удаление, копирование и распространение важных файлов. Для правильного внедрения средств обеспечения защиты конфиденциальной информации компании требуется соблюдать три основных принципа: Целостность. Механизмы контроля должны работать в комплексе. Соблюдение принципа целостности обеспечивает отсутствие искажения данных и защиту от несанкционированных изменений. Конфиденциальность. Введение мер контроля для создания адекватного уровня защиты данных, активов и информационной безопасности компании на различных этапах бизнес-операций, а также для устранения угрозы неправомерного доступа к корпоративной информации. Важно сохранять конфиденциальность при хранении информации, а также при передаче данных фирмам-посредникам, независимо от их степени важности9. Доступность. Обеспечение уполномоченных сотрудников нужной им информацией. Локальная сеть должна вести себя последовательно, чтобы в случае необходимости иметь доступ к цифровым данным. Важным моментом является восстановление системы после любых сбоев, когда речь идет о доступе к данным. Метод восстановления не должен негативно влиять на функциональность предприятия. Без соблюдения этих принципов защита информации невозможна. Какими бывают средства информационной безопасности? На практике обеспечение информационной безопасности фирмы осуществляется с помощью следующих средств: моральных; правовых; организационных; физических; аппаратных; программных; технических; криптографических. Моральные средства защиты Под моральными средствами подразумевают нормы поведения и правила работы с информационными активами, сложившиеся по мере распространения и внедрения электронной техники в различных отраслях государства и общества в целом. По факту это необязательные требования в отличие от законодательно утвержденных. Однако их нарушение приведет к потере репутации человека и организации. К морально-этическим средствам защиты информации в первую очередь стоит отнести честность и порядочность сотрудников. В каждой организации есть свой свод правил и предписаний, направленный на создание здорового морального климата в коллективе. Механизмом обеспечения безопасности служит внутренний документ компании, учитывающий особенности деловых процессов и информационной структуры, а также устройство IT-системы. Правовые средства защиты Они основываются на действующих в Российской Федерации законах, решениях и нормативных актах, устанавливающих правила обработки персональных данных, гарантирующих права и обязанности участникам при работе с информационными ресурсами в период их обработки и использования, а также возлагающих ответственность за нарушение этих постановлений, тем самым устраняя угрозу несогласованного использования конфиденциальной информации. Такие правовые методики используются в качестве профилактических и предупреждающих действий. В основном это организованные пояснительные беседы с персоналом предприятия, пользующимся корпоративными электронными устройствами. Организационные средства Это часть администрирования организации. Они регулируют функционирование системы обработки информации, работу штата организации и процесс взаимодействия работников с системой так, чтобы в большей степени устранить или предупредить угрозу информационной атаки либо уменьшить потери в случае их возникновения. Основной целью организационных мер является формирование внутренней политики в области сохранения в секрете конфиденциальных данных, включающей использование необходимых ресурсов и контроль за ними. Внедрение политики конфиденциальности включает реализацию средств контроля и технических устройств, а также подбор персонала службы внутренней безопасности. Возможны изменения в устройстве IT-системы, поэтому в реализации политики конфиденциальности должны участвовать системные администраторы и программисты. Персонал должен знать, почему проблемы сохранения коммерческой тайны столь важны. Все работники предприятия должны пройти обучение правилам работы с конфиденциальной информацией. Физические средства защиты Это различные типы механических и электронно-механических устройств для создания физических препятствий при попытках нарушителей воздействовать на компоненты автоматизированной системы защиты информации. Это также технические устройства охранной сигнализации, связи и внешнего наблюдения. Средства физической безопасности направлены на защиту от стихийных бедствий, пандемий, военных действий и других внезапных происшествий. Аппаратные средства защиты Это электронные устройства, интегрированные в блоки автоматизированной системы или спроектированных как независимые устройства, контактирующие с этими блоками. Их задачей является внутренняя защита структурных компонентов ИТ-систем – процессоров, терминалов обслуживания, второстепенных устройств. Реализуется это с помощью метода управления доступом к ресурсам (идентификация, аутентификация, проверка полномочий субъектов системы, регистрация). Программные методы защиты Обеспечение сетевой безопасности осуществляется за счет специальных программ, которые защищают информационные ресурсы от несанкционированных действий. Благодаря универсальности, простоте пользования, способности к модифицированию программные способы защиты конфиденциальных данных являются наиболее популярными. Но это делает их уязвимыми элементами информационной системы предприятия. Сегодня создано большое количество антивирусных программ, брандмауэров, средств защиты от атак. Наиболее распространенные антивирусные ПО, брандмауэры и средства обнаружения атак на современном рынке представлены следующими продуктами: Антивирусное ПО, направленное на обнаружения вирусных атак. Самые известные – Network Associates, Symantec, TrendMicro. Межсетевые экраны (брандмауэры), контролирующие весь трафик локальной сети и выполняющие роль фильтра или прокси-сервера. Используют стандарты ITSEC (Information Technology Security Evaluation and Certification Scheme) и IASC (Information Assurance and Certification Services). Одними из популярных представителей на рынке являются Checkpoint Software, Cisco Systems, Microsoft, Net Screen Technologies и Symantec Corporation. Средства обнаружения атак. Лидеры рынка – это Symantec и Entercept Security Technology. Путем использования перечисленных категорий программ, подходящим к используемым на предприятии информационным системам, создается комплексное обеспечение сетевой безопасности10. Заключение Современный подход к защите веб-приложений основан на использовании специализированных решений — WAF. Обычно работают они с протоколами HTTP/HTTPS, но делают они это на максимально интеллектуальном уровне. Помимо традиционных методов, таких как репутационный анализ IP-адресов и распознавание атак по сигнатурам, они используют и уникальные подходы. Архитектура WAF позволяет анализировать целиком каждый сеанс связи и выполнять более точный поведенческий анализ, чем это делают NGFW. Как результат, WAF лучше выявляют отклонения в нормальной работе приложений и могут противостоять уязвимостям нулевого дня. С известными уязвимостями WAF тоже борются оригинальным образом. Технология виртуального патчинга позволяет им закрыть известную брешь, не дожидаясь выхода обновления для уязвимого компонента. Анализатор исходных кодов способен не просто определить уязвимость, но и автоматически создать патч в оперативной памяти. Рассмотренная ранее проблема с избыточностью запросов и лог-файлов решается в WAF за счет выявления корреляций между ними и объединения взаимосвязанных сообщений в цепочки. Они позволяют увидеть развитие атаки и быстро среагировать на нее, не теряя времени на пролистывание отчета. Последние версии WAF обрабатывают XML, JSON и другие протоколы, используемые преимущественно мобильными приложениями. Список использованных истчоников Баранова, Е.К. Информационная безопасность. История специальных методов криптографической деятельности: Учебное пособие / Е.К. Баранова, А.В. Бабаш, Д.А. Ларин. - М.: Риор, 2018. - 400 c. Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2019. - 474 c. Васильев, В. В. Практикум по Web-технологиям / В.В. Васильев, Н.В. Сороколетова, Л.В. Хливненко. - М.: Форум, 2019. - 416 c. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2017. - 324 c. Глинская, Е.В. Информационная безопасность конструкций ЭВМ и систем: учебное пособие / Е.В. Глинская, Н.В. Чичварин. - М.: Инфра-М, 2018. - 160 c. Гришина, Н.В. Информационная безопасность предприятия: Учебное пособие / Н.В. Гришина. - М.: Форум, 2018. - 118 c. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2018. - 384 c. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт. Монография. Гриф УМЦ «Профессиональный учебник». Гриф НИИ образования и науки. / Л.Л. Ефимова, С.А. Кочерга. — М.: ЮНИТИ, 2018. — 239 c. Ковалев, А.А. Военная безопасность России и ее информационная политика в эпоху цивилизационных конфликтов: Монография / А.А. Ковалев, В.А. Шамахов. - М.: Риор, 2018. - 32 c. Конотопов, М.В. Информационная безопасность. Лабораторный практикум / М.В. Конотопов. - М.: КноРус, 2013. - 136 c. Кузнецова, А.В. Искусственный интеллект и информационная безопасность общества / А.В. Кузнецова, С.И. Самыгин, М.В. Радионов. - М.: Русайнс, 2017. - 64 c. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации / А.А. Малюк. — М.: ГЛТ, 2018. — 280 c. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учебное пособие для вузов. / .А. Малюк. - М.: Горячая линия -Телеком , 2004. - 280 c. Мельников, Д.А. Информационная безопасность открытых систем: учебник / Д.А. Мельников. - М.: Флинта, 2013. - 448 c. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. — М.: Форум, 2018. — 432 c. Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2018. — 296 c. Русинов, А.С. Возможности создания образовательной системы на основе технологий Web 2.0 с единой авторизацией / А.С. Русинов. - М.: Нобель Пресс, 2013. - 823 Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. — М.: МГИУ, 2017. — 277 c. Чипига, А.Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. — М.: Гелиос АРВ, 2017. — 336 c. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2017. — 416 c. 1 Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2018. — S.125. 2 Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2017. – С.36.. 3 Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2017. – С.87. 4 Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2018. – С.198.. 5 Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2019. – С.103. 6 Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2017. — С.102. 7 Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 - Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. - М.: ГЛТ, 2018. – С.103. 8 Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 - Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. - М.: ГЛТ, 2018. – С.147. 9 Глинская, Е.В. Информационная безопасность конструкций ЭВМ и систем: учебное пособие / Е.В. Глинская, Н.В. Чичварин. - М.: Инфра-М, 2018. – С.87. 10 Васильев, В. В. Практикум по Web-технологиям / В.В. Васильев, Н.В. Сороколетова, Л.В. Хливненко. - М.: Форум, 2019. – S.88. |