Концептуальный подход к построению мобильного места администратора безопасности
В современном мире IT-инфраструктура проникла практически в каждую организацию, и все они сталкиваются с набором как внешних, так и внутренних угроз в области информационной безопасности. В зависимости от размеров этой организации, характера её деятельности и других факторов – в том или ином виде определяются цели и задачи по обеспечению конфиденциальности, целостности и доступности обрабатываемой информации, соответственно, формируется политика информационной безопасности.
Но этот документ останется ничего не значащей бумагой, если нет людей, ответственных за контроль её внедрения и обеспечения. Среди них одну из важных ролей занимает администратор информационной безопасности (не путать с администратором системы).
1. Администратор информационной безопасности (защиты). Задачи и направления деятельности. Инструменты системного администратора
В соответствии с определением, приведенном в руководящем документе Гостехкомиссии России «Защита от несанкционированного доступа к информации: Термины и определения», администратор защиты – это субъект доступа, ответственный за защиту автоматизированной системы (АС) от несанкционированного доступа (НСД) к информации.
Как обеспечить эту защиту? Если речь идёт о технической защите информации, то здесь мы сталкиваемся с целым комплексом различных программных и программно-аппаратных средств защиты информации.
Помимо таких широко известных и распространенных средств как межсетевые экраны (МЭ), антивирусы, средства доверенной загрузки и создания доверенной среды, а также системы обнаружения вторжений (СОВ) – однако требуются и средства другого рода, обеспечивающие проверку работы всех вышеперечисленных продуктов. В специальных нормативных документах такие средства трактуются как средства тестирования и контроля эффективности защиты информации или средства анализа защищенности.
Иначе говоря, необходимы средства, которые администратор информационной безопасности сможет использовать для тестирования защищенности, как сети, так и отдельных автоматизированных рабочих мест (АРМов).
Рассмотрим типовой набор методик, относящихся к анализу защищенности АС. Администратору безопасности необходимо:
- получать оперативную информацию о составе и структуре сети, открытых сервисах;
- проводить тестирование на предмет наличия известных уязвимостей (penetration testing);
- осуществлять контроль стойкости используемых паролей;
- контролировать целостность критически важной информации;
- контролировать и при необходимости изучать сетевой трафик между выбранными узлами сети;
- тестировать систему гарантированной очистки информации;
- проводить системный аудит ЭВМ из состава АС (аппаратная, программная конфигурация, журнал).
2. Требования к месту администратора информационной безопасности.
Перечислим основные требования к среде и месту работы администратора информационной безопасности системы:
1) Защита от НСД к информации, обрабатываемой администратором безопасности на рабочем месте (пароли, ключи, результатов аудита АС и др.)
Данное требование может быть обеспеченно доверенной средой, в которой работает администратор и применением одним из двух механизмов к защите данной информации – либо гарантированная очистка данных по завершению работы, либо их шифрование при хранении.
2) Мобильность (переносимость) места администратора безопасности (возможность подключиться к произвольному сегменту сети и выполнить локальную проверку каждого АРМ или перекрестную проверку межсегментного соединения).
3) Полнота инструментария – важно, когда все необходимые для работы средства доступны «из коробки», а операция по их развертыванию (deployment) требует минимум времени и усилий со стороны администратора.
4) Сертификация – для работы в средах, обрабатывающих информацию с ограниченным доступом администратору безопасности необходимо использовать сертифицированные средства защиты и контроля эффективности защиты информации.
3. Пример реализации мобильного места администратора безопасности
В настоящее время отсутствует совокупность различных сертифицированных средств мониторинга, инвентаризации, контроля целостности, сканирования уязвимостей, контроля стойкости систем аутентифиакации, обеспечивающая построение мобильного места администратора безопасности, за исключением доверенной загружаемой среды администратора безопасности — «Сканер-ВС» (разработка и изготовление компании ЗАО «НПО «Эшелон»).
Комплекс «Сканер-ВС» представляет собой носитель, в зависимости от поставки или загрузочный компакт-диск (LiveCD), или USB-флэш (LiveFlash), который запускает свою собственную среду для работы, операционную систему (производная от Linux), данный подход позволяет нам выполнить первые два требования, поскольку данный носитель может быть установлен фактически в любой x86-совместимый компьютер, не нарушая целостности его программной среды, а вся обрабатываемая администратором информация хранится лишь в оперативной памяти, что гарантирует её очистку по завершению работы (по желанию администратора отчеты и другие данные могут быть сохранены на внешний носитель).
Данный продукт выполняет требование №4, поскольку имеет сертификаты соответствия Минобороны России и ФСТЭК России.
В соответствии с пунктом 3 рассмотрим функционал «Сканера-ВС», помимо других продуктов в него входит:
1) Сетевой сканер.
Средство инвентаризации, контроля состояния и зондирования сети. (обеспечивает различные режимы работы, в т.ч. и скрытные для МЭ, позволяет сохранять и сравнивать «снимки» локальной вычислительной сети (ЛВС) за разные периоды времени).
2) Сканер безопасности, средство поиска уязвимостей в ресурсах сети.
Многофункциональное средство выявления используемого ПО на узлах сети, тестирования проникновением и выявления до 17 000 различных уязвимостей).
«Сканер-ВС» имеет в своём составе механизмы обновления через сеть Интернет в том числе и базы уязвимостей для сканера безопасности.
3) Аудитор паролей.
Средство анализа и перебора локальных и сетевых паролей.
Позволяет провести инвентаризацию и перебор пароль для локальных и сетевых записей для операционных систем семейства Windows и Linux (в т.ч. и для защищенных операционных систем, как: МСВС, Linux XP и Astra Linux).
Обеспечивает различные виды bruteforce и словарного перебора.
4) Контроль целостности файлов, папок, секторов на диске и др. объектов.
Средство позволяет снимать и сверять контрольные суммы, как файлов и папок, так и секторов на диске, используя все популярные алгоритмы хэширования и генерацией соответствующей отчетности.
5) Анализатор трафика, средство перехвата (снифинга) сетевого трафика и контроля передаваемой информации.
Средство позволяет перехватывать трафик между произвольными машинами коммутируемой сети (при необходимости используется технология ARP-спуфинга), в результате возможен анализ перехваченного трафика и выделения в нем важной информации (например: пароли для авторизации), возможен перехват и дешифрование трафика с подменой сертификатов.
6) Общесистемный анализатор, средство снятия «снимка» программно-аппаратной конфигурации АРМ и журналов его событий (например, работа с USB).
7) Средство проверки системы гарантированной очистки (позволяет осуществить посекторный поиск остаточной важной информации, не очищенной после сеанса работы ЭВМ, поиск возможен по паттернам из сформированного словаря, с учетом различных кодировок и форматов файлов).
Заключение
Проведенный анализ показал, что фактически все типовые, повторяющиеся операции и методики анализа защищенности сети могут быть произведены с переносного (фактически, виртуального) места администратора безопасности.
Данный подход имеет ряд достоинств как с точки зрения использования ресурсов (не надо производить закупку новых ПК, менять топологию и адресацию сети), так и в плане безопасности (обеспечение защищенной от изменений доверенной среды, быстрый доступ ко всем инструментам, легкость подключения к средствам виртуализации) и др.
Изученное сертифицированное решение (средство анализа защищенности «Сканер-ВС») показало полное соответствие данным требованиям.
Источники
- Аттестация без проблем: об использовании сетевых сканеров безопасности при аттестации АС / Марков А.С., Миронов С.В., Цирлов В.Л. // Information Security — 2005 — №3.
- Виртуальное место администратора безопасности информации в автоматизированных системах / Фадин А.А. и др. // М.: БИТ-2010 — МГТУ им.Н.Э.Баумана, 2010 г.
- Дорофеев А.В. Тестирование на проникновение: демонстрация одной уязвимости или объективная оценка защищенности?// Защита информации. Инсайд, 2010. — №6 (ноябрь-декабрь).
Possibly Related Posts:
- Выход книги «Международная безопасность, стратегическая стабильность и информационные технологии»
- В очередной раз группа компаний «Эшелон» запатентовала инновационный подход к тестированию программ на предмет выявления программных закладок и уязвимостей.
- ГК «НПО «Эшелон» вошла в ТОП-50 крупнейших поставщиков ИТ-решений для госсектора в 2019 году!
- X Юбилейная международная научно-техническая конференция «Безопасные информационные технологии» (БИТ 2019)
- Ежегодная международная молодежная научно-практическая конференция «Информационная безопасность в банковско-финансовой сфере» (в рамках VI Международного форума Финансового Университета)
Эксперт сообщества Андрей Фадин
Выпускник МГТУ им. Н.Э.Баумана по специальности "Информационная безопасность". CISSP
Рубрика: Тестирование, Эшелон. Метки: администратор безопасности, анализ защищенности, анализатор протоколов, аудит паролей, испытания, сканер безопасности, сканер портов, сканер уязвимостей, тестирование, фстэк. Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.
Следует добавить два отличительных момента:
1) Нормативные требования по обязательному наличию места администратора безопасности на объектах информатизации (АРМ, ЛВС, АС, ИСПДн, объект ВТ и т.д.) определены в документах регуляторов, например:
по РД. АС. ЗАЩИТА ОТ НСД К ИНФОРМАЦИИ. КЛАССИФИКАЦИЯ АС… (ГОСТЕХКОМИССИЯ) — «должно проводиться периодическое тестирование функций СЗИ… . Администратор должен иметь свой терминал и необходимые средства оперативного контроля …»
2) Система анализа защищенности «Сканер-ВС» не требует выделения отдельного компьютера (с сертифицированной версией ОС) и изменения состава сети, т.к. место администратора безопасности фактически виртуальное (загружается с доверенного носителя и автоматически распознает сеть и операционные системы). Более того, мест, при необходимости, может быть несколько, в зависимости от решаемых задач (одно место сканирует — другое «снифферит» или «плавающее» место, проверяющее выполнение ПБ, там.. стойкость паролей, память, usb-подключения…)