РАЗРАБОТКА СКАНЕРА УЯЗВИМОСТЕЙ КОМПЬЮТЕРНЫХ СИСТЕМ НА ОСНОВЕ ЗАЩИЩЕННЫХ ВЕРСИЙ ОС WINDOWS
А.А.Долгин, П.Б.Хорев
(Москва, Московский энергетический институт (Технический университет), Россия)
Постоянное развитие информационных технологий и, в частности,
глобальных компьютерных сетей предполагает также совершенствование существующих
и создание новых методов и программно-аппаратных средств обеспечения
информационной безопасности. В последние годы в группу таких средств наряду с
межсетевыми экранами (брандмауэрами, firewalls), системами обнаружения атак (intrusion detect systems) и другими стали
входить сканеры (анализаторы) уязвимостей компьютерных систем (vulnerability assessment).
Эти средства работают на основе
сценариев проверки, хранящихся в специальных базах данных, и выдают результаты
своей работы в виде отчетов, которые могут быть конвертированы в различные
форматы. Полученные таким образом отчеты могут в дальнейшем быть использованы
администраторами компьютерных систем для устранения обнаруженных уязвимостей и
повышения уровня информационной безопасности.
В данном докладе рассматривается один из подходов к созданию сканеров уязвимостей компьютерных систем, функционирующих под управлением защищенных версий операционной системы Windows (Windows NT/2000/XP Professional, Windows 2003 Server).
Анализ защищенности – это процесс обнаружения, оценки и ранжирования потенциальных рисков безопасности, связанных с системами и устройствами, функционирующими на сетевом и системном уровнях, с целью рационального планирования применения информационных технологий. Инструменты, реализующие этот процесс, позволяют устанавливать адекватную угрозам политику безопасности, автоматизировать анализ уязвимостей и создавать отчеты, которые эффективно связывают информацию об обнаруженных уязвимостях с подробными корректирующими действиями на всех уровнях системного и сетевого администрирования.
Уязвимость – это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры компьютерной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации компьютерной системы.
Современный подход к обеспечению безопасности компьютерных систем и
сетей, называемый моделью адаптивной безопасности или технологией управления информационной безопасностью, состоит из
трех основных элементов:
·
технологии анализа
защищенности (security assessment);
·
технологии обнаружения
атак (intrusion detection);
·
технологии
управления рисками (risk management).
Этот подход позволяет обеспечивать защиту компьютерных систем в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Системы анализа защищенности проводят поиск уязвимостей, постепенно наращивая число проверок и «погружаясь» в компьютерную систему, исследуя все ее уровни. На первом этапе используется сканер уязвимостей уровня сети, который моделирует действия внешних злоумышленников, пытающихся обнаружить уязвимости корпоративной сети и использовать их для проникновения в систему. Это позволяет взглянуть на безопасность компьютерной системы «со стороны», т.е. так, как она видна внешнему наблюдателю.
На втором этапе системы анализа защищенности уровня хоста позволят взглянуть на безопасность компьютерной системы «изнутри», т.е. в случае, когда злоумышленник уже смог проникнуть через средства сетевой защиты (межсетевой экран, систему обнаружения атак) и пытается получить доступ к тому или иному компьютеру корпоративной сети.
На третьем и четвертом этапах применяются средства анализа защищенности СУБД и конкретных приложений, в том числе и используемых конечными пользователями.
Очевидно, что одна система не может эффективно реализовать
представленную выше технологию на всех
ее этапах. Поэтому для реализации концепции адаптивной безопасности необходимо
использовать совокупность систем, объединенных единым замыслом. На сегодняшний
день по этому пути идут многие, но более или менее законченные решения
предлагают компании Internet Security Systems,
Agent Technologies, Network Associates, Cisco Systems, Hewlett Packard, НИП «Информзащита» и
др.
В настоящее время используется следующая классификация уязвимостей компьютерных систем (КС), отражающая этапы ее жизненного цикла (табл. 1).
Таблица 1
Этапы
жизненного цикла КС |
Категории
уязвимостей КС |
Проектирование КС |
Уязвимости проектирования |
Реализация КС |
Уязвимости реализации |
Эксплуатация КС |
Уязвимости конфигурации |
Наиболее опасны уязвимости проектирования, которые обнаруживаются и устраняются с большим трудом. В этом случае уязвимость свойственна проекту или алгоритму. Смысл уязвимостей второй категории заключается в появлении ошибки на этапе реализации в программном или аппаратном обеспечении корректного с точки зрения безопасности проекта или алгоритма. Ошибки конфигурации программного или аппаратного обеспечения наряду с уязвимостями реализации являются самой распространенной категорией уязвимостей.
Наибольшее распространение
получили средства анализа защищенности, предназначенные для обнаружения
уязвимостей реализации и конфигурирования. Основными функциями таких программных средств анализа защищенности
компьютерных систем (сканеров уязвимостей) являются:
·
проверка
используемых в системе средств идентификации и аутентификации субъектов,
разграничения доступа, аудита и правильности их настроек с точки зрения
безопасности информации в компьютерной системе;
·
контроль
целостности системного и прикладного программного обеспечения компьютерной
системы;
· проверка наличия в компьютерной системе известных уязвимостей в используемых системных и прикладных программах и др.
К недостаткам
средств анализа защищенности КС относятся:
·
зависимость их
от конкретных операционных систем и прикладного программного обеспечения;
·
недостаточная
надежность (их применение может иногда вызывать сбои в работе анализируемых
систем);
·
малый срок
эффективной эксплуатации (не учитываются новые обнаруженные уязвимости, которые
и являются наиболее опасными);
· возможность использования нарушителями в целях подготовки к атаке на КС.
Представленный в настоящем докладе сканер уязвимостей КС на основе операционных систем Windows NT/2000/XP Professional включает в себя следующие возможности:
1) сканирование уязвимостей уровня операционной системы хоста (анализ рисков безопасности, создаваемых пользователем этого компьютера):
· выбора легко угадываемых или подбираемых паролей;
· возможности несанкционированного доступа к ресурсам системы;
· ошибок в политике аудита и др.;
2) сканирование уязвимостей уровня компьютерной сети организации (анализ рисков безопасности, требующих самого пристального внимания и немедленного исправления ситуации);
· неправильное конфигурирование межсетевых экранов;
· присутствие в сети уязвимых Web-серверов;
· обзор всех функционирующих в сети операционных систем и сервисов, а также всех учетных записей пользователей и др.;
3) преобразование полученных отчетов о результатах сканирования из текстового формата в формат электронных таблиц Microsoft Excel и (в последующих версиях) в формат баз данных Microsoft Access для облегчения анализа полученных данных и принятия решений по устранению обнаруженных уязвимостей.
Представленный в настоящем докладе сканер уязвимостей компьютерных систем разработан в соответствии с современным подходом к обеспечению безопасности компьютерных систем и сетей – моделью адаптивной безопасности. Программное средство включает в себя возможности сканирования как на уровне сети, так и на уровне хоста, а также обеспечивает преобразование полученных отчетов в удобный для последующего анализа формат. Предполагаются использование разработанного программного средства в учебном процессе по дисциплинам, связанным с информационной безопасностью и защитой информации, а также продолжение работы по совершенствованию сканера уязвимостей.
ЛИТЕРАТУРА
1. Зима В.М., Молдовян А.А., Молдовян Н.А., Безопасность глобальных сетевых технологий, СПб., БХВ-Петербург, 2000, 320 с.
2. Люцарев В.С., Ермаков К.В., Рудный Е.Б., Ермаков И.В., Безопасность компьютерных сетей на основе Windows NT, М., Издательский отдел «Русская редакция» ТОО «Channel Trading Ltd.», 1998, 304 с.
3. Хорев П.Б., Методы и средства защиты информации в компьютерных системах, М., Издательский центр «Академия», 2005, 256 с.