17 декабря, 2010, BIS Journal №1(1)/2011

Неизбежность усмиряет


Колмогоров Виктор

Ведущий инженер отдела технической защиты информации Управления безопасности и защиты информации (Главное управление Банка России по Красноярскому краю)

Новые версии систем информационной защиты ни в чём не должны уступать предыдущим

В сфере информационной безопасности принцип неизбежности не подразумевает обязательного наказания, если произошла ошибка, а не было сознательного нарушения. Неотвратимость обнаружения инцидента обязывает их автора своевременно сигнализировать о сделанной ошибке, чтобы предупредить каскад негативных последствий. Последовательное проведение принципа неизбежности не должно оставлять потенциальным нарушителям никаких надежд на сокрытие инцидентов.

ВРЕД ПЕРЕГРУЗКИ

На практике реализация принципа «все тайное становится явным» сталкивается с рядом проблем. Так, широко распространено чрезмерное стремление к централизации управления средствами защиты и аудита. Одному или двум сотрудникам поручают управление и контроль десятков и даже сотен компьютеров. Но на каждой «персоналке» выполняются различные операции, происходят многочисленные события, а принцип перехода количества в качество пока никто не отменял. Понятно, что в случае постоянных перегрузок операторы могут просто не заметить вовремя нарушения информационной безопасности или не успеть отреагировать должным образом.

Своими издержками чревата погоня за разработкой всё новых версий программного обеспечения защиты и аудита, если производитель жертвует разработкой качественной системы анализа событий аудита. Например, специалисты, работавшие с сетевым вариантом Secret Net 4.0, помнят прекрасные возможности настраивать сложные фильтры событий, автоматически подгружать журналы аудита любой давности, для любого множества компьютеров или пользователей. Для проведения сложного анализа событий аудита в версии 4.0 ранее использовалась возможность выгрузки событий аудита в файлы текстового формата для их дальнейшей обработки в собственной системе анализа.

После первичной обработки данные журналов аудита, сопоставлялись с данными приказов о допуске сотрудников к цифровым подписям, вводу и контролю платежных документов, распоряжений о проведении модификаций программного обеспечения, а так же с событиями других систем: системы электронных расчетов, системы шлюзов зданий. Одной из целей такого анализа было выявление фактов использования цифровой подписи сотрудника или его учетных записей в периоды его отсутствия на работе: когда он не был зарегистрирован пропускной системой или когда время прохождения шлюзов не совпадало с работой учетных записей и цифровой подписи в журналах аудита.

НЕ ВСЁ НОВОЕ ЛУЧШЕ

К сожалению, в новой версии сетевого варианта Secret Net 5 эти опции сильно сокращены. Между тем известно, насколько в сфере информационной безопасности важен сложный ретроспективный анализ событий для выявления инцидентов. Он позволяет выявить повторяемость событий за значительные периоды времени, определить масштабы распространения события и проводить прочую аналитику.

Аналогичный поход, с выгрузкой журналов событий аудита в текстовый файл для дальнейшей обработки, недавно применялся для системы DeviceLock. При значительных объёмах данных, генерируемых сотнями компьютеров в день, «в ручном режиме» невозможно проверить правомерность всех заявок на доступа. Следует отметить: система DeviceLock содержит фильтры для событий аудита, но не поддерживает какую-либо базу хранения заявок. К тому же заявки делались как изменения уже существующих прав доступа, что увеличивало объем анализируемых документов.

Текстовый  файл с более чем миллионом событий после первичной обработки загружался в базу данных Microsoft Access, куда вносились данные всех заявок на права доступа. Десяток-другой SQL-запросов позволял выявить множество проблем, и даже вычислять заявки, которые были исполнены на посторонних компьютерах. Сейчас организация работы с DeviceLock другая из-за изменения нормативной базы, и работы по созданию новой аналитической системы только начались.

ШИФРОВАЛЬНАЯ ПУТАНИЦА

До тех пор остается уповать на сознательность сотрудников, которые не попытаются использовать известные им «слабости» DeviceLock в личных целях. Выходит, что при разработке новых версий программного обеспечения своевременно не уделяют должного внимания разработке качественной системы анализа событий аудита, последствием может стать снижение уровня информационной безопасности.

Продуманной и гибкой аналитической системы требует не только анализ событий аудита. В 2010 году были расширены проверки правил фильтрации сетевого трафика на аппаратно-программных комплексах шифрования «Континент». В них активно применяются группы сетевых объектов − объединение нескольких сетевых объектов одним именем. Встроенный в комплекс мастер ввода данных автоматически генерирует несколько Правил, если в качестве отправителя или получателя сетевого трафика используется группа. В состав одной группы может входить другая.

С помощью специально разработанного комплекса vb-скриптов был проведен анализ правил, в котором проявились факты многократного разрешения сетевого взаимодействия между объектами сети. Например, между парой серверов правилами было разрешено взаимодействие только по трем сетевым протоколам, но при этом в правилах была допущена ошибка, которая почему-то взаимодействию не мешала.

Оказалось, оба сервера включены в состав разных групп, используемых в правилах разрешающих взаимодействие с системами архивирования, аудита, средств защиты и прочих операций. В итоге было обнаружено Правило, разрешающее взаимодействие без каких-либо ограничений между группами, в составе которых оказались оба сервера.

ПОДСЕТИ-ВЫРУЧАЛОЧКИ

Для администраторов аппаратно-программных комплексов шифрования «Континент» альтернативой использованию в правилах групп стали подсети. Проведенный в 2010 году анализ перекрытия правил между сетевыми объектами типа объект − объект и между одной подсетью и другой подсетью, типа подсеть −подсеть, обнаружил множество таких нарушений.

Правила, разрешающие взаимодействие между двумя объектами сети, оказались излишними, так как такое взаимодействие уже было разрешено правилами с участие подсетей, в IP-пространство которых попадали объекты сети. Выходило, что излишне первое правило, объект-объект, или же не обосновано второе, для взаимодействия типа подсеть — объект.

Многократное переопределение сетевого взаимодействия не позволяет гарантировать, что удаление правила, регламентирующего взаимодействие между двумя сетевыми объектами, приведёт к запрещению взаимодействия этих объектов. Без дополнительного автоматизированного анализа остаются только два варианта: верить в непогрешимость администраторов аппаратно-программных комплексов шифрования или использовать различные тесты сетевого взаимодействия. Практика показала ошибочность первого подхода, второй − очень затратный, и эффективен только при вводе системы в эксплуатацию.

ЗАТВОРНИКИ СПЕЦИАЛИЗАЦИИ

Стандарт информационной безопасности Банка России обязывает анализировать конфигурации, события аудита и многие прочие параметры. Эта работа может быть куда более эффективна при анализе в альтернативных системах, с использованием данных различных систем. Но производители средств защиты и аудита забывают про возможность экспорта данных своих систем хотя бы в простые текстовые файлы, или в модный сейчас формат XML.

Но даже специализированные системы аудита грешат односторонним подходом к анализу данных.Одна из специализированных систем аудита позволяет настроить длинную цепочку последовательного анализа поступающих событий, но не даёт ответа на простой вопрос, менял ли в этом месяце администратор сети свой пароль. Такой ответ, с точки зрения возможных последствий нарушения требований информационной безопасности, искупил бы все недостатки рассматриваемой системой аудита. Между тем требуется всего один SQL-запрос к базе данных этой системы, в которой есть все необходимые сведения.

Когда пользователь четко осознает, что его действия будут не только зафиксированы но и проанализированы системой защиты, пусть и со значительным опозданием, отношение к системе защиты меняется. Она более не кажется малополезной и затратной.

Долгая работа с любой системой защиты позволяет обнаружить рано или поздно те или иные «лазейки». Принцип неизбежности обнаружения инцидентов в сфере информационной защиты должен поддерживаться регулярным выпуском новых версий защитных систем, которые бы не уступали ни по одному ключевому параметру предшествующим.

 

Смотрите также

Подпишись на новости!
Подписаться