Лекция 4-Методы противодействия угрозам безопасности. Основные методы противодействия угрозам безопасности информации
Скачать 26.05 Kb.
|
ОСНОВНЫЕ МЕТОДЫ ПРОТИВОДЕЙСТВИЯ УГРОЗАМ БЕЗОПАСНОСТИ ИНФОРМАЦИИОтрицательное воздействие угроз уменьшается различными методами, направленными с одной стороны на устранение носителей угроз - источников угроз, а с другой на устранение или существенное ослабление факторов их реализации - уязвимостей. Кроме того, эти методы должны быть направлены на устранение последствий реализации угроз. Среди методов противодействия выделяются следующие основные группы: правовые методы; экономические методы; организационные методы; инженерно-технические методы; технические методы; программно-аппаратные методы. При выборе методов парирования угроз (защиты информации) учитываются полученные в ходе анализа коэффициенты опасности каждого источника угроз, уязвимости и коэффициенты групп методов реализации угроз ИБ. Правовые методы направлены на создание защитного иммунитета, основанного на угрозе применения репрессивных мер в отношении нарушителя интересов (источников угроз) и установление механизмов применения определенных санкций в отношении этих нарушителей. Эти методы в основном ориентированы на устранение угроз, реализуемых источниками антропогенного характера, и являются базисом для реализации всех остальных методов защиты. Основными правовыми методами являются: признание права собственности на информацию; признание права судебной защиты интересов организации; определение условий и порядка использования и защиты информации; введение санкций за противоправные деяния с защищаемой информацией; вменение в обязанность государственных органов необходимости сохранения конфиденциальности информации, ставшей им известной в силу служебных обязанностей. Экономические методы воздействуют на антропогенные источники угроз и, в совокупности с правовыми методами, направлены на сокращение их числа, и введение в действие механизмов ликвидации последствий реализации угроз. Основными экономическими методами являются: введение системы коэффициентов и надбавок; страхование средств обработки информации; страхование информационных рисков; введение механизма возмещения убытков и компенсации ущерба. Организационные методы в основном ориентированы на работу с персоналом, выбор местоположения и размещения объекта информатизации, организацию систем физической, противопожарной защиты, контроля выполнения принятых мер, возложения персональной ответственности за выполнение мер защиты. Методы применяются для уменьшения числа внутренних антропогенных, техногенных и стихийных источников угроз, а также уменьшения влияния уязвимостей. Основными организационными методами являются: выбор местоположения и размещения объекта информатизации (его технических средств); физическая защита и организация охраны (в т.ч. с применением технических средств охраны); ограничение доступа персонала в помещения, в которых установлены технические средства обработки конфиденциальной информации; подбор и работа с персоналом; организация инструктажа персонала; организация учета оборудования (технических средств обработки информации) и носителей информации; контроль выполнения требований по защите; противопожарная охрана; обеспечение надежного сервисного обслуживания; организация взаимодействия с компетентными органами. Инженерно-технические методы ориентированы на оптимальное построение зданий, сооружений, инженерных сетей и транспортных коммуникаций с учетом требований обеспечения безопасности информации. Эти методы, как правило, реализуются на этапе строительства или реконструкции объектов, способствуют повышению их общей живучести и устраняют источники угроз,обусловленные стихийными бедствиями и факторами техногенного характера, не устранимыми другими методами. Они направлены на ослабление влияния большого количества объективных и случайных уязвимостей. В контексте настоящей Концепции, к этим методам относятся: обеспечение электрозащиты оборудования и зданий; экранирование помещений; защита помещений от разрушений; оптимальное размещение оборудования; оптимальное размещение инженерных коммуникаций; применение средств визуальной защиты; акустическая обработка помещений; применение систем кондиционирования. Технические методы основаны на применении специальных технических средств защиты информации и контроля обстановки и ориентированы на устранение угроз, связанных с действиями внешних антропогенных источников угроз по добыванию информации незаконными техническими средствами. Некоторые из этих методов позволяют устранить воздействие техногенных источников угроз и ослабляют влияние объективных, субъективных и случайных уязвимостей. Техническими методами являются: резервирование технических средств обработки; резервирование каналов связи; использование выделенных каналов связи; создание резервной копии (дублирование) информационных ресурсов; создание системы пространственного зашумления; создание системы линейного зашумления; создание системы акустического и вибрационного зашумления; экранирование узлов и оборудования ИС; использование в ИС доработанного оборудования; использование источников гарантированного питания для ИС; контроль каналов связи для передачи информации; контроль отсутствия электронных устройств перехвата информации на объектах. Программно-аппаратные методы нацелены на устранение проявления угроз, непосредственно связанных с процессом обработки и передачи информации в ИС. Без этих методов невозможно построение целостной комплексной подсистемы информационной безопасности. В этой группе объединяются такие методы, как: ограничение доступа к средствам обработки (ПО, техническим средствам); ограничение доступа к объектам защиты(защищаемым информационным ресурсам); разграничение доступа субъектов (пользователей); управление внешними потоками информации; управление внутренними потоками информации; скрытие структуры и назначения ИС; подтверждение подлинности информации; преобразование (шифрование, кодирование) информации при её передаче; преобразование (шифрование, кодирование) информации при её хранении; блокирование не используемых сервисов; мониторинг целостности ПО, конфигурации ИС; мониторинг атак на ИС и разрушающих воздействий; Классификация решений для защиты баз данныхСуществует шесть основных категорий программных решений для обеспечения безопасности баз данных. Все они предназначены для выполнения определенных задач. Средства обнаружения и оценки. Выявляют уязвимости базы данных и местонахождение критически важных данных. Средства для управления правами доступа. Идентифицируют излишние права доступа к конфиденциальной информации. Средства мониторинга и блокирования. Защищают базы данных от взлома, неавторизованного доступа и похищения информации. Средства аудита. Помогают подтвердить соответствие информационной системы отраслевым стандартам безопасности. Средства защиты данных. Поддерживают целостность и конфиденциальность данных. Меры безопасности нетехнического характера. Повышают культуру обращения с конфиденциальными данными и степень готовности к угрозам. Ниже приводятся практические рекомендации по применению решений каждого типа для защиты баз данных. Средства обнаружения и оценки. Проводите поиск уязвимостей. Знание уязвимостей, подвергающих БД риску инъекций в поле ввода (input-инъекций) — является основой политики безопасности. Хакерские программы часто эксплуатируют широко известные уязвимости, поэтому база данных, не обновленная должным образом, является легкой мишенью. Слабые механизмы аутентификации позволяют хакерам проводить DoS-атаки на уровне приложений, поскольку открывают беспарольный доступ к БД. Используйте специализированные программы для выявления уязвимостей, ошибок в конфигурациях и отсутствующих патчей. Оценка должна основываться на существующих отраслевых стандартах безопасности, таких как DISA STIG и CIS. Определяйте степень риска. Величина риска зависит от степени критичности уязвимостей для базы данных и конфиденциальности информации. При оценке критичности следует использовать известные алгоритмы расчета, такие как Common Vulnerability Scoring System (CVSS). Знание величины риска помогает выделять приоритетные риски и исследовать вызывающие их уязвимости. В данном случае высокие степени риска обусловлены уязвимостью к input-инъекциям. Снижайте критичность уязвимостей. Если в базе данных обнаружена уязвимость, а разработчик СУБД не успел выпустить патч, можно применять виртуальные патчи. Этот метод позволяет блокировать попытки эксплуатации уязвимостей, не устанавливая реальные патчи и не изменяя текущую конфигурацию сервера. Виртуальные патчи помогут защитить БД от вторжения до выпуска разработчиками нового патча. В данном случае также необходимо сосредоточиться на устранении наиболее критических уязвимостей, делающих БД уязвимой к DoS-атаке или input-инъекции. Идентифицируйте уязвимые БД. Проводите анализ рисков и выделяйте приоритетные действия по устранению угроз. Отчеты и аналитические данные помогают оценить риски и выделить приоритетные направления работы по устранению уязвимостей. Проводите поиск серверов БД. Для того чтобы построить, обслуживать ваши системы хранения данных и изолировать содержащуюся в них конфиденциальную информацию, необходимо в первую очередь создать каталог доступных БД. Используйте специальные решения по поиску и обнаружению для сканирования корпоративной сети и идентификации активных БД. Отдавайте предпочтение решениям, снижающим время сканирования благодаря применению фильтрации по IP-адресам и диапазонам IP-адресов, а также фильтрации по конкретным типам БД (например, Oracle, MSSQL, IBM DB2 и т.д.). Периодически проводите повторное сканирование для обнаружения новых баз данных или изменений в старых. Анализируйте результаты поиска. Просматривайте результаты поиска и классификации БД и устанавливайте, какая БД, хранящая конфиденциальные данные, должна подвергаться мониторингу. Идентифицируйте и классифицируйте конфиденциальные данные следующим образом: Создав каталог баз данных, необходимо выяснить, какие именно БД содержат конфиденциальные данные. Сканируйте объекты, строки и колонки БД для уточнения местоположения конфиденциальных данных. Используйте решения для классификации, способные распознавать такие типы данных, как номера кредитных карт, адреса электронной почты и идентификационные номера. Отдавайте предпочтение решениям, способным работать с пользовательскими типами данных. Результаты классификации должны содержать IP-адрес и имя хоста БД и указывать на наличие в ней конфиденциальных данных. Автоматическая идентификация конфиденциальных данных и персональной информации помогает точнее направлять усилия по защите и соответствию стандартам. Управление правами доступа. Проводите агрегацию прав пользователей. Сканируйте базы данных и собирайте информацию о степени доступа пользователей к объектам БД. Отчеты должны включать информацию о предоставлении непосредственных прав доступа (например, SELECT, DELETE, CONNECT и т.д.), лицах, обладающих такими правами, и лицах, предоставивших им эти права, а также объектах БД, доступ к которым эти права предоставляют. Агрегация прав пользователей в единый репозиторий позволяет систематизировать процесс отчетности и анализа доступа пользователей к конфиденциальным данным. Детализируйте отчеты о правах доступа, включая в них данные о пользовательских ролях и уровне конфиденциальности данных. Собирайте детальную информацию о пользователях: их имена, отдел, проведенные операции с БД, уровень конфиденциальности объектов БД, с которыми они работали, последнее время доступа к БД и т.д. Это поможет усовершенствовать процесс анализа пользовательских прав, распределить риски и свести к минимуму возможность злоупотребления правами. Идентифицируйте и устраняйте излишние привилегии и неактивные учетные записи. Идентифицируйте пользователей, обладающих излишними правами доступа, а также пользователей, не пользующихся своими правами. Это позволит определить, правильно ли распределены привилегии, добиться распределения ролей и устранить излишние права доступа, которые не требуются им для работы. Дело в том, что хакеры могут воспользоваться учетной записью какого-либо пользователя для доступа к хранилищам конфиденциальных данных. Таким образом, устранение излишних привилегий помогает защититься от направленных атак и взлома с применением вредоносного ПО. Пересматривайте, подтверждайте или отклоняйте права отдельных пользователей. Организуйте проверку достаточности уровня пользовательских привилегий. Проверяющие должны подтверждать, отклонять права или передавать их на проверку другому лицу, а администраторы могут следить за ходом проверки. При проверке прав пользователей необходимо руководствоваться принципом минимальной осведомленности, что позволит соблюдать требования по безопасности данных и сократить возможные риски. Используйте решения, известные как Universal User Tracking (UUT), для сопоставления информации о пользователях с операциями, проводимыми в отношении БД. Результаты проверки могут включать в себя уникальные имена пользователей клиентских приложений. Мониторинг и блокирование2.1 Применяйте оповещение и блокирование в режиме реального времени. Проводите мониторинг обращений к БД и паттернов поведения пользователей в режиме реального времени для обнаружения утечек данных, неавторизованных операций с SQL и Big Data, атак на протокол и систему. При обнаружении попытки несанкционированного доступа генерируйте оповещения или прерывайте сеанс пользователя. Используйте решения, реализующие политики, как стандартные, так и пользовательские, направленные на сканирование трафика БД для идентификации паттернов, соответствующих известным атакам, таким как DoS-атаки, и неавторизованной деятельности. Политики безопасности полезны не только для обнаружения злоупотребления излишними привилегиями внутренних нарушителей, взломанными или неактивными пользователями, но также для предотвращения большей части угроз, описанных в данной статье. 2.2 Выявляйте аномальную активность. Сформируйте исчерпывающий профиль нормального поведения для каждого пользователя БД. Мониторинг отклонений от этих паттернов позволяет обнаружить DoS-атаку, вредоносное ПО, input-инъекции и аномальную активность. Если какой-либо пользователь инициирует действие, не соответствующее его профилю, зафиксируйте данный факт, сгенерируйте оповещение или заблокируйте пользователя. Составление и изучение профилей активности пользователей повышает вероятность обнаружения попыток неправомерного доступа к конфиденциальной информации. 2.3 Блокируйте вредоносные веб-запросы. Поскольку веб-приложения являются одной из наиболее популярных целей атаки с помощью input-инъекций, еще одной важной линией обороны станет ваш файрволл для вебприложений (Web Application Firewall, WAF). WAF распознает и заблокирует попытки воздействия input-инъекциями на веб-приложения. Для защиты от input-инъекций WAF должен выполнять следующее: Проверять значения параметров HTTP на наличие специальных символов, таких как апострофы и скобки, и определять, свидетельствуют ли данные символы о проведении атаки. Учитывать сигнатуры приложений и политики известных паттернов inputинъекций при принятии решений об оповещении и блокировании. Проводите мониторинг активности локальной БД. Решения класса DAP (Database audit and protection, аудит и защита БД) могут проводить аудит и мониторинг активности ваших наиболее привилегированных пользователей – администраторов БД и системных администраторов. Эти пользователи получают наиболее полный доступ к вашим БД и поэтому требуют особого внимания. Независимо от того, злоупотребили ли они своими правами или их учетные записи были взломаны, риск кражи данных и нанесения урона вашей организации возрастает. Внедрите меры по контролю соединений. Предотвращайте перегрузку ресурсов сервера, ограничивая количество и частоту соединений, запросов и другие переменные для каждого пользователя БД. Проводите валидацию протоколов БД. (Валидация — это доказательство, что продуктом, оборудованием или процессом можно пользоваться по назначению). Внедрите решения по мониторингу активности БД, способные анализировать протокол и изолировать аномальные соединения. В случае обнаружения нетипичного соединения, решение должно активировать оповещение или блокировать транзакцию. Согласованность ответов. DoS-атака на БД, направленная на перегрузку ресурсов сервера, приводит к задержке отклика БД. Сюда относятся как задержки ответов на отдельные запросы, так и «торможение» системы в целом. Используйте решения, которые в случае задержки отклика проводят мониторинг времени реакции системы и генерируют уведомления. Аудит3.1 Автоматизируйте аудит при помощи платформы DAP. (Dap - это статистическая и графическая программа, основанная на языке программирования Си, которая выполняет задачи управления данными, анализа и графической визуализации в стиле Си, не требуя сложного синтаксиса.) Внедрите решение DAP в наиболее требовательных средах. Решение DAP лишено большинства недостатков, свойственных интегрированным в БД средствам аудита. 3.2 Разграничение обязанностей. Решения DAP работают независимо от администраторов БД, что делает возможным разграничение обязанностей по аудиту и рутинное системное администрирование. Помимо этого, они (решения) работают независимо от сервера БД и неуязвимы к атакам, нацеленным на повышение уровня привилегий пользователями без административных полномочий. 3.3 Кроссплатформенный аудит. DAP-решения поддерживают множество СУБД от разных поставщиков, что позволяет использовать единые стандарты и централизованные операции по аудиту в крупномасштабных и распределенных гетерогенных окружениях БД. 3.4 Быстродействие и эффективность. Ведущие DAP-решения могут использовать высокоэффективные устройства, не влияющие на быстродействие БД. Фактически, возлагая функции аудита на сетевые устройства, а не применяя встроенные в СУБД средства аудита, можно повысить быстродействие БД. Собирайте детальную информацию о транзакциях. DAP решения могут использоваться для регистрации логов аудита, включающих такие данные, как имя исходного приложения, полный текст запроса, атрибуты ответа, исходная ОС, имя хоста и т.д. Это необходимо для выполнения требований регуляторов, криминалистического анализа и более эффективного обнаружения случаев фрода. Применяйте правила аудита для сбора информации, необходимой для выполнения требований таких стандартов безопасности, как SOX, PCI DSS и HIPPA, или для соответствия внутренним стандартам аудита. 3.5 Генерируйте отчеты для оценки регуляторами и криминалистами. Оформляйте отчёты об активности БД, которые помогут удовлетворить требования регуляторов, проводить расследования злоупотреблений, собирать важную статистику и проводить мониторинг быстродействия системы. Внедряйте DAP-решения, способные вести отчётность согласно государственным и отраслевым стандартами и подстраиваться под требования бизнеса при необходимости. Защита данных4.1 Архивируйте внешние данные. Автоматизируйте процессы долгосрочного архивирования данных. Используйте решения, которые можно настроить на периодическое сохранение данных во внешние системы хранения данных. Перед архивацией данные можно сжимать, шифровать и подписывать. 4.2 Применяйте шифрование к базам данных. Шифруйте конфиденциальные данные в гетерогенных окружениях. Это позволит вам защитить как рабочие, так и резервные копии БД, затем проводить аудит активности и контроль доступа к конфиденциальным данным пользователей, имеющим доступ к этим БД на уровне операционной системы и хранилищ. Внедряя аудит БД наряду с шифрованием, организации могут проводить мониторинг и контролировать как внутренних, так и внешних пользователей. Меры безопасности нетехнического характера5.1 Задействуйте опытных специалистов по информационной безопасности. Для защиты от растущего числа внешних и внутренних угроз нанимайте специалистов с опытом внедрения, администрирования и мониторинга решений по обеспечению безопасности. Непрерывное обучение и тренинги также важны для повышения уровня профессионализма. Привлекайте сторонних специалистов по информационной безопасности для содействия во внедрении средств безопасности, проведения оценки и тестирования, обучения и поддержки ваших администраторов. 5.2 Обучайте своих сотрудников Обучайте собственных сотрудников методам снижения риска, включая способы распознавания типичных киберугроз (например, целевого фишинга), рекомендациям по безопасному пользованию интернетом и электронной почтой и обращением с паролями. Игнорирование обучения сотрудников мерам безопасности повышает риск взлома. Конечным результатом должны стать хорошо подготовленные пользователи, обученные безопасному обращению с конфиденциальными данными. |