Концепция адаптивного управления безопасностью сети
Глава 16 Технология адаптивного управления Информационной безопасностью
Решение проблем безопасности корпоративных информационных систем требует применения адаптивного механизма, работающего в режиме реального времени и обладающего высокой чувствительностью к изменениям в информационной инфраструктуре. Эффективность защиты корпоративной информационной системы зависит от принятия правильных решений, которые поддерживают защиту, адаптируемую к изменяющимся условиям сетевого окружения. Несколько ведущих зарубежных организаций, занимающихся сетевой безопасностью, разработали подходы, позволяющие не только распознавать существующие уязвимости и атаки, но и выявлять изменившиеся старые или появившиеся новые уязвимости и противопоставлять им соответствующие средства защиты. Компания ISS (Internet Security Systems) уточнила и развила эти подходы и создала Модель адаптивного управления безопасностью ANS (Adaptive Network Security). Этой компанией разработано семейство средств SAFEsuite, которое является первым и пока единственным комплексом систем, включающим в себя все компоненты модели адаптивного управления безопасностью сети. Эти подходы развиваются и некоторыми другими компаниями, известными на рынке средств информационной безопасности. В России работами по адаптивному управлению безопасностью занимается НИП «Информзащита» (http :// www . infosec . ru). При написании данной главы использованы материалы публикаций по адаптивному управлению безопасностью ведущего сотрудника НИП «Информзащита» А. В. Лукацкого, а также технические описания средств адаптивного управления безопасностью семейства SAFEsuite компании ISS и средств обеспечения безопасности компании Cisco. Концепция адаптивного управления безопасностью сети Для компании любого профиля (финансовой, страховой, торговой и т.п.) существует своя типовая корпоративная информационная система, состоящая из компонентов, решающих свои специфичные задачи. В общем случае архитектура КИС включает в себя четыре уровня [58, 59]:
Еше несколько лет назад можно было надежно обеспечить безопасность информационных систем, используя такие традиционные средства защиты, как идентификация и аутентификация, разграничение доступа, шифрование и т.п. Однако с появлением и развитием открытых компьютерных сетей ситуация резко изменилась. Количество уязвимостей сетевых операционных систем и прикладных программ, а также число возможных атак на КИС постоянно растет. Атакой на корпоративную информационную систему считается любое действие, выполняемое нарушителем для реализации угрозы путем использования уязвимостей КИС. Под уязвимостью корпоративной информационной системы понимается любая характеристика или элемент КИС, использование которых нарушителем может привести к реализации угрозы. Уязвимы практически все компоненты корпоративной информационной системы. Во-первых, это сетевые протоколы (TCP/IP, IPX/SPX, NetBIOS/SMB) и устройства (маршрутизаторы, коммутаторы), образующие сеть. Во-вторых, операционные системы (Windows NT, UNIX, NetWare). В-третьих, базы данных (Oracle, Sybase, MS SQL Server) и приложения (SAP, почтовые и Web-серверы и т.д.) [59, 61]. Злоумышленник располагает широким спектром возможностей нарушения безопасности КИС. Эти возможности могут быть реализованы на всех четырех перечисленных выше уровнях КИС. Например, для получения несанкционированного доступа к финансовой информации в СУБД MS SQL Server хакер может реализовать одну из следующих задач:
При построении большинства традиционных компьютерных средств защиты использовались классические модели разграничения доступа, разработанные еще в 70-80-е годы. Недостаточная эффективность таких традиционных механизмов защиты, как разграничение доступа, аутентификация, фильтрация и другие, обусловлена тем, что при их создании не учтены многие аспекты, связанные с современными атаками. Рассмотрим этапы осуществления атаки на КИС (рис. 16.1) [58, 59].
Первый, подготовительный этап заключается в поиске злоумышленником предпосылок для осуществления той или иной атаки. На данном этапе нарушитель ищет уязвимости в системе. Использование этих уязвимостей осуществляется на втором, основном этапе - реализации атаки. На третьей, заключительной стадии злоумышленник завершает атаку и старается скрыть следы вторжения. В принципе первый и третий этапы сами по себе могут являться атаками. Например, поиск хакером уязвимостей при помощи сканеров безопасности сам по себе считается атакой. Следует отметить, что существующие механизмы защиты, реализованные в межсетевых экранах, серверах аутентификации, системах разграничения доступа, работают только на этапе реализации атаки. По сути, эти механизмы защищают от атак, которые находятся уже в процессе осуществления. Более эффективным было бы упреждение атак, то есть предотвращение самих предпосылок реализации вторжения. Комплексная система обеспечения информационной безопасности должна эффективно работать на всех трех этапах осуществления атаки. К сожалению, в организациях часто не учитывается тот факт, что администраторы и пользователи регулярно изменяют конфигурацию информационной системы. В результате подобных изменений могут появляться новые уязвимости, связанные с операционными системами и приложениями. Кроме того, очень быстро изменяются информационные и сетевые технологии, регулярно появляется новое программное обеспечение. Непрерывное развитие сетевых технологий при отсутствии постоянно проводимого анализа их безопасности и нехватке ресурсов для обеспечения защиты приводит к тому, что с течением времени защищенность корпоративной информационной системы падает, так как появляются новые неучтенные угрозы и уязвимости системы. В большинстве случаев для решения возникающих проблем с защитой в организациях используются частичные подходы. Обычно они обусловлены, прежде всего, текущим уровнем доступных ресурсов. К тому же администраторы безопасности склонны реагировать только на те риски безопасности, которые им понятны. Фактически таких рисков может быть существенно больше. Только строгий текущий контроль защищенности КИС и комплексный подход, обеспечивающий единую политику безопасности, позволяют существенно снизить риски безопасности. Адаптивный подход к безопасности позволяет контролировать, обнаруживать риски безопасности и реагировать на них в режиме реального времени, используя правильно спроектированные и хорошо управляемые процессы и средства. Адаптивная безопасность сети состоит из трех основных элементов [62]:
Оценка риска состоит в выявлении и ранжировании уязвимостей (по степени серьезности ущерба потенциальных воздействий), подсистем сети (по степени критичности), угроз (исходя из вероятности их реализации) и т.д. Поскольку конфигурация сети постоянно изменяется, то и процесс оценки риска должен проводиться постоянно. С оценки рисков должно начинаться построение системы защиты корпоративной информационной системы. Анализ защищенности - это поиск уязвимых мест в сети. Сеть состоит из соединений, узлов, хостов, рабочих станций, приложений и баз данных. Все они нуждаются как в оценке эффективности их защиты, так и в поиске неизвестных уязвимостей в них. Технологии анализа защищенности исследуют сеть и ищут «слабые» места в ней, обобщают эти сведения и печатают по ним отчет. Если система, реализующая данную технологию, содержит и адаптивный компонент, то устранение найденной уязвимости будет осуществляться не вручную, а автоматически. Технология анализа защищенности — действенный метод, позволяющий реализовать политику сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации. Перечислим некоторые проблемы, идентифицируемые технологией анализа защищенности:
Обнаружение атак представляет собой процесс оценки подозрительных действий, которые происходят в корпоративной сети. Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и приложения или сетевого графика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в том числе и использующие известные уязвимости (рис. 16.2).
Адаптивный компонент модели ANS отвечает за модификацию процесса анализа защищенности, предоставляя ему самую последнюю информацию о новых уязвимостях. Также он модифицирует компонент обнаружения атак, дополняя его последней информацией об атаках. В качестве примера адаптивного компонента можно указать механизм обновления баз данных антивирусных программ для обнаружения новых вирусов. Управляющий компонент должен быть способен к генерации отчетов и анализу тенденций, связанных с формированием системы защиты организации. В отчете Yankee Group указано, что адаптация данных может заключаться в различных формах реагирования, а именно:
Использование модели адаптивной безопасности сети (рис. 16.3) позволяет контролировать практически все угрозы и своевременно реагировать на них высокоэффективным способом, обеспечивающим не только устранение уязвимостей, которые могут привести к реализации угрозы, но и выявление условий, приводящих к появлению уязвимостей. Модель адаптивной безопасности сети позволяет также уменьшить злоупотребления в сети, повысить осведомленность пользователей, администраторов и руководства компании о событиях безопасности в сети. Следует отметить, что данная модель не отбрасывает уже используемые механизмы защиты (разграничение доступа, аутентификацию и т.д.). Она расширяет их функциональность за счет новых технологий. Для того чтобы привести свою систему обеспечения информационной безопасности в соответствие современным Требованиям, организациям необходимо дополнить имеющиеся решения тремя новыми компонентами, отвечающими за анализ защищенности, обнаружение атак и управление рисками.
Популярное: Как распознать напряжение: Говоря о мышечном напряжении, мы в первую очередь имеем в виду мускулы, прикрепленные к костям ... Почему человек чувствует себя несчастным?: Для начала определим, что такое несчастье. Несчастьем мы будем считать психологическое состояние... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (1555)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |