четверг, 30 декабря 2010 г.

Безопасность 1С

Безопасность 1С

В настоящее время продукты линейки 1С получили широкое распространение. Практическая каждая компания использует данное программное обеспечения в своей работе. Далеко не всегда в бухгалтерском учете используется только белые схемы, поэтому вопросы конфиденциальности информации имеют первостепенное значение.

Необходимо разработать схемы, обеспечивающие защиту данных, хранящихся и обрабатывающихся в системах 1С.

Предлагается рассмотреть наиболее общий случай использования системы 1С. Система 1С состоит из сервера приложений, сервера баз данных и пользовательских рабочих станций. Обеспечение информационной безопасности на участке от пользователей до сервера приложений в настоящую задачу не входит и должно рассматриваться отдельно, «стандартными» технологиями защиты персональных данных.

Шифрование дисков

1. Аппаратный проходной шифратор с поддержкой российской криптографии Криптон. Выполняется в виде SATA, IDE устройств (USB при необходимости). Имеет форм-фактор аналогичный размеру 3.5 дюймового жесткого диска и позволяет размещаться в системном блоке в разрыве информационного интерфейса жесткого диска. Мне видятся следующие достоинства и недостатки решения:

+ высокая производительность;

+ нет зависимости от типа операционной и файловой системы сервера;

+/- как возможность, так и невозможность установки в ряде случаев;

- отсутствие поддержки серверных интерфейсов (SCSI, SAS);

- невозможность использования в конфигурации с RAID массивами;

- хранение ключа шифрования на внешнем носителе (в данном случае минус).

2. Программное средство для шифрования файлов-контейнеров, томов, дисков Aladdin Secret Disk Server NG. Продукт имеет возможность централизации, что позволяет контролировать большое количество серверов. Российская криптография реализуется следующими внешними криптопровайдерами: КриптоПро CSP, Signal-COM CSP, Infotecs CSP. На все криптопровайдеры есть сертификаты ФСБ, а также есть заключение ФСБ о корректности встраивания в рассматриваемый продукт.

Мне видятся следующие достоинства и недостатки решения:

+ независимость от аппаратной конфигурации и конструкции сервера

- поддержка ОС только класса MS Windows

- хранение ключа шифрования на внешнем носителе (в данном случае минус)

- стоимость определяется количеством пользователей (подключений)

3. Программное средство аналогичное предыдущему - Securit Zserver. Российская криптография также поддерживается внешними криптопровадерами: КриптоПро CSP, Криптон. На все криптопровайдеры есть сертификаты ФСБ. Заключения от корректности встраивания нет.

Мне видятся следующие достоинства и недостатки решения:

+ независимость от аппаратной конфигурации и конструкции сервера;

+ поддержка ОС класса Linux;

- хранение ключа шифрования на внешнем носителе (в данном случае минус);

- стоимость определяется количеством пользователей (подключений).

Резервное копирование

Для резервного копирования предлагается использовать российский продукт Acronis Backup & Recovery 10. Данный продукт позволяет делать резервные копии, как на уровне файлов, так и на уровне дисков.

Чаще всего для 1С используются СУБД MS SQL, поэтому лучшим решением будет использование специального продукта для этой БД – Acronis Recovery for MS SQL Server.

Оба продукта совсем недавно сертифицированы ФСТЭК России на соответствие 4 уровню контроля по НДВ, что позволяет их использование для защиты персональных данных.

воскресенье, 26 декабря 2010 г.

Безопасность с https

Безопасность с https

Согласно Wikipedia, HTTPS – расширение протокола HTTP, поддерживающее шифрование. Данные, передаваемые по протоколу HTTP, "упаковываются" в криптографический протокол SSL или TLS, тем самым обеспечивается защита этих данных.
В настоящее время данный протокол становится популярным, в виду массового распространения электронной коммерции (money.yandex.ru), электронного банкинга (click.alfabank.ru), защищенного документооборота (gmail.com). Для разных категорий удаленных сервисов свойства информационной безопасности, такие как конфиденциальность, целостность и доступность будут иметь разный вес. Если говорить о конфиденциальности и целостности, то эти свойства достигаются преимущественно криптографическими методами.
Задача информационной безопасности как раз и заключается в предотвращении  утечек конфиденциальной информации через подобные сервисы. Представим, что сотрудник банка, находясь на своем рабочем месте, решит «слить» информацию посредством почтового сервиса gmail.com. Также предположим, что в виду конфиденциальности данный сервис для каких-то целей разрешен определенным категориям пользователей.
Даже если вы закроете доступ на популярные почтовые серверы, популярные форумы, все равно останется большое количество анонимных прокси-серверов, через которые можно будет получить доступ на многие из них. Остается даже возможность выполнить «проброс» https до контролируемой удаленной машины.
Если следовать теории, что существует 3 способа контроля зашифрованного сетевого трафика.

Запрет на использование https

Первый способ самый простой. Достаточно в разрыв поставить средство для контроля типов проходящего трафика на основе контента и блокировать зашифрованный трафик. Можно создавать различные политики для групп пользователей в зависимости от их уровня доверия и поставленных задач. Примером таких средств защиты является MS ISA Server, а также следующие программно-аппаратные комплексы:

  • Cisco IronPort S-Series Web Security Appliance
  • Sophos Web Security and Control Appliance
  • TrendMicro InterScan Web Security Appliance

Перехват https на клиенте

Второй способ использует метод перехвата трафика еще до того момента, когда он стал зашифрованным. Шифрование осуществляется на уровне представления, то есть в тот момент, когда приложение передает данные для шифрования перед отправкой в стек TCP/IP. Дешифрование осуществляется аналогичным образом при получении информации. Таким путем пошла компания SearchInform, говоря о единственном продукте, который позволяет контролировать программу Skype. В агенте, который устанавливается на ПК сотрудника, есть плагин к Skype, который и перехватывает еще не зашифрованную информацию.
«Полутоннель»

В терминологии компании Инфотекс, полутоннелем называется шифрованный канал через сеть связи общего пользования (например, Интернет), с одной стороны которого все рабочие станции и серверы шифруют исходящий трафик, а с другой стороны при входе в сегмент сети трафик расшифровывается и идет в открытом виде до серверов и рабочих станций назначения. Этот приём часто используется, если нет необходимости или возможности защитить всё оборудование в сети, либо если нужно сэкономить на стоимости защиты. Подобным путем можно организовать контроль исходящего трафика от пользователей.
Процесс установления защищенного соединения начинается с обычного незащищенного http соединения. Далее происходит аутентификация с присвоением идентификатора сессии и переход в защищенный протокол (SSL).  Для перехвата достаточно установить сниффер на сетевой шлюз и получить идентификатор сессии. После этого крайне просто реализовать атаку Man In The Middle, представившись пользователем для удаленного сервиса и удаленным сервисом для пользователя.
Многие пользователи обратят внимание, что сессия не является защищенной и в строке браузера по-прежнему отображается HTTP. Для урегулирования возможных волнений со стороны пользователей рекомендуется разработать раздел в правилах использования  сотрудниками организации ресурсов сети Интернет, в котором организации будет разрешено иметь доступ к защищенным каналам связи и информации, пересылаемой пользователями в них.
  
Подмена сертификатов

Развивая эту мысль, можно полноценно разместиться в качестве «человека посередине» (Man In The Middle Attack) с развертыванием выделенного центра сертификации (ЦС). Вначале необходимо собрать перечень из популярных общедоступных сервисов, которые УЖЕ используют шифрование для обеспечения конфиденциальности и целостности (подлинности, неотказуемости) при передаче информации пользователей. Далее необходимо при помощи групповых политик включить сертификат этого ЦС в качестве доверенного для всех пользователей организации. После этого можно перехватывать запросы на открытие защищенного канала связи, генерировать напоминающий оригинал сертификат и передавать его клиенту.
Если же вопрос обмана пользователей не стоит, можно ограничиться выпуском единственного сертификата и использовать его для создания «защищенного» соединения между пользователями и шлюзом.  Для того, чтобы соединение было действительно защищенным, не смотря на использование одного и того же сертификата, предлагается при выработке сессионного ключа учитывать текущее время.
Таким образом, при установлении защищенного соединения на стороне клиента будет лишь имитация безопасного соединения, а на самом деле будет два установленных соединения «Удаленный сервер - ШЛЮЗ» и «ШЛЮЗ – Пользователь», на стыке которых и будет происходить перехват содержимого исходящего трафика.
Можно сделать вывод о том, что повсеместное использование шифрования уже не делает обмен информацией конфиденциальным и нужно принимать все возможные меры для того, чтобы личная переписка оставалась действительно личной.

суббота, 18 декабря 2010 г.

Безопасность Удостоверяющего Центра

Безопасность Удостоверяющего Центра

В этот статье я рассмотрю проблемы обеспечения информационной безопасности для Удостоверяющего Центра на примере КриптоПро УЦ.

Удостоверяющий Центр (УЦ) выполняет следующие функции:

  • регистрация пользователей Удостоверяющего центра;
  • создание закрытых ключей электронных цифровых подписей;
  • изготовление сертификатов открытых ключей;
  • приостановление действия, возобновление действия, аннулирование сертификатов открытых ключей;
  • ведение реестра сертификатов открытых ключей, обеспечение его актуальности и возможности доступа к нему участников информационной системы;
  • выдача сертификатов ключей подписей в форме документов на бумажных носителях.

УЦ состоит из следующих компонентов:

  • Центр сертификации (ЦС);
  • Центр регистрации (ЦР);
  • Автоматизированное рабочее место (АРМ) администратора ЦР;
  • АРМ разбора конфликтных ситуаций (РКС);
  • АРМ зарегистрированного пользователя с ключевым доступом (КД).

Центр сертификации предназначен для формирования сертификатов открытых ключей пользователей и администраторов УЦ, списков отозванных сертификатов, хранения эталонной базы сертификатов и списков отозванных сертификатов.
Центр Регистрации предназначен для хранения регистрационных данных пользователей, запросов на сертификаты и сертификатов пользователей, для предоставления интерфейса взаимодействия пользователей с УЦ.
АРМ администратора ЦР предназначен для выполнения организационно-технических мероприятий, связанных с регистрацией пользователей, формированием служебных ключей и сертификатов пользователей и управлением Центром регистрации.
АРМ разбора конфликтных ситуаций предназначен для выполнения организационно-технических мероприятий, связанных с подтверждением подлинности ЭЦП в электронных документах и определением статуса сертификатов открытых ключей пользователей, а также связанных с подтверждением подлинности ЭЦП уполномоченного лица УЦ в изготовленных им сертификатах открытых ключей.
АРМ зарегистрированного пользователя с ключевым доступом предназначен для выполнения организационно-технических мероприятий, связанных с управлением личной ключевой информацией и сертификатами, (формирование рабочих ключей и сертификатов, отзыв сертификатов, публикация списка отозванных сертификатов). Эти задачи могут интегрироваться в АРМ администратор ЦР, а могут выноситься в отдельный АРМ.

Логическая схема взаимодействия компонент



Физическая схема взаимодействия компонент



Криптография
Все криптографические средства защиты по российскому законодательству должны иметь сертификаты ФСБ России. КриптоПро УЦ не исключение – есть действующий сертификат на КС2. КС2 означает защиту в соответствии с типом нарушителя Н2, что подтверждает защиту от нарушителя, имеющего постоянный и/или разовый доступ в контролируемую зону (КЗ), но не имеющего ни одного идентификатора доступа.
В продукте КриптоПро УЦ используются криптопровайдер КриптоПро CSP и средство аутентификации и шифрования КриптоПро TLS. КриптоПро CSP служит для генерации ключевой информации, шифрования и дешифрования, путем вызова соответствующих функций CryptoAPI приложениями. КриптоПро CSP может работать на прикладном уровне модели OSI и позволяет защищать данные поддерживаемых его приложений.
TLS работает на транспортном уровне модели OSI и позволяет вырабатывать общий ключ шифрования при помощи алгоритма Деффи-Хеллмана, а также туннелировать сетевой трафик между абонентами защищенной сети, используя для шифрования функции КриптоПро CSP.

Межсетевое экранирование
Требования информационной безопасности для УЦ разработаны ФСБ России. В нормативно-технических документах на КриптоПро УЦ (формуляр, ТУ) указано, что для сохранения сертификации все компоненты УЦ необходимо устанавливать за межсетевым экраном 4 класса по классификации ФСБ России. Так как данный документ является ДСП, удостовериться в этих требованиях не представляется возможным и остается верить в их целесообразность.
Все компоненты, за исключением АРМ для КД, целесообразно разместить в специально отведенной сети (DMZ УЦ), АРМ для КД можно выносить в любое место, при обеспечении необходимых мер ИБ. Это удобно для создания удаленного рабочего места для генерации ключей. В этом случае для защиты удаленного АРМ потребуется использовать дополнительный межсетевой экран.
В настоящее время сертифицированными по линии ФСБ России есть только два межсетевых экрана: АПКШ «Континент» и ViPNet «Coordinator». Оба продукта имеют одинаковые сертификаты ФСБ России, имеют схожий функционал, отличаются только в нюансах исполнения и использования, тем самым являясь прямыми конкурентами друг другу.

Защита от несанкционированного доступа
В документации на УЦ есть требование о необходимости использования на всех компонентах УЦ электронных замков доступа типа Соболь или Аккорд в качестве средства предотвращения несанкционированного доступа. Данные электронные замки являются программно-аппаратными комплексами, выполненными в виде PCI карт и устанавливаемые в серверы и/или персональные компьютеры.
 Электронные замки обеспечивают доверенную загрузку, путем получения управления после отработки стандартного ПО BIOS. Загрузка ОС может выполняться как после предъявления идентификатора и пароля, так и после предъявления съемного носителя и кода доступа (двухфакторная идентификация). В качестве съемного носителя чаще всего используются токены eToken (Aladdin) или  ruToken (Актив). Электронный замок имеет функции  по контролю целостности файлов, который производится с использованием криптографического алгоритма ГОСТ Р 34.11-94 путем сравнения результата хэш-функции с исходным значением.

Антивирусная безопасность
В документации на УЦ нет четких требований необходимости антивирусных средств, однако если всё-таки исходить из необходимости ИБ, то антивирусные средства необходимы. Поэтому имеет смысл на каждый компонент УЦ установить антивирус. К сертифицированным ФСТЭК России антивирусным средствам относятся: российские антивирусы Касперского и Dr.Web, белорусский антивирус VBA32, а также антивирус иностранной разработки Eset NOD32.
Все антивирусы должны регулярно автоматически обновляться. Единственным исключением мне видится антивирус, установленный на ЦС. Его имеет смысл обновлять вручную, при помощи съемных носителей, т.к. между ЦС и ЦР возможен только «основной» обмен.

Резервное копирование
В документации есть типовая схема реализации УЦ, согласно которой предлагается создание резервных копий ЦС и ЦР. Однако если следовать принципам ИБ, то имеет смысл регулярно создавать резервные копии всех компонентов. Резервное копирование может быть как логическим, то есть на уровне файловой системы, так и физическим, то есть на уровне секторов жестких дисков. Пример логического средства – Microsoft NT Backup. Пример физических средств – Symantec Ghost, российский аналог Acronis True Image, свободный аналог PING (Partimage Is Not Ghost).

Анализ защищенности
Если система имеет доступ в сеть Интернет, то необходимо обеспечить анализ защищенности. Лучше всего включить функции обновления ПО на всех компонентах УЦ, за исключением ЦС. ЦС лучше обновлять вручную, по аналогии с антивирусом. Для анализа защищенности в корпоративной сети организации устанавливается сервер анализа безопасности, с которого и производится анализ. Лучшим из российских средств защиты информации является MaxPatrol, который успешно конкурирует с иностранными средствами, от McAfee и Nessus.
Анализу подвергаются все средства, кроме ЦС, так как ЦС не входит в корпоративную сеть и/или DMZ, доступ к нему разрешен только для ЦР, а также ЦС является высококритичным ресурсом.

Обнаружение вторжений
Если система имеет доступ в сеть Интернет, то необходимо также обеспечить функции по обнаружению вторжений. Данные функции присутствуют в антивирусе Касперского в виде IDS подсистемы. Номинальные функции по обнаружению вторжений присутствуют в МСЭ ViPNet Coordinator.
Однако для реальной безопасности имеет смысл использовать специализированное средство обнаружения вторжений, установленное «наверху», до межсетевого экрана УЦ. Примерами хороших средств IDS являются Cisco IPS 4200, StoneGate IPS.

Контроль доступа
Функции разграничения доступа присутствуют в каждом компоненте УЦ. Более того в УЦ используется ролевая модель разграничения прав доступа.
Дополнительно для обеспечения безопасности на всех компонентах УЦ важным является отсутствие административных привилегий при осуществлении доступа. Это достигается использованием штатных механизмов дискреционного типа доступа ОС Microsoft Windows.

Регистрация и учет
Регистрация, то есть протоколирование, выполняется встроенным программным обеспечением. Регистрация общесистемных событий также может быть настроена штатными средствами ОС Microsoft Windows. Важным является организация хранения электронных журналов регистрации в течение необходимого периода времени.

В документации на УЦ есть требование «Удостоверяющий Центр обязан синхронизировать по времени все программные и технические средства обеспечения деятельности по предназначению». Имеет смысл иметь в организации сервер, который является эталонным источником времени. С этим сервером и должны синхронизироваться все компоненты, за исключением ЦС. ЦС же должен синхронизироваться только с ЦР.

вторник, 16 ноября 2010 г.

Безопасность точек доступа

В настоящее время часто находят применение технологии предоставления беспроводного доступа в домашнюю или корпоративную сеть. Перечислю тезисами меры, которые необходимо предпринять для того, чтобы обезопасить сети от угроз, возникающих при использовании беспроводных технологий:
  • изменить имя и пароль на точку доступа, присвоенные производителем оборудования;
  • ограничить возможность администрирования точки доступа только через проводной интерфейс;
  • при небольшом количестве беспроводных устройств, настроить MAC-фильтрацию хостов сети;
  • изменить идентификатор сети (SSID) на уникальный;
  • отключить широковещательную трансляцию идентификатора сети (SSID broadcast);
  • по возможности не размещать точки доступа на границах контролируемой зоны. Если это невозможно нужно подумать об уменьшении мощности передатчика на точке доступа.
  • установить шифрование трафика по стандарту WPA (стандарт шифрование WEP не является надежным – взламывается за минуты).
Самое главное, на что следует обратить внимание - это на установку длины ключа шифрования не менее 128 бит, а также сложной парольной фразы для начального общего ключа (pre-shared key).

Дополнительные меры безопасности
  • не использовать DHCP;
  • настроить IP-фильтрацию;
  • задействовать технологию AAA для предварительной аутентификации (Radius, Tacacs+);
  • настроить фильтрацию на уровне имен пользователей, протоколов, времени и т.д.;
  • туннелировать соединение при помощи IPSec;

Параноидальная мера безопасности
  • не использовать беспроводные сети!



пятница, 15 октября 2010 г.

Безопасность с ClamAV

Безопасность с ClamAV
Не секрет, что для использования в корпоративной среде нужно обязательно иметь антивирус. Конечно есть и более полезные с точки зрения ИБ меры и средства, такие как регулярное проведение анализа защищенности всех ПК и серверов (Patch management), отсутствие административных полномочий на всех ПК пользователей. И тем не менее, без антивируса сегодня никуда.
В настоящее время бесплатных и/или свободных антивирусов достаточное количество. Однако среди них есть только три, которые могут быть использованы в корпоративной среде. Один из них ClamAV.
Основное назначение данного продукта - сетевые и почтовые шлюзы. Программное обеспечение шлюза, должно осуществлять вызовы антивирусного сканера для сканирования каждого проходящего файла.
Антивирус ClamAV, как известно, не содержит в себе антивирусного монитора, который в автоматическом режиме осуществляет вызовы сканера при обращениях к файлам. Это означает, что каждый подозрительный файл нужно в ручном режиме проверять на вирусы, после чего использовать. Стоит ли говорить об удобности для конечного пользователя?
Для того, чтобы компенсировать отсутствующий функционал, существует несколько внешних мониторов. По информации с форума http://forum.ru-board.com есть следующие мониторы (привожу неизменые комментарии с форума):

Bilirafon-AV. Это нечто очень странное и весьма ненадежное, как я понимаю. Он просто меняет ключики в реестре, и при попытке запустить какую-либо программу сперва запускается сам.
Tech-Protect. Облазил весь инет, замучил Гугля, но так и не нашел, где его можно скачать. Если у кого-то есть - большая просьба, поделитесь, пожалуйста. Ну и заодно - как он в работе, действительно ли лучше других мониторов для ClamAV?
WinPooch. Несовместим с WinXP SP3

Moon Secure AV. Пока оставил именно его. Интерфейс, конечно, потрясает
Ну хоть EICAR'а ловит стабильно. (Хотя, нет, не очень стабильно - позволяет копировать eicar в буфер обмена и вставлять в другую папку. Но выполнить все-таки не дает.)
Spyware Terminator. Поставил, попробовал, удалил. Как-то хитрО там все с настройками, да и как заставить его обновляться просто по сети - совершенно неясно. Если кто-то его пользует - поделитесь опытом, как его настраивать и обновлять в сетке на несколько машин? И, кстати, EICAR он у меня ловил не всегда - в каких-то случаях позволял eicar.com выполниться.
ClamRT. Проект заморожен в 2005 году, судя по датам дистрибутивов на SourceForge.

Таким образом, можно считать, что есть большие проблемы с наличием свободного и стабильно работающего монитора, «идущего в ногу» с самим антивирусом. Привожу скриншот одного из таких мониторов.
 В качестве тестирования используем ОС Windows 7 с установленными последними обновлениями и последней версией антивируса ClamWin 0.96.2.
Скачиваем тестовый вирус EICAR и пытаемся его запустить. При попытке запуска, как и следовало ожидать, антивирус его не заметил, а вот встроенный в ОС Windows Защитник (Defender) его сразу заметил и предложил удалить.
Для тестирования антивируса пришлось отключить Windows Defender и просканировать тестовый вирус. Антивирус ClamAV сразу определил тестовый вирус.
 Результаты сканирования заносятся в лог в текстовом виде.
 Недавно появился новый «обвес» для антивируса ClamAV -  ClamAV for Windows 2.0, производимый компаниями Immunet Corporation и Sourcefire, Inc. Данный антивирус имеет две версии: Free и Plus. Plus отличается расширенными возможностями по сканированию файлов при недоступности своего «облачного» ресурса, поддерживает сканирование USB носителей и почтовых баз, поддерживает архивы и установочные (сжатые) файлы, а также обладает расширенными функциями по автоматизации. Обе версии имеют в своем составе монитор, столь необходимый конечному пользователю.
 По информации с сайта http://www.antivirus.ru, по состоянию на октябрь 2009 года, рейтинг антивируса ClamAV – 13, а занимает он лишь 33 место.
Вывод: в настоящее время не существует свободного и полностью работоспособного монитора для антивируса ClamAV, сам же антивирус ClamAV кроссплатформенный и работоспособный, однако эффективность его невысока. Антивирус ClamAV адекватно логирует события, что позволяет удаленно управлять им и разбирать логи (parsing) при создании каких-либо дополнительных средств ИБ.

Безопасность протокола ARP

Безопасность протокола ARP
        На сайте компании http://www.redline-software.com размещен цикл статей, посвященных сетевым атакам. Одна из этих атак, относящихся к типу Man-in-the-MiddleARP Cache Poisoning. Повторим её в лабораторных условиях, согласно описанию с сайта.
        Делаем тестовую сеть, состоящую из маршрутизатора, ПК злоумышленника и ПК жертвы. ПК подключаются через коммутатор в сеть, через маршрутизатор осуществляется доступ в Интернет.
        Фиксируем исходные данные сетевых интерфейсов, выполнив команду ARPA на каждом ПК.
Маршрутизатор – IP 192.168.0.1 MAC 00-1b-11-fb-34-ec
ПК злоумышленника – IP 192.168.0.2 MAC 00-1b-fc-8c-b1-74
ПК жертвы – IP 192.168.0.3 MAC b4-82-fe-70-e5-4f

Далее скачиваем и устанавливаем ПО Cain & Abel c сайта http://www.oxid.it
 Выбираем нужный интерфейс
Сканируем сеть для определения присутствующих хостов
 Выбираем жертву (в моём случае компьютер Samsung)
 И запускаем процесс «отравления» ARP кеша.
Смысл атаки заключается в постоянной подмене MAC адреса хоста, обладающего IP адресом 192.168.0.1 MAC адресом злоумышленника 00-1b-fc-8c-b1-74.
После того, как атака «включена» трафик начинает перенаправляться через ПК злоумышленника. Для подтверждения этого достаточно на ПК жертвы проявить какую-нибудь активность, например, зайти на какой-нибудь web-сайт. Все http запросы начинают отображаться в окне программы Cain & Abel на ПК злоумышленника, по которым легко установить сетевую активность, используя общедоступный DNS сервер.

Методы защиты:
  • Фиксация соответствий между IP и MAC адресами на каждом ПК сети при помощи скриптов из команд “ARPs <IP address> <MAC address>”.
  •  Контроль соответствия сетевых пакетов при помощи ПО класса HIPS на каждом ПК сети.
  • Контроль соответствия таблиц коммутации на уровне сетевых коммутаторов.

среда, 22 сентября 2010 г.

Комплексная безопасность

Комплексная безопасность

Часто при попытках объяснить необходимость повышения уровня информационной безопасности компании приходится слышать тезис о том, что всё равно останется какой-нибудь другой способ, осуществить утечку информации. Попробуем разобраться в этом!
Посмотрим данные с сайта компании «Периметрикс» о способах осуществления утечек за 2007-2008 годы. Очевидно, опрос проводился с возможностью выбирать 2 наиболее актуальных технологии для осуществления утечки информации. Действительно, самые популярные ответы это мобильные носители (флешки) и электронная почта.

После перевода показанных данных в вероятности (при помощи поправочного коэффициента) получаем распределение вероятностей по видам утечек информации.

Мобильные накопители
70 %
0,350
Электронная почта
52 %
0,260
Интернет (веб-почта, форумы)
33 %
0,165
Печатающие устройства
23 %
0,115
Интернет-пейджеры
13 %
0,065
Фото-принадлежности
1 %
0,005
Другое
7 %
0,035
Итого

1


Существует два основных подхода к перекрытию какого-либо исходящего информационного канала: на уровне прав доступа и на уровне анализа контекстной информации, причем второй способ может быть расширением первого. Но сейчас не об этом.
Давайте представим, что мы перекрыли любым из вышеприведенных способов возможность утечек по средствам мобильных накопителей. Что произойдет в данном случае? Утечки прекратятся? Нет и еще раз нет. Останутся все другие способы, причем вероятности их использования возрастут, пропорционально вероятности каждого оставшегося способа. Таким образом, вероятность 0,350 «размажется» по всем остальным не равномерно, а с учетом их каждого веса. Покажу это на примере таблицы.

Мобильные накопители
0,350
-
Электронная почта
0,260
0,403
Интернет (веб-почта, форумы)
0,165
0,256
Печатающие устройства
0,115
0,178
Интернет-пейджеры
0,065
0,101
Фото-принадлежности
0,005
0,008
Другое
0,035
0,054
Итого
1
1

Теперь давайте перекроем утечки по электронной почте. Что мы получим в итоге? Да всё, то же самое. Вероятность 0,403 также «размажется по всем остальным, также с учетом каждого веса. Также покажу это на примере таблицы.

Мобильные накопители
0,350
-
-
Электронная почта
0,260
0,403
-
Интернет (веб-почта, форумы)
0,165
0,256
0,343
Печатающие устройства
0,115
0,178
0,239
Интернет-пейджеры
0,065
0,101
0,101
Фото-принадлежности
0,005
0,008
0,010
Другое
0,035
0,054
0,054
Итого
1
1
1

Можно сделать вывод, что, несмотря на перекрытие актуальных каналов утечек, вероятность утечек не уменьшается, а всегда равна единице. На самом же деле если перекрыть все «популярные» каналы, то вероятность использования оставшихся существенно уменьшается. Противоречие здесь кроется в понимании термина вероятность. Под вероятностью в области оценки рисков понимается количество попыток осуществления утечек в единицу времени. То есть когда мы перекроем все популярные каналы, не забыв про организационные меры, количество попыток использовать оставшиеся существенно уменьшится, так как осуществить каждую из оставшихся возможностей станет гораздо сложнее.
  • Probability – вероятность. Классический математический термин.
  • Likelihood – вероятность. Удельное количество попыток какого-либо действия.
Можно сделать справедливый вывод о том, что понятие информационной безопасности есть понятие комплексное и поэтому показатели ИБ можно считать относительными, а их понижение может быть лишь следствием фрагментарной ликвидации каналов или некоторых способов утечки.