Концептуальный подход к построению мобильного места администратора безопасностиКонцептуальный подход к построению мобильного места администратора безопасности
Концептуальный подход к построению мобильного места администратора безопасности
Андрей Фадин В современном мире IT-инфраструктура проникла практически в каждую организацию, и все они сталкиваются с набором как внешних, так и внутренних угроз в области информационной безопасности. В зависимости от размеров этой организации, характера её деятельности и других факторов – в том или ином виде определяются цели и задачи по обеспечению конфиденциальности, целостности и доступности обрабатываемой информации, соответственно, формируется политика информационной безопасности. Но этот документ останется ничего не значащей бумагой, если нет людей, ответственных за контроль её внедрения и обеспечения. Среди них одну из важных ролей занимает администратор информационной безопасности (не путать с администратором системы). 1. Администратор информационной безопасности (защиты). Задачи и направления деятельности. Инструменты системного администратора В соответствии с определением, приведенном в руководящем документе Гостехкомиссии России «Защита от несанкционированного доступа к информации: Термины и определения», администратор защиты – это субъект доступа, ответственный за защиту автоматизированной системы (АС) от несанкционированного доступа (НСД) к информации. Как обеспечить эту защиту? Если речь идёт о технической защите информации, то здесь мы сталкиваемся с целым комплексом различных программных и программно-аппаратных средств защиты информации. Помимо таких широко известных и распространенных средств как межсетевые экраны (МЭ), антивирусы, средства доверенной загрузки и создания доверенной среды, а также системы обнаружения вторжений (СОВ) – однако требуются и средства другого рода, обеспечивающие проверку работы всех вышеперечисленных продуктов. В специальных нормативных документах такие средства трактуются как средства тестирования и контроля эффективности защиты информации или средства анализа защищенности. Иначе говоря, необходимы средства, которые администратор информационной безопасности сможет использовать для тестирования защищенности, как сети, так и отдельных автоматизированных рабочих мест (АРМов). Рассмотрим типовой набор методик, относящихся к анализу защищенности АС. Администратору безопасности необходимо: получать оперативную информацию о составе и структуре сети, открытых сервисах; проводить тестирование на предмет наличия известных уязвимостей (penetration testing); осуществлять контроль стойкости используемых паролей; контролировать целостность критически важной информации; контролировать и при необходимости изучать сетевой трафик между выбранными узлами сети; тестировать систему гарантированной очистки информации; проводить системный аудит ЭВМ из состава АС (аппаратная, программная конфигурация, журнал). 2. Требования к месту администратора информационной безопасности. Перечислим основные требования к среде и месту работы администратора информационной безопасности системы: 1) Защита от НСД к информации, обрабатываемой администратором безопасности на рабочем месте (пароли, ключи, результатов аудита АС и др.) Данное требование может быть обеспеченно доверенной средой, в которой работает администратор и применением одним из двух механизмов к защите данной информации – либо гарантированная очистка данных по завершению работы, либо их шифрование при хранении. 2) Мобильность (переносимость) места администратора безопасности (возможность подключиться к произвольному сегменту сети и выполнить локальную проверку каждого АРМ или перекрестную проверку межсегментного соединения). 3) Полнота инструментария – важно, когда все необходимые для работы средства доступны «из коробки», а операция по их развертыванию (deployment) требует минимум времени и усилий со стороны администратора. 4) Сертификация – для работы в средах, обрабатывающих информацию с ограниченным доступом администратору безопасности необходимо использовать сертифицированные средства защиты и контроля эффективности защиты информации. 3. Пример реализации мобильного места администратора безопасности В настоящее время отсутствует совокупность различных сертифицированных средств мониторинга, инвентаризации, контроля целостности, сканирования уязвимостей, контроля стойкости систем аутентифиакации, обеспечивающая построение мобильного места администратора безопасности, за исключением доверенной загружаемой среды администратора безопасности – «Сканер-ВС» (разработка и изготовление компании ЗАО «НПО «Эшелон»). Комплекс «Сканер-ВС» представляет собой носитель, в зависимости от поставки или загрузочный компакт-диск (LiveCD), или USB-флэш (LiveFlash), который запускает свою собственную среду для работы, операционную систему (производная от Linux), данный подход позволяет нам выполнить первые два требования, поскольку данный носитель может быть установлен фактически в любой x86-совместимый компьютер, не нарушая целостности его программной среды, а вся обрабатываемая администратором информация хранится лишь в оперативной памяти, что гарантирует её очистку по завершению работы (по желанию администратора отчеты и другие данные могут быть сохранены на внешний носитель). Данный продукт выполняет требование №4, поскольку имеет сертификаты соответствия Минобороны России и ФСТЭК России. В соответствии с пунктом 3 рассмотрим функционал «Сканера-ВС», помимо других продуктов в него входит: 1) Сетевой сканер. Средство инвентаризации, контроля состояния и зондирования сети. (обеспечивает различные режимы работы, в т.ч. и скрытные для МЭ, позволяет сохранять и сравнивать «снимки» локальной вычислительной сети (ЛВС) за разные периоды времени). 2) Сканер безопасности, средство поиска уязвимостей в ресурсах сети. Многофункциональное средство выявления используемого ПО на узлах сети, тестирования проникновением и выявления до 17 000 различных уязвимостей). «Сканер-ВС» имеет в своём составе механизмы обновления через сеть Интернет в том числе и базы уязвимостей для сканера безопасности. 3) Аудитор паролей. Средство анализа и перебора локальных и сетевых паролей. Позволяет провести инвентаризацию и перебор пароль для локальных и сетевых записей для операционных систем семейства Windows и Linux (в т.ч. и для защищенных операционных систем, как: МСВС, Linux XP и Astra Linux). Обеспечивает различные виды bruteforce и словарного перебора. 4) Контроль целостности файлов, папок, секторов на диске и др. объектов. Средство позволяет снимать и сверять контрольные суммы, как файлов и папок, так и секторов на диске, используя все популярные алгоритмы хэширования и генерацией соответствующей отчетности. 5) Анализатор трафика, средство перехвата (снифинга) сетевого трафика и контроля передаваемой информации. Средство позволяет перехватывать трафик между произвольными машинами коммутируемой сети (при необходимости используется технология ARP-спуфинга), в результате возможен анализ перехваченного трафика и выделения в нем важной информации (например: пароли для авторизации), возможен перехват и дешифрование трафика с подменой сертификатов. 6) Общесистемный анализатор, средство снятия «снимка» программно-аппаратной конфигурации АРМ и журналов его событий (например, работа с USB). 7) Средство проверки системы гарантированной очистки (позволяет осуществить посекторный поиск остаточной важной информации, не очищенной после сеанса работы ЭВМ, поиск возможен по паттернам из сформированного словаря, с учетом различных кодировок и форматов файлов). Заключение Проведенный анализ показал, что фактически все типовые, повторяющиеся операции и методики анализа защищенности сети могут быть произведены с переносного (фактически, виртуального) места администратора безопасности. Данный подход имеет ряд достоинств как с точки зрения использования ресурсов (не надо производить закупку новых ПК, менять топологию и адресацию сети), так и в плане безопасности (обеспечение защищенной от изменений доверенной среды, быстрый доступ ко всем инструментам, легкость подключения к средствам виртуализации) и др. Изученное сертифицированное решение (средство анализа защищенности «Сканер-ВС») показало полное соответствие данным требованиям. Литература 1.Аттестация без проблем: об использовании сетевых сканеров безопасности при аттестации АС / Марков А.С., Миронов С.В., Цирлов В.Л. // Information Security – 2005 – №3. 2.Виртуальное место администратора безопасности информации в автоматизированных системах / Фадин А.А. и др. // М.: БИТ-2010 – МГТУ им.Н.Э.Баумана, 2010 г. 3.Дорофеев А.В. Тестирование на проникновение: демонстрация одной уязвимости или объективная оценка защищенности?// Защита информации. Инсайд, 2010. – №6 (ноябрь-декабрь). |