Пояснительная записка (1210153), страница 3
Текст из файла (страница 3)
Еще одним источником идентификации организационных уязвимостей служит анализ законодательной и нормативной базы в области информационной безопасности.
Источники идентификации потенциальных организационных уязвимостей:
-
ИСО 27001, разделы 4-8, – определяют требования и процессы СУИБ;
-
ИСО 27001, приложение А, – определяет 11 областей и 137 механизмов контроля;
-
ИСО 27002 – подробно описывает 11 областей и 137 механизмов контроля;
-
BIP 0072 – содержит опросники для проверки соответствия требованиям ИСО 27001;
-
BIP 0073 – предоставляет дополнительное руководство по внедрению и аудиту механизмов контроля;
-
применимая законодательная и нормативная база.
Разделы 4–8 международного стандарта ИСО 27001 определяют обязательные (читай – наиболее важные с точки зрения передового опыта и здравого смысла) элементы СУИБ, такие как политика безопасности, оценка и обработка рисков, аудиты, анализ со стороны руководства, анализ эффективности, корректирующие и превентивные меры и т.п. Отсутствие этих элементов почти всегда свидетельствует о наличии серьезных уязвимостей.
Для анализа данных организационных уязвимостей составляется таблица соответствия, в которой для каждого требования, содержащегося в стандарте ИСО 27001, отмечается текущее состояние с выполнением этого требования, а также дается описание свойственных организации особенностей в интерпретации этого требования и существующих затруднений с его выполнением.
Оценочные мероприятия включают в себя интервьюирование персонала, сбор и анализ свидетельств надлежащего функционирования СУИБ, анализ полноты и правильности реализации механизмов контроля, описанных в стандарте. Результаты анализа заносятся в оценочную таблицу, фрагмент которой показан на рисунке 2.1.
Целесообразность использования механизмов контроля, перечисленных в приложении А стандарта ИСО 27001 и далее подробно описанных в стандарте ИСО 27002, должна определяться по результатам оценки рисков. Однако отсутствие любого из этих механизмов контроля может рассматриваться на
данном этапе в качестве потенциальной уязвимости, т.к. это ослабляет защиту активов.
Для анализа этой группы уязвимостей также используется оценочная таблица, фрагмент которой показан на рисунке 2.2. Левая часть этого рисунка полностью повторяет структуру Приложения А стандарта ИСО 27001, а в правой части отмечается текущий статус реализации соответствующих механизмов контроля, описываются особенности реализации этих механизмов, а также приводится обоснование исключений некоторых механизмов контроля там, где это необходимо.
Рисунок 2.1 – Оценка процессов СУИБ на соответствие ИСО 27001
Именно эта оценочная таблица будет играть роль Декларации о применимости механизмов контроля – важнейшего документа СУИБ, вокруг которого в последующем будет строиться обработка рисков и аудиты.
Рисунок 2.2 – Оценка процессов СУИБ на соответствие ИСО 27001
Результатом идентификации организационных уязвимостей является отчет о несоответствиях, в котором для каждой области контроля определяется степень соответствия, перечисляются существующие механизмы безопасности, сильные и слабые стороны, а также даются рекомендации по усилению защиты.
Ниже приведен фрагмент таблицы 2.1 с описанием уязвимостей для области контроля «Управление активами».
Таблица 2.1 – Оценка достижения цели контроля «Управление активами»
| Цель контроля: | Обеспечить и поддерживать надлежащий уровень защиты активов организации. Все активы должны быть учтены и иметь назначенного владельца. Также должна быть определена ответственность за сопровождение этих активов и обеспечение их безопасности |
| Уровень соответствия: | Низкий (40%) |
| Свидетельства соответствия: | Политика безопасности организации определяет права доступа к основным категориям информационных и ИТ активов на уровне файловых папок, ИТ сервисов и программных модулей. Права доступа периодически проверяются и пересматриваются. Политика безопасности определяет правила допустимого использования активов, которые внедрены и соблюдаются на практике. Перечень конфиденциальной информации оформлен в виде приложения к Политике безопасности. |
| Несоответствия: | Отсутствует реестр информационных активов. Владельцы активов не идентифицированы явным образом. Отсутствуют правила маркирования и обращения с конфиденциальными документами, а также схема их классификации. |
| Рекомендации: | Сформировать и поддерживать в актуальном состоянии реестр активов. Назначить владельцев для каждого активов и определить их ответственность за активы. Определить общую схему классификации информации по критериям конфиденциальности, целостности и доступности. Разработать и внедрить правила маркировки и обращения с конфиденциальными документами. |
2.1.2 Идентификация технических уязвимостей
Идентификация технических уязвимостей (рисунок 2.1.2.1) производится для внешнего и внутреннего периметра корпоративной сети. Внешний периметр – это совокупность всех точек входа в сеть. К внутреннему периметру (внутренней ИТ инфраструктуре) мы относим все хосты и приложения, доступные изнутри.
Рисунок 2.1.2.1 – Идентификация технических уязвимостей
Традиционно используются два основных метода тестирования:
-
тестирование по методу «черного ящика»;
-
тестирование по методу «белого ящика».
Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования эмитируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей.
Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяется наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности. Выводы о наличии уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике. Основным инструментом тестирования в данном случае являются средства анализа защищенности системного уровня, хостовые сканеры и списки проверки.
Для идентификации технических уязвимостей проводятся следующие организационно-технические мероприятия по анализу защищенности:
-
ручные проверки системной конфигурации;
-
сетевое и хостовое сканирование;
-
тестовые испытания;
-
тесты на проникновение;
-
социальные тесты;
-
анализ программных кодов.
Современные методы анализа защищенности информационных систем настолько разнообразны, что им можно было бы посвятить отдельную книгу. Далее мы ограничимся кратким рассмотрением лишь некоторых из этих методов.
2.1.2.1 Ручная проверка системной конфигурации
Ручная проверка системной конфигурации производится с использованием списков проверки, рекомендаций разработчиков и независимых экспертов, политик и технических стандартов, а также собственного опыты проверяющего.
Оформление результатов ручных проверок производится точно так же, как и для организационных уязвимостей.
В таблице 2.2 приведен фрагмент отчета с описанием уязвимостей антивирусной системы.
Таблица 2.2 – Результаты проверки антивирусной подсистемы (фрагмент)
| Задачи: | Проверка конфигурации антивирусной подсистемы Проверка лицензий на антивирусное ПО Проверка установки последних обновлений антивирусных БД и ПО Проверка настройки параметров карантина |
| Свидетельства: | Все рабочие станции, серверы и почтовая система защищены антивирусным ПО в соответствии с Политикой антивирусной защиты Лицензии имеются Обновление антивирусных БД устанавливаются каждый час |
| Уязвимости/ недостатки: | Не настроены параметры карантина, что приводит к потере подозрительных файлов |
| Рекомендации: | Произвести настройку параметров антивирусного карантина, определив место и время хранения подозрительных файлов |
При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты, определяемые их конфигурацией:
-
настройку правил разграничения доступа (правил фильтрации сетевых пакетов) на МЭ и маршрутизаторах;
-
используемые схемы и настройка параметров аутентификации;
-
настройку параметров системы регистрации событий;
-
использование механизмов, обеспечивающих скрытие топологии защищаемой сети, включающих в себя трансляцию сетевых адресов (NAT), «маскарадинг» и использование системы split DNS;
-
настройку механизмов оповещения об атаках и реагирования;
-
наличие и работоспособность средств контроля целостности;
-
версии используемого ПО и наличие установленных пакетов программных коррекций.
2.1.2.2 Сетевое сканирование
Большая часть технических уязвимостей выявляется в автоматическом режиме при помощи сетевых и хостовых сканеров, которые способны одновременно выполнять тысячи проверок сразу на многих хостах. Обычно сканеры создают очень подробные отчеты об уязвимостях, к которым следует относиться весьма критически. Мы называем эти отчеты гипотезами об уязвимостях, требующими дальнейших ручных проверок.
На рисунке 2.3 представлены результаты сканирования в сканере Nessus.
Сетевые сканеры выполняют четыре основные задачи:
-
идентификация доступных сетевых ресурсов;
-
идентификация доступных сетевых сервисов;
-
идентификация имеющихся уязвимостей сетевых сервисов;
-
выдача рекомендаций по устранению уязвимостей.
В настоящее время существует большое количество как коммерческих, так и свободно распространяемых сканеров, как универсальных, так и специализированных – предназначенных для выявления определенных классов уязвимостей, ориентированных на определенные программно-аппаратные платформы и приложения. Число уязвимостей в базах данных современных сканеров исчисляется тысячами.
Рисунок 2.3 – Сканирования в сканере Nessus
В настоящее время существует большое количество как коммерческих, так и свободно распространяемых сканеров, как универсальных, так и специализированных – предназначенных для выявления определенных классов уязвимостей, ориентированных на определенные программно-аппаратные платформы и приложения. Число уязвимостей в базах данных современных сканеров исчисляется тысячами.
Результаты сканирования систем должны быть отсортированы по степени критичности обнаруженных уязвимостей (таблица 2.3). Описание уязвимости должно включать в себя: ее название или идентификационный номер CVE (Common Vulnerabilities and Exposures – общепризнанный репозиторий уязвимостей), адреса и имена хостов, подверженных данной уязвимости, описание угрозы для конкретной организации, связанной с данной уязвимостью, а также рекомендации по устранению уязвимости либо уменьшению ее влияния на безопасность организации (обычно с ссылкой на соответствующие источники информации и программные коррекции).
Таблица 2.3 – Результаты сетевого сканирования (фрагмент)
| Уязвимость (CVE) | IP адрес/имя | Описание угрозы | Рекомендации | |
| Высокий риск | ||||
| Уязвимость сервера БД ToolTalk(rpc.ttdbserverd). Переполнение буфера в сервисе «Ttdbserverd» (RPCUNIX). CVE: CVE-2002-0679 | 10.х.х.х 10.х.х.х
| Атакующий может использовать переполнение буфера для выполнения кода с привилегиями сервера ToolTalkRPC, который обычно выполняется от лица суперпользователя. | Установить патч от вендора. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0679 | |
| Сервис "snmpXdmid". Множественные уязвимости в реализации протокола SNMP. CVE: CVE-2002-0012 CVE: CVE-2002-0012 | 10.х.х.х 10.х.х.х 10.х.х.х
| Возможность получение контроля над сетевым оборудованием. | Установить патч от вендора. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0013 | |
| Средний риск | ||||
| ddi-tcp-1 (8888/tcp): Возможность подключения к портам, защищенным файерволлом на удаленном хосте с исходящего порта 20. BID: 5279 | 10.х.х.х | Атакующий может подключиться к сервисам на удаленном хосте, минуя файерволл | Заблокировать на файерволле все пакеты с исходящим портом 20. | |
| Уязвимость сервиса bootparamdRPC, используемого бездисковыми клиентами для получения загрузочной информации. CVE: CVE-1999-0647 | 10.х.х.х | Атакующий может использовать функцию BOOTPARAMPROC_WHOAMI для получения имени домена NISс сервера, затем используя его для получения доступа к файлу паролей NIS | Настроить фильтрацию входящего трафика для предотвращения доступа к сервисам portmapperи bootparam | |
2.1.2.3 Тестовые испытания
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
