Artículos

Enfoque conceptual para crear un puesto de administrador de seguridad móvil.

Enfoque conceptual para crear un puesto de administrador de seguridad móvil.

Enfoque conceptual para crear un lugar de administrador de seguridad móvil

Enfoque conceptual para crear un lugar móvil para un administrador de seguridad Enfoque conceptual para crear un lugar móvil para un administrador de seguridad

Andrey Fadin

En el mundo moderno, la infraestructura de TI ha penetrado en casi todas las organizaciones y todas ellas enfrentan una serie de amenazas tanto externas como internas en el campo de la seguridad de la información. Dependiendo del tamaño de esta organización, la naturaleza de sus actividades y otros factores, metas y objetivos para garantizar la confidencialidad, integridad y disponibilidad de la información procesada se determinan de una forma u otra, y en consecuencia se forma una política de seguridad de la información.

Pero este documento seguirá siendo un papel sin sentido si no hay personas responsables de monitorear su implementación y provisión. Entre ellos, uno de los roles importantes lo ocupa el administrador de seguridad de la información (no confundir con el administrador del sistema).

1. Administrador de seguridad (protección) de la información. Objetivos y áreas de actividad. Herramientas del administrador del sistema

De acuerdo con la definición dada en el documento de orientación de la Comisión Técnica Estatal de Rusia «Protección contra el acceso no autorizado a la información: términos y definiciones», un administrador de seguridad es un sujeto de acceso responsable de proteger un sistema automatizado (AS) del acceso no autorizado ( UNA) a la información.

¿Cómo brindar esta protección? Si hablamos de protección de información técnica, aquí nos enfrentamos a todo un complejo de diversas herramientas de protección de información de software y hardware-software.

Además de herramientas tan conocidas y extendidas como firewalls (FW), antivirus, arranque confiable y herramientas de creación de entornos confiables, así como sistemas de detección de intrusos (IDS), existen otros tipos de herramientas. También es necesario garantizar la verificación del funcionamiento de todos los productos anteriores. En documentos reglamentarios especiales, dichas herramientas se interpretan como herramientas para probar y monitorear la efectividad de la seguridad de la información o las herramientas de análisis de seguridad.

En otras palabras, necesitamos herramientas que un administrador de seguridad de la información pueda utilizar para probar la seguridad tanto de la red como de las estaciones de trabajo automatizadas (AWS) individuales.

Consideremos un conjunto típico de técnicas relacionadas con el análisis de la seguridad de AS. El administrador de seguridad necesita:

recibir información operativa sobre la composición y estructura de la red, servicios abiertos;
realizar pruebas de vulnerabilidades conocidas (pruebas de penetración);
supervisar la seguridad de las contraseñas utilizadas;
monitorear la integridad de la información crítica;
monitorear y, si es necesario, estudiar el tráfico de red entre nodos de red seleccionados;
probar un sistema de limpieza de información garantizada;
realizar una auditoría del sistema de los ordenadores incluidos en el AS (hardware, configuración de software, log).

2. Requisitos para el cargo de administrador de seguridad de la información.

Enumeramos los requisitos básicos para el entorno y lugar de trabajo del administrador de seguridad de la información del sistema:

1) Protección contra el acceso no autorizado a la información procesada por el administrador de seguridad en el lugar de trabajo (contraseñas, claves, AS resultados de auditoría, etc.)

Este requisito puede garantizarse mediante un entorno confiable en el que trabaje el administrador y mediante el uso de uno de dos mecanismos para proteger esta información: limpieza garantizada de datos al finalizar el trabajo o cifrado. durante el almacenamiento.

2) Movilidad (portabilidad) del lugar del administrador de seguridad (la capacidad de conectarse a un segmento de red arbitrario y realizar una verificación local de cada estación de trabajo o una verificación cruzada de una conexión entre segmentos).

3) Integridad de las herramientas: es importante cuando todas las herramientas necesarias para el trabajo están disponibles «listas para usar» y la operación de implementación requiere un mínimo de tiempo y esfuerzo por parte del personal. el administrador.

4) Certificación: para trabajar en entornos que procesan información con acceso limitado, el administrador de seguridad debe utilizar medios de protección certificados y monitorear la efectividad de la protección de la información.

3. Ejemplo de implementación de un lugar de administrador de seguridad móvil

Actualmente, no existe un conjunto de diversas herramientas certificadas para monitoreo, inventario, control de integridad, escaneo de vulnerabilidades y monitoreo de la solidez de los sistemas de autenticación que garanticen la construcción de un lugar de administrador de seguridad móvil, con la excepción del entorno descargable confiable para el administrador de seguridad — “Scanner-VS” (desarrollado y fabricado por JSC » NPO «Eshelon»).

El complejo Scanner-VS es un medio, dependiendo de la entrega, ya sea un CD de arranque (LiveCD) o una unidad flash USB (LiveFlash), que lanza su propio entorno operativo, un sistema operativo (derivado de Linux), este enfoque nos permite Es necesario cumplir los dos primeros requisitos, ya que este medio se puede instalar en prácticamente cualquier computadora compatible con x86 sin violar la integridad de su entorno de software, y toda la información procesada por el administrador se almacena solo en la RAM, lo que garantiza que se borrará. al finalizar el trabajo (a solicitud del administrador, los informes y otros datos se pueden guardar en un almacenamiento externo).

Este producto cumple con el requisito nº4, ya que cuenta con certificados de conformidad del Ministerio de Defensa Ruso y FSTEC de Rusia.

De acuerdo con el punto 3, veamos la funcionalidad de Scanner-VS, además de otros productos, incluye:

1) Escáner de red;

Herramienta de inventario, monitoreo de salud y sondeo de red. (proporciona varios modos de funcionamiento, incluidos aquellos que son encubiertos para mí, le permite guardar y comparar «instantáneas» de una red informática local (LAN) durante diferentes períodos de tiempo).

2) Escáner de seguridad, una herramienta para buscar vulnerabilidades en los recursos de la red.

Una herramienta multifuncional para identificar el software utilizado en los nodos de la red, realizar pruebas de penetración e identificar hasta 17.000 vulnerabilidades diferentes).

Scanner-VS incluye mecanismos de actualización a través de Internet, incluidas bases de datos de vulnerabilidades para el escáner de seguridad.

3) Auditor de contraseñas.

Una herramienta para analizar y forzar contraseñas locales y de red.

Le permite inventariar y buscar contraseñas para registros locales y de red para sistemas operativos de la familia Windows y Linux (incluidos sistemas operativos protegidos como MSWS, Linux XP y Astra Linux).

Proporciona varios tipos de fuerza bruta y fuerza bruta de diccionario.

4) Monitorear la integridad de archivos, carpetas, sectores en el disco y otros objetos.

La herramienta le permite eliminar y verificar sumas de verificación de archivos y carpetas, así como de sectores en el disco, utilizando todos los algoritmos de hash populares y generando informes adecuados.

5) Analizador de tráfico, una herramienta para interceptar (sniffing) el tráfico de red y monitorear la información transmitida.

La herramienta le permite interceptar el tráfico entre máquinas arbitrarias en una red conmutada (si es necesario, se utiliza tecnología de suplantación de identidad ARP), como resultado, es posible analizar el tráfico interceptado y resaltar información importante en él (por ejemplo: contraseñas para autorización). , es posible interceptar y descifrar el tráfico con la sustitución de certificados.

6) Analizador de todo el sistema, un medio para tomar una “instantánea” de la configuración de software y hardware de la estación de trabajo y sus registros de eventos (por ejemplo, trabajar con USB).

7) Una herramienta para verificar el sistema de limpieza garantizado (le permite realizar una búsqueda sector por sector de información importante residual que no se ha limpiado después de una sesión de computadora; la búsqueda es posible utilizando patrones del diccionario generado, teniendo en cuenta cuenta varias codificaciones y formatos de archivo).

Conclusión

El análisis mostró que prácticamente todas las operaciones y métodos típicos y repetitivos para analizar la seguridad de la red se pueden realizar desde un lugar de administrador de seguridad portátil (de hecho, virtual).

Este enfoque tiene una serie de ventajas tanto en términos de uso de recursos (no es necesario comprar nuevas PC, cambiar la topología y el direccionamiento de la red) como en términos de seguridad (proporciona un entorno confiable protegido contra cambios, acceso rápido a todas las herramientas, facilidad de conexión a herramientas de virtualización), etc.

La solución certificada estudiada (herramienta de análisis de seguridad “Scanner-VS”) demostró el pleno cumplimiento de estos requisitos.

Literatura

1. Certificación sin problemas: sobre el uso de escáneres de seguridad de red durante la certificación de AS/Markov A.S., Mironov S.V., Tsirlov V.L. //Seguridad de la Información – 2005 – No. 3.

2.Lugar virtual del administrador de seguridad de la información en sistemas automatizados/Fadin A.A. y otros //M.: BIT-2010 — MSTU que lleva el nombre de N.E. Bauman, 2010

3. Pruebas de penetración: ¿demostración de una vulnerabilidad o evaluación objetiva de la seguridad? //Protección de la información. Interior, 2010. – N° 6 (noviembre-diciembre).

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять