Ваших системных файлов и данных
Точная и надежная фиксация информации о компонентах информационной системы и данных с момента их создания или появления до времени их уничтожения является залогом успешного обнаружения нарушений безопасности. Это позволит сравнивать эталонную информацию с текущим состоянием и своевременно обнаруживать все несанкционированные изменения. Фиксируются все ресурсы — данные (пользователей и системные), системы (аппаратное и программное обеспечение), сети (аппаратное и программное обеспечение), рабочие станции (аппаратное и программное обеспечение), приложения и операционные системы.
Подходы к обнаружению атак обычно основаны на определении различий между текущим состоянием контролируемого объекта и предварительно зафиксированным, ожидаемым состоянием. Персоналу защиты необходимо всегда знать, где и какой ресурс находится, а также статус и содержимое этого ресурса. Без такой информации нельзя адекватно определить, было ли что-нибудь добавлено, изменено, нарушено и т. д. Особенно это критично для многих российских компаний, в которых всегда присутствуют "продвинутые" сотрудники, которые, считая себя компетентными во всем, самостоятельно реконфигурируют свои рабочие станции и серверы, не ставя в известность IT-персонал. Хорошо еще, если это рядовой служащий, который не может ничего "исправить" за пределами своего компьютера. А если это администратор, который на собственный страх и риск изменяет конфигурацию своего сегмента сети?
Однако стоит сразу заметить, что данным этапом обычно пренебрегают во многих организациях. Это связано с тем, что процесс фиксации необходимого объема информации о компонентах информационной системы — достаточно долгий и рутинный процесс, который требует не только материальной поддержки. Зачастую у специалистов отделов защиты информации нет соответствующей подготовки для получения такой информации. Мало того, они не имеют доступа к оборудованию, функционирующему в сети. Поэтому приходится идти на компромисс со специалистами управлений телекоммуникаций, информатизации и т.д. Только совместная работа позволит собрать всю нужную информацию. Как показывает российская практика, карта сети создается (если вообще создается) исключительно на этапе проектирования информационной системы. Затем эта карта уже не поддерживается в актуальном состоянии и не может служить основой для контроля обнаружения несанкционированных изменений. Кроме того, нередко данная карта и связанная информация находятся только в управлениях информатизации и являются недоступными для отделов защиты, что существенно снижает эффективность работы последних.
Карта сети
Если это еще не сделано, то необходимо провести инвентаризацию всего аппаратного и программного обеспечения корпоративной сети. Вся информация должна быть сохранена в базе данных, в которой можно легко осуществлять сравнение первичной описи со всеми последующими. Следует обеспечить своевременную модификацию сделанного списка в случае санкционированной замены, удаления иди добавления нового оборудования икомплектующих.
В опись всей сетевой архитектуры надо внести следующую информацию:
q топологию всех оконечных устройств (активного сетевого оборудовали серверов и рабочих станций) с указанием их адресов (например, IP-MAC);
q таблицу маршрутизации (информационные потоки между устройствами);
q описание используемых VLAN и принципов их построения (по портам, адресам, протоколам, меткам и т. д.);
q сведения о конфигурации сетей и устройств (с обязательным указанием списков контроля доступа и иных настроек, влияющих на защищенность);
q признаки принадлежности портов коммуникационного оборудования различным сетевым сегментам;
q используемые протоколы, характеристики трафика (например, пиковые, минимальные и средние значения сетевой нагрузки) и значение пропускной способности;
q указания на физическое размещение всех сетевых устройств, рабочих станций и серверов с обозначением номеров этажей и комнат;
q данные о сетях открытого доступа, по которым передается ваша информация или к которым подключена корпоративная сеть.
Опись сетевой архитектуры является основой карты сети. Дополнительно карта сети может содержать:
q перечень установленного программного обеспечения на оконечных устройствах;
q список пользователей и прав их доступа;
q указание на принадлежность сетевых сегментов подразделениям организации и описание возложенных на эти сегменты функциональных задач.
Карта сети (network map) — это не просто один документ, хранящий всю необходимую информацию. Скорее — это атлас, известный всем по школе. Такой атлас включает различные карты, описывающие одну и ту же территорию с разных позиций (политической, физической, экономической и т.д.). Также и карта сети — описывает различные аспекты функционирования корпоративной сети. Без подобного "атласа" можно оказаться в ситуации, хорошо знакомой по русским сказкам: "Пойди туда, не знаю куда, принеси то, не знаю что" [Колосков 1-00].
Для построения сетевой составляющей этой карты можно (и нужно) использовать различные системы сетевого управления (HP OpenView, SPECTRUM, Visio и т. п.). Такого рода инструменты включают в себя функцию AutoDiscovery, которая позволяет автоматически поддерживать актуальность сетевой карты и отслеживать все несанкционированные изменения в сетевой конфигурации. Также будут полезны и сканеры безопасности, помогающие определить:
q сетевые сервисы;
q заголовки отвечающих сервисов;
q типы и версии ОС;
q разделяемые ресурсы NetBIOS (NetBIOS Share);
q общие параметры политики безопасности [Информзащита 1-00].
Все устройства, обнаруженные в корпоративной сети, должны быть сгруппированы по различным признакам. К таким признакам могут быть отнесены:
q логическая принадлежность узла подразделению организации (например, все узлы финансового департамента или отдела кадров);
q физическая принадлежность узла сегменту сети;
q подверженность атакам высокой, средней и низкой степени риска (например, узел, находящийся в демилитаризованной зоне, или внешний маршрутизатор могут быть характеризованы высокой степенью риска, сервер подразделения — средней, а рабочая станция — низкой);
q степень значимости устройства (высокая, средняя и низкая) в зависимости от задач, им решаемых (например, сервер банковской расчетной системы или маршрутизатор могут быть отнесены к высокой степени значимости, файловый сервер, решающий вспомогательные задачи организации, — к средней и рабочая станция — к низкой).
Для составления описи аппаратного и программного обеспечения также можно использовать автоматизированные средства. Для рабочих станций и серверов под управлением Windows 9x, NT и 2000 эти механизмы уже встроены в операционную систему. Аналогичные программы имеются и для Unix. Например, утилиты strobe (ftp://ftp.cerias.purdue.edu/pub/tools/unix/scanners/strobe/)и fremont (ftp://ftp. ceri-as.purdue.edu /pub/tools/unix/netuffls/fremont/)помогают определить, какие устройства соединены с вашей телефонной линией, системой и сетью. Кроме того, имеются и средства третьих фирм, имеющие более широкую функциональность. Примером такого продукта можно считать LAN Auditor (http://www.lanaudi-tor.cora/).Аналогичный механизм, позволяющий контролировать установленное программное и аппаратное обеспечение, заложен в технологию управления информационной безопасности "Беркут", разработанную в НИП "Информзащита".