Концепция адаптивного управления безопасностью

Атакой на КИС считается любое действие, выполняемое нарушителем для реализации угрозы путем использования уязвимостей КИС. Под уязвимостью КИС понимается любая характеристика или элемент КИС, использование которых нарушителем может привести к реализации угрозы.

Архитектура КИС включает в себя четыре уровня.

1. Уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов И С, работающих на этом уровне, можно назвать текстовый редактор WinWord, редактор электронных таблиц Excel, почтовую программу Outlook и т. д.
2. Уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку данных ИС. Примером элементов ИС, работающих на этом уровне, можно назвать СУБД Oracle, MS SQL Server, Sybase и MS Access.
3. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного ПО. Примером элементов ИС, работающих на этом уровне, можно назвать ОС Microsoft Windows NT/2000/XP, Sun Solaris, Novell Netware.
4. Уровень сети, отвечающий за взаимодействие узлов ИС. Примером элементов ИС, работающих на этом уровне, можно назвать стеки протоколов TCP/IP,IPS/SPX и SMB/NetBIOS.

Злоумышленник располагает широким спектром возможностей для нарушения безопасности КИС. Эти возможности могут быть реализованы на всех четырех перечисленных выше уровнях КИС. Например, для получения НСД к финансовой информации в СУБД MS SQL Server злоумышленник может реализовать одну из следующих возможностей:

• перехватить передаваемые по сети данные (уровень сети);
• прочитать файлы БД, обращаясь непосредственно к файловой системе (уровень ОС);
• прочитать нужные данные средствами самой СУБД (уровень СУБД);
• прочитать записи БД при помощи SQL-запросов через программу MS Query, которая позволяет получать доступ к записям СУБД (уровень прикладного ПО).

При построении большинства традиционных компьютерных средств защиты использовались классические модели разграничения доступа, разработанные еще в 1970—80-е гг. Недостаточная эффективность таких традиционных механизмов защиты, как разграничение доступа, аутентификация, фильтрация и другие, обусловлена тем, что при их создании не учтены многие аспекты, связанные с современными атаками.

Рассмотрим этапы осуществления атаки на КИС.

Первый, подготовительный, этап заключается в поиске злоумышленником предпосылок для осуществления той или иной атаки. На этом этапе злоумышленник ищет уязвимости в системе. На втором, основном этапе — реализации атаки — осуществляется использование найденных уязвимостей. На третьем, заключительном, этапе злоумышленник завершает атаку и старается скрыть следы вторжения. В принципе первый и третий этапы сами по себе могут являться атаками. Например, поиск злоумышленником уязвимостей при помощи сканеров безопасности сам по себе считается атакой.

Следует отметить, что существующие механизмы защиты, реализованные в МЭ, серверах аутентификации, системах разграничения доступа, работают только на этапе реализации атаки. По существу эти механизмы защищают от атак, которые находятся уже в процессе осуществления. Более эффективным было бы упреждение атак, т. е. предотвращение самих предпосылок реализации вторжения. Комплексная система обеспечения информационной безопасности должна эффективно работать на всех трех этапах осуществления атаки.

В организациях часто не учитывается тот факт, что администраторы и пользователи регулярно изменяют конфигурацию ИС. В результате этих изменений могут появляться новые уязвимости, связанные с ОС и приложениями. Кроме того, очень быстро изменяются информационные и сетевые технологии, регулярно появляется новое ПО. Непрерывное развитие сетевых технологий при отсутствии постоянно проводимого анализа их безопасности и нехватке ресурсов для обеспечения защиты приводит к тому, что с течением времени защищенность КИС падает, так как появляются новые неучтенные угрозы и уязвимости системы.

В большинстве случаев для решения возникающих проблем с защитой в организациях используются частичные подходы. Эти подходы обычно обусловлены прежде всего текущим уровнем доступных ресурсов. Кроме того, администраторы безопасности имеют тенденцию реагировать только на те риски безопасности, которые им понятны. Фактически таких рисков может быть существенно больше. Только строгий текущий контроль защищенности КИС и комплексный подход, обеспечивающий единую политику безопасности, позволяют существенно снизить риски безопасности.

Адаптивный подход к безопасности позволяет контролировать, обнаруживать и реагировать в реальном режиме времени на риски безопасности, используя правильно спроектированные и хорошо управляемые процессы и средства.

Адаптивная безопасность сети состоит из трех основных элементов:
• технологии анализа защищенности (security assessment);
• технологии обнаружения атак (intrusion detection);
• технологии управления рисками (risk management). Оценка риска состоит в выявлении и ранжировании уязвимостей (по степени серьезности ущерба потенциальных воздействий), подсистем сети (по степени критичности), угроз (исходя из вероятности их реализации) и т. д. Поскольку конфигурация сети постоянно изменяется, то и процесс оценки риска должен проводиться постоянно. С оценки рисков должно начинаться построение системы защиты КИС.

Анализ защищенности — это поиск уязвимых мест в сети. Сеть состоит из соединений, узлов, хостов, рабочих станций, приложений и БД. Все они нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных уязвимостей в них. Технологии анализа защищенности исследуют сеть и ищут «слабые» места в ней, обобщают эти сведения и печатают по ним отчет. Если система, реализующая эту технологию, содержит и адаптивный компонент, то устранение найденной уязвимости будет осуществляться не вручную, а автоматически. Технология анализа защищенности является действенным методом, позволяющим реализовать политику сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.

Перечислим некоторые из проблем, идентифицируемых технологией анализа защищенности:
• «люки» в системах (back door) и программы типа «троянский конь»;
• слабые пароли;
• восприимчивость к проникновению из незащищенных систем и атакам типа «отказ в обслуживании»;
• отсутствие необходимых обновлений (patch, hotfix) ОС;
• неправильная настройка МЭ, Web-серверов и БД;
• и многие другие.

Обнаружение атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации ОС и приложения или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные события и действия, в том числе и действия, использующие известные уязвимости.

Адаптивный компонент модели адаптивного управления безопасностью (ANS) отвечает за модификацию процесса анализа защищенности, предоставляя ему самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией об атаках. В качестве примера адаптивного компонента можно указать механизм обновления БД антивирусных программ для обнаружения новых вирусов. Управляющий компонент должен быть способен к генерации отчетов и анализу тенденций, связанных с формированием системы защиты организации.

Адаптация данных может заключаться в различных формах реагирования, которые могут включать:
• отправление уведомлений системам сетевого управления по протоколу SNMP, по электронной почте или на пейджер администратору;
• автоматическое завершение сессии с атакующим узлом или пользователем, реконфигурация МЭ или иных сетевых устройств (например, маршрутизаторов);
• выработка рекомендаций администратору, позволяющих своевременно устранить обнаруженные уязвимости в сетях, приложениях или иных компонентах ИС организации.

Использование модели адаптивной безопасности сети позволяет контролировать практически все угрозы и своевременно реагировать на них высокоэффективным способом, позволяющим не только устранить уязвимости, которые могут привести к реализации угрозы, но и проанализировать условия, приводящие к появлению уязвимостей.

Модель адаптивной безопасности сети позволяет также уменьшить злоупотребления в сети, повысить осведомленность пользователей, администраторов и руководства компании о событиях безопасности в сети. Следует отметить, что эта модель не отбрасывает уже используемые механизмы защиты (разграничение доступа, аутентификация и т. д.). Она расширяет их функциональность за счет новых технологий.

Для того чтобы привести свою систему обеспечения информационной безопасности в соответствие современным требованиям, организациям необходимо дополнить имеющиеся решения компонентами, отвечающими за анализ защищенности, обнаружение атак и управление рисками.

Эта статья была опубликована Вторник, 30 ноября, 2010 at 21:57 в рубрике Анализ защищенности и обнаружение атак. Вы можете следить за ответами через RSS 2.0 feed.