Концепция адаптивного управления безопасностью сети

Глава 16

Технология адаптивного управления

Информационной безопасностью

Решение проблем безопасности корпоративных информационных систем требу­ет применения адаптивного механизма, работающего в режиме реального време­ни и обладающего высокой чувствительностью к изменениям в информационной инфраструктуре. Эффективность защиты корпоративной информационной сис­темы зависит от принятия правильных решений, которые поддерживают защиту, адаптируемую к изменяющимся условиям сетевого окружения.

Несколько ведущих зарубежных организаций, занимающихся сетевой безопас­ностью, разработали подходы, позволяющие не только распознавать существующие уязвимости и атаки, но и выявлять изменившиеся старые или появившиеся новые уязвимости и противопоставлять им соответствующие средства защиты. Компания ISS (Internet Security Systems) уточнила и развила эти подходы и создала Модель адаптивного управления безопасностью ANS (Adaptive Network Security). Этой ком­панией разработано семейство средств SAFEsuite, которое является первым и пока единственным комплексом систем, включающим в себя все компоненты модели адаптивного управления безопасностью сети.

Эти подходы развиваются и некоторыми другими компаниями, известными на рынке средств информационной безопасности. В России работами по адаптивно­му управлению безопасностью занимается НИП «Информзащита» (http :// www . infosec . ru). При написании данной главы использованы материалы публикаций по адаптивному управлению безопасностью ведущего сотрудника НИП «Информза­щита» А. В. Лукацкого, а также технические описания средств адаптивного управ­ления безопасностью семейства SAFEsuite компании ISS и средств обеспечения безопасности компании Cisco.

Концепция адаптивного управления безопасностью сети

Для компании любого профиля (финансовой, страховой, торговой и т.п.) существует своя типовая корпоративная информационная система, состоящая из компонентов, решающих свои специфичные задачи. В общем случае архитектура КИС включа­ет в себя четыре уровня [58, 59]:

1. Уровень прикладного программного обеспечения, отвечающий за взаимо­действие с пользователем. Примерами элементов ИС, работающих на этом уровне, служат текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, системы MS Query и т.д.
2. Уровень системы управления базами данных (СУБД), отвечающий за хра­нение и обработку данных информационной системы. Среди элементов ИС, работающих на этом уровне, можно назвать СУБД Oracle, MS SQL Server, Sybase и даже MS Access.
3. Уровень операционной системы, отвечающий за обслуживание СУБД и при­кладного программного обеспечения. Примерами элементов ИС, работающих на этом уровне, являются ОС MS Windows NT, Sun Solaris, Novell NetWare.
4. Уровень сети, отвечающий за взаимодействие узлов информационной сис­темы. В числе элементов ИС, работающих на этом уровне, можно назвать стеки протоколов TCP/IP, IPS/SPX и SMB/NetBIOS.

Еше несколько лет назад можно было надежно обеспечить безопасность инфор­мационных систем, используя такие традиционные средства защиты, как иденти­фикация и аутентификация, разграничение доступа, шифрование и т.п. Однако с появлением и развитием открытых компьютерных сетей ситуация резко изме­нилась. Количество уязвимостей сетевых операционных систем и прикладных про­грамм, а также число возможных атак на КИС постоянно растет. Атакой на кор­поративную информационную систему считается любое действие, выполняемое нарушителем для реализации угрозы путем использования уязвимостей КИС. Под уязвимостью корпоративной информационной системы понимается любая характеристика или элемент КИС, использование которых нарушителем может привести к реализации угрозы.

Уязвимы практически все компоненты корпоративной информационной системы. Во-первых, это сетевые протоколы (TCP/IP, IPX/SPX, NetBIOS/SMB) и устрой­ства (маршрутизаторы, коммутаторы), образующие сеть. Во-вторых, операционные системы (Windows NT, UNIX, NetWare). В-третьих, базы данных (Oracle, Sybase, MS SQL Server) и приложения (SAP, почтовые и Web-серверы и т.д.) [59, 61].

Злоумышленник располагает широким спектром возможностей нарушения бе­зопасности КИС. Эти возможности могут быть реализованы на всех четырех пере­численных выше уровнях КИС. Например, для получения несанкционированного доступа к финансовой информации в СУБД MS SQL Server хакер может реализо­вать одну из следующих задач:

1. Перехватить передаваемые по сети данные (уровень сети).
2. Прочитать файлы базы данных, обращаясь непосредственно к файловой системе (уровень ОС).
3. Прочитать нужные данные средствами самой СУБД (уровень СУБД).
4. Прочитать записи БД при помощи SQL-запросов через программу MS Query, которая позволяет получать доступ к записям СУБД (уровень прикладного ПО).

При построении большинства традиционных компьютерных средств защиты использовались классические модели разграничения доступа, разработанные еще в 70-80-е годы. Недостаточная эффективность таких традиционных механизмов защиты, как разграничение доступа, аутентификация, фильтрация и другие, обу­словлена тем, что при их создании не учтены многие аспекты, связанные с совре­менными атаками.

Рассмотрим этапы осуществления атаки на КИС (рис. 16.1) [58, 59].

Первый, подготовительный этап заключается в поиске злоумышленником пред­посылок для осуществления той или иной атаки. На данном этапе нарушитель ищет уязвимости в системе. Использование этих уязвимостей осуществляется на втором, основном этапе - реализации атаки. На третьей, заключительной стадии злоумыш­ленник завершает атаку и старается скрыть следы вторжения. В принципе первый и третий этапы сами по себе могут являться атаками. Например, поиск хакером уязвимостей при помощи сканеров безопасности сам по себе считается атакой.

Следует отметить, что существующие механизмы защиты, реализованные в меж­сетевых экранах, серверах аутентификации, системах разграничения доступа, рабо­тают только на этапе реализации атаки. По сути, эти механизмы защищают от атак, которые находятся уже в процессе осуществления. Более эффективным было бы упреждение атак, то есть предотвращение самих предпосылок реализации вторже­ния. Комплексная система обеспечения информационной безопасности должна эффективно работать на всех трех этапах осуществления атаки.

К сожалению, в организациях часто не учитывается тот факт, что администра­торы и пользователи регулярно изменяют конфигурацию информационной сис­темы. В результате подобных изменений могут появляться новые уязвимости, свя­занные с операционными системами и приложениями. Кроме того, очень быстро изменяются информационные и сетевые технологии, регулярно появляется новое программное обеспечение. Непрерывное развитие сетевых технологий при отсут­ствии постоянно проводимого анализа их безопасности и нехватке ресурсов для обеспечения защиты приводит к тому, что с течением времени защищенность кор­поративной информационной системы падает, так как появляются новые неучтен­ные угрозы и уязвимости системы.

В большинстве случаев для решения возникающих проблем с защитой в органи­зациях используются частичные подходы. Обычно они обусловлены, прежде всего, текущим уровнем доступных ресурсов. К тому же администраторы безопасности склонны реагировать только на те риски безопасности, которые им понятны. Фак­тически таких рисков может быть существенно больше. Только строгий текущий контроль защищенности КИС и комплексный подход, обеспечивающий единую политику безопасности, позволяют существенно снизить риски безопасности.

Адаптивный подход к безопасности позволяет контролировать, обнаруживать риски безопасности и реагировать на них в режиме реального времени, используя правильно спроектированные и хорошо управляемые процессы и средства.

Адаптивная безопасность сети состоит из трех основных элементов [62]:

• технологии анализа защищенности (security assessment);
• технологии обнаружения атак (intrusion detection);
• технологии управления рисками (risk management).

Оценка риска состоит в выявлении и ранжировании уязвимостей (по степени серьезности ущерба потенциальных воздействий), подсистем сети (по степени критичности), угроз (исходя из вероятности их реализации) и т.д. Поскольку кон­фигурация сети постоянно изменяется, то и процесс оценки риска должен прово­диться постоянно. С оценки рисков должно начинаться построение системы за­щиты корпоративной информационной системы.

Анализ защищенности - это поиск уязвимых мест в сети. Сеть состоит из соеди­нений, узлов, хостов, рабочих станций, приложений и баз данных. Все они нужда­ются как в оценке эффективности их защиты, так и в поиске неизвестных уязви­мостей в них. Технологии анализа защищенности исследуют сеть и ищут «слабые» места в ней, обобщают эти сведения и печатают по ним отчет. Если система, реа­лизующая данную технологию, содержит и адаптивный компонент, то устранение найденной уязвимости будет осуществляться не вручную, а автоматически.

Технология анализа защищенности — действенный метод, позволяющий реали­зовать политику сетевой безопасности прежде, чем осуществится попытка ее на­рушения снаружи или изнутри организации.

Перечислим некоторые проблемы, идентифицируемые технологией анализа за­щищенности:

• «люки» в системах (backdoor) и программы типа «троянский конь»;
• слабые пароли;
• восприимчивость к проникновению из незащищенных систем и атакам типа «отказ в обслуживании»;
• отсутствие необходимых обновлений (patch, hotfix) операционных систем;
• неправильная настройка межсетевых экранов, Web-серверов и баз данных и многие другие.

Обнаружение атак представляет собой процесс оценки подозрительных дей­ствий, которые происходят в корпоративной сети. Обнаружение атак реализует­ся посредством анализа или журналов регистрации операционной системы и при­ложения или сетевого графика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в том числе и использующие известные уязвимости (рис. 16.2).

Адаптивный компонент модели ANS отвечает за модификацию процесса ана­лиза защищенности, предоставляя ему самую последнюю информацию о новых уязвимостях. Также он модифицирует компонент обнаружения атак, дополняя его последней информацией об атаках. В качестве примера адаптивного компонента можно указать механизм обновления баз данных антивирусных программ для об­наружения новых вирусов. Управляющий компонент должен быть способен к ге­нерации отчетов и анализу тенденций, связанных с формированием системы за­щиты организации.

В отчете Yankee Group указано, что адаптация данных может заключаться в раз­личных формах реагирования, а именно:

• отправление уведомлений системам сетевого управления по протоколу SNMP, по электронной почте или на пейджер администратору;
• автоматическое завершение сессии с атакующим узлом или пользователем, реконфигурация межсетевых экранов или иных сетевых устройств (напри­мер, маршрутизаторов);
• выработка рекомендаций администратору, позволяющих своевременно устранить обнаруженные уязвимости в сетях, приложениях или иных компонен­тах информационной системы организации [62].

Использование модели адаптивной безопасности сети (рис. 16.3) позволяет контролировать практически все угрозы и своевременно реагировать на них вы­сокоэффективным способом, обеспечивающим не только устранение уязвимостей, которые могут привести к реализации угрозы, но и выявление условий, приводя­щих к появлению уязвимостей. Модель адаптивной безопасности сети позволя­ет также уменьшить злоупотребления в сети, повысить осведомленность поль­зователей, администраторов и руководства компании о событиях безопасности в сети.

Следует отметить, что данная модель не отбрасывает уже используемые меха­низмы защиты (разграничение доступа, аутентификацию и т.д.). Она расширяет их функциональность за счет новых технологий. Для того чтобы привести свою систему обеспечения информационной безопасности в соответствие современным Требованиям, организациям необходимо дополнить имеющиеся решения тремя новыми компонентами, отвечающими за анализ защищенности, обнаружение атак и управление рисками.