Главная страница
Навигация по странице:

  • Этап расчета трудоемкости и стоимости

  • Этап формализации и документирования

  • 7.2.3. Методика анализа защищенности

  • Исходные данные по обследуемой АС

  • Методы анализа защищенности информационной системы Выявление злоумышленной активности

  • Выявление аномальной активности

    		•

    ОИБ. основы информ. безопасности. Учебное пособие Томск


    Скачать 1.99 Mb.
    НазваниеУчебное пособие Томск
    Дата22.10.2021
    Размер1.99 Mb.
    Формат файлаpdf
    Имя файлаосновы информ. безопасности.pdf
    ТипУчебное пособие
    #253135
    страница24 из 27
    1   ...   19   20   21   22   23   24   25   26   27
    Этап анализа требований и исходных данных
    Этап анализа требований и исходных данных составляет главную часть планирования аудита. В процессе анализа рассматриваются:
    Требования информационной безопасности. Цель аудита – объективно и оперативно оценить и проверить соответствие исследуемой корпоративной системы защиты компании предъявляемым к ней требованиям информационной безопасности. Поэтому для такой оценки необходимо сначала рассмотреть требования информационной безопасности.
    Основными требованиями информационной безопасности для отечественных предприятий и компаний являются требования руководящих документов Гостехкомиссии РФ, законов
    Российской Федерации, внутриведомственных, межведомственных, национальных и международных стандартов. Кроме этого, для каждой корпоративной информационной системы необходимо учитывать специальные требования внутреннего использования, согласованные с концепцией и политикой безопасности компании. Такие внутренние требования рекомендуется формулировать по результатам анализа информационных рисков компании, учитывающих специфику конкретной компании;
    Исходные данные для проведения аудита. В руководящем документе Гостехкомиссии
    «Положение по аттестации объектов информатизации по требованиям безопасности информации» приводится стандартный перечень исходных данных, необходимых для разработки программы и методики аттестационных испытаний. Помимо стандартных исходных данных могут использоваться и дополнительные исходные данные, специфичные для каждой конкретной компании, например статистика нарушений политики безопасности компании, статистика внешних и внутренних атак, уязвимости наиболее критичных корпоративных информационных ресурсов и т. д. Также нужно учитывать, что, как правило, руководство компании имеет собственные взгляды на информацию, предоставляемую в качестве исходных данных для аудита безопасности. Поэтому между заказчиком и исполнителем работ по аудиту информационной безопасности рекомендуется заключить специальное соглашение о конфиденциальности или соответствующий протокол о намерениях;
    Рамки проведения аудита. При определении рамок проведения аудита необходимо в равной степени учитывать организационный, технологический, и программно-технический уровни обеспечения информационной безопасности. В противном случае результаты аудита не будут объективно отражать реальный уровень информационной безопасности компании.
    Например, дорогостоящие аппаратно-программные средства защиты информации могут оказаться бесполезными, если неправильно определены и реализованы меры и мероприятия на организационном и технологическом уровнях. При определении рамок аудита необходимо зафиксировать штатные условия функционирования корпоративной информационной системы безопасности компании. Такая фиксация может быть отражена в
    «Аттестате соответствия» или «Паспорте компании» и является необходимым условием для обеспечения требуемого уровня информационной безопасности компании и разработки планов действия в случае возникновения нештатных условий функционирования корпоративной системы Internet/Intranet;
    Области детального изучения. При проведении аудита основное внимание должно уделяться компонентам и подсистемам, осуществляющим обработку конфиденциальной информации компании. При этом необходимо уметь рассчитать возможный ущерб, который может быть нанесен компании в случае разглашения конфиденциальной информации и нарушения Политики безопасности. Это должно быть отражено в соответствующих документах компании, регламентирующих ее политику информационной безопасности. Для определения возможного ущерба могут использоваться разнообразные формальные методы, например методы экспертных оценок. В качестве исходных данных для принятия решения об областях детального изучения могут служить

    180 результаты ранее проведенного, текущего комплексного аудита безопасности компании, результаты анализа информационных рисков компании и другие данные. Кроме того при необходимости уязвимые места дополнительно могут быть исследованы специальными инструментальными проверками с помощью так называемых сканеров и систем проверки уровня защищенности;
    Требуемый уровень детализации и полноты. В большинстве случаев для получения адекватных результатов достаточно провести базовый анализ корпоративной системы защиты информации, позволяющий определить общий уровень информационной безопасности компании и проверить его на соответствие некоторым требованиям безопасности. В некоторых случаях дополнительно требуется провести детальный анализ, цель которого — количественно оценить уровень информационной безопасности компании на основе специальных количественных метрик и мер информационной безопасности. Для этого сначала определяются все необходимые количественные показатели, а затем производится оценка уровня информационной безопасности компании. Существенно, что при этом становится возможным сравнивать уровень безопасности компании с некоторым эталоном, определять тенденции и перспективы развития системы корпоративной безопасности, необходимые инвестиции и т. д.
    Этап расчета трудоемкости и стоимости
    На этапе расчета трудоемкости и стоимости проводимых работ по данным проведенного анализа оцениваются временные, финансовые, технические, информационные и прочие ресурсы, необходимые для аудита информационной безопасности. Выделение ресурсов рекомендуется производить с учетом возможных нештатных ситуаций, способных увеличить трудоемкость аудита безопасности.
    Этап формализации и документирования
    Завершается планирование аудита формализацией и документированием выполнения аудита, что прежде всего подразумевает подготовку и согласование плана проведения аудита.
    План проведения аудита в общем случае включает в себя следующие разделы:
    Краткая характеристика работ. Включает все необходимые сведения о порядке проведения работ;
    Введение. Указывается актуальность проведения аудита безопасности, особенности и требования к порядку проведения аудита, характеристика исследуемого объекта, рамки проведения аудита, общий порядок работ, требования по фиксации результатов аудита.
    Дополнительно приводятся сведения о категорировании корпоративной информации, например конфиденциальной и строго конфиденциальной. Также перечисляются основные решаемые задачи, ограничения, выполняемые функции и критерии оценивания уровня информационной безопасности компании, требования нормативных документов Российской
    Федерации, международных стандартов и внутренних требований компании;
    Распределение обязанностей. Определяется штат и функциональные обязанности группы специалистов, которые будут проводить аудит безопасности;
    Требования информационной безопасности. Фиксируется обоснованный выбор требований информационной безопасности, определяются критерии и показатели оценки информационной безопасности компании, выбираются количественные метрики и меры безопасности. Помимо нормативной и законодательной базы Российской Федерации дополнительно рекомендуется использовать требования международных и внутренних стандартов компании, актуальные для каждой отдельно взятой. Оценку инвестиций в

    181 модернизацию корпоративной системы защиты информации рекомендуется проводить на основе результатов анализа информационных рисков компании;
    Формализация оценок уровня безопасности компании. Определяются качественные и количественные параметры для получения объективных оценок уровня информационной безопасности компании. Перечисляются задачи, выполняемые при проведении базового и детального анализа информационных рисков. Состав задач зависит от того, на каком этапе жизненного цикла находится исследуемая безопасность корпоративной системы
    Internet/Intranet: этапе проектирования, эксплуатации или др. В этом разделе отражаются критичные информационные ресурсы компании, оценка экономической эффективности ее деятельности, используемые модели, методы средства проведения аудита безопасности, исходные данные;
    План-график работ. Определяются сроки, календарный план выполняемых работ, время их окончания, формы отчетных документов, требования по приему-сдаче работы и прочее;
    Поддержка и сопровождение. Перечисляются требования к административной, технологической и технической поддержке аудита информационной безопасности;
    Отчетные документы. Основными отчетными документами являются отчет по результатам аудита безопасности, концепция и политика информационной безопасности, план защиты компании;
    Приложения. В приложениях приводятся протоколы проверок, а также информация по методикам и инструментарии проведения аудита, выявленные замечания, рекомендации и прочее.
    7.2.3. Методика анализа защищенности
    В настоящее время не существует каких-либо стандартизированных методик анализа защищенности АС, поэтому в конкретных ситуациях алгоритмы действий аудиторов могут существенно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки возможно. И хотя данная методика не претендует на всеобщность, ее эффективность многократно проверена на практике.
    Типовая методика анализа защищенности корпоративной сети включает использование следующих методов:
    Изучение исходных данных по АС;
    Оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС;
    Анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности существующим рискам;
    Ручной анализ конфигурационных файлов маршрутизаторов, МЭ и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры;
    Сканирование внешних сетевых адресов ЛВС из сети Интернет;
    Сканирование ресурсов ЛВС изнутри;
    Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.
    Исходные данные по обследуемой АС
    В соответствии с требованиями РД Гостехкомиссии при проведении работ по аттестации безопасности АС, включающих в себя предварительное обследование и анализ

    182 защищенности объекта информатизации, заказчиком работ должны быть предоставлены следующие исходные данные:
    Полное и точное наименование объекта информатизации и его назначение.
    Характер (научно-техническая, экономическая, производственная, финансовая, военная, политическая) информации и уpовень секpетности (конфиденциальности) обpабатываемой инфоpмации определен (в соответствии с какими пеpечнями
    (госудаpственным, отpаслевым, ведомственным, пpедпpиятия).
    Оpганизационная стpуктуpа объекта информатизации.
    Пеpечень помещений, состав комплекса технических сpедств (основных и вспомогательных), входящих в объект информатизации, в котоpых (на котоpых) обpабатывается указанная инфоpмация.
    Особенности и схема pасположения объекта информатизации с указанием гpаниц контpолиpуемой зоны.
    Стpуктуpа пpогpаммного обеспечения
    (общесистемного и пpикладного), используемого на аттестуемом объекте информатизации и пpедназначенного для обpаботки защищаемой инфоpмации, используемые пpотоколы обмена инфоpмацией.
    Общая функциональная схема объекта информатизации, включая схему инфоpмационных потоков и pежимы обpаботки защищаемой инфоpмации.
    Наличие и хаpактеp взаимодействия с дpугими объектами информатизации.
    Состав и стpуктуpа системы защиты инфоpмации на аттестуемом объекте информатизации.
    Пеpечень технических и пpогpаммных сpедств в защищенном исполнении, сpедств защиты и контpоля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сеpтификат, пpедписание на эксплуатацию.
    Сведения о pазpаботчиках системы защиты инфоpмации, наличие у стоpонних pазpаботчиков (по отношению к пpедпpиятию, на котоpом pасположен аттестуемый объект информатизации) лицензий на пpоведение подобных pабот.
    Наличие на объекте информатизации (на пpедпpиятии, на котоpом pасположен объект информатизации) службы безопасности инфоpмации, службы администpатоpа
    (автоматизиpованной системы, сети, баз данных).
    Наличие и основные хаpактеpистики физической защиты объекта информатизации
    (помещений, где обpабатывается защищаемая инфоpмация и хpанятся инфоpмационные носители).
    Наличие и готовность пpоектной и эксплуатационной документации на объект информатизации и дpугие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность инфоpмации.
    Опыт показывает, что перечисленных исходных данных явно недостаточно для выполнения работ по анализу защищенности АС, и приведенный в РД Гостехкомиссии список нуждается в расширении и конкретизации. Пункт 14 приведенного списка предполагает предоставление других исходных данных по объекту информатизации, влияющих на безопасность информации. Как раз эти «дополнительные» данные и являются наиболее значимыми для оценки текущего положения дел с обеспечением безопасности АС. Их список включает следующие виды документов:
    Дополнительная документация:
    Нормативно-распорядительная документация по проведению регламентных работ.
    Нормативно-распорядительная документация по обеспечению политики безопасности.
    Должностные инструкции для администраторов, инженеров технической поддержки, службы безопасности.
    Процедуры и планы предотвращения и реагирования на попытки НСД к информационным ресурсам.
    Схема топологии корпоративной сети с указанием IP-адресов и структурная схема.

    183
    Данные по структуре информационных ресурсов с указанием степени критичности или конфиденциальности каждого ресурса.
    Размещение информационных ресурсов в корпоративной сети.
    Схема организационной структуры пользователей.
    Схема организационной структуры обслуживающих подразделений.
    Схемы размещения линий передачи данных.
    Схемы и характеристики систем электропитания и заземления объектов АС.
    Данные по используемым системам сетевого управления и мониторинга.
    Проектная документация:
    Функциональные схемы.
    Описание автоматизированных функций.
    Описание основных технических решений.
    Эксплуатационная документация: Руководства пользователей и администраторов используемых программных и технических средств защиты информации (СЗИ) (в случае необходимости).
    При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты, определяемые их конфигурацией:
    Настройка правил разграничения доступа (правил фильтрации сетевых пакетов) на МЭ и маршрутизаторах;
    Используемые схемы и настройка параметров аутентификации;
    Настройка параметров системы регистрации событий;
    Использование механизмов, обеспечивающих сокрытие топологии защищаемой сети, включающих в себя трансляцию сетевых адресов (NAT), маскарадинг и использование системы split DNS;
    Настройка механизмов оповещения об атаках и реагирования;
    Наличие и работоспособность средств контроля целостности;
    Версии используемого ПО и наличие установленных пакетов программных коррекций.
    Методы анализа защищенности информационной системы
    Выявление злоумышленной активности
    Под злоумышленной активностью мы понимаем как атаки (очевидно, противоречащие любой политике безопасности), так и действия, нарушающие политику безопасности конкретной организации путем злоупотребления имеющимися полномочиями. Разделение двух видов злоумышленной активности представляется нам целесообразным по той причине, что настройка на выявление атак может быть выполнена поставщиком системы активного аудита (атаки носят универсальный характер), в то время как политика безопасности (если, конечно, она есть) у каждой организации своя и настраиваться на нее заказчикам придется самим.
    Для выявления злоумышленной активности пытались и пытаются использовать несколько универсальных технологий: экспертные системы, нейронные сети, сопоставление с образцом, конечные автоматы и т.п. Одной из первых и до сих пор самой употребительной остается технология обнаружения сигнатур злоумышленных действий. Идея состоит в том, чтобы каким-либо образом задать характеристики злоумышленного поведения (это и называется сигнатурами), а затем отслеживать поток событий в поисках соответствия с предопределенными образцами. В более серьезных разработках уже свыше десяти лет используются экспертные системы, опирающиеся на наборы правил, задающие более мощные языки.

    184
    Самой сложной проблемой для сигнатурного подхода является обнаружение ранее неизвестных атак, ведь новые угрозы появляются практически каждый день. Бороться с ними можно двумя способами.
    Во-первых, можно регулярно обновлять набор сигнатур. Здесь, помимо полноты, критически важной является частота обновлений. Сигнатуры новых атак должны предоставляться заказчикам на порядок быстрее, чем заплаты от производителей скомпрометированных аппаратных или программных продуктов. На практике это означает обновление в течение суток, но никак не раз в месяц. В противном случае системы активного аудита начинают напоминать фиговый листок, а не средство защиты от реальных угроз.
    Во-вторых, можно сочетать сигнатурный подход с методами выявления аномальной активности (см. ниже). Атака или злоупотребление полномочиями - это почти всегда аномалия. Задача такова – не пропустить ее и не поднимать слишком часто ложных тревог.
    Выявление аномальной активности
    Для выявления аномальной активности предложено довольно много методов: нейронные сети, экспертные системы, статистический подход.
    Статистический подход можно подразделить на кластерный и факторный анализ, а также дискриминантный (классификационный) анализ. Не вдаваясь в детали, укажем, что буквальное применение этих методов не дает хороших результатов; необходимо учитывать специфику предметной области - активного аудита.
    Статистический анализ (с учетом сделанных оговорок) представляется наиболее перспективным, отчасти ―от противного‖, в силу недостатков, присущих другим подходам.
    У нейронных сетей две основные проблемы: непонятность результатов: нейронная сеть принимает решение, но не объясняет, почему оно было принято; нехватка адекватного обучающего материала: невозможно создать базу всех типов аномалий.
    Основной недостаток экспертных систем – неумение выявлять (и, следовательно, отражать) неизвестные атаки.
    У статистического подхода также есть проблемы: относительно высокая вероятность ложных тревог (не типичность поведения не всегда означает злой умысел); плохая работа в случаях, когда действия пользователей не имеют определенного шаблона, когда с самого начала пользователи совершают злоумышленные действия
    (злоумышленные действия типичны), наконец, когда пользователь постепенно изменяет шаблон своего поведения в сторону злоумышленных действий.
    Тем не менее, с этими проблемами можно бороться.
    Выявление аномальной активности статистическими методами основывается на сравнении краткосрочного поведения с долгосрочным. Для этого измеряются значения некоторых параметров работы субъектов (пользователей, приложений, аппаратуры).
    Параметры могут отличаться по своей природе; можно выделить следующие группы: категориальные (измененные файлы, выполненные команды, номер порта и т.п.); числовые (процессорное время, объем памяти, количество просмотренных файлов, число переданных байт и т.п.); величины интенсивности (число событий в единицу времени); распределение событий (таких как доступ к файлам, вывод на печать и т.п.).
    Алгоритмы анализа могут работать с разнородными значениями, а могут преобразовать все параметры к одному типу (например, разбив область значения на конечное число подобластей и рассматривая все параметры как категориальные). Выбор измеряемых характеристик работы - очень важный момент. С одной стороны, недостаточное число

    185 фиксируемых параметров может привести к неполноте описания поведения субъекта и к большому числу пропуска атак; с другой стороны, слишком большое число отслеживаемых характеристик потребует слишком большого объема памяти и замедлит работу алгоритма анализа.
    Измерения параметров накапливаются и преобразуются в профили - описания работы субъектов. Суть преобразования множества результатов измерения в профили - сжатие информации. В результате от каждого параметра должно остаться лишь несколько значений статистических функций, содержащих необходимые для анализирующего алгоритма данные.
    Для того чтобы профили адекватно описывали поведение субъекта, необходимо отбрасывать старые значения параметров при пересчете значений статистических функций. Для этого, как правило, используется один из двух методов:
    Метод скользящих окон – результаты измерений за некоторый промежуток времени
    (для долгосрочных профилей - несколько недель, для краткосрочных - несколько часов) сохраняются; при добавлении новых результатов старые отбрасываются. Основным недостатком метода скользящих окон является большой объем хранимой информации.
    Метод взвешенных сумм – при вычислении значений статистических функций более старые данные входят с меньшими весами (как правило, новые значения функций вычисляются по рекуррентной формуле, и необходимость хранения большого количества информации отпадает). Основным недостатком метода является более низкое качество описания поведения субъекта, чем в методе скользящих окон.
    Итак, долгосрочные профили содержат в себе информацию о поведении субъектов за последние несколько недель; обычно они пересчитываются раз в сутки, когда загрузка системы минимальна. Краткосрочные профили содержат информацию о поведении за последние несколько часов или даже минут; они пересчитываются при поступлении новых результатов измерений.
    Сравнение краткосрочных и долгосрочных профилей может производиться разными способами. Можно просто проверять, все ли краткосрочные значения попадают в доверительные интервалы, построенные по долгосрочному профилю. Однако в этом случае аномалии, распределенные по нескольким параметрам, могут остаться незамеченными.
    Поэтому предпочтительнее анализировать профили в совокупности. Далее, измеряемые характеристики, как правило, не являются независимыми, поэтому было бы желательным, чтобы влияние параметров на решение о типичности поведения было пропорционально степени их независимости.
    Полезной числовой характеристикой является количество зафиксированных ошибок.
    При этом обнаруживается не только злоумышленное поведение, но и сбои и отказы аппаратуры и программ, что также можно считать нарушением информационной безопасности. Разумеется, целесообразно измерять и объем сетевого трафика. Аномальными являются отклонения в обе стороны (слишком большой трафик - сервис используют в злоумышленных целях, слишком маленький - нарушена доступность сервиса).
    Применительно к сетевому трафику и некоторым другим событиям полезным классом величин оказывается интенсивность.
    Для успеха статистического подхода важен правильный выбор субъектов, поведение которых анализируется. Например, целесообразно анализировать поведения сервисов или их компонентов (например, доступ анонимных пользователей к FTP-сервису). По сравнению с отдельными пользователями, поведение сервисов отличается большей стабильностью, да и для информационной безопасности организации важны именно сервисы. Совсем нет смысла анализировать сетевой трафик ―вообще‖, его также нужно структурировать по типам поддерживаемых сервисов (плюс служебные моменты сетевого и транспортного уровней, такие как установление соединений).

    186
    1   ...   19   20   21   22   23   24   25   26   27

    написать администратору сайта