Контакты
Подписка
МЕНЮ
Контакты
Подписка

Контроль защищенности

Контроль защищенности

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Контроль защищенности

С.А. ЯСЬКО
к.т.н., начальник отдела ООО "Газинформсервис"

Эволюция защиты

После создания системы защиты информации всегда встает два вопроса:

1.Насколько эффективно работает система защиты информации и какова реальная защищенность АС?

2.Можно ли считать построенную систему защиты комплексной?

Для ответа на первый вопрос служат системы контроля защищенности и средства контроля эффективности защиты информации. До ввода в действие ГОСТ Р 51583-2000 они не рассматривались как обязательные составляющие систем защиты информации. Примечательно, что необходимость их использования обусловлена одной причиной - высокой динамикой развития современных информационных технологий вообще и каждой конкретной АС в частности.

Действительно, постоянно появляются новые решения в области информационных технологий, обнаруживаются новые уязвимости программных и аппаратных платформ, появляются новые вирусы и т.д. В современных АС ежедневно возникают новые задачи, вынуждающие создавать новые программные, аппаратные и интеллектуальные ресурсы, отвечающие требованиям времени.

По данным журнала Cnews, динамика обнаруженных уязвимостей в 1995-2005 гг. имеет вид, представленный на рис. 1.

В такой ситуации невозможно говорить об организации статической системы защиты информации "раз и навсегда". Возможность гибкого реагирования на изменяющуюся среду функционирования реализуется в современных условиях за счет использования систем обнаружения вторжений и сканеров безопасности.

Вообще на основе анализа опыта работы в этой области развитие методов защиты информации можно условно разбить на три этапа.

1этап. Защита "вручную":

  • использование встроенных средств защиты информации ОС, СУБД;
  • устранение уязвимостей путем корректной настройки ПО;
  • ручная установка "заплаток" на используемое ПО.

2этап. Автоматизированное обнаружение уязвимостей:

  • использование внешних средств защиты информации;
  • автоматизированное обнаружение уязвимостей с использованием сканеров различного типа;
  • ручная установка "заплаток" на используемое ПО.

3этап. Динамическая защита:

  • комплекс средств защиты информации;
  • автоматическое обнаружение или прогнозирование уязвимостей;
  • автоматические блокирование атак.

В настоящее время методы защиты информации фактически находятся в самом начале третьего этапа развития, а выявление уязвимостей и оценка рисков проводится с использованием систем анализа защищенности (сканеров безопасности различных типов).

Таким образом, основные задачи, для решения которых используются системы контроля защищенности, - это автоматическое тестирование и диагностика АС в целом и отдельных ее элементов с целью оценки соответствия существующего уровня защищенности АС требованиям политики безопасности.

Одними из основных средств контроля защищенности являются сканеры безопасности и системы обнаружения вторжений.

Сканеры безопасности

Основные задачи, для решения которых используются сканеры безопасности, - это тестирование и диагностика корпоративных информационных систем в целом и отдельных ее элементов с целью выявления уязвимостей и потенциальных угроз безопасности ресурсов, оценивание рисков, выдача рекомендаций по устранению обнаруженных уязвимостей и нейтрализации угроз, представление соответствующих отчетов для специалистов различного уровня.

Для решения этих задач сканеры безопасности осуществляют:

  • контроль состояния защищенности АС;
  • тестирование и диагностику компонентов АС на различных уровнях архитектуры (как правило, это уровни сетевых сервисов, системного ПО, прикладного ПО, СУБД) путем сравнения ее характеристик (настроек) с некоторыми эталонами;
  • представление результатов проверки с рекомендациями по устранению выявленных уязвимостей и нейтрализации имеющихся угроз;
  • формирование отчетов, характеризующих общие уровни защищенности (например, перед тестированием и после устранения выявленных недостатков или отчет по обнаруженным уязвимостям, появившимся с последнего сканирования);
  • регулярное обновление базы признаков уязвимостей (в том числе и в автоматическом режиме).

В качестве одной из наиболее ценных функциональных возможностей сканеров является обнаружение ими установленных на рабочих местах пользователей модемов, которые используются для несанкционированного выхода в сеть Интернет.

Системы обнаружения вторжений

Основные задачи, для решения которых используются системы обнаружения вторжений (СОВ), - это обнаружение атак в реальном масштабе времени, их блокировка, извещение должностных лиц, устранение последствий нанесенного ущерба и принятие мер, исключающих компьютерные инциденты в будущем.

Для решения этих задач современные СОВ осуществляют:

  • обнаружение информационных вторжений и злоупотреблений в сети;
  • реагирование на вторжение (реконфигурация средств защиты, сбор доказательств враждебной деятельности, идентификация нарушителя);
  • предоставление отчетов о результатах работы.

Интегральная эффективность СОВ определяется прежде всего их способностью в реальном масштабе времени обнаруживать и соответствующим образом реагировать на процессы, которые могут нанести существенный ущерб защищаемой корпоративной информационной системе.

В качестве наиболее интересного примера применения СОВ можно привести реализацию с ее помощью технологии "виртуальных заплаток" (оперативное устранение выявленных уязвимостей).

По данным исследования компании Forrester Research (февраль 2006 г.), которая проанализировала средние "дни риска" (время от публичного сообщения об уязвимости - предполагается, что атаки на нее начнутся только после этого, -до выпуска "заплатки" поставщиком ПО, рис. 3), время неизбежного риска до того, как администратор сможет получить "заплатку" и решить проблему, для разных операционных систем составляет от 10 дней до 1-2 месяцев.

По опыту работы среднее время установки "заплатки" составляет от 30 минут до 3 часов на один сервер и 25-30 минут на рабочую станцию. Для большой сети получаются огромные трудозатраты. Но перед тем, как принять решение об установке этой "заплатки", нужно еще провести тестирование на ее совместимость с другим программным обеспечением, чтобы не вызвать остановку всей АС. Таким образом, время между обнаружением уязвимости и реальной установкой "заплатки" может увеличиться еще в несколько раз!

В этом случае и приходит на помощь технология "виртуальных заплаток" (рис. 3). Процесс работы этой технологии выглядит следующим образом.

Эксперты компании-разработчика системы обнаружения вторжений постоянно получают информацию и занимаются поиском новых уязвимостей и атак, а также методов защиты от них. Еще до официального опубликования информации об обнаруженных уязвимостях они готовят специальные модули обновления. Эти обновления распределяются по пользователям систем обнаружения и предотвращения вторжений.

После получения таких обновлений с помощью сканеров безопасности проводится сканирование всех защищаемых ресурсов. В случае обнаружения уязвимости на каком-либо из узлов сети (будь то сервер, рабочая станция или сетевое устройство) выдается управляющее воздействие системам обнаружения и предотвращения атак, установленным на периметре сети или на критичных серверах, блокировать соответствующую сетевую активность. Таким образом предотвращается использование выявленной уязвимости даже в случае отсутствия соответствующей "заплатки". Уже после выпуска производителем требующейся "заплатки" администратор может в спокойной обстановке реализовать процесс ее распространения и установки. Даже если эта "заплатка" оказывается каким-либо образом несовместима с другим используемым программным обеспечением, нарушитель не может воспользоваться уязвимостью, так как СОВ автоматически предотвращает эту атаку и информирует администратора о данном событии.

Таким образом, получен ответ на вопрос, можно ли считать систему защиты комплексной без использования полноценных средств контроля защищенности - он очевиден: нет!

Комментарий эксперта

А.В. Алексеев
начальник управления НИОКР ЗАО "НИЕНШАНЦ"

ТЕМА, поднятая в статье С.А. Ясько, как никогда актуальна. Большое разнообразие имеющихся на рынке СЗИ ставит перед проектировщиками комплексных систем защиты информации (КСЗИ), компаниями-интеграторами и перед самими заказчиками вопрос: какова реальная защищенность разрабатываемых систем? Что такое "хорошо" и что такое "плохо" при обеспечении информационной безопасности автоматизированных систем? Очевидно, что оценка эффективности КСЗИ должна быть многокритериальной, но подтвердить ее расчетными выражениями, к сожалению, далеко не простая задача. И главная причина здесь заключается в участии в процессе информационного противоборства нарушителя-человека, чьи действия не могут быть описаны в рамках теории вероятностей. Именно поэтому система "защиты гибкого реагирования", которую предлагает автор, должна иметь "подсистему контроля защищенности". В сочетании с "подсистемой антивирусного контроля" и подобными они должны образовывать в целом подсистему мониторинга-анализа-контроля (а в перспективе - и прогнозирования) эффективности функционирования КСЗИ.

Статьи про теме