ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.05.2024
Просмотров: 35
Скачиваний: 0
Інформаційна безпека Протоколювання і аудит, шифрування, контроль цілісності План
1 Протоколювання і аудит
2 Активний аудит
2.1 Основні поняття
2.2 Функціональні компоненти і архітектура
2.3 Шифрування
4 Контроль цілісності
5 Цифрові сертифікати
1 Протоколювання і аудит
Основні поняття
Під протоколюванням розуміється збір і накопичення інформації про події, що відбуваються в інформаційній системі. У кожного сервісу свій набір можливих подій, але у будь-якому випадку їх можна розділити на зовнішні (викликані діями інших сервісів), внутрішні (викликані діями самого сервісу) і клієнтські (викликані діями користувачів і адміністраторів).
Аудит - це аналіз накопиченої інформації, що проводиться оперативно, в реальному часі або періодично (наприклад, раз на день). Оперативний аудит з автоматичним реагуванням на виявлені нештатні ситуації називається активним.
Реалізація протоколювання і аудиту вирішує наступні задачі:
-
забезпечення підзвітності користувачів і адміністраторів;
-
забезпечення можливості реконструкції послідовності подій;
-
виявлення спроб порушень інформаційної безпеки;
-
надання інформації для виявлення і аналізу проблем.
Протоколювання вимагає для своєї реалізації здорового глузду. Які події реєструвати? З яким ступенем деталізації? На подібні питання неможливо дати універсальні відповіді. Необхідно стежити за тим, щоб, з одного боку, досягалися перераховані вище цілі, а, з іншою, витрата ресурсів залишалася в межах допустимого. Дуже обширне або докладне протоколювання не тільки знижує продуктивність сервісів (що негативно позначається на доступності), але і утрудняє аудит, тобто не збільшує, а зменшує інформаційну безпеку.
Розумний підхід до згаданих питань стосовно операційних систем пропонується в "Оранжевій книзі", де виділені наступні події:
-
вхід в систему (успішний чи ні);
-
вихід з системи;
-
звернення до видаленої системи;
-
операції з файлами (відкрити, закрити, перейменувати, видалити);
-
зміна привілеїв або інших атрибутів безпеки (режиму доступу, рівня благонадійності користувача і т.п.).
При протоколюванні події рекомендується записувати, принаймні, наступну інформацію:
-
дата і час події;
-
унікальний ідентифікатор користувача - ініціатора дії;
-
тип події;
-
результат дії (успіх або невдача);
-
джерело запиту (наприклад, ім’я терміналу);
-
імена об’єктів, що торкнулися (наприклад, файлів, що відкриваються або видаляються);
-
опис змін, внесених в бази даних захисту (наприклад, нова мітка безпеки об’єкту).
Ще одне важливе поняття, що фігурує в "Оранжевій книзі", - вибіркове протоколювання, як відносно користувачів (уважно стежити тільки за підозрілими), так і відносно подій.
Характерна особливість протоколювання і аудиту - залежність від інших засобів безпеки. Ідентифікація і аутентифікація служать відправною крапкою підзвітності користувачів, логічне управління доступом захищає конфіденційність і цілісність реєстраційної інформації. Можливо, для захисту притягуються і криптографічні методи.
Повертаючись до цілей протоколювання і аудиту, відзначимо, що забезпечення підзвітності важливе в першу чергу як стримуюче засіб. Якщо користувачі і адміністратори знають, що всі їх дії фіксуються, вони, можливо, утримаються від незаконних операцій. Очевидно, якщо є підстави підозрювати якого-небудь користувача в нечесності, можна реєструвати всі його дії, аж до кожного натиснення клавіші. При цьому забезпечується не тільки можливість розслідування випадків порушення режиму безпеки, але і відкіт некоректних змін (якщо в протоколі присутні дані до і після модифікації). Тим самим захищається цілісність інформації.
Реконструкція послідовності подій дозволяє виявити слабкості в захисті сервісів, знайти винуватця вторгнення, оцінити масштаби заподіяного збитку і повернутися до нормальної роботи.
Виявлення спроб порушень інформаційної безпеки - функція активного аудиту, про який піде мова в наступному розділі. Звичайний аудит дозволяє виявити подібні спроби із запізненням, але і це виявляється корисним. Свого часу піймання німецьких хакерів, що діяли за замовленням КДБ, почалося з виявлення підозрілої розбіжності в декілька центів в щоденному звіті крупного обчислювального центру.
Виявлення і аналіз проблем можуть допомогти поліпшити такий параметр безпеки, як доступність. Знайшовши вузькі місця, можна спробувати переконфігурувати або перенастроювати систему, знову зміряти продуктивність і т.д.
непросто здійснити організацію злагодженого протоколювання і аудиту в розподіленій різнорідній системі. По-перше, деякі компоненти, важливі для безпеки (наприклад, маршрутизатори), можуть не володіти своїми ресурсами протоколювання; у такому разі їх потрібно екранувати іншими сервісами, які візьмуть протоколювання на себе. По-друге, необхідно пов’язувати між собою події в різних сервісах.
2 Активний аудит
2.1 Основні поняття
Під підозрілою активністю розуміється поведінка користувача або компоненту інформаційної системи, що є зловмисним (відповідно до наперед певної політики безпеки) або нетиповим (згідно прийнятим критеріям).
Задача активного аудиту - оперативно виявляти підозрілу активність і надавати засоби для автоматичного реагування на неї.
Активність, не відповідну політиці безпеки, доцільно розділити на атаки, направлені на незаконне отримання повноважень, і на дії, виконувані в рамках наявних повноважень, але порушуючі політику безпеки.
Атаки порушують будь-яку осмислену політику безпеки. Іншими словами, активність атакуючого є руйнівною незалежно від політики. Отже, для опису і виявлення атак можна застосовувати універсальні методи, інваріантні щодо політики безпеки, такі як сигнатури і їх виявлення у вхідному потоці подій за допомогою апарату експертних систем.
Сигнатура атаки - це сукупність умов, при виконанні яких атака вважається тією, що має місце, що викликає наперед певну реакцію. Найпростіший приклад сигнатури - "зафіксовано три послідовні невдалі спроби входу в систему з одного терміналу", приклад асоційованої реакції - блокування терміналу до прояснення ситуації.
Дії, виконувані в рамках наявних повноважень, але порушуючі політику безпеки, ми називатимемо зловживанням повноваженнями. Зловживання повноваженнями можливі через неадекватність засобів розмежування доступу вибраній політиці безпеки. Найпростішим прикладом зловживань є неетична поведінка суперкористувача, що проглядає особисті файли інших користувачів. Аналізуючи реєстраційну інформацію, можна знайти подібні події і повідомити про них адміністратора безпеки, хоча для цього необхідні відповідні засоби виразу політики безпеки.
Виділення зловживань повноваженнями в окрему групу неправомірних дій, що виявляються засобами активного аудиту, не є загальноприйнятим, проте, на наш погляд, подібний підхід має право на існування і ми будемо його дотримуватися, хоча найрадикальнішим рішенням був би розвиток засобів розмежування доступу (див. "Можливий підхід до управління доступом в розподіленому об’єктному середовищі").
нетипова поведінка виявляється статистичними методами. В найпростішому випадку застосовують систему порогів, перевищення яких є підозрілим. (Втім, "пороговий" метод можна потрактувати і як вироджений випадок сигнатури атаки, і як тривіальний спосіб виразу політики безпеки.) В більш розвинених системах проводиться зіставлення довготривалих характеристик роботи (званих довгостроковим профілем) з короткостроковими профілями. (Тут можна угледіти аналогію біометричної аутентифікації по поведінкових характеристиках.)
Стосовно засобів активного аудиту розрізняють помилки першого і другого роду: пропуск атак і помилкові тривоги, відповідно. небажаність помилок першого роду очевидна; помилки другого роду не менше неприємні, оскільки відволікають адміністратора безпеки від дійсно важливих справ, побічно сприяючи пропуску атак.
Достоїнства сигнатурного методу - висока продуктивність, мале число помилок другого роду, обгрунтованість рішень. Основний недолік - невміння знаходити невідомі атаки і варіації відомих атак.
Основні достоїнства статистичного підходу - універсальність і обгрунтованість рішень, потенційна здатність знаходити невідомі атаки, тобто мінімізація числа помилок першого роду. Мінуси полягають у відносно високій частці помилок другого роду, поганій роботі у разі, коли неправомірна поведінка є типовою, коли типова поведінка плавно міняється від легального до неправомірного, а також у випадках, коли типової поведінки немає (як показує статистика, таких користувачів зразкове 5-10%).
Засоби активного аудиту можуть розташовуватися на всіх лініях оборони інформаційної системи. На межі контрольованої зони вони можуть знаходити підозрілу активність в точках підключення до зовнішніх мереж (не тільки спроби нелегального проникнення, але і дії по тому, що "промацує" сервісів безпеки). В корпоративній мережі, в рамках інформаційних сервісів і сервісів безпеки, активний аудит в змозі знайти і присікти підозрілу активність зовнішніх і внутрішніх користувачів, виявити проблеми в роботі сервісів, викликані як порушеннями безпеки, так і апаратно-програмними помилками. Важливо відзначити, що активний аудит, у принципі, здатний забезпечити захист від атак на доступність.
На жаль, формулювання "у принципі, здатний забезпечити захист" не випадкова. Активний аудит розвивається більше десяти років, і перші результати здавалися вельми багатообіцяючими. Досить швидко вдалося реалізувати розпізнавання простих типових атак, проте потім була виявлена безліч проблем, пов’язаних з виявленням наперед невідомих атак, атак розподілених, розтягнутих в часі і т.п. Було б наївно чекати повного рішення подібних проблем найближчим часом. (Оперативне поповнення бази сигнатур атак таким рішенням, звичайно, не є.) Проте, і на нинішній стадії розвитку активний аудит корисний як один з рубежів (вірніше, як набір прошарків) ешелонованої оборони.
