Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Звіт по проекту "Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в аіс нану" Частина Опис процесу діяльності нан україни та технології безпеки Київ-2004 зміст

Звіт по проекту "Розробка та впровадження типових рішень щодо комплексної системи захисту інформації в аіс нану" Частина Опис процесу діяльності нан україни та технології безпеки Київ-2004 зміст




Сторінка14/18
Дата конвертації12.05.2017
Розмір1.43 Mb.
ТипЗвіт
1   ...   10   11   12   13   14   15   16   17   18

4.2 Технологія адаптивного управління інформаційною безпекою


Рішення проблем безпеки корпоративних інформаційних систем вимагає застосування адаптивного механізму, що працює в режимі реального часу і володіє високою чутливістю до змін в інформаційній інфраструктурі.
Інформаці́йна інфраструкту́ра (англ. information infrastructure) - комплекс програмно-технічних засобів, організаційних систем та нормативних баз, який забезпечує організацію взаємодії інформаційних потоків, функціонування та розвиток засобів інформаційної взаємодії та інформаційного простору країни або організації.
Ефективність захисту корпоративної інформаційної системи залежить від прийняття правильних рішень, які підтримують захист, що адаптується до умов мережевого оточення, що змінюються.

Декілька провідних зарубіжних організацій, що займаються мережевою безпекою, розробили підходи, що дозволяють не тільки розпізнавати існуючі уразливості і атаки, але і виявляти старі, що змінилися, або нові уразливості і протиставляти їм відповідні засоби захисту. Компанія ISS (internet Security Systems) уточнила і розвинула ці підходи і створила Модель адаптивного управління безпекою ANS (Adaptive Network Security). Цією компанією розроблене сімейство засобів SAFEsuite, яке є першим і поки єдиним комплексом систем, що включає всі компоненти моделі адаптивного управління безпекою мережі.


4.2.1 Концепція адаптивного управління безпекою мережі


Для компанії будь-якого профілю (фінансової, страхової, торгової і т.п.) існує своя типова корпоративна інформаційна система, що складається з компонентів, що вирішують свої специфічні задачі. У загальному випадку архітектура КІС включає чотири рівні:

  • Рівень прикладного програмного забезпечення, що відповідає за взаємодію з користувачем. Прикладами елементів ІС, що працюють на цьому рівні, служать текстовий редактор WinWord, редактор електронних таблиць Excel, поштова програма Outlook, системи MS Query і т.д.
    Поштовий клієнт, клієнт електронної пошти, емейл-клієнт - комп'ютерна програма, яка встановлюється на комп'ютері користувача і призначена для одержання, написання, відправлення та зберігання повідомлень електронної пошти одного або декількох користувачів (у випадку, наприклад, кількох облікових записів на одному комп'ютері) або декількох облікових записів одного користувача.
    Текстовий редактор - комп'ютерна програма-застосунок, призначена для створення й зміни текстових файлів (вставки, видалення та копіювання тексту, заміни змісту, сортування рядків), а також їх перегляду на моніторі, виводу на друк, пошуку фрагментів тексту тощо.
    Табличний процесор (англ. electronic spreadsheet - електронний аркуш або електронна таблиця) - це інтерактивний, комп'ютерний застосунок для налагодження, аналізу та збереження даних у табличному форматі.


  • Рівень системи управління базами даних, що відповідає за зберігання і обробку даних інформаційної системи. Серед елементів ІС, що працюють на цьому рівні, можна назвати СУБД Oracle, MS SQL Server, Sybase і навіть MS Access.

  • Рівень операційної системи, що відповідає за обслуговування СУБД і прикладного програмного забезпечення. Прикладами елементів ІС, що працюють на цьому рівні, є ОС MS Windows NT, Sun Solaris, Novell NetWare.
    NetWare - це мережева операційна система та набір мережевих протоколів, що використовуються у цій системі для взаємодії з комп'ютерами-клієнтами, підключенними до мережі. Операційна система NetWare створена компанією Novell.


  • Рівень мережі, що відповідає за взаємодію вузлів інформаційної системи. У числі елементів ІС, що працюють на цьому рівні, можна назвати стеки протоколів TCP/IP, IPS/SPX і SMB/NetBIOS.

Ще кілька років тому можна було надійно забезпечити безпеку інформаційних систем, використовуючи такі традиційні засоби захисту, як ідентифікація і автентифікація, розмежування доступу, шифрування і т.п. Проте з появою і розвитком відкритих комп'ютерних мереж ситуація різко змінилася. Кількість уразливостей мережевих операційних систем і прикладних програм, а також число можливих атак на КІС постійно росте. Атакою на корпоративну інформаційну систему вважається будь-яка дія, виконувана порушником для реалізації загрози шляхом використовування уразливостей КІС. Під уразливістю корпоративної інформаційної системи розуміється будь-яка характеристика або елемент КІС, використовування яких порушником може привести до реалізації загрози.

Уразливі практично всі компоненти корпоративної інформаційної системи. По-перше, це мережеві протоколи (TCP/IP, IPX/SPX, NetBIOS/SMВ) і пристрої (маршрутизатори, комутатори), утворюючі мережу. По-друге, операційні системи (Windows NT, UNIX, NetWare). По-третє, бази даних і додатки (SAP, поштові і Web-сервери і т.д.).

Зловмисник має в своєму розпорядженні широкий спектр можливостей порушення безпеки КІС. Ці можливості можуть бути реалізовані на всіх чотирьох перерахованих вище рівнях КІС. Наприклад, для отримання несанкціонованого доступу до фінансової інформації в СУБД MS SQL Server хакер може реалізувати одну з наступних задач:

Перехопити дані, що передаються по мережі (рівень мережі).

Прочитати файли бази даних, звертаючись безпосередньо до файлової системи (рівень ОС).

Фа́йлова систе́ма - спосіб організації даних, який використовується операційною системою для збереження інформації у вигляді файлів на носіях інформації. Також цим поняттям позначають сукупність файлів та директорій, які розміщуються на логічному або фізичному пристрої.

Прочитати потрібні дані засобами самої СУБД (рівень СУБД).

Прочитати записи БД за допомогою SQL-запитів через програму MS Query яка дозволяє діставати доступ до записів СУБД (рівень прикладного ПО).

При побудові більшості традиційних комп'ютерних засобів захисту використовувалися класичні моделі розмежування доступу, розроблені ще в 70-80-го роки. Недостатня ефективність таких традиційних механізмів захисту, як розмежування доступу, автентифікація, фільтрація і інші, обумовлена тим, що при їх створенні не враховані багато аспектів, пов'язаних з сучасними атаками.

Розглянемо етапи здійснення атаки на КІС (рис. 12).

Рисунок 12. Етапи виконання атаки
Перший, підготовчий етап полягає в пошуку зловмисником передумов для здійснення тієї або іншої атаки. На даному етапі порушник шукає уразливості в системі. Використовування цих уразливостей здійснюється на другому, основному етапі реалізації атаки. На третій, завершальній стадії зловмисник завершує атаку і прагне приховати сліди вторгнення. У принципі перший і третій етапи самі по собі можуть бути атаками. Наприклад, пошук хакером уразливостей за допомогою сканерів безпеки сам по собі вважається атакою.

Слід зазначити, що існуючі механізми захисту, реалізовані в МЕ, серверах автентифікації, системах розмежування доступу, працюють тільки па етапі реалізації атаки. По суті, ці механізми захищають від атак, які знаходяться вже в процесі здійснення. Ефективнішим було б попередження атак, запобігання самим передумовам реалізації вторгнення. Комплексна система забезпечення інформаційної безпеки повинна афективно працювати на всіх трьох етапах здійснення атаки.

В більшості випадків для вирішення виникаючих проблем із захистом в організаціях використовуються часткові підходи. Звичайно вони обумовлені, перш за все, поточним рівнем доступних ресурсів. До того ж адміністратори безпеки схильні реагувати тільки на ті ризики безпеки, які їм зрозумілі. Фактично таких ризиків може бути істотно більше. Тільки строгий поточний контроль захищеності КІС і комплексний підхід, що забезпечує єдину ПБ, дозволяють істотно знизити ризики безпеки.

Адаптивний підхід до безпеки дозволяє контролювати, знаходити ризики безпеки і реагувати на них в режимі реального часу, використовуючи правильно спроектовані і добре керовані процеси і засоби.

Адаптивна безпека мережі складається з трьох основних елементів:


  • технології аналізу захищеності (security assessment);
    Безпе́ка мере́жі (Network security) - заходи, які захищають інформаційну мережу від несанкціонованого доступу, випадкового або навмисного втручання в роботу мережі або спроб руйнування її компонентів.


  • технології виявлення атак (Intrusion detection);

  • технології управління ризиками (risk management).

Оцінка ризику полягає у виявленні і ранжируванні уразливостей (за ступенем серйозності потенційних дій та збитку ), підсистем мережі (за ступенем критичності), загроз (виходячи з вірогідності їх реалізації) і т.д. Оскільки конфігурація мережі постійно змінюється, то і процес оцінки ризику повинен проводитися постійно. З оцінки ризиків повинна починатися побудова системи захисту корпоративної інформаційної системи.

Аналіз захищеності – це пошук вразливих місць в мережі. Мережа складається із з'єднань, вузлів, хостів, робочих станцій, додатків і баз даних. Всі вони потребують як оцінки ефективності їх захисту, так і в пошуку невідомих уразливостей в них. Технології аналізу захищеності досліджують мережу і шукають «слабкі» місця в ній, узагальнюють ці відомості і друкують по них звіт. Якщо система, що реалізовує дану технологію, містить і адаптивний компонент, то усунення знайденої уразливості здійснюватиметься не уручну, а автоматично.

Технологія аналізу захищеності – дійовий метод, що дозволяє реалізувати політику мережевої безпеки перш, ніж здійсниться спроба її порушення зовні або зсередини організації.

Перерахуємо деякі проблеми, що ідентифікуються технологією аналізу захищеності:


  • “люки” в системах (backdoor) і програми типу “троянський кінь”;

  • слабкі паролі;

  • сприйнятливість до проникнення з незахищених систем і атак типу «відмова в обслуговуванні»;

  • відсутність необхідних оновлень (patch, hotfix) операційних систем;

  • неправильна настройка міжмережевих екранів, Web-серверів і баз даних і багато інших.

Виявлення атак є процесом оцінки підозрілих дій, які відбуваються в корпоративній мережі. Виявлення атак реалізується за допомогою аналізу або журналів реєстрації операційної системи і додатку або мережевого трафіку у реальному часі, Компоненти виявлення атак, розміщені на вузлах або сегментах мережі, оцінюють різні дії, у тому числі і використовуючі відомі уразливості (рис. 13).

Адаптивний компонент моделі ANS відповідає за модифікацію процесу аналізу захищеності, надаючи йому саму останню інформацію про нові уразливості. Також він модифікує компонент виявлення атак, доповнюючи його останньою інформацією про атаки. Як приклад адаптивного компоненту можна вказати механізм оновлення баз даних антивірусних програм для виявлення нових вірусів. Управляючий компонент повинен бути здібний до генерації звітів і аналізу тенденцій, пов'язаних з формуванням системи захисту організації.


Рисунок 13. Взаємодія систем аналізу захищеності і виявлення атак
У звіті Yankee Group вказане, що адаптація даних може полягати в різних формах реагування, а саме:

  • відправлення повідомлень системам мережевого управління по протоколу SNMP, по електронній пошті або на пейджер адміністратору;

  • автоматичне завершення сесії з атакуючим вузлом або користувачем, реконфігурація МЕ або інших мережевих пристроїв (наприклад, маршрутизаторів);

  • вироблення рекомендацій адміністратору, що дозволяють своєчасно усунути знайдені уразливості в мережах, додатках або інших компонентах інформаційної системи організації.

Використовування моделі адаптивної безпеки мережі дозволяє контролювати практично всі загрози і своєчасно реагувати на них високоефективним способом, що забезпечує не тільки усунення уразливостей, які можуть привести до реалізації загрози, але і виявлення умов, що приводять до появи уразливостей. Модель адаптивної безпеки мережі дозволяє також зменшити зловживання в мережі, підвищити обізнаність користувачів, адміністраторів і керівництво компанії про події безпеки в мережі.

Слід зазначити, що дана модель не відкидає вже використовувані механізми захисту (розмежування доступу, автентифікацію і т.д.). Вона розширює їх функціональність за рахунок нових технологій.

Техноло́гія (від грец. τεχνολογια, що походить від грец. τεχνολογος; грец. τεχνη - майстерність, техніка; грец. λογος - (тут) передавати) - наука («корпус знань») про способи (набір і послідовність операцій, їх режими) забезпечення потреб людства за допомогою (шляхом застосування) технічних засобів (знарядь праці).
Для того, щоб привести свою систему забезпечення інформаційної безпеки у відповідність сучасним вимогам, організаціям необхідно доповнити наявні рішення трьома новими компонентами, що відповідають за аналіз захищеності, виявлення атак і управління ризиками.


1   ...   10   11   12   13   14   15   16   17   18



  • 4.2.1 Концепція адаптивного управління безпекою мережі