19 Мая, 2009

Сканеры безопасности, как инструмент реализация стратегии ИБ

Dmitriy Evteev
Современный бизнес тесно связан с использованием информационных технологий, которые в свою очередь подвержены различным угрозам информационной безопасности (далее ИБ). В случае реализации некоторой угрозы, может возникнуть ситуация, в которой нарушится некоторый бизнес-процесс или произойдет утечка важных данных и пр. Следствием этого может стать снижение стоимости акций компании, снижение уровня доверия со стороны партнеров/клиентов и т.п. Для того, чтобы минимизировать подобные риски, компании вынуждены заниматься вопросами, связанными с обеспечением ИБ. Более того, в ряде случаев эта необходимость вызвана желанием или требованием соответствовать различным критериям, как законодательным (ФЗ, указы президента и др.), так и международным (ISO/IEC 27005:2008, PCI DSS, SOX и др.). Компания, которая уделяет должное внимание обеспечению ИБ, должна управлять своими информационными активами и угрозами, которым они могут быть подвержены. Сканеры безопасности как раз и являются инструментом, помогающим в решении данной задачи. Сканер безопасности это программное или аппаратно-программное средство, позволяющее путем осуществления различных проверок выявить подверженность различным уязвимостям исследуемого объекта. Уязвимость это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы (например, к хищению информации). В качестве объекта исследования может выступать любой компонент информационной системы: web-сервер, СУБД, различное сетевое оборудование и т.д. Современный рынок представлен многими решениями, которые предназначены для анализа защищенности информационных ресурсов компании. Стоит учитывать, что основой любого подобного решения является сканирующее ядросканера безопасности. Остальные модули это расширение некоторого функционала. Например, решение может содержать множество различных модулей вроде [Vulnerability Assessmentk, [Policy Managementk, [Risk Assessmentk и т.п., но реальная польза от всех этих модулей будет лишь тогда, когда сканирующее ядро сканера безопасности будет достоверно выявлять все существующие уязвимости в обследуемой информационной системе. Для управленцев компании (CEO, топ-менеджмент) применение сканеров безопасности не всегда является прозрачным процессом, способным помочь компании в достижении цели обеспечить приемлемый уровень ИБ. Это действительно справедливо для компаний с низким уровнем зрелости системы управления информационной безопасности (далее СУИБ), в которых используется [реактивныйk, а не [превентивныйk подход к обеспечению ИБ. Но для компаний с высоким уровнем зрелости СУИБ, современный сканер безопасности способен помочь в достижении целей обеспечения ИБ. А основная цель обеспечения ИБ это реализация стратегии компании в области защиты информации, т.е. соответствие процессов политике ИБ. Каким же образом современный сканер безопасности способен помочь в реализации стратегии ИБ? Для ответа на этот вопрос, предлагаю рассмотреть возможности современных сканеров безопасности. Комплексная оценка защищенности Сканеры безопасности являются удобным и простым инструментом, помогающим своевременно обнаруживать уязвимости в информационных системах. Первоначально сканеры безопасности зародились как инструментальные средства, используемые злоумышленниками при организации атак на информационные системы. В последствии, подобный инструментарий взяли на вооружение специалисты в области защиты информации. Более того, наиболее удачные инструменты для анализа защищенности переросли в коммерческие продукты. А в последние годы наблюдается тенденция ориентации подобных продуктов на удовлетворение потребностей крупных компаний в отношении обеспечения комплексной оценки защищенности всей инфраструктуры в целом. Ярким примером подобных тенденций является новый продукт компании Positive Technologies MaxPatrol, который пришел на смену сканеру безопасности XSpider. На рисунке выше показано, каким образом из стационарных решений (standalone), современные сканеры безопасности переросли в решения уровня предприятия (enterprise). Комплексная оценка защищенности достигается путем использования сканеров безопасности в разных частях корпоративной сети, в том числе использование сетевых сканеров, как из внутренней сети (ЛВС, ДМЗ), так и со стороны глобальной сети Интернет. Это позволяет получить наиболее полную информацию о текущем состоянии защищенности информационной системы компании. Распределенная архитектура современных сканеров безопасности позволяет консолидировать данные об обнаруженных уязвимостях и недостатках в одном месте. В связи с этим появляется возможность отслеживать изменения в информационной системе путем автоматизированного сравнения данных по завершению сканирований в различное время. Это позволяет полностью управлять процессом устранения уязвимостей в информационной среде. А значит соответствовать подходам, заложенным в ITIL и COBIT. Возможность централизованного управления распределенной архитектурой современных сканеров безопасности позволяет построить такую систему, в которой, например, сканирующие модули будут установлены в филиалах компании, а управление и принятие решений будет полностью исходить из центрального офиса. Могут быть построены и более сложные модели их использования, а также процессы взаимодействия сотрудников подразделений администрирования и управления ИБ. Сегодняшний рынок ИБ представлен различными продуктами, относящимися к сканерам безопасности. Большинство из них ориентируются на поиск уязвимостей в определенной технологической области. В основном это следующие области: - безопасность Web-приложений (HP WebInspect, Acunetix Web Vulerability Scanner, Open Source w3af и др.); - безопасность СУБД (AppSecInc AppDetective, NGSS, Safety-Lab Shadow Database Scanner и др.); - безопасность ОС и сетевых приложений (GFI LANguard Network Security Scanner, Microsoft Baseline Security Analyzer и др.). Также существуют продукты, совмещающие в себе возможности анализа защищенности всех перечисленных выше технологических областей (Positive Technologies XSpider/MaxPatrol, TENABLE Nessus, IBM Internet Scanner и др.). Использование подобных продуктов (All-in-One) позволяет компании добиться максимальной отдачи от вложенных в них инвестиций (Return on investment, ROI) по следующим причинам: - Продукт охватывает все основные технологические области; - Стоимость лицензии ограничена лишь одним продуктом; - Уменьшается стоимость владения решением в целом (total cost of ownership, TCO). Как отмечалось ранее, эффективность применения комплексного сканера безопасности в большей степени зависит от способности правильно обнаружить все присутствующие уязвимости в информационных системах, в отношении которых производится сканирование. Здесь можно провести некоторую параллель с антивирусными решениями. Эффективность в применении антивирусного решения в большей степени заключается в количестве обнаруживаемых им вирусов, а также в модулях, позволяющих распознавать различные типы вирусов. Кроме того, такие критерии, как поддержка эвристического анализа и время, затраченное на сканирование системы, являются также достаточно важными при выборе антивирусного решения. Проводя параллель со сканером безопасности, можно отметить, что эффективность сканера безопасности заключается в количестве обнаруживаемых уязвимостей (аналогично базе обнаруживаемых вирусов), поддерживаемых транспортов (возможность находить уязвимости в БД, WEB, ОС и т.д.) и наличия эвристических механизмов детектирования версий операционных систем и функционирующих на ней сервисов. Вообще наличие эвристического анализатора в сканерах безопасности позволяет избежать ошибок первого и второго рода (false positive/false negative), когда некоторые уязвимости не были выявлены или было выявлено множество несуществующих уязвимостей в информационной системе. Минимизация появления ошибок первого и второго рода, в конечном счете, облегчает процесс обработки результатов сканирования. Внутренний аудит информационного ресурса Современный сканер безопасности способен оценить защищенность информационной системы [изнутриk. Другими словами, современный сканер безопасности может совмещать в себе, как сетевой сканер безопасности, так и системный. Такой подход позволяет оценить защищенность информационной системы с точки зрения удаленного и локального злоумышленника. К сожалению, многие специалисты в области ИТ и ИБ недооценивают риски, связанные с реализацией угрозы, в которой злоумышленник эксплуатирует локальные уязвимости. В конечном счете это приводит к тому, что злоумышленники (хакеры) все чаще используют векторы атаки, направленные на эксплуатацию локальных уязвимостей (уязвимости в ActiveX, браузерах и пр.). Кто из нас не получал ссылку по электронной почте, которая ведет на неизвестный Интернет-ресурс? В ряде случаев, эта ссылка ведет на некий сайт, при открытии которого будет эксплуатирована локальная уязвимость (например, в браузере или в другом программном обеспечении, установленном на компьютере), в следствии чего, на компьютер может быть установлено зловредное ПО. Таким образом появляются различные сетевые-черви, распространяющиеся подобным образом. Нет сомнений в том, что это негативное направление будет развиваться. А значит нужно либо принять возможные риски, связанные с этой тенденцией, либо снижать их путем организации процесса управления обновлениями (patch management). И при выборе пути снижения подобных рисков современный сканер безопасности может быть весьма полезным инструментом. Чтобы лучше понять ценность внутреннего аудита с использованием сканера безопасности, взгляните на следующую иллюстрацию: Внутренний аудит информационного ресурса позволяет выполнить проверки, которые невозможно было выполнить в режиме pen-теста, т.е. в режиме сетевого сканирования со стороны, без использования учетных записей операционной системы или приложений, выполняющихся на ней (например, СУБД). Почему сделан акцент относительно учетных записей? Потому что, наличие учетной записи позволяет сканирующему ядру выполнить внутренний аудит информационной системы без развертывания дополнительного программного обеспечения на исследуемой системе, т.е. выполнить все проверки удаленно. Это дает множество преимуществ. Во-первых, снижается стоимость инсталляции решений на базе сканеров безопасности. Во-вторых, снижается стоимость обслуживания этого решения. И наконец, в-третьих, снижаются риски в отношении нарушения функционирования промышленных ресурсов. Многие специалисты отделов ИТ и ИБ зачастую используют сканеры безопасности для инвентаризации ресурсов информационной системы. Это показывает проведенный опрос на портале SecurityLab. Посетителям сайта предлагалось ответить на вопрос: [Для каких целей Вы пользуетесь сканером безопасности?k. Результаты опроса представлены ниже: Почему же сканеры безопасности используются с целью инвентаризации ресурсов информационной системы? Безусловно, для проведения инвентаризации можно воспользоваться и другими средствами, которые не содержат функций сканера безопасности. Это могут быть такие известные бренды как System Management Server компании Microsoft или Tivoli Monitoring компании IBM и др. Но в отличие от них, современный сканер безопасности способен провести инвентаризацию уязвимого ПО, установленного на серверах и рабочих станциях. Использование современного сканера безопасности для инвентаризации позволяет получить текущее состояние защищенности информационных ресурсов и как следствие спланировать устранение уязвимостей на уязвимых системах. Подобный фичисет содержится в продуктах Positive Technologies MaxPatrol и Secunia PCI/CSI. Проверка соответствия корпоративной информационной системы политике ИБ Современный сканер безопасности уже перестал быть лишь инструментом поиска уязвимостей в информационных системах. Все больше подобные продукты представлены в виде комплексных решений уровня предприятия (enterprise solutions), призванные помочь поддерживать корпоративную информационную систему компании в соответствии с разработанными политиками ИБ. Использование современных сканеров безопасности в режиме [Compliancek (режим проверки неким техническим критериям на соответствие чему либо) облегчает процесс внедрения лучших практик в области ИТ и ИБ, таких как COBIT, ITIL. Многие задачи (High Level Objectives), обозначенные в COBIT, могут быть автоматизированы с их помощью: - AI6 Manage Changes - AI7 Install and Accredit Solutions and Changes - ME1 Monitor and Evaluate IT Processes - ME2 Monitor and Evaluate Internal Control - ME3Ensure Regulatory Compliance - ME4 Provide IT Governance - DS4 Ensure Continuous Service - DS5 Ensure Systems Security - DS8 Manage Service Desk and Incidents - DS9 Manage the Configuration - DS10 Manage Problems Также, как ориентация на международную стратегию организации процессов ИТ и ИБ, возможность сканирования в режиме [Compliancek позволяет компании поддерживать уровень своей информационной системы в соответствии с промышленными стандартами. Например, для компаний, которым требуется соответствовать требованиям PCI DSS (Payment Card Industry Data Security Standard), появляется возможность оценить, а в дальнейшем поддерживать уровень своей инфраструктуры данным требованиям. Это также облегчает процесс аудита в соответствии требованиям PCI DSS и, кроме того, появляется уверенность в том, что результаты аудита будут положительными. Пример отчета верхнего уровня на соответствие техническим критериям PCI DSS: Настраиваемые под требования компании модули анализа для различных операционных систем и приложений позволяют проводить автоматическую проверку на соответствие техническим стандартам безопасности, а также рекомендациям производителей и лучшим практикам построения инфраструктуры. Наглядная картина соответствия требованиям политик может быть сформирована как для СУИБ компании в целом, так и для отдельных подразделений, узлов и приложений. Таким образом, современный сканер безопасности способен помочь в реализации стратегии СУИБ компании и стать одним из основных инструментов по контролю текущего состояния процессов политике ИБ. Используемые источники: Лепихин Владимир, [Сравнительный анализ сканеров безопасности. Часть 1. Тест на проникновение.k ( http://www.itsecurity.ru/edu/actions/2008-pentest.zip ) Алексей Лукацкий, [Будущее сканеров безопасностиk ( http://www.securitylab.ru/analytics/241132.php ) MAXPATROL, Positive Technologies ( http://www.ptsecurity.ru/maxpatrol.asp )
или введите имя

CAPTCHA