Сканери безпеки інформаційної системи

Сканер – це інструмент ефективної політики безпеки мережі. Він автоматизує роботи спеціалістів служби захисту, допомагаючи їм швидко перевірити сотні вузлів, у тому числі й тих, що знаходяться на інших територіях.

Мережа складається з каналів зв’язку, вузлів, серверів, робочих станцій, прикладного і системного програмного забезпечення, баз даних тощо. Всі ці компоненти потребують оцінювання ефективності їх захисту. Засоби аналізу захищеності досліджують мережу і ведуть пошук „слабких” місць, таких як:

- „люки” в програмах (back door) і програми типу „троянський кінь”;

- слабкі паролі;

- схильність до проникнення з незахищених систем;

- неправильна настройка міжмережевих екранів, WEB-серверів і баз даних.

Технологія аналізу захищеності є дієвим методом реалізації політики мережевої безпеки перш ніж здійсниться спроба її порушення ззовні чи зсередини організації.

Сканери призначені для виявлення тільки відомих вразливостей, опис яких є у базі даних. У цьому вони подібні антивірусним системам, яким для ефективної роботи необхідно постійно оновлювати базу даних сигнатур. Функціонувати такі засоби можуть на мережевому рівні (network-based), рівні операційної системи (host-based) і рівні додатку (application-based). Найбільшого розповсюдження набули засоби аналізу захищеності мережевих сервісів і протоколів.

Крім виявлення вразливостей за допомогою засобів аналізу захищеності можна швидко визначати всі вузли корпоративної мережі, доступні у момент проведення тестування, виявити всі використовувані у ній сервіси і протоколи, їх настройки і можливості для несанкціонованої дії. Також ці засоби розробляють рекомендації та заходи, які дозволяють ліквідувати виявлені недоліки.

Існує два основних механізми, за допомогою яких сканер перевіряє наявність вразливості – сканування (scan) і зондування (proba).

Сканування – механізм пасивного аналізу, коли сканер пробує визначити наявність вразливості за побічними ознаками – без фактичного підтвердження її наявності. Цей метод найбільш швидкий і простий для реалізації. У термінах компанії ISS даний метод отримав назву „логічний висновок” (inference). За твердженням компанії Cisco, цей процес ідентифікує відкриті порти, знайдені на кожному мережевому пристрої, і збирає пов’язані з портами заголовки (banner), знайдені при скануванні кожного порту. Кожний отриманий заголовок порівнюється з таблицею правил визначення мережевих пристроїв, операційних систем і потенційних вразливостей. На основі проведеного порівняння робиться висновок про наявність чи відсутність вразливості.

Зондування – механізм активного аналізу, який дозволяє пересвідчитися у наявності на аналізованому вузлі вразливості. Зондування виконується шляхом імітації атаки, яка використовує перевірювану вразливість. Цей метод більш повільний, ніж сканування, проте майже завжди точніший. У термінах компанії ISS даний метод отримав назву „підтвердження” (verification). За твердженням компанії Cisco, цей процес використовує інформацію, отриману в процесі сканування (логічного висновку) для детального аналізу кожного мережевого пристрою. У цьому процесі також використовуються відомі методи реалізації атак для того, щоб повністю підтвердити передбачувані вразливості та виявити інші вразливості, які не можуть бути виявлені пасивними методами, наприклад схильність до атак типу „відказ в обслуговуванні” (“denial of service”).

Практично будь-який сканер проводить аналіз захищеності у п’ять етапів.

1. Збирання інформації про мережу. На даному етапі всі активні пристрої ідентифікуються у мережі і визначаються запущені на них сервіси і домени. У випадку використання систем аналізу захищеності на рівні операційної системи даний етап пропускається, оскільки на кожному вузлі, що аналізується встановлені відповідні агенти системного сканера.

2. Виявлення потенційних вразливостей. Сканер використовує описану базу даних для порівняння зібраних даних з відомими вразливостями за допомогою перевірки заголовків чи активних зондувальних перевірок. У деяких системах всі вразливості ранжуються за ступенем ризику. Наприклад, у системах Netsonar вразливості поділяються на два класи: мережеві та локальні. Мережеві вразливості (наприклад, ті, що діють на маршрутизатори) вважаються більш серйозними порівняно з вразливостями, характерними тільки для робочих станцій. Аналогічно і в Internet Scanner всі вразливості поділяються на три ступені ризику: високий (high), середній (Medium), низький (Low).

3. Підтвердження виявлених вразливостей. Сканер використовує спеціальні методи і моделює (імітує) визначені атаки для підтвердження факту наявності вразливостей на вибраних вузлах мережі.

4. Генерування звітів. На основі зібраної інформації система аналізу захищеності створює звіти, які описують виявлені вразливості. У деяких системах (наприклад, Internet Scanner i Netsonar) звіти створюються для різних категорій користувачів, починаючи з адміністраторів мережі і закінчуючи керівництвом компанії. Якщо перших більше цікавлять технічні деталі, то для керівництва компанії треба надати гарно оформлені з застосуванням графіків і діаграм звіти з мінімумом подробиць. Немаловажним аспектом є наявність рекомендацій для ліквідації виявлених проблем. І тут лідером є система Internet Scanner, яка для кожної вразливості вміщує покрокові інструкції з ліквідації вразливостей, специфічні для кожної операційної системи. Часто звіти також містять посилання на FTP- чи Web-сервери, що мають patch i hotfix, які ліквідують виявлені вразливості.

5. Автоматична ліквідація вразливостей. Цей етап зрідка реалізується у мережевих сканерах, але широко застосовується у системних (наприклад, System Scanner). При цьому дана можливість може реалізуватись по-різному. Наприклад, у System Scanner створюється спеціальний сценарій (fix script), який адміністратор може запустити для ліквідації вразливості. Одночасно зі створенням цього сценарію, створюється і інший, який анулює зміни. Це необхідно, коли після ліквідації проблеми нормальне функціонування вузла було порушено. У інших системах можливості „відкату” не існує.

У будь-якому випадку в адміністратора, що здійснює пошук вразливостей, є декілька варіантів використання системи аналізу захищеності:

- запуск сканування тільки з перевірками на потенційні вразливості (етапи 1, 2 і 4). Це дає попереднє ознайомлення з системами у мережі. Даний метод менш руйнівний, порівняно з іншими, і самий швидкий;

- запуск сканування з перевірками на потенційні та підтверджені вразливості. Цей метод може викликати порушення роботи вузлів мережі під час реалізації перевірок типу „exploit chek”;

- запуск сканування за правилами для користувачів щодо пошуку конкретної проблеми.

Таким чином, для організації захисту інформації чи проведення аудиту (оцінки стану ІС на відповідність стандарту чи вимогам) існуючої автоматизованої системи потрібен штат висококваліфікованих спеціалістів в області інформаційної безпеки. Це може бути надто дорого і невигідно для організації, особливо невеликої. Для проведення досліджень і аудиту доцільно залучати сторонні консалтингові компанії, які мають великий досвід і штат професіоналів в області забезпечення і контролю стану інформаційної безпеки.

Контрольні питання

1. Охарактеризуйте основні напрямки захисту інформації в ІС.

2. Охарактеризуйте основні принципи політики безпеки.

3. Опишіть особливості видів політикибезпеки.

4. Поясніть суть організаційно-режимних заходів захисту.

5. Охарактеризуйте основні групи організаційних заходів.

6. Охарактеризуйте особливості політики інформаційної безпеки організації при підключенні до Internet.

7. Опишіть загальний підхід до інвентаризації інформаційних систем.

8. Охарактеризуйте принципи і напрямки проведення інвентаризації інформаційних систем.

9. Опишіть порядок контролю за роботою користувачів.

10. Розкажіть про можливості системи управління доступом до робочих місць в ІС.

11. Охарактеризуйте суть системи контролю надання привілеїв щодо доступу до інформації.

12. Поясніть суть вимог до системи управління паролями користувачів.

13. Охарактеризуйте засоби контролю доступу користувачів до сервісів.

14. Поясніть суть вимог до систем електронного документообігу.

15. Опишіть функції логічних засобів контролю (додатків) доступу до інформації в ІС.

16. Охарактеризуйте заходи контролю за використанням системних утиліт.

17. Обґрунтуйте необхідність дотримання спеціальних правил при наявності вразливих місць у захисті ІС.

18. Опишіть засоби управління доступом до ІС для захисту їх від вірусів.

19. Розкажіть про основні функції адміністратора безпеки.

20. Розкажіть про призначення та особливості застосування сканерів.

21. Опишіть варіанти використання системи аналізу захищеності скануванням.