Поделиться
Аудит безопасности: когда и чем проводить?
Если раньше при разработке информационной системы акцент делался на функциональность и полную поддержку бизнес-функций, то сейчас обладателей важной информации все больше волнуют вопросы защищенности. Но как проверить – безопасна ли ваша сеть? Насколько защищена она от внешних вторжений? Что предпринять для организации защиты конфиденциальной информации? Нужен серьезный аудит.Возможности современных продуктов
Сканирование включает в себя такие этапы как: определение ОС, идентификацию портов, идентификацию служб (сервисов) и проверку на уязвимость. Чем точнее будет определена операционная система, тем эффективнее пройдет сканирование в силу того, что большинство уязвимостей присутствует в программном обеспечении вполне определенной конфигурации. Например, Microsoft Windows XP в конфигурации по умолчанию будет более уязвима после установки, нежели OpenBSD, и этот факт должен быть определен на самом раннем этапе. Последнее позволяет избежать излишних попыток отыскать уязвимость форматной строки в FTP-сервере под Windows-систему, сканируя SCO Unix.
Идентификация может проводиться по самым разным признакам (OS fingerprinting):
Опрос служб. Большинство служб при подключении программы формирует «баннер» - некоторую служебную информацию, которая косвенно или напрямую свидетельствует об операционной системе. Эту информацию и может использовать сканер для идентификации ОС. Однако такая проверка ненадежна, поскольку администраторы с легкостью могут заменить отдаваемое службой «приветствие» на другой текст, что осложнит идентификацию.
Опрос стека TCP/IP. Реализации стека TCP/IP в разных операционных системах отличаются. Причем отличаются в мелочах по самым разным параметрам – будь то TTL по умолчанию или таймер повторной передачи в протоколе TCP. Признанным мастером идентификации по таким специфичным признакам является сканер портов nmap. Среди рассматриваемых сканеров схожим механизмом опроса стека пользуются Nessus, ISS, Xspider.
Анализ пакетов ICMP. Разные операционные системы обрабатывают ICMP-сообщения со своими отличительными особенностями, иногда они вовсе игнорируют их, а порой предлагают специфический ответ. Так, например, иногда системы Microsoft Windows 2000 и XP ведут себя абсолютно аналогично FreeBSD системам, но при этом разительно отличаются от Solaris.
В случае неоднозначности ответа при анализе только одного признака, необходимо использование комплексных проверок, лишь в этом случае можно гарантировать качество идентификации операционной системы сканером. Однако на практике наиболее распространены простые проверки – распознавание сервисов по баннерам, по ICMP сообщениям, а также по поведению при работе с нулевым портом. Сканер, не обладающий «генератором пакетов» (например, на основе raw-sockets или библиотеки libcap), априори не готов использовать изощренные способы проверок, а значит - не способен обеспечивать достаточную точность определения ОС. К тому же идентификация может быть осложнена административными мерами с помощью межсетевого экрана.
Когда операционная система опознана, можно приступать к поиску сервисов, т.е. программного обеспечения, открытого для сетевого общения. Количество портов довольно большое: 216 для TCP протокола и 216 для UDP, поэтому иногда стоит проводить «интеллектуальное» сканирование. Здесь нет ничего хитрого, за большинством портов закреплены стандартные протоколы уровня приложений, например, HTTP – порт TCP:80, SMTP – порт TCP:25. Тем не менее, такое сканирование вполне оправдано, так как обычно те или иные ресурсы, создаваемые в компании, возникают для их последующего использования, что означает использование стандартных портов в угоду совместимости и легкости в настройке клиентских компьютеров. Все вышеперечисленные сканеры безопасности позволяют проводить как полное сканирование, так и по предопределенным портам. Для администратора безопасности процедура сканирования не должна занимать много времени, поэтому возможность быстрого и легкого создания профилей в зависимости от той или иной типовой ситуации является заметным преимуществом.
После обнаружения портов встает задача выяснения, какие службы работают на этих портах и сколько уязвимостей в них можно отыскать. Здесь используются методы, схожие с идентификацией ОС, а именно: проверка баннеров, отправка команд из арсенала различных протоколов прикладного уровня и «интеллектуальные» методы, распознающие по особенностям ответа службы в реализации той или иной ОС.
Тем не менее, не исследуя все порты, невозможно говорить о том, что вы не пропустили ни одного сервиса, порой удобнее и правильнее размещать сервисы на загадочных портах, именно поэтому погоня за скоростью может сказаться на качестве сканирования. Возможность поиска служб на нестандартных портах - интересная задача, требующая «интеллектуальности» от приложения, и она далеко не везде грамотно реализована. С ней довольно хорошо справляются сканеры Nessus, Xspider, Shadow Security Scanner.
В случае, если сканер используется для проверки работы корпоративной системы защиты от вторжений (IDS/IPS), скорость сканирования может сыграть злую шутку. Для корректной работы сканер должен обладать stealth-режимом, например, реализованным с помощью фрагментации IP-пакетов или длительными задержками между этапами сканирования. В этом плане очень интересен продукт Nessus, который, как и все ПО в Unix-системах, обладает большим потенциалом для настройки и адаптации под конкретные нужды. Nessus очень гибкий и масштабируемый продукт, кроме того, его возможности легко расширяются за счет написания собственных проверок на языке NASL.
Сканер должен уметь не только идентифицировать открытые порты, но и распознавать службы, закрепленные за ними. Причем после распознавания ОС, появляется возможность существенно сузить область поиска уязвимостей. Процесс идентификации играет немаловажную роль, он должен исключать дальнейшие проверки, не относящиеся к данному программному продукту, что влечет выигрыш времени сканирования. Безусловно, идентификация - важнейший этап, но он бессмыслен без самих проверок уязвимостей.
Эффективность поиска уязвимостей зависит от техподдержки
Существует несколько видов уязвимостей: опубликованные, неопубликованные, уязвимости в конфигурации и в протоколах передачи данных. Уязвимости, находящиеся в открытом доступе, не должны оставаться незамеченными сканерами по определению, ведь именно поиск таковых является их первостепенной задачей. Обновления баз теоретически должны выпускаться незамедлительно после обнаружения уязвимости. Здесь ситуация полностью аналогична рынку антивирусов. Распознавание остальных видов уязвимостей также должно быть включено в стандартную практику техподдержки, но уже носит необязательных характер, хотя и необходимый на практике.
Результатом работы сканера являются специализированные отчеты, которые представляют собой перечень найденных уязвимостей. Первой проблемой при их обработке становится формат сохраненных данных. Их анализ становится затруднительным, если в исследуемой сети количество компьютеров превышает несколько десятков. В таком случае большим плюсом станет умение сканера сохранять отчеты в стандартных базах данных, которые могут быть использованы в распространенных СУБД (например, Oracle, MySQL, MS SQL Server и т.д.). Отчет в первую очередь должен быть полным, но легким в анализе, что отличает его от логов, которые могут дать более обширные сведения о ходе сканирования, хотя очень громоздки и неудобны для просмотра. Если при обнаружении серьезных уязвимостей сведений из отчета не хватает, то рекомендуется просматривать лог-файл для отыскания проблемы.
Как планировать аудит?
Каждый день можно наблюдать за появлением все новых и новых уязвимостей, причем, большая часть из них эксплуатируется уже после публичного обнаружения (выхода в свет Proof of Concept), а потому вендоры оказываются осведомлены о данной уязвимости и реагируют достаточно быстро, выпуская патчи. Подобная работа по анализу обнаруженных уязвимостей проводится и производителями сканеров безопасности, выпускающих обновления баз уязвимостей, а потому можно быть уверенным, что сканер сможет обнаружить стандартный набор эксплуатируемых ошибок в не зависимости от времени его эксплуатации.
Полезным свойством сканера становится возможность планирования сканирования заданных хостов, определенных до этого как наиболее важные с точки зрения исследования защищенности. Полноценное средство управления планированием реализовано не во всех сканерах, а лишь в Nessus, ISS, а также в Xspider. В больших сетях без этих функций не обойтись, иначе введение процедуры аудита защищенности программного обеспечения лишь осложнит обслуживание системы, не приведя к ожидаемым результатам.
Планирование процедур сканирования и их автоматизация приобретают значение в крупных сегментированных сетях, что позволяет проводить проверки с «разных сторон». Иногда межсетевые экраны настроены таким образом, что пропускают кадры определенного сегмента сети, а другие кадры с теми же параметрами, кроме адреса отправителя, отбрасывает. Другим ярким примером может стать сканирование демилитаризованной зоны, как снаружи, так и изнутри. В связи с этим распределенная архитектура сканера позволяет более гибко проводить оценку защищенности сети с самых разных позиций.
Наиболее полно и широко такая схема работы сканера реализована в Nessus, который изначально с момента своего появления создавался как клиент-серверное приложение. Распределенной архитектурой в определенной комплектации обладает ISS. Остальные сканеры пока не используют такое преимущество. В Xspider реализована функция планирования заданий, причем на этапе внедрения сканера можно составить профили разных объектов в сети и запланировать их сканирование с отправкой отчетов лицам, отвечающим за информационную безопасность того или иного объекта.
Аудит как средство защиты информации носит сугубо рекомендательный характер, другими словами, эта процедура не привносит изменений в саму систему. Однако анализ полученных данных позволяет говорить о мерах защиты от несанкционированного доступа к конфиденциальным ресурсам. Сканеры безопасности охватывают довольно обширную сферу проблем, поэтому благодаря их использованию можно не только искать уязвимые программы в сети, но и изменять политику безопасности, реагируя на обнаруженные проблемы.
Юрий Сергеев / CNews
Короткая ссылка
