Similar presentations:
Концепция адаптивного управления безопасностью. Технология анализа защищенности
1.
Концепция адаптивногоуправления безопасностью.
Технология анализа
защищенности
2.
Основные понятияАтакой на корпоративную информационную систему считается любое действие,
выполняемое нарушителем для реализации угрозы путем использования уязвимостей
корпоративной информационной системы (КИС).
Под уязвимостью корпоративной информационной системы понимается любая
характеристика или элемент КИС, использование которых нарушителем может
привести к реализации угрозы.
Адаптивный подход к безопасности позволяет контролировать, обнаруживать и
реагировать в режиме реального времени на риски безопасности, используя правильно
спроектированные и хорошо управляемые процессы и средства.
3.
Этапы осуществления атаки:Предпосылки проведения атаки (поиск злоумышленником уязвимостей);
Реализация атаки (использование найденных уязвимостей);
Завершение атаки (скрытие следов вторжения).
Существующие механизмы защиты, реализованные в межсетевых экранах, серверах
аутентификации, системах разграничения доступа, работают только на этапе
реализации атаки. По существу эти механизмы защищают от атак, которые находятся
уже в процессе осуществления. Более эффективным было бы предотвращение самих
предпосылок реализации вторжения.
4.
Адаптивная безопасность сети обеспечивается тремя основными элементами:технологиями анализа защищенности;
технологиями обнаружения атак;
технологиями управления рисками.
Анализ защищенности - это поиск уязвимых мест в сети. Сеть состоит из
соединений, узлов, хостов, рабочих станций, приложений и баз данных
Технологии анализа защищенности позволяют исследовать сеть, найти слабые места в
ней, обобщить эти сведения и выдать по ним отчет Если система, реализующая эту
технологию, содержит и адаптивный компонент, то устранение найденной
уязвимости будет осуществляться не вручную, а автоматически.
5.
Модель адаптивного управления безопасностью сети6.
Использование модели адаптивной безопасности сети позволяет контролироватьпрактически все угрозы и своевременно реагировать на них высокоэффективным
способом, позволяющим не только устранить уязвимости, которые могут привести к
реализации угрозы, но и проанализировать условия, приводящие к появлению
уязвимостей.
Адаптивный компонент модели адаптивного управления безопасностью (ANS)
отвечает за модификацию процесса анализа защищенности, предоставляя ему самую
последнюю информацию о новых уязвимостях. В качестве примера адаптивного
компонента можно указать механизм обновления БД антивирусных программ для
обнаружения новых вирусов.
7.
Технология обнаружения атак - это процесс идентификации и реагирования наподозрительную деятельность, направленную на вычислительные или сетевые
ресурсы.
Классификация систем обнаружения атак может быть выполнена по нескольким
признакам:
по способу реагирования;
по способу выявления атаки;
по способу сбора информации об атаке.
8.
По способу реагирования различают пассивные и активные системы. Пассивныесистемы просто фиксируют факт атаки, записывают данные в файл журнала и выдают
предупреждения. Активные пытаются противодействовать атаке, например, изменяя
конфигурацию межсетевого экрана.
По способу выявления атаки системы обнаружения атак принято делить на две
категории:
обнаружения аномального поведения;
обнаружения злоупотреблений.
Аномальное поведение пользователя - это отклонение от нормального поведения.
Примером аномального поведения может служить большое число соединений за
короткий промежуток времени, высокая загрузка центрального процессора и т.п.
9.
Деление по способу сбора информации об атаке:обнаружение атак на уровне сети (анализируют сетевой трафик);
обнаружение атак на уровне хоста (анализируют регистрационные журналы
операционной системы или приложения);
обнаружение атак на уровне приложения.
10.
Технология анализа защищенностиИспользование средств анализа защищенности позволяет определить уязвимости на
узлах корпоративной сети и устранить их до того, как ими воспользуются
злоумышленники. По существу, действия системы анализа защищенности
аналогичны действиям охранника, периодически обходящего все этажи охраняемого
здания в поисках открытых дверей, незакрытых окон и других проблем. Только в
качестве здания выступает корпоративная сеть, а в качестве незакрытых окон и
дверей - уязвимости.
11.
Средства анализа защищенности могут функционировать на сетевом уровне, уровнеоперационной системы (ОС) и уровне приложения. Они могут проводить поиск
уязвимостей, постепенно наращивая число проверок и «углубляясь» в
информационную систему, исследуя все се уровни
Наибольшее распространение получили средства анализа защищенности сетевых
сервисов и протоколов. Обусловлено это в первую очередь универсальностью
используемых протоколов. Изученность и повсеместное использование таких
протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п., позволяют с высокой степенью
эффективности проверять защищенность информационной системы, работающей в
сетевом окружении.
12.
Вторыми по распространенности являются средства анализа защищенностиоперационных
систем.
Обусловлено
это
также
универсальностью
и
распространенностью некоторых операционных систем (например, UNIX и Windows
NT).
Однако, из-за того что каждый производитель вносит в операционную систему свои
изменения (в качестве примера можно привести множество разновидностей ОС
UNIX), средства анализа защищенности ОС анализируют в первую очередь
параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем
анализируются специфичные для нее параметры.
13.
Средств анализа защищенности приложений на сегодняшний день не так уж много.Такие средства пока существуют только для широко распространенных прикладных
систем типа Web-браузеров (Netscape Navigator, Microsoft Internet Explorer), СУБД
(Microsoft SQL Server, Oracle) и т.п.
14.
Применение средств анализа защищенности позволяет быстро определить все узлыкорпоративной сети, доступные в момент проведения тестирования, выявить все
используемые в сети сервисы и протоколы, их настройки и возможности для
несанкционированного воздействия (как изнутри корпоративной сети, так и
снаружи). По результатам сканирования эти средства вырабатывают рекомендации и
пошаговые меры, позволяющие устранить выявленные недостатки.
Данный метод контроля нарушений политики безопасности не может заменить
специалиста по информационной безопасности. Средства анализа защищенности
могут лишь автоматизировать поиск некоторых известных уязвимостей.