Безопасность

С расширением использования корпоративных сетей и сети Internet, профессионалы в области защиты сетей и информационных систем все больше осознают необходимость анализа и управления потенциальными рисками безопасности в своих сетях и системах. Анализ уязвимостей — это процесс обнаружения, оценки и ранжирования этих рисков, связанных с системами и устройствами, функционирующими на сетевом и системном уровнях, с целью рационального планирования применения информационных технологий. Инструменты, реализующие этот процесс, позволяют установить собственную политику безопасности, автоматизировать анализ уязвимостей и создать отчеты, которые эффективно связывают информацию об обнаруженных уязвимостях с подробными корректирующими действиями на всех уровнях организации. Одновременное использование систем анализа защищенности, функционирующих на сетевом и системном уровнях, обеспечивает мощнейшую защиту против трех типов уязвимостей, вводимых поставщиком, администратором и пользователем (с этой классификацией можно поспорить — примечание переводчика). Эта статья посвящена вопросам правильной эксплуатации систем анализа защищенности на сетевом и системном уровнях и описанию уникальных возможностей каждого класса систем.

Анализ рисков безопасности корпоративным вычислительным устройствам позволяет произвести классификацию рисков, связанных с открытой вычислительной средой. Все риски можно разделить на три категории:

Риски, связанные с ПО, поставляемым поставщиком— включает ошибки, неустановленные обновления (patch’и и hotfix’ы) операционной системы, уязвимые сервисы и незащищенные конфигурации по умолчанию.

Риски, связанные с действиями администратора— включает доступные, но не правильно используемые настройки и функции системы, не отвечающие политике безопасности требования к минимальной длине пароля и несанкционированные изменения в конфигурации системы.

Риски, связанные с деятельностью пользователя— включают уклонение от предписаний принятой политики безопасности, например, отказ запускать ПО для сканирования вирусов или использование модемов для выхода в сеть Интернет в обход межсетевых экранов и другие, более враждебные действия.

Эти типы рисков могут быть представлены (реализованы) при проектировании информационной системы, в сетевых устройствах, операционных системах и приложениях.

Сетевой сканер должен быть первым инструментом, используемым в процессе анализа защищенности. Он обеспечивает быстрый обзор уязвимостей самой высокой степени риска, которые требуют немедленного внимания. Анализ уязвимостей при сканировании на сетевом уровне поможет обнаружить очень серьезные уязвимости, такие как неправильно сконфигурированные межсетевые экраны (МСЭ) или уязвимые Web-сервера в демилитаризованной зоне (DMZ), которые могут предоставить потенциальную возможность для проникновения хакеров и позволить им скомпрометировать систему защиты организации. Сканирование на сетевом уровне обеспечивает быстрый и детальный анализ сетевой инфраструктуры предприятия как со стороны внешнего, так и со стороны внутреннего наблюдателя.

Возможности сканирования на сетевом уровне можно разделить на две основных категории:

1. Централизованный доступ к информации о механизмах защиты предприятия

• Сканеры сетевого уровня анализируют сеть, опираясь на устройства, установленные в сети предприятия, быстро предоставляя детальные отчеты, которые позволяют своевременно реализовать действия, устраняющие обнаруженные уязвимости. Получаемые данные и отчеты акцентируют внимание специалистов на уязвимых системах, ускоряя тем самым процесс повышения уровня защищенности сети.
• Сканеры сетевого уровня обнаруживают неизвестные и несанкционированные устройства и системы в сети, такие как несанкционированные сервера удаленного доступа или соединения с незащищенными сетями партнеров по бизнесу. Имеет ли департамент незащищенный Web-сервер на основе Linux в своем распоряжении? Есть ли подозрительные неизвестные системы в сети, которые требуют дальнейшего исследования?
• Сетевые сканеры предоставляют исчерпывающий обзор всех функционирующих в вашей сети операционных систем и сервисов, а также перечни всех учетных записей пользователей. Эти данные и соответствующие отчеты дают администраторам ясную картину того, что действительно используется в их сети. Кроме того, эта информация может использоваться сетевым сканером для дальнейшего анализа уязвимостей, таких как проверки надежности паролей учетных записей и т.д.
• Поскольку сетевые сканеры не требуют, чтобы на сканируемых системах устанавливалось какое-либо дополнительное ПО (агенты), то они могут быть быстро установлены и задействованы, не требуя разработки, планирования и инсталляции дополнительного программного обеспечения на сканируемых хостах. Другими словами, сканеры сетевого уровня не оказывают никакого влияния на отдельные системы и их администраторов с организационной точки зрения, и обеспечивают быстрый возврат средств, затраченных на защиту организации. Для сравнения, продукты сканирования на системном уровне могут осуществлять сканирование только тех систем, на которых установлены соответствующие агенты.

Сканеры сетевого уровня обнаруживают уязвимости путем моделирования методов, которые используют хакеры для атаки на удаленные системы. Первый подробный отчет об анализе защищенности, поступающий от сканера, часто округляет глаза у персонала, отвечающего за информационные системы, когда они осознают истинное, документированное состояние своей системы защиты.

• Многие уязвимости наиболее эффективно обнаруживаются через сеть. К таким уязвимостям можно отнести уязвимые демоны и сервисы операционной системы (ОС), DNS-сервера, возможность реализации атаки типа «отказ в обслуживании» (например, «teardrop» и «land»), и уязвимые протоколы нижнего уровня.
• Сканеры сетевого уровня тестируют уязвимости наиболее критичных сетевых устройств, которые не поддерживаются системами анализа защищенности на уровне хоста, включая маршрутизаторы, коммутаторы, принтеры, серверы удаленного доступа и МСЭ. Сетевые сканеры могут включать такие уникальные возможности, как скрытое сканирование (stealth scan) для МСЭ, проверку уязвимостей, характерных для маршрутизаторов и проверки типа «подбор пароля» («brute force») для тестирования учетных записей, установленных в системе по умолчанию и «люков» (back door), встроенных изготовителями сетевых устройств.
• Сканеры сетевого уровня обеспечивают реальное тестирование систем, которые уже проверены с помощью систем анализа защищенности на уровне ОС, которые проводят такие проверки как тестирование наиболее критичных файлов, баз данных, Web-серверов и прикладных серверов и МСЭ. В дополнение к тестированию стандартных механизмов защиты в процессе анализа защищенности также можно определить ошибки при конфигурации, которые оставляют эти устройства, открытыми для хакеров.

Если мы вернемся к нашему оригинальному описанию трех типов рисков защиты, вы заметите из примеров, представленных выше, чтосканеры сетевого уровня являются превосходными инструментами для оценки рисков защиты, связанных с двумя типами: риски, связанные с продавцом-поставщиком ПО и риски, связанные с администраторами сетей и систем.

Возможности сканирования ОС

Достоинства сканирования на уровне ОС кроются в прямом доступе к низкоуровневым возможностям ОС хоста, конкретным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь внешний злоумышленник, сканер системного уровня может рассматривать систему со стороны пользователя, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись.Это является наиболее важным отличием, поскольку сетевой сканер по определению не может предоставить эффективного анализа возможные рисков деятельности пользователя.

Добавление этих рисков безопасности, создаваемых пользователем, является не только крайне важным для конкретного хоста, подверженного им, но и для защиты всей сети. Как только пользователь получает доступ к локальной учетной записи (даже просто к учетной записи «Guest»), перед ним открывается широкий диапазон возможностей для атаки и осуществления контроля над локальной системой. Хакер, который получил доступ к конкретному хосту, может злоупотреблять учетными записями авторизованного пользователя или это может быть учетная запись, украденная хакером, который зарегистрировался в системе как гость и «подобрал» пароль. В обоих случаях сканер системного уровня помогает убедиться, что данная система сконфигурирована соответствующим образом, и что уязвимости устранены, так что локальный пользователь не получает доступа к привилегиям администратора.

Достоинства сканера системного уровня можно разделить на три основные категории:

• Диапазон рисков деятельности пользователя возникает из-за игнорирования пользователем установленных правил политики безопасности внутри сети и преднамеренной работе в режиме, который нарушает политику безопасности для обычного индивидуального пользователя. Все типы рисков, вызванных деятельностью пользователя, в пределах этого спектра могут в перспективе скомпрометировать защиту всех систем в организации.

• Сканеры системного уровня обнаруживают инсталлированные на хосте устройства, такие как модемы, и определяют, подключены ли они к действующей телефонной линии. Такой тип установки аппаратных средств может указывать на несанкционированный доступ к ресурсам сети в обход межсетевого экрана и процедуры защищенного Dial-In-доступа в организацию.
• Сканеры системного уровня обнаруживают присутствие таких приложений для удаленного доступа, как Carbon Copy или pcANYWHERE, которые могут быть использованы сотрудниками, звонящими из дома, для доступа к ресурсам в нерабочее время или через неизвестные места сетевого периметра, такие как сервер несанкционированного удаленного доступа.

• Сканеры системного уровня обнаруживают признаки того, что хакер уже проник в систему. Эти признаки включают: подозрительные имена файлов, неожиданные новые файлы, файлы устройств, находимые в неожиданных местах и неожиданные SUID/SGID привилегированных программ, которые в перспективе помогут получить «root»-привилегию.
• Сканеры системного уровня могут запоминать контрольные суммы наиболее критичных файлов, позволяя администраторам сравнивать текущие контрольные суммы файлов в системе с ранее вычисленными значениями. Этот процесс позволяет обнаруживать любые несанкционированные изменения в этих файлах, таких как замещение программы «login» программой типа «троянский конь». Кроме того, данные сканеры на Windows NT-системах могут использовать подсчет контрольных сумм для уведомления администраторов о несанкционированных изменениях в записях реестра, которые содержат наиболее важные настройки системы защиты.
• Сканеры системного уровня обнаруживают признаки того, что хакер по-прежнему активно действует в системе в данный момент, включая расположение «sniffer»-программ, активно ищущих пароли и другую важную информацию, или несанкционированные сервисы, популярные у хакеров, запускаемые в данный момент на системе, такие как IRC chat и FSP-сервера передачи данных.
• Сканеры системного уровня обнаруживают хорошо известные хакерские программы типа «троянский конь», например, такие как «Back Orifice», разработанной группой «Культ мертвой коровы» (Cult of the Dead Cow). Они также обнаруживают локальные системные сервисы, уязвимые к атакам типа «переполнение буфера». Без проведения сканирования на системном уровне эти программы могут быть легко загружены с популярных хакерских Web-серверов типа www.rootshell.com, и затем запущены пользователем для получения немедленного доступа ко всем администраторским привилегиям.

• К примерам проверок, которые могут быть проведены значительно быстрее или более надежно, используя сканирование на системном уровне, можно отнести проверки «слабых» паролей или поиск файлов хешированных паролей (.PWL) для Windows 95/98.
• Сканеры системного уровня являются идеальными для проведения проверок контрольных сумм и проверок файловой системы, которые требуют существенных ресурсов в случае использования сканеров сетевого уровня и, вероятно, потребуют, чтобы все содержание жестких дисков передавалось через сеть на сканирующую систему.
• Сканеры системного уровня могут проверять сетевые сервисы для того, чтобы убедиться в том, что они корректно сконфигурированы и реализованы, включая сервисы NFS, HTTPD и FTP. Например, некорректно сконфигурированный сервис NFS может позволить хакеру, который уже проник в одну систему, «открыть дверь» ко всем другим NFS-системам во всей сети.
• Сканеры системного уровня часто предоставляют более детальную информацию о хостах, работающих под управлением ОС Windows 95/98, чем она может быть получена при сканировании через сеть. Эти исследования являются важными вследствие большого количества «троянских коней» и «sniffer»-программ, доступных для атаки на эти операционные системы.

Если мы вернемся снова к нашему исходному описанию трех типов рисков безопасности, вы заметите из примеров выше, чтосканеры системного уровня являются превосходными инструментами для оценки рисков защиты, связанных со всеми типами пользовательских рисков. Они включают риски, вызванные игнорирующими все пользователями, враждебными пользователями и всеми пользователями между ними. Они также предоставляют дополнительный охват для целого ряда рисков, связанных как с продавцами, так и с администраторами.

Сканеры системного уровня также являются великолепными инструментами в «блокировании» потенциальных атак на наиболее важные системы, такие как файловые, прикладные и web-сервера, сервера баз данных и МСЭ. В дополнение к тестированию стандартных характеристик защиты они также могут обнаруживать ошибки конфигурации, которые оставляют устройства открытыми для вторжения.

Сканер сетевого уровня может обнаруживать неизвестные и несанкционированные устройства и системы в сети, а также поможет найти неизвестные точки периметра вашей сети, такие как сервера несанкционированного удаленного доступа. Сканирование на сетевом уровне идентифицирует устройства в вашей сети, и оценивает конфигурации и влияния таких систем как МСЭ, маршрутизаторы и корпоративные Web-сервера, находящиеся снаружи МСЭ.

Из-за этих возможностей рекомендуется, чтобы система анализа защищенности сетевого уровня использовалась для сканирования всей сети. Хакер воспользуется преимуществом одноточечного доступа, который он/она может иметь. Незащищенные Windows 95/98 или рабочие станции и сервера NT могут предоставить необходимую базу для получения контроля над всем доменом.

Средства сканирования на системном уровне являются очевидным выбором для защиты серверов, которые содержат наиболее важные сервисы: почтовые, Web, удаленного доступа, управления базами данных и другие прикладные сервисы. Эти системы часто содержат наиболее критичные данные для ведения бизнеса, и сканирование на системном уровне поможет найти уязвимости высокой степени риска и предоставить администратору информацию для устранения найденных проблем. Сканирование на системном уровне также должно являться приоритетным при защите межсетевых экранов, которые обычно запускаются под управлением стандартных ОС Unix и NT, и часто содержат хорошо известные уязвимости и конфигурации, установленные по умолчанию. Даже правильно сконфигурированный МСЭ, не обеспечивает эффективной защиты периметра, если администратор или лицо с администраторскими привилегиями на межсетевом экране может быть скомпрометировано каким-либо способом.

Запомните, что термин «Хост» применим не просто к серверам, а к любым компьютерам, установленным в сети организации. Наиболее важная, стратегическая бизнес-информация размещается на настольных компьютерах ответственных сотрудников. Каждая из этих систем, будучи скомпрометированной, может представлять такой же большой риск для бизнеса, как и риск, от скомпрометированного сервера. Эта информация хранится, передается и пересылается каждый день по электронной почте, в рекламных листовках, в презентационных материалах и документах между руководителями, финансовыми и бизнес-партнерами, техническим персоналом, персоналом по маркетингу и продажам. Организации столкнется с серьезными проблемами, если конкурент сможет получить доступ к этим наиболее важным планам, стратегиям и корпоративным активам.

Стоит рассмотреть сканирование на сетевом и системном уровнях для desktop-систем, а также серверов по следующим причинам:

• пользователи рабочих станций, как правило, не имеют никакого представления о защите, и часто действуют так, что могут скомпрометировать систему защиты организации. В качестве примера можно назвать совместное использование жесткого диска, использование легко подбираемых паролей и т.д.
• пользователи рабочих станций могут скомпрометировать защиту всей сети, используя модем для установления незащищенных и несанкционированных соединений для личного удобства. Не осознавая того, что делают, эти пользователи создали новую точку доступа в сеть, не защищенную МСЭ. Крайне важно знать, подключена ли рабочая станция в вашей сети к телефонной линии или установлено ли на ней приложение удаленного управления. Средства сканирования системного уровня предоставляют такую информацию.
• В сети, работающей под управлением ОС Windows, защита Windows NT-домена является как сильным, так и слабым звеном. Скомпрометированная рабочая станция может быстро привести к более серьезным атакам. Хакер, как правило, находит слабую машину, получает привилегии локального администратора, использует полученные преимущества для получения привилегий администратора домена, а затем использует их как основу для того, чтобы атаковать новые NT-системы. Как правило, NT-сервера устанавливают, обращая большое внимание на их защиту, поэтому первоначальные атаки часто реализуются именно против менее защищенных рабочих станций.

Из анализа и примеров, рассмотренных выше, мы приходим к следующим выводам:

Неустановленные патчи ОС, уязвимые сервисы, плохая настройка по умолчанию, или устаревший Java Security Manager в Web-броузере,лучше всего устраняются как системой анализа защищенности на уровне ОС так и уровне сети.

Риски, связанные с администраторами,включая не отвечающие политике безопасности значения в системном реестре, не отвечающие политике безопасности требования к минимальной длине пароля или несанкционированные изменения в конфигурации системы,легче идентифицировать с помощью системы сканирования сетевого уровня, а затем, для полного анализа, использовать средства системного уровня.

Риски, связанные с деятельностью пользователя,включая совместное использование директорий, отказ запускать антивирусное ПО, и использование модемов в обход корпоративного МСЭ,лучше всего определяются средствами анализа защищенности системного уровня.

Выводы:Тогда как каждая из этих технологий анализа защищенности (на сетевом и системном уровнях) имеет свои уникальные преимущества, скоординированное использование их обеих предоставит самый эффективный способ поиска уязвимостей. Сканеры сетевого уровня позволяют специалистам по информационной безопасности оценить и устранить уязвимости на уровне сети, подозрительные точки по периметру сети и усилить исходные линии обороны против атак. Сканер системного уровня предоставляет дополнительный уровень защиты, блокируя индивидуальные хосты с целью защиты наиболее важных ресурсов от доступа в случае несанкционированной деятельности внутри сети или от внешних хакеров, использующих скомпрометированные учетные записи.