Технология анализа защищенности. Технология анализа защищенности
Скачать 350.82 Kb.
|
1 2 Методы анализа выявления воздействий нарушителя Существует несколько методов анализа содержимого банка данных, сформированного сенсорами на предмет выявления ВН: анализ на базе профилей работы АС; анализ на базе сигнатур ВН; контроль целостности данных; гибридный анализ. Метод анализа содержимого банка данных сенсоров на базе профилей работы АСосновывается на использовании так называемых профилей, представляющих собой набор основных характеристик работы АС, которые могут включать в себя, например: маршруты передачи сообщений, формируемых АС; время передачи сообщений; количество передаваемых сообщений и др. Профиль работы АС может быть задан администратором безопасности вручную или в автоматизированном режиме. При автоматизированном формировании профиля анализатор непрерывно, в течение определённого периода времени проводит сбор и обработку параметров работы АС. По завершении формирования профиля он будет отражать штатный режим функционирования АС. В случае, если текущие параметры работы АС не будут соответствовать параметрам, указанным в профиле, это будет означать, что имеет место ВН. Для определения степени несогласованности между текущими характеристиками работы АС и характеристиками, указанными в профиле работы, используется индекс несоответствия, который вычисляется посредством сравнения текущих параметров работы АС с параметрами, указанными в профиле. Если вычисленный индекс несоответствия превысит заданные администратором безопасности пороговые величины, то следует констатировать возникновение в АС внештатной ситуации. В качестве примера использования профилей работы АС для обнаружения ВН рассмотрим сегмент ЛВС, на котором располагается сервер БД, являющийся объектом защиты. Для обнаружения ВН на информационные ресурсы сервера БД во все каналы связи, по которым в сервер могут поступать сообщения, должны быть установлены сенсоры и анализаторы. Анализаторы должны содержать профиль работы сервера БД, включающий такие параметры, как: типы протоколов, которые реализованы в сервере БД, максимальное и минимальное количество сообщений, которые может обработать сервер за единицу времени, адреса других АС, с которыми сервер БД может обмениваться информацией, и др. В случае если в процессе работы сервера БД его текущие параметры работы не будут укладываться в область допустимых значений, указанных в профиле работы (например, поступление в сервер БД сообщения, сформированного при помощи нового протокола, превышение максимально возможного числа сообщений, которое может быть обработано сервером БД, появление новой АС, взаимодействующей с сервером БД, адрес которого отсутствует в профиле работы, и др.), то анализатор фиксирует факт возникновения внештатной ситуации, о чём немедленно должно быть сообщено администратору безопасности. Сложность реализации этого метода анализа информации заключается в том, что в некоторых ситуациях невозможно различить ВН и штатный режим функционирования АС. В подтверждение этому можно привести данные исследований одной из лабораторий IBM в Цюрихе, проведённых в -1998 г. Целью этих исследований являлось определение эффективности работы систем обнаружения ВН с анализаторами, использующими метод анализа информации на базе профилей работы АС. В результате было показано, что система обнаружения RealSecure ежемесячно фиксировала около 8000 нарушений ИБ, более половины из которых оказались ложными. Метод анализа информации на базе сигнатур ВНзаключается в поиске и идентификации ВН по имеющимся шаблонам или сигнатурам, где в роли сигнатуры выступают определённые наборы характеристик передаваемых сообщений, позволяющих определить факт реализации ВН. Примерами сигнатур являются: шаблоны некорректно сформированных сообщений (например, пакетов данных, формат которых не соответствует Интернет-стандартам RFC), которые могут нарушить работоспособность АС - получателя этих сообщений; шаблоны сообщений или последовательности сообщений, использующих ошибку в ПО АС, допущенную на этапе разработки ПО и способную привести к нарушению ИБ АС; шаблоны сообщений или последовательности сообщений, содержащих информацию, внесение которой в информационную сферу АС может привести к нарушению работоспособности АС. Все сигнатуры ВН хранятся в базе данных анализатора системы обнаружения. При использовании этого метода анализатор просто сравнивает содержимое сформированного сенсорами банка данных с информацией, которая хранится в базе данных сигнатур. В случае если анализатор системы обнаружения установит соответствие между сигнатурой ВН и текущим содержимым банка данных, сформированного сенсорами системы, то это будет указывать на попытку реализации ВН. Приведём конкретные примеры работы анализатора системы обнаружения, функционирующего на базе сигнатур ВН. Предположим, что нарушитель выбрал в качестве объекта нападения Web-сервер IP-сети и его целью является нарушение работоспособности сервера при помощи ВН «Land». Для того чтобы анализатор системы обнаружения смог обнаружить этот тип ВН, он должен содержать сигнатуру ВН «Land», смысл которой заключается в следующем: «Если равен и <номер порта отправителя TCP-сегмента> равен <номеру порта получателя ТСР-сегмента>, то <пакет данных представляет собой реализацию ВН Land>». Аналогичным образом определяются сигнатуры других ВН. Метод обнаружения ВН на базе сигнатур отличается высокой эффективностью и простотой реализации. Однако очевидным недостатком этого метода является невозможность обнаружения тех ВН, сигнатуры которых неизвестны системе обнаружения. Это приводит к необходимости постоянно обновлять базу данных сигнатур ВН. Необходимо также отметить, что если нарушитель проявит способность к осуществлению модификации уже известных ему ВН (например, изменения последовательности выполняемых действий в процессе реализации ВН), то система обнаружения может пропустить эту попытку реализации воздействия, поскольку сигнатура этого модифицированного ВН будет отсутствовать в его базе данных. Поэтому для повышения эффективности работы анализаторов, использующих метод анализа информации сенсоров на базе сигнатур ВН, необходимо сформировать обширную базу данных, содержащую большую часть из известных на сегодняшний день ВН. Анализаторы систем обнаружения ВН, реализующие метод контроля целостности, базируются на периодической проверке значений контрольных сумм информационных ресурсов и инфраструктур АС. Значения контрольных сумм хранятся в банке данных, сформированном сенсорами. В случае если при пересчёте значения контрольной суммы ресурсов и инфраструктур АС анализатор системы обнаружения ВН зафиксирует несоответствие вычисленного значения со значением, хранящимся в банке данных системы, то это будет означать факт нарушения целостности данных, хранящихся на АС. Гибридный метод анализасодержимого базы данных сенсоров заключается в комбинированном использовании методов анализа на базе профилей работы АС, на базе сигнатур ВН, а также использовании метода контроля целостности данных. Кроме рассмотренных выше систем обнаружения ВН, базирующихся на анализе содержимого журнала аудита, сформированного сенсорами, существует ещё один тип специализированных систем, называемых обманными.Алгоритм работы обманных систем заключается в преднамеренном создании ложного объекта нападения для нарушителя. Как только нарушитель предпримет попытку нападения на ложные объекты, она тут же будет зафиксирована обманной системой обнаружения. Для создания объектов нападения могут имитироваться всевозможные уязвимости программно-аппаратного комплекса АС. Для организации ложного объекта нападения в IP-сетях можно, например, выделить отдельную АС, на которой преднамеренно открыть всевозможные TCP- и UDP-порты, что может указать нарушителю на наличие большого числа уязвимостей. После того как анализатор системы обнаружения ВН зафиксирует факт реализации ВН при помощи одного из рассмотренных выше способов, он сообщает об этом администратору безопасности. Для этого может быть использован один из следующих методов: выведение сообщения на консоль управления системой обнаружения ВН; передача сообщения администратору безопасности посредством факсимильной связи; формирование сообщения администратору безопасности при помощи пейджинговой связи; сообщение администратору безопасности посредством сотовой связи (SMS-сообщения); информирование администратора безопасности об обнаруженном ВН по электронной почте. Сетевая реализация систем обнаружения ВН Системы обнаружения ВН могут быть реализованы в виде специализированных программно-аппаратных комплексов или в виде дополнительного программно-аппаратного обеспечения, устанавливаемого в узлы ГСПД. В настоящее время в Гостехкомиссии и ФАПСИ ещё не создана нормативно-методическая база для сертификации систем обнаружения ВН. В этой связи наиболее целесообразно привести перечень систем обнаружения, получивших наибольшее распространение на российском рынке (табл. 21.1). Таблица 21.1. Перечень систем обнаружения ВН
Рассмотрим возможные варианты использования систем обнаружения ВН для решения задач обеспечения ИБ ГСПД. Прежде всего необходимо отметить, что все существующие на сегодняшний день системы обнаружения ВН могут быть использованы только для выявления ВН, реализуемых на основе уязвимостей IP-сетей. В настоящее время на отечественном рынке ИБ отсутствуют системы обнаружения ВН, предназначенные для выявления воздействий, направленных на внесение, выявление или активизацию уязвимостей сетей Х.25, Frame Relay и ATM. В IP-сетях системы обнаружения могут быть использованы для выявления следующих типов ВН: ВН, направленные на нарушение работоспособности ЦУС и узлов ГСПД; ВН, направленные на получение НСД к информационным ресурсам и инфраструктурам узлов ГСПД и ЦУС. Рисунок 21.3 - Схема размещения системы обнаружения ВН на информационные ресурсы и инфраструктуры ЦУС IP-сети Первоначально рассмотрим способы применения систем обнаружения ВН в целях защиты ЦУС IP-сетей. Для выполнения функций защиты информационных ресурсов и инфраструктур ЦУС от ВН можно использовать два варианта применения систем обнаружения ВН (включающих в себя сенсоры и анализаторы): оснащение маршрутизатора, посредством которого ЦУС подключается к IP-сети, дополнительными функциями системы обнаружения ВН (рис. 21.4). Процедура оснащения может быть выполнена при помощи установки в маршрутизатор дополнительного программно-аппаратного обеспечения, выполняющего, функции обнаружения ВН. Такое программное обеспечение включает в себя функции сенсора и анализатора системы обнаружения ВН. Возможность такой модернизации предусмотрена, например, в маршрутизаторах, производимых компанией Cisco; установка системы обнаружения ВН, выполненной в виде специализированного программно-аппаратного обеспечения, в каналы связи, по которым ЦУС подключается к IP-сети (рис. 21.3). Центр управления системой обнаружения ВН, выполняющий функции настройки параметров работы сенсоров и анализаторов системы, может размещаться в ЛВС вместе с ЦУС. Система обнаружения ВН, установленная при помощи одного из рассмотренных выше способов, позволяет выявлять различные типы воздействий, реализуемые нарушителем на основе уязвимостей протоколов уровня межсетевого взаимодействия, транспортного уровня, а также уровня приложения. Так, например, на уровне межсетевого взаимодействия стека протоколов TCP/IP система обнаружения ВН может выявлять воздействия, направленные на нарушение работоспособности ЦУС или на блокирование доступа к ЦУС. На транспортном уровне система может обнаруживать ВН, направленные на выявление уязвимостей ПО ЦУС или на нарушение работоспособности или блокирование доступа к ЦУС. На прикладном уровне стека протоколов TCP/IP система обнаружения может, например, определять факт реализации ВН, направленных на активизацию уязвимостей протокола SNMP. Необходимо, однако, отметить, что система обнаружения не сможет выявить ВН, направленные на активизацию «закладок», внедрённых в ПО ЦУС, а также ряд других ВН, которые не учитываются сигнатурами ВН и профилями работы, заложенными в систему обнаружения. Кроме того, существующие системы обнаружения ВН не смогут обнаружить источник ВН на ЦУС, если воздействие реализуется нарушителем с фальсифицированного им адреса. Далее рассмотрим способы применения систем обнаружения в целях защиты информационных ресурсов и инфраструктур маршрутизаторов IP-сетей от ВН. Защита одного из маршрутизаторов IP-сети от ВН может быть реализована при помощи систем обнаружения двумя способами: путём оснащения защищаемого маршрутизатора функциями обнаружения ВН; путём установки системы обнаружения ВН, выполненной в виде специализированного программно-аппаратного комплекса, в каналы связи портов защищаемого маршрутизатора, по которым в маршрутизатор могут поступать пакеты данных. При этом в каждый канал связи порта маршрутизатора устанавливается отдельный модуль системы обнаружения, включающий в себя сенсор и анализатор системы (рис. 21.4). Такой вариант установки системы обнаружения ВН является более дорогостоящим, поскольку требует установки большего числа сенсоров и анализаторов, однако он может быть использован в том случае, если защищаемый маршрутизатор не может быть оснащён функциями обнаружения ВН. Рисунок 21.4 - Схема размещения системы обнаружения ВН на информационные ресурсы и инфраструктуры маршрутизаторов IP-сети Центр управления системой обнаружения ВН на информационные ресурсы и инфраструктуры маршрутизатора IP-сети может быть установлен в ЛВС вместе с ЦУС. Система обнаружения ВН на маршрутизаторы IP-сети, установленная при помощи одного из двух рассмотренных выше способов, позволяет выявлять различные воздействия, реализуемые нарушителем на основе уязвимостей протоколов уровня межсетевого взаимодействия, транспортного уровня, а также уровня приложения. Так, например, на уровне межсетевого взаимодействия стека протоколов TCP/IP система обнаружения ВН может выявлять воздействия, направленные на блокирование доступа к маршрутизаторам. На транспортном уровне система может обнаруживать ВН, направленные на выявление уязвимостей ПО маршрутизаторов или на блокирование доступа к маршрутизаторам. На прикладном уровне стека протоколов TCP/IP система обнаружения может, например, определять факт реализации ВН, направленных на получение НСД к БД управляющей информации маршрутизатора. Необходимо однако отметить, что система обнаружения не сможет выявить ВН, направленные на активизацию «закладок», внедрённых в ПО маршрутизаторов, а также другие ВН, которые не учитываются сигнатурами и профилями работы, заложенными в систему обнаружения ВН. Кроме того, существующие системы обнаружения ВН не смогут обнаружить источник ВН на маршрутизаторы IP-сети, если воздействие реализуется нарушителем с фальсифицированного им адреса. Таким образом, анализ возможного использования систем обнаружения ВН в целях обеспечения ИБ ГСПД показывает, что системы обнаружения позволяют лишь частично решить задачи обеспечения ИБ IP-сетей, связанные с выявлением ВН, направленных на получение НСД к ЦУС и маршрутизаторам, а также с обнаружением ВН, направленных на нарушение работоспособности этих объектов IP-сети. В то же самое время другие задачи обеспечения ИБ IP-сети остаются нерешёнными. Технология защиты информации от НСД Технология защиты информации от НСД представляет собой совокупность методов и средств защиты информационных ресурсов и инфраструктур АС от несанкционированного ознакомления и обработки, включая защиту от несанкционированной модификации, уничтожения или копирования информации. Технология защиты информации от НСД базируется на проведении процедуры идентификации и аутентификации субъектов доступа к этой информации. В качестве аутентификационных параметров доступа могут выступать: пароли, вводимые пользователем с клавиатуры; смарт-карты; идентификаторы Touch Memory (iButton); электронные USB-ключи; криптографические ключи пользователя; биометрические параметры пользователя и др. Обобщённый алгоритм работы средств, построенных на базе технологии защиты информации от НСД, выглядит следующим образом. На этапе получения доступа к какому-либо информационному ресурсу или инфраструктуре АС средства защиты запрашивают аутентификационные параметры субъекта доступа и сравнивают их со значениями, хранящимися в БД средства защиты. В случае установления соответствия между сравниваемыми величинами субъекту разрешается доступ к соответствующим ресурсам и инфраструктурам АС. В противном случае средство защиты информации от НСД несколько раз повторяет запрос на повторный ввод аутентификационных данных, после чего блокирует доступ к АС и сигнализирует администратору безопасности о попытке получения НСД. В случае если АС функционирует в многопользовательской среде, то помимо простого контроля доступа средства защиты информации от НСД выполняют функции разграничения прав доступа разных пользователей к ресурсам и инфраструктурам АС. В дополнение к функциям аутентификации средства защиты информации от НСД могут выполнять контроль целостности ресурсов и инфраструктур АС. Контроль целостности может осуществляться либо на основе имитовставки алгоритма ГОСТ 28147-89, либо на основе функции хеширования алгоритма ГОСТ Р 34.11-34. В этом случае средства защиты информации от НСД функционируют аналогично системам обнаружения ВН, базирующимся на методе контроля целостности. Как правило, для повышения производительности средствами защиты информации от НСД осуществляется контроль целостности не всех ресурсов и инфраструктур АС, а лишь их наиболее критических компонентов. Контроль целостности может осуществляться как в процессе загрузки, так и динамически в процессе функционирования АС. Журнал аудита В процессе своего функционирования средства защиты информации от НСД формируют журнал аудита безопасности, содержащий следующие регистрационные записи: дату и время попытки доступа субъектов к ресурсам и инфраструктурам АС с указанием её результата (успешный, неуспешный - несанкционированный); идентификатор субъекта, предъявленный при попытке получения доступа; аутентификационные параметры субъекта, предъявленные при неуспешной попытке доступа; дату и время запуска (завершения) программ и процессов (заданий задач), предназначенных для обработки защищаемых ресурсов иинфраструктур АС; идентификатор запускаемой (завершающейся) программы, осуществляющей доступ к защищаемым ресурсам и инфраструктурам АС; идентификатор субъекта доступа, инициировавшего запуск (завершение) программы; результат запуска (завершения) программы (успешный, неуспешный - несанкционированный); сведения об изменениях полномочий субъектов доступа (дата и время изменения полномочий, идентификатор субъекта, у которого произведено изменение полномочий) и др. Средства защиты информации от НСД Средства защиты информации от НСД могут иметь аппаратную или программную реализацию и могут быть условно разделены на две группы: внешние и внутренние. Внутренние средства защиты встроены в информационную сферу АС. Примером встроенных средств защиты является парольная защита базовой системы ввода/вывода BIOS, ОС или СУБД АС. Для внешних средств защиты информации от НСД предварительно должна быть проведена процедура их установки в объект защиты, включающая в себя установку специализированного программно-аппаратного обеспечения. Средства защиты информации от НСД, базирующиеся на рассмотренной выше технологии, могут быть использованы в ГСПД для решения только одной задачи ИБ ГСПД - защиты информационных ресурсов и инфраструктур ЦУС и узлов ГСПД от НСД с консоли управления. Защита ЦУС может быть обеспечена при помощи как внешних, так и внутренних средств защиты информации от НСД. Внутренние средства защиты встраиваются в программно-аппаратное обеспечение ЦУС, а внешние могут быть дополнительно установлены путём добавления в ЦУС соответствующих программных и аппаратных компонентов. Для защиты информационных ресурсов и инфраструктур узлов ГСПД от НСД с консоли управления могут быть использованы только внутренние средства защиты, интегрированные в программно-аппаратное обеспечение узлов, например в ОС или BIOS. Внешние средства защиты ресурсов и инфраструктур узлов ГСПД от НСД с консоли управления в настоящее время на отечественном рынке ИБ отсутствуют. Существующие же внешние средства защиты информации от НСД не Могут быть применены для защиты ресурсов и инфраструктур узлов ГСПД в связи с тем, что узлы базируются на специализированном программно-аппаратном обеспечении, использующем собственные программные и аппаратные интерфейсы, несовместимые со стандартными программно-аппаратными интерфейсами других АС. Технология антивирусной защиты Технология антивирусной защиты представляет собой совокупность методов обнаружения и удаления программных компонентов, несанкционированно внедрённых в информационную сферу АС и предназначенных для выполнения несанкционированных действий, направленных на реализацию угроз ИБ. Такие программные компоненты принято называть «вирусами». Частными случаями вирусов являются: информационные «закладки», информационные люки, программы типа «троянский конь» и др. Внесение вирусов может осуществляться нарушителем как на технологическом, так и на эксплуатационном этапе жизненного цикла ГСПД. Технология антивирусной защиты реализуется при помощи специализированного программного обеспечения, называемого антивирусными программами. Существует четыре основных типа антивирусных программ: сканеры, программы контроля целостности данных, мониторы и гибридные антивирусные средства. Алгоритм работы антивирусного сканеразаключается в обнаружении вирусов на базе сигнатур, хранящихся в БД сканера. Сигнатура вируса представляет последовательность кода, характерную для этого вируса. Если в процессе анализа информационных ресурсов и инфраструктур АС на предмет наличия вирусов сканер встретит фрагмент кода, соответствующий сигнатуре, хранящейся в его БД, то он сигнализирует об обнаружении вируса. Недостатком антивирусных сканеров является невозможность обнаружения тех вирусов, которых нет в его БД. Для устранения этого недостатка в сканерах используется дополнительный компонент - эвристический анализатор, предназначенный для обнаружения вирусов, заранее неизвестных сканеру. Однако данный метод обнаружения вирусов является недостаточно надёжным и характеризуется большим количеством ложных срабатываний. Программы контроля целостности данныхпредназначены для обнаружения вирусов путём отслеживания изменений, внесённых в информационные ресурсы и инфраструктуры защищаемой АС. Контроль изменений ресурсов и инфраструктур осуществляется при помощи механизма контрольных сумм. Алгоритм работы антивирусных программ этого типа аналогичен работе систем обнаружения ВН, построенных на базе метода контроля целостности. Антивирусные мониторы - это специальные программы, которые функционируют в фоновом режиме ОС защищаемой АС и осуществляют проверку всех ресурсов и инфраструктур, с которыми работает ОС АС. При этом обнаружение вирусов осуществляется при помощи рассмотренных выше алгоритмов работы антивирусных сканеров. Гибридные антивирусные средствасочетают в себе функциональные возможности сканеров, программ контроля целостности данных и мониторов. В настоящее время только два антивирусных средства имеют сертификаты Гостехкомиссии. В ГСПД антивирусные средства защиты могут быть использованы для решения лишь одной задачи ИБ ГСПД - обнаружения «закладок» и «вирусов», внесённых в ПО ЦУС. Необходимо также отметить, что существующие на отечественном рынке ИБ средства антивирусной защиты способны обнаружить лишь общеизвестные «закладки» и «вирусы», внедрённые в ПО ЦУС, и не имеют возможности выявить те из них, сигнатуры которых не содержатся в БД антивируса. Средства же выявления «вирусов» и «закладок», внесённых в информационные ресурсы и инфраструктуры узлов ГСПД, в настоящее время на отечественном рынке ИБ отсутствуют. Проведённый анализ возможности использования существующих средств защиты информации в целях обеспечения ИБ ГСПД показывает, что ни один из типов средств защиты не может обеспечить выполнение всех задач ИБ ГСПД, список которых был приведён в начале данной главы. Так, ни одно из описанных выше средств защиты информации не позволяет решить задачу защиты ГСПД от НСД к услугам связи, а также задачу локализации места и источника ВН, направленного на нарушение целостности передаваемых сообщений. Данный факт говорит о необходимости разработки новых подходов к созданию средств обеспечения ИБ ГСПД. 1 2 |