Удачные попытки проникновения

Удачные попытки проникновения включают успешный захват пароля, ознакомление с информацией или ее искажение, истощение системных ресурсов, разрушение программного обеспечения. Они требуют большого количества времени для ликвидации последствий, в зависимости от квалификации и возможностей нарушителя.

Определение личности нарушителя - наиболее трудный этап при ликвидации последствий проникновения. Прежде всего, необходимо установить, является ли нарушитель зарегистрированным пользователем системы или нет. Это может определить порядок дальнейших действий.

Информация, полученная в результате контроля, зачастую бывает неполной. В таких ситуациях можно разрешить дальнейшее проникновение, если необходимо получить о нем более полную информацию. При этом в каких-либо системных процедурах, находящихся под полным контролем администратора, организуются "люки" (traps) для получения дополнительной информации. Необходимо позаботиться о восстановлении наборов по резервным копиям в случае их уничтожения или модификации. Именно в этих редких, но чрезвычайно опасных ситуациях играет свою роль план защиты информации.

Наиболее сложно определить нарушителя при проникновении через сеть, особенно при использовании коммутируемых (или выделенных) линий связи. Связанные с этим трудности мы рассмотрели выше.

Меры, которые необходимо предпринять после установления факта проникновения, зависят от его сущности. Основные перечислены ниже в порядке возрастания предполагаемого ущерба:

1. Обезопасить базу данных защиты (хранящую информацию о пользователях и их полномочиях, а также о защите объектов системы).

2. Изменить пароли, если есть подозрения в их компрометации. Изменить хотя бы пароли привилегированных пользователей, строго следя за тем, чтобы они не повторялись для разных пользователей.

3. Полностью или частично обновить системные модули из резервных копий.

4. Ужесточить защиту. Применить дополнительные меры по защите наборов данных; использовать системные пароли, генераторы паролей; усилить меры контроля.

В качестве первоочередной меры по ликвидации последствий проникновения в систему необходимо перезагрузить модифицированные или уничтоженные файлы.

Также следует определить, обязательна ли полная перезагрузка данных; пересмотреть защиту файлов; выяснить, имелась ли возможность при данном нарушении внести в системные или прикладные модули "червей", "троянских коней" и т.д. В случае положительного решения произвести уничтожение и перезагрузку соответствующих компонентов системы.

Разумное сочетание этих мер поможет избежать многих опасностей - уж где-нибудь злоумышленник да проявит себя; важно не пропустить его.

Гибкое управление средствами защиты - необходимое условие их успешного применения

Так как механизмы защиты, встроенные в распространенные ОС (MS-DOS/Windows 95/98, Novell Netware, Windows NT и т.п.) не обеспечивают надежной защиты данных на рабочих станциях сети, поэтому они не позволяют решить указанные задачи без применения дополнительных средств защиты информации (СЗИ).

На рынке средств защиты сегодня имеется большое число различных СЗИ. Перед администратором безопасности встает вопрос определения необходимости и порядка применения СЗИ в КС. Очевидно, далеко не все компьютеры организации необходимо оснащать дополнительными СЗИ, так как это требует дополнительных материальных затрат и может только затруднить эксплуатацию всей КС в целом.

По нашему мнению, применение СЗИ целесообразно в следующих основных случаях:

• при размещении на компьютерах средств криптографической защиты данных (например, в системе "Клиент-Банк"). В этом случае дополнительные СЗИ необходимы для защиты ключей электронной цифровой подписи и шифрования;

• при необходимости регламентации и протоколирования действий пользователей, работающих на компьютерах КС. В этом случае система защиты решает задачу недопущения действий пользователей, не предусмотренных технологией обработки данных;

• при необходимости ограничения доступа пользователей, работающих на компьютере, к его локальным ресурсам (дискам, каталогам, файлам или внешним устройствам), а также исключения возможности самостоятельного изменения состава и конфигурации программных средств, установленных на компьютере.

В связи с применением дополнительных СЗИ администратору безопасности предстоит выполнять следующие действия (операции):

• устанавливать СЗИ на компьютеры организации (установка и внедрение СЗИ);

• настраивать СЗИ путем задания прав доступа пользователей к ресурсам как компьютеров, так и к ресурсам сети (эксплуатация СЗИ);

• контролировать состояние защищенности КС путем оперативного мониторинга и анализа системных журналов (контроль за состоянием безопасности КС).

При выполнении этих операций возникает ряд проблем, пути решения которых обсуждаются ниже.

Установка, внедрения и снятия средств защиты

Установка и снятие средств защиты производится силами СИБ в соответствии с Планом защиты. После установки администратору безопасности передается полная документация на средства защиты, ключевые дискеты и электронные идентификаторы. В случае выявления конфликтов в работе средств защиты, приводящих к серьезным нарушениям и затрудняющим обработку информации администратор должен немедленно сообщить об этом в СИБ. При необходимости изменения конфигурации системного программного обеспечения, приводящего к изменению структуры жесткого диска, администратор обязан заранее сообщить об этом в СИБ.

В большинстве случаев СЗИ устанавливаются на уже реально функционирующую КС. Так как защищаемая КС используется для решения важных задач, часто в непрерывном технологическом цикле, ее владельцы и пользователи неодобрительно относятся к любому, даже кратковременному, перерыву в ее работе, необходимому для установки и настройки СЗИ.

Следует учитывать, что с первого раза правильно настроить систему защиты не представляется возможным. Обычно это связано с отсутствием в организации полного детального списка всех аппаратных, программных и информационных ресурсов системы, подлежащих защите, и готового непротиворечивого перечня прав доступа и полномочий каждого пользователя АС Поэтому этап внедрения СЗИ обязательно включает действия по первоначальному выявлению, последовательному уточнению и соответствующему изменению настроек устанавливаемой СЗИ.

Очевидно, что те же самые действия администратору безопасности придется неоднократно повторять и на этапе эксплуатации СЗИ при изменениях состава технических средств, программного обеспечения, пользователей и т.д. Такие изменения происходят довольно часто, поэтому средства управления СЗИ должны обеспечивать удобство осуществления необходимых при этом настроек СЗИ.

В том случае, если средства управления СЗИ не приспособлены к этому, а сама СЗИ не обладает достаточной гибкостью, то очень скоро СЗИ становится не помощником, а обузой для всех, и в первую очередь для администраторов безопасности, и в конце концов такая СЗИ обречена на отторжение.

Соответственно, целесообразно использовать средства, обладающих рядом дополнительных механизмов, облегчающих установку и внедрение СЗИ в организации. К их числу можно отнести:

• специальные механизмы, позволяющие автоматизировать деятельность администратора безопасности по типовой установке и тиражированию значений параметров СЗИ с эталонной станции на все рабочие станции данного типа;

• специальные режимы "мягкого" функционирования СЗИ. Эти режимы позволяют устанавливать СЗИ на КС в организациях, у которых первоначально отсутствует детальный перечень прав пользователей по доступу к ресурсам. Они позволяют выявлять некорректные настройки средств защиты (и затем производить их корректировку) без нарушения работоспособности АС. Помогает "мягкий" режим и при формировании списков программ, разрешенных для запуска конкретным пользователям (при создании замкнутой программной среды), позволяя накапливать в системных журналах необходимые сведения для их корректировки.

Эксплуатация СЗИ

Основные правила эксплуатации средств защиты содержатся в документации. Администратор не должен предпринимать никаких действий, противоречащих документации. Режимы использования средств защиты определяются сотрудниками СИБ. Все полученные администратором безопасности инсталляционные дискеты, мастер-карты, запасные электронные идентификаторы и носители ключевой информации следует хранить в физически защищенном месте. Администратор безопасности несет персональную ответственность за сохранность своего идентификатора и предотвращение вторжений в компьютерную систему со стороны пользователей и посторонних лиц с правами администратора, а также за предотвращение случаев компрометации секретных ключей шифрования, используемых в компьютерной системе. Администратор безопасности должен следить за тем, чтобы электронные идентификаторы пользователей не оставлялись ими без присмотра, а пароли содержались в тайне. В случае использования в компьютерной системе средств криптографической защиты ключи шифрования должны периодически сменяться. Правила использования электронной цифровой подписи регламентируются специальных инструкциями. О выявленных недостатках в работе средств защиты следует сообщать в СИБ.

Деятельность администратора безопасности на этапе эксплуатации СЗИ состоит в корректном и своевременном внесении изменений в полномочия пользователей и в настройки защитных механизмов на компьютерах АС. С увеличением масштаба защищаемой АС и при сохранении неизменным количества людей, отвечающих за ее информационную безопасность, изменяются требования к способам управления СЗИ. Как показывает практика, решения, приемлемые для одного компьютера или небольшой сети из 10-15 рабочих станций, как правило, не устраивают обслуживающий персонал и администраторов безопасности больших сетей, объединяющих сотни машин.

Кроме обязательной децентрализованной схемы управления полномочиями (непосредственно с рабочих станций) могут быть реализованы две принципиально различных схемы централизованного управления:

Схема "длинные руки". При этой схеме управление полномочиями пользователей на каждом компьютере осуществляется администратором удаленно со своего рабочего места в режиме виртуального терминала. Недостатками данной схемы являются :

• все изменения полномочий пользователей осуществляются в оперативном режиме (управляемая станция должна быть включена и на ней должен работать пользователь);

• необходимость повторения администратором операций по управлению для всех рабочих станций (то есть для смены пароля пользователя необходимо вручную изменить его пароль на всех компьютерах, на которых он зарегистрирован);

Схема отложенного централизованного управления доступом. При этой схеме управления полномочия пользователя меняются один раз в центральной базе данных, а их изменение на конкретных компьютерах обеспечивается системой защиты. При этом администратору безразлично состояние станции на момент внесения изменений в центральную базу данных. Все изменения на компьютер передаются во время очередного сеанса синхронизации.

Вторая схема управления более предпочтительна, так как облегчает работу администратора по управлению полномочиями пользователя в крупных АС. Однако наличие первой схемы в качестве дополнительной (например для просмотра экрана, полномочий пользователей по доступу к файлам на локальных дисках) также целесообразно.

Возможны следующие решения по управлению полномочиями пользователей и настройками СЗИ на компьютерах:

• схема отложенного централизованного управления доступом реализуется с использованием специального сервера управления доступом, непрерывно работающего на одном из файловых серверов сети и реализующего специальный механизм автоматической синхронизации содержимого центральной (на сервере) и локальных (на станциях) баз данных защиты. Ведение распределенной базы данных защиты (центральной и локальных) гарантирует, что выход из строя сервера управления доступом не будет препятствовать нормальному функционированию средств защиты на рабочих станциях;

• возможность актуализации центральной базы данных системы защиты при децентрализованном внесении изменений в локальные базы данных, расположенные на рабочих станциях сети (обратная синхронизация);

• средства автоматической рассылки изменений полномочий пользователя на те станции, к которым он имеет доступ. Например, при смене своего пароля пользователем, осуществленной на одной из рабочих станций, новое значение пароля этого пользователя должно быть отражено в центральной базе данных защиты сети, а также передано на все рабочие станции, на которых данному пользователю разрешено работать;

• схема "длинные руки", обеспечивающая различные режимы оперативного удаленного управления компьютерами, в том числе и средствами защиты в филиалах организации, в которых отсутствуют квалифицированные администраторы безопасности.

Контроль за состоянием безопасности КС

Администратору безопасности необходимо контролировать состояние КС как оперативно, путем слежения за состоянием защищенности компьютеров АС, так и не оперативно путем анализа содержимого журналов регистрации событий СЗИ.

Использование сервера управления доступом для оперативного контроля за состоянием рабочих станций и работой пользователей позволяет отказаться от постоянного присутствия в сети администратора безопасности. В этом случае сервер управления доступом автоматически регистрирует несанкционированные действия, происходящие в сети и всегда обладает оперативной информацией о состоянии станций.

Увеличение количества рабочих станций и использование программных средств, включающих большое количество разнообразных компонентов приводит к существенному увеличению объемов журналов регистрации событий СЗИ. Объем сведений, хранящихся в журналах, может стать настолько большим, что администратор уже физически не сможет полностью проанализировать их содержимое за приемлемое время.

Для облегчения работы администратора безопасности по контролю за состоянием безопасности АС необходимсо предусмотреть следующие возможности:

• оперативный контроль за состоянием рабочих станций сети и работой пользователей, регистрация событий несанкционированного доступа в специальном журнале;

• селекцию определенных событий (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.) из системных журналов;

• хранение системных журналов каждой рабочей станции по системе "день/месяц/год" с автоматическим ограничением срока хранения системных журналов. По истечении установленного срока журналы автоматически уничтожаются;

• специальные возможности по ограничению перечня событий, регистрируемых СЗИ;

• семантическое сжатие данных в журналах регистрации, позволяющее укрупнять регистрируемые события без существенной потери их информативности;

• автоматическая подготовка отчетных документов установленной формы о работе станций сети и имевших место нарушениях, что позволяет существенно снизить рутинную нагрузку на администратора безопасности.