Основной способ противодействия для данного типа нарушений – использование схемы однократной аутентификации пользователя или процесса в системе. В основе такой схемы, как правило, заложена некоторая инфраструктура открытых ключей.

19.2.4. Обнаружение вторжения и предотвращение его негативных последствий

Система обнаружения вторжений (intrusion detection) является важной частью системы реализации политики безопасности организации. Используемая технология обнаружения вторжений выполняет две важные функции в механизмах решения общей проблемы защиты ресурсов  ИС организации.

Функция обратной связи. Информация о наличии или отсутствии выявленных вторжений (как успешных, так и неудавшихся) является объективной основой оценки качества подсистемы безопасности ИС.

Функция запуска регистрирующих и защитных механизмов системы. Информация о наличии выявленных вторжений (как успешных, так и неудавшихся) является условием, по которому активизируются функции регистрации параметров вторжения и инициализации дополнительных механизмов нейтрализации или уменьшения ущерба от вторжения.

Заданный уровень безопасности ИС реализуется за счет рационального сочетания  программно-технических и организационных методов. Независимо используемого метода  организации рекомендуется выделить сотрудника или создать специальную группу для расследования происшествий, связанных с вторжениями в ИС.

Простейшим методом обнаружения вторжений является пассивное ожидание заявлений от пользователей о подозрительных событиях или необычном поведении ИС. Обычно в заявлениях может сообщаться, что резко увеличилось время реакции системы, какие-то файлы удалены, или невозможно записать данные из-за нехватки доступного пространства баз данных. Ясно, что такой метод не обеспечит реализации политики безопасности. Профессионально подготовленный нарушитель не будет делать ничего, что приведет к появлению подозрительных симптомов. Возможно, по прошествии некоторого времени станет ясно, что ИС подверглась атаке, но будет поздно, чтобы предотвратить или существенно уменьшить ущерб организации. В худшем случае признаком того, что безопасность данных ИС нарушена, может оказаться появление в организации сотрудников правоохранительных органов или представителей прессы.

НЕ нашли? Не то? Что вы ищете?

Более эффективным, но и более дорогостоящим методом является периодический анализ журналов, с целью обнаружения в них сообщений о событиях, не характерных для штатного режима функционирования ИС. Наиболее часто такими событиями являются:

большое число неудачных попыток аутентификации;

большое число неуспешных попыток доступа к информационному ресурсу (например, таблице СУБД);

Этот метод требует принятия четкого соблюдения регламента проведения проверок. Средства протоколирования активности (аудита) встроены в любую современную СУБД промышленного уровня. Поэтому средства мониторинга могут быть созданы на основе стандартных или специальных процедур. Целесообразно вносить в структуру мониторинга элемент случайности. Разумно предполагать, что перед проведения атаки на ресурсы ИС злоумышленник в течение какого-то времени будет вести наблюдение за системой с целью выявления существа и периодичности проведения стандартных проверок.

Средства проверки целостности данных  могут быть построены на вычислении  эталонных контрольных сумм для некоторых критически важных таблиц. В соответствии с некоторым регламентом вычисляются контрольные суммы и сравниваются с эталонными для обнаружения модификаций. При несовпадении контрольных сумм делается вывод о несанкционированном или случайном изменении данных и запускается процедура регистрации вторжения. Этот класс средств требует существенно более сложного администрирования системы. Санкционированное изменение данных должно сопровождаться новым вычислением контрольных сумм и их фиксацией. Этот класс средств может успешно применяться для выявления атак, связанных с модификацией данных и оказывается бесполезным для контроля несанкционированного чтения данных. Кроме того, для часто модифицируемых данных накладные расходы, связанные с вычисление контрольных сумм могут оказаться неприемлемо высокими.

Сигналы тревоги и предупреждения от систем управления доступом также являются признаком начала атаки. Системы управления доступом, такие как межсетевые экраны (брандмауэры) и системы управления доступа удаленных пользователей, обычно конфигурируются таким образом, чтобы подавать сигналы тревоги при нарушении определенных правил доступа. Эти сигналы тревоги могут быть звуковыми, визуальными, сообщениями электронной почты, сообщениями, передаваемыми на пейджер. Данный механизм ориентирован на регистрацию вторжений извне, осуществляемых по известным каналам. Вторжения из внешних сетей через скрытые или неизвестные каналы не будут обнаружены, так же, как и несанкционированный доступ к критическим информационным ресурсам предприятия,  предпринятый сотрудниками организации..

На мировом рынке широко представлены автоматизированные средства, которые выполняют анализ трафика в реальном масштабе времени. Часто такие средства снабжены экспертными системами для обнаружения необычной активности, которая может оказаться признаком атаки на информационные ресурсы организации. Подобные средства могут обнаруживать как внешние, так и внутренние вторжения. Успешность применения этих систем зависит от точности описания последовательностей событий, являющихся признаками проникновения. Если параметры системы настроены на слишком специфическую последовательность событий, то поведение реального атакующего злоумышленника может не соответствовать настройке параметров. Если же параметры системы настроены на слишком общие последовательности событий, от система будет выдавать слишком много ложных сигналов тревоги, что, скорее всего, приведет к формальному или неформальному отключению системы.

Политика безопасности должна четко определять, какие ответные меры и кто должен предпринимать при подозрении на вторжение в систему. Порядок действий в таких ситуациях должен быть определен заранее и оформлен соответствующим документом. Должен быть определен перечень лиц, которые принимают решение (в любое время суток) по инициализации системы противодействия вторжению. Необходимо также заранее разработать и документально оформлены сценарии различных вариантов действий персонала по противодействию и ликвидации последствий атаки. В идеальном случае желательно провести тренировки персонала для отработки подобных действий.

Важным вопросом является определение того, будет ли атака отражена сразу после ее обнаружения, или возможно принятие решения о продолжении вредоносной деятельности  злоумышленника для сбора улик.

19.3. Технологии аудита безопасности ИС 19.3.1. Аудит ИС

Важнейшей составляющей процесса обеспечения безопасности ИС является проведение квалифицированного аудита. Несмотря на то, что подготовка и проведение профессионального аудита безопасности ИС требует существенных финансовых и кадровых затрат, высшее руководства многих организаций считает подобные затраты оправданными. Объективные данные, приводимые как правительственными, так и неправительственными организациями и экспертами убедительно свидетельствуют о том, что существует устойчивая тенденция роста как числа нарушений нормальной работы ИС, так и финансовых потерь, связанных с инцидентами.

Можно выделить две основные причины складывающейся ситуации:

возрастающая роль информационных технологий в современных методах ведения бизнеса и, как следствие, более высокие требования к защищенности ИС;

увеличение сложности информационных систем и их подсистем обеспечения безопасности; возрастающие требования к организации деятельности и квалификации персонала, ответственного за обеспечение безопасности ИС.

Проведение профессионального независимого аудита позволяет своевременно выявить существующие недостатки в системе обеспечения безопасности ИС и объективно оценить соответствие параметров, характеризующих режим обеспечения информационной безопасности, требуемому решаемыми задачами организации  уровню.

Проведение экспертизы соответствия конкретной ИС определенным требованиям, получения оценок качества системы управления безопасностью ИС выполняется специализированными аудиторскими организациями. Такие организации могут быть как государственными (обычно, действующие при национальных институтах стандартов), так и иметь статус независимых. Например, вопросами сертификации в Великобритании занимается национальный институт стандартов (BSI). Действующая под патронажем института организация UKAS – United Kingdom Accredited Service – занимается аккредитацией организаций на право аудита информационной безопасности в соответствии со стандартом BS7799. Сертификаты, выданные этими организациями, признаются не только в Великобритании,  но и во многих других странах.

Фактическим стандартом в области деятельности по обеспечению информационной безопасности автоматизированных систем является практика, когда лица осуществляющие аудит безопасности ИС и лица, проводящие аккредитацию ИС на соответствие некоторому стандарту безопасности, представляют различные организации.

В настоящее время наибольшее распространение получили две основные схемы аудита безопасности ИС:

проверка на соответствие британскому стандарту BS 7799 (производный международный стандарт ISO 17799);

проверка на соответствие требованиям ассоциации аудита и управления информационными системами (The Information Systems Audit and Control Association – ISACA).

Рассмотрим основные этапы проведения аудита безопасности ИС на соответствие системы требованиям стандарта BS 7799.

Организация, решившая провести аудит безопасности ИС, должна осуществить подготовительные мероприятия, цель которых состоит в приведения в соответствие с требованиями стандарта документации и системы управления безопасностью ИС. После фиксации результатов подготовительных мероприятий приглашается аудитор. Трудоемкость аудита для крупных организаций может достигать 30 человеко-дней работы аудитора.

Выданные после проведения аудита сертификаты действительны в течение трех лет.

Подготовительные мероприятия к проведению в организации аудита включают подготовку документации и проведение внутренней проверки соответствия системы управления ИБ требованиям стандарта.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99