Некоторые аспекты выявления уязвимостей информационных систем

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Некоторые аспекты выявления уязвимостей информационных систем

уязвимость информационный угроза

Кузьменко О.Г.

Современный компьютерный мир представляет собой разнообразную и весьма сложную совокупность вычислительных устройств, систем обработки информации, телекоммуникационных технологий, программного обеспечения и высокоэффективных средств его проектирования. Вся эта многогранная и взаимосвязанная метасистема решает огромный круг проблем в различных областях человеческой деятельности, от простого решения школьных задач на домашнем персональном компьютере до управления сложными технологическими процессами.

Чем сложнее задача автоматизации и ответственнее область, в которой используются компьютерные информационные технологии, тем все более критичными становятся такие свойства как надежность и безопасность информационных ресурсов, задействованных в процессе сбора, накопления, обработки, передачи и хранения данных.

Вредоносные воздействия на информацию в процессе функционирования компьютерных систем различного назначения осуществляется с целью нарушения ее конфиденциальности, целостности и доступности. Решение задач, связанных с предотвращением воздействия непосредственно на информацию, осуществляется в рамках комплексной системы обеспечения безопасности. При этом первостепенным элементом данного комплекса является система обнаружения уязвимостей.

Уязвимостью называется характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы. При этом неважно, целенаправленно используется уязвимость или это происходит ненамеренно. В качестве нарушителя может выступать любой субъект корпоративной сети, который попытается осуществить несанкционированный доступ к ресурсам сети по ошибке, незнанию или со злым умыслом.

Существует следующее категорирование уязвимостей: проектирования, реализации и конфигурации.

Наиболее опасны уязвимости проектирования, которые возникают в процессе разработки системы. Обнаруживаются и устраняются они с большим трудом. В этом случае, уязвимость свойственна проекту или алгоритму и, следовательно, даже совершенная его реализация (что в принципе невозможно) не избавит от заложенной в нем уязвимости. Например, уязвимость стека протоколов TCP/IP. Недооценка требований по безопасности при создании этого стека протоколов привела к тому, что не проходит и месяца, чтобы не было объявлено о новой уязвимости в его протоколах.

Смысл уязвимости второй категории заключается в появлении ошибки на этапе реализации в программном или аппаратном обеспечении. Примером такой уязвимости является «переполнение буфера» во многих реализациях программ, в частности в Internet Explorer. Обнаруживаются и устраняются такого рода уязвимости относительно легко - путем обновления исполняемого кода или изменения исходного текста уязвимого программного обеспечения (ПО).

Третья категория уязвимости - ошибки конфигурации программного или аппаратного обеспечения. С уязвимостями реализации они являются самой распространенной категорией уязвимостей. Существует множество примеров таких уязвимостей. К их числу можно отнести, например, доступный, но не используемый на узле сервис Telnet, использование «слабых» паролей или паролей менее 6 символов, учетные записи и пароли, оставленные по умолчанию (например, ADMIN$ или GUEST в операционной системе Windows 2000) и т.д. Обнаружить и исправить такие уязвимости несложно.

Разумеется, уязвимости необходимо обнаруживать, чем и занимаются системы анализа защищенности, также известные как сканеры безопасности или системы поиска уязвимостей. Они проводят всесторонние исследования данных компьютерных систем с целью обнаружения уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, полученные от средств анализа защищенности, представляют «мгновенный снимок» состояния защиты системы в данный момент времени. Несмотря на то, что системы поиска уязвимостей не могут обнаруживать атаку в процессе ее развития, они могут определить потенциальную возможность реализации атак. Системы анализа защищенности могут быть классифицированы по типам обнаруживаемых ими уязвимостей, описанных выше.

Системы анализа защищенности второго и третьего классов получили наибольшее распространение среди конечных пользователей. Однако существует несколько дополнительных классификаций этих систем. Например, системы анализа исходного кода, защищенности операционных систем и т.д.

Первые применяются обычно при сертификации программного обеспечения по требованиям безопасности. В большинстве случаев программное обеспечение поставляется потребителю без исходных кодов. Кроме того, анализ исходных кодов требует высокой квалификации от обслуживающего их персонала. Да и отсутствие эффективных систем анализа исходных кодов не позволяет проводить такой анализ на качественном уровне. Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких стеков протоколов, как TCP/IP, SMB/NetBIOS и т.п. позволяют с высокой степенью эффективности проверять защищенность компьютерной сети.

Вторыми по распространенности являются средства анализа защищенности операционных систем (ОС), что связано с их универсальностью и распространенностью (например, UNIX и Windows NT). Однако, из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности в первую очередь анализируют параметры, характерные для всего семейства одной ОС.

Системы анализа защищенности реализуют две стратегии. Первая - пассивная, реализуемая на уровне операционной системы, СУБД и приложений, при которой осуществляется анализ конфигурационных файлов и системного реестра на наличие неправильных параметров, файлов паролей на наличие легко угадываемых паролей, а также других системных объектов на нарушения политики безопасности. Вторая стратегия - активная, осуществляемая в большинстве случаев на сетевом уровне и позволяющая воспроизводить наиболее распространенные сценарии атак и анализировать реакции системы на эти сценарии.

При помощи средств анализа защищенности можно тестировать не только возможность несанкционированного доступа в корпоративную сеть из сетей открытого доступа (например, Internet), но эти средства с успехом могут быть использованы для анализа некоторых сегментов или узлов внутренней сети организации. Системы анализа защищенности могут быть использованы как для оценки уровня безопасности организации, так и управлениями информатизации (для контроля эффективности настройки сетевого, системного и прикладного программно-аппаратного обеспечения).

В настоящий момент существует более сотни различных средств, автоматизирующих поиск уязвимостей на уровне сети, операционных систем, СУБД и прикладного программного обеспечения. Одни средства ориентированы на обнаружение целого спектра различных уязвимостей, другие - только на определенную их категорию. Но при выборе средств анализа защищенности не следует использовать в качестве основного параметра выбора число обнаруживаемых ею уязвимостей. Ведь это очень субъективный параметр. Например, зачем в сети, в которой используется только платформа Windows, использовать систему, обнаруживающую помимо уязвимостей Windows и Unix'овые уязвимости. Эти возможности являются лишними и возможно никогда не будут использованы.

Поскольку постоянно появляются новые уязвимости, то для их эффективного обнаружения необходимо постоянно обновлять базу данных системы анализа защищенности. Ведь не вызывает сомнений необходимость обновления антивирусной системы или установка патчей и Service Pack'ов для операционных систем. Также и с системой поиска уязвимостей. Только в случае периодического и своевременного обновления эта система сможет поддерживать защищенность сети на должном уровне. В идеале разрыв между появлением информации об уязвимости в различных «хакерских» источниках и появлением сигнатуры в базе данных системы обнаружения должен отсутствовать. Но как бы часто не обновлялась база данных уязвимостей, существует временной промежуток между сообщением о новой уязвимости и появлением проверки для нее. Уменьшение этого интервала - одна из главных задач, стоящих перед эксплуатирующим систему анализа защищенности подразделением. Одним из путей ее решения - создание своих собственных проверок.

Механизм описания своих проверок, уязвимостей, атак и иных контролируемых событий является очень полезной возможностью для администраторов, отслеживающих опубликование новых уязвимостей. Эта функция позволяет быстро записать новое правило и использовать его в своей сети.

Несмотря на то, что система анализа защищенности является средством обеспечения информационной безопасности, она сама должна быть защищена от посягательств со стороны злоумышленников, так как выведение ее из строя существенно снизить защищенность всей сети. Для этого в этой системе должны быть предусмотрены механизмы контроля своей целостности, ограничения круга лиц к собранным данным и разграничения прав на запуск проверок.

Далеко не всегда система анализа защищенности является основным средством защиты в сети. Мало того, даже самая «главная» система защиты может быть второстепенной системой в общей телекоммуникационной инфраструктуре. Очень часто подразделения защиты информации находятся в подчиненном положении по отношению к отделам информатизации. В таких организациях в качестве корпоративного стандарта принята определенная система сетевого управления, с которой интегрируются остальные системы (в том числе и средства защиты). Поэтому при выборе системы поиска уязвимостей необходимо делать выбор в пользу той, которая имеет возможность интеграции с системами управления и другими средствами, используемыми в организации.

Немаловажным элементом системы анализа защищенности является подсистема генерации отчетов. Без нее трудно составить мнение о том, каков уровень защищенности сегментов корпоративной сети. На основе созданных этой подсистемой отчетов администратор безопасности строит всю свою дальнейшую деятельность - изменяет политику безопасности, устраняет обнаруженные уязвимости, реконфигурирует средства защиты, готовит отчеты и т.д. При этом хорошая подсистема генерации отчетов должна обладать следующими свойствами:

– Наличие в отчетах, как текстовой информации, так и графических данных, что позволяет удовлетворить практически все требования по созданию удобных в понимании и содержательных отчетов.

– Наличие в отчетах не только информации об обнаруженной уязвимости, но и об уязвимых операционных системах, вариантах ложного обнаружения, методах устранения, ссылках на сервера производителей.

– Возможность выборки из всей собранной информации только нужных данных по заданным критериям (интервал времени, название уязвимости, степень риска, операционная система, тип уязвимости и т.д.).

– Возможность сортировки данных в создаваемых отчетах по различным параметрам (по имени, по дате, по степени риска и т.д.).

– Поддержка различных форматов создаваемых отчетов. Как правило, системы обнаружения атак могут создавать отчеты в форматах: HTML, CSV и в своем собственном. Однако в зависимости от операционной системы, под управлением которой работает система обнаружения атак, установленных на узле приложений и других параметров, она должна создавать отчеты и в других форматах, например, в Microsoft Word, Excel, текстовом и т.д.

Таким образом, из трех категорий уязвимостей, наибольшую опасность представляют уязвимости проектирования, но уязвимости реализации и конфигурирования являются более распространенными. Для их поиска используется специальное программное обеспечение.

В связи с большим спектром программного обеспечения, используемого для решения задач организации, необходимо индивидуально подходить к выбору систем анализа безопасности в каждой конкретной сетевой структуре.

Системы анализа защищенности должны обладать собственной системой контроля целостности, должны быть интегрированы с системой сетевого управления. Кроме того, их базы данных должны как можно чаще обновляться.

И, наконец, система анализа защищенности должна иметь возможность формирования отчетов, чтобы администратор данной системы мог разработать стратегию обеспечения безопасности в будущем.

Размещено на Allbest.ru