Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Контроль уязвимости корпоративной сети

Грег Шипли

Безопасность — понятие относительное. Однако систематическое выявление и устранение уязвимых мест позволит заметно повысить защищенность вашей сети.

Основной целью любых мероприятий в области сетевой безопасности является снижение степени уязвимости корпоративной сети. Но насколько достижима она? Напомним, что в I квартале 2003 г. группа CERT (Computer Emergency Response Team) получила 42 586 сообщений о попытках взлома и других происшествиях, связанных с нарушением сетевой безопасности, тогда как за весь 2000 г. ею было получено только 21 756 таких сообщений. Столь печальная картина объясняется самыми разными проблемами, присущими нашей отрасли, — существующая сетевая инфраструктура отличается обилием и разнообразием “дыр”. Они постоянно возникают в операционных системах, сетевых конфигурациях, бизнес-приложениях, почтовых клиентах настольных систем, Web-браузерах, медиаплейерах и даже в ПО сетевой безопасности. Уязвимы системы речевой почты, приложения электронной коммерции и сама сетевая инфраструктура. Наличие изъянов в продуктах и их конфигурациях позволяет служащим просматривать не относящуюся к сфере их компетенции конфиденциальную информацию, открывает доступ к чужим персональным данным и дает возможность какому-нибудь тинейджеру запросто взломать корпоративный Web-сервер.

Элементы уязвимости ПО могут варьироваться в самых широких пределах — от зияющих “дыр” Web-серверного ПО фирмы Microsoft до скрытых дефектов специализированных заказных приложений. Уязвимость порождают не только изъяны в ПО и инфраструктуре ИТ. Ее причиной могут стать и чересчур доверчивые ассистенты системных администраторов, и подверженные дистанционному считыванию данных системы контроля доступа на основе бесконтактных карточек, и годами не запускавшиеся для проверки работоспособности аварийные дизель-генераторы информационных центров.

Итак, принимая во внимание всю широту фронта возможного наступления, может ли предприятие надеяться на то, что ему удастся избежать опасности?

Решение данной проблемы (как, впрочем, и всех других проблем информационной безопасности) связано отчасти с технологией, отчасти с тактикой и отчасти со стратегией. Отправной точкой в ее решении является выработка политики, предусматривающей регулярный аудит безопасности программной среды, своевременную установку “заплат” и внедрение технологий, обеспечивающих контроль уязвимых мест и управление конфигурированием и обновлением ПО. Однако по-настоящему эффективная тактика защиты опирается на две концепции: идентификацию слабых мест и управление рисками. Грамотное применение инструментария для идентификации уязвимых мест с последующей разработкой и осуществлением плана управления связанными с ними рисками позволит предприятию снизить степень его подверженности внешним и внутренним атакам.

Организация, которая намерена преодолеть уязвимость своей сети на стратегическом уровне, должна пересмотреть свою концепцию безопасности и не ограничиваться традиционными рамками информационной безопасности. Требования безопасности следует учитывать при покупке, проектировании, внедрении и эксплуатации программных продуктов и оборудования — такова парадигма, которая должна прочно укрепиться в сознании менеджеров по ИТ.

Сначала идентифицируйте, затем устраняйте

Прежде чем устранить уязвимость, ее следует выявить. И хотя это легче сказать, чем сделать, сузить область поиска поможет вам понимание того факта, что большинство уязвимых мест связано с наличием двух типов дефектов в информационных системах — ошибок проектирования (design failures) и ошибок реализации (implementation failures).

Примерами ошибок проектирования являются по недосмотру не защищенное межсетевым экраном соединение с сетью сторонней фирмы, отсутствие надлежащего контроля доступа на различных уровнях приложения электронной коммерции и передача конфиденциальных данных в незашифрованном виде.

К ошибкам реализации можно отнести такие, которые связаны, например, с вашей забывчивостью: не установили список контроля доступа (Access-Control List — ACL) на маршрутизатор, не “залатали” новый Web-сервер или не очистили Web-форму. Эти элементы уязвимости могут сделать легко доступной конфиденциальную информацию, открыть неавторизованным пользователям выход в Интернет или стать причиной настоящей “цифровой эпидемии” в случае инфицирования системы “червями” и вирусами.

Как правило, идентифицировать ошибки проектирования сложнее, чем ошибки реализации, поскольку лишь немногие инструментальные средства способны имитировать интеллектуальные возможности профессионала. Вот почему участие специалистов по безопасности в разработке бизнес-приложения является обязательным — они могут выявить потенциальные изъяны на ранней стадии его жизненного цикла и тем самым исключить большие затраты на ликвидацию причиненного ущерба в будущем. Конечно, ошибки реализации тоже могут влететь вам в копеечку, но, к счастью, существует немало инструментальных средств и технологических решений, которые снижают связанный с ними риск.

Независимо от типа уязвимости тактика борьбы с ними остается постоянной — сначала их идентифицируют, а затем принимают меры к ослаблению или полной нейтрализации. Существует несколько разных по степени активности подходов к практической реализации мер реагирования. Организация может устранить проблему установив либо “заплату”, либо устройство, снижающее риск программного взлома. Некоторые организации могут даже посчитать, что им вообще ничего не нужно делать, допустив некоторую степень риска, связанного с конкретной уязвимостью. Давайте рассмотрим эту концепцию на практическом примере.

• Сценарий: в Web-браузере Internet Explorer (IE) компании Microsoft обнаружена серьезная ошибка (что вполне возможно). Она позволяет взломщику выполнять на уязвимой настольной системе произвольный код.

• Этап оценки: определите, установлены ли в вашей сети дефектные версии IE, по возможности используя инструментарий управления настольными системами, ресурсами или средства оценки уязвимости (уровня сети или уровня хоста).

• Этап реагирования: обнаружив уязвимые версии IE, воспользуйтесь инструментарием управления “заплатами”, чтобы установить их на множество настольных систем. Развертывание сервера-посредника или интеллектуальной системы кэширования данных позволит вам фильтровать враждебный трафик. Вы можете, например, временно установить сервер-посредник на период “латания” ПО в срочном порядке.

Большинству все это хорошо знакомо — мы уже не один год “латаем” ОС Windows, ПО Outlook, IE и другие приложения фирмы Microsoft. Но вот с чем некоторые из нас могут быть незнакомы, так это с некоторым инструментарием, например с таким, как сканеры уязвимости, средства управления обновлением и контроля целостности ПО, который заметно снижает накладные расходы на обеспечение безопасности. Организации, не использующие возможности автоматизации, предоставляемые этими инструментами, не имеют шансов на успех в отражении все возрастающих угроз вторжения извне.

Орудия труда

Многообразие атак, ошеломляющая их частота, изобилие “червей” и другого враждебного кода — вот реальность сегодняшнего дня. Но уж коль скоро атаки становятся все более жестокими и сокрушительными, нельзя ли сделать средства борьбы с ними столь же совершенными и эффективными? К сожалению, атаковать всегда легче, чем защищаться, и даже лучшие инструментальные средства не позволяют полностью “отбиться” от вторжения хитроумного взломщика. Тем не менее некоторые инструменты помогают сделать оборону более эффективной. И вообще, если уж на то пошло, администраторам безопасности никакая, даже малейшая, помощь лишней не покажется.

Работу по идентификации уязвимых мест можно упростить, используя инструментальные средства оценки уязвимости (Vulnerability Assessment — VA) уровней сети или хоста. И первые и вторые позволяют идентифицировать известные “дыры” ОС, приложений, распространенные ошибки их конфигурирования и информируют пользователей о способах разрешения обнаруженных проблем. Например, типичное выходное сообщение средства VA уровня сети содержит информацию о “заплатах”, которые нужно установить, и о конфигурационных изменениях, которые следует выполнить на просканированных системах (см. статью “Тестируем сканеры уязвимости” в этом номере журнала).

Однако между моделями VA уровня хоста и уровня сети имеются некоторые различия. Например, вторая модель не требует развертывания программных агентов на сканируемых системах. Она лучше всего подходит для больших организаций, чьи зоны администрирования рассредоточены по обширной территории или даже по всему земному шару. Недостатком инструментальных VA-средств уровня сети является то, что они не могут “копать” так же глубоко, как VA-средства уровня хоста.

Хотя модель VA уровня хоста требует установки программных агентов, преимущество последних — возможность зондировать системы и сервисы, обычно недоступные сетевым сканерам. Явный недостаток этой модели состоит в том, что у вас появляется дополнительное лицензируемое ПО, которым необходимо управлять. Кроме того, VA-продукты уровня хоста создают проблемы администраторам, не имеющим доступа к системам за пределами контролируемых зон.

Программные пакеты для анализа безопасности приложений, такие, как Hailstorm компании Cenzic, WebProxy компании @Stake и AppScan компании Sanctum, отличаются от обычных VA-средств уровня хоста или уровня сети тем, что предназначены для оценки как “коробочных”, так и заказных приложений. Хотя эти пакеты вооружают администраторов более эффективным инструментарием, последние должны быть подкованными в вопросах безопасности.

После выявления уязвимых мест для их устранения вы можете воспользоваться инструментальными средствами управления процессами развертывания и обновления ПО. Однако иногда даже их оказывается недостаточно. Так, какой-нибудь незадачливый пользователь может свести на нет все ваши усилия, самовольно занявшись переустановкой уязвимого приложения без наложения на него соответствующей “заплаты” или то и дело развертывая потенциально опасные программы. Грамотные администраторы постараются установить “заплаты” на все известные “дыры” контролируемых ими программ и будут следить за тем, чтобы последние всегда оставались “залатанными”. Вопрос об использовании продуктов, контролирующих “свежесть” версий “заплат”, БД вирусных сигнатур и общее состояние “здоровья” корпоративной системы, должен быть рассмотрен вами при первой же возможности.

Общая картина

К наиболее распространенным источникам уязвимости относятся ошибки проектирования и реализации тиражируемого ПО. В прошлом году служба SAC (Security Alert Consensus, www.sans.org/newsletters/sac) сообщила о выявлении 1000 новых “дыр” в ОС и приложениях (в среднем по 83 в месяц). Если учесть, что SAC обычно фокусирует свое внимание на крупных атаках, угрожающих корпоративным и правительственным системам, то такое число новых “дыр” следует считать заниженным. И вообще, сведения SAC об уязвимых местах в ПО являются неполными. На момент написания данной статьи БД элементов уязвимости SecurityFocus (http://www.securityfocus.com) содержала 7679 записей, БД ICAT Metabase (http://icat.nist.gov/icat.cfm) Национального института стандартов и технологий (National Institute of Standards and Technology) — 5712 записей и БД CVE (Common Vulnerabilities and Exposures, http://cve.mitre.org) — 2573 записи (дополнительную информацию о выявленных элементах уязвимости вы найдете в статье М. Фратто. “Сделайте свою сеть безопасной” //Сети и системы связи. 2003. № 10. С. 104).

Приведенные выше цифры убеждают нас в наличии ошеломляющего числа уязвимостей, которое в дальнейшем будет только расти.

Даже если все беды и невзгоды до сих пор каким-то образом обходили вас стороной, то рано или поздно уязвимость ОС или критически важного бизнес-приложения подставит вас под сокрушительный удар. Денежные затраты, время и усилия, связанные с выявлением “дыр” в ПО, можно минимизировать, используя соответствующие инструментальные средства и процедуры.

Вам следует знать ту цену, которую придется заплатить в будущем, отказавшись сегодня от принятия надлежащих мер по предупреждению возможных атак. Если, паче чаяния, злоумышленник сумеет воспользоваться какой-либо уязвимостью, ваша организация столкнется с кражей или порчей данных, продолжительным простоем оборудования и, как результат, с унижением и потерей доверия в глазах клиентов, когда инцидент получит огласку. В любом случае ваша организация понесет убытки. И хотя они не всегда выражаются конкретными цифрами, отсутствие управления рисками в вашей концепции безопасности может обойтись вам слишком дорого.

Кроме того, организациям приходится нести затраты, связанные с автоматизированными нецеленаправленными атаками, наподобие тех, которые осуществляются посредством “червей”, вирусов и другого вредоносного кода. Ущерб, наносимый “червями”, исчисляется миллионами и даже миллиардами долларов, затрачиваемыми на восстановление и тщательную чистку испорченных данных. Что нас волнует больше всего, так это тот факт, что каждый обладающий высокой разрушающей способностью “червь”, с которым приходилось сталкиваться, с успехом использовал известную уязвимость ОС или приложения. Так, Code Red использовал переполнение буфера интерфейса ISAPI сервера IIS, Nimda — уязвимость Unicode Directory Traversal того же сервера, а Slam-mer — переполнение буфера, обнаруженное в службе разрешения запросов ПО Microsoft SQL Server.

Если бы организации вовремя “залатали” свои системы, последние оказались бы невосприимчивыми к этим вредным “козявкам” (см. “Наиболее вредоносные “черви”). К сожалению, многие не сделали этого.

Спросите сами себя

Независимо от того чего вы боитесь — целенаправленных атак, организуемых взломщиками, или нецеленаправленных угроз типа “червей”, — каждая организация должна периодически отвечать на следующие вопросы:

• Является ли наша система безопасности многоуровневой?

• Установлены ли у нас самые последние версии “заплат” и имеется ли система их развертывания, способная своевременно распространять новые версии?

• Используете ли вы автоматизированные инструментальные средства VA для идентификации потенциально уязвимых систем?

Учитывая результаты опроса наших читателей и удручающее состояние отрасли в целом, мы смело можем утверждать, что большинство из вас ответят на значительную часть этих вопросов отрицательно. Это не только означает высокую степень риска, но и предполагает высокие затраты, а посему сейчас настал самый подходящий момент для рассмотрения вопроса инвестиций в безопасность — нравится вам это или нет, но последняя требует денежных вложений. Денег стоит также чистка программ и данных, потерянное рабочее время. И, как вы уже, наверное, догадались, в конечном счете платить надо и за отсутствие плана управления безопасностью.

В конце прошлого года была опубликована интересная статья, в которой освещались некоторые достижения НАСА в области управления безопасностью (см. http://www.sans.org/top20/GISRA_NASA.pdf). В результате проведенного исследования агентство определило, что подавляющее большинство инцидентов в сфере безопасности связано с ограниченным подмножеством элементов уязвимости. Специалисты агентства пришли к заключению, что можно в достаточной мере снизить свои риски, если вплотную заняться только этим подмножеством. В масштабе всей организации была развернута кампания, направленная на выявление и максимальную нейтрализацию этих элементов уязвимости, инициированная директором информационной службы НАСА и включающая следующие ключевые компоненты:

• безопасность оценивалась в соотношении числа элементов уязвимости к числу хостов;

• производительность работы подразделений соотносилась непосредственно с вышеупомянутым показателем безопасности;

• показатели безопасности определялись ежеквартально в масштабе всей организации.

Первые успехи стали заметными уже спустя несколько кварталов, и затем НАСА подытожило затраты на проведение всей кампании, которые составили около 30 долл. на одну систему в год. Как показывает этот пример, организации, уделяющие самое серьезное внимание управлению безопасностью, могут вполне экономно бороться с известными угрозами.

Еще раз о деньгах

Инструменты для анализа уязвимости, отслеживания ресурсов и управления “заплатами” являются не просто полезными, но крайне необходимыми. Тем не менее с их помощью осуществляются лишь тактические решения сугубо стратегической проблемы, связанной с наличием огромного числа “дыр” в ОС, службах и приложениях. Любой наученный горьким опытом специалист по безопасности скажет вам, что решение этой проблемы полностью зависит от разработчиков ПО. Мир нуждается в более умелом проектировании программного обеспечения, иначе мы так никогда и не расстанемся с подходом к обеспечению информационной безопасности, основанным на принципе “латай и молись”.

И все же более безопасные программы не могут появиться в одночасье, к тому же эта область деятельности неподвластна корпоративным пользователям. Что же в таком случае делать? Начните с постановки вопросов безопасности во главу угла при покупке и развертывании программных продуктов и с поиска продуктов, хорошо зарекомендовавших себя с этой точки зрения. Неплохим информационным ресурсом для всех, кто обеспокоен проблемами безопасности, является служба ICAT, однако легче смогут распознать общеизвестных “преступников” и те, кто подписался на рассылку бюллетеней SAC, Bugtraq или VulnWatch.

Если же оставить философию в стороне, то продукты, имеющие лучшую репутацию с точки зрения уязвимости и, следовательно, не требующие интенсивного “латания дыр”, снижают не только повседневные риски, но и совокупную стоимость владения (Total Cost of Ownership — TCO), что обусловлено более низкими затратами на их поддержку. Например, вы можете выбрать Web-сервер Apache вместо IIS, почтовый пакет Postfix вместо Sendmail, сервер Tinydns вместо Bind и браузер Opera вместо IE. Конечно, все это требует системного подхода, ибо безопасность этих продуктов лишь один из многих критериев их выбора. Однако важность фактора безопасности с каждым днем повышается.

Если, покупая программные продукты, потребители начнут учитывать их репутацию в части безопасности, это станет хорошим уроком для производителей. Те из них, кто создает и реализует более безопасные продукты, будут вознаграждены, остальные же получат то, что заслужили. Подумайте, насколько легче и дешевле управлять информационной системой, которую не нужно будет “латать”.

Перспективы на будущее

К сожалению, мы подозреваем, что, до того как ситуация с уязвимостью ИС начнет улучшаться, она еще больше ухудшится. Дело в том, что на протяжении нескольких последних лет число уязвимых мест в коммерческих продуктах возросло просто катастрофически.

Дело усугубляется еще и тем, что границы ответственности между разработчиками приложений, системными и сетевыми администраторами, администраторами БД становятся все более размытыми, особенно в отношении зон контроля сетевой безопасности. Например, администрирование и обеспечение безопасности ОС (и ее “латание”) по-прежнему однозначно подпадает под юрисдикцию системного администратора, однако усилия последнего могут быть полностью сведены на нет одним лишь неаккуратно написанным приложением. Если разработчик приложения разместит уязвимую CGI-форму на прежде безопасном Web-сервере, то многие элементы защиты, реализованные системным администратором, скорее всего, окажутся бесполезными. Нельзя также возлагать всю ответственность за уязвимость системы на сетевого администратора, и вместе с тем усилия разработчика приложений, направленные на обеспечение безопасности, могут оказаться бесполезными из-за халатности администратора БД. Взаимная зависимость команд администраторов все больше напоминает паутину, и по мере появления новых технологий, таких, как Web-сервисы, размытость границ административных полномочий будет только усиливаться.

Большинство организаций имеют две альтернативы: продолжать работать так же, как они работают сегодня, т. е. в обстановке повышенного риска и угроз нападения извне, или инвестировать в более зрелые проекты управления безопасностью. Эти проекты могут включать как инструментальные средства, так и процедуры, позволяющие быстро и эффективно идентифицировать постоянно эволюционирующие угрозы и реагировать на них. Предусмотрительные организации не только будут развертывать более эффективные системы контроля уязвимых мест, но при покупке программных продуктов станут учитывать их репутацию относительно безопасности, ибо от этого зависит как сохранность корпоративных данных, так и благополучие бизнеса в целом..





  
13 '2003
СОДЕРЖАНИЕ

бизнес

• Десять «смертных грехов» инженера по беспроводному доступу

• Новое предложение на рынке услуг ИТ-аутсорсинга

• Рецепты Cisco

• Для малого бизнеса по российским меркам

инфраструктура

• Тестируем серверы начального уровня

информационные системы

• Федеративное управление идентификацией пользователей

сети связи

• Новинки аудиоконференц-связи

• Архитектура конвергированных радиосетей будущего

• Телекоммуникации в Самарской области

• Управление сетью УАТС

электронная коммерция

• Стойки нового поколения упрощают инсталляцию сетей

• Подача электропитания по кабелям сети Ethernet

• Выбор оптимального типа кабеля для систем видеонаблюдения

защита данных

• Контроль уязвимости корпоративной сети

• Тестируем сканеры уязвимости

• Защита корпоративного почтового документооборота

новые продукты

• FSO-системы Alcatel


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх