Емельянова Н.З., Партыка Т.Л., Попов И.И. - Защита информации в персональном компьютере (Профессиональное образование) - 2009
.pdf•попытка чтения/записи информации с диска, недоступного пользователю;
•попытка запуска программы с диска, недоступного пользо вателю;
•вывод на устройства печати документов с грифом (при полномочном управлении доступом);
•выход из системы;
•обращение к удаленной системе;
•нарушение целостности программ и данных системы за щиты;
•смена привилегий или иных атрибутов безопасности (режи ма доступа, уровня благонадежности пользователя и т. п.).
Можно назвать и другие события — например, смену набора регистрируемых действий. Полный перечень событий, потенци ально подлежащих регистрации, зависит от избранной политики безопасности и от специфики системы.
Если фиксировать все события, объем регистрационной ин формации, скорее всего, будет расти слишком быстро, а ее эф фективный анализ станет невозможным. «Оранжевая книга» [8] предусматривает наличие средств выборочного протоколирова ния как в отношении пользователей (внимательно следить толь ко за подозрительными), так и в отношении событий.
В хорошо спроектированных системах защиты все механиз мы контроля используют единый механизм регистрации. Одна ко, в системах, где используются разнородные средства защиты разных производителей, в каждом из них используются свои ме ханизмы и ведутся свои журналы регистрации, что создает до полнительные сложности в администрировании системы защи ты. Механизмы регистрации очень тесно связаны с другими за щитными механизмами. Сигналы о происходящих событиях и детальную информацию о них механизмы регистрации получают от механизмов контроля (подсистем разграничения доступа, контроля целостности ресурсов и др.).
В наиболее развитых системах защиты подсистема оповеще ния сопряжена с механизмами оперативного автоматического реагирования на определенные события. Могут поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно, с участием администратора безопас ности):
•подача сигнала тревоги;
•извещение администратора безопасности;
•извещение владельца информации о НСД к его данным;
•снятие программы (задания) с дальнейшего выполнения;
•отключение (блокирование работы) терминала или компь ютера, с которого были осуществлены попытки НСД к ин формации;
•исключение нарушителя из списка зарегистрированных пользователей и т. п.
Мониторинговые программы. Выше уже говорилось о том, что такое программное обеспечение имеет двойное назначение, и будучи санкционированно примененным, образует часть систе мы протоколирования, позволяя владельцу (администратору безопасности) автоматизированной системы:
•определить (локализовать) все случаи попыток несанкцио нированного доступа к конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;
•локализовать все случаи искажения (уничтожения) инфор мации;
•определить факты несанкционированной установки про граммного обеспечения;
•проконтролировать возможность использования персо нальных компьютеров в нерабочее время и выявить цель такого использования;
•определить все случаи несанкционированного использова ния модемов в локальной сети путем анализа фактов запус ка несанкционированно установленных специализирован ных приложений;
•определить все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки каких-либо критичных документов, передача которых третьим лицам приведет к материальному ущербу;
•определить факты нецелевого использования персональ ных компьютеров:
—получить достоверную информацию, на основании кото рой будет разрабатываться политика информационной безопасности предприятия;
—контролировать доступ к серверам и персональным компьютерам;
—проводить информационный аудит;
—проводить исследование компьютерных инцидентов;
—проводить научные исследования, связанные с определе нием точности, оперативности и адекватности реагиро вания персонала на внешние воздействия;
—определить загрузку компьютерных рабочих мест;
—определить загрузку персонала предприятия;
—восстановить критическую информацию после сбоев компьютерных систем;
—обеспечить наблюдаемость вычислительной системы.
Именно это свойство, в зависимости от качества его реа лизации, позволяет в той или иной мере контролировать соблюдение сотрудниками предприятия установленных правил безопасной работы на компьютерах и политики безопасности.
Кроме того, в пользовательских условиях санкционирован ное применение мониторинговых программных продуктов, на пример, позволяет родителям:
•контролировать контакты несовершеннолетних детей в сети Internet;
•противодействовать негативному воздействию на несовер шеннолетних детей специализированных сайтов, которые показывают детскую порнографию или другие незаконные сексуальные действия (извращения), пропагандируют на силие, пропагандируют дискриминацию по признаку расы, пола, религиозных убеждений, национальности, инвалид ности, сексуальной ориентации, возрасту, пропагандируют противозаконные действия, нарушают права интеллекту альной собственности, нарушают законы страны размеще
ния сайта или любые иные законы.
Система обнаружения вторжений (СОВ, англ. — Intrusion Detection System, IDS) —средство, относящееся к классу мони торинговых программ и предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть. Системы обнаружения вторжений обеспечивают дополнитель ный уровень защиты компьютерных систем. Обычно архитекту ра СОВ включает:
•сенсорную подсистему, предназначенную для сбора собы тий, связанных с безопасностью защищаемой системы;
•подсистему анализа, предназначенную для выявления атак
иподозрительных действий;
•хранилище, обеспечивающее накопление первичных собы тий и результатов анализа;
•консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, про сматривать выявленные подсистемой анализа инциденты.
Различают хостовые, сетевые и гибридные (смешанные) СОВ в зависимости от того, какие сенсоры используются для получе ния первичной информации. Различают также пассивные и ак тивные СОВ в зависимости от способности СОВ предпринимать действия в ответ на выявленные инциденты безопасности.
Возвращаясь к целям протоколирования и аудита, отметим, что обеспечение подотчетности важно в первую очередь как средство сдерживания. Если пользователи и администраторы знают, что все их действия фиксируются, они, возможно, воз держатся от незаконных операций. Очевидно, если есть основа ния подозревать какого-либо пользователя в нечестности, мож но регистрировать его действия особенно детально, вплоть до каждого нажатия клавиши. При этом обеспечивается не только возможность расследования случаев нарушения режима безопас ности, но и откат некорректных изменений (если в протоколе присутствуют данные до и после модификации). Тем самым за щищается целостность информации.
Реконструкция последовательности событий позволяет вы явить слабости в защите сервисов, найти виновника вторжения, оценить масштабы причиненного ущерба и вернуться к нор мальной работе.
Выявление и анализ проблем могут помочь улучшить такой параметр безопасности, как доступность. Обнаружив узкие мес та, можно попытаться переконфигурировать или перенастроить систему, снова измерить производительность и т. д.
Протоколирование и аудит можно превратить в бессмыслен ную формальность, а можно — в эффективный инструмент под держания режима информационной безопасности.
Активный аудит
Активный аудит дополняет такие традиционные защитные механизмы, как идентификация/аутентификация и разграниче ние доступа, и направлен на выявление подозрительной (зло умышленной и/или аномальной) активности с целью оператив ного принятия ответных мер. Назначение активного аудита — обнаруживать и реагировать. Обнаружению подлежит подозри
тельная активность компонентов СОИ — от пользователей (внутренних и внешних) до программных систем и аппаратных устройств. Подозрительную активность можно подразделить на злоумышленную и аномальную (нетипичную).
Выявление злоумышленной активности. Под злоумышленной активностью подразумеваются как атаки (очевидно, противоре чащие любой политике безопасности), так и действия, нарушаю щие политику безопасности конкретной организации путем зло употребления имеющимися полномочиями. Это разделение про исходит по той причине, что настройка на выявление атак может быть выполнена поставщиком системы активного аудита (атаки носят универсальный характер), в то время как политика безо пасности у каждой организации своя и настраиваться на нее за казчикам придется самим.
Для выявления злоумышленной активности пытались и пы таются использовать несколько универсальных технологий: экс пертные системы, нейронные сети, сопоставление с образцом и т. п. Одной из первых и до сих пор самой употребительной остается технология обнаружения сигнатур злоумышленных действий. Идея состоит в том, чтобы каким-либо образом задать характеристики злоумышленного поведения (это и называется сигнатурами), а затем отслеживать поток событий в поисках со ответствия с предопределенными образцами.
Выявление аномальной активности. Для выявления аномаль ной активности было предложено довольно много методов: нейронные сети, экспертные системы, статистический подход. В свою очередь, статистический подход можно подразделить на кластерный и факторный анализ, а также дискриминантный (классификационный) анализ.
Выявление аномальной активности статистическими метода ми основывается на сравнении краткосрочного поведения с дол госрочным. Для этого измеряются значения некоторых парамет ров работы субъектов (пользователей, приложений, аппаратуры). Параметры могут отличаться по своей природе; можно выделить следующие группы:
•категориальные (измененные файлы, выполненные коман ды, номер порта и т. п.);
•числовые (процессорное время, объем памяти, количество просмотренных файлов, число переданных байт и т. п.);
•величины интенсивности (число событий в единицу вре мени);
•распределение событий (таких как доступ к файлам, вывод на печать и т. п.).
Алгоритмы анализа могут работать с разнородными значе ниями, а могут преобразовать все параметры к одному типу (на пример, разбив область значения на конечное число подобластей и рассматривая все параметры как категориальные). Выбор изме ряемых характеристик работы — очень важный момент. С одной стороны, недостаточное число фиксируемых параметров может привести к неполноте описания поведения субъекта и к большо му числу пропуска атак; с другой стороны, слишком большое число отслеживаемых характеристик потребует слишком боль шого объема памяти и замедлит работу алгоритма анализа.
Измерения параметров накапливаются и преобразуются в про фили — описания работы субъектов. Суть преобразования множе ства результатов измерения в профили — сжатие информации.
Устатистического подхода также есть проблемы:
•относительно высокая вероятность ложных тревог (нетипичность поведения не всегда означает злой умысел);
•плохая работа в случаях, когда действия пользователей не имеют определенного шаблона, или когда с самого начала пользователи совершают злоумышленные действия (зло умышленные действия типичны), или, наконец, когда поль
зователь постепенно изменяет шаблон своего поведения в сторону злоумышленных действий.
Реагирование на подозрительные действия. После того как об наружена сигнатура злоумышленного действия или нетипичная активность, необходимо выбрать достойный ответ. Для активного аудита одинаково опасны как пропуск атак (это значит, что не обеспечивается должной защиты), так и большое количество лож ных тревог (это значит, что активный аудит быстро отключат).
Предпочтительны более спокойные, но также достаточно эффективные меры, такие как блокирование злоумышленного сетевого трафика средствами межсетевого экранирования или принудительное завершение сеанса работы пользователя. Конеч но, и здесь остается опасность наказать невиновного, так что политика безопасности каждой организации должна определять, что важнее — не пропустить нарушение или не обидеть лояльно го пользователя.
С точки зрения быстрого реагирования, традиционные меры, связанные с информированием администратора, не особенно эффективны. Они хороши в долгосрочном плане, для глобально
го анализа защищенности командой профессионалов. Здесь ак тивный аудит смыкается с пассивным, обеспечивая сжатие реги страционной информации и представление ее в виде, удобном для человека.
Разумная реакция на подозрительные действия может вклю чать увеличение степени детализации протоколов и активизацию средств контроля целостности. В принципе, это пассивные меры, но они помогут понять причины и ход развития наруше ния, так что человеку будет проще выбрать «меру пресечения».
Вероятно, в перспективе нормой станет взаимодействие с системами, через которые поступает подозрительный сетевой трафик. Это поможет пресечению злоумышленной активности и прослеживанию нарушителя.
Требования к системам активного аудита. На первом месте находится требование п о л н о т ы , включающее в себя следую щие аспекты:
•полнота отслеживания информационных потоков в СОИ. Это означает, что система активного аудита должна содер жать сетевые и системные сенсоры, анализировать инфор мацию на всех уровнях — от сетевого до прикладного;
•полнота спектра выявляемых атак и злоупотреблений пол номочиями. Данное требование означает не только то, что у системы должен быть достаточно мощный язык описания подозрительной активности (как атак, так и злоупотребле ний полномочиями). Этот язык должен быть прост, чтобы заказчики могли производить настройку системы в соответ ствии со своей политикой безопасности. Поставщик систе мы активного аудита должен в кратчайшие сроки (порядка суток) передавать заказчику сигнатуры новых атак. Система должна уметь выявлять аномальную активность, чтобы справляться с заранее неизвестными способами нарушений;
•достаточная производительность. Система активного ауди та должна справляться с пиковыми нагрузками защищае мых сервисов. Если известно, что система активного аудита обладает недостаточной производительностью, она может стать объектом атаки на доступность (DoS), на фоне кото рой могут осуществляться другие виды нападения.
Помимо полноты, системы активного аудита должны удовле творять следующим требованиям:
•минимум ложных тревог. В абсолютном выражении допус тимо не более одной ложной тревоги в час (лучше, если их
будет на порядок меньше). При интенсивных потоках дан ных подобное требование оказывается весьма жестким;
•умение объяснять причину тревоги. Выполнение этого тре бования, во-первых, помогает отличить обоснованную тре вогу от ложной, во-вторых, помогает определить первопри чину инцидента, что важно для оценки его последствий и недопущения повторных нарушений. Даже если реагирова ние на нарушение производится в автоматическом режиме, должна оставаться возможность последующего разбора си туации специалистами;
•интеграция с системой управления и другими сервисами безопасности. Во-первых, сами средства активного аудита
должны управляться (устанавливаться, конфигурировать ся, контролироваться) наравне с другими инфраструктур ными сервисами. Во-вторых, активный аудит может (и должен) поставлять данные в общую базу данных управ ления.
Прочие направления обеспечения безопасности
Контроль защищенности по сути представляет собой попытку «взлома» СОИ, осуществляемого силами самой организации или уполномоченными лицами. Идея данного сервиса в том, чтобы обнаружить слабости в защите раньше злоумышленников. В пер вую очередь, имеются в виду не архитектурные (их ликвидиро вать сложно), а «оперативные» бреши, появившиеся в результате ошибок администрирования или из-за невнимания к обновле нию версий программного обеспечения.
Средства контроля защищенности позволяют накапливать и многократно использовать знания об известных атаках. Очевид на их схожесть с антивирусными средствами; формально послед ние можно считать их подмножеством. Очевиден и реактивный, запаздывающий характер подобного контроля (он не защищает от новых атак). Впрочем, следует помнить, что оборона должна быть эшелонированной, так что в качестве одного из рубежей контроль защищенности вполне адекватен. Отметим также, что подавляющее большинство атак носит рутинный характер; они возможны только потому, что известные слабости годами оста ются неустраненными.
Существуют как коммерческие, так и свободно распростра няемые продукты для контроля защищенности. Впрочем, в дан ном случае важно не просто один раз получить и установить их, но и постоянно обновлять базу данных слабостей. Это может оказаться не проще, чем следить за информацией о новых атаках и рекомендуемых способах противодействия.
Контроль целостности. В современных системах контроль целостности должен распространяться не только на отдельные порции данных, аппаратные или программные компоненты. Он обязан охватывать распределенные конфигурации, защищать от несанкционированной модификации потоки данных.
В настоящее время существует достаточно много методов для контроля целостности и с системной, и с сетевой направленно стью (обычно контроль выполняется прозрачным для приложе ний методом как часть общей протокольной активности).
Безопасность повторного использования объектов. Безопас ность повторного использования объектов — важное на прак тике дополнение средств управления доступом, предохраняю щее от случайного или преднамеренного извлечения секретной информации из «мусора». Безопасность повторного использо вания должна гарантироваться для областей оперативной памя ти (в частности, для буферов с образами экрана, расшифрован ными паролями и т. п.), для дисковых блоков и магнитных но сителей в целом.
Важно обратить внимание на следующий момент. По скольку информация о субъектах также представляет собой объект, необходимо позаботиться о безопасности «повторного использования субъектов». Когда пользователь покидает орга низацию, следует не только лишить его возможности входа в систему, но и запретить доступ ко всем объектам. В против ном случае, новый сотрудник может получить ранее использо вавшийся идентификатор, а с ним и все права своего предше ственника.
Современные интеллектуальные периферийные устройства усложняют обеспечение безопасности повторного использова ния объектов. Действительно, принтер может буферизовать не сколько страниц документа, которые останутся в памяти даже после окончания печати. Необходимо предпринять специальные меры, чтобы «вытолкнуть» их оттуда.
Впрочем, иногда организации защищаются от повторного использования слишком ревностно — путем уничтожения маг
нитных носителей. На практике заведомо достаточно троекрат ной записи случайных последовательностей бит.
Экранирование. Экранирование как сервис безопасности вы полняет следующие функции:
•разграничение межсетевого доступа путем фильтрации пе редаваемых данных;
•преобразование передаваемых данных.
Современные межсетевые экраны фильтруют данные на ос нове заранее заданной базы правил, что позволяет, по сравнению с традиционными операционными системами, реализовывать го раздо более гибкую политику безопасности. При комплексной фильтрации, охватывающей сетевой, транспортный и приклад ной уровни, в правилах могут фигурировать сетевые адреса, ко личество переданных данных, операции прикладного уровня, па раметры окружения (например, время) и т. п.
Преобразование передаваемых данных может затрагивать как служебные поля пакетов, так и прикладные данные. В первом случае обычно имеется в виду трансляция адресов, помогающая скрыть топологию защищаемой системы. Это — уникальное свойство сервиса экранирования, позволяющее скрывать существование некоторых объектов доступа. Преоб разование данных может состоять, например, в их шифро вании.
В процессе фильтрации (точнее, параллельно с ней) может выполняться дополнительный контроль (например, антивирус ный). Возможны и дополнительные преобразования, например, исправление заголовков или иной служебной информации, став шей некорректной после наступления 2000 года.
Применение межсетевого экранирования поставщиками In ternet-услуг в соответствии с рекомендациями позволило бы су щественно снизить шансы злоумышленников и облегчить их прослеживание. Данная мера еще раз показывает, как важно рассматривать каждую информационную систему как часть гло бальной инфраструктуры и принимать на себя долю ответствен ности за общую информационную безопасность.
Туннелирование. Его суть состоит в том, чтобы «упаковать» передаваемую порцию данных вместе со служебными полями в новый «конверт». Данный сервис может применяться для не скольких целей:
•осуществления перехода между сетями с разными протоко лами (например, IPv4 и IPv6);