Информационно-справочный портал MorePC.ru

Анализ защищенности корпоративных систем

При создании инфраструктуры корпоративной автоматизированной системы неизбежно встает вопрос о защищенности ее от угроз. Насколько адекватны механизмы безопасности существующим рискам? Можно ли доверять этой системе обработку конфиденциальной информации? Есть ли в текущей конфигурации ошибки, позволяющие злоумышленникам обойти механизмы контроля доступа? Содержит ли установленное программное обеспечение уязвимости, которые могут быть использованы для взлома защиты? Как оценить уровень защищенности и как определить, достаточен ли он в данной среде? Какие контрмеры позволят реально повысить уровень защищенности? На какие критерии оценки защищенности следует ориентироваться?

Такие вопросы рано или поздно задают все, кто отвечает за эксплуатацию и сопровождение автоматизированных систем (АС). Ответы на них далеко не очевидны. Умение оценивать и управлять рисками, знание типовых угроз и уязвимостей, критериев и подходов к анализу защищенности, владение методами анализа и специализированным инструментарием, профессиональное знание различных программно-аппаратных платформ, — вот далеко не полный перечень профессиональных качеств, которыми должны обладать те, кто проводит анализ защищенности. Подобный анализ — основной компонент таких взаимно пересекающихся видов работ, как аттестация, аудит и обследование безопасности АС.

Определение понятия защищенности АС

Основой формального описания систем защиты традиционно считается модель системы защиты с полным перекрытием, в которой рассматривается взаимодействие «области угроз», «защищаемой области» и «системы защиты». Таким образом, имеем три множества:

T = {ti} - множество угроз безопасности,
O = {oj} - множество объектов (ресурсов) защищенной системы,
M = {mk} - множество механизмов безопасности АС.

Элементы этих множеств находятся между собой в определенных отношениях, собственно и описывающих систему защиты. Для описания системы защиты обычно используется графовая модель. Множество отношений угроза-объект образует двухдольный граф {<T, O>}. Цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. Это достигается введением третьего набора M; в результате получается трехдольный граф {<T, M, O>}.

Развитие модели предполагает введение еще двух элементов.

V — набор уязвимых мест, определяемый подмножеством декартова произведения T * O: vr = <ti, oj>. Под уязвимостью системы защиты понимают возможность осуществления угрозы t в отношении объекта o. (На практике под уязвимостью системы защиты обычно понимают не саму возможность осуществления угрозы безопасности, а те свойства системы, которые либо способствуют успешному осуществлению угрозы, либо могут быть использованы злоумышленником для осуществления угрозы.)

B — набор барьеров, определяемый декартовым произведением V * M: bl = <ti, oj, mk>, представляющих собой пути осуществления угроз безопасности, перекрытые средствами защиты.

В результате получаем систему, состоящую из пяти элементов: <T, O, M, V, B>, описывающую систему защиты с учетом наличия в ней уязвимостей.

Для системы с полным перекрытием для любой уязвимости имеется устраняющий ее барьер. Иными словами, в подобной системе защиты для всех возможных угроз безопасности существуют механизмы защиты, препятствующие осуществлению этих угроз. Данное условие является первым фактором, определяющим защищенность АС; второй фактор — прочность механизмов защиты.

В идеале каждый механизм защиты должен исключать соответствующий путь реализации угрозы. В действительности же механизмы защиты обеспечивают лишь некоторую степень сопротивляемости угрозам безопасности. Поэтому в качестве характеристик элемента набора барьеров bl = <ti, oj, mk>, bl B может рассматриваться набор <Pl, Ll, Rl>, где Pl — вероятность появления угрозы, Ll — величина ущерба при удачном осуществлении угрозы в отношении защищаемых объектов (уровень серьезности угрозы), а Rl — степень сопротивляемости механизма защиты mk, характеризующаяся вероятностью его преодоления.

Прочность барьера bl = <ti, oj, mk> характеризуется величиной остаточного риска Riskl, связанного с возможностью осуществления угрозы ti в отношении объекта автоматизированной системы oj при использовании механизма защиты mk. Эта величина определяется по формуле:

Для определения величины защищенности S можно использовать следующую формулу:

,

где

.

Знаменатель определяет cуммарную величину остаточных рисков, связанных с возможностью осуществления угроз T в отношении объектов автоматизированной системы O при использовании механизмов защиты M. Суммарная величина остаточных рисков характеризует общую уязвимость системы защиты, а защищенность определяется как величина, обратная уязвимости. При отсутствии в системе барьеров bk, перекрывающих определенные уязвимости, степень сопротивляемости механизма защиты Rk принимается равной нулю.

На практике получение точных значений приведенных характеристик барьеров затруднено, поскольку понятия угрозы, ущерба и сопротивляемости механизма защиты трудно формализовать. Так, оценку ущерба в результате несанкционированного доступа к информации политического и военного характера точно определить вообще невозможно, а определение вероятности осуществления угрозы не может базироваться на статистическом анализе.

Вместе с тем, для защиты информации экономического характера, допускающей оценку ущерба, разработаны стоимостные методы оценки эффективности средств защиты. Для этих методов набор характеристик барьера дополняет величина Cl затрат на построение средства защиты барьера bl. В этом случае выбор оптимального набора средств защиты связан с минимизацией суммарных затрат W={wl}, состоящих из затрат C={cl} на создание средств защиты и возможных затрат в результате успешного осуществления угроз N={nl}.

Построение моделей системы защиты и анализ их свойств составляют предмет «теории безопасных систем», еще только оформляющейся в качестве самостоятельного направления.

Формальные подходы к решению задачи оценки защищенности из-за трудностей, связанных с формализацией, широкого практического распространения не получили. Значительно более действенным является использование неформальных классификационных подходов. Вместо стоимостных оценок используют категорирование: нарушителей (по целям, квалификации и доступным вычислительным ресурсам); информации (по уровням критичности и конфиденциальности); средств защиты (по функциональности и гарантированности реализуемых возможностей) и т. п. Такой подход не дает точных значений показателей защищенности, однако позволяет классифицировать АС по уровню защищенности и сравнивать их между собой. Примерами классификационных методик, получивших широкое распространение, могут служить разнообразные критерии оценки безопасности ИТ, принятые во многих странах в качестве национальных стандартов, устанавливающие классы и уровни защищенности. Результатом развития национальных стандартов в этой области является обобщающий мировой опыт международный стандарт ISO 15408.

Нормативная база анализа защищенности

Наиболее значимыми нормативными документами, определяющими критерии оценки защищенности и требования, предъявляемые к механизмам защиты, являются «Общие критерии оценки безопасности информационных технологий» (The Common Criteria for Information Technology Security Evaluation / ISO 15408) и «Практические правила управления информационной безопасностью» (Code of practice for Information security management / ISO 17799). Кроме этого, в нашей стране первостепенное значение имеют Руководящие документы Гостехкомиссии. В других странах их место занимают соответствующие национальные стандарты.

ISO 15408

Наиболее полно критерии оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408, принятом в 1999 году. «Общие критерии» определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements). «Общие критерии» целесообразно использовать для оценки уровня защищенности с точки зрения полноты реализованных в ней функций безопасности и надежности реализации этих функций.

Хотя применимость «Общих критериев» ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности.

Первая часть «Общих критериев» содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат и определяются принципы формализации предметной области.

Требования к функциональности средств защиты приводятся во второй части стандарта и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных функций безопасности.

Третья часть содержит требования к адекватности реализации функций безопасности — так называемые требования гарантированности оценки. С точки зрения оценки защищенности АС особый интерес представляет класс требований по анализу уязвимостей средств и механизмов защиты (Vulnerability Assessment). Он определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей:

Соответствующие требования гарантированности оценки содержатся в следующих четырех семействах требований:

При проведении работ по аудиту безопасности, перечисленные семейства требований могут использоваться в качестве руководства и критериев для анализа уязвимостей.

ISO 17799

Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в еще одном международном стандарте ISO 17799, принятом в 2000 году. Данный стандарт, являющийся международной версией британского стандарта BS 7799, содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты.

Практические правила разбиты на десять разделов:

В этих разделах содержится описание механизмов организационного уровня, реализуемых в настоящее время в государственных и коммерческих организациях во многих странах.

Десять ключевых средств контроля (механизмов управления информационной безопасностью), предлагаемых в ISO 17799, считаются особенно важными. При использовании некоторых из средств контроля, например, шифрования, могут потребоваться советы специалистов по безопасности и оценка рисков. Для обеспечения защиты особенно ценных ресурсов или оказания противодействия особенно серьезным угрозам безопасности, в ряде случаев могут потребоваться более сильные средства контроля, которые выходят за рамки ISO 17799.

Ключевые средства контроля представляют собой либо обязательные требования (например, требования действующего законодательства), либо считаются основными структурными элементами информационной безопасности (например, обучение правилам безопасности). Эти средства актуальны для всех организаций и составляют основу системы управления информационной безопасностью. Они служат в качестве основы для организаций, приступающих к реализации средств управления информационной безопасностью. К ключевым отнесены следующие средства контроля:

Процедура аудита безопасности АС по стандарту ISO 17799 включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту также является анализ и управление рисками.

Руководящие документы Гостехкомиссии

В общем случае, в нашей стране при решении задач защиты информации должно обеспечиваться соблюдение указов Президента, федеральных законов, постановлений Правительства, Руководящих документов Гостехкомиссии, ФАПСИ и других нормативных документов.

Критерии оценки механизмов защиты программно-технического уровня выражены в Руководящих документах Гостехкомиссии «АС. Защита от НСД к информации. Классификация АС и требования по защите информации», «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации», а также «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации». Однако сегодня эти Руководящие документы уже устарели, и содержащуюся в них классификацию нельзя признать состоятельной. Достаточно заметить, что классификация разрабатывалась без учета распределенной природы современных АС, а все современные коммерческие системы по своим возможностям превосходят требования первого класса защищенности за исключением требования по использованию сертифицированных криптографических алгоритмов. Развитием нормативной базы является разработка «Профилей защиты» для различных классов систем на базе «Общих критериев». К настоящему времени создано уже значительное количество англоязычных профилей защиты; усилия в этом направлении предпринимаются и в России.

Проект Руководящих документов «Специальные требования и рекомендации по защите конфиденциальной информации» (СТР-К), официально еще не принятый, содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования. Рассматриваются, в частности, следующие вопросы:

СТР-К может использоваться при проведении аудита и аттестации безопасности АС для оценки полноты и правильности реализации организационных мер защиты информации.

Аттестация АС и сертификация средств вычислительной техники по требованиям безопасности информации, аудит и обследование безопасности в отдельных случаях предполагают использование и других нормативных документов; их полный набор можно найти на официальном сайте Гостехкомиссии.

Методика анализа защищенности

Сегодня, видимо, не существует каких-либо стандартизированных методик анализа защищенности АС, поэтому алгоритмы действий аудиторов в конкретных ситуациях могут существенно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки возможно; она включает использование следующих методов:

Перечисленные технические методы предполагают применение как активного, так и пассивного тестирования системы защиты. Активное тестирование заключается в эмуляции действий потенциального злоумышленника; пассивное тестирование предполагает анализ конфигурации операционной системы и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную или с использованием специализированных программных средств.

Исходные данные

В соответствии с требованиями Руководящих документов при проведении работ по аттестации безопасности АС, включающих в себя предварительное обследование и анализ защищенности объекта информатизации, заказчиком работ должны быть предоставлены определенные исходные данные:

Опыт показывает, что перечисленных исходных данных явно недостаточно для выполнения работ по анализу защищенности АС, и приведенный в Руководящих документах список нуждается в расширении и конкретизации. Так, для оценки текущего положения дел с обеспечением безопасности наиболее значимо предоставление перечисленных ниже сведений об объекте информатизации:

Анализ конфигурации средств защиты внешнего периметра сети

При анализе конфигурации средств защиты внешнего периметра сети и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты:

Анализ конфигурации средств защиты внешнего периметра локальной сети предполагает проверку правильности установки сотен различных параметров конфигурации межсетевых экранов, маршрутизаторов, шлюзов виртуальных частных сетей, прокси-серверов, серверов удаленного доступа и др. Для автоматизации этого процесса могут использоваться специализированные программные средства анализа защищенности, выбор которых в настоящее время достаточно широк.

Один из методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем — использование технологии интеллектуальных программных агентов. На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки программного обеспечения, проверяет их правильность, контролирует целостность файлов, своевременность установки обновлений, а также решает другие задачи по контролю защищенности АС. Управление агентами осуществляет по сети программа-менеджер. Менеджеры, являющиеся центральными компонентами подобных систем, посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все полученные от агентов данные в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход, например, использован при построении комплексной системы управления безопасностью организации Symantec Enterprise Security Manager (ESM).

Методы тестирования систем защиты

Тестирование системы защиты АС проводится с целью проверки эффективности используемых в ней механизмов защиты, их устойчивости к атакам, а также с целью поиска уязвимостей. Традиционно используются два основных метода тестирования: по методу «черного ящика» и по методу «белого ящика».

Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. Против объекта испытаний реализуются все известные типы атак. Используемые методы тестирования эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, содержащие базу данных с описанием известных уязвимостей операционных систем, маршрутизаторов, сетевых служб и т. п., а также алгоритмов осуществления попыток вторжения.

Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяется наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рискам. Выводы о наличии уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного программного обеспечения, а затем проверяются на практике. Основным инструментом анализа в данном случае являются программные средства анализа защищенности системного уровня.

Выводы

Рассмотренные вопросы использования формального и классификационного подходов, нормативной документации, методов и средств анализа защищенности, конечно, не охватывают всего комплекса проблем, связанных с проведением аудита, обследования и аттестации безопасности АС. Вместе с тем, они отражают основные направления исследований в этой области.

Исследование методологической базы анализа защищенности АС, которую составляют различные способы формального описания систем защиты, позволило выявить достоинства и недостатки формального подхода к анализу защищенности.

Главное достоинство состоит в том, что он позволяет получить точные количественные оценки различных показателей защищенности АС. Однако практическая реализация формального подхода представляется делом весьма затруднительным и малоэффективным. Поэтому напрашивается вывод о предпочтительности классификационного подхода, который и является основным методом анализа защищенности, используемым на практике. В основе классификационных методик, получивших широкое распространение, лежат критерии оценки безопасности ИТ, устанавливающие классы и уровни защищенности.

К сожалению, отечественная нормативная база в области оценки безопасности ИТ устарела. К настоящему времени подготовлен и утвержден Госстандартом ГОСТ Р ИСО / МЭК 15408-1-2002 «Общие критерии оценки безопасности ИТ», являющийся переводом ISO 15408. Данный ГОСТ вводится в действие с 1 января 2004 года, что объясняется неготовностью отечественного ИТ-сообщества немедленно перейти к использованию устанавливаемых им концепции и методики оценки безопасности ИТ. На основе «Общих критериев» уже подготовлены проекты Профилей защиты для межсетевых экранов и других средств защиты информации. Для обеспечения преемственности результатов работ, выполненных по ныне действующим нормативным документам, также необходимо разработать типовые стандартизированные профили защиты, соответствующие классам защищенности, устанавливаемым существующими Руководящими документами Гостехкомиссии.

Несмотря на отсутствие каких-либо стандартизированных методик анализа защищенности АС, типовую методику предложить все-таки можно. Перечисленные в ней методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты, производимого вручную или с применением специализированных программных средств.

Александр Астахов, сотрудник компании United Financial Group (Москва)
08.08.2002
«Открытые системы», № 7-8/2002