Аудит безопасности ИТ-инфраструктуры предприятия: стратегия тестирования и основные моменты

Компании всерьез заинтересованные в обеспечении собственной информационной безопасности для формирования правильной стратегии в отношении управления рисками и уязвимостями ИБ ставят своей первоочередной задачей проведение Аудита (оценки) внутренней ИТ-инфраструктуры. Существует достаточное количество методик и международных стандартов детально описывающих и регламентирующих эту процедуру. Но не смотря на это в каждом отдельном случае в зависимости от заказчика, экспертной группы, сроков, подзадач проведения аудита возможны его вариации. Сегодня в публикации мы касаемся только технической стороны вопроса, акцентируемся на основных этапах и ключевых моментах.

Защищенность является одним из важнейших показателей эффективности функционирования ИС, наряду с такими показателями как надежность, отказоустойчивость, производительность и т. п. Под защищенностью ИС обычно понимается степень адекватности реализованных в ней механизмов защиты информации существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности, нарушающих такие свойства информации, как конфиденциальность, целостность и доступность.

Типовая методика включает использование следующих методов:

• Изучение исходных данных по ИС
• Оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов ИС
• Анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности существующим рискам
• Ручной анализ конфигурационных файлов маршрутизаторов, МЭ и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры
• Сканирование внешних сетевых адресов ЛВС из сети Интернет
• Сканирование ресурсов ЛВС изнутри
• Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных агентов

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты. 

• Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты. 

• Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную, либо с использованием специализированных программных средств.

Последовательность мероприятий по анализу защищенности

Анализ защищенности ИС в общем случае включает в себя следующие этапы работы:

1. Инициирование и планирование
   1. Определение области и границ аудита
   2. Формирование общего описания объекта аудита
   3. Планирование мероприятий по анализу защищенности
   4. Подготовка опросных листов
   5. Выбор и настройка инструментальных средств
2. Обследование, документирование и сбор информации
   1. Инвентаризация ИТ-активов (информации, программного обеспечения, оборудования, персонала, помещений)
   2. Описание бизнес процессов и их зависимости от ИТ-активов
   3. Описание структуры корпоративной сети, комплекса программно-технический средств и средств защиты информации
   4. Идентификация угроз информационной безопасности, формирование модели угроз
3. Анализ полученных данных и уязвимостей
   1. Оценка эффективности, надежности и полноты существующих механизмов контроля информационной безопасности
   2. Идентификация и анализ организационных уязвимостей информационной безопасности:
   3. Сбор и анализ документации по информационной безопасности, процессов и процедур обеспечения информационной безопасности
   4. Интервьюирование специалистов Заказчика
   5. Сканирование внешнего периметра корпоративной сети
   6. Сканирование и анализ защищенности внутренней ИТ-инфраструктуры и бизнес-приложений
4. Выработка рекомендаций
   1. Рекомендации по устранению организационных уязвимостей
   2. Рекомендации по устранению уязвимостей внешнего периметра сети
   3. Рекомендации по устранению уязвимостей внутренней ИТ-инфраструктуры
5. Подготовка отчетных документов

Структура отчета по результатам анализа защищенности

Отчет по результатам анализа защищенности ИС включает в себя следующие разделы:

1. Введение
2. Общие описание объекта обследования
   1. Назначение и основные функции системы
   2. Группы задач, решаемых в системе
   3. Классификация пользователей системы
   4. Организационная структура обслуживающего персонала
3. Структура и состав комплекса программно-технических средств
   1. ЛВС
   2. Серверы
   3. Рабочие станции
   4. Линии связи и активное сетевое оборудование
   5. Виды информационных ресурсов, хранимых и обрабатываемых в системе
   6. Характеристика каналов взаимодействия с другими системами и точек входа
4. Результаты анализа организационных уязвимостей
5. Результаты анализа защищенности внешнего периметра сети
   1. Сканирование портов
   2. Идентификация сетевых сервисов
   3. Анализ сетевых сервисов
   4. Взлом паролей HTTP, POP3 и прочих сетевых сервисов
   5. Анализ конфигурации внешнего маршрутизатора, МЭ, активного сетевого оборудования и средств защиты периметра сети
   6. Анализ топологии ЛВС
6. Результаты анализа защищенности внутренней ИТ-инфраструктуры
   1. Анализ защищенности серверов и рабочих станций
   2. Углубленный анализ параметров защищенности операционных систем
   3. Внутреннее сканирование ЛВС
7. Рекомендации по устранению обнаруженных недостатков и повышению уровня защищенности
   1. Рекомендации по устранению организационных уязвимостей
   2. Рекомендации по устранению уязвимостей внешнего периметра сети
   3. Рекомендации по устранению уязвимостей внутренней ИТ-инфраструктуры
8. Выводы
9. Приложения
   1. Заполненные опросные листы
   2. Отчеты сетевых сканеров безопасности
   3. Отчеты хостовых средств анализа защищенности

Тестирование системы защиты по методу «черного» и «белого» ящика

Тестирование системы защиты ИС проводится с целью проверки эффективности используемых в ней механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите. Традиционно используются два основных метода тестирования:

• тестирование по методу «черного ящика»
• тестирование по методу «белого ящика»

Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования имитируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей.

Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяется наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рисками. Выводы о наличие уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике. Основным инструментом анализа в данном случае являются программные агенты средств анализа защищенности системного уровня, рассматриваемые ниже.

Анализ защищенности внешнего периметра корпоративной сети

Целью аудита внешнего периметра корпоративной сети является оценка уровня защищенности ИС организации от атак со стороны сети Интернет, оценка степени критичности выявленных уязвимостей и возможностей по осуществлению атак, а также выработка рекомендаций по ликвидации обнаруженных уязвимостей.

Анализ производится путем эмуляции действий потенциального злоумышленника по проникновению в корпоративную сеть (Penetration test) с целью нарушения ее функционирования, внедрения вредоносного ПО, кражи конфиденциальной информации и выполнения других деструктивных действий. Производится также анализ конфигурации средств защиты периметра сети.

При выполнении проверок используется богатый арсенал современных инструментальных средств сетевого сканирования, специализированные средства анализа веб сайтов и сетевых приложений, программы, реализующие конкретные методы взлома (exploits), средства подбора паролей, а также ручные проверки. Используемые источники информации, включающие в себя 

• SANS Top20, 
• CVE, 
• CERT, 
• BugTraq, 
• Microsoft Bulletins, 
• CIS Security Benchmarks 

и др., позволяют гарантировать надежную идентификацию всех известных уязвимостей.

Проверочные мероприятия включают в себя:

• Проверка на возможность проникновения в локальную сеть компании, похищения и порчи данных
• Обследование доступных из Интернет сетевых сервисов (в том числе электронной почты, сервисов мгновенных сообщений, p2p и др.)
• Проверка межсетевых экранов на начилие уязвимостей
• Обследование Web и Почтового серверов

В случае обнаружения уязвимостей, предоставляются документальные свидетельства возможности компрометации, искажения, уничтожения критичной информации в предоставленных для исследования Интернет-ресурсах.

Сканирование включает более 1000 тестов для ОС UNIX, Windows и активного сетевого оборудования. Некоторые тесты называются "сбор информации" и проводятся для того, чтобы показать, что постороннее лицо может узнать об исследуемом компьютере. Остальные тесты проверяют уязвимость систем, путем сканирования на наличие известных "дыр". Каждый компьютер сканируется на наличие открытых портов и запущенных сервисов. Сканирование не наносит вреда, так как "разрушительные" действия не предпринимаются. Риск минимизируется, избегается перегрузка сети или превышение максимума пропускной способности.

При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты, определяемые их конфигурацией:

• настройка правил разграничения доступа (правил фильрации сетевых пакетов) на МЭ и маршрутизаторах
• используемые схемы и настройка параметров аутентификации
• настройка параметров системы регистрации событий
• использование механизмов, обеспечивающих сокрытие топологии защищаемой сети, включающих в себя трансляцию сетевых адресов (NAT), маскарадинг и использование системы split DNS
• настройка механизмов оповещения об атаках и реагирования
• наличие и работоспособность средств контроля целостности
• версии используемого ПО и наличие установленных пакетов программных коррекций

Отчет по результатам работы содержит общую оценку уровня защищенности корпоративной сети от внешних сетевых атак, подробное описание обнаруженных уязвимостей по каждому IP-адресу, а также рекомендации по ликвидации уязвимостей и совершенствованию защиты.

Анализ защищенности внутренней ИТ-инфраструктуры

Целью анализа защищенности внутренней ИТ-инфраструктуры является выявление уязвимостей корпоративной сети, делающих возможным реализацию сетевых атак на информационные ресурсы и ИТ инфраструктуру Заказчика со стороны внутренних злоумышленников, оценка степени критичности выявленных уязвимостей и возможностей по осуществлению атак, а также выработка рекомендаций по ликвидации обнаруженных уязвимостей.

Анализ защищенности внутренних сетевых хостов, в отличие от анализа защищенности внешнего сетевого периметра, включает в себя помимо внешних, также и внутренние проверки хостов и установленных на них приложений.

Внутренние проверки включают в себя анализ конфигурации операционных систем и приложений по спискам проверки на соответствие техническим стандартам и рекомендациям производителей, аудит паролей и прочие проверки, определяемые спецификой конкретных систем.

Анализ защищенности внутренней ИТ-инфраструктуры организации предполагает проведение полного комплекса мероприятий по техническому аудиту, включая:

• Анализ конфигурационных файлов маршрутизаторов, МЭ, почтовых серверов, DNS серверов и других критичных элементов сетевой инфраструктуры
• Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств и списков проверки
• Сканирование хостов, входящих в состав ЛВС

При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты, определяемые их конфигурацией:

• Настройка правил разграничения доступа (правил фильтрации сетевых пакетов) на МЭ и маршрутизаторах
• Используемые схемы и настройка параметров аутентификации
• Настройка параметров системы регистрации событий
• Использование механизмов, обеспечивающих сокрытие топологии защищаемой сети, включающих в себя трансляцию сетевых адресов (NAT), "маскарадинг" и использование системы split DNS
• Настройка механизмов оповещения об атаках и реагирования
• Наличие и работоспособность средств контроля целостности
• Версии используемого ПО и наличие установленных пакетов программных коррекций

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты, реализуемых при помощи богатого арсенала средств анализа защищенности, включающего в себя: сетевые сканеры, анализаторы параметров защиты, взломщики паролей и специализированные программные агенты.

Инструментальные средства анализа защищенности

Для анализа защищенности ИС используется множество инструментальных средств, в числе которых:

• Сетевые сканеры безопасности: Nessus, OpenVAS, XSpider, Lumension Security Vulnerability Scanner, Retina Network Security Scanner, metasploit, nexpose, backtrack, MBSA, Kali-Linux, Burp Suite, OWASP dirbuster, ProxyStrike
• Хостовые средства анализа параметров защиты: Security Benchmarks, CIS Scoring Tools, CIS Router Audit Toolkit, Windows Security Templates, Security Analysis Tool
• Сетевые взломщики паролей Brutus, Hydra, LC5
• Стандартные сетевые утилиты: как host, showmount, traceout, rusers, finger, ping
• Средства инвентаризации и сканеры ресурсов сети: LanScope, nmap
• Сетевые снифферы и анализаторы протоколов: tcpdump, wireshark

Для того, чтобы не упустить из виду каких-либо актуальных уязвимостей, используются известные методики (OSSTMM, OWASP Testing Guide) и актуальные перечни уязвимостей (OWASP top-10, SANS top-20, CVE).

Методы предотвращения сетевых атак на периметр сети

Лучшими методами для предотвращения рисков сетевых атак на периметр сети являются:

• Конфигурирование систем, начиная с первого дня, для поддержания наиболее защищенного состояния, которое может позволить ваша бизнес функциональность,  и  использование автоматизированных средств для предотвращения инcталляции/деинcталляции  программного обеспечения пользователями.
• Использование автоматизированных средств для поддержания защищенной конфигурации систем и установки программных коррекций (включая обновление антивирусного программного обеспечения).
• Использование прокси-серверов на периметре вашей сети, конфигурируя все сетевые сервисы (HTTP, HTTPS, FTP, DNS, и т.д.) так, чтобы они проходили через прокси в ходе  получения доступа к Интернет.
• Защита чувствительных данных посредством шифрования, классификация информации, отображаемая на матрицу управления доступом и применение автоматизированных средств предотвращения утечки информации.
• Использование автоматизированных средств повышения осведомленности и применение санкций к тем, кто не соблюдает допустимую политику использования средств обработки информации.
• Выполнение надлежащей сегментации демилитаризованной зоны (DMZ) при помощи межсетевых экранов.
• Устранение недостатков безопасности в веб-приложениях, посредством проверки знаний программистов в области безопасности и поиска дефектов программного обеспечения.