ВКР (1209243), страница 3
Текст из файла (страница 3)
Также специалисты применяют такие средства, как:
-
хостовые средства анализа параметров защиты: Windows Security Templates, Security Analysis Tool, Security Benchmarks, CIS Scoring Tools, CIS Router Audit Toolkit;
-
сетевые взломщики паролей: Hydra, Brutus, LC5;
-
стандартные сетевые утилиты: ping, traceroute , host, showmount, rusers, finger;
-
сетевые снифферы и анализаторы протоколов: tcpdump, wireshark..
Главным достоинством инструментального анализа является то, что не требуется значительных временных и человеческих затрат. Но также присутствует недостаток, который выражается в том, что у инструментальных средств поиска уязвимостей нет возможности обнаружить ряд специфических уязвимостей (например, логические ошибки). В связи с этим, необходимо дополнять его иными методами и видами проведения поиска уязвимостей.
1.5 Взаимосвязь угроз и уязвимостей
При проведении анализа защищенности информационной системы, наряду, в том числе, с мероприятиями анализа защищенности информации, что является основой анализа защищенности, определяются уязвимости.Они заставляют уделять себе особое внимание, из-за использования за счет реализации угрозы, которые могут исходить от преднамеренных или случайных источников. То есть, для каждой угрозы определяется список уязвимостей.
ФСТЭК России были классифицированы угрозы в документе “Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных”, а также на официальном сайте этой организации, в разделе техническая защита, существует банк данных угроз, где представлены на сегодняшний день 194 угрозы безопасности информации. Используя всю эту информацию, каждая организация создает свою модель угроз безопасности информации, которая необходима для определения требований к системе защиты информации.
Классификация угроз безопасности информации:
-
по виду защищаемой от УБИ:
-
угрозы РИ;
-
угрозы ВИ;
-
угрозы информации, обрабатываемой в ТСОИ;
-
угрозы информации, обрабатываемой в АС.
-
по видам возможных источников УБИ:
-
создаваемые нарушителем (физическим лицом):
-
создаваемые внутренним нарушителем;
-
создаваемые внешним нарушителем.
-
-
создаваемые аппаратной закладкой:
-
создаваемые встроенной закладкой;
-
создаваемые автономной закладкой.
-
-
создаваемые вредоносными программами:
-
программной закладкой, программой типа “Троянский конь”;
-
программным вирусом;
-
вредоносной программой, распространяющейся по сети (сетевым червем);
-
другими вредоносными программами, предназначенными для осуществления НСД (подбора паролей, удаленного доступа и др.).
-
по виду нарушаемого свойства информации:
-
угрозы конфиденциальности (утечки, перехвата, съема, копирования, хищения, разглашения) информации;
-
угрозы целостности (утраты, уничтожения, модификации) информации;
-
угрозы доступности (блокирования) информации.
по типу ИС, на которые направлена реализация УБИ:
-
УБИ, обрабатываемых в ИС на базе АРМ (с подключением и без подключения к вычислительной сети);
-
УБИ, обрабатываемые в ИС на базе локальной вычислительной сети (с подключением и без подключения к распределенной вычислительной сети);
-
УБИ, обрабатываемые в ИС на базе распределенных информационных систем (с подключением, без подключения к сети общего пользования).
по способам реализации УБИ:
-
угрозы специальных воздействий на ИС:
-
механического воздействия;
-
химического воздействия;
-
акустического воздействия;
-
биологического воздействия;
-
радиационного воздействия;
-
термического воздействия;
-
электромагнитного воздействия.
-
угрозы НСД в ИС:
-
угрозы, реализуемые с применением программных средств операционной системы;
-
угрозы, реализуемые с применением специально разработанного ПО;
-
угрозы, реализуемые с применением вредоносных программ.
угрозы утечки информации по техническим каналам:
-
по радиоканалу;
-
по электрическому каналу;
-
по оптическому каналу;
-
по акустическому (вибрационному) каналу;
-
по смешанным (параметрическим) каналам;
-
угрозы утечки РИ;
-
угрозы утечки ВИ;
-
угрозы утечки информации по каналам ПЭМИН.
по используемой уязвимости:
-
с использованием уязвимости системного ПО;
-
с использованием уязвимости прикладного ПО;
-
с использованием уязвимости, вызванной наличием в АС аппаратной закладки;
-
с использованием уязвимостей протоколов сетевого взаимодействия и каналов передачи данных;
-
с использованием уязвимости, вызванной недостатками организации ТЗИ от НСД;
-
с использованием уязвимостей, обусловливающих наличие технических каналов утечки информации;
-
с использованием уязвимостей СЗИ.
по объекту воздействия:
-
УБИ, обрабатываемые на АРМ:
-
на отчуждаемых носителях информации;
-
на встроенных носителях долговременного хранения информации;
-
в средствах обработки и хранения оперативной информации;
-
в средствах (портах) ввода (вывода) информации.
-
УБИ, обрабатываемые в выделенных технических средствах обработки:
-
на принтера, плоттерах, графопостроителях и т.п.;
-
на выносных терминалах, мониторах, видеопроекторах;
-
в средствах звукоусиления, звуковоспроизведения.
УБИ, передаваемые по сетям связи:
-
УБИ при передаче сигналов по линиям связи;
-
УБИ при обработке пакетов в коммуникационных элементах информационно-телекоммуникационных систем.
угрозы прикладным программам, предназначенным для работы с информацией;
угрозы системному ПО, обеспечивающему функционирование ИС.
Используя классификацию угроз безопасности информации можно устранить определенными мероприятиями уязвимости, которые могут служить толчком нежелательного инцидента, где по итогам, скорее всего, будет причинен ущерб организации. Сам же ущерб возникает из-за атаки на информацию, которая принадлежит организации и приводит к ее уничтожению, повреждению, недоступности, несанкционированному раскрытию, потери или модификации. Любые атаки нарушителей реализуются путём активизации той или иной уязвимости, которая присутствует в системе. Это в свою очередь создаёт условия для успешной реализации информационных атак на ИС. Пример взаимосвязи угроз и уязвимостей представлен в таблице 1.1.
Таблица 1.1 – Взаимосвязь уязвимостей и угроз
| Уязвимость | Угроза, использующая уязвимость |
| Отсутствие механизмов мониторинга | Несанкционированное использование программного обеспечения |
| Отсутствие процедур резервного копирования | Потеря информации |
| Незащищённые соединения с сетями общего пользования | Использование программного обеспечения неавторизированными пользователями |
| Неконтролируемое использование системных утилит | Обход механизмов контроля системы и приложения |
| Неконтролируемая загрузка и использование ПО | Вредоносное программное обеспечение |
1.6 Анализ защищённости внешнего периметра ИС
Целью анализа защищённости внешнего периметра корпоративной сети является оценка уровня защищенности ИС всей организации от атак со стороны сети Интернет, оценка степени критичности выявленных уязвимостей и возможностей по осуществлению атак, а также выработка рекомендаций по ликвидации обнаруженных уязвимостей.
Анализ производится путем эмуляции действий потенциального злоумышленника по проникновению в корпоративную сеть с целью нарушения ее функционирования, внедрения вредоносного ПО, кражи конфиденциальной информации и выполнения других деструктивных действий. Производится также анализ конфигурации средств защиты периметра сети.
При выполнении проверок используется богатый арсенал современных инструментальных средств сетевого сканирования, специализированные средства анализа веб сайтов и сетевых приложений, программы, реализующие конкретные методы взлома, средства подбора паролей, а также ручные проверки. Используемые источники информации (банк угроз и уязвимостей ФСТЭК, NVD, CVE), позволяют гарантировать надежную идентификацию всех известных уязвимостей.
Проверочные мероприятия включают в себя:
-
проверка на возможность проникновения в локальную сеть компании, похищения и порчи данных;
-
обследование доступных из Интернет сетевых сервисов ;
-
проверка межсетевых экранов на начилие уязвимостей;
-
обследование Web и Почтового серверов.
В случае обнаружения уязвимостей, предоставляются документальные свидетельства возможности компрометации, искажения, уничтожения критичной информации в предоставленных для исследования Интернет-ресурсах.
При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты, определяемые их конфигурацией:
-
настройка правил разграничения доступа (правил фильрации сетевых пакетов) на МЭ и маршрутизаторах;
-
используемые схемы и настройка параметров аутентификации;
-
настройка параметров системы регистрации событий;
-
использование механизмов, обеспечивающих сокрытие топологии защищаемой сети, включающих в себя трансляцию сетевых адресов (NAT), маскарадинг и использование системы split DNS;
-
настройка механизмов оповещения об атаках и реагирования;
-
наличие и работоспособность средств контроля целостности;
-
версии используемого ПО и наличие установленных пакетов программных коррекций.
Отчет по результатам работы содержит общую оценку уровня защищенности корпоративной сети от внешних сетевых атак, подробное описание обнаруженных уязвимостей по каждому IP-адресу, а также рекомендации по ликвидации уязвимостей и совершенствованию защиты.
1.7 Анализ защищенности внутреннего периметра ИС
Целью анализа защищенности внутреннего периметра ИС является выявление уязвимостей корпоративной сети, делающих возможным реализацию сетевых атак на информационные ресурсы и ИТ инфраструктуру Заказчика со стороны внутренних злоумышленников, оценка степени критичности выявленных уязвимостей и возможностей по осуществлению атак, а также выработка рекомендаций по ликвидации обнаруженных уязвимостей.
Анализ защищенности внутренних сетевых хостов, в отличие от анализа защищенности внешнего сетевого периметра, включает в себя помимо внешних, также и внутренние проверки хостов и установленных на них приложений.
Внутренние проверки включают в себя анализ конфигурации операционных систем и приложений по спискам проверки на соответствие техническим стандартам и рекомендациям производителей, аудит паролей и прочие проверки, определяемые спецификой конкретных систем.
Анализ защищенности внутренней ИТ-инфраструктуры организации предполагает проведение полного комплекса мероприятий по техническому аудиту, включая:
-
анализ конфигурационных файлов маршрутизаторов, МЭ, почтовых серверов, DNS серверов и других критичных элементов сетевой инфраструктуры;
-
анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств и списков проверки;
-
сканирование хостов, входящих в состав ЛВС.
При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты, определяемые их конфигурацией:
-
настройка правил разграничения доступа (правил фильтрации сетевых пакетов) на МЭ и маршрутизаторах;
-
используемые схемы и настройка параметров аутентификации;
-
настройка параметров системы регистрации событий;
-
использование механизмов, обеспечивающих сокрытие топологии защищаемой сети, включающих в себя трансляцию сетевых адресов (NAT), "маскарадинг" и использование системы split DNS;
-
настройка механизмов оповещения об атаках и реагирования;
-
наличие и работоспособность средств контроля целостности;
-
версии используемого ПО и наличие установленных пакетов программных коррекций.
Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты, реализуемых при помощи богатого арсенала средств анализа защищенности, включающего в себя: сетевые сканеры, анализаторы параметров защиты, взломщики паролей и специализированные программные агенты.
Отчет по результатам работы содержит общую оценку уровня защищенности корпоративной сети от внутренних сетевых атак, подробное описание обнаруженных уязвимостей по каждому, а также рекомендации по ликвидации уязвимостей и совершенствованию защиты.
-
Разработка методики проведения анализа защищённости информации в ИС
В первой главе были рассмотрены такие понятия как: защищённость ИС, анализ защищённости, уязвимости и угрозы в ИС, методы поиска уязвимостей, это дало понимание того, что защищённость информации в ИС главное и трудно достигаемое состояние системы, сохранение которого необходимо для нормального функционирования и работоспособности ИС. Однако на данный момент не существует каких-либо нормативно-правовых актов или методических документов, которые бы регулировали проведение анализа защищённости и предоставления отчётности о нём. В связи с этим, основываясь на материалах первой главы, выдвигаются свои идеи по созданию методики проведения анализа защищённости информации в ИС на этапе внедрения системы защиты.
Изучив множество методических документов, нормативно-правовых актов и национальных стандартов, таких как ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения», Приказ ФСТЭК России от 11 февраля 2013 г. № 17 “Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах”, Приказ ФСТЭК России от 18 февраля 2013 г. N 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” можно сделать вывод, что не существует какой-либо конкретной и общей методики по проведению анализа защищённости информации в информационной системе на этапе внедрения системы защиты, что приводит к замешательству и неразберихе среди администраторов безопасности, которые вынуждены разрабатывать методику на интуитивном понятии законов, нормативно-технических, правовых актах и прочей известной документации.
В связи свыше сказанным в данной работе предлагается методика проведения такого мероприятия, как анализ защищённости. Методика включает в себя последовательность определённых действий, которые содержат в себе методы, описанные в первой главе:
-
уточнение информации о ИС.
Для проведения анализа защищённости информации в ИС первым этапом предлагаю выполнять сбор информации о ИС, так как эти сведения дают экспертной группе первое представление о возможных уязвимостях в ИС;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
