Директор-Инфо №24'2003
Директор-Инфо №24'2003
Поиск в архиве изданий
Разделы
О нас
Свежий номер
Наша аудитория
Реклама в журнале
Архив
Предложить тему
Рубрикатор








 

Контрольный взлом корпоративной сети

Виктор Сердюк, Артем Зубков

По подсчетам координационного центра немедленного реагирования CERT Института Карнеги США, число инцидентов, связанных с нарушением информационной безопасности, в 2002 г. по сравнению с 2001 г. выросло в 1,5 раза.

Так можно ли оставаться спокойным в этой ситуации? Особенно если компания переходит к электронному документообороту и важнейшая информация каждую секунду циркулирует в корпоративной сети? Конечно, современный руководитель не жалеет средств ни на качественное программное обеспечение средств защиты, ни на высокопрофессионального специалиста–администратора сети. И все-таки…

Как убедиться, что корпоративные тайны надежно защищены? А что если конкуренты предпримут информационную атаку или какой-нибудь хакер решит взломать сеть ради забавы? Последствия вторжения могут быть настолько ужасающими, что даже страшно представить. Злоумышленники «порылись» в рабочих папках топ-менеджеров, заглянули в файлы бухгалтерии, отдела кадров и службы безопасности. Через пробитую в сети «брешь» к конкурентам «утекла» секретная информация, важные сведения оказались искажены, а сотрудники потеряли доступ к ряду файлов. Работа компании парализована, системный администратор в авральном режиме пытается что-то восстановить, персонал пребывает в шоке, а вы изыскиваете дополнительные средства для устранения последствий катастрофы.

Нет! Только не это! Но как же удостовериться в неуязвимости корпоративной сети? Ответ очевиден — заказать контрольную пробивку. И выяснить, наконец, есть у вас защита или нет.

Как найти и выбрать специалистов?

Традиционно в этом случае объявляется тендер. Чтобы выбрать лучшее предложение, соотносят стоимость проверки безопасности информационной системы и ценность защищаемых сведений, оценивают уровень сервисного обслуживания, обязательно проверяют наличие лицензий и сертификатов, разрешающих компании работать с коммерческой конфиденциальной информацией.

Выбирая исполнителей, помните, что скупой платит дважды, и раз уж принято решение проверить систему, то меры должны быть комплексными. Если же вы ограничены в средствах, то выход все же можно найти. Например, оценить защищенность только своих информационных ресурсов или ресурсов отдельных, самых значимых и уязвимых подразделений фирмы.

Наиболее успешно проверку защищенности корпоративных сетей в Москве проводят компании РНТ, НПП «Информзащита», Ай Ди эС–Технолоджи, Инфосистема Джет, Инфотекс; в Санкт-Петербурге — фирмы «Удостоверяющий центр», «РНР Северо–Запад».

Переговоры

Итак, компания–партнер выбрана. Теперь вам предстоит уточнить детали сотрудничества, выяснить, какого рода проверки будут проводиться и как специалисты станут их выполнять. Отвечая на эти вопросы, профессионалы прежде всего четко вас сориентируют, откуда могут исходить угрозы. Таких источников три:

  • вторжение внешних нарушителей;
  • злонамеренные действия сотрудников вашей же компании;
  • некомпетентность или халатность системного администратора.

При оценке защищенности системы от каждой из этих угроз используются разные методы. Чтобы ознакомить вас с ними, специалисты обязательно продемонстрируют работу программ. Для этого они пригласят вас совместно с вашим системным администратором или (если стоит задача оценки именно его работы) с сотрудником, отвечающим за информационную безопасность, посетить их лабораторию. Не пренебрегайте гостеприимством, выберите время для встречи и убедитесь в действенности предлагаемых технологий.

Проверка

Оценка уязвимости системы к вторжениям извне

Прежде всего вы, вероятно, захотите узнать, насколько корпоративная сеть компании открыта для внешних вторжений. И тут профессионалы готовы предложить два варианта.

«Контрольный выстрел». Эксперты могут провести максимально близкую к реальности контрольную информационную атаку с удаленного компьютера, например из своего офиса. Этот вариант позволяет руководству компании максимально точно оценить не только степень защищенности сети, но и уровень компетентности ее администратора.

Дело в том, что о контрольном нападении его, как правило, не оповещают и соответственно не оставляют администратору возможности «залатать» перед проверкой существующие в сети «дыры».

Для проведения «контрольного выстрела» экспертам понадобится минимум информации: адреса внешних узлов, т.е. связующих систем, через которые локальная сеть подключается к Интернету.

В этом случае первые выводы о защищенности системы от внешних информационных атак, а также о компетентности системного администратора специалисты сделают через несколько дней (в зависимости от сложности системы) и затем представят их вам в виде отчета. Там, например, может быть распечатка какой-либо секретной директории, до которой удалось добраться несмотря на то, что вы считали ее надежно защищенной.

«Тесное сотрудничество». Но работа по проверке может быть построена и иначе. Эксперты, консультируясь с вашим системным администратором, сначала изучают топологию системы, используемое программное обеспечение, структуру матрицы доступа (перечень уровней информации и групп пользователей, которые имеют право доступа к тем или иным файлам), правила действующей политики безопасности. После сбора всей информации специалисты проводят инвентаризацию программно-аппаратных ресурсов системы и выявляют ее уязвимые места.

К последующему анализу и интерпретации полученных результатов эксперты обязательно подключают системного администратора вашей компании, потому что в ряде случаев принять однозначное решение о наличии в системе той или иной уязвимой стороны можно только после консультации с ним. Дело в том, что использование какого-то сетевого сервиса, с точки зрения специалистов, может быть неоправданным или неправильным, однако архитектура системы это вполне позволяет, а системный администратор способен обосновать его наличие теми или иными причинами.

Нередко тесное сотрудничество с системным администратором начинается после того, как произведен «контрольный выстрел». Некоторые данные о защищенности системы уже есть, но требуется более тщательный анализ.

Проверка защиты сети от атак внутренних пользователей

Чтобы быть полностью спокойным за безопасность хранящейся в сети ценной информации, необходимо удостовериться, что система надежно защищена от несанкционированных действий персонала. По мнению специалистов, это более трудоемкая задача, чем две предыдущие. Сложность заключается в необходимости собрать данные о том, какое программное обеспечение используется на рабочих компьютерах, как санкционируются те или иные права пользователя по доступу к различным уровням системы. Обязательно надо провести анализ политики информационной безопасности предприятия1 (ознакомление с документами, содержащими нормы, правила, требования к безопасности сети). После изучения этой информации эксперты протестируют систему, моделируя несанкционированные действия с рабочих компьютеров персонала. Так что вы должны быть готовы к тому, что потребуется не только допустить сотрудников фирмы-исполнителя в офис, но и дать им возможность изучить все аппаратно-программные средства компании. Только так можно проверить, насколько реальное положение дел соответствует разработанной политике безопасности.

Отчет

По итогам всех мероприятий независимо от того, ради решения какой задачи специалистов приглашали в компанию, они оформляют отчет. В нем описываются проведенные проверки и их результаты. Если зафиксированы слабые места системы или неверные положения политики информационной безопасности, эксперты порекомендуют меры по их корректировке.

Итак оценка уязвимости корпоративной сети получена. Казалось бы, на этом можно и остановиться. Однако весьма вероятно, что у вас возникнет желание усовершенствовать систему и продолжить сотрудничество. Тогда на основе рекомендаций разрабатывается проект ее модернизации. Все необходимые программно-аппратные средства устанавливаются и настраиваются. Затем проводится обучение специалистов вашей компании правильному пользованию системой, ее обновлению и т.п.2

Средства защиты информационной сети

В зависимости от уровня информационной системы возможны разные подходы к обеспечению ее безопасности. Если речь идет о комплексной защите корпоративной сети, то в первую очередь требуется провести сегментацию системы на выделенные фрагменты и установить программные средства активного аудита — средства сбора и анализа информации о несанкционированной активности в системе, блокирования действий нарушителей. Что же предлагают специалисты?

Система анализа защищенности позволяет осуществлять тестирование серверов, рабочих компьютеров, коммуникационного оборудования и выявлять их слабые места, т.е. проводить объективный анализ и оценку уровня безопасности информационной сети.

Такие проверки должны проходить периодически. Их необходимость диктуется тем, что практически ежедневно выявляются новые слабые звенья в системе и администратор обязан обновлять базу данных уязвимых мест. Оптимальную регулярность каждая компания определяет для себя сама в соответствии с принятой политикой безопасности.

Наиболее распространены в России следующие системы анализа защищенности:

  • отечественных разработчиков: «Стилет» (РНТ, компания–разработчик осуществляет постоянное обновление своего продукта и несет за это ответственность);
  • зарубежных производителей: Internet Scanner (ISS,), Nessus (продукт некоммерческий, можно почерпнуть в Интернете. За его обновление ответственности никто не несет).

Данные, полученные при помощи системы анализа защищеннос-ти, используются для выработки и совершенствования политики безопасности информационной сети. Ее выполнение контролируется системой обнаружения вторжений и системой управления политикой безопасности.

Система обнаружения вторжений обеспечивает мониторинг сетевой активности. Специальная программа в режиме реального времени контролирует сетевой трафик, собирает, анализирует информацию и выявляет вторжения внешних нарушителей. Это позволяет своевременно блокировать информационные атаки.

В нашей стране из систем обнаружения вторжений наиболее широко используются:

  • продукты зарубежных производителей: Real Secure (ISS) — широко распространен как в России, так и за рубежом; Net Prowler (Symantec);
  • продукты отечественных разработчиков: «Форпост» (РНТ). В отличие от первых двух данная система позволяет выявлять не только существующие типы атак, которые отражены в базе данных системы, но и новые атаки, которые могут появиться в процессе эксплуатации системы.

Система управления политикой безопасности позволяет в режиме реального времени проводить мониторинг событий на рабочих компьютерах пользователей3 (доступ к файлам, обращение к сетевым ресурсам, программным приложениям); осуществляет контроль выполнения установленных политикой безопасности компании норм и правил пользования корпоративной информационной системой и таким образом выявляет несанкционированные действия пользователей. Полноценно эти функции реализует система «Урядник» (РНТ) отечественной разработки, частично же данные задачи можно решить с помощью зарубежных систем управления информационными системами НР Open View и IBM Tivoli.

Стоимость

Цена услуг каждый раз обсуждается отдельно. Она зависит от степени сложности системы.

Минимальная стоимость проведения аудита (небольшая сеть из 10–20 компьютеров, установленных в одном офисе) — 3,5–6 тыс. долл. Максимальная, по опыту работы (сложная система с многочисленными региональными филиалами) — 250 тыс. долл. Средний заказ — 15 тыс. долл.

 


1 В нашей стране пока нет стандартов, определяющих основные положения политики информационной безопасности. Чаще всего компании, оказывающие услуги в области информационной безопасности, руководствуются стандартом ISO 17799. Возврат

2 На все эти виды услуг составляются отдельные договоры. Возврат

3 На каждый компьютер устанавливается программа, выполняющая мониторинг политики безопасности. Возврат