Введение в лабораторную работу 1

Лабораторная работа №1. Ознакомление с базовыми задачами управления информационной безопасностью. Создание лабораторного комплекса для тестирования безопасности, оценки уязвимость и проведения тестов на проникновение.

Цель: ознакомиться с текущими стандартами в области управления информационной безопасностью, ознакомиться с существующими проблемами в области управления безопасностью, подготовить рабочий программный комплекс(лабораторию) и проверить ее работоспособность и готовность для дальнейшего применения.

Введение

С наступлением эпохи цифровых технологий человечество открыло для себя не только исключительные возможности, но и новые трудности и опасности. Начало 21 века ознаменовано внедрением новейших цифровых коммуникационных средств, развитием гласности и всплеском махинаций и преступности в цифровой информационной среде. Об этом свидетельствует беспрецедентный масштаб развития хакерской деятельности и служб по борьбе с киберпреступностью во многих странах по всему миру(8).

С увеличением доли людей, имеющих доступ к сети Интернет, вопросы обеспечения информационной безопасности становятся все более актуальными.

Средний уровень осведомленности о мерах предосторожности в сети пользователей интернет-ресурсов неуклонно падает. При этом, количество пользователей, желающих испробовать себя в качестве новоиспеченных хакеров растет.

Если раньше для осуществления хакерской деятельности пользователь должен был обладать недюжинными познаниями в области информационных технологий, то сегодня, с развитием средств обнаружения и использования уязвимостей, порог вхождения в среду цифровой преступности значительно снизился.

Вследствие этого, даже человек с минимальными познаниями может в краткие сроки научиться находить и использовать бреши в защите интернет-ресурсов. Простота и многочисленные возможности привлекают людей скачивать, изучать так называемые эксплойты(програмные средства поиска уязвимостей и реализации автоматизированной атаки) и бездумно использовать для осуществления противоправной деятельности по отношению к другим пользователям и ресурсам в сети Интернет.

Текущая ситуация такова, что ежедневно совершается более 1 миллиона атак на различные сервера по всему миру. Из них более 20% являются успешными.

Доказательством актуальности проблем управления информационной безопасности служит активное внедрение новых стандартов и технологий в области ИБ. Например, регулярное расширение и развитие семейства стандартов ISMS -Information Security Management System (Систем управления информационной безопасностью) под номерами ISO/IEC 27001 и далее по возрастанию. В состав этого семейства входит стандарт ISO/IEC 27005, в котором обосновывается необходимость применения методик управления ИБ путем тестирования информационных систем с помощью специального программного обеспечения. Изучение вышеуказанных методик является ключевым пунктом в данном комплексе лабораторных работ.

Следовательно, ознакомление с содержанием основополагающих стандартов в этой области является важной составляющей успешного выполнения данной и последующих лабораторных работ.

Согласно стандарту ISO/IEC 27005,

«Превентивные меры, такие, как тестирование информационной системы, могут быть использованы для эффективного выявления уязвимостей в зависимости от критичности системы информационных и телекоммуникационных технологий(ИКТ) и доступных ресурсов (например, выделенных фондов, доступной технологии, лиц, имеющих опыт проведения тестирования). Методы тестирования включают:

-автоматизированных инструментальные средства поиска уязвимостей

-тестирование и оценка безопасности

-тестирование на проникновение

-проверка кодов

Автоматизированные инструментальные средства поиска уязвимостей используются для просмотра группы хостов или сети на предмет наличия известных уязвимых сервисов (например, система разрешает использование анонимного протокола передачи файлов, ретрансляцию отправленной почты). Следует, однако, отметить, что некоторые из потенциальных уязвимостей, идентифицированных автоматизированными инструментальными средствами поиска уязвимостей, могут не представлять реальной угрозы в контексте системной среды. Например, некоторые из средств поиска определяют потенциальные уязвимости, не учитывая среду и требования сайта...

Другим методом, который может использоваться для выявления уязвимостей системы ИКТ во время процесса оценки риска, является тестирование и оценка безопасности. Он включает в себя разработку и осуществление плана тестирования(например, сценарий тестирования, процедуры тестирования и ожидаемые результаты тестирования). Цель тестирования безопасности системы состоит в тестировании эффективности мер и средств контроля и управления безопасности системы ИКТ, которые были применены в операционной среде. Задача заключается в том, чтобы удостовериться, что применяющиеся меры и средства контроля и управления соответствуют утвержденной спецификации безопасности для программных и аппаратных средств, обеспечивают реализацию политики безопасности организации или соответствуют отраслевым стандартам.

Тестирование на проникновение может использоваться как дополнение к проверке мер и средств контроля и управления безопасности и обеспечение защиты различных аспектов системы ИКТ. … оно может применяться для оценки способности системы ИКТ противостоять умышленным попыткам обойти защиту системы. Его задача состоит в тестировании системы ИКТ с точки зрения источника угрозы и выявлении потенциальных сбоев в структурах защиты системы ИКТ.

Проверка кодов является наиболее тщательным (но также и самым дорогостоящим) способом оценки уязвимостей.

Результаты этих видов тестирования безопасности помогут выявить уязвимости системы.

Важно отметить, что методы и средства тестирования на проникновение могут давать ложные результаты, если уязвимость не была успешно использована. Чтобы использовать конкретную уязвимость, нужно знать точную систему/приложения/исправления, установленные на тестируемой системе. Если во время тестирования эти данные неизвестны, успешное использование конкретной уязвимости может быть невозможным… В таком случае тестируемый объект тоже должен считаться уязвимым».

Несмотря на то, что в стандарте указывается, что тестирование может давать ложные результаты (которые являются псевдоложными, ибо уязвимость все-таки существует и при определенном стечении обстоятельств может быть использована), на самом деле специалист в сфере информационной безопасности должен учитывать все существующие риски, даже минимальные. В данном случае, только хорошо подготовленный специалист может определить, насколько существенна обнаруженная уязвимость, и принять решение о необходимости игнорирования или уменьшения существующего риска.

В первую очередь, выработка правильного понимания и методик оценки уязвимостей и условий (окружения), в котором существуют эти уязвимости, является главной целью данного комплекса лабораторных работ.

Описание программного пакета для тестирования информационных систем

На данный момент, наиболее универсальной программой для решения задач информационной безопасности является программный пакет Metasploit, который включает в себя многие приложения, используемые при тестировании на наличие уязвимостей, на проникновение. Кроме того, Metasploit входит в поставку более мощного средства для проведения тестов в сфере информационной безопасности – Backtrack - LiveCD ОС на базе Linux, который предоставляет наиболее полный набор инструментов как для начинающих, так и продвинутых специалистов в области ИБ.

Вышеперечисленные средства предоставляют возможности в первую очередь для совершения и отслеживания атак на уязвимые системы. В качестве уязвимой системы может быть выбран любой сервер или сайт в сети. Однако, информационная атака на чужую собственность является злоумышленным действием (если вы не являетесь официальным сотрудником компании-владельца), поэтому нельзя просто без задних мыслей атаковать первую попавшуюся систему. Поэтому, вторым ключевым элементом лабораторного комплекса является создание уязвимой системы, на которую будут совершаться атаки. В качестве такой уязвимой системы был выбран Metasploitable - виртуальная машина с дистрибутивом Linux с заранее заложенными в нем уязвимостями. Естественно, запуск такой системы без предварительных предосторожностей является неосмотрительным, поскольку эта система крайне уязвима и может быть атакована через сеть, к которой подключен ваш компьютер. Поэтому, все составляющие этого лабораторного комплекса устанавливаются и запускаются из-под более безопасной среды, предоставляемой посредством VM VirtualBox.