Так, по оценкам экспертов США, нападения хакеров на компьютеры и сети федеральных государственных систем происходят в этой стране не реже 50 раз в день. Во время опроса, проведенного совместно CSI (Compu-ter Security Institute) и FBI, 68% респондентов ответили, что они в той или иной степени пострадали из-за брешей в системах защиты информации. Многие крупные компании и организации подвергаются атакам несколько раз в неделю, а некоторые даже ежедневно. И исходят такие атаки не всегда извне; 70% попыток злонамеренного проникновения в информационные системы (ИС) имеют источник внутри самой организации.
Рис.1Администратор безопасности может проверить соответствие прав пользователя заданным критериям защиты |
Современные хакеры день ото дня совершенствуют свое искусство. Сегодня они не ограничиваются только техническими средствами проникновения в информационные сети. Последнее слово хакерских технологий — социальный инжиниринг. Суть его состоит в получении нужной информации через прямые контакты с персоналом, обслуживающим информационные сети, и пользователями. Например, «информационный вор» звонит ничего не подозревающему служащему компании, представляясь потенциальным покупателем одного из сетевых приложений, и задает вроде бы вполне безобидные вопросы: об используемой в фирме ОС или фамилии и имени системного администратора. «Вычислить» пароль администратора — дело техники, поскольку чаще всего (как ни прискорбно такое пренебрежение общеизвестными рекомендациями по защите информации) он включает либо имя, либо фамилию, либо и то и другое.
Однако меры и способы противодействия атакам хакеров тоже не стоят на месте. Теперь администраторы безопасности не ограничиваются установкой брандмауэров и других устройств защиты; «в моду входят» специализированные средства тестирования и мониторинга системы, позволяющие не просто зафиксировать факт нападения на сеть, но построить защиту на основе заданного набора правил, в которых учтены все аспекты стратегии обеспечения безопасности.
Стратегия защиты
Теория учит, что в основе комплекса мероприятий по информационной бе-зопасности государственной организации или компании должна лежать стратегия защиты информации. В ней определяются цели, критерии, принципы и процедуры, необходимые для построения надежной системы защиты. В хорошо разработанной стратегии должны найти отражение не только глубина защиты, поиск брешей, места установки брандмауэров или proxy-серверов и т. п., в ней необходимо четко обозначить, какие процедуры и как следует применять, чтобы подтвердить или гарантировать защитные свойства данной системы безопасности. Важнейшей частью реализации общей стратегии информационной защиты является исследование системы безопасности, в котором можно выделить два основных направления: превентивный анализ средств защиты и определение «факта вторжения».
Упредить — значит защитить
На рынке существует ряд продуктов этого класса различных фирм; в России, пожалуй, наиболее часто упоминается система SAFEsuite компании Internet Security Systems (ISS), получившая известность благодаря разработанной на ее базе системе безопасности SecretNet, выпускаемой российским предприятием «Информзащита».
Но в середине прошлого года на рынке появился новый продукт, не уступающий по качествам SAFEsuite. Это ПО SFProtect для мониторинга и выборочных проверок систем безопасности, превентивного анализа степени защищенности информационной системы в целом, а также устранения в них слабых мест. Сегодня он предлагается под маркой Agilent Technology, фирмы, которая была образована в результате реструктуризации Hewlett-Packard. Но если углубиться в историю появления SFProtect, то выяснится, что данный продукт был приобретен компанией НР у фирмы Security Force, расширен и дополнен, а уж после этого выпущен в продажу под маркой НР.
SFProtect ориентирован на работу с любыми версиями систем Windows и Windows NT, Web-серверов и серверов баз данных, построенных на платформе Microsoft. И в этом и его достоинство, и его недостаток, поскольку других платформ SFProtect пока не поддерживает. По сути это небольшое клиент-серверное приложение (серверный компонент исполняется как обычная служба NT-сервера), которое собирает информацию от своих агентов, размещенных в сети и следящих за появлением брешей в системе защиты. Оно отслеживает системные изменения на множестве серверов и определяет все отклонения от правил безопасности, идентифицирует и регистрирует подо-зрительные действия, даже если они инициированы администратором сети с соответствующими привилегиями. Например, уставший от борьбы с подчиненными в филиалах главный системный администратор может разрешить им удаленный доступ к системному справочнику или к базе данных входных паролей пользователей — Security Account Manager (SAM). И такое появление бреши в системе безопасности будет квалифицироваться приложением анализа безопасности как «подозрительное действие». Но SFProtect не только констатирует появление бреши, он позволяет проследить «начальный адрес» действия или хотя бы путь его осуществления.
Функциональные возможности SFProtect объединены в набор инструментальных средств администратора безопасности и интегрированы в среду Windows. Продукт обеспечивает исчерпывающий анализ функционирования ОС и важнейших приложений, в том числе и приложений баз данных, основываясь на подробнейшем исследовании NT-серверов на предмет их защиты от несанкционированного доступа (НСД), проверяя при этом все нюансы работы ОС (NT не ниже 4.0) и серверов: почтового, IIS и Microsoft SQL (до версии 6.5), которые могут повлиять на степень их защищенности.
Анализируются также отдельные ПК, конфигурации брандмауэров и proxy-серверов, маршрутизаторов и других сетевых устройств (рис. 1). Мониторинг как устройств, так и серверов осуществляется с помощью распределенных программных агентов.
Однако SFProtect дает возможность не только идентифицировать попытку проникновения или «нарушения границы». Используя технологию IntelliFix, он помогает закрыть найденные бреши, тем самым не только сберегая информацию, но и экономя целые часы рабочего времени персонала, затрачиваемые на «ручной» поиск образовавшейся «дыры». Кроме того, в ПО SFProtect предусмотрены утилиты, формирующие полное «досье» на те проблемы безопасности, которые не могут быть исправлены автоматически.
По заявлениям разработчиков, средствами SFProtect могут быть выявлены и «упрочены» примерно 80—90% слабых мест, обнаруженных в средствах защиты. Остальные 10—20% нарушений целостности системы безопасности требуют, как правило, радикальных мер, например переустановки ОС или приложения.
К несомненным достоинствам SFProtect следует отнести и способность экономно использовать системные ресурсы, поскольку алгоритм работы его служб таков, что они отнимают у центрального процессора время только при проведении аудита. Последний же выполняется одновременно на всех входящих в ИС серверах по специальному сценарию.
Как всякое клиент-серверное приложение, SFProtect имеет два компонента. Серверный устанавливается на исследуемом NT-сервере и осуществляет его аудит, анализ и оптимизацию конфигурации средств защиты. Клиентская часть обеспечивает удаленный доступ к серверной и с помощью графического интерфейса позволяет осуществлять проверку и настройку параметров в соответствии со стратегией безопасности, заданной администратором для каждого сервера.
Говоря о клиентской части SFProtect, нельзя не упомянуть о мобильной версии, которая устанавливается на переносном ПК и позволяет системным администраторам и консультантам по системам безопасности проводить оперативное исследование систем, подключаясь по мере необходимости к различным узлам исследуемой сети.
В арсенале SFProtect есть и возможность создания сценариев защиты. Такой сценарий может включать правила контроля параметров обеспечения безопасности, регламент прав доступа к файлам, списки полномочий при получении доступа к файловой системе и информации на серверах Web, SQL и т. п.
Средства планирования SFProtect позволяют планировать проведение операций проверки, привязывая их к определенному времени суток или к изменениям, внесенным в конфигурацию систем. Это обеспечивает регулярный контроль систем безопасности согласно выбранной стратегии. При возникновении проблем SFProtect сообщает о них администратору безопасности по электронной почте.
Защита информационной системы от НСД гарантируется как при лобовых атаках, так и при попытках получить нужный пароль путем словарного перебора имен или букв. При этом ИС охраняется как от внешних (по сетям «снаружи» корпоративной сети), так и от внутренних (по корпоративной сети) попыток нарушения безопасности.
Рис.2Один из экранов утилиты Fix, позволяющей исправить несоответствие между параметрами конфигурации и требованиями защиты |
Работа с SFProtect начинается с того, что администратор безопасности подключается к серверному компоненту, который работает как служба NT-сервера. Чтобы проверить сервер, достаточно нажать клавишу «Audit». По завершении исследования его результаты выводятся на экран, но можно получить и твердую копию отчета в формате HTML. Для устранения найденных уязвимых мест путем автоматического конфигурирования средств защиты используется тоже одна клавиша — «Fix» (рис. 2).
Необходимые для работы SFProtect ресурсы вполне скромны: 20 Mбайт на жестком диске, 32 Mбайт ОЗУ (рекомендовано 64 Mбайт), CD-ROM или сетевой доступ.
И, наконец, стоимость. Стартовая цена комплекта SFProtect в России — 1100 долл. Чтобы проверить продукт «в деле», можно загрузить версию с ограничениями по времени использования с Web-узла Agilent.
К сожалению, автору не удалось выяснить, есть ли пользователи данного продукта в нашей стране.