- •1. Основні складові інформаційної безпеки в телекоммунікаційніх системах
- •2. Основні визначення і критерії класифікації загроз Інформаційної Безпеки.
- •3. Найбільш поширені загрози доступності до інформації в телекоммунікаційніх системах
- •4. Шкідливе програмне забезпечення в телекоммунікаційніх системах
- •5. Основні загрози цілісності інформації в телекоммунікаційніх системах
- •6. Основні загрози конфіденційності інформації в телекоммунікаційніх системах
- •7. Законодавчий рівень інформаційної безпеки в телекоммунікаційніх системах.
- •8. Оціночні стандарти та технічні специфікації в області інформаційної безпеки. "Помаранчева книга" як оціночний стандарт
- •9. Мережеві механізми безпеки в області інформаційної безпеки
- •10. Стандарт iso / iec 15408 "Критерії оцінки безпеки інформаційних технологій"
- •11. Гармонізовані критерії Європейських країн у галузі інформаційної безпеки
- •12. Адміністративний рівень іформаціонной безпеки: Основні поняття та визначення.
- •13. Адміністративний рівень Інформаційні безпеки: Політика безпеки.
- •14. Адміністративний рівень Інформаційні безпеки: Програма безпеки.
- •15. Адміністративний рівень Інформаційні безпеки: Синхронізація програми безпеки з життєвим циклом систем
- •16. Управління ризиками при забезпеченні інформаційної безпеки: Основні поняття та визначення.
- •17. Підготовчі етапи управління ризиками при забезпеченні інформаційної безпеки
- •18. Основні етапи управління ризиками при забезпеченні інформаційної безпеки
- •19. Процедурний рівень інформаційної безпеки: Основні класи мір процедурного рівня.
- •20. Процедурний рівень інформаційної безпеки: Управління персоналом.
- •21. Процедурний рівень інформаційної безпеки: Фізичний захист.
- •22. Процедурний рівень інформаційної безпеки: Підтримка працездатності системи.
- •23. Процедурний рівень інформаційної безпеки: Реагування на порушення режиму безпеки.
- •24. Процедурний рівень інформаційної безпеки: планування відновлювальних робіт при порушеннях режиму безпеки.
- •25. Основні програмно-технічні заходи іб: Особливості сучасних інформаційних систем, істотні з точки зору безпеки.
- •26. Основні програмно-технічні заходи іб: Архітектурна безпеки.
- •27. Ідентифікація та автентифікація, керування доступом: Ідентифікація та автентифікація.
- •28. Ідентифікація та автентифікація, керування доступом: Управління доступом.
- •29. Протоколювання й аудит, шифрування, контроль цілісності: Протоколювання і аудит.
- •30. Протоколювання й аудит, шифрування, контроль цілісності: Активний аудит.
- •31. Протоколювання й аудит, шифрування, контроль цілісності: Шифрування.
- •3. Шифрування
- •32. Протоколювання й аудит, шифрування, контроль цілісності: Контроль цілісності. Контроль цілісності
- •33. Забезпечення доступності: основні поняття і визначення.
- •34. Забезпечення доступності: Основи заходів забезпечення високої доступності.
- •35. Забезпечення доступності: Відмовостійкість та зона ризику
- •36. Классификация поточных шифров: Синхронные поточные шифры и самосинхронизирующиеся поточные шифры
- •Синхронные поточные шифры
- •Самосинхронизирующиеся поточные шифры
- •37. Поточные шифры на регистрах сдвига с линейной обратной связью (рслос): Теоретическая основа
- •Линейная сложность
- •38. Потоковые шифры основанные на рслос. Усложнение: нелинейная комбинация генераторов
- •47. Idea - международный алгоритм шифрования данных
- •48. Алгоритм шифрования aes
30. Протоколювання й аудит, шифрування, контроль цілісності: Активний аудит.
Основні поняття
Під підозрілою активністю розуміється поведінка користувача або компонента інформаційної системи, що є злочинним (відповідно до заздалегідь визначеної політикою безпеки) або нетиповим (відповідно до прийнятих критеріїв).
Завдання активного аудиту - оперативно виявляти підозрілу активність і надавати кошти для автоматичного реагування на неї.
Активність, яка не відповідає політиці безпеки, доцільно розділити на атаки, спрямовані на незаконне отримання повноважень, і на дії, що виконуються в рамках наявних повноважень, але порушують політику безпеки.
Атаки порушують будь-яку осмислену політику безпеки. Іншими словами, активність атакуючого є руйнівною незалежно від політики. Отже, для опису та виявлення атак можна застосовувати універсальні методи, інваріантні щодо політики безпеки, такі як сигнатури і їх виявлення у вхідному потоці подій за допомогою апарату експертних систем.
Сигнатура атаки - це сукупність умов, при виконанні яких атака вважається має місце, що викликає заздалегідь визначену реакцію. Найпростіший приклад сигнатури - "зафіксовано три послідовні невдалі спроби входу в систему з одного терміналу", приклад асоційованої реакції - блокування терміналу до прояснення ситуації.
Дії, що виконуються в рамках наявних повноважень, але порушують політику безпеки, ми будемо називати зловживанням повноваженнями. Зловживання повноваженнями можливі через неадекватність засобів розмежування доступу обраної політики безпеки. Найпростішим прикладом зловживань є неетичну поведінку суперкористувача, переглядає особисті файли інших користувачів. Аналізуючи реєстраційну інформацію, можна виявити подібні події і повідомити про них адміністратора безпеки, хоча для цього необхідні відповідні засоби вираження політики безпеки.
Виділення зловживань повноваженнями в окрему групу неправомірних дій, що виявляються засобами активного аудиту, не є загальновизнаним, однак, на наш погляд, подібний підхід має право на існування і ми будемо його дотримуватися,хоча найбільш радикальним рішенням було б розвиток засобів розмежування доступу (див."Можливий підхід до управління доступом в розподіленої об'єктної середовищі").
Нетипова поведінка виявляється статистичними методами. У найпростішому випадку застосовують систему порогів, перевищення яких є підозрілим.(Втім, "граничний" метод можна трактувати і як вироджений випадок сигнатури атаки, і як тривіальний спосіб вираження політики безпеки.) У більш розвинених системах виробляється зіставлення довготривалих характеристик роботи (званих довгострокових профілем) з короткостроковими профілями. (Тут можна угледіти аналогію біометричної аутентифікації з поведінкових характеристик.)
Стосовно до засобів активного аудиту розрізняють помилки першого і другого роду: пропуск атак і помилкові тривоги, відповідно. Небажаність помилок першого роду очевидна; помилки другого роду не менш неприємні, оскільки відволікають адміністратора безпеки від дійсно важливих справ, побічно сприяючи пропуску атак.
Переваги сигнатурного методу - висока продуктивність, мала кількість помилок другого роду, обгрунтованість рішень. Основний недолік - невміння виявляти невідомі атаки і варіації відомих атак.
Основні переваги статистичного підходу - універсальність і обгрунтованість рішень, потенційна здатність виявляти невідомі атаки, тобто мінімізація кількості помилок першого роду. Мінуси полягають у відносно високій частці помилок другого роду, погану роботу у випадку, коли неправомірне поведінка є типовою, коли типова поведінка плавно змінюється від легального до неправомірного, а також у випадках, коли типової поведінки немає (як показує статистика,таких користувачів приблизно 5-10%).
Засоби активного аудиту можуть розташовуватися на всіх лініях оборони інформаційної системи. На кордоні контрольованої зони вони можуть виявляти підозрілу активність в точках підключення до зовнішніх мереж (не тільки спроби нелегального проникнення, але й дії по "промацування" сервісів безпеки).У корпоративній мережі, в рамках інформаційних сервісів та сервісів безпеки, активний аудит в змозі виявити і припинити підозрілу активність зовнішніх і внутрішніх користувачів, виявити проблеми в роботі сервісів, викликані як порушеннями безпеки,так і апаратно-програмними помилками. Важливо відзначити, що активний аудит, в принципі, здатний забезпечити захист від атак на доступність.
На жаль, формулювання "у принципі, здатний забезпечити захист" не випадкова. Активний аудит розвивається більше десяти років, і перші результати здавалися досить багатообіцяючими. Досить швидко вдалося реалізувати розпізнавання простих типових атак, проте потім було виявлено безліч проблем, пов'язаних з виявленням заздалегідь невідомих атак, атак розподілених, розтягнутих у часі і т.п. Було б наївно очікувати повного вирішення подібних проблем найближчим часом.(Оперативне поповнення бази сигнатур атак таким рішенням, звичайно, не є.) Тим не менше, і на нинішній стадії розвитку активний аудит корисний як один з рубежів (вірніше, як набір прошарків) ешелонованої оборони.
Функціональні компоненти і архітектура
У складі засобів активного аудиту можна виділити наступні функціональні компоненти:
компоненти генерації реєстраційної інформації. Вони знаходяться на стику між засобами активного аудиту та контрольованими об'єктами;
компоненти зберігання згенерованої реєстраційної інформації;
компоненти вилучення реєстраційної інформації (сенсори). Зазвичай розрізняють мережеві і хостові сенсори, маючи на увазі під першими виділені комп'ютери, мережеві карти яких встановлені в режим прослуховування, а під другими - програми, які читають реєстраційні журнали операційної системи. На наш погляд, з розвитком комутаційних технологій це відмінність поступово стирається, так як мережеві сенсори доводиться встановлювати в активному мережному обладнанні і, по суті, вони стають частиною мережевої ОС;
компоненти перегляду реєстраційної інформації. Можуть допомогти при ухваленні рішення про реагування на підозрілу активність;
компоненти аналізу інформації, що надійшла від сенсорів. У відповідності з даним вище визначенням засобів активного аудиту, виділяють пороговий аналізатор, аналізатор порушень політики безпеки, експертну систему, що виявляє сигнатури атак, а також статистичний аналізатор, який виявляє нетипова поведінка;
компоненти зберігання інформації, що бере участь в аналізі. Таке зберігання необхідно, наприклад, для виявлення атак, протяжних в часі;
компоненти прийняття рішень і реагування ("вирішувачі"). "Вирішувач" може отримувати інформацію не тільки від локальних, але і від зовнішніх аналізаторів, проводячи так званий кореляційний аналіз розподілених подій;
компоненти зберігання інформації про контрольованих об’єктах. Тут можуть зберігатися як пасивні дані, так і методи, необхідні, наприклад, для вилучення з об'єкта реєстраційної інформації або для реагування;
компоненти, що грають роль організуючої оболонки для менеджерів активного аудиту, звані моніторами і об'єднуючі аналізатори, "вирішувачі", сховище описів об'єктів та інтерфейсні компоненти. У число останніх входять компоненти інтерфейсу з іншими моніторами, як рівноправними, так і вхідними в ієрархію. Такі інтерфейси необхідні, наприклад, для виявлення розподілених, широкомасштабних атак;
компоненти інтерфейсу з адміністратором безпеки.
Засоби активного аудиту будуються в архітектурі менеджер/агент. Основними агентськими компонентами є сенсори. Аналіз, прийняття рішень - функції менеджерів. Очевидно, між менеджерами та агентами повинні бути сформовані довірені канали.
Підкреслимо важливість інтерфейсних компонентів. Вони корисні як з внутрішньою для засобів активного аудиту точки зору (забезпечують розширюваність, підключення компонентів різних виробників), так і з зовнішньої точки зору. Між менеджерами (між компонентами аналізу і "вирішувачами") можуть існувати горизонтальні зв'язки, необхідні для аналізу розподіленої активності. Можливо також формування ієрархій засобів активного аудиту з винесенням на верхні рівні інформації про найбільш масштабної та небезпечної активності.
Звернемо також увагу на архітектурну спільність засобів активного аудиту та управління, що є наслідком спільності виконуваних функцій. Продумані інтерфейсні компоненти можуть істотно полегшити спільну роботу цих коштів.
-------------------------------------------------- -----------------------------------------