PCWeek/RE на своих страницах уже не раз обращался к теме анализа защищенности (например, 16 июля 1996 г., 25 ноября 1997 г., 17 февраля 1998 г., 6 июля 1999 г., 5 октября 1999 г., 23 ноября 1999 г., 28 марта 2000 г., 19 декабря 2000 г. и т.д.). Во всех этих статьях описывались известные средства поиска уязвимостей (Internet Scanner, NetSonar и т.д.). Однако все эти статьи рассматривали только один аспект применения систем анализа защищенности - поиск слабых мест в системе защиты корпоративной сети. За рамками этих статей оставались другие варианты применения указанных средств.
А ведь это очень важно, особенно в российских условиях нехватки финансовых средств. Применение систем анализа защищенности для различных целей позволяет расширить их функциональность и убедить руководство компании в необходимости приобретения этих средств. В данной статье я хотел бы рассказать именно об этом. Существует ряд типичных сценариев, которые охватывают до 90% всех случаев использования систем анализа защищенности.
Инвентаризация и построение карты сети
Точная и надежная фиксация информации о компонентах корпоративной сети и данных с момента их создания или появления до момента их уничтожения является залогом успешного обнаружения практически любых нарушений безопасности. Такие данные позволят сравнивать эталонную информацию о состоянии информационной системы при ее создании (или в момент последнего санкционированного изменения) с текущим состоянием и своевременно обнаруживать все несанкционированные изменения. Подходы к обнаружению таких изменений обычно основаны на определении различий между текущим состоянием контролируемого объекта и предварительно зафиксированным, ожидаемым состоянием. Персоналу защиты необходимо всегда знать, где и какой ресурс находится, а также состояние этого ресурса. Без этой информации нельзя адекватно определить, было ли что-нибудь добавлено, изменено, нарушено и т.д. Особенно это важно во многих российских компаниях, в которых всегда присутствуют "продвинутые" сотрудники, которые, считая себя компетентными во всем, самостоятельно реконфигурируют свои рабочие станции и сервера, не ставя в известность IT-персонал. Хорошо еще, если это рядовой сотрудник, который не может сделать ничего за пределами своего компьютера. А если это администратор, который на свой страх и риск изменяет конфигурацию своего сегмента сети?
Однако стоит отметить, что данным этапом, который называется построение карты сети, обычно пренебрегают во многих организациях. Это связано с тем, что процесс фиксации необходимого объема информации о компонентах информационной системы - достаточно долгий и рутинный процесс, который требует не только материальной поддержки. Зачастую специалисты отделов защиты информации не имеют соответствующей подготовки для получения такой информации. Мало того... они не имеют доступа к оборудованию, функционирующему в сети. Поэтому приходиться идти на компромисс со специалистами управлений телекоммуникаций, информатизации и т.д. Только совместная работа позволяет собрать всю необходимую информацию. Как показывает российская практика, карта сети создается (если вообще создается) только на этапе проектирования информационной системы. Затем эта карта уже не поддерживается в актуальном состоянии и не может служить основой для контроля и обнаружения несанкционированных изменений. Кроме того, зачастую данная карта и информация находится только в управлениях информатизации и является недоступной для отделов защиты, что существенно снижает эффективность их работы.
Карта сети (network map) - это не просто один документ, содержащий всю необходимую информацию. Скорее это атлас, известный всем по школе. Такой атлас содержал различные карты, описывающие одну и ту же территорию с разных позиций (политическая, физическая, экономическая и т.д.). Также и карта сети, описывающая различные аспекты функционирования корпоративной сети. Без такой карты можно оказаться в ситуации, прекрасно описанной в русских сказках: "Пойди туда, не знаю куда, и принеси то, не знаю что".
Для построения сетевой составляющей этой карты можно (и нужно) использовать различные системы сетевого управления (HP OpenView, SPECTRUM, MS Visio и т.п.). Такого рода инструменты включают в себя функцию AutoDiscovery, которая позволяет автоматически поддерживать актуальность сетевой карты и отслеживать все несанкционированные изменения в сетевой конфигурации. Однако такие средства стоят немалых денег и не всегда к ним дается доступ сотрудникам отделов защиты информации. В этом случае можно использовать системы анализа защищенности, позволяющие идентифицировать на узлах сети, следующие параметры:
- имя (DNS и NetBIOS) и роль узла;
- сетевые сервисы;
- заголовки активных сервисов;
- типы и версии используемых ОС и прикладного программного обеспечения;
- разделяемые ресурсы NetBIOS (NetBIOS Share);
- учетные записи;
- общие параметры политики безопасности (политика аудита, использования паролей и учетных записей и т.д.).
Обнаружение конфигураций "по умолчанию"
Как показывает практика, многие системные администраторы устанавливают операционные системы, прикладное программное и сетевое программно-аппаратное обеспечение в конфигурации, заданной "по умолчанию". С одной стороны это существенно облегчает и ускоряет им работу, а с другой приводит к тому, что злоумышленники, используя известные слабости таких конфигураций, проникают на узлы корпоративной сети. Системы анализа защищенности могут быть настроены на поиск узлов с программным обеспечением, установленным в конфигурации "по умолчанию", и рекомендовать шаги по устранению найденных проблем. Например, в нижеследующей таблице показано число уязвимостей в различных заданных по умолчанию конфигурациях ОС семейства Windows, обнаруженных системой Internet Scanner(tm) 6.1.
Обнаружение модемов
Очень часто сотрудники компаний, в которых доступ в Internet регламентируется и разграничивается с помощью различных защитных средств (например, межсетевых экранов или систем контроля содержания), подключают к своим компьютерам модемы и используют их для выхода в Internet в обход защитных механизмов. Также модемы очень часто используются для получения обновлений различных юридических и бухгалтерских программ (например, Консультант-Плюс или 1С:Бухгалтерия). И, наконец, модемы могут быть использованы для доступа к рабочему месту из дома. Это представляет большую угрозу для многих компаний, т.к. компьютеры, к которым подключены модемы, никак не защищены и любой злоумышленник, обнаруживший такой "черный ход", может воспользоваться им для несанкционированного доступа к ресурсам, требующим обязательной защиты. В своей практике мне, к сожалению, не приходилось сталкиваться с компаниями, в которых не находилось хотя бы одного модема, имеющего выход во внешний мир в обход требования политики безопасности.
Некоторые системы анализа защищенности позволяют своевременно обнаруживать в корпоративной сети модемы и указать на их наличие администратору безопасности.
Обнаружение неизвестных устройств
Нередки случаи, когда злоумышленники подключают свои компьютеры или notebook"и к критичным сегментам сети с целью получения доступа к передаваемой конфиденциальной информации (например, паролям или платежным поручениям). Установленные на таких компьютерах анализаторы протоколов (снифферы) позволяют перехватывать весь сетевой трафик, циркулирующий между узлами критичного сегмента. Опасность таких несанкционированно подключенных устройств в том, что они без труда получают доступ к паролям пользователей (в т.ч. и администратора), передаваемых в незащищенном виде по большинству протоколов, построенных на базе стека TCP/IP. В частности беззащитными к чужому любопытству являются протоколы: HTTP, FTP, Telnet, POP3, IMAP и т.д. В т.ч. открытой остается и информация, передаваемая между SQL-сервером и клиентским программным обеспечением.
Системы анализа защищенности позволяют своевременно обнаруживать в корпоративной сети несанкционированно подключенные устройства и оповещать об этом администратора безопасности.
Контроль эффективности работы IT-подразделений
Очень часто некоторые IT-подразделения организации или их сотрудники получают неограниченную и неконтролируемую власть над информационной системой и ее компонентами, что приводит к появлению уязвимых мест в программно-аппаратном обеспечении, неустраняемых в течении долгого времени. Обычно это происходит из-за нехватки времени, врожденной лени или просто нежелания заниматься рутинной работой.
Обиженные или недовольные администраторы IT-подразделений также могут несанкционированно и бесконтрольно изменять конфигурацию сетевого оборудования, важных серверов и других устройств с целью нанесения ущерба своей организации или шантажа своего руководства с целью повышения по служебной лестнице или улучшения материального положения. Такие случаи нередки; особенно в российской практике, когда зарплата персонала, обслуживающего вычислительную технику, достаточно низка.
Системы анализа защищенности являются эффективным, а зачастую единственным средством контроля сотрудников и подразделений, имеющих большую власть над информационной системой организации.
Анализ защищенности удаленных офисов
В последние годы широкое распространение получило объединение филиалов одной организации, распределенных по разным территориям и взаимодействующих по открытым каналам связи на базе Internet, в единую корпоративную сеть. Обычно считается, что основное внимание злоумышленников направлено на центральный офис, содержащий важную конфиденциальную информацию. Защите именно центрального офиса уделяется максимум сил и средств. Понимая это, злоумышленники направляют свой интерес к тем точкам корпоративной сети, которые являются не столь защищенными, то есть именно к удаленным филиалам, с которым у центрального офиса установлены доверенные отношения. И даже в случае создания VPN-соединений между сетью, защищаемой при помощи межсетевого экрана, и доверенной сетью, злоумышленник сможет с той же эффективностью реализовывать свои атаки. Мало того, эффективность его атак будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. И если в центральном офисе всегда присутствуют квалифицированные специалисты, которые могут провести оценку защищенности или анализ конфигурации сетевого оборудования, то удаленные офисы и филиалы не могут похвастаться такой возможностью. Зачастую в них попросту отсутствуют сотрудники, отвечающие за защиту информацию, что приводит к печальным последствиям.
Возможность дистанционного сканирования, реализованная в системах анализа защищенности, позволяют проводить с помощью них поиск уязвимостей в удаленных филиалах и офисах (в т.ч. и находящихся в других городах и странах) также эффективно, как и в случае анализа локальной сети.
Иногда, помимо дистанционного сканирования удаленных офисов, применяется выезд эксперта или группы экспертов-аудиторов в удаленный филиал и проведение анализа защищенности "на месте". Системы анализа защищенности помогают и в этом случае. Достаточно установить такую систему на notebook, являющийся мобильным рабочим местом аудитора, и, по приезде в удаленный филиал, подключить его к локальной сети.
Проведение обследований заказчика
В заключении хотелось бы привести еще один пример использования средств анализа защищенности - для аутсорсинга. Анализ условий построения систем обеспечения информационной безопасности в российских компаниях показывает, что, во-первых, на приобретение средств защиты информации, а если говорить откровенно, то и на построение комплексной системы информационной безопасности в целом, не выделяются необходимые финансовые ресурсы. В результате приобретается не "то, что надо", а то "на что хватает денег", что приводит к появлению слабых мест в линии обороны предприятия. Во-вторых, внедрение системы защиты - это достаточно длительный и кропотливый процесс, который может длиться месяцами.
Следующая проблема при построении системы защиты на предприятии заключается в необходимости привлечения высококвалифицированных специалистов, которые не только знают, на какие кнопки надо нажимать, но и понимают, когда нажимать и к чему может привести то или иное нажатие. Мало того, свои знания и умения необходимо постоянно повышать, чтобы быть всегда в курсе последних достижений хакерских технологий и своевременно предотвращать новые способы атак и использования уязвимостей.
Еще одна проблема состоит в том, что существующие на рынке средства защиты включают в себя большое число функций, многие из которых никогда не используются, и вряд ли будут задействованы заказчиками. Например, если у вас нет в сети Unix-узлов, то вы никогда не будете проверять их на наличие уязвимостей при помощи возможностей Unix-сканирования, встроенных в систему анализа защищенности. Но в стоимость этой системы уже включены данные проверки. Кроме того, некоторые решения вам нужны не постоянно, а только время от времени. Это как квартальный отчет, который готовится всего четыре раза в год. Также и с безопасностью. Например, некоторые компании проводят анализ защищенности своих узлов не постоянно, а раз в месяц, т.е. 12 раз в год. Все остальное время эти средства простаивают. И, наконец, последней проблемой, которая встает при построении корпоративной системы защиты информации, является ее поддержка и своевременное обновление (наращивание мощностей, масштабирование и т.д.). Все эти проблемы остро встают перед российскими потребителями, особенно перед теми, которые планируют заниматься электронной коммерцией, что сразу же поставит их в первую шеренгу целей для злоумышленников. Решить эти проблемы качественно, быстро и за приемлемые деньги - очень непростая, а зачастую невозможная, задача.
Именно поэтому в последнее время появляются компании, предлагающие заказчикам услуги по регулярному сканированию их сетей. Компании, предоставляющие такого рода услуги, называются провайдерами услуг по безопасности (Security Service Provider, SSP). Использование систем анализа защищенности является непременным атрибутом их деятельности и позволяет проводить поиск уязвимостей корпоративных ресурсов и средств защиты заказчика на регулярной основе. По результатам данного сканирования выявляются все уязвимые места, вырабатываются рекомендации по их устранению и предоставляются patch"и, hotfix"ы и другие необходимые обновления.
Заключение
В целом хочу отметить, что описанные в данной статье сценарии применения систем анализа защищенности наряду с "классическими" сценариями:
- сканирование рабочих станций и серверов
- сканирование сетевого оборудования, в т.ч. и для организации беспроводных сетей
- сканирование межсетевых экранов, систем обнаружения атак и других средств защиты
- анализ редко используемых сетевых сервисов