Студопедия

КАТЕГОРИИ:

АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника


Основы сетевой безопасности




Рассмотрим некотороые наиболее распространённые виды атак:

1. Составление схемы сети

Составление схемы сети — процесс сканирования сети или подсети с целью определения доступных серверов и уязвимых служб. Сканирование состоит из 2 основных частей, которые, как правило, на практике объединяются в одну:

· Просмотр всей сети с целью поиска активных узлов

· Сканирование всех портов каждого из узлов с целью определения используемых служб

Сканирование определённого порта осуществляется, когда взломщик хочет использовать конкретное уязвимое место. Характерным признаком составления схемы сети является множество пакетов, адресованных различным машинам в сети. При сканировании портов, как правило, множество пакетов направляется в одну машину на различные порты.

Наиболее известные виды сканирования:

1. TCP сканирование

При данном виде сканирования злоумышленник выполняет попытки установить TCP-соединение на различные порты сканируемого узла. При попытке Syn-запроса к закрытому порту, сканируемый узел посылает пакет Rst. Если порт открыт, устанавливается 3-шаговое TCP-соединение, а затем оно разывается пакетом Rst со стороны злоумышленника.

2. TCP SYN сканирование (скрытое или полуоткрытое сканирование)

Данный вид сканирования начинается как обычное 3-х этапное соединение. Если порт открыт, в ответ выдаётся пакет syn-ack, если порт закрыт — rst пакет, задержка больше таймаута говорит о том, что межсетевой экран отбрасывает пакеты.

3. FIN сканирование

Множество поступающих пакетов с установленным флагом Fin говорит о том, что осуществляется Fin-сканирование. Закрытые порты в ответ посылают пакет с флагом Rst. В случае активного порта, ответ не приходит.

4. ACK сканирование

Ack сканирование применяется в основном для определения правил используемых межсетевым экраном. На порты сканируемого узла отправляются пакеты с установленным флагом Ack. Если в ответ приходят пакеты с флагом RST, то порты классифицируются как нефильтруемые (сканер воспринял этот порт как закрытый, при этом средства защиты не помешали сканеру определить его состояние. Если ответа не приходит, порт считается фильтруемым (средства защиты блокируют доступ к этому порту и сканер не может определить его состоияние).

5. Посылка нестандартных пакетов

Особенностью является посылка некорректных пакетов, реакция на которые зависит от операционной системы и стека протоколов. Необходимо помнить, что некоторые межсетевые экраны пропускают нестандартные пакеты, в то время как другие просто отбрасывают их с записью в журнал или без неё.

В нормальных условиях, стандартными средствами, нестандартные пакеты не генерируются вообще.

Примеры сканирования нестандартными пакетами:

· Null сканирование

При null сканировании не установлено ни одного флага в поступающих пакетах. Закрытые порты отвечают пакетом rst, а открытые не отвечают вообще.

· TCP XMAS TREE SCAN

Характеризуется множеством запросов с флагами Fin Urg и Push. Закрытый порт — RST, закрытый — молчание

6. UDP Сканирование

Посылается «мусорный» udp-пакет к намеченному порту. Если в ответ придёт icmp сообщение port unreachable, если такое сообщение не посылается, значит порт открыт.

7. Ping-сканирование

В течение этого простого процесса сканирования, диапазон ip-адресов анализируется утилитой ping с целью определения активных компьютеров

2. Атаки на сетевом уровне

1. Анализ пакетов происходит если неавторизованная третья сторона перехватывает сетевые пакеты с целью получения паролей и конфиденциальных данных. Особенностью снифферов является перевод сетевой карты в беспорядочный (неразборчивый, смешанный, хаотический [promiscious]), когда захватываются все пакеты по сетевому кабелю. Наилучшей защитой от снифферов является шифрование траффика.

2. Атаки с использованием слабых мест протоколов

1. DOS (Denial of Service) — отказ в обслуживании (DOS-взлом), направлен на нарушение или полное прекращение доступа легальных пользователей к сетям, серверам, службам и т. д. В DOS-взломах применяется 2 основных метода: перерасход ресурсов и снижение пропускной способности сети. Для большинства DOS атак характерно использование подложного ip-адреса отправителя, т. к. взломщика не интересует получение информации от системы или сети. Еще одной особенностью DOS-взломов является частое использование некорректных пакетов, появление которых при разработке операционных систем не предполагалось.

1. Отказы в обслуживании в следствие перерасхода ресурсов

1. LAND-атака (снорк) — старый метод (разрабатывался для win NT), но выяснилось, что для win XP sp2 оказался тоже критичным. Используются некорректные пакеты с ip-адресом отправителя идентичным ip-адресу получателя, что является нарушением правил адресации и система движется по бесконечной петле, пытаясь выполнить TCP-соединение.

2. WinNuke — тоже старый взлом. Идея такая, чтобы одним пакетом уронить всю систему. Посылается пакет с флагом URG, затем RST, что приводило к зависанию операционной системы и появлению синего экрана.

3. SYN Flood — до сих пор один из наиболее мощный видов атак. При проведении такой атаки, выдаётся большое число запросов на инициализацию TCP-соединений с узлом-мишенью, которому в результате приходится расходовать все свои ресурсы на то, чтобы отслеживать эти частично открытые соединения, что приводит либо к существенному замедлени ю, либо к зависанию системы. Особенность такого взлома — некорректное использование корректных пакетов. Побочным эффектом может служить регистрация пришедших из ниоткуда большого числа пакетов SYN ACK.

4. Ping of Death — для устаревших систем и устройств. Попытка послать во фрагментированом виде пакеты icmp повышенного размера. В ходе атаки на атакуемый компьютер во фрагментированном виде посылается пакет icmp echo request размером больше его теоритического предела в 64 килобайта. Устаревшие операционные системы и технические устройства не способны правильно обрабатывать фрагменты нестандартного размера, что приводит их к зависанию и выходу из строя.

5. UDP Storm (Echo-Chargen) — chargen порт (19-й) в ответ на udp-запрос выдаёт пакет с набором символов, а echo-порт (7-й) возвращает пришедший пакет обратно, что приводит к зацикливанию системы.

6. Идентификация ОС/выведение из строя, посылка некорректных пакетов. Пакеты с некорректными сочетаниями флагов (SYN,FIN;SFR;SP) могут способствовать либо идентификации ОС, либо выведению узла из строя, т. к. разные ОС реагируют по-разному на нестандартные пакеты.

2. DOS в следствие снижения пропускной способности. Примером являются DDOS-атаки или распределённый DOS. Взломы направлены на снижение пропускной способности, приводят к отказу в доступе к сети, перегружая сеть фиктивными данными.

1. SMURF атака или метод умножения. До сих пор прекрасно работает если никто не предпринимает никаких действий. Широковещательный echo-запрос в большие сети, от имени того, кого хотят уронить. Посредник получает пакеты обратного запроса icmp, направленный на сетевые адреса широковещательной рассылки. Если при этом не происходит фильтрация icmp-трафика, многие машины сети в ответ на пакет обратного запроса icmp, отправят пакет обратного ответа icmp на адрес компьютера жертвы, указанный в качестве адреса отправителя в пакете обратного запроса icmp.

2. ICMP Flood (Ping Flood) Сплошные echo-запросы с разных источников. Характерно большое число ping-запросов на компьютер-жертву с различных ip-адресов за короткий промежуток времени.

3. FRAGGLE атака — похоже на смурф, только udp вместо icmp. Атакующий посылает обманные udp-пакеты на широковещательный адрес усиливающей сети (обычно на 7-й порт, echo). Каждая система сети, в которой разрешен ответ на echo пакеты, возвратит пакеты системе жертвы, в результате чего будет сгенерирован большой объем трафика.

3. Атаки на прикладном уровне

Exploit — эксплойт — небольшая программа, которая используя заранее известные недочёты в другой программе, позволяет получить какую-либо привелегию.

Атаки на прикладном уровне включают эксплойты, направленные против приложений и операционных систем, атаки переполнения буфера и т. д.

1. SQL-инъекции — атаки, использующие возможность объединения двух SQL-запросов с целью получения дополнительных данных из некоторой таблицы. Нарушитель пытается выполнить произвольную SQL-команду в базе данных через web-приложение. Результатами SQL-инъекций могут быть:

· Доступ к данным, которые обычно недоступны (сведениям о счетах пользователей, их паролях, включая пароль администратора)

· Возможность добавить на взломанный сайт кода, из-за действий которого посетители будут скачивать вредоносное программное обеспечение

· Возможность манипулирования данными БД, вплоть до изменения интерфейса веб-сайта.

Среди средств анализа SqlMap — инструмент, перебирающий распространённые способы sql-инъекций.

Havij — возможность анализа хешей паролей и восстановления по ним паролей.

Для защиты проверяются входные параметры для того, чтобы нельзя было конкатенировать к обычному запросу лишних элементов.

2. Переполнение буфера применяется для получения привелегий доступа в систему на уровне администратора. Как правило, атака состоит из нескольких шагов

1. Атакующая программа отправляет на сетевое соединение блок данных заведомо больший размера буфера целевой программы.

2. Неправильно написанная уязвимая процедура повзовляет лишним данным быть записанными дальше границ буфера (то есть допускает его переполнение). Блок данных скопмпанован так, чтобы адрес возврата в стеке замещался кодом эксплоита, который находится в том же загруженном блоке данных (выполнение этого кода с привелегиями и выполняемой программы и есть цель атаки

3. При возврате из уязвимой процедуры, управление через изменённый адрес возврата передаётся на код эксплоита.

Обнаружение попыток переполнения буфера

Фак, отвалилось пол лекции.

 

5. Трансляция сетевых адресов (NAT — Network Adress Translation). NAT позволяет ставить соответствие множество адресов локальной сети единственному ip-адресу, используя различные номера портов. Используется для следующих целей:

1. Защита ЛВС путём сокрытия внутренней структуры сети.

2. Прозрачный доступ в интернет для всех машин ЛВС с использованием одного ip-адреса

6. Регистрация событий, реагирование на задаваемые события, а так же анализ зарегестрированной информации и генерация отчётов.

 

Основные технологии построения
межсетевых экранов

Пакетный фильтр (фильтрующий маршрутизатор, экранирующий маршрутизатор, фильтр пакетов). Решение о том, пропустить или отбраковать данные принимаются для каждого пакета независимо, на основе заданных правил фильтрации. Для принятия решения анализируются заголовки пакетов сетевого и транспортного уровня (ip-адреса отправителя и получателя, их порты, используемый сетевой протокол, тип сообщения (для icmp). Фильтр пакетов обычно представляется в виде списка правил, использующих значения полей заголовков ip и tcp. Если обнаруживается соответствие одному из правил, на основании этого правила принимается решение о том, можно ли передать пакет дальше или его следует отвергнуть. При соответствии всем правилам, выполняется операция, предусмотренная для использования по умолчанию.

При построении правил межсетевого экрана существует 2 основных метода:

1. От наиболее конкретных до наиболее общих.

2. Наиболее активные правила должны размещаться в верхней части набора фильтров.

Достоинства пакетных фильтров:

1. Простота межсетевого экрана, а так же процедур его конфигурирования и установки.

2. Прозрачность для программных приложений и минимальное влияние на производительность сети.

3. Низкая стоимость.

Недостатки:

1. Разрешены прямые соединения между узлами без доверия и доверенными узлами.

2. Низкий уровень масштабируемости.

3. Возможность открытия больших диапазонов портов (протокол FTP).

4. Подверженность атакам с подменой данных (например, фальсификация исходных адресов, фрагментация пакета, чтобы информация заголовка TCP попала в отдельный фрагмент.

Прикладной шлюз
(экранирующий шлюз, прокси, брендмауэр)

В прикладных шлюзах активно используются прикладные прокси (прикладные посредники), представляющие собой индивидуальные программы с клиент-серверной архитектурой, реализованные для отдельных служб, наблюдение за которыми будет осуществляться со стороны межсетевого экрана. Каждая прокси-служба является специфичной для каждого протокола и может осуществлять усиленный контроль доступа, проверку данных, а так же генерировать записи аудита. Шлюз уровня приложения играет роль сервера для клиента и клиента для реального сервера, в действительности обрабатывая запросы вместо пользователей, которых он защищает.

Достоинства:

1. Возможность оперирования с полезной нагрузкой пакета

2. Работа с протоколами высшего уровня

3. Запрещение прямого соединения с внешними серверами

4. Улучшеная аутентификация и аудит

Недостатки:

1. Снижение производительности (следствие дополнительных запросов на обработку необходимых для прикладных прокси)

2. Для каждого нового приложения или протокола, необходимо разрабатывать новый прокси

3. Более высокая стоимость, по сравнению с пакетными фильтрами.

 

Межсетевой экран сеансового уровня

(прокси сеансового уровня, экранирующий транспорт)

Шлюз следит за подтверждением (квитированием) связи между авторизованным клиентом и внешним компьютером, определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы выявить допустимость запроса сеанса связи, шлюз выполняет следующую процедуру:

1. Когда авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли данный клиент базовым критериям фильтрации, например, может ли DNS-сервер определить ip-адрес клиента и ассоциированное с ним имя.

2. Действуя от имени клинета, шлюз устанавливает с внешним компьютером и следит за выполнением процедуры квитирования связи по протоколу tcp.Шлюз сеансового уровня признает запрошенное соединение допустимым только тогда, если при выполнении процедуры квитирования связи, флаги SYN и ACK, а так же числа, содержащиеся в TCP-пакетах оказываются связанными между собой.

3. После того, как шлюз определил, что доверенный клиент и внутренний компьютер являются авторизованными участниками сеанса TCP и проверил допустимость этого сеанса, он устанавливает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений (таблицу состояний), пропуская данные, относящиеся к одному из сеансов связи, зафиксированных в этой таблице. После установления соединения в соответствующей таблице обычно хранится следующая информация: идентификатор сеанса, состояние соединения (устанавливается, установлено или закрыто), последовательная информация (последовательные номера пришедших байтов, состояние флагов и т. д.), ip-адреса и порты отправителя и получателя, временные метки и т. д.

4. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь, использующуюся в данном сеансе связи.

Для обеспечения дополнительных возможностей в данных межсетевых экранах могут применяться дополнительные проверки и фильтры контроля состояния канала связи. Например, проверки соответствия данных, содержащихся в заголовке транспортного протокола прикладного уровня. Для копирования и перенаправления пакетов применяются канальные посредники, устанавливающие между двумя компьютерами виртуальный канал и разрешающие создаваемым пакетам проходить по этому каналу.

Экспертные межсетевые экраны

(инспекторы состояния[stateful inspection/stateful firewall])

Экспертные межсетевые экраны представляют собой межсетевые экраны сеансового уровня с расширенными возможностями. Экспертные межсетевые экраны выполняют проверки на транспортном уровне и ниже, а пакет, инициировавший соединение, проверяет и на прикладном уровне. Если проверяемы пакет соответствует существующему разрешающему правилу, в таблицу состояний добавляется запись. С этого момента пакетом в данном конкретном сеансе связи разрешается доступ уже без дальнешей проверки, поскольку они соответствуют существующей записи в таблице состояний. Такие межсетевые экраны обычно базируются на посредниках прикладного уровня или инспекторах состояния, но обязательно комплектуются шлюзами сеансового уровня и сетевыми фильтрами. Существует 2 основных вида экспертных межсетевых экранов:

1. Межсетевой экран с экспертной фильтрацией (анализ, в основном, транспортного уровня)

2. Межсетевые экраны с экспертным контролем (анализ затрагивает и прикладной уровень)

Достоинства шлюзов сеансового уровня — сочетание быстроты и качества работы.

Недостатки — неполный контроль на прикладном уровне (для экспертных межсетевых экранов), частично поддерживаемая аутентификация пользователей и конечных узлов.

 

Расположение и настройки межсетевых экранов.

При настройке межсетевых экранов, необходимо в первую очередь проанализировать защищаемую сеть и составить список правил, который бы описывал вашу политику безопасности. Очень важно учитывать порядок правил.

Системы обнаружения вторжения
(IDS — Intrusion Detection Systems)

Технология обнаружения вторжений решает следующие задачи:

1. Распознавание известных атак и предупреждение о них соответствующего персонала.

2. Контроль всех действий субъектов корпоративной сети (пользователей, программ, процессов и т. д.

3. Контроль эффективности межсетевых экранов

4. Блокирование и контроль доступа к определённым узлам интернета

5. Контроль электронной почты (как по содержанию так и по вирусам)

Классификация IDS

По методологии обнаружения:

1. Обнаружение сигнатур

2. Обнаружение аномалий

3. Гибридное обнаружение

По защищаемой системе:

1. Сетевые системы

2. Хостовые системы

По структуре системы:

1. Централизованная

2. Децентрализованная

1. Агентские системы

По источникам данных:

1. Сетевые пакеты

2. Записи аудита

3. Объекты системы

По реакции системы:

1. Пассивная

2. Активная

По времени анализа:

1. В реальном времени

2. Отложенный анализ

 

1. Методы обнаружения атак

1. Обнаружение сигнатур — метод заключается в описании атаки в виде сигнатуры и поиска данной сигнатуры в контроллируемом пространстве (сетевом трафике, журнале регистрации и т. д.) В качестве сигнатуры атаки может выступать шаблон действий, строка символов, характеризующих аномальную деятельность и т. д. Анализ сетевого трафика может осуществляться двумя основными способами: путём синтаксического разбора отдельных сетевых пакетов (сравнение с образцом, совпадение с шаблоном) или через анализ всей сессии вцелом. Системы, использующие первый способ основаны на механизме захвата необработанных пакетов сетевого трафика и пропускания их через синтаксический анализатор, который ищет в этих пакетах соответствие некоторому шаблону или сигнатуре. Системы, основанные на анализе протокола вцелом ориентируются на контекст сетевой сессии, тем самым приводя к уменьшению ложных срабатываний. Анализ сессии делится на 2 метода: сравнение с шаблоном состояния (проверяется каждый пакет и порядок их следования) и анализ на основе шаблона используемого протокола (поиск отклонений от стандартов, описывающих те или иные протоколы. Как и в антивирусных системах, в IDS могут исползоваться эвристические методы, например для обнаружения сканирования портов, можно использовать порог затронутых портов целевой системы. Для IDS вообще характерно множество ложных положительных решений (датчик ошибочно классифицирует законопослушную деятельность как нападение) и ложных отрицательных решений (сигнатура не в состоянии сгенирировать предупреждение во время соответствующей ей атаки). Проблема при создании сигнатур заключается в том, что атаку необходимо записать так, чтобы зафиксировать все возможные её модификации и при этом не потребовать черезчур много ресурсов. Разновидностью сигнатурного метода обнаружения атак можно считать анализ журналов регистрации. При данном методе IDS анализирует и интерпретирует записи журналов регистраций ОС, прикладного ПО, маршрутизаторов и т. д. Недостаток данного вида анализа заключается в том, что данные системы не могут быть применены для раннего обнаружения атак в процессе их развития, т. к. работают не в режиме реального времени.

2. Обнаружение аномалий (использование профилей нормального поведения). Обнаружение аномалий обычно включает в себя процесс установления профилей нормального поведения пользователей, сравнение действительного поведения с этими профилями и сигнализацию об отклонениях от нормального поведения. Основной гипотезой при обнаружении аномалий является утверждение, что образцы ненормального поведения ассоциируются со злоупотреблением системы. Профиль определяется как множество метрик, которыми являются измерения частных аспектов поведения системы или пользователя. Для каждой метрики предусматривается или порог или диапазон разрешенных значений. Основной проблемой данного метода является корректное построение профилей пользователя.

2. Виды защищаемой системы

1. Системы обнаружения атак на уровне сети (NIDS — network-based IDS) Сетевые IDS осуществляют сбор и анализ сетевых пакетов, на основании которых проводится обнаружение. Сенсоры таких систем могут быть распределены по элементам сети. Сетевая IDS имеет доступ к данным, циркулирующим в сети, при этом её механизм функционирования состоит из 4 основных частей:

· захват пакетов

· распознавание атак

· фильтрация и сборка фрагментов

· реагирование на атаки

Для сетевой IDS часто используется режим «невидимости» (stealth mode). Реализуется это путём установки в компьютер сетевым сенсором двух плат, одна из которых будет работать в смешанном режиме (захватывать все пакеты, не только предназначенные данному компьютеру) с неустановленной поддержкой tcp/ip стека (то есть у неё не будет ip-адреса, но она будет видеть весь сетевой траффик в контроллируемом сегменте). Второй сетевой адаптер, который должен быть привязан к tcp/ip стеку, используется для обратной связи с консолью управления. Особенности сетевых IDS:

1. Один сенсор IDS может просматривать целый сегмент сети.

2. IDS могут определять атаки в реальном масштабе времени и останавливать атаки до достижения ими цели.

3. Невозможность злоумышленнику скрыть следы своей деятельности.

4. Обнаружение неудавшихся атак или подозрительной активности.

5. Независимость от используемых в сети операционных систем.

Недостатком IDS является невозможность работы с зашифрованным трафиком.

2. Узловые IDS (хостовые IDS, HIDS — Host-based IDS)

Все IDS можно разделить на 2 категории:

· Автономные (централизованные)

· Клиент-серверные (децентрализованные или распределённые)

3. Общая структура IDS:

1. Модуль работы с источником информации (взаимодействие с журналом регистрации, сетевой картой и ядром ОС для получения данных)

2. Хранилище данных (журнал регистрации зафиксированных атак и подозрительных событий)

3. База знаний (сигнатуры атак, профили нормального поведения и т. д.)

4. Модуль управления компонентами (обеспечивает связь между компонентами)

5. Модуль обнаружения атак (сопоставляет правила базы знаний с записями выбранного источника информации и на основании их обращается к модулю реагирования)

6. Модуль реагирования

7. Графический интерфейс (Делает работу администратора более удобной)

 

Структура IDS включает в себя 7 основных модулей, каждый из которых отвечает за выполнение своей задачи:

Если IDS автономный — значит все компоненты находятся на одном компьютере.

Если система является децентрализованной, то в ней выделяют 2 основных уровня:

· Сенсор (агент, модуль слежения)

· Консоль

Сенсор отвечает за обнаружение и реагирование на атаки, а так же за передачу сведений об обнаруженных несанкционированных действиях на консоль управления. Сенсор, обычно, запускается на компьютере как сервис и работает круглосуточно.

Консоль предназначена для управления сенсорами и сбора информации от всех сенсоров, подключённых к ней. Одна консоль может координировать большое количество сенсоров и сенсор может посылать информацию сразу на несколько консолей, реализуя тем самым резервирование консолей.

4. Источники данных.

Основными источниками данных для IDS являются сетевые пакеты, данные аудита и объекты системы. Трудность с записями аудита состоит в том, что затруднительно определить, какие события необходимо включать в аудит, т. к. регистрация всех событий означает значительное увеличение нагрузки на систему.

5. По времени анализа, IDS делятся на работающие в режиме реального времени (сетевые IDS, обработка системных событий для узловых IDS) и IDS, работающие в режиме почти реального времени (отложенный режим, характерен для работы с записями аудита).

6. Характер реакции

Пассивный — вывод сообщения, сигнализация о вторжении.

Активный — предотвращение вторжения, сопротивление ему.

По характеру реакции различают пассивные или активные IDS.

Пассивные IDS могут выдавать сигнал на консоль администратора, посылать сообщения по электронной почте и на мобильный телефон.

Активные IDS, получившие называние IPS (intrusion prevention system/системы предотвращения вторжения) выполняют обнаружение и реализацию реакции на атаки.

В активных системах применяются следующие методы предотвращения вторжения:

· Посылка пакета rst в оба направления, тем самым разрывая соединение

· Выдача сигнала фильтрующему устройству (ips сигнализирует сетевому экрану об обнаружении атаки, чтобы была заблокирована соответствующая часть траффика, путём введения дополнительных правил фильтрации)

· Удаление или модификация подозрительного пакета

Размещение IDS

1. Размещение между маршрутизатором и межсетевым экраном — такой вариант позволяет контроллировать весь трафик, входящий в корпоративную сеть (в том числе в демилитаризованную зону), а так же весь исходящий трафик, который не блокируется межсетевым экраном. Данное решение позволит защитить сам межсетевой экран, однако, сетевой сенсор при этом остаётся беззащитен, поэтому обязательно задействование защитных мер, как, например, использование stealth-режима или режима невидимости. Задача данной конфигурации — защита корпоративной сети от нападения извне.

2. Размещение в демилитаризованной зоне. Основная задача такой конфигурации — защита устройств, находящихся в демилитаризованной зоне. Данный вариант размещения обычно практикуется компаниями активно использующими внешние доступные ресурсы.

3. Размещение за межсетевым экраном. Данный способ позволяет отслеживать изменения в функционировании межсетевого экрана и просматривать весь трафик, проходящий через межсетевой экран. Сетевой сенсор данной конфигурации позволяет гарантировать, что межсетевой экран правильно настроен.

4. Размещение и перед и за МСЭ

5. Размещение в ключевых сегментах внутренней сети.

6. Размещение в удалённых офисах

7. Сети с большим количеством временных пользователей

8. Сети, которые могут стать мишенью для атак извне, сети-ловушки, сети, в которых выявлены признаки взлома или другие отклонения от нормальной работы.

Задание правил для IDS.

Сущетвуют 2 наиболее распространённых способа настройки шаблонов обнаруживаемых атак:

1 Способ:

Сделать доступными все сигнатуры или отбросить меньшую их часть, которая точно не понадобится и наблюдать за событиями консоли, чтобы определить, какие сигнатуры обнаруживаются в вашей сети, какие из этих событий являются важными, а какие нет.

2 Способ:

Создать карту сети и на её основе составить список протоколов, портов и адресов, доступных в защищаемом сегменте сети, а так же список операционных систем и программного обеспечения. На основании собранной информации, создаются правила для IDS. В базу данных IDS включаются только те сигнатуры, которые соответствуют созданным вами правилам.

 

1. Анализаторы протоколов (снифферы)

Анализаторы протоколов (снифферы) позволяют перехватывать весь сетевой трафик и являются утилитами двойного назначения. С одной стороны снифферы при использовании с сетевыми ЭДС позволяют фиксировать весь входящий и исходящий трафик и тем самым дают информацию о содержимом пакетов, которые не попали в поле зрения эдс. Кроме того, анализаторы протоколов позволяют наблюдать системному администратору за деятельностью пользователей, использованием сетевых ресурсов, выполнять исследования производительности сети, а так же поиск ошибок в сети. С другой стороны, снифферы могут использоваться для незаконного получения конфиденциальной информации, циркулирующей в сети (например паролей). Обычно процесс анализа протоколов включает в себя следующие этапы:

1. Захват данных

2. Просмотр захваченных данных

3. Анализ данных

4. Действия, необходимые в результате анализа данных (поиск ошибок в сети, исследование производительности и т. д.)

Анализаторы протоколов делятся на программные и программно-аппаратные. Программные снифферы представляют собой программы, которые устанавливаются на компьютер с обычной сетевой платой. Такой сниффер может анализировать только то, что проходит через его сетевую карту, которую он переводит в беспорядочный режим (promiscious). Как правило, снифферы перехватывают не все пакеты, а только те, которые удовлетворяют критериям фильтрации (например по ip-адресу, по типу вышестоящего протокола, по содержимому пакета и т. д.). На характеристиках программного сниффера сказывается вычислительная мощность компьютера, количество памяти, возможности сетевого адаптера и степень загруженности сети. Когда необходима высокая производительность и подробный анализ протокола и траффика, используют программно-аппаратные анализаторы протоколов, которые могут выполняться либо в виде отдельного прибора, либо в виде системной платы, подключаемой к компьютеру. Отличить аппаратный анализатор от программного можно по месту сбора и обработки данных. Защитой от злоумышленного использования анализатора протоколов являются коммутируемые сети и шифрование. Существуют также программы антиснифферы, позволяющие обнаруживать и/или нейтрализовывать сниффера.

 

2. Сканеры уязвимостей

(системы анализа защищенности,

сканеры безопасности)

(security assessment systems,

security scanners)

Существуют системы поиска уязвимостей проектирования, системы поиска уязвимостей реализации и системы поиска уязвимостей эксплуатации. Первые 2 вида сканеров уязвимостей применяются при сертификации ПО и в дальнейшем в данной лекции рассматриваться не будут. Возможности сканеров уязвимостей:

1. Поиск слабых мест в системе защиты корпоративной сети (сканирование рабочих станций, серверов, сетевого оборудования, МСЭ, IDS и т. д.)

2. Инвентаризация и построение карты сети

3. Обнаружение неизвестных устройств

4. Контроль эффективности работы IT подразделений, анализ защищённости удалённых офисов

При проведении анализа защищённости сканеры уязвимостей реализуют 2 основные стратегии:

1. Пассивная (сканирование) — когда сканер пытается определить наличие уязвимостей без фактического подтверждения её наличия. Например, идентифицируются открытые порты, найденные на каждом сетевом устройстве, собираются связанные с портами заголовки, найденные при сканировании каждого порта и на основании этих данных делается вывод о наличии или отсутствии уязвимостей.

2. Активная (зондирование) — ...

Помимо деления на активное и пассивное тестирование, все сканеры безопасности могут проводить локальные и удалённые проверки. Первые запускаются на том же узле, на котором установлен компонент сканер безопасности, а вторые предназначены для удалённых узлов. Сетевые сканеры безопасности и сканеры безопасности на уровне узла выполняют анализ защищённости в несколько этапов:

1. Сбор информации о сети или системе

2. Обнаружение потенциальных уязвимостей

3. Подтверждение выбранных уязвимостей (при необходимости, т. к. может привести к краху системы)

4. Генерация отчётов с наличием рекомендаций по устранению обнаруженных проблем

5. Автоматическое устранение уязвимостей (для системных сканеров)

Существуют несколько вариантов использования сканеров уязвимостей:

1. Запуск сканирования только с проверками на потенциальные уязвимости (этапы 1, 2 и 4)

2. Метод сканирования с проверками на потенциальные и подтверждённые уязвимости

3. Сканирование с пользователскими правилами для находения конкретной проблемы

4. Всё из вышесказанного

Сетевые сканеры безопасности выполняют серию дистационных тестов по обнаружению уязвимостей. Сканирование начинается с получения предварительной информации о сканируемой системе, например разрешенных протоколах и открытых портах, версии операционной системы и нередко включает попытки имитации проникновения с помощью широко известных атак, например подбора пароля.

Системные сканеры безопасности предназначены для проверки настроек операционной системы, влияющих на её защищённость (учётные записи пользователей, права пользователей на доступ к критичным системным файлам, параметры системного реестра, пароли, установленные обновления и т. д.). Данные системы проводят сканирование не снаружи, а изнутри анализируемой системы, то есть иммитируют не внешних, по отношению к сканируемому узлу, а внутренних злоумышленников, проникших через сетевую линию обороны. Для этого на каждый анализируемый узел устанавливается специальный агент, который проводит проверки системы. Всё управление осуществляется с центральной консоли, на которую так же передаются и все сигналы тревоги в случае обнаружения той или иной уязвимости. Для всех сканеров уязвимостей критично наличие современной базы данных уязвимостей.

 

3. DLP-системы

(Data Loss[Leak] Prevention)

Системы контроля действий пользователей, система защиты конфиденциальных данных от внутренних угроз.

DLP-системы применяются для обнаружения и предотвращения передачи конфиденциальных данных на разных этапах. (при перемещении, использовании и хранении). DLP-система позволяет:

1. Контроллировать работу пользователей, не давая бесконтрольно тратить рабочее время в личных целях.

2. Автоматически, незаметно для пользователя, записывать все действия, включая отправляемые и принимаемые сообщения электройнной почты, общение в чатах и системах мгновенного обмена сообщениями, социальных сетях, посещаемые веб-сайты, набранные на клавиатуре данные, переданные, напечатанные и сохранённые файлы и т. д.

3. Контроллировать использование компьютерных игр на рабочем месте и учитывать количество рабочего времени, потраченного на компьютерные игры.

4. Контроллировать сетевую активность пользователей, учитывать объёмы сетевого трафика

5. Контроллировать копирование документов на различные носители (съемные носители, жесткие диски, сетевые папки и т. д.)

6. Контроллировать сетевую печать пользователя

7. Фиксировать запросы пользователей поисковым машинам и т. д.

Выделяют 3 категории объектов мониторинга DLP-систем:

1. Data-in-motion — данные в движении — сообщения email, передача веб-трафика, файлов и т. д.

2. Data-in-rest — хранящиеся данные — информация на рабочих станциях, файловых серверах, usb-устройствах и т. д.

3. Data-in-use — данные в использовании — информация, обрабатываемая в данный момент.

Архитектура DLP решений у разных разработчиков может различаться, но в целом выделяют 3 основных веяния:

1. Перехватчики и контроллеры на разные каналы передачи информации. Перехватчики анализируют проходящие потоки информации, исходящие с периметра компании, обнаруживают конфиденциальные данные, классифицируют информацию и передают для обработки возможного инцидента на управляющий сервер. Контроллеры для обнаружения хранимых данных запускают процессы обнаружения в сетевых ресурсах конфиденциальной информации. Контроллеры для операций на рабочих станциях распределяют политики безопасности на оконечные устройства (компьютеры), анализируют результаты деятельности сотрудников с конфиденциальной информацией и передают данные возможного инцедента на управляющий сервер.

2. Агентские программы, устанавливаемые на оконечные устройства: замечают конфиденциальные данные в обработке и следят за соблюдением таких правил, как сохранение на сменный носитель информации, отправке, распечатывании, копировании через буфер обмена.

3. Центральный управляющий сервер — сопоставляет поступающие с перехватчиков и контроллеров сведения и предоставляет интерфейс проработки инцидентов и построения отчётности.

В решениях DLP имеется широкий набор комбинированных методов обнаружения информации:

1. Цифровые отпечатки документов и их частей

2. Цифровые отпечатки баз данных и другой структурированной информации, которую важно защитить от распространения

3. Статистические методы (повышение чувствительности системы при повторении нарушений).

При эксплуатации DLP-систем характерно циклическое выполнение нескольких процедур:

1. Обучение системы принципам классификации информации.

2. Ввод правил реагирования в привязке к категории обнаруживаемой информации и групп сотрудников, контроль действий которых должен осуществляться. Выделяются доверенные пользователи.

3. Выполнение DLP-системой операции контроля (система анализирует и нормализует информацию, выполняет сопоставление с принципами обнаружения и классификации данных, и при обнаружении конфиденциальной информации, система сопоставляет с существующими политиками, назначенными на обнаруженную категорию информации и, при необходимости, создаёт инцидент)

4. Обработка инцидентов (например проинформировать, приостановить или заблокировать отправку).

Особенности создания
и эксплуатации VPN
с точки зрения безопасности

Варианты построения VPN:

1. На базе сетевых операционных систем

2. На базе маршрутизаторов

3. На базе МСЭ

4. На базе специализированного программно-аппаратного обеспечения

5. На базе специализированного ПО

Для корректной и безопасной работы VPN необходимо понимать основы взаимодействия VPN и межсетевых экранов:

1. VPN способны создавать сквозные связующие тунели, проходящие через сетевой периметр, а потому крайне проблемные в плане контроля доступа со стороны межсетевого экрана, которому трудно анализировать зашифрованый трафик.

2. Благодаря своим функциям шифрования передаваемых данных, VPN можно использовать для обхода IDS-систем, не способных обнаруживать вторжения со стороны зашифрованных каналов связи.

3. В зависимости от сетевой архитектуры, крайне важная функция трансляции сетевых адресов (NAT — network adress translation) может оказаться несовместима с некоторыми реализациями VPN и т. д.

По сути, во время принятия решений о внедрении VPN-компонентов в сетевую архитектуру, администратор может либо выбрать VPN в качестве обособленного внешнего устройства, либо выбрать интеграцию VPN в МСЭ, для обеспечения обеих функций одной системы.

1. МСЭ + Обособленный VPN. Варианты размещения VPN:

1. Внутри демилитаризованной зоны, между МСЭ и граничным маршрутизатором

2. Вутри подзащитной сети на сетевых адаптерах МСЭ

3. Внутри экранированной сети, позади МСЭ

4. Параллельно с МСЭ, на точке входа в подзащитную сеть.

2. МСЭ + VPN, размещенные как единое целое — подобное интегрированное решение более удобно при техническом сопровождении, чем предыдущий вариант, не вызывает проблем, связанных с NAT (трансляцией сетевых адресов) и обеспечивает более надёжный доступ к данным, за который отвечает МСЭ. Недостатком интегрированного решения является большая изначальная стоимость покупки такого средства, а так же ограниченность вариантов оптимизации соответствующих VPN и Брендмауэр-компонент (то есть максимально удовлетворяющие запросам реализации МСЭ могут оказаться не приспособленными к построению на их основе VPN-компонентов. VPN может оказывать существенное воздействие на производительность сети и задержки могут возникать на следующих этапах:

1. При установлении защищённого соединения между VPN-устройствами (аутентификация, обмен ключами и т. д.)

2. Задержки, связанные с зашифрованием и расшифрованием защищаемых данных, а так же преобразованиями, необходимыми для контроля их целостности

3. Задержки, связанные с добавлением нового заголовка передаваемым пакетам

 

Безопасность электронной почты

Основные почтовые протоколы: (E)SMTP, POP, IMAP.

SMTP — simple mail transfer protocol, 25 порт TCP, нет аутентификации. Extended SMTP — добавлена аутентификация клиентов.

POP — post Office Protocol 3 — получение почты с сервера. Аутентификация в открытом виде. APOP — с возможностью аутентификации.

IMAP — internet message access protocol — незашифрованный почтовый протокол, который комбинирует свойства POP3 и IMAP. Позволяет работать напрямую с почтовым ящиком, без необходимости загрузки писем на компьютер.

Из-за отсутствия каких-либо нормальных средств шифровки информации, решили использовать SSL для шифровки данных этих протоколов. Отсюда появлились следующие разновидности:

POP3 SSL — 995 порт, SMTP SSL (SMTPS) 465 порт, IMAP SSL (IMAPS) — 993 порт, всё TCP.

Злоумышленник, работающий с системой электронной почты, может преследовать следующие цели:

1. Атака на компьютер пользователя посредством рассылки почтовых вирусов, отправка поддельных писем (подделка адреса отправителя в SMTP — тривиальная задача), чтение чужих писем.

2. Атака на почтовый сервер средствами электронной почты с целью проникновения в его операционную систему или отказ в обслуживании

3. Использование почтового сервера в качестве ретранслятора при рассылке непрошенных сообщений (спама)

4. Перехват паролей:

1. Перехват паролей в POP и IMAP сеансах, в результате чего злоумышленник может получать и удалять почту без ведома пользователя

2. Перехват паролей в SMTP сеансах — в результате чего злоумышленник может быть незаконно авторизован для отправки почты через данный сервер

3. Перехват TCP соединения после успешной авторизации клиента

Для решения проблем безопасности с протоколами POP, IMAP и SMTP, чаще всего используется протокол SSL, позволяющий зашифровать весь сеанс связи. Недостаток — SSL — ресурсоёмкий протокол, может существенно замедлить связь.

 

Спам и борьба с ним

Виды мошеннического спама:

1. Лотерея — восторженное уведомление о выигрышах в лотереях, в которых получатель сообщения не участвовал. Всё, что нужно — посетить соответствующий сайт и ввести там номер своего счёта и пин-код карты, необходимых якобы для оплаты услуг доставки.

2. Аукционы — заключается данный вид обмана в отсутствии товара, который продают жулики. Расплатившись, клиент ничего не получает.

3. Фишинг — письмо, содержащее ссылку на некоторый ресурс, где от вас желают предоставления данных и т. д. Выманивание у доверчивых или невнимательных пользователей персональных и конфиденциальных данных. Мошенники рассылают массу писем, как правило замаскированных под официальные письма различных учреждений, содержащих ссылки, ведущие на сайты-ловушки, визуально копирующие сайты банков, магазинов и др. организаций.

4. Почтовое жульничество — набор персонала для некоторой фирмы якобы нуждающейся в представителе в какой-либо стране, способного взять на себя заботы о пересылке товаров или переводе денег иностранной компании. Как правило, здесь скрываются схемы по отмыванию денег.

5. Нигерийские письма — просят внести небольшую сумму перед получением денег.

6. Письма счастья

Спам бывает массовым и целевым.

У массового спама отсутствуют конкретные цели и используется мошеннические методы социальной инженерии против множества людей.

Целевой спам — техника, направленная на конкретное лицо или организацию, при которой злоумышленник выступает от имени директора, администратора или иного сотрудника той организации, в которой работает жертва или злоумышленник представляет компанию, с которой у целевой организации сложились доверительные отношения.

Способы рассылки спама

Для рассылки спама, необходимо иметь адреса электронной почты потенциальных получателей.

Сбор адресов осуществляется подбором по словарям имён собственных, красивых слов, частое сочетание слово-цифра, методом аналогии, сканированием всех доступных источников информации (чаты, форумы и т. д.), воровством БД и т. д.

Полученные адреса верифицируются (проверяются, что действующие), путём пробной рассылки сообщения, помещением в текст сообщения, уникальной ссылки на картинку со счётчиком загрузок или ссылка «отписаться от спам-сообщений».

В дальнейшем спам рассылается либо напрямую с арендованных серверов, либо с ошибочно сконфигурированных легальных почтовых сервисов, либо путём скрытой установки на компьютер пользователя злонамеренного ПО.

Злоумышленник усложняет работу антиспам-фильтров путём внесения случайных текстов, шума или невидимых текстов, с помощью графических писем или изменяющихся графических писем, фрагментированные изображения, в том числе использование анимации, префразировка текстов.

Методы борьбы со спамом

Существует 2 основных метода фильтрации спама:

1. Фильтрация по формальным признакам почтового сообщения

2. Фильтрация по содержанию

1. Формальный метод

1. Фрагментация по спискам: чёрным, белым и серым. Серые списки — метод временного блокирования сообщений с неизвестными комбинациями почтового адреса и ip-адреса сервера-отправителя. Когда первая попытка заканчивается временным отказом (как правило, программы спамеров повторную посылку письма не осуществляют). Недостатком способа является возможный большой временной интервал между отправлением и получением легального сообщения.

2. Проверка, было ли письмо отправлено с настоящего или ложного (поддельного) почтового сервера из указанного в сообщении домена.

3. «Обратный звонок» (callback) — при получении входящего соединения, сервер-получатель приостанавливает сессию и имитирует рабочую сессию с сервером-отправителем. Если попытка не удалась, приостановленное соединение разрывается без дальнейшей обработки.

4. Фильтрация по формальным признакам письма: адреса отправителя и получателя, размер, наличие и количество вложений, ip-адрес отправителя и т. д.

2. Лингвистические методы — работающие с содержанием письма

1. Распознавание по содержанию письма — проверяется наличие в письме признаков спамерского содержания: определённого набора и распределение по письму специфических словосочетаний.

2. Распознавание по образцам писем (сигнатурный метод фильтрации, включающий в себя графические сигнатуры)

3. Байесовская фильтрация — фильтрация строго по словам. При проверке пришедшего письма, вычисляется вероятность того, что оно спам, на основании обработки текста, включающей в себя вычисления усреднённого «веса» всех слов данного письма. Отнесение письма к спаму или не спаму, производится по тому, превышает ли его вес некоторую планку, заданную пользователем. После принятия решения по письму, в базе данных обновляются «веса» для вошедших в неё слов.

Аутентификация в компьютерных системах

Процессы аутентификации могут быть разделены на следующие категории:

· Но основе знания чего-либо (PIN, пароль)

· На основе обладания чем-либо (смарт-карта, usb-ключ)

· Не основе неотъемлимых характеристик (биометрические характеристики)

Типы аутентификации:

1. Простая аутентификация, использующая пароли

2. Строгая аутентификация на основе использования многофакторных проверок и криптографических методов

3. Биометрическая аутентификация

Основными атаками на протоколы аутентификации являются:

· «Маскарад» - когда пользователь пытается выдать себя за другого пользователя

· Повторная передача — когда перехваченный пароль пересылается от имени другого пользователя

· Принудительная задержка

· И т. д.

Для предотвращения таких атак сипользуются следующие приёмы:

1. Механизмы типа запрос-ответ, метки времени, случайные числа, цифровые подписи и т. д.

2. Привязка результата аутентификации к последующим действиям пользователей в рамках системы.

3. Периодическое выполнение процедур аутентификации в рамках уже установленного сеанса связи.

1. Простая аутентификация

1. Аутентификация на основе многоразовых паролей

2. Аутентификация на основе одноразовых паролей — OTP (one time password) — одноразовые пароли действительны только для одного входа в систему и могут генерироваться с помощью OTP токена. Для этого используется секретный ключ пользователя, размещенный как внутри OTP токена, так и на сервере аутентификации.

2. Строгая аутентификация в её ходе доказывающая сторона доказывает свою подлинность проверяющей стороне, демонстрируя знание некоторого секрета. Бывает:

1. Односторонней

2. Двухсторонней

3. Трёхсторонней

Может проводиться на основе смарт-карт или usb-ключей или криптографией.

Строгая аутентификация может быть реализована на основе двух- и трёхфакторного процесса проверки.

В случае двухфакторной аутентификации, пользователь должен доказать, что он знает пароль или пин-код и имеет определённый персональных идентификатор (смарт-карту или usb-ключ).

Трёхфакторная аутентификация подразумевает, что пользователь предъявляет еще один тип идентификационных данных, например, биометрические данные.

Строгая аутентификация, использующая криптографические протоколы может опираться на симметричное шифрование и асимметричное, а также на хеш-функции. Доказывающая сторона доказывает знание секрета, но сам секрет при этом не раскрывается. Используются одноразовые параметры (случайные числа, метки времени и номера последовательностей), позволяющие избежать повтора пеердачи, обеспечить уникальность, однозначность и временные гарантии передаваемых сообщений.

Биометрическая аутентификация пользователя

В качестве наиболее часто используемых биометрических признаков, используются:

· Отпечатки пальцев

· Рисунок вен

· Геометрия руки

· Радужная оболочка

· Геометрия лица

· Комбинации вышеперечисленного

 

Управление доступом по схеме
однократного входа с
авторизацией Single Sign-On (SSO)

SSO даёт возможность пользователю корпоративной сети при их входе в сеть пройти только одну аутентификацию, предъявив только один раз пароль или иной требуемый аутентификатор и затем, без дополнительной аутентификации, получить доступ ко всем авторизованным сетевым ресурсам, которые нужны для выполнения работы. Активно применяются такие цифровые средства аутентификации как токены, цифровые сертификаты PKI, смарт-карты и биометрические устройства. Примеры: Kerberos, PKI, SSL.

 

Реагирование на инциденты ИБ

Среди задач, стоящих перед любой системой управления ИБ, можно выделить 2 наиболее значимые:

1. Предотвращение инцидентов

2. В случае их наступления, своевременная и корректная ответная реакция

Первая задача в большинстве случаев основывается на закупке разнообразных средств обеспечения ИБ.

Вторая задача находится в зависимости от степени подготовленности компании к подобного рода событиям:

1. Наличие подготовленной группы реагирования на инцидент ИБ с уже заранее распределёнными ролями и обязанностями.

2. Наличие продуманной и взаимосвязанной документации по порядку управления инцидентами ИБ, в частности, осуществлению реагирования и расследования выявленных инцидентов.

3. Наличие заготовленных ресурсов для нужд группы реагирования (средств коммуникации, ..., сейфа)

4. Наличие актуальной базы знаний по произошедшим инцидентам ИБ

5. Высокий уровень осведомлённости пользователей в области ИБ

6. Квалифицированность и слаженность работы группы реагирования

Процесс управления инцидентами ИБ состоит из следующих этапов:

1. Подготовка – предотвращение инцидентов, подготовка группы реагирования, разработка политик и процедур и т.д.

2. Обнаружение – уведомление от системы безопасности, уведомление от пользователей, анализ журналов средств безопасности.

3. Анализ – подтверждение факта наступления инцидента, сбор доступной информации об инциденте, определение пострадавших активов и классификация инцидента по безопасности и приоритетности.

4. Реагирование – остановка инцидента и сбор доказательств, принятие мер по остановке инцидента и сохранение доказательной информации, сбор доказательной информации, взаимодействие с внутренними подразделениями, партнёрами и пострадавшими сторонами, а так же привлечение внешних экспертных организаций.

5. Расследование – расследование обстоятельств инцидентов информационной безопасности, привлечение внешних экспертных организаций и взаимодействие со всеми пострадавшими сторонами, а так же с правоохранительными органами и судебными инстанциями.

6. Восстановление – принятие мер по закрытию уязвимостей, приведших к возникновению инцидента, ликвидация последствий инцидента, восстановление работоспособности затронутых сервисов и систем. Оформление страхового извещения.

7. Анализ эффективности и модернизация – анализ произошедшего инцидента, анализ эффективности и модернизация процесса расследования инцидентов ИБ и сопутствующих документов, частных инструкций. Формирование отчёта о проведении расследования и необходимости модернизации системы защиты для руководства, сбор информации об инциденте, добавление в базу знаний и помещение данных об инциденте на хранение.

Перед эффективной системой управления инцидентами ИБ стоят следующие цели:

1. Обеспечение юридической значимости собираемой доказательной информации по инцидентам ИБ

2. Обеспечение своевременности и корректности действий по реагированию и расследованию инцидентов ИБ

3. Обеспечение возможности выявления обстоятельств и причин возникновения инцидентов ИБ с целью дальнейшей модернизации системы информационной безопасности

4. Обеспечение расследования и правового сопровождения внутренних и внешних инцидентов ИБ

5. Обеспечение возможности преследования злоумышленников и привлечение их к ответственности, предусмотренной законодательством

6. Обеспечение возможности возмещения ущерба от инцидента ИБ в соответствии с законодательством

Система управления инцидентами ИБ в общем случае взаимодействует и интегририруется со следующими системами и процессами:

1. Управление ИБ

2. Управление рисками

3. Обеспечение непрерывности бизнеса

Интеграция выражается в согласованности документации и формализации порядка взаимодействия между процессами (входной, выходной информации и условий перехода).

Процесс управления инцидентами ИБ довольно сложен и объёмен. Требует накопления, обработки и хранения огромного количества информации, а так же выполнения множества параллельных задач, поэтому на рынке представлено множество средств, позволяющих автоматизировать те или иные задачи, например, так называемые SIEM-системы (security information and event management).

Chief Information Officer (CIO) – директор по информцаионным технологиям

Chief Information Security Officer (CISO) – руководитель отдела ИБ, директор по информационной безопасности

Основная задача SIEM-систем не просто собирать события из разных источников, но автоматизировать процесс обнаружения инцидентов с документированием в собственном журнале или внешней системе, а так же своевременно информировать о событии. Перед SIEM-системой ставятся следующие задачи:

1. Консолидация и хранение журналов событий от различных источников – сетевых устройств, приложений, журналов ОС, средств защиты

2. Представление инструментов для анализа событий и разбора инцидентов

3. Корреляция и обработка по правилам произошедших событий

4. Автоматическое оповещение и управление инцидентами

SIEM-системы способны выявлять:

1. Сетевые атаки во внутреннем и внешнем периметрах

2. Вирусные эпидемии или отдельные вирусные заражения, неудалённые вирусы, бэкдоры и трояны

3. Попытки несанкционированного доступа к конфиденциальной информации

4. Ошибки и сбои в работе ИС

5. Уязвимости

6. Ошибки в конфигурации, средствах защиты и информационных системах.

Основные источники SIEM

1. Данные контроля доступа и аутентификации

2. Журналы событий серверов и рабочих станций

3. Сетевое активное оборудование

4. IDS и IPS

5. Антивирусная защита

6. Сканеры уязвимостей

7. Системы для учёта рисков, критичности угрозы и приоретизация инцидентов

8. Прочие системы защиты и контроля политик ИБ:

1. DLP-системы

2. Устройства контроля доступа и т.д.

9. Системы инвентаризации

10. Системы учёта трафика

Наиболее известные SIEM-системы:

- ArcSight ESM

- QRadar SIEM (IBM)

- RSA EnVision

- КОМРАД (ЗАО «НПО «ЭШЕЛОН»»)

 


Поделиться:

Дата добавления: 2015-01-05; просмотров: 204; Мы поможем в написании вашей работы!; Нарушение авторских прав





lektsii.com - Лекции.Ком - 2014-2024 год. (0.006 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав
Главная страница Случайная страница Контакты