Современные
информационные технологии/ Информационная безопасность
ЄлізаровА.Б,Урсуленко
І.В.
Національний авіаційний університет(НАУ),
Україна
АНАЛІЗ УРАЗЛИВОСТЕЙ
КОРПОРАТИВНОЇ МЕРЕЖІ
Вступ.
Інформаційні процеси, які відбуваються у світі, висуваються на перший план, поряд із
завданнями ефективної обробки і передачі інформації. В умовах нестабільної
ситуації в світі величезне значення набувають питання безпеки. Це пояснюється
особливою значущістю зростання вартості інформації в умовах ринку, її високою
уразливістю і нерідко значним збитком у результаті її несанкціонованого
використання.
Постановка
проблеми.
Забезпечення інформаційної безпеки є
найважливішим завданням і одним з пріоритетних напрямків діяльності будь-якої
компанії. При цьому обсяг інвестицій у захист інформації повинен прямо залежати
від цінності самої інформації, а захисні заходи повинні плануватися і
здійснюватися у відповідності з принципом економічної доцільності. Таким чином,
виникає необхідність диференційованого підходу до захисту інформації. Постає
питання про те, як оцінити потенційну цінність і значимість тієї чи іншої
інформації для компанії.
Мета.
Для забезпечення інформаційної безпеки компанії,
необхідно враховувати, що головною метою є прибуток, для отримання якого вона
повинна знижувати витрати видобутку, виробництва і реалізації продукту,а також
шукати шляхи для розширення збуту. При цьому весь бізнес-процес повинен бути
забезпечений захищеністю інформації, що належить компанії і підтримує її
інфраструктуру від випадкових або навмисних загроз, які можуть заподіяти
компанії істотний збиток. Таким чином, виникає необхідність побудови системи
захисту інформації, яка демонструє вплив загроз на стан інформаційної безпеки
підприємства.
При розробці проектів систем захисту інформації
важливим завданням є визначення уразливостей існуючої інформаційної системи та
передбачуваних до застосування засобів і методів захисту. Це необхідно для
нейтралізації виявлених уразливостей за рахунок, наприклад, налаштування засобів захисту, резервування,
розробки організаційних заходів тощо. Для більш
повного аналізу виявлених уразливостей проводиться їх класифікація.
При цьому існує безліч підходів до класифікації
уразливостей, в яких використовується безліч класифікаційних параметрів, таких
як:
-
етап життєвого циклу
інформаційної системи;
-
рівень
в інфраструктурі інформаційної
системи ;
-
рівень
небезпеки уразливості;
-
причина
виникнення;
-
особливості
уразливості ;
-
місцезнаходження
.[1]
Основним критерієм порівняння для класифікацій уразливостей,
з практичної точки зору, служить максимальне охоплення класифікацією уразливостей
інформаційної системи (ІС).
Аналіз підходів до класифікації показує
наступне:
-
класифікація
по етапу життєвого циклу, на якому виникає уразливість, зачіпає всі можливі
уразливості ІС. Однак її практичне застосування може бути складним, тому що
вона є надмірно узагальненою. Відповідно, отримані класи будуть занадто
великими;
-
класифікація за рівнем в інфраструктурі ІС
зосереджується на програмних та програмно-апаратних засобах захисту і ігнорує
організаційні і технічні засоби захисту та їх уразливості;
-
класифікація
за рівнем небезпеки зосереджується, виключно на уразливостях програмного
забезпечення, залишаючи за межами розгляду уразливості решти складових системи
захисту інформаційної системи;
-
різні підходи до класифікації
по причині виникнення об'єднує те, що всі вони зосереджені на
описі уразливостей операційних систем і программного забезпечення і,
відповідно, не розглядають уразливості організаційних,
технічних та апаратних засобів
і методів захисту інформації;
-
класифікація організації MITRE за різними особливостями
властивим уразливостям [1] також зачіпає тільки уразливості
програмного забезпечення (ПЗ);
-
класифікації за місцем знаходженням поділяють уразливості
по тому, в якій частині ресурсів інформаційної системи вони знаходяться
(програмної або апаратної), відповідно класифікації не зачіпають уразливостей
пов'язаних з помилками в організації захисту інформації.
Отже, переважно використовувати
такі класифікації, які розглядали б одночасно кілька класифікаційних ознак. До
подібних класифікацій відноситься
узагальнена класифікація уразливостей.[2]
Перевагою
узагальненої класифікації є те, що вона розглядає і уразливості організаційного
захисту, хоча і не приводить їх більш докладної класифікації. Таким чином, узагальнена
класифікація уразливостей охоплює практично всі аспекти проблеми уразливостей
ІС. У свою чергу недостатня деталізація того чи іншого підкласу може бути
вирішена його розширенням. Відповідно, дана класифікація найбільш підходить для
практичного застосування.
Для побудови списку уразливостей необхідно
провести аудит розглянутої ІС. При проведенні аудиту, визначаються як
уразливості ПЗ, так і недоліки організаційних заходів захисту, інформації та
політики безпеки,
які можуть призвести до реалізації загрози.
Для виявлення уразливостей стандарт NIST 800-30[3]
пропонує три основні методики:
- використання автоматичних сканерів уразливостей;
- тестування і оцінка захисту;
- тести на проникнення.
Використання автоматичних сканерів уразливостей підходить
для аналізу програмної складової системи захисту інформації. При цьому використовуються сканери уразливостей, такі як XSpider, OVAL interpreter, Windows Vulnerability scanner, Microsoft
Baseline Security Analyzer, Nessus Security Scanner тощо.
Тестування
та оцінка захисту
призначена, перш за все, для оцінки відповідності використовуваних засобів
захисту прийнятій політиці безпеки або нормативним документам.
Тести
на проникнення призначені для оцінки здатності системи захисту протистояти,
реальним спробам злому і визначення реакції системи захисту і персоналу
інформаційної системи
на потенційні дії зловмисників.
Визначення
уразливостей політики безпеки і недоліків організації захисту є менш
формалізованим
і відповідно більш складним завданням, для вирішення якого необхідно проводити
аудит системи захисту інформації.
Питання аудиту розглянемо на конкретних даних аналізу системи захисту інформації ІС ТОВ "Inform-Secure". Основними напрямками діяльності є розробка ПЗ в області захисту інформації,
застосовуваного у всіх областях інформаційної безпеки, таких як захист конфіденційної
інформації, персональних даних, середовища віртуалізації, комерційної таємниці.
Організація
активно розвиває науково-технічну діяльність в області захисту інформації та
комп'ютерної безпеки.
Послуги:
-
розробка
систем забезпечення та управління інформаційною безпекою.
-
аналіз
захищеності ПЗ, аудит вихідного і закритого коду.
-
безпека
локальних і бездротових мереж, організація захищених мережевих рішень, аналіз захищеності, аудит безпеки, тести на
проникнення.
-
розслідування
комп'ютерних інцидентів.
-
ризик-орієнтована оцінка
стану ІБ.
-
оцінка
стану захисту персональних даних вимогам законодавства.
-
консалтинг
в області інформаційної безпеки.
Узагальнена структура
корпоративної мережі компанії із поєднанням засобів захисту, спрямованих проти
зовнішніх і внутрішніх зловмисників, представлена на рис 1.
Рис.1.
Модель ІС
Корпоративна мережа передбачає створення демілітаризованої зони і аналіз листів доступу
брандмауера для протидії зовнішнім зловмисникам. Для протидії внутрішнім
зловмисникам передбачається перехід на комутовані мережі і оновлення мережевого
устаткування.
У
демілітаризованій зоні залишаються поштовий та веб-сервер.
На веб-сервері функціонують різні веб-додатки. У
процесі роботи дані програми працюють з базами даних і широко використовують скрипти для динамічної генерації html-сторінок.
Відповідно, необхідно провести перевірку веб-додатків на предмет таких
уразливостей як можливості атак типу «ін'єкція SQL» (SQL injection) і помилки в
скриптах. Дані роботи потребуватимуть певної кількості годин і відповідно
грошових витрат, у тому числі на різні програмні пакети виявлення уразливостей.
Закуповується сканер уразливостей (наприклад,XSpider) і проводиться аналіз
уразливостей робочих станцій і серверів, причому розглядаються, як помилки в
ПЗ, так і некоректна настройка.
Крім
іншого, мережа передбачає посилення політики безпеки. Статистика порушень за результатами аудиту інформаційної безпеки підрозділів
компанії, показує, що основну групу реалізованих уразливостей складають зовнішні,
а саме - вірусні атаки і атаки типу «відмова в обслуговуванні», а також
внутрішні ненавмисні уразливості, що виникають внаслідок помилкових дій
користувачів і системних адміністраторів.
Існуюча комплексна система захисту спирається, перш за
все, на вбудовані засоби використовуваних програм (ОС Windows 7, ОС Windows 8, Windows 2008 Server, Apache, СУБД MS SQL Server 2008 тощо) або інших елементів ІС (наприклад, можливості маршрутизаторів і
комутаторів). Для захисту від шкідливого ПЗ компанією закуплений антивірус TrendMicro.
Організаційний захист регулюється рядом інструкцій в компанії. Однак, при цьому, вони не розкривають ряд
важливих аспектів захисту, немає загальноприйнятої політики безпеки. Як
наслідок адміністратори мережі встановлюють в сегментах, за які вони
відповідають, політики згідно своїм міркуванням.
В системі відсутня загально прийнята політика оновлення ПЗ
(за винятком антивірусів),
що призводить
до наявності великої кількості загальновідомих уразливостей в деяких
сегментах ІС.
Список
виявлених уразливостей
у ПЗ представлений
у Таблицях 1-6. При складанні списку уразливостей використовувалися різні відкриті списки уразливостей[1]
і бюлетені безпеки[4],
а також результати роботи програми XSpider.[5]
У табл. 1 наведені уразливості операційних систем Windows 7, ОС Windows 8 та Windows 2008 Server, у табл. 2 наведені уразливості офісного пакету Miscrosoft Office 2007 та Miscrosoft Office 2010 , табл.3 представляє уразливості поштового сервера на основі Microsoft Exchange Server, у табл. 4 наведені уразливості Miscrosoft SQL Server 2008, до табл. 5 включені уразливості веб-сервера на основі Apache , табл. 6 - уразливості проксі-сервера на основі Forefront TMG.
Таблиця 1.Перелік уразливостей ОС Windows 7, ОС Windows 8 та Windows 2007 Server
|
Назва |
Опис |
Уразливе ПО |
|
Уразливість дозволяєлокальному користувачеві підвищити свої привілеї у системі. |
||
|
CVE-2013-0078 |
Уразливість існує через помилку при обробці імен файлів в Microsoft Antimalware
Client. |
Windows Defender for
Windows 8 and Windows RT |
|
CVE-2013-1295 |
Уразливість існує
через невідому помилку в Windows CSRSS. |
Windows Server 2008 |
|
|
Уразливість існує через
помилку стану операції при обробці об'єктів в пам'яті |
Microsoft Windows 7 |
|
Уразливість дозволяє віддаленому користувачу виконати довільний код на
цільовій системі. |
||
|
CVE-2013-1281 |
Уразливість існує через
помилку перейменуванні нульового покажчика в Windows NFS сервері при обробці
файлових операцій. Віддалений користувач може здійснити DoS-атаку і викликати
перезавантаження системи. |
WindowsServer 2008 WindowsServer 2012 |
|
CVE-2013-0011 |
Уразливість існує через
помилку при обробці завдань, відправлених на друк, в Microsoft Windows Print Spooler.
Віддалений користувач може за допомогою спеціально сформованої задачі
викликати пошкодження пам'яті і виконати довільний код на цільовій систем |
Microsoft Windows 7 |
|
CVE-2013-0076 |
Уразливість існує через
те, що Windows CSRSS неправильно обробляє об'єкти в пам'яті |
Microsoft Windows 7 |
|
CVE-2013-1378 |
Виявлені уразливості
дозволяють віддаленому користувачу виконати довільний код на цільовій
системі.Продукт містить вразливуверсію AdobeFlashPlayer |
Microsoft Windows 8 |
|
Уразливість дозволяє віддаленому користувачу
обійти деякі обмеження безпеки. |
||
|
CVE-2013-0013 |
Уразливість існує через
помилку при обробці SSLv3 і TLS протоколів. Віддалений користувач може
впровадити спеціально сформовані дані в SSL / TLS сесію і обійти деякі
обмеження безпеки. |
Microsoft Windows Server 2008 |
|
CVE-2012-2549 |
Уразливість існує через
недостатню перевірку достовірності сертифікатів в IP-HTTPS компоненті.
Віддалений користувач може використовувати відкликаний сертифікат в якості валідного. |
Microsoft Windows Server 2008 |
|
Уразливість дозволяє віддаленому користувачу
викликати відмову в обслуговуванні системи |
||
|
CVE-2013-1282 |
Уразливість існує через
помилку при обробці LDAP запитів. |
Microsoft Windows 7 |
|
Уразливість дозволяє віддаленому користувачу
отримати доступ до важливих даних. |
||
|
CVE-2012-1870 |
Уразливість існує
через помилку дизайну в реалізації Transport Layer Security
(TLS) протоколу при використанні симетричних шифрів в режимі CBC (наприклад,
AES). Віддалений користувач може розшифрувати частини HTTPS сесій |
|
Таблиця 2.
Перелік уразливостей офісного пакету MS Office 2007 и MS Office 2010
|
Назва |
Опис |
Уразливе ПО |
|
Уразливість дозволяє
віддаленому користувачу виконати довільний код на цільовій системі. |
||
|
|
Уразливість існує
через помилку при обробці RichTextFormat даних.
|
Microsoft Office
2007 |
|
CVE-2012-1885 |
Уразливість існує
через помилку при обробці "SerAuxErrBar" записи. Віддалений користувач може за
допомогою спеціально сформованого файлу викликати переповнення динамічної
пам'яті |
Microsoft Office
2007 |
|
CVE-2012-1886 |
Уразливість існує через
невідому помилку. Віддалений користувач може за допомогою спеціально
сформованого файлу викликати пошкодження пам'яті |
Microsoft Office 2007 |
|
|
Уразливість існує через
помилку використання після звільнення при обробці "SST" записів |
Microsoft Office 2007 |
Таблиця 3. Перелікуразливостей
почтового сервераMicrosoft Exchange
Server
|
Назва |
Опис |
Уразливе ПО |
|
Виявлені уразливості
дозволяють віддаленому користувачу виконати довільний код на цільовій системі |
||
|
CVE-2013-0393
|
Уразливість існує через помилку у фільтрі потоку
Paradox (vspdx.dll) при обробці типу поля в описі поля. Віддалений користувач може за допомогою непідтримуваного типу значення викликати перейменування призначеної пам'яті і здійснити DoS-атаку |
Microsoft Exchange Server 2007 |
|
CVE-2013-0418 |
Уразливість існує через помилку у фільтрі потоку
Paradox (vspdx.dll) при обробці типу поля в описі поля. Віддалений користувач може за допомогою спеціально сформованного значення number of fields в заголовку таблиці викликати
переповнення динамічної пам'яті |
Microsoft Exchange Server 2007 |
|
Виявлені уразливості дозволяють віддаленому користувачу здійснити DoS атаку |
||
|
CVE-2012-1744 |
Уразливість існує через невідому помилку в компоненті OutsideIn Filters при обробці VSD файлів. |
Microsoft Exchange Server 2007 |
|
CVE-2012-1766 |
Уразливість існує через невідому помилку в компоненті OutsideInFilters при обробці WSD файлів |
Microsoft Exchange Server 2007 |
|
CVE-2012-1767 |
Уразливість існує через невідому помилку в компоненті OutsideInFilters при обробці DOC файлів |
Microsoft Exchange Server 2007 |
|
CVE-2012-1768 |
Уразливість
існує через помилку у фільтрі потоку JP2 (vsjp2.dll) при копіюванні QuantizationDefault (QCD) маркерів |
Microsoft Exchange Server 2007 |
|
CVE-2012-1769 |
Уразливість
існує через помилку в LWPAPIN.DLL модулі при обробці документів WordPro |
Microsoft Exchange Server 2007 |
|
CVE-2012-1770 |
Уразливість існує через невідомі помилки в компоненті OutsideInFilters при обробці SXD файлів |
Microsoft Exchange Server 2007 |
Таблиця 4. Перелікуразливостей
СУБД MS SQL Server 2008
|
Назва |
Опис |
Уразливе ПО |
|
CVE-2012-2552 |
Уразливість
дозволяє віддаленому користувачу зробити XSS напад. |
Microsoft
SQL Server 2008 |
|
CVE-2011-1280 |
Уразливість
існує через помилку при отриманні зовнішніх
XML даних в WebServiceDiscovery (. Disco) файлі. Віддалений користувач може
за допомогою спеціально сформованого файлу. Disco переглянути вміст довільних файлів системи |
Microsoft
SQL Server 2008 |
|
CVE-2012-0158 |
Уразливість існує через помилку в MSCOMCTL.TreeView,
MSCOMCTL.ListView2, MSCOMCTL.TreeView2 і MSCOMCTL.ListView компонентах
(MSCOMCTL.OCX). Віддалений користувач може за допомогою спеціально
сформованої Web-сторінки викликати пошкодження пам'яті і виконати довільний
код на цільовій системі |
Microsoft
SQL Server 2008 |
Таблиця 5. Перелік уразливостей веб-сервера
на основіApache.
|
Назва |
Опис |
Уразливе ПО |
|
CVE-2011-3348 |
Уразливість
дозволяє зловмисникові здійснити DoS-атаку. |
Apache
2.2.x |
|
Виявлені
уразливості дозволяють віддаленому користувачу отримати доступ до важливих
даних і викликати відмову в обслуговуванні |
||
|
CVE-2012-0021
|
Уразливість існує через помилку при обробці рядка
формату журналювання даних
"% {cookiename} C" при використанні потокового MPM. Віддалений
користувач може за допомогою спеціально сформованого файлу cookies
викликати відмову в обслуговуванні додатка |
Apache
2.2.x |
|
CVE-2012-0053 |
Уразливість
існує через помилку при відповіді на код статусу 400, якщо для цього статусу
не налаштований користувальницький шаблон відповіді. Віддалений користувач може отримати
доступ до "httpOnly" cookies |
Apache
2.2.x |
Таблиця 6.Перелікуразливостейпроксі-сервера на основіForefront TMG
|
Назва |
Опис |
Уразливе ПО |
|
CVE-2011-1889 |
Уразливість існує через помилку перевірки границь даних
у TMG FirewallClientWinsock провайдере. Віддалений користувач може за
допомогою спеціально сформованого запиту виконати довільний код у контексті
безпеки в клієнтському додатку |
MicrosoftForefrontThreatManagement |
В
якості прикладу в таблиці 7 наведена статистика ряду порушень за рахунок
помилкових дій, виявлених в корпоративній мережі протягом року.
Таблиця
7. Статистика порушень в корпоративній мережі
|
Кількість перевірених ПК, % |
Кількість ПК , доступ до ресурсів яких не захищений паролем,%% |
Тип доступу на ПК з незахищеним ресурсами |
Характернезахищеноїінформації |
Кількість ПК на яких не проведено оновлення ПЗ |
||
|
Запис і читання,% |
Читання,% |
Службовий, % |
Неслужбовий,
% |
|||
|
100 |
2 |
~50 |
~50 |
66 |
34 |
5 |
Основний
відсоток уразливостей інформаційної безпеки складають ті з них, які виникають в
результаті помилкових дій користувачів і системних адміністраторів (при
недостатній підготовці останніх), що підтверджує і наведений вище приклад. На
підставі статистики до цих дій в загальному випадку відносяться:
-
неправильне
налаштування механізмів безпеки операційної системи;
-
неправильне
налаштування або відключення засобів захисту інформації;
-
несвоєчасне
оновлення операційної системи на комп'ютерах;
-
несвоєчаснеоновленняантивірусних
баз ПЗантивірусногозахисту;
-
використання
тривіальних паролів;
-
відкриття
загальних ресурсів користувачам або групам користувачів без потреби;
-
установка
і запуск нештатногоПЗ (що не є функціональнонеобхідним);
-
порушення
правил безпечної роботи в корпоративній мережі, Інтернеті та з електронною
поштою.
Результати
щоденного аудиту інформаційної безпеки показують, що основне число порушень
інформаційної безпеки, що виникають внаслідок реалізації внутрішніх ненавмисних
уразливостей, складають:
-
вірусне зараження комп'ютерів і локальної обчислювальної мережі (ЛОМ) через відсутність своєчасних оновлень
операційної системи та антивірусних баз, відключення моніторів антивірусних
програм для прискорення роботи деяких додатків, встановлення нештатного
ПЗ,
відкриття загальних ресурсів;
-
можливість
несанкціонованого доступу до інформації обмеженого доступу користувачам або
групам користувачів на загальні ресурси без потреби.
Також
в бізнес-процеси компанії повинен бути
включений процес, що забезпечує
ІБ - документування. Створення опису IС та ресурсів,
формування правил, регламентів і положень є невід'ємною частиною роботи підрозділів інформаційної безпеки. Інакше,
це призводить до появ нових уразливостей. Документування- це теж система, і
створювати її потрібно продумано, в іншому випадку вона
ефективно працювати не буде.
Таким
чином, головна причина більшої частини порушень полягає в слабкій підготовці користувачів
з питань інформаційної безпеки, а не в низькій організації системи захисту
інформації або відсутності засобів захисту. Навіть за наявності добре
налагодженої системи захисту «людський фактор» може бути найбільш слабкою
ланкою, що зводить нанівець всі зусилля по захисту інформації.
Висновки.
В наш час не існує будь-яких стандартизованих методик
аналізу захищеності ІС, але типову методику аналізу захищеності корпоративної
мережі запропонувати все-таки можна. Ця
методика включає :
-
аналіз ресурсів ІС;
-
аналіз уразливостей, які призводять до здійснення загроз ІС;
-
аналіз систем захисту інформації, політики безпеки
організації і документації щодо забезпечення режиму інформаційної безпеки і
оцінка їх відповідності вимогам існуючих нормативних документів, а також їх адекватності
наявними ризиками;
-
аналіз конфігураційних файлів маршрутизаторів,
міжмережевих екранів і proxy-серверів, які здійснюють управління міжмережевими
взаємодіями, поштових і DNS-серверів, а також інших критичних елементів
мережевої інфраструктури;
-
сканування зовнішніх мережевих адрес ЛОМ з мережі Internet;
-
сканування ресурсів ЛОМ зсередини;
-
аналіз конфігурації серверів і робочих станцій ЛОМ за
допомогою спеціалізованих програмних засобів .
Ці методи дослідження передбачають проведення як
активного, так і пасивного тестування системи захисту.
Активне тестування системи захисту полягає в емуляції дій
потенційного зловмисника для подолання механізмів захисту.
Пасивне тестування передбачає аналіз конфігурації
операційних систем і додатків за шаблонами із залученням списків перевірки.
Тестування може виконуватися вручну або за допомогою спеціалізованих програмних
засобів. [6]
Аналізу уразливостей в корпоративній мережі дозволяє
визначити, які заходи ефективні для мінімізації та запобігання збитків, а які
ні. Крім того, аналіз ефективності надасть можливість побачити мінімізацію
параметрів уразливості і збиток для всіх ризиків, що в цілому посилить режим
IT-безпеки.
Література:
1.
CommonVulnerabilitiesandExposures [Електронний ресурс]: http://www.cve.mitre.org
2.
Сердюк B.A. Нове в захисті від злому корпоративних систем
- М.: Техносфера, 2007 - 360 с.
3.
RiskManagementGuideforInformationTechnologySystems, NIST,
SpecialPublication 800-30 [Електронний ресурс] - http://csrc.nist.gov/pubHcations/nistpubs/800-30/sp800-30.pdf.
4.
http://www.securitylab.ru/vulnerability/
5.
http://www.ptsecurity.ru/xs7/
6. Informationtechnology - Securitytechniques -
CommonCriteriaforInformationTechnologySecurityEvaluation: ISO 15408