Системы контроля целостности

Если, несмотря на использование «классических» систем обнаружения атак и другие предпринятые защитные меры, злоумышленник все-таки проник в защи­щаемую систему, то, как правило, он попытается установить программы типа «троянский конь», изменить системные файлы или отключить систему защиты. В абсолютном большинстве случаев все эти действия реализуются путем измене­ния каких-либо файлов (исполняемых, конфигурационных, динамических библио­тек, драйверов и т. п.).

- Целевой анализ (target-based) (также известный как контроль целостности файлов) использует пассивные, не оказывающие заметного влияния на работу контролируемой системы методы для проверки целостности системы и файлов данных, а также объектов системы и их атрибутов (например потоки данных, базы данных и ключи системного реестра). Системы контроля целостности ис­пользуют криптографические проверки контрольных сумм для того, чтобы полу­чить доказательства подделки для наиболее важных системных объектов и фай­лов. Алгоритмы этих проверок основаны на хэш-функциях, которые обладают тем свойством, что даже незначительные изменения во входных данных функции со­здают большие различия в результате. Это означает, что незначительное измене­ние в потоке входных данных приведет к тому, что алгоритм контроля целостно­сти создает значительное изменение в контрольной сумме, генерируемой алгорит­мом. Эти алгоритмы являются криптографически стойкими; то есть при заданном конкретном входном значении (величине) практически невозможно сравняться с другим входным значением для алгоритма, которое будет создавать идентичное выходное значение. Это предотвращает наиболее распространенную атаку против сравнительно простых алгоритмов генерации контрольных сумм (CRC), при кото­рых хакеры маскируют изменения в содержании файла, так что одинаковая конт­рольная сумма создается как для оригинального, так и для подделанного файла.

Системы контроля целостности работают по замкнутому циклу, обрабатывая файлы, системные объекты и атрибуты системных объектов с целью получения контрольных сумм; затем они сравнивают их с контрольными суммами, получен­ными на предыдущем цикле, отыскивая изменения. Когда изменение обнаружено, продукт посылает сообщение администратору безопасности, при этом фиксируя время, соответствующее времени вероятного изменения.

Контроль целостности позволяет реализовать стратегию эффективного мони­торинга, сфокусированную на системах, в которых целостность данных и целост­ность процессов играет наиболее важную роль (например системы управления ба­зами данных). Этот подход позволяет контролировать конкретные файлы, системные объекты и атрибуты системных объектов на происходящие изменения, обращая особое внимание скорее на конечный результат атаки, а не на подробно­сти развития атаки.

Современные подходы к созданию типовой архитектуры безопасности корпоративной сети

Экспоненциальное развитие информационных технологий в конце 20 века привело к тому, что на сегодняшний день практически все бизнес-процессы лю­бой компании основаны на использовании различных автоматизированных систем. Подобная тенденция к всеобщей автоматизации бизнес-процессов обусловлена прежде всего конкурентной борьбой: чем ниже себестоимость продукции тем, следовательно, выше конкурентоспособность компании. Именно поэтому такое широкое применение в экономике нашли компьютерные сети (в т. ч. Internet) и созданные на их базе различные распределенные вычислительные системы, по­зволяющие существенно сократить время, необходимое для выполнения различ­ных технологических операций. Анализ ситуации рынка информационных техно­логий показывает его дальнейший бурный рост в ближайшее десятилетие.

Однако наряду с безусловными позитивными моментами, связанными с все­общей автоматизацией бизнес-процессов, существуют и негативные стороны. К ним прежде всего "необходимо отнести вновь возникающие проблемы, связан­ные с безопасностью обрабатываемой информации в автоматизированных систе­мах компании. Всего существуют три классических угрозы безопасности инфор­мации — это угрозы раскрытия, целостности и отказа в обслуживании.

Итак, вы — IT-менеджер компании. Что произойдет, если информация, обра­батываемая в вашей информационной системе, попадет к конкурентам (угроза раскрытия)? Что случится, если произойдет несанкционированное изменение критично важных для вашей компаний документов '(угроза целостности)? Что произойдет, если внезапно ваша автоматизированная система будет остановлена (угроза отказа в обслуживании)? Обратимся лишь к некоторым фактам — стати­стика нарушений информационной безопасности неумолима:

• 1999 г. в США убытки компаний составили 266 млн $;

• 1996—1998 среднегодовые потери составляли 120 млн $;

• выход из строя на 22 часа сайта eBay.com принес компании убытки в разме­ре 5 млн.

Попробуйте оценить возможный ущерб, который принесет вашей компании реализация на практике, вышеприведенных угроз. Попробовали? Если нанесен­ный ущерб оказался несущественен, то это означает, что уровень автоматиза­ции бизнес-процессов в вашей компании на сегодняшний день невысок и вопро­сы обеспечения информационной безопасности вам предстоит решать только в будущем. Если же стоимость возможного ущерба составила внушительную циф­ру, то ответ для вас очевиден — настал момент, когда пренебрежение вопроса­ми безопасности информации может привести к серьезным убыткам для вашей компании.

Рассмотрим теперь несколько стандартных заблуждений, которые, по опыту авторов, часто встречаются у IТ-менеджеров компаний: «У нас в корпоративной сети защищать нечего!» и/Шаша корпоративная сеть не имеет выхода в Интер­нет — значит, нам ничего не угрожает». Поверьте нашему обширному опыту секьюрити-аналитиков с многолетним стажем, во внутренней сети практически лю­бой компании можно с легкостью найти информацию, представляющую для ком­пании большую ценность. Чем определяется ценность информации — убытками, которые понесет компания, если эта информация подвергнется воздействию од­ной или нескольких угроз, перечисленных в предыдущем абзаце. Простой при­мер — у каждой компании обычно имеются конкуренты. И у каждой компании обычно имеется база данных собственных клиентов, которая несомненно может представлять очень большой интерес для конкурента.

Допустим, ваша корпоративная сеть не имеет выходов в Интернет. Означает ли это, что вам не нужно решать вопросы внутренней информационной безопасности? Вы на 100 % одинаково доверяете всем своим сотрудникам: от уборщицы до высшего руководства? Почему для 9 из 10 руководителей компаний является очевидным фактом стопроцентная необходимость физического обеспечения внут­ренней безопасности компании (комплекс физических и технических мер по ох­ране помещений) и те же 9 из 10 руководителей не считают нужным заниматься внутренней безопасностью своих сетей. Почему? Потому что мы с вами, коллеги IT-менеджеры, плохо объясняем руководству, что наличие 'вооруженного охран­ника у серверной комнаты никоим образом не спасет компанию от засланной кон­курентами «простой» уборщицы, которая, подключившись к любому компьютеру внутри вашей сети, может, несмотря на физическую охрану сервера, с легкостью осуществит к нему несанкционированный доступ.

Перейдем теперь от слов к делу и коснемся технической части вопроса. Прежде чем говорить об архитектуре безопасности корпоративной сети, рассмот­рим кратко основные имеющиеся на сегодняшний день программно-аппаратные средства информационной защиты, которые могут быть использованы в предлага­емой ниже архитектуре

На рис. 14 показана типовая архитектура безопасности корпоративной сети, подключенной к Интернет.

Рассмотрим основные принципы, которые были в нее заложены: 1. Введение N категорий секретности и создание соответственно N выделен­ных сетевых сегментов пользователей. При этом каждый пользователь внутри своего сетевого сегмента имеет одинаковый уровень секретности (допущен к ин­формации одного уровня секретности). В этом случае мы всегда на своих семина­рах проводим аналогию с секретным заводом, где все сотрудники в соответствии со своим уровнем доступа имеют доступ только к соответствующим этажам. Эта структура объясняется тем, что ни в коем случае нельзя смешивать потоки ин­формации разных уровней секретности. Не менее очевидным объяснением такого разделения всех пользователей на N изолированных сегментов является лёгкость осуществления атаки внутри одного сегмента сети.

2. Выделение в отдельный сегмент всех внутренних серверов компании. Эта мера также позволяет изолировать потоки информации между пользователями, имеющими различные уровни доступа.

3. Выделение в отдельный сегмент всех серверов компании, к которым будет предоставлен доступ из Интернет (создание DMZ — демилитаризованной зоны для внешних ресурсов).

4. Создание выделенного сегмента административного управления.

5. Создание выделенного сегмента управления безопасности.

Многоуровневая политика безопасности (на всех уровнях модели OSI) для всех сегментов обеспечивается заданием соответствующих правил фильтрации на межсетевом экране. Все сегменты, за исключением сегмента DMZ, с примене­нием технологии адресной трансляции (Network Address Translation — NAT) на межсетевом экране, имеют приватные IP-адреса.

Для обеспечения возможной защищенной связи с другим филиалом компа­нии по открытым каналам Интернет межсетевой экран одновременно выполняет функции VPN-шлюза. Для пользователей высокого уровня секретности необходи­мо использование VPN-клиентов на каждом компьютере внутри данного пользо­вательского сегмента. Это позволит обеспечить криптозащищенную связь пользо­вателя с внутренними серверами компании и сделает практически невозможными удаленные атаки между пользователями внутри одного сегмента: простой пере­хват трафика ничего не даст, подмена абонента соединения будет также невоз­можна из-за надежных криптографических методов защиты трафика и идентифи­кации/аутентификации абонентов.

В каждом сетевом сегменте находится сетевой агент системы обнаружения удаленных атак, передающий всю информацию об обнаруженных атаках в сегмен­те на соответствующий сервер обнаружения атак, расположенный на рабочей станции администратора безопасности.

Также не будем забывать, что все рабочие станции и серверы защищены ком­плексами защиты от НСД и средствами антивирусной защиты.

В случае, когда необходимо предоставление доступа внешним пользователям к ресурсам компании (к DMZ) и требуется обеспечение повышенного уровня за­щиты, необходимо использование двух межсетевых экранов.

Рис. 15. Обеспечение повышенного уровня сетевой защиты

Безусловно, полное воплощение на практике рассмотренной выше архитекту­ры сетевой безопасности потребует от компании вложения значительных средств. Поэтому для того чтобы избежать избыточных расходов, прежде всего необходимо провести комплексный анализ безопасности информационных ресур­сов компании (аудит безопасности, причем желательно силами сторонних неза­висимых аудиторов которые укажут на слабые места в имеющейся системе обес­печения безопасности и предложат оптимальный комплекс мер по повышению те­кущего уровня защищенности сети. Почему нужно приглашать кого-то, а не воспользоваться услугами своих специалистов, спросите вы. Это еще одно стан­дартное заблуждение, что все проблемы можно решить своими силами. Во-пер­вых, это очень сложная и комплексная задача, и для ее решения нужно иметь как практический опыт решения подобных задач, так и владеть соответствующей ме­тодикой и технологией выполнения подобных работ. Поэтому вряд ли вам удастся найти собственного специалиста по безопасности, который имеет подобный опыт решения данных задач — слишком это узкая и специфичная сфера деятельности. Кроме того, ни в коем случае нельзя поручать заниматься как обеспечением, так и, тем более, анализом безопасности тем же специалистам из отдела ИТ, которые занимаются обычным администрированием системы. В случае обеспечения без­опасности это очевидно даже из простых соображений элементарной безопас­ности: необходимо разделять функции администратора системы и администрато­ра безопасности между разными людьми. Помните об аксиоме безопасности, о ко­торой вы уже читали в этой книге: «Чем автоматизированная система более функциональна, тем она менее безопасна». Иными словами, что хорошо для адми­нистратора системы, то плохо для безопасника. Хорошо, скажете вы, пусть ауди­том безопасности займется мой собственный специалист по безопасности (поло­жим, он раньше был аудитором и у него есть соответствующий опыт). Вспомним, что в случае необходимости в проведении аудита системы мы, применительно к аудиту, недаром сделали акцент на слове независимый. Вы хотите получить комп­лексную независимую оценку состояния безопасности вашей системы, которая не зависит от чьих-либо интересов в компании? Вы хотите иметь гарантию, что никто в своих интересах не повлияет на вывод сотрудника вашей компании, кото­рый будет заниматься аудитом? Если да, если вам нужна реальная оценка уровня защищенности, то ответ для вас очевиден: необходимо воспользоваться услугами стороннего аудитора. Ведь согласитесь, что бессмысленно заниматься аудитом са­мих себя, не имея при этом в большинстве случаев еще и необходимого опыта. По нашему опыту, самая сложная задача для аудитора — понять, как реализуется ядро бизнес-процессов компании на уровне автоматизированной системы, и оце­нить степень их рисков.