Ваших системных файлов и данных

Точная и надежная фиксация информации о компонентах информационной системы и данных с момента их создания или появления до времени их уничтожения является залогом успешного обнаружения нарушений безо­пасности. Это позволит сравнивать эталонную информацию с текущим со­стоянием и своевременно обнаруживать все несанкционированные измене­ния. Фиксируются все ресурсы — данные (пользователей и системные), системы (аппаратное и программное обеспечение), сети (аппаратное и про­граммное обеспечение), рабочие станции (аппаратное и программное обес­печение), приложения и операционные системы.

Подходы к обнаружению атак обычно основаны на определении различий между текущим состоянием контролируемого объекта и предварительно за­фиксированным, ожидаемым состоянием. Персоналу защиты необходимо всегда знать, где и какой ресурс находится, а также статус и содержимое этого ресурса. Без такой информации нельзя адекватно определить, было ли что-нибудь добавлено, изменено, нарушено и т. д. Особенно это критично для многих российских компаний, в которых всегда присутствуют "прод­винутые" сотрудники, которые, считая себя компетентными во всем, само­стоятельно реконфигурируют свои рабочие станции и серверы, не ставя в известность IT-персонал. Хорошо еще, если это рядовой служащий, кото­рый не может ничего "исправить" за пределами своего компьютера. А если это администратор, который на собственный страх и риск изменяет конфи­гурацию своего сегмента сети?

Однако стоит сразу заметить, что данным этапом обычно пренебрегают во многих организациях. Это связано с тем, что процесс фиксации необходи­мого объема информации о компонентах информационной системы — достаточно долгий и рутинный процесс, который требует не только материаль­ной поддержки. Зачастую у специалистов отделов защиты информации нет соответствующей подготовки для получения такой информации. Мало того, они не имеют доступа к оборудованию, функционирующему в сети. Поэтому приходится идти на компромисс со специалистами управлений телекоммуникаций, информатизации и т.д. Только совместная работа позволит собрать всю нужную информацию. Как показывает российская практика, карта сети создается (если вообще создается) исключительно на этапе проектирования информационной системы. Затем эта карта уже не поддерживается в актуальном состоянии и не может служить основой для контроля обнаружения несанкционированных изменений. Кроме того, нередко данная карта и связанная информация находятся только в управлениях информатизации и являются недоступными для отделов защиты, что существенно снижает эффективность работы последних.

Карта сети

Если это еще не сделано, то необходимо провести инвентаризацию всего аппаратного и программного обеспечения корпоративной сети. Вся информация должна быть сохранена в базе данных, в которой можно легко осуществлять сравнение первичной описи со всеми последующими. Следует обеспечить своевременную модификацию сделанного списка в случае санкционированной замены, удаления иди добавления нового оборудования икомплектующих.

В опись всей сетевой архитектуры надо внести следующую информацию:

q топологию всех оконечных устройств (активного сетевого оборудовали серверов и рабочих станций) с указанием их адресов (например, IP-MAC);

q таблицу маршрутизации (информационные потоки между устройствами);

q описание используемых VLAN и принципов их построения (по портам, адресам, протоколам, меткам и т. д.);

q сведения о конфигурации сетей и устройств (с обязательным указанием списков контроля доступа и иных настроек, влияющих на защищенность);

q признаки принадлежности портов коммуникационного оборудования различным сетевым сегментам;

q используемые протоколы, характеристики трафика (например, пиковые, минимальные и средние значения сетевой нагрузки) и значение пропускной способности;

q указания на физическое размещение всех сетевых устройств, рабочих станций и серверов с обозначением номеров этажей и комнат;

q данные о сетях открытого доступа, по которым передается ваша инфор­мация или к которым подключена корпоративная сеть.

Опись сетевой архитектуры является основой карты сети. Дополнительно карта сети может содержать:

q перечень установленного программного обеспечения на оконечных устройствах;

q список пользователей и прав их доступа;

^q указание на принадлежность сетевых сегментов подразделениям организации и описание возложенных на эти сегменты функциональных задач.

Карта сети (network map) — это не просто один документ, хранящий всю необходимую информацию. Скорее — это атлас, известный всем по школе. Такой атлас включает различные карты, описывающие одну и ту же территорию с разных позиций (политической, физической, экономической и т.д.). Также и карта сети — описывает различные аспекты функционирования корпоративной сети. Без подобного "атласа" можно оказаться в ситуации, хорошо знакомой по русским сказкам: "Пойди туда, не знаю куда, принеси то, не знаю что" [Колосков 1-00].

Для построения сетевой составляющей этой карты можно (и нужно) ис­пользовать различные системы сетевого управления (HP OpenView, SPECTRUM, Visio и т. п.). Такого рода инструменты включают в себя функцию AutoDiscovery, которая позволяет автоматически поддерживать актуальность сетевой карты и отслеживать все несанкционированные изменения в сетевой конфигурации. Также будут полезны и сканеры безопасно­сти, помогающие определить:

q сетевые сервисы;

q заголовки отвечающих сервисов;

q типы и версии ОС;

q разделяемые ресурсы NetBIOS (NetBIOS Share);

q общие параметры политики безопасности [Информзащита 1-00].

Все устройства, обнаруженные в корпоративной сети, должны быть сгруппированы по различным признакам. К таким признакам могут быть отнесены:

q логическая принадлежность узла подразделению организации (например, все узлы финансового департамента или отдела кадров);

q физическая принадлежность узла сегменту сети;

q подверженность атакам высокой, средней и низкой степени риска (например, узел, находящийся в демилитаризованной зоне, или внешний маршрутизатор могут быть характеризованы высокой степенью риска, сервер подразделения — средней, а рабочая станция — низкой);

q степень значимости устройства (высокая, средняя и низкая) в зависимости от задач, им решаемых (например, сервер банковской расчетной системы или маршрутизатор могут быть отнесены к высокой степени значимости, файловый сервер, решающий вспомогательные задачи организации, — к средней и рабочая станция — к низкой).

Для составления описи аппаратного и программного обеспечения также можно использовать автоматизированные средства. Для рабочих станций и серверов под управлением Windows 9x, NT и 2000 эти механизмы уже встроены в операционную систему. Аналогичные программы имеются и для Unix. Например, утилиты strobe (ftp://ftp.cerias.purdue.edu/pub/tools/unix/scanners/strobe/)и fremont (ftp://ftp. ceri-as.purdue.edu /pub/tools/unix/netuffls/fremont/)помогают определить, какие устройства соединены с вашей телефонной линией, системой и сетью. Кроме того, имеются и средства третьих фирм, имеющие более широкую функциональность. Примером такого продукта можно считать LAN Auditor (http://www.lanaudi-tor.cora/).Аналогичный механизм, позволяющий контролировать установленное программное и аппаратное обеспечение, заложен в технологию управления информационной безопасности "Беркут", разработанную в НИП "Информзащита".