ЖАНРЫ

Безопасность карточного бизнеса : бизнес-энциклопедия

Доронин А. М.

Шрифт:

Под аудитом же мы понимаем как сбор статистической информации о том, что есть в нашей сети, так и мониторинг того, что происходит сейчас или произошло в прошлом, другими словами, сбор и анализ логов с различных источников, их нормализация, агрегация и в итоге корреляция по заданным правилам. За пен-тест и аудит в части сбора статистики отвечают различные сканеры безопасности, хороших из них, на взгляд авторов, не больше пяти, а полнофункциональных вообще один.

За сбор логов и их дальнейшую обработку отвечает другой класс систем, так называемые SIEM-решения (Security Information and Event Management).

Использование SIEM и сканера безопасности в организации и как это упрощает жизнь

В общем виде перед системой контроля защищенности ставятся следующие задачи:

• создание внутренних процессов по непрерывному контролю ИТ-инфраструктуры и информационной безопасности;

• снижение экономического ущерба из-за недоступности ресурсов и потери конфиденциальной информации;

• сокращение издержек на контроль изменений и управление уязвимостями;

• внедрение механизмов оценки эффективности ключевых ИТ-про-цессов и ИБ (информационной безопасности).

Решение поставленных задач соответствует требованиям следующих международных стандартов в области информационной безопасности:

• ISO 27001 в части мониторинга информационных ресурсов, контроля средств защиты, операционных систем и программного обеспечения, выполнения требований политик и стандартов безопасности;

• PCI DSS в части мониторинга настроек средств защиты, контроля выполнения требований политик и стандартов безопасности, периодического тестирования средств защиты и выявления уязвимостей.

Техническая реализация контроля защищенности сводится ко многим факторам, определяющим само понятие «защищенность». Так, например, наиболее распространенными путями взлома на сегодняшний день являются социальная инженерия [87] в сочетании с уязвимостями рабочих мест пользователей, использование уязвимостей в Web-приложениях, слабость парольной защиты, а также уязвимости и ошибки конфигурации сетевых устройств, средств защиты периметра и информационных ресурсов в демилитаризованных зонах.

87

Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Например злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит.

Приведем несколько примеров:

• Относительно рабочих мест сотрудников: получение сотрудниками по почте или иным способом зараженных (!) файлов с именами типа «Список увольняемых 2010.doc» или «Премиальные выплаты. pdf», а также использование уязвимостей в стопроцентно «дырявом» ПО, к которым без преувеличения можно отнести Web-браузеры, почтовые программы, офисные приложения Microsoft, средства чтения документов в формате PDF, многие IM-клиенты [88] , в том числе популярный ICQ, многие видеокодеки, JAVA-приложения и многие другие, в том числе и сами операционные системы. Крупные вендоры достаточно быстро реагируют на найденные бреши в безопасности своих продуктов, но от момента выхода патчей до момента их установки на компьютеры пользователей проходит продолжительное время.

88

IM — Instant messenger — способ обмена сообщениями через Интернет и службы мгновенных сообщений (ICQ, QIP и др.).

• Относительно веб-приложений: по данным Web Applkation Security Consortium [89] , более 10 % сайтов может быть взломано полностью автоматически, а по данным Positive Tehnologies, порядка трети вебсайтов крупных российских компаний имеет уязвимости высокой степени критичности.

• Относительно парольной политики приведем несколько цифр:

• больше половины паролей пользователей являются только цифровыми;

• около 20 % составляют только символы латинского алфавита в нижнем регистре;

89

WASC — консорциум, объединяющий международные группы экспертов, разрабатывающих стандарты безопасности в сфере Интернета.

• примерно 15 % — символы в нижнем регистре и цифры;

• при этом самыми популярными являются пароли от 1 до 7 или 8, пустая строка и легко набираемые комбинации символов на клавиатуре (например, qwerty123).

• Относительно сетевых устройств и защиты периметра есть много распространенный недочетов:

• маршрутизаторы имеют настройки «по умолчанию»;

• файрволы имеют правила с настройкой «any» или вообще «any-to-any» [90] . Неконтролируемые настройки на production-серверах [91] в ситуации, когда вроде бы и существуют документы, регламентирующие настройки безопасности и политики, но отсутствует техническая возможность их отслеживания.

90

Настройка host-to-any позволяет с определенного адреса получать возможность соединиться с чем угодно, any-to-host — кому угодно соединиться с определенным адресом, any-to-any — всем адресам со всеми адресами (такой вариант настройки говорит о том, что либо файрвол не нужен вообще в данном случае, либо работает только для введения логов, ничего не блокируя).

91

Имеется ввиду ситуация, когда администраторы никак не документируют и ни с кем не согласовывают никаких изменений, которые они проводят на обслуживаемых серверах и приложениях, а когда возникают вопросы «кто?» или «зачем?», то ответов в итоге не поступает.

На практике при наличии необходимого и достаточного, казалось бы, ПО от известных вендоров для защиты и нормативных документов вполне реально достичь следующих «технических результатов»:

• получить доступ к рабочей станции старшего инженера;

• получить доступ к магистральным маршрутизаторам;

• получить сетевой доступ к технологической сети;

• подобрать пароли к ряду внутренних маршрутизаторов;

• получить доступ 15-го уровня к периметровым маршрутизаторам Cisco (аналог root-прав для UNIX и прав администратора в Windows).

Это то, что относится к системам контроля защищенности, но помимо этого необходимо еще и осуществлять мониторинг того, что происходит в реальном времени. Задачи системы класса SIEM могут быть сформулированы следующим образом:

• осуществление централизованного сбора, обработки и анализа событий из множества распределенных гетерогенных источников событий;

• корреляция полученных событий информационной безопасности по заданным правилам;

• постоянный контроль соответствия сетевых устройств заданной политике безопасности;

• обнаружение в режиме реального времени атак, нарушений политик безопасности и автоматизированное формирование отчетов и рекомендаций по их устранению;

• автоматическое создание и рассылка отчетов о состоянии корпоративной сети обслуживающему персоналу, администраторам безопасности и руководству компании;

• учет имеющихся информационных активов, анализ рисков, связанных с недоступностью либо потерей целостности этих активов, а также автоматическое принятие решений, основанных на политике безопасности, для защиты информационных активов в случае возникновения угроз;

• предоставление инструментария для проведения расследований инцидентов ИБ, формирования отчетности в ходе решения конкретных задач, отслеживания статуса их решения;

• хранение в базе данных поступивших событий в течение не менее установленного политикой безопасности срока, возможность быстрого поиска по событиям.

Система данного класса предназначена для обеспечения мониторинга и корреляции событий информационной безопасности, мониторинга состояния безопасности корпоративной сети, консолидации рабочего места оператора безопасности, что позволяет снизить общую стоимость владения системой защиты. В первую очередь решением задачи является сбор информации от других подсистем (средств защиты) — систем анализа трафика и обнаружения и предотвращения атак, подсистем межсетевого экранирования, маршрутизаторов, серверного оборудования и операционных систем защищаемых серверов и рабочих станций, антивирусных средств защиты и др., представление ее в унифицированном формате, удобном для восприятия администратором безопасности. Помимо простого сбора, нормализации и визуализации, подсистема позволяет производить интеллектуальный анализ, корреляцию разрозненных событий в соответствии с логикой, заданной внутренними правилами, а также в соответствии с правилами, которые задает оператор или администратор системы безопасности для выявления специализированных действий (злоумышленных действий), которые могут проводиться как легальными пользователями, так и злоумышленниками.

Поделиться с друзьями: