Файл: Защита сетевой инфраструктуры предприятия (Угрозы безопасности сетевой инфраструктуры организации).pdf

1.3 Угрозы безопасности сетевой инфраструктуры организации

Графический интерфейс модуля представлен двумя формами: главной и вспомогательной диалоговой, применяемой при добавлении новых переменных и термов. Визуальные компоненты главной формы распределены по трем закладкам: «Функции принадлежности», «Правила» и «Отладка» таким образом, чтобы обеспечить пользователю последовательность разработки и удобство в эксплуатации. Первая содержит дерево БД, хранящее указатели на объекты ТУапаЫе и ТЕину-БгХ, поля редактирования характеристик функций принадлежности, а также диаграмму, отображающую ансамбль термов для одной лингвистической переменной. Вторая - окна для ввода правил и отображения возникших во время трансляции ошибок, а также кнопку ее запуска. В последней закладке располагаются динамически создаваемые

диаграммы по количеству выходных переменных, панель управления процессом отладки и список правил отлаживаемой базы. Каждая закладка соответствует своему этапу проектирования модели. Перемещаясь между ними, пользователь может оперативно просматривать и менять настройки лингвистических переменных, термов, увеличивать или уменьшать число правил. Изменяя значения входных величин при помощи панели управления процессом отладки, можно исследовать веса каждого из правил в пошаговом режиме, а также определять четкие значения выходных переменных. Все операции отладки визуализированы. [12]

Информационные технологии широко применяются на предприятиях различных отраслей экономики, требуя грамотного подхода к построению систем корпоративной защиты.

Все организации стремятся избежать нарушений и перебоев в работе программного обеспечения (ПО) внутреннего пользования и сервисов, предоставляемых клиентам, полного либо частичного повреждения, перехвата сторонним лицом управления какими-либо сервисами системы.

Нарушения и перебои в работе периодически происходят практически в любой организации. Причины самые разные - от физического отказа оборудования до выключения электричества. В данном контексте можно выделить две проблемы безопасности: DoS-атаки и действие вирусов. DoS (denial of service - отказ в обслуживании) - попытка грубо вывести из строя какую-либо станцию. Как правило, неудобства длятся до прекра-

щения атаки, так как фактически атакующая станция испытывает такую же нагрузку, как и атакуемая. Поэтому для атаки выгодно задействовать несколько компьютеров, тогда к аббревиатуре добавляется буква Б (Disributed - распределенная) -ББо8-атака.

Борьба с попытками нарушить работу обычно сводится к блокировке 1Р-адресов (отдельных или диапазона). От того, насколько оперативно это будет сделано, зависит размер ущерба организации.

Компьютерные вирусы, как правило, угрожают рабочим станциям внутри корпоративной сети, так как запуск неверифицированного ПО на серверах блокируют политиками безопасности. В связи с этим документы дублируют, а резервные копии хранят на сервере, который, помимо большей защищенности от вирусов, обладает и ЯАГО-массивом, исключающим порчу информации в результате физических сбоев. [15]

Угрозы полного либо частичного повреждения (несанкционированной модификации информации) рассматриваются в контексте несанкционированного доступа именно к серверным станциям. Он происходит в результате использования ошибок администрирования, а также ошибок в программном коде. Языки программирования высокого (а тем более низкого) уровня иногда допускают различные варианты обработки данных, полученных от пользователей. Сосредоточившись на реализации основного функционала, разработчик не всегда может предусмотреть все варианты и сочетания поступающих данных. В результате за счет разнообразных переполнений, перезаписи областей памяти, а также подстановки в переменные своего кода (так называемых инъекций) злоумышленник может заставить машину работать не так, как было запланировано.

Причем, если в прошлом для таких действий была необходима квалификация, сейчас можно использовать готовые методы, оформленные в виде небольших вредоносных программ - эксплойтов. Частным случаем такой атаки является и упомянутый отказ в обслуживании, но гораздо страшнее, если произойдет перехват управления. В случае исполнения шелл-кода преступник или вредоносная программа получат доступ к командному интерпретатору; при успешной SQL-инъекции будет выполнен произвольный запрос к базе данных, перезаписан файл на диске и т.д. Таким образом, может быть повреждена или модифицирована информация. От этого, разумеется, помогает упомянутое резервное копирование (на сменные носители или на сетевые диски), но вред от простоя сервера гораздо больше, чем от простоя рабочей станции. Кроме того, зачастую с момента модификации информации (если говорить о веб-серверах, есть специальный термин deface - замена заглавной страницы какого-либо сайта) может пройти время, и факт взлома будет предан огласке.

В качестве превентивной меры, позволяющей избежать подобного, обычно используют автоматическое обновление операционной системы (ОС), прикладного ПО, а также аудит безопасности программного кода. Но если открытый программный код организация в принципе могла бы проверить на наличие ошибок силами своего IT-департамента с применением соответствующего инструментария, с закрытым программным кодом сделать ничего нельзя. [7]

Перехват управления сервисами системы -наиболее серьезная угроза. Если преступник или его вредоносная программа получат полноценный доступ к функциям сетевой инфраструктуры предприятия, последствия могут быть катастрофическими, поскольку в состав упомянутых функций вполне может входить, например, управление денежными средствами организации через интернет-банкинг.

Рассматривая ситуацию в сфере информационной безопасности, выделим основные тенденции.

Наблюдается повышение квалификации злоумышленников, объединение их в группы, усложнение методик работы.

По нанесенному ущербу лидируют операции с поддельными кредитными картами, где сумма ущерба составляет несколько миллиардов долларов в год.

Злоумышленники-«кардеры» (от англ. card -карта) работают по нехитрой схеме: получают данные по кредитным картам, используют заказы в онлайн-магазинах, пересылают товары через подставных лиц, продают товары.

Что касается несанкционированного доступа к корпоративным серверам (если целью не являются данные), такие действия производятся для получения площадок под рассылку спама, для сканирования подсетей, использования вычислительных ресурсов для распределенной дешифровки хэшей паролей и других ресурсоемких операций.

Взлом рабочей станции принципиально отличается от взлома сервера, поскольку рабочая станция обычно не предоставляет внешние сервисы и не имеет соответствующих открытых портов, к которым можно было бы подсоединиться. [4]

Тем не менее, в некоторые моменты существует угроза взлома, например, с помощью инструментов для взлома простых рабочих станций -«троянских коней». Несмотря на то, что такая программа вполне может быть и вирусом, распространяя саму себя на другие машины, основное ее предназначение - несанкционированное и обычно скрытое выполнение тех или иных функций, заданных ее владельцем [1].

Если раньше для заражения машины «троянцем» пользователю с установленным файерволом предлагалось открыть исполняемый файл, то теперь это практически может быть что угодно -музыка, фильмы и даже простые картинки. Существуют алгоритмы сжатия и распаковки, эффективно работающие на исходных данных конкретного типа - gif, jpg, avi. Реализация алгоритмов извлечения данных из упакованного фрагмента может содержать уязвимости наряду с остальным ПО, но, как правило, эти алгоритмы выполняются в автоматическом режиме, не требуя подтверждения. В самом деле, заходя на какой-либо сайт, веб-браузер загружает с сервера html-код, находит в нем ссылки на графику, загружает и ее, распаковывает и выводит на экран - все по одному щелчку.

До настоящего времени мы не могли и предположить, что даже в таких операциях может таиться опасность, а тем не менее, она была - в какой-то момент исследователи нашли ошибку в упомянутых алгоритмах сжатия, и появилась возможность выполнять код на удаленной маши-

не, передав специальным образом сформированный графический файл. То есть под угрозой оказались фундаментальные технологии разработки ПО.

Имея потребность в большом количестве подконтрольных станций для DDoS-атак, специализирующиеся на этом преступники вынуждены создавать инструментарий для захвата и стабильного удержания контроля над системами. Если раньше речь шла о кустарных утилитах (многие «троянцы» имели в своем составе шуточные функции - открытие лотка CD-привода, проигрывание звукового файла, перехват устройств управления), теперь разработаны специальные методы глобального управления зараженными станциями без прямого соединения, а значит, и без возможности отследить хозяина - через e-mail, сети icq, irc и т.д. Некоторые «троянцы» имеют функции «червей», что усложняет защиту.

Таким образом, выделяем следующие специализации сетевых преступников: исследование и реверс-инжениринг кода ПО, создание эксплой-тов; создание «червей», «троянцев», перенос в них боевого кода эксплоитов; рассылка спама с «червями», создание сайтов с вредоносным кодом; прием заказов на DDoS-атаки, их непосредственное исполнение через зараженные «троянцами» машины.

То есть произошло смещение от индивидуального взлома к достаточно массовому автоматизированному взлому, когда рутинная работа выполняется машиной; наметилась очень опасная тенденция развития второстепенного функционала вредоносного ПО.

Опасность в том, что такие «черви/троянцы» не только наносят вред пользователям онлайновых платежных систем, но в перспективе угрожают и пользователям программ класса «банк-клиент» [2].

Ни для кого не секрет, что защита подобных систем путем программного шифрования канала связи является не совсем надежной.

Банкам необходимо переходить от чисто программной защиты к шифрованию на стороне ап-

паратного ключа защиты по криптостойким алгоритмам [3].

В качестве некоторых мер предосторожности необходимо следующее:

- не использовать машину с программой «банк-клиент» для других целей, то есть должны быть закрыты все лишние порты, установлены самые свежие доработки от производителей ПО, и в то же время все лишнее ПО должно отсутствовать;

- использовать только системы, где защита выполнена аппаратно;

- не использовать разнообразные скрин-сейверы сторонних производителей, так как подобные программы - тот же исполняемый код;

- необходимо отключить автозапуск при подключении сменных носителей, а в сам «клиент-банк» данные передавать через наиболее простой формат (например fxf-файлы), априори исключающий исполнение вредоносного кода;

- не держать аппаратный ключ подключенным дольше, чем это требуется при передаче.

Компаниям, заинтересованным в высоком уровне безопасности, необходимо пользоваться ОС с открытым исходным кодом, прошедшим внешний аудит (для серверов это разнообразные дистрибутивы *BSD - FreeBSD, OpenBSD, NetBSD, для рабочих станций - любой из дистрибутивов Linux в комплекте с графической оболочкой по выбору KDE, Gnome и т.д.). Есть потребность в создании отечественной ОС с открытым исходным кодом, пусть даже на основе какой-либо из уже существующих. Эта мера позволила бы получить уверенность в сохранении секретности данных и обрести независимость от иностранных поставщиков системного ПО.

ГЛАВА 2. ОБЩИЕ ПОДХОДЫ И ТЕХНОЛОГИИ ДЛЯ ПОСТРОЕНИЯ БЕЗОПАСНОЙ СЕТИ

2.1 Процесс построения безопасной сетевой инфраструктуры

Процесс построения безопасной сетевой инфраструктуры начинается с планирования. На этом этапе перечисляются сервисы, которые будут использоваться в сети, связанные с ними риски, определяются необходимые шаги и механизмы для снижения этих рисков. На основании данных, полученных на этапе планирования, разрабатывается соответствующий дизайн сетевой инфраструктуры и создается набор политик безопасности.

После этого идет этап непосредственного внедрения. Поскольку безопасность это не конечный результат, а процесс, внедрением и первоначальной настройкой какой-либо системы защиты ничего не заканчивается. Решения безопасности требуют постоянного «внимания»: отслеживания событий безопасности, их анализа и оптимизации соответствующих политик. [16]

От написания эффективных политик безопасности и их строгого соблюдения очень зависит работа всего комплекса защиты. Правильные политики должны быть зафиксированы документально, не иметь большого количества  исключений. На все оборудование должны регулярно устанавливаться обновления. Также большую угрозу для безопасности составляют простые пользовательские пароли, ошибки в конфигурации устройств, использование настроек по умолчанию, незащищенных протоколов и технологий.