Стратегия сканирования

Стратегия сканирования в немалой степени зависит от собранной информации, хранящейся в карте сети. Как уже упоминалось выше, на этапе создания карты сети все узлы группируются по различным признакам (физической, логической, функциональной, территориальной принадлежности; степени важности узла и его подверженности атакам и т. д.). Эти группы узлов, с одной стороны, должны быть в требуемой степени детализированы — во избежание излишних проверок, а с другой – должны включать достаточное количество устройств — чтобы минимизировать общее число необходимых испытаний и упростить обработку результатов. В каждой конкретной организации состав этих групп может варьироваться в зависимости от решаемых задач и принадлежности организации той или иной сфере деятельности. Например, в финансовых институтах в одну из групп можно выделить серверы расчетной системы, а в нефтегазовом комплексе – компоненты системы диспетчерского управления. В качестве типичных примеров я могу предложить использовать следующие варианты (сразу необходимо отметить, что некоторые узлы могут входить одновременно в несколько групп):

· все устройства организации, подключенные к сети. Данная группа включает в себя полный спектр применяемого в организации оборудования;

· маршрутизаторы и другое сетевое оборудование, расположенные по периметру;

· коммутаторы, концентраторы, мосты и прочее внутреннее сетевое оборудование;

· DMZ-устройства (DNS-, SMTP-, FTP-, Web-серверы и т. п.);

· межсетевые экраны и другие средства периметровой защиты (системы обнаружения атак, серверы аутентификации, серверы сертификатов и т. д.);

· средства защиты внутренней сети (серверы безопасности, серверы аутентификации, серверы генерации ключей, LDAP-серверы);

· рабочие станции и серверы, участвующие в ежедневных заботах организации, например, в документообороте;

· рабочие станции и серверы, используемые для решения критичных задач организации (серверы баз данных, серверы критичных приложений и рабочие станции операторов, компоненты системы диспетчерского управления, серверы расчетной системы, рабочие станции администраторов);

· внутренние Web-серверы, помогающие решать повседневные задачи организации (например, внутренний информационный сервер).

Далее нужно согласовать стратегию сканирования с руководством организации или другими ответственными сотрудниками, а также с администраторами сканируемых узлов. На этапе реализации стратегии сканирования необходимо:

· активно взаимодействовать с администраторами сканируемых узлов или сегментов сетей; доводить до них, а также до других заинтересованных сотрудников и руководителей организации результаты сканирования, что позволит держать их в курсе ситуации с защищенностью ресурсов, за которые они отвечают;

· согласовывать с руководством организации мероприятия по устранению выявленных уязвимостей.

На этапе повседневных операций, т. е. после проведения начального сканирования и после разработки и реализации стратегии сканирования следует:

· периодически проводить выборочную проверку заданных групп устройств на предмет выявления новых уязвимостей и устранения найденных в предыдущих сеансах;

· осуществлять распознавание новых устройств в сети и применять к ним перечисленные выше мероприятия, сформулированные в стратегии сканирования.

Тактика сканирования

Использование средств анализа защищенности, за исключением тестов "отказ в обслуживании" (да и то не всегда), практически не влияет на работоспособность устройств корпоративной сети. Однако при большом относительно длительности одного сеанса количестве тестов может наблюдаться значительное увеличение сетевого трафика, загрузки тестируемых устройств, размера системных журналов и другие явления. Если задействуемый во время сканирования шаблон не соответствует типу и/или конфигурации тестируемых устройств, то до 80% результатов не будут иметь содержательного смысла. Результативность применения сканера существенно повышается при проведении так называемого "выборочного сканирования", — ориентированного конкретные типы устройств корпоративной сети [Информзащита1-00]. С этих позиций, после разработки стратегии сканирования, которая заключается в разнесении устройств корпоративной сети по группам сканирования и определении приоритета каждой из них, целесообразно разработать схему применения стратегии — тактику. Определяющим фактором такт является цель сканирования той или иной группы устройств. Рекомендуемые проверки, в т. ч. с учетом вероятности наличия той или иной уязвимости, конфигурируются общепринятым образом для типичных корпоративных сетей. Если обнаружены специфические продукты или сервисы (как ОС NCR Unix или Compaq Tru64), то в шаблон необходимо внести соответствующие изменения.

Необходимо отметить, что сканирование одной и той же группы устройств может осуществляться с разными целями и, наоборот, сканирование различных групп устройств может преследовать единую цель, например, инвентаризацию всего оборудования или обнаружение скомпрометированных узлов (скажем, с помощью "троянских коней"). Конкретные мероприятия должны быть обозначены в плане сканирования. План сканирования может представлять собой таблицу, в столбцах которой перечислены группы "прослушивающих" устройств, а в строках — цели мероприятия. В ячейке таблицы при этом предполагается размещение информации об условиях сканирования или его периодичности (табл. 10.4).

Таблица 10.4. Пример плана сканирования Группы устройств

Периодичность сканирования того или иного типа определяется значимостью устройств, входящих в группу, частотой изменения их конфигурации, объемом свободных ресурсов корпоративной сети и т. д. Рекомендуемые направления сканирования и соответствующие временные интервалы указаны ниже.

· Абсолютно все устройства корпоративной сети или отдельного ее сегмента с целью инвентаризации и классификации – еженедельно. Процесс позволяет обнаружить новые узлы в сети, а также идентифицировать изменения в уже существующих узлах.

· Все узлы корпоративной сети на предмет обнаружения их компрометации или результата воздействия удаленных атак — ежедневно. При этом не рекомендуется выполнять проверку (в т. ч. и удаленных устройств) с одной консоли системы анализа защищенности, установленной в центре. Это нецелесообразно в силу значительных временных затрат и возможной загрузки сетевого трафика. Кроме того, ее трудно осуществить, если разница во времени между сканируемыми и сканирующим узлами составляет 8-9 часов. Неуместно ожидать, что некоторые объекты контроля во Владивостоке будут функционировать в то время, как в Москве будет 12 часов дня.

· Важные устройства сети на выявление результата воздействия внутренних атак или изменения конфигурации сканируемых узлов — еженедельно или ежемесячно.

· Критичные узлы сети для контроля их доступности — ежедневно или ежечасно.

· Элементы активного сетевого оборудования — ежеквартально или при замене программного и/или аппаратного обеспечения, изменении конфигурации.

· DMZ-устройства — еженедельно или при изменении конфигурации.

· Периметровые средства защиты — еженедельно или ежедневно, а также при изменении конфигурации.

· Наиболее критичные серверы, в отдельных случаях — рабочие станции. Исключительно выборочное сканирование с целью определения возможности атак, направленных на реакцию типа "отказ в обслуживании". Осуществляется при вводе данного оборудования в штатную эксплуатацию, замене ОС, существенном изменении конфигурации, а также при выполнении тестовых работ.

Для средств анализа защищенности, функционирующих на уровне конкретного узла, используются те же принципы, что и для систем, работающих более низком уровне, но с учетом специфики обнаруживаемых уязвимостей.