Системы анализа защищенности

         

Архитектура


Архитектура системы адаптируется к коммутируемым сетям. Архитектура системы позволяет интегрировать модули обнаружения уязвимостей в другие сетевые устройства. Например, системы сетевого управления. Архитектура системы учитывает используемые компоненты, значительно уменьшая стоимость развертывания.

Обновление системы, техническая поддержка и НИОКР

Производитель обновляет базу данных уязвимостей как минимум 6 раз в год. Производитель или его представитель уведомляет Вас по электронной почте о доступности новых обновлений. Производитель или его представитель делает доступным обновление для загрузки с Web- или FTP-сервера. Производитель или его представитель обеспечивает техническую поддержку системы по телефону, электронной почте и факсу с 8.00 до 18.00 часов, с понедельника по пятницу, с предоставлением по особому требованию круглосуточной технической поддержки. Производитель обеспечивает обновление версий системы как минимум 3 раза в год. Производитель или его представитель уведомляет Вас по электронной почте о доступности новых версий системы. Производитель или его представитель делает доступными новые версии для загрузки с Web- или FTP-сервера. Производитель поддерживает команду исследований и разработки для изучения и добавления в систему новых уязвимостей. Производитель или его представитель периодически уведомляет по электронной почте о появлении новых атак или уязвимостей. При обновлении системы созданные Вами шаблоны подключаются к новой версии. При обновлении системы все настройки предыдущей версии системы остаются в силе.

|



Безопасность


Система использует различные коммуникационные каналы для соединения с компонентами системы и получения/передачи данных от них/к ним. Эти каналы используют ориентированный на соединение протокол (например, TCP); параметры соединения (например, порт для соединения) могут быть перенастроены администратором. Все соединения свободно осуществляются через межсетевой экран. Данные, передаваемые по этим каналам, шифруются, аутентифицируются и проверяются, используя стандартизованные технологии (например, алгоритмы RSA, Диффи-Хеллмана и т.п.). Производитель обеспечивает Вас адекватной инструкцией для повышения уровня защищенности хоста, на котором запускается система анализа защищенности. Система может быть запущена только пользователем с правами администратора. Система устанавливает специальные права доступа к своим директориям и файлам.



Цель


Цель данного этапа состоит в определении и перечислении Ваших требований к системе анализа защищенности таким образом, чтобы имелось ясное понимание проблем, которые необходимо устранить до начала оценки продукта. Определение требований важно по двум причинам:

Оно обеспечивает необходимое "отображение" между политикой безопасности и эксплуатационными требованиями Вашей организации и возможностями продукта. Этот этап позволит Вам лучше проводит сравнение двух и более продуктов.


В течение процесса оценки продукта Вы познакомитесь с вопросами, возникающими при анализе защищенности, а также возможностями, обеспечиваемыми каждым из предлагаемых продуктов. По окончании данного этапа Вы:

Будете иметь установленную и работающую на тестовых узлах сети систему анализа защищенности; Будете понимать, как продукт анализирует Вашу сеть на наличие уязвимостей; Будете понимать, как интегрировать предлагаемое решение в Вашу информационную систему.




Цель данного этапа - эффективная установка системы анализа защищенности на Вашу сеть. Многие организации выбирают поэтапное развертывание системы для изучения ее персоналом и интеграции с информационной системой организации.





Инсталляция и развертывание


Система устанавливается быстро и просто. Один агент может быть установлен оператором с низкой квалификацией не более, чем за 30 минут. Установка программно реализованной системы следует стандартной процедуре установке операционной системы. Инструкции по установке документированы. Система анализа защищенности позволяет сканировать сети, используемые в Вашей организации или планируемые к применению (для систем анализа защищенности на уровне сети). Система анализа защищенности позволяет сканировать операционные системы, используемые в Вашей организации или планируемые к применению (для систем анализа защищенности на уровне ОС). Система анализа защищенности позволяет сканировать прикладное программное обеспечение, используемое в Вашей организации или планируемое к применению (для систем анализа защищенности на уровне прикладного ПО). Все обеспечение, требуемое для функционирования системы поставляется одним производителем. Не требуется приобретать дополнительное обеспечение третьих разработчиков. Установка системы не требует изменения сетевой инфраструктуры (для систем анализа защищенности на уровне сети). Система может быть запущена из командной строки. Система может управляться из командной строки. При инсталляции создается резервная копия изменяемых файлов. Система поставляется с документацией на языке заказчика. Система обладает графическим интерфейсом и справочной системой, поддерживающими язык заказчика. Система работает в коммутируемых сетях. Система устанавливается только на узлы, заданные в ключе авторизации. Производитель предоставляет систему для тестирования.



Конфигурация


Удаленные агенты системы могут быть настроены с консоли управления. Удаленные агенты системы могут быть настроены локально. Система позволяет изменять шаблоны для агентов. Эти шаблоны могут быть сохранены для дальнейшего использования, загружены на агенты и т.п. Степень риска каждой из обнаруживаемых уязвимостей может быть настроена с консоли управления. Интерфейс консоли управления позволяет разрешить/запретить заданные Вами проверки. Параметры проверок могут быть настроены для более эффективного сканирования. Система может быть настроена на обнаружение уязвимостей только определенных узлов, определенных протоколов и сервисов. Система может быть настроена таким образом, чтобы конечный пользователь мог модифицировать комментарии и описания обнаруживаемых уязвимостей. Система позволяет добавлять сигнатуры обнаруживаемых уязвимостей. В системе реализован язык описания уязвимостей. Система позволяет задавать группы анализируемых адресов. Система позволяет проводить анализ защищенности по расписанию.



Контроль событий


Система позволяет графически показывать все обнаруженные уязвимости. Система может быть использована оператором с низкой квалификацией и не требует специальных знаний или обучения. Графический интерфейс системы использует иконки и другие графические изображения для предупреждения оператора об обнаружении уязвимостей. Интерфейс системы позволят сортировать информацию по адресу источника, типу уязвимости, сервису, учетным записям и т.п. Интерфейс системы позволяет оператору получать дополнительную информацию об обнаруживаемых уязвимостях. События с любого агента системы могут быть просмотрены на одной, авторизованной консоли управления. Один агент системы может передавать данные о контролируемых событиях на несколько консолей управления. Система позволяет создавать графическую карту сети.



Обнаружение уязвимостей


Система обнаруживает уязвимости в реальном масштабе времени. Система обнаруживает уязвимости на сетевом уровне. Система обнаруживает уязвимости на уровне операционной системы. Система обнаруживает уязвимости на уровне прикладного ПО. Система обнаруживает уязвимости во внутренней сети также хорошо, как и во внешней. Система обнаруживает уязвимости, имитируя сетевые атаки, и может осуществлять попытки несанкционированного доступа. Система обнаруживает уязвимости, сравнивая эталонные значения с текущими. Система обнаруживает подверженность атакам типа "отказ в обслуживании" ("Denial of Service"). Система обнаруживает уязвимости межсетевых экранов, proxy-серверов и маршрутизаторов. Система обнаруживает уязвимости Web-, FTP- и почтовых серверов. Система обнаруживает уязвимости броузеров и почтовых программ. Система проводит проверки типа "подбор пароля". Система использует как собственные, так и подключаемые словари паролей. Система обнаруживает подверженность атакам типа "подмена адреса" ("Spoofing"). Система обнаруживает уязвимости удаленных сервисов. Система обнаруживает неустановленные patch'и. Система обнаруживает уязвимости системного реестра Windows (для ОС Windows). Система обнаруживает уязвимости учетных записей. Система проверяет конфигурационные файлы операционной системы. Система проверяет права доступа к файлам и каталогам. Система проверяет наличие сервисов, программ и устройств (например, модемов) для удаленного доступа. Система проверяет наличие антивирусных программ. Система контролирует целостность заданных Вами файлов. Система контролирует заданные Вами значения ключей системного реестра Windows. Система обнаруживает новые уязвимости вскоре после их обнаружения. Система может быть настроена к эксплуатационным требованиям сети заказчика для минимизации ложного обнаружения. Система описывает обнаруживаемые уязвимости с достаточной степенью подробности, включая потенциальный ущерб, подверженные системы, рекомендации по устранению уязвимостей и т.д. Система позволяет сканировать несколько узлов параллельно. Система позволяет сканировать несколько сервисов (процессов) параллельно. На анализируемый компьютер посылается уведомление о том, что осуществляется его тестирование. Система позволяет пропускать некоторые проверки в процессе проведения анализа защищенности.



Общие требования


Компоненты системы функционируют в гетерогенной среде. Система анализа защищенности построена по технологии "агент-менеджер" (для систем анализа защищенности на уровне ОС или прикладного ПО). Система имеет сертификаты.



Предположительная длительность


До 15 рабочих дней, требуемых для оценки продукта.



Предположительная длительность


60 - 90 рабочих дней, в зависимости от размера, сложности и использования сети, а также доступных технических ресурсов.



Процедура


Необходимо выполнить шаги в следующем порядке (возможно при поддержке производителя или консультанта):

Понимание Вашего сетевого окружения

Ясное понимание архитектуры Вашей сети, включая протоколы, топологию, географическую распределенность и т.д., является залогом успешного определения требований. Сетевые диаграммы и карты, полученные при помощи систем управления сетью (например, HP OpenView), список критичных (важных) узлов, и выполняемых ими функций, чрезвычайно облегчат дальнейшую работу.

Анализ Ваших требований

Определите ключевые точки, анализ защищенности которых является существенно необходимым. Это даст понимание того, что Вы хотите анализировать. Опасен ли для Вас IPX трафик? Хотите ли Вы сканировать только узлы, работающие с сетью? Необходим ли Вам анализ системного и прикладного программного обеспечения? Имеются ли сетевые ресурсы, например, серверы приложений, Web-серверы или маршрутизаторы, которые требует дополнительной защиты или контроля? И т.д.

Размышление над этими вопросами позволит Вам правильно выбрать необходимое средство анализа защищенности.

Внесите в список Ваши ожидания

Какие проблемы Вы хотите устранить? Каких отрицательных воздействий Вы пробуете избежать? Можете ли Вы себе позволить тратить много времени на контроль и управление системами анализа защищенности или эти средства должны быть "самоуправляемыми"? Ограничено ли у Вас число людей, занимающихся информационной безопасностью?

Установите критерии для измерения успеха или отказа

Используйте требования, описанные в данном документе как начало отсчета. Добавьте (или удалите) требования к списку, приведенному в Приложении А., в зависимости от того, применимы ли они к Вашей сети или нет.


Не устанавливайте программное обеспечение сразу после получения. Простота и правильность установки должен быть одним из пунктов Ваших требований при оценке. Выберите четыре хоста (один - для анализа на сетевом уровне, один - для анализа на уровне ОС, один для анализа прикладного ПО и один - для консоли управления) и сеть, которая будет тестироваться предлагаемой системой. Т.к. многие руководители будут против использования непроверенного программного обеспечения на "рабочей" сети, то для тестирования Вы должны выбрать сегмент, не используемый в повседневной деятельности Вашей организации. По каждому из пунктов списка требований, выработанных на первом этапе, проводится испытание системы. Этот шаг можно осуществить быстрее, если Вам поможет представитель производителя системы анализа защищенности. Если в процессе оценки Вы изменяете или дополняете список требований, то необходимо довести тестирование до конца, вернуться к первому этапу, а потом повторно протестировать продукт с учетом новых требований.

Такой подход гарантирует, что решение о приобретении продукта сделано на основе непротиворечивых требований, отражающих специфику Вашей организации.




Успешное развертывание системы анализа защищенности включает в себя планирование, соответствующее обучение и координацию с существующей политикой безопасности. Следующие шаги описывают, как лучше всего развернуть систему для эффективного долгосрочного применения:

Планирование

Планирование включает:

Определение требований к установке, настройке и управлению системой и связанными с ними действиями (например, обновлением, технической поддержкой). Определение действий, связанных с реагированием на обнаруженные уязвимости. Выбор анализируемых сетей и узлов. Определение числа консолей управления устанавливаемой системы анализа защищенности. Определение числа и типов (например, Windows NT, Unix и т.п.) агентов системы анализа защищенности.

Обучение

Обучение, предоставляемое консультантом или производителем, значительно увеличивает вероятность успешного развертывания. Обучение должно включать в себя изучение следующих тем:

Базовая концепция информационной безопасности (при необходимости) Введение в уязвимости и атаки Архитектура продукта, системные требования Возможности системы, включая использование и создание собственных шаблонов и отчетов; автоматический запуск; генерация отчетов; настройка; обновление и добавление сигнатур новых уязвимостей Интеграция продукта в комплексную систему защиты информации организации

Развертывание

Развертывание системы анализа защищенности состоит из следующих шагов:

Приобретение системы - предоставляется производителем на CD-ROM или через Web-сервер. Подготовка хоста(ов) - базируется на системных требованиях устанавливаемого продукта. Выбор и подготовка хостов для установки системы анализа защищенности, включая действия по повышению безопасности хоста, рекомендуемые производителем. Уведомление - сетевые пользователи и администраторы уведомляются о развертывании системы анализа защищенности. Установка и конфигурация - установка модулей системы; конфигурация системы для Вашей сети. Настройка - разработка и тестирование шаблонов и отчетов; выбор и активация фильтров; настройка параметров проверок (например, для проверки подверженности атаке SYN Flood число пакетов в секунду); установка параметров баз данных системы; и настройка других параметров системы для Вашего сетевого окружения.



Производительность


Агенты системы могут обнаруживать уязвимости автономно, без контроля с консоли управления. Увеличение числа обнаруживаемых уязвимостей практически не влияет на производительность сети. Агенты системы могут функционировать на компьютерах с объемом оперативной памяти, минимально необходимой для функционирования операционной системы. Система обладает механизмом Watchdog. Выведение компонент системы из строя не сказывается на функционировании защищаемой сети.



Реагирование на уязвимости


Система вырабатывает подробные рекомендации по устранению уязвимостей. Рекомендации по устранению уязвимостей содержат ссылки на сервера производителей или на источники дополнительной информации. Система может посылать уведомления об обнаружении уязвимости на консоль управления. Система может посылать уведомление об обнаружении уязвимости по протоколу SNMP средствам сетевого управления. Система может уведомлять об обнаруженной уязвимости администратора по электронной почте. Система может регистрировать обнаруженные уязвимости в базе данных. Система может автоматически устранять обнаруженные уязвимости. Система может отменять сделанные изменения.



Ресурсы, требуемые на этом этапе


Ресурсы, требуемые на этом этапе - это знание имеющейся сети и выработанные требования к системе анализа защищенности. Это может быть достигнуто при помощи систем сетевого управления, а также специалистов отдела защиты информации при поддержке производителей систем анализа защищенности, их торговых представителей или консультантов.


К ресурсам, требуемым для проведения данного этапа, относятся:

Узлы и сегмент сети, доступный для тестирования - предоставляется отделом телекоммуникаций или автоматизации; Оцениваемая система анализа защищенности - предоставляется поставщиком; Требования к системе анализа защищенности - создается на первом этапе; Технический персонал для тестирования - это можете быть Вы, отдел защиты информации или телекоммуникаций Вашей организации.




К ресурсам, требуемым на данном этапе относится:

Хосты и сетевые сегменты, выбранные и доступные для развертывания системы анализа защищенности - обеспечивается отделом телекоммуникаций или автоматизации; Система анализа защищенности - предоставляется производителем; План и график развертывания - создается на третьем этапе; Политика безопасности и руководство по внедрению системы анализа защищенности; Технический персонал для развертывания - это можете быть Вы, отдел защиты информации или телекоммуникаций Вашей организации (подразумевается, что соответствующее обучение проводилось). Желательно включить помощь третьего лица - производителя, консультанта или торгового посредника.



Результат


Список требований к системе анализа защищенности, выработанных на данном этапе.


Хорошее понимание того, как различные системы анализа защищенности решают предъявленные Вами требования. Выбор поставщика систем анализа защищенности. Решение о том, будет ли осуществляться постепенное развертывание (этап 3) или система анализа защищенности будет установлена сразу во всей организации. Если Вы выбираете постепенное развертывание, то Вы должны будете решить, кто должен реализовывать третий этап - поставщик, Ваши специалисты или специалисты консультанта.




Успешно установленная и настроенная система анализа защищенности. Документированный и управляемый процесс для поддержки системы и реагирования на создаваемую информацию. План дальнейшего развертывания системы анализа защищенности на всю Вашу организацию. Защищенная сеть.



Управление данными


Данные от нескольких агентов объединяются на консоли управления. Данные на консоли управления сохраняются при помощи стандартизованного протокола доступа к БД, например, ODBC. Система обеспечивает возможность автоматической передачи данных от агентов на консоль управления. База данных может быть экспортирована в выбранный Вами формат. Структура базы данных полностью открыта и описана в документации на систему. Доступ к базе данных может быть осуществлен при помощи средств, разработанных другими производителями. Система обеспечивает встроенную систему генерации отчетов. Система позволяет создавать графические отчеты. Система обеспечивает генерацию отчетов различной степени детализации. Система обеспечивает генерацию отчетов для специалистов различных уровней. Как минимум должно быть два уровня: руководство организации и технические специалисты. Отчеты могут быть настраиваемыми к требованиям пользователя. Система позволяет добавлять свои шаблоны отчетов. Система позволяет автоматически рассылать созданные отчеты по заданным адресам. Система позволяет сравнивать два и более состояний защищенности, полученные в различные периоды времени.



и разнообразие систем анализа защищенности


Расширенные возможности и разнообразие систем анализа защищенности очень часто затрудняют выбор из них наилучшей. Заказчикам очень трудно оценить такие системы. Следовательно, необходим набор непротиворечивых критериев, которые позволят сделать правильный выбор между различными системами анализа защищенности, предлагаемыми на российском рынке.
Этот документ описывает процесс, следуя которому Вы сможете оценить и выбрать систему анализа защищенности, наиболее полно отвечающую требованиям Вашей сети. Мы поможем Вам задать правильные вопросы поставщику средств анализа защищенности; поможем Вам понять, как лучше тестировать предлагаемые продукты; и поможем Вам обосновать решение при покупке выбранного Вами продукта.
Типичный процесс выбора состоит из трех этапов:
Определение требований. Решите, что нужно именно Вам? Оценка продукта. Выберите тот продукт, который соответствует Вашим требованиям. Развертывание продукта. Установите и настройте выбранный Вами продукт наиболее эффективно.
На каждой стадии процесса выбора мы рекомендуем связываться с производителем или поставщиком системы анализа защищенности, чтобы быть уверенным в правильности сделанных Вами выводов или решений.
После изучения данного документа, Вы сможете понять Ваши требования, объективно оценивать предлагаемые системы анализа защищенности, выбирать из них соответствующее решение и эффективно применять их в Вашей организации.
|