Стратегия сканирования
Стратегия сканирования в немалой степени зависит от собранной информации, хранящейся в карте сети. Как уже упоминалось выше, на этапе создания карты сети все узлы группируются по различным признакам (физической, логической, функциональной, территориальной принадлежности; степени важности узла и его подверженности атакам и т. д.). Эти группы узлов, с одной стороны, должны быть в требуемой степени детализированы — во избежание излишних проверок, а с другой – должны включать достаточное количество устройств — чтобы минимизировать общее число необходимых испытаний и упростить обработку результатов. В каждой конкретной организации состав этих групп может варьироваться в зависимости от решаемых задач и принадлежности организации той или иной сфере деятельности. Например, в финансовых институтах в одну из групп можно выделить серверы расчетной системы, а в нефтегазовом комплексе – компоненты системы диспетчерского управления. В качестве типичных примеров я могу предложить использовать следующие варианты (сразу необходимо отметить, что некоторые узлы могут входить одновременно в несколько групп):
· все устройства организации, подключенные к сети. Данная группа включает в себя полный спектр применяемого в организации оборудования;
· маршрутизаторы и другое сетевое оборудование, расположенные по периметру;
· коммутаторы, концентраторы, мосты и прочее внутреннее сетевое оборудование;
· DMZ-устройства (DNS-, SMTP-, FTP-, Web-серверы и т. п.);
· межсетевые экраны и другие средства периметровой защиты (системы обнаружения атак, серверы аутентификации, серверы сертификатов и т. д.);
· средства защиты внутренней сети (серверы безопасности, серверы аутентификации, серверы генерации ключей, LDAP-серверы);
· рабочие станции и серверы, участвующие в ежедневных заботах организации, например, в документообороте;
· рабочие станции и серверы, используемые для решения критичных задач организации (серверы баз данных, серверы критичных приложений и рабочие станции операторов, компоненты системы диспетчерского управления, серверы расчетной системы, рабочие станции администраторов);
· внутренние Web-серверы, помогающие решать повседневные задачи организации (например, внутренний информационный сервер).
Далее нужно согласовать стратегию сканирования с руководством организации или другими ответственными сотрудниками, а также с администраторами сканируемых узлов. На этапе реализации стратегии сканирования необходимо:
· активно взаимодействовать с администраторами сканируемых узлов или сегментов сетей; доводить до них, а также до других заинтересованных сотрудников и руководителей организации результаты сканирования, что позволит держать их в курсе ситуации с защищенностью ресурсов, за которые они отвечают;
· согласовывать с руководством организации мероприятия по устранению выявленных уязвимостей.
На этапе повседневных операций, т. е. после проведения начального сканирования и после разработки и реализации стратегии сканирования следует:
· периодически проводить выборочную проверку заданных групп устройств на предмет выявления новых уязвимостей и устранения найденных в предыдущих сеансах;
· осуществлять распознавание новых устройств в сети и применять к ним перечисленные выше мероприятия, сформулированные в стратегии сканирования.
Тактика сканирования
Использование средств анализа защищенности, за исключением тестов "отказ в обслуживании" (да и то не всегда), практически не влияет на работоспособность устройств корпоративной сети. Однако при большом относительно длительности одного сеанса количестве тестов может наблюдаться значительное увеличение сетевого трафика, загрузки тестируемых устройств, размера системных журналов и другие явления. Если задействуемый во время сканирования шаблон не соответствует типу и/или конфигурации тестируемых устройств, то до 80% результатов не будут иметь содержательного смысла. Результативность применения сканера существенно повышается при проведении так называемого "выборочного сканирования", — ориентированного конкретные типы устройств корпоративной сети [Информзащита1-00]. С этих позиций, после разработки стратегии сканирования, которая заключается в разнесении устройств корпоративной сети по группам сканирования и определении приоритета каждой из них, целесообразно разработать схему применения стратегии — тактику. Определяющим фактором такт является цель сканирования той или иной группы устройств. Рекомендуемые проверки, в т. ч. с учетом вероятности наличия той или иной уязвимости, конфигурируются общепринятым образом для типичных корпоративных сетей. Если обнаружены специфические продукты или сервисы (как ОС NCR Unix или Compaq Tru64), то в шаблон необходимо внести соответствующие изменения.
Необходимо отметить, что сканирование одной и той же группы устройств может осуществляться с разными целями и, наоборот, сканирование различных групп устройств может преследовать единую цель, например, инвентаризацию всего оборудования или обнаружение скомпрометированных узлов (скажем, с помощью "троянских коней"). Конкретные мероприятия должны быть обозначены в плане сканирования. План сканирования может представлять собой таблицу, в столбцах которой перечислены группы "прослушивающих" устройств, а в строках — цели мероприятия. В ячейке таблицы при этом предполагается размещение информации об условиях сканирования или его периодичности (табл. 10.4).
Таблица 10.4. Пример плана сканирования Группы устройств
Цель | Группы устройств | ||||
Все устройства сети | Сервера расчетной системы | Сетевое оборудование | Серверы баз данных | Внешние Web- серверы | |
Инвентаризация и классификация | Еженедельно | ||||
Сетевые проверки | Ежемесячно | ||||
Среднее число проверок | Ежемесячно | Ежеквартально | Ежемесячно | ||
Максимум проверок | Ежеквартально | При вводе в эксплуатацию | |||
Web-проверки | Ежемесячно | ||||
Отказ в обслуживании | Ежеквартально | ||||
Сканирование портов (1-65535) | Ежемесячно | Еженедельно | Еженедельно | Ежеквартально |
Периодичность сканирования того или иного типа определяется значимостью устройств, входящих в группу, частотой изменения их конфигурации, объемом свободных ресурсов корпоративной сети и т. д. Рекомендуемые направления сканирования и соответствующие временные интервалы указаны ниже.
· Абсолютно все устройства корпоративной сети или отдельного ее сегмента с целью инвентаризации и классификации – еженедельно. Процесс позволяет обнаружить новые узлы в сети, а также идентифицировать изменения в уже существующих узлах.
· Все узлы корпоративной сети на предмет обнаружения их компрометации или результата воздействия удаленных атак — ежедневно. При этом не рекомендуется выполнять проверку (в т. ч. и удаленных устройств) с одной консоли системы анализа защищенности, установленной в центре. Это нецелесообразно в силу значительных временных затрат и возможной загрузки сетевого трафика. Кроме того, ее трудно осуществить, если разница во времени между сканируемыми и сканирующим узлами составляет 8-9 часов. Неуместно ожидать, что некоторые объекты контроля во Владивостоке будут функционировать в то время, как в Москве будет 12 часов дня.
· Важные устройства сети на выявление результата воздействия внутренних атак или изменения конфигурации сканируемых узлов — еженедельно или ежемесячно.
· Критичные узлы сети для контроля их доступности — ежедневно или ежечасно.
· Элементы активного сетевого оборудования — ежеквартально или при замене программного и/или аппаратного обеспечения, изменении конфигурации.
· DMZ-устройства — еженедельно или при изменении конфигурации.
· Периметровые средства защиты — еженедельно или ежедневно, а также при изменении конфигурации.
· Наиболее критичные серверы, в отдельных случаях — рабочие станции. Исключительно выборочное сканирование с целью определения возможности атак, направленных на реакцию типа "отказ в обслуживании". Осуществляется при вводе данного оборудования в штатную эксплуатацию, замене ОС, существенном изменении конфигурации, а также при выполнении тестовых работ.
Для средств анализа защищенности, функционирующих на уровне конкретного узла, используются те же принципы, что и для систем, работающих более низком уровне, но с учетом специфики обнаруживаемых уязвимостей.