Усі лекції ОІБ в одному файлі. Усі лекції оіб в одному файлі Найпоширеніші загрози. Основні визначення і класифікація загроз Загроза

Название	Усі лекції оіб в одному файлі Найпоширеніші загрози. Основні визначення і класифікація загроз Загроза
Дата	29.03.2022
Размер	273.05 Kb.
Формат файла
Имя файла	Усі лекції ОІБ в одному файлі.docx
Тип	Документы #426234
страница	3 из 15

1 2 3 4 5 6 7 8 9 ... 15

Програма безпеки

Після формулювання політики безпеки можна приступати до складення програми її реалізації і до власне реалізації.

Щоб реалізувати будь-яку програму, її потрібно структурувати за рівнями, звичайно згідно структури організації. В найпростішому і найпоширенішому випадку цілком достатньо двох рівнів – верхнього або центрального, який охоплює всю організацію, і нижнього або службового, який стосується окремих послуг або груп однорідних сервісів.

Програму верхнього рівня очолює особа, яка відповідає за інформаційну безпеку організації. Ця програма має такі головні цілі:

управління ризиками (оцінка ризиків, вибір ефективних засобів захисту);
координація діяльності в галузі інформаційної безпеки, поповнення і розподіл ресурсів;
стратегічне планування;
контроль діяльності в галузі інформаційної безпеки .

В рамках програми верхнього рівня приймаються стратегічні рішення з забезпечення безпеки, оцінюються технологічні новинки. Інформаційні технології розвиваються дуже швидко, тому необхідно мати чітку політику відслідковування і впровадження нових засобів. Контроль діяльності в галузі безпеки має двобічну направленість. По-перше, необхідно гарантувати, що дії організації не суперечать законам. При цьому треба підтримувати контакти з зовнішніми контролюючими організаціями. По-друге, потрібно постійно відслідковувавти стан безпеки всередині організації, реагувати на випадки порушень і допрацьовувати захисні заходи з врахуванням змін обстановки.

Зазначимо що, програма верхнього рівня повинна займати чітко визначене місце в діяльності організації, вона повинна офіційно прийматись і підтримуватись керівництвом, мати певний штат і бюджет.

Метою програми нижнього рівня є забезпечення надійного і економічного захисту конкретного сервісу або групи однорідних сервісів. На цьому рівні вирішують, які механізми захисту слід використовувати, закуповують і встановлюють технічні засоби, виконують повсякденне адміністрування, відслідковують стан слабкі місця, тощо. Звичайно за програму нижнього рівня відповідають адміністратори сервісів.

Синхронізація програми безпеки

з життєвим циклом систем

Можна добитися більшого ефекту з меншими затратами якщо синхронізувати програму безпеки нижнього рівня з життєвим циклом сервісу, що захищається. Звичайно додати нову можливість до вже готової системи на порядок складніше, ніж початково спроектувати і реалізувати її. Це стосується і інформаційної безпеки.

В життєвому циклі інформаційного сервісу можна виділити такі етапи:

Ініціація. На цьому етапі виявляється необхідність придбання нового сервісу, документується його передбачуване призначення.

Закупівля. На цьому етапі складаються специфікації, проробляються варіанти придбання, здійснюється власне закупівля.

Встановлення. Сервіс встановлюється, конфігурується, тестується і вводиться в експлуатацію.

Експлуатація. На цьому етапі сервіс не тільки працює і адмініструється, але й піддається модифікаціям.

Виведення з експлуатації. Відбувається перехід на новий сервіс.

Розглянемо детальніше дії, що виконуються на кожному з етапів. На етапі ініціації оформляється розуміння того, що необхідно придбати новий або значно модернізувати існуючий сервіс; визначаться, які характеристики і яку функціональність він повинен мати; оцінюються фінансові та інші обмеження. З точки зору безпеки найважливішою дією тут є оцінка критичності як самого сервісу, так і інформації, яка буде оброблятися з його допомогою. Необхідно сформулювати відповіді на такі питання:

якого роду інформація призначається для обробки новим сервісом?
якими є можливі наслідки порушення цілісності, доступності і конфіденційності інформації?
якими є загрози стосовно яких сервіс і інформація будуть найвразливішими?
чи є які-небудь особливості нового сервісу (наприклад, територіальна розподіленість компонентів), що вимагають вжиття спеціальних процедурних заходів?
якими є характеристики персоналу, які мають відношення до безпеки (кваліфікація, благонадійність)?
якими є законодавчі положення і внутрішні правила, яким повинен відповідати новий сервіс?

Результати оцінки критичності є точкою відліку при складенні специфікацій. Крім того, вони визначають міру уваги, яку служба безпеки організації повинна приділяти новому сервісу на наступних етапах його життєвого циклу. Етап закупівлі є одним з найскладніших. Потрібно остаточно сформулювати вимоги до захисних засобів нового сервісу, до компанії, яка може претендувати на роль постачальника, і до кваліфікації, яку повинен мати персонал, що використовує або обслуговує закуповуваний продукт. Всі ці відомості оформляються у вигляді специфікації, куди входять не лише апаратура і програми, але й документація, обслуговування, навчання персоналу. Особливу увагу слід приділити питанням сумісності нового сервісу з існуючою конфігурацією. Зазначимо, що засоби безпеки часто не є необов’язковими компонентами комерційних продуктів, і тому треба прослідкувати, щоб відповідні пункти не випали з специфікації. Встановлення є дуже відповідальним етапом. Коли продукт закуплено, його необхідно встановити.

По-перше, новий продукт необхідно сконфігурувати. Як правило, комерційні продукти поставляються з відключеними засобами безпеки, їх необхідно включити і належно налаштувати. Для великих організацій, де є багато користувачів і даних, початкове налаштування може бути досить трудомісткою і відповідальною справою.

По-друге, новий сервіс потребує процедурних регуляторів. Слід подбати про чистоту і охорону приміщення, про документи, що регламентують використання сервісу, про підготовку планів на випадок екстрених ситуацій, про організацію навчання користувачів, тощо. Після вжиття перелічених заходів необхідно здійснити тестування. Його повнота і комплексність можуть служити гарантією безпеки експлуатації в штатному режимі.

Етап експлуатації є найтривалішим і найскладнішим. З психологічної точки зору найбільшу небезпеку становлять незначні зміни в конфігурації сервісу, в поведінці користувачів і адміністраторів. Якщо безпеку не підтримувати, вона слабне. Користувачі не так ретельно виконують посадові інструкції, адміністратори менш старанно аналізують реєстраційну інформацію. То той то інший користувач отримують додаткові привілеї. Ніби нічого не змінилось, але насправді від колишньої безпеки не залишилось і сліду. Для боротьби з ефектом повільних змін доводиться застосовувати періодичні перевірки безпеки сервісу. Очевидно, після значних модифікацій такі перевірки є обов’язковими.

Виведення з експлуатації стосується апаратно-програмних компонент сервісу і оброблюваних ним даних. Апаратура продається, утилізується або викидається. Тільки в специфічних випадках необхідно потурбуватись про фізичне руйнування апаратних компонент, які зберігають конфіденційну інформацію. Програми просто стираються, якщо ліцензійна угода не передбачає іншого варіанту. При виведенні даних з експлуатації їх звичайно переносять на іншу систему, архівують, викидають або просто знищують. Якщо архівування здійснюється з наміром в подальшому прочитати дані в іншому місці, необхідно потурбуватись про апаратно-програмну сумісність засобів читання і записування. Інформаційні технології розвиваються дуже швидко, і через кілька років пристроїв, здатних прочитати старий носій, може просто не виявитись. Якщо дані архівуються в зашифрованому вигляді, необхідно зберегти ключ і засоби розшифрування. При архівуванні і зберіганні архівної інформації не можна забувати про підтримання конфіденційності даних.

Важливість і складність проблем інформаційної і кібенетичної безпеки

Інформаційна безпека є одним з найважливіших аспектів інтегральної безпеки, на якому б рівні ми не розглядали останню – національному, галузевому, корпоративному або персональному.

Для ілюстрації цього положення обмежимося декількома прикладами.

• За розпорядженням президента США Клінтона (від 15 липня 1996 року, номер 13010) була створена Комісія із захисту критично важливої інфраструктури як від фізичних нападів, так і від атак, початих за допомогою інформаційної зброї. На початку жовтня 1997 року при підготовці доповіді президентові глава вищезга-даної комісії Роберт Марш заявив, що на той час ні уряд, ні приватний сектор не мали у своєму розпорядженні засобів захисту від комп'ютерних атак, здатних вивести з ладу комунікаційні мережі й мережі енергопостачання.

• У лютому 2001 року двоє колишніх співробітників компанії Commerce One, скориставшись паролем адміністратора, видалили із сервера файли, що становили великий (на кілька мільйонів доларів) проект для іноземного замовника. На щастя, була резервна копія проекту, так що реальні втрати обмежилися витратами на слідcтво і засоби захисту від подібних інцидентів у майбутньому. У серпні 2002 року злочинці постали перед судом.

• Одна студентка втратила стипендію в 18 тисяч доларів у Мічиганському університеті через те, що її сусідка по кімнаті скористалася їх спільним системним паролем і відправила від імені своєї жертви електронний лист із відмовою від стипендії.

• Кіберкомандування у системі збройних сил США, зокрема, займається операціями в інтернеті (за деякими оцінками в мережі Інтернет діють 150 тисяч військових комп'ютерів, а 95 % військового зв'язку проходить відкритими телефоннми лініями).

• Інформаційна складова "гібридної війни" між Україною і РФ. Про масштаби інформаційної війни, розгорнутої Росією проти України, найточніше сказав Головнокомандувач об'єднаних Збройних сил НАТО в Європі Ф.Брідлав: "Це найбільш дивовижний інформаційний бліцкриг, який ми коли-небудь бачили в історії інформаційних воєн". Інформаційний фронт "гібридної війни" розгортає-ться одразу на кількох напрямах.

• 1 жовтня 2009 року почав діяльність новий підрозділ Міністерства оборони - кібернетичне командування США. На думку експертів «військові й розвідувальні організації готують кібернетичне поле битви за допомогою так званих логічних бомб і закладок, й у мирний час розміщують віртуальні вибухові речовини на території інших країн».

• Аналізуючи приклади кіберзіткнень, експерти США роблять важливі висновки: 1. Кібервійна є реальною. Те, що США та інші країни здатні вчинити в кіберпросторі, може знищити сучасну державу.

2. Кібервійна розповсюджується зі швидкістю світла.

3. Кібервійна є глобальною. При будь-якому конфлікті кібератаки здатні охопити цілий світ.

4. Кібервійна охоплює всі сфери (від банків до радарів протиповітряної оборони). 5. Кібервійна вже почалася. Держави готуються до битви. Межа між миром та війною виявляється розмитою. • В 2011 році нетаємний бюджет Пентагону становив 3,4 млрд. доларів, а бюджет кіберкомандування – 154 млн доларів. При цьому більше грошей витрачалося на захист від кібератак ніж на розробки наступальної кіберзброї. Цілком очевидно, що таким самим шляхом йдуть і інші Так на міністерство оборони КНР в попередньому десятиріччі працюювало близько 40 тисяч хакерів.

• Британський Центр урядового зв'язку оголошував 2013 року конкурс "Саn You Find it?", переможці якого могли стати частиною команди, що займається криптографією і кібербезпекою. Вони повинні були розгадати п'ять зашифрованих повідомлень. Далі на одному з інтернет-сайтів їх чекали наступні інструкції. Це був не перший випадок пошуку співробітників британською розвідслужбою. В 2011 році на конкурсі "Can You Crack it?" (Чи можете ви зламати це?) учасник якого повинні були зламати код, викладений організаторами в інтернеті.

• Шість європейських держав заснували Кібернетичні сили Євросоюзу швидкого реагування на чолі з Литвою. Як повідомляє "Інтерфакс" з посиланням на агентство BNS, в березні 2020 р.в Загребі Литва, Естонія, Хорватія, Польща, Нідерланди і Румунія підписали меморандум про угоду, згідно з якою в різних країнах чергуватиме міжнародна команда, готова у будь-який час реагувати на кібератаку. • Так, у 2003 році у США були атаковані Росією та Китаєм інформаційної системи критичної інфраструктури.

• У 2007 році Росія провела масовану комп'ютерну атаку на Естонію, дезорганізувавши роботу парламенту, банків, засобів масової інформації. • У 2010 році служби США та Ізраїлю провели успішну операцію проти ядерної програми Ірану, захопивши контроль над роботою центрифуг за допомогою вірусу-хробака Stuxnet. Вірусом було вражено 60 тисяч комп’ютерів. Завдяки цій атаці ядерна програма Ірану була відкинута на кілька років назад.

• В низці країн (Китай, Росія, США, Україна, Ізраїль, Польща, ФРН тощо) створено спеціальні війська, готові до кібервійни: крім землі, моря, повітря і космосу, війна вторгається в п'яту сферу – кіберпростір.

• Вже наступного дня після проголошення Декларації про незалежність України було прийнято рішення щодо прийняття під юрисдикцію України захищених видів зв’язку. Вже наступного дня після проголошення Декларації про незалежність України було прийнято рішення щодо прийняття під юрисдикцію України захищених видів зв’язку. Ці функції було покладено ГУУЗ, яке пізніше увійшло до складу СБУ. • Прийнятим у березні 1992 року Законом України “Про Службу безпеки України” було законодавчо визначено порядок забезпечення засекреченим і шифрованим зв’язком державних органів України та відповідних посадових засекреченим і шифрованим зв’язком. • В травні 1993 року з метою реалізації державної політики національної безпеки України у сфері охорони державної таємниці було створено спеціально уповноважений центральний орган державної виконавчої влади Державний комітет України з питань державних секретів та технічного захисту інформації (Держкомсекретів). • У 1999 р. Держкомсекретів України було ліквідовано, а його повноваження було передано Службі безпеки України. В складі СБУ було створено Департамент спеціальних телекомунікаційних систем і захисту інформації. • В 2007 році на базі ДСТЗІ було створено центральний орган державної виконавчої влади – Державну службу спеціального зв’язку і захисту інформації.

• В Україні Державна служба спеціального зв'язку та захисту інформації в жовтні 2014 року створила оперативну групу з питань реагування на комп'ютерні інциденти з метою попередження порушень безпеки інформації.

• Національний координаційний центр кібербезпеки, створений у 2016 році, є робочим органом Ради національної безпеки і оборони України. До складу координаційного центру увійшли представники Держспецзв'язку, СБУ, МВС, Служби зовнішньої розвідки, Міністерства оборони, Генштабу ЗСУ, Генпрокуратури та Національної комісії, що здійснює державне регулювання у сфері зв'язку та інформатизації. Крім того, в діяльності центру повинні брати участь представники двох десятків провідних операторів та провайдерів телекомунікацій.а також громадських організацій. У завдання оперативної групи по боротьбі з кібератаками входять: якнайшвидше відпрацювання комп'ютерних інцидентів, інформація про які поступила в команду реагування на комп'ютерні надзвичайні ситуації CERT-UA; координація сил та засобів, спрямованих на запобігання порушень безпеки інформації в інформаційно-телекомунікаційних системах; обговорення і напрацювання дієвих механізмів забезпечення кібербезпеки шляхом консультацій експертів компаній і організацій. Також буде здійснюватися інформування громадськості про хакерські атаки і їх ліквідації. Створення координаційного центру з кібератак є першим кроком до створення міжвідомчого Національного центру кіберзахисту і протидії кіберзагроз • РНБО України 27 січня 2016 року затвердила Стратегію забезпечення кібернетичної безпеки України. Верховна Рада України 5 жовтня 2017 року прийняла Закон України «Про основні засади забезпечення кібернетичної безпеки України».

• В складі МВС України створено кіберполіцію. Її основні завдання є такими: 1. Реалізація державної політики в сфері протидії кіберзлочинності. 2. Протидія кіберзлочинам в сферах: платіжних систем; електронної комерції і господарської діяльності; інтелектуальної діяльності; інформаційної безпеки. 3. Завчасне інформування населення про появу найновіших кіберзлочинів. 4. Запровадження програмних засобів для систематизації і аналізу інформації про кіберінциденти, кіберзагрози і кіберзлочини. 5. Реагування на запити закордонних партнерів, які будуть поступати каналами Національної цілодобової мережі контактних пунктів. 6. Участь в підвищенні кваліфікації співробітників поліції в застосуванні комп’ютерних технологій в протидії злочинності. 7. Участь в міжнародних операціях і співпраця в режимі реального часу. Забезпечення діяльності мережі контактних пунктів між 90 країнами світу.

• В результаті російської атаки вірусом Not Petya в 2017 році постраждало 75 % комп'ютерів в Україні, зокрема банківська та енергетична системи. Всього було атаковано 60 держав. Збитки оцінюють у 10 млрд доларів.

• Проти України ведуть війну добре підготовлені групи проросійських хакерів, таких як Fаnсу Веаr, Соzу Веаг або Sandworm (відповідальна за вірус Not Petya). Метою російських атак є державна інфраструктура, виборчі системи президентських перегонів (2019).

• Україна є привабливою для хакерів тому, що велика частина комп'ютерів користується піратським програмним забезпеченням, яке не одержує нових поправок до систем безпеки і є відносно безборонним до вторгнення агресивних вірусів. США та країни ЄС інвестують значні суми в системи комп'ютерної безпеки України й надають суттєву допомогу в підготовці ІТ-спеціалістів з питань безпеки.

У таких умовах системи інформаційної безпеки повинні вміти протистояти різноманітним атакам, як зовнішнім, так і внутрішнім, атакам – автоматизованим і скоординованим. Іноді напад триває частки секунди; часом промацування уразливих місць ведеться повільно й розтягується на години, так що підозріла активність є практично непомітною. Метою зловмисників може бути порушення всіх складових ІБ – доступності, цілісності або конфіденційності. Успіху в галузі ІБ можна досягнути тільки за комплексного підходу, уособлює в собі заходи чотирьох рівнів: • законодавчого; • адміністративного • процедурного • програмно-технічного.

Екранування, аналіз захищеності

Екранування. Основні поняття

Формальна постановка завдання екранування полягає в наступному. Нехай є дві сукупності інформаційних систем. Екран - це засіб розмежування доступу клієнтів з однієї сукупності до серверів з іншої сукупності. Екран здійснює свої функції, контролюючи всі інформаційні потоки між двома сукупностями систем (рис.1). Контроль потоків полягає в їхній фільтрації, можливо, з виконанням деяких перетворень.

На наступному рівні деталізації екран (напівпроникну мембрану) зручно представляти як послідовність фільтрів. Кожен з фільтрів, проаналізувавши дані, може затримати (не пропустити) їх, а може й відразу "перекинути" за екран. Крім того, допускається перетворення даних, передача порції даних на наступний фільтр для продовження аналізу або обробка даних від імені адресата й повернення результату відправникові.

Рис. 1. Екран як засіб розмежування доступу

Крім функцій розмежування доступу, екрани здійснюють протоколювання обміну інформацією. Звичайно, екран не є симетричним, для нього визначені поняття "усередині" й "зовні". При цьому завдання екранування формулюється як захист внутрішньої області від потенційно ворожої зовнішньої. Так, міжмережеві екрани (ME) (англійський термін - firewall) найчастіше встановлюють для захисту корпоративної мережі організації, що має вихід в Internet .

Екранування допомагає підтримувати доступність сервісів внутрішньої області, зменшуючи або взагалі ліквідуючи навантаження, викликане зовнішньою активністю. Зменшується уразливість внутрішніх сервісів безпеки, оскільки спочатку зловмисник повинен перебороти екран, де захисні механізми сконфігуровані особливо ретельно. Крім того, екрануюча система, на відміну від універсальної, може будуватися простіше й, отже, безпечні-шим чином.

Екранування дає можливість контролювати також інформаційні потоки, спрямовані в зовнішню область, що сприяє підтримці режиму конфіденційності в АСорганізації.

Підкреслимо, що екранування може використовуватися як сервіс безпеки не тільки в мережевому, але й у будь-якому іншому середовищі, де відбувається обмін повідомленнями. Ймовірно, що в майбутніх об'єктно-орієнтованих середовищах екранування стане одним з найважливіших інструментів розмежування доступу до об'єктів.

Екранування може бути частковим, захищаючи певні інформаційні сервіси.

Обмежуючий інтерфейс також можна розглядати як різновид екранування. На невидимий об'єкт важко нападати, особливо за допомогою фіксованого набору засобів. У цьому змісті Web-інтерфейс має природний захист, особливо в тому випадку, коли гіпертекстові документи формуються динамічно. Кожен користувач бачить лише те, що йому належить бачити. Можна провести аналогію між динамічно формованими гіпертекстовими документами й поданнями в реляційних базах даних, з тим істотним застереженням, що у випадку Web можливості істотно ширші.

Екрануюча роль Web-сервісу наочно проявляється й тоді, коли цей сервіс здійснює посередницькі функції при доступі до інших ресурсів, наприклад до таблиць бази даних. Тут не тільки контролюються потоки запитів, але й приховується реальна організація даних.

Архітектурні аспекти

Боротися з загрозами, притаманними мережевому середовищу, засобами універсальних операційних систем не видається можливим. Універсальна ОС -це величезна програма, що напевно містить, крім явних помилок, деякі особливості, які можуть бути використані для нелегального одержання привілеїв. Сучасна технологія програмування не дозволяє зробити надто великі програми безпечними. Крім того, адміністратор, що має справу зі складною системою, далеко не завжди в змозі врахувати всі наслідки вироблених змін.

Нарешті, в універсальній багатокористувацькій системі проломи у безпеці постійно створюються самими користувачами (слабкі й/або рідко змінювані паролі, невдало встановлені права доступу, залишений без догляду термінал і т.п.). Єдиний перспективний шлях пов'язаний з розробкою спеціалізованих сервісів безпеки, які в силу своєї простоти допускають формальну або неформальну верифікацію. Міжмережевий екран саме і є таким засобом, що допускає подальшу декомпозицію, пов'язану з обслуговуванням різних мережевих протоколів.

Міжмережевий екран розташовується між захищуваною (внутрішньою) мережею й зовнішнім середовищем (зовнішніми мережами або іншими сегментами корпоративної мережі). У першому випадку говорять про зовнішній МЕ, у другому - про внутрішній. Залежно від точки зору, зовнішній міжмережевий екран можна вважати першою або останньою (але ніяк не єдиною) лінією оборони. Першою - якщо дивитися на світ очима зовнішнього зловмисника. Останньою - якщо прагнути захищеності всіх компонентів корпоративної мережі й припиненню неправомірних дій внутрішніх користувачів.

Міжмережевий екран - ідеальне місце для вбудовування засобів активного аудиту. З одного боку, і на першому, і на останньому захисному рубежі виявлення підозрілої активності по-своєму важливо. З іншого боку, МЕ здатний реалізувати будь-яку потужну реакцію на підозрілу активність, аж до розриву зв'язку із зовнішнім середовищем. Щоправда, потрібно усвідомлювати те, що з'єднання двох сервісів безпеки в принципі може створити пролом, що сприяє атакам на доступність.

На міжмережевий екран доцільно покласти ідентифікацію/ аутентифікацію зовнішніх користувачів, що мають потребу у доступі до корпоративних ресурсів (з підтримкою концепції єдиного входу в мережу).

У силу принципів ешелонованості оборони для захисту зовнішніх підключень звичайно використовується двокомпонентне екранування. Первинна фільтрація здійснюється граничним маршрутизатором, за яким розташовується так звана демілітаризована зона (мережа з помірною довірою безпеки, куди виносяться зовнішні інформаційні сервіси організації - Web, електронна пошта й т.п.) і основний ME, що захищає внутрішню частину корпоративної мережі.

Загалом кажучи, і зовнішній, і внутрішній міжмережеві екрани можуть стати вузьким місцем, оскільки обсяг мережевого трафіка має тенденцію швидкого зростання. Один з підходів до вирішення цієї проблеми припускає розбивку ME на кілька апаратних частин й організацію спеціалізованих серверів-посередників. Основний міжмережевий екран може проводити грубу класифікацію вхідного трафіка за видами і передоручати фільтрацію відповідним посередникам. Вихідний трафік спочатку обробляється сервером-посередником.

Ситуації, коли корпоративна мережа містить лише один зовнішній канал, є скоріше виключенням, ніж правилом. З іншого боку, типова ситуація, при якій корпоративна мережа складається з декількох територіально рознесених сегментів, кожний з яких підключений до Internet. У цьому випадку кожне підключення повинне захищатися своїм екраном. Можна вважати, що корпоративний зовнішній міжмережевий екран є складовим, і потрібно вирішувати завдання узгодженого адміністрування (керування й аудиту) всіх компонентів.

Протилежністю складовим корпоративних ME (або їхнім компонентам) є персональні міжмережеві екрани й персональні екрануючі пристрої. Перші є програмними продуктами, які встановлюються на персональні комп'ютери й захищають тільки їх. Другі реалізуються на окремих пристроях і захищають невелику локальну мережу, таку як мережа домашнього офісу.

При розгортанні міжмережевих екранів варто дотримуватися розглянутих нами раніше принципів архітектурної безпеки, у першу чергу подбавши про простоту й керованість, про ешелонованість оборони, а також про неможливість переходу в небезпечний стан. Крім того, варто брати до уваги не тільки зовнішні, але й внутрішні загрози.

Аналіз захищеності

Сервіс аналізу захищеності призначений для виявлення уразливих місць із метою їхньої оперативної ліквідації. Сам по собі цей сервіс ні від чого не захищає, але допомагає виявити (і усунути) прогалини в захисті раніше, ніж їх зможе використати зловмисник. У першу чергу, маються на увазі не архітектурні (їх ліквідувати складно), а "оперативні" прогалини, що з'явилися в результаті помилок адміністрування або через неуважність до відновлення версій програмного забезпечення.

Системи аналізу захищеності (названі також сканерами захищеності), як і розглянуті вище засоби активного аудиту, засновані на нагромадженні й використанні знань. У цьому випадку маються на увазі знання про прогалини в захисті: про те, як їх шукати, наскільки вони серйозні і як їх усувати.

Відповідно, ядром таких систем є база уразливих місць, що визначає доступний діапазон можливостей і вимагає практично постійної актуалізації.

У принципі, можуть виявлятися прогалини найрізноманітнішої природи: наявність шкідливого ПЗ (зокрема, вірусів), слабкі паролі користувачів, невдало сконфігуровані операційні системи, небезпечні мережеві сервіси, невстановлені латки, уразливості в додатках і т.д. Однак найбільш ефективними є мережеві сканери, а також антивірусні засоби. Антивірусний захист ми зараховуємо до засобів аналізу захищеності, не вважаючи її окремим сервісом безпеки.

Сканери можуть виявляти уразливі місця як шляхом пасивного аналізу, тобто вивчення конфігураційних файлів, задіяних портів і т.п., так і шляхом імітації дій атакуючого. Деякі знайдені уразливі місця можуть усуватися автоматично (наприклад, лікування заражених файлів), про інші повідомляється адміністраторові.

Контроль, забезпечуваний системами аналізу захищеності, носить запізнілий характер, він не захищає від нових атак, однак варто пам'ятати, що оборона повинна бути ешелонованою, і в якості одного з рубежів, контроль захищеності цілком адекватний. Відзначимо також, що переважна більшість атак носить рутинний характер; вони можливі тільки тому, що відомі прогалини в захисті роками залишаються неусунутими.

1 2 3 4 5 6 7 8 9 ... 15