понедельник, 31 января 2011 г.

Как защититься от DDOS-атак

DDoS-атакой (Distributed Deny of Service Attack) называется распределенная атака типа отказа в обслуживании. Целью подобных атак, как правило, является остановка легитимных сервисов в организации.

Упрощенно говоря, атака происходит следующим образом: на большое количество компьютеров, используя самые разные способы, например, используя уязвимости ОС и ПО, вирусы, включая спам и троянское ПО, распространяется специальный код. Код должен уметь незаметно проникать в систему, уметь незаметно находиться в системе, желательно уметь незаметно осуществлять взаимодействие с управляющей программой и уметь производить атаку. С помощью специальной программы злоумышленник даёт указание осуществить атаку определенного адреса в определенное время. Происходит заполнение канала связи между сервисом, на который проводится атака, и Интернет-провайдером (ISP). Если на стороне организации был web-сервер с Интернет-Банком, торговой системой или Интернет-магазином, то во время проведения атаки эти сервисы перестают работать, что может привести как к финансовым, так и к репутационным убыткам.

Какие меры могут быть использованы для противодействия DDoS-атак? Я выделяю три направления, по которым нужно работать: обновление и конфигурирование сетевого оборудования на стороне организации, заключение соглашений между организацией и Интернет-провайдером и создание избыточной сетевой инфраструктуры на стороне организации.


Обновление и конфигурирование

Самой простой мерой для противодействия DDoS-атакам является обновление программного обеспечения сетевого оборудования. Это могут быть программные или программно-аппаратные межсетевые экраны, маршрутизаторы. В Интернете выложено большое количество статей и инструкций для конкретных устройств, общими же являются методы фильтрации по отдельным адресам, по группам адресов, по подсетям, по сетям, по спискам сетей, относящихся к конкретным провайдерам или даже государствам.

Соглашение о предоставлении услуг

Следующей мерой является заключение соглашений с Интернет-провайдером. Соглашение об уровне сервиса SLA (Service Level Agreement) – документ, регламентирующий отношения между сервис-провайдером и его клиентом, содержащий описание услуги, права и обязанности сторон и, самое главное, согласованный уровень качества предоставления услуги. В таком соглашении может содержаться детальное описание предоставляемого сервиса, в том числе перечень параметров качества, методов и средств их контроля, времени отклика поставщика на запрос от потребителя, а также штрафные санкции за нарушение этого соглашения. Данное соглашение должно рассматриваться как делегирование ответственности на сторону провайдера и в теории должно заставить провайдера выполнять технические мероприятия на своей стороне. Цель подписания подобного соглашения - обеспечение как пропускной способности в канале связи, так и доступности канала связи для сервисов клиента.

Доступность сервиса определяется как время, в течение которого ресурс или система доступны для использования. Для примера привожу возможные уровни доступности до "пяти девяток".


Создание избыточной инфраструктуры

Обычная схема.

Обычная схема имеет единственный канал связи между провайдером и организацией. Если происходит DDoS-атака на сетевой ресурс организации с большой долей вероятности можно сказать, что произойдет отказ доступности сервисов на этом ресурсе.



Избыточная схема с единственным провайдером.

Для того, чтобы снизить возможные последствия в результате DDoS-атак имеет смысл установить два независимых канала связи до провайдера. Основной канал должен иметь необходимую пропускную способность, а резервный - минимально допустимую. Если  ограничиться единственным каналом связи, но установить маршрутизатор провайдера на территории организации, то фактически у организации будет 2 внешних IP-адреса, которые и будут использоваться для коммутации и маршрутизации. Маршрутизатор должен обладать функциями обнаружения вторжений.

Что дает данная схема? В случая DDoS-атаки маршрутизатор мгновенно переключается с основного канала на резервный канал. Основанием для переключения будет замеченная встроенным анализатором DDoS-атака или недоступность конечной точки маршрутизации.

Если злоумышленник обладает информацией, что у организации 2 канала связи до провайдера, а ему известен только один IP-адрес, то он может организовать атаку на все адреса, входящие в подсеть. Для этого нужно рассчитать минимальную подсеть, содержащую известный IP-адрес, после чего станут известны все остальные адреса, на которые и проводится атака.



Избыточная схема с разными провайдерами.

Для дальнейшего снижения вероятности потери доступности сервисов при проведении DDoS-атак, является организация независимых каналов связи с разными Интернет-провайдерами. В этом случае в организации будет также 2 IP-адреса, но они гарантированно будут из разных сетей. В этом случае у злоумышленника пропадает возможность предугадать другие IP-адреса, которые также могут предоставлять сервисы.

Дополнительным достоинством такой схемы будет являться полное резервирование доступа в Интернет и минимальная зависимость от сбоев в работе Интернет-провайдера. В англоязычной литературе это называется Redundant ISP.

воскресенье, 23 января 2011 г.

Просто об оценке рисков

Для оценки рисков в организации необходимо провести следующие мероприятия:
  • Идентифицировать  активы
  • Оценить активы
  • Определить угрозы безопасности
  • Оценить угрозы безопасности
  • Оценить риски
  • Обработать риски
  • Принять оставшиеся риски

Идентификация активов
К активам организации могут относиться:
  • Конфиденциальная информация
  • Базы данных с конфиденциальной информацией
  • Программные средства с базами данных с конфиденциальной информацией
  • Технические средства с программными средствами с базами данных с конфиденциальной информацией

Очень напоминает инкапсуляцию в модели OSI или же… вот два петуха,
Которые будят того пастуха,
Который бранится с коровницей строгою,
Которая доит корову безрогую,
Лягнувшую старого пса без хвоста,
Который за шиворот треплет кота,
Который пугает и ловит синицу,
Которая часто ворует пшеницу,
Которая в темном чулане хранится
В доме, который построил Джек. 

К активам организации также может относиться персонал, информационная и сетевая инфраструктура, здания и сооружения, в которых происходит хранение и обработка информации.

Оценка активов
    Существует два вида оценки активов: качественная и количественная. Чаще всего вначале используется качественная оценка, состоящая из относительных определений ценности активов: низкая, средняя и высокая. Но так как для оценки рисков важнее знать «сколько нужно грамм», то на выходе риски должны быть оценены количественно. Следует соотнести качественную оценку с деньгами. Процесс перевода оценок из качественных единиц в количественные называется калибровкой шкалы рисков. Таким образом, могут получиться следующие соответствия: низкая – до $10 000, средняя – от $10 000 до $100 000, высокая – от $100 000 и выше. Количественные величины напрямую будут зависеть от величины организации. Количество делений в шкале выбирается экспертным путем.

Определение угроз безопасности
    Угрозы безопасности могут присутствовать на любом уровне иерархии, начиная от физической безопасности и заканчивая любым логическим доступом к информации. Для определения угроз безопасности рассматриваются все уровни, на которых может быть получен доступ к активам. Неспроста процессы обеспечения информационной безопасности рассматриваются как противоборство собственника и злоумышленника за контроль над информационными активами. На этом этапе разрабатывается модель угроз и нарушителей, в которой и описываются все виды угроз.

Оценка угроз безопасности
    Оценка угроз безопасности производится экспертным путем в зависимости от текущего уровня информационной безопасности и вероятности реализации угроз. Результаты оценки угроз также документируются в модели угроз и нарушителей безопасности.

Оценка рисков
    Существует много определений понятия риска информационной безопасности. В общем случае уровнем риска называют произведение ущерба на вероятность атаки.
Риск = ущерб * вероятность атаки            
    Вероятность атаки рассчитывается в зависимости от величины уязвимости, которая если присутствует, то является постоянной величиной, не подлежащей расчету и вероятности возможной угрозы.

Вероятность атаки = величина уязвимости * вероятность угрозы

Из этого следует, что:

Риск = ущерб * величина уязвимости * вероятность угрозы

    Также рассчитываются специальные показатели:

EF (exposure factor) - процент потерь, которые возникнут вследствие реализации характерной угрозы для определенного актива.

SLE (single loss expectance) - потенциальная сумма (в деньгах) ущерба для компании в результате единичного факта реализации соответствующей угрозы.

SLE = EF * стоимость актива

ARO (annualized rate of ocurrence) – среднегодовая частота возникновения инцидентов. Величина, представляющая собой ожидаемую частоту реализации соответствующей угрозы в год.

ALE (annual loss expectance) – ожидаемые среднегодовые потери.

ALE = SLE * ARO

Обработка рисков
    Для обработки рисков используются следующие методы:

Уход от риска – например, отказ от незаконного вида деятельности.

Уменьшение риска – внедрение организационных и / или технических мероприятий, уменьшающих риск.

Передача риска – например, заключение договора со страховой компанией с передачей части ответственности на нее.

Принятие риска – принятие исходного или уменьшенного до приемлемой величины  в результате мероприятий риска.

Принятие остаточных рисков
    Стоит лишь отметить, что принятие остаточных рисков должен осуществить менеджмент организации, так как именно менеджмент, а вовсе не ИБ отвечает за возможные финансовые и прочие потери. Ведь, как известно, информационная безопасность не может увеличить прибыть организации, но зато может и должна снижать возможные убытки.

Привожу перевод упражнений из книги Security +
    Как профессионал в информационной безопасности, вы должны знать, как рассчитывать SLE, ALE и ARO. Даны любые 2 значения, нужно рассчитать третье.
1.      Вы работаете администратором web-сервера, прибыль от работы которого составляет  $25 000 в час. Вероятность того, что web-сервер выйдет из строя оценивается как 25 %. Сервер будет восстанавливаться в течение 3-х часов. Стоимость восстановления составит $5 000. Требуется рассчитать ALE?

SLE = $25 000 * 3 + $5 000 = $80 000
ALE = $80 000 * 0.25 = $20 000

2.      Вы администратор исследовательской фирмы и работаете только а одном проекте по сбору данных и размещении их на единственном web-сервере. Оценка каждого исследовательского проекта составляет приблизительно $100 000. В любе время нарушитель может похитить не более 90 % данных. Средняя вероятность подобных инцидентов в индустрии оценивается как 33 %. Требуется рассчитать ALE?

SLE = $100 000 * 0.9 = $90 000
ALE = $90 000 * 0.33 = $27 900

3.      Вы работаете в технической поддержке в маленькой компании. Один из наиболее частых инцидентов заключается в помощи восстановления пользователям случайно удаленных ими файлов. В среднем это случается раз в неделю. Если пользователь создает файл на сервере, а потом стирает его (около 60 % инцидентов), то это можно восстановить моментально при помощи теневой копии и редко когда данные пропадают. Если пользователь создает файл на своей рабочей станции, а потом стирает его (около 40 % инцидентов), то файл никак не может быть восстановлен и пользователю требуется приблизительно 2 часа, чтобы создать файл заново. Создание файла оценивается в $12 в час. Каким будет ALE?

SLE = $12 * 2 = $24
ARO = 52 недели * 0.4 = 20.8
ALE = $24 * 20.8 = $ 499.20

четверг, 6 января 2011 г.

Сертифицированные средства защиты

Известно, что для защиты ПДн класса К1 средства защиты информации должны иметь НДВ 4. Однако если проводить анализ 58 приказа ФСТЭК, вводящего Положение о ПДн и ранних рабочих документов ФСТЭК, то оказывается, что средства защиты информации должны иметь подтвержденный функционал, соответствия которого я привожу в таблице ниже.

Рабочие документы по защите информации ФСТЭК России
      Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
       Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.
       Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
       Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.

Соответствия между требованиями к классам ИСПДн
и классам рабочих документов ФСТЭК России
Класс ИСПДн / класс по РД ФСТЭК
К1
К2
К3
 Средства вычислительной техники (СВТ)
5
5
5
 Автоматизированные системы (АС)
1Г+
 Межсетевые экраны (МЭ)
3
4
4
 Недекларированные возможности (НДВ)
4
-
-

Перечень средств защиты

 Этот перечень сделан по мотивам информации с сайта http://ispdn.ru, государственного реестра сертифицированных СрЗИ с сайта http://www.fstec.ru/ и данных с web-сайтов производителей. Перечень упорядочен по функционалу и содержит краткую информацию, на что есть сертификаты. Перечень не исчерпывающий, но содержащий основные средства защиты информации.
Список сделан по состоянию на 1 января 2011 года и посвящен очередному откладыванию закона о персональных данных. :-)

Средства защиты от НСД
SecretNet 5.1 (авт, сеть) – НДВ 2, СВТ 3, АС 1Б, К1
SecretNet 6  – НДВ 2, СВТ 3, АС 1Б, К1
SecretNet-К 6  – НДВ 4, СВТ 5, АС 1Г, К1
SecurityStudio EndPoint Protection – НДВ 4, МЭ 4, АС 1Г, К1
Соболь – НДВ 2, АС 1Б, К1, ФСБ 1Б
DallasLock – НДВ 2, СВТ 3, К1
SecurityStudio – НДВ 4, СВТ 5
SecurityStudio Trusted Boot Loader – НДВ 3
Security Pack Rus – К2, ФСБ АК2, АК3
Панцирь-К  – НДВ 4, СВТ 5, К1, (не работоспособный)
Панцирь-С  – НДВ 3, СВТ 4, К1, (не работоспособный)
Страж NT – СВТ 3, НДВ 2, АС 1Б, К1 (не работоспособный)
М506А-XP – ФСБ ФС АК5, КАИ-2.03, АИС 2 (что это такое я пока не знаю)
Аккорд NT/2000 3.0 - СВТ 3, НДВ 4, АС 1Б, К1
Diamond ACS - СВТ 3, НДВ 4, АС 1В 2А 3А, К1

Межсетевое экранирование и VPN
VipNet Custom 3.1 – ОУД 4+, НДВ 3, МЭ 3, АС 1В, К1 (с ограничениями в ТУ), ФСБ как МЭ 4, КС2, КС3
АПКШ Континент 3.5 – МЭ 3, НДВ 3, АС 1В, К1 (с ограничениями в ТУ), ФСБ как МЭ 4, КС1, КС2
Континент-АП 3 – МЭ 4, НДВ 3, АС 1Г, К3 (кроме подключаемых СКЗИ), ФСБ как КС1, КС2
S-terra CSP VPN Gate – МЭ 3, К1, ФСБ КС1, КС2
S-terra CSP VPN Server – МЭ 3, К1 (нет сертификата ФСБ!)
S-terra CSP VPN Client – МЭ 3, К1 (нет сертификата ФСБ!)
VipNet Office Firewall – ФСБ МЭ 4
VipNet Personal Firewall – ФСБ МЭ 4
StoneGate Firewall – МЭ 2, НДВ 4
StoneGate SSL VPN – (12 шт. интереса не представляют)
TrustAccess – НДВ 4, МЭ 2, АС 1Г, К1
TrustAccess-S – НДВ 2, МЭ 2, АС 1Г, К1
Блокпост-Экран 2000/ХР – МЭ 4, К2
UserGate Proxy & Firewall – ОУД 2, МЭ 4, НДВ 4, АС 1Г, К1
Застава-S – МЭ 2, НДВ 2, К1
Застава VPN - МЭ 3, НДВ 3, К1 (нет заключения ФСБ о корректности встраивания криптосредств!)
Altell NEO - МЭ 4 (с ограничениями в ТУ)

Обнаружение вторжений
StoneGate IPS – МЭ 3, НДВ 4, АС 1Г, К1
Форпост 1.8 – НДВ 3
Cisco IPS 4240 – ТУ (12 шт. Джет)
SecurityStudio EndPoint Protection – есть работающий функционал Agnitum Outpost
Антивирус Касперского Workstation/KIS – есть работающий функционал
VipNet Custom – есть номинальный функционал

Контроль утечек
DeviceLock 6.4 – ОУД 2, НДВ 4, 1Г
ZLock 1.3 – НДВ 3, К2
Traffic Monitor 3.3 – НДВ 4, АС 1Г, К1 (DM в него входит)

Анализ защищенности
MaxPatrol – НДВ 4 (конкурентов нет и не ожидается)

Антивирусы
Kaspersky Administration KIT 6/8 – НДВ 3, ФСБ
Dr.Web 4.44/5 – НДВ 3/2, ФСБ
Eset NOD32 Business Edition 3 – К2
ESET NOD32 Firewall – МЭ 4 (или в МСЭ его)
Eset NOD32 Platinum Pack 4.0 – НДВ 4, АС 1Г, К1
VBA32 – НДВ 4, К1
Токены
eToken5 – ОУД 2, НДВ 4, АС 1Г, К1 (на всё устройство)
eToken Network Logon 5 – ОУД 2, НДВ 4, АС 1Г, К1
ruToken – НДВ 3  (только на ПО)
Шипка – СВТ 5, АС 1Г

Электронные замки
Соболь – НДВ 2, АС 1Б, К1, ФСБ 1Б
Аккорд АМДЗ – ФСБ 3Б

Шифрование томов, дисков, файлов
Secret Disk Server NG – НДВ 4
Secret Disk Server – ОУД 1, АС 1Г, НДВ 4, К2
Safe Disk 4 – ОУД 3+, НДВ 4, СВТ 5, АС 1Г, К1 (с ограничениями в ТУ), ФСБ КС1, КС2

Операционные системы
Windows 7 Pro/Corp/Ult – СВТ 5, АС 1Г, К2
Windows XP Pro (SP2) – ОУД 1, АС 1Г
Windows Vista (без SP/SP1/SP2) – ОУД 1, АС 1Г
Windows Server 2003 SE (SP2/R2/R2SP2) – ОУД 1, АС 1Г
Windows Server 2008 SE – ОУД 1, СВТ 5, АС 1Г, К2
ALT Linux 4.0 Desktop Pro – НДВ 4, СВТ 5, К2
Linux XP Desktop 2008 SE – НДВ 4, СВТ 5, АС 1Г, К2
МСВСфера 5.2 Desktop – ОУД 2, НДВ 4, АС 1Г, К1
МСВСфера 5.2 Server – ОУД 2, НДВ 4, АС 1Г, К1

Прочие продукты Microsoft
Microsoft Office Pro 2003 SP3 - ОУД 1, АС 1Г
Microsoft Office Pro 2007 без SP/SP1 - ОУД 1, К2
Microsoft SQL Server 2005 SE/EE - ОУД 1, АС 1Г
Microsoft SQL Server 2008 SE/EE - ОУД 1, СВТ 5, АС 1Г, К3
Microsoft ISA Server 2006 SE – ОУД 1, МЭ 4/3 (при ограничениях), АС 1Г
Microsoft Exchange Server 2007 SE/EE – СВТ 5, К2

Прочие продукты
1С Предприятие 8.2 – СВТ 5, НДВ 4, АС 1Г, К1
vGate – НДВ 4, СВТ 5, АС 1Г, К1
Acronis (все продукты) – НДВ 4, АС 1Г, К1 (в перечне пока нет)
VMware vSphere 4 – СВТ 5, АС 1Г, К2