В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
С.А. ЯСЬКО
к.т.н., начальник отдела ООО "Газинформсервис"
Эволюция защиты
После создания системы защиты информации всегда встает два вопроса:
1.Насколько эффективно работает система защиты информации и какова реальная защищенность АС?
2.Можно ли считать построенную систему защиты комплексной?
Для ответа на первый вопрос служат системы контроля защищенности и средства контроля эффективности защиты информации. До ввода в действие ГОСТ Р 51583-2000 они не рассматривались как обязательные составляющие систем защиты информации. Примечательно, что необходимость их использования обусловлена одной причиной - высокой динамикой развития современных информационных технологий вообще и каждой конкретной АС в частности.
Действительно, постоянно появляются новые решения в области информационных технологий, обнаруживаются новые уязвимости программных и аппаратных платформ, появляются новые вирусы и т.д. В современных АС ежедневно возникают новые задачи, вынуждающие создавать новые программные, аппаратные и интеллектуальные ресурсы, отвечающие требованиям времени.
По данным журнала Cnews, динамика обнаруженных уязвимостей в 1995-2005 гг. имеет вид, представленный на рис. 1.
В такой ситуации невозможно говорить об организации статической системы защиты информации "раз и навсегда". Возможность гибкого реагирования на изменяющуюся среду функционирования реализуется в современных условиях за счет использования систем обнаружения вторжений и сканеров безопасности.
Вообще на основе анализа опыта работы в этой области развитие методов защиты информации можно условно разбить на три этапа.
1этап. Защита "вручную":
2этап. Автоматизированное обнаружение уязвимостей:
3этап. Динамическая защита:
В настоящее время методы защиты информации фактически находятся в самом начале третьего этапа развития, а выявление уязвимостей и оценка рисков проводится с использованием систем анализа защищенности (сканеров безопасности различных типов).
Таким образом, основные задачи, для решения которых используются системы контроля защищенности, - это автоматическое тестирование и диагностика АС в целом и отдельных ее элементов с целью оценки соответствия существующего уровня защищенности АС требованиям политики безопасности.
Одними из основных средств контроля защищенности являются сканеры безопасности и системы обнаружения вторжений.
Сканеры безопасности
Основные задачи, для решения которых используются сканеры безопасности, - это тестирование и диагностика корпоративных информационных систем в целом и отдельных ее элементов с целью выявления уязвимостей и потенциальных угроз безопасности ресурсов, оценивание рисков, выдача рекомендаций по устранению обнаруженных уязвимостей и нейтрализации угроз, представление соответствующих отчетов для специалистов различного уровня.
Для решения этих задач сканеры безопасности осуществляют:
В качестве одной из наиболее ценных функциональных возможностей сканеров является обнаружение ими установленных на рабочих местах пользователей модемов, которые используются для несанкционированного выхода в сеть Интернет.
Системы обнаружения вторжений
Основные задачи, для решения которых используются системы обнаружения вторжений (СОВ), - это обнаружение атак в реальном масштабе времени, их блокировка, извещение должностных лиц, устранение последствий нанесенного ущерба и принятие мер, исключающих компьютерные инциденты в будущем.
Для решения этих задач современные СОВ осуществляют:
Интегральная эффективность СОВ определяется прежде всего их способностью в реальном масштабе времени обнаруживать и соответствующим образом реагировать на процессы, которые могут нанести существенный ущерб защищаемой корпоративной информационной системе.
В качестве наиболее интересного примера применения СОВ можно привести реализацию с ее помощью технологии "виртуальных заплаток" (оперативное устранение выявленных уязвимостей).
По данным исследования компании Forrester Research (февраль 2006 г.), которая проанализировала средние "дни риска" (время от публичного сообщения об уязвимости - предполагается, что атаки на нее начнутся только после этого, -до выпуска "заплатки" поставщиком ПО, рис. 3), время неизбежного риска до того, как администратор сможет получить "заплатку" и решить проблему, для разных операционных систем составляет от 10 дней до 1-2 месяцев.
По опыту работы среднее время установки "заплатки" составляет от 30 минут до 3 часов на один сервер и 25-30 минут на рабочую станцию. Для большой сети получаются огромные трудозатраты. Но перед тем, как принять решение об установке этой "заплатки", нужно еще провести тестирование на ее совместимость с другим программным обеспечением, чтобы не вызвать остановку всей АС. Таким образом, время между обнаружением уязвимости и реальной установкой "заплатки" может увеличиться еще в несколько раз!
В этом случае и приходит на помощь технология "виртуальных заплаток" (рис. 3). Процесс работы этой технологии выглядит следующим образом.
Эксперты компании-разработчика системы обнаружения вторжений постоянно получают информацию и занимаются поиском новых уязвимостей и атак, а также методов защиты от них. Еще до официального опубликования информации об обнаруженных уязвимостях они готовят специальные модули обновления. Эти обновления распределяются по пользователям систем обнаружения и предотвращения вторжений.
После получения таких обновлений с помощью сканеров безопасности проводится сканирование всех защищаемых ресурсов. В случае обнаружения уязвимости на каком-либо из узлов сети (будь то сервер, рабочая станция или сетевое устройство) выдается управляющее воздействие системам обнаружения и предотвращения атак, установленным на периметре сети или на критичных серверах, блокировать соответствующую сетевую активность. Таким образом предотвращается использование выявленной уязвимости даже в случае отсутствия соответствующей "заплатки". Уже после выпуска производителем требующейся "заплатки" администратор может в спокойной обстановке реализовать процесс ее распространения и установки. Даже если эта "заплатка" оказывается каким-либо образом несовместима с другим используемым программным обеспечением, нарушитель не может воспользоваться уязвимостью, так как СОВ автоматически предотвращает эту атаку и информирует администратора о данном событии.
Таким образом, получен ответ на вопрос, можно ли считать систему защиты комплексной без использования полноценных средств контроля защищенности - он очевиден: нет!
А.В. Алексеев
начальник управления НИОКР ЗАО "НИЕНШАНЦ"
ТЕМА, поднятая в статье С.А. Ясько, как никогда актуальна. Большое разнообразие имеющихся на рынке СЗИ ставит перед проектировщиками комплексных систем защиты информации (КСЗИ), компаниями-интеграторами и перед самими заказчиками вопрос: какова реальная защищенность разрабатываемых систем? Что такое "хорошо" и что такое "плохо" при обеспечении информационной безопасности автоматизированных систем? Очевидно, что оценка эффективности КСЗИ должна быть многокритериальной, но подтвердить ее расчетными выражениями, к сожалению, далеко не простая задача. И главная причина здесь заключается в участии в процессе информационного противоборства нарушителя-человека, чьи действия не могут быть описаны в рамках теории вероятностей. Именно поэтому система "защиты гибкого реагирования", которую предлагает автор, должна иметь "подсистему контроля защищенности". В сочетании с "подсистемой антивирусного контроля" и подобными они должны образовывать в целом подсистему мониторинга-анализа-контроля (а в перспективе - и прогнозирования) эффективности функционирования КСЗИ.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2006