- 1 марта 2000 г.
Интернет-безопасность. Исходные рекомендации для ведения защищенного электронного бизнеса
Вторая статья представляет собой рекомендации, разработанные The Internet
Security Task Force (ISTF) - независимым консорциумом, объединяющим
производителей средств безопасности, владельцев электронного бизнеса и
компании, обеспечивающие Интернет-инфраструктуры. Эта организация была создана
именно для разработки специальных технических, организационных и рабочих
рекомендаций по Интернет-безопасности в целях предотвращения крупномасштабных
кибертеррористических атак в области электронного бизнеса. Среди членов
консорциума - такие компании, как CMGI, Cisco Systems, Digex, eToys, Sabre,
Travelocity, Verio, а предлагаемая вашему вниманию статья опубликована на сайте
одного из основателей консорциума - компании Computer Associates.
Наиболее часто встречающиеся дефекты защиты, отмеченные компаниями, работающими в области электронного бизнеса:
- общие проблемы в брандмауэрах, операционных системах, сетях и стандартных приложениях;
- неопознанные машины или приложения в сети;
- использование старых версий программного обеспечения на машинах сети;
- неполная информация обо всех точках входа в сеть из внешней среды;
- неполное изъятие прав доступа при увольнении сотрудников, наличие идентификаторов пользователей, используемых по умолчанию, неверно обслуживаемые права доступа;
- неоправданно открытые порты в брандмауэрах;
- необоснованный общий доступ к файловым системам;
- недостаточные требования к идентификации пользователя, собирающегося изменить регистрационные записи пользователей;
- присутствие ненужных сервисов или приложений на машинах, требующих высокой степени защиты;
- использование слабозащищенных установочных параметров, присваиваемых по умолчанию, при инсталляции приложений, ввиду чего становятся известны идентификаторы и пароли пользователей, установленные по умолчанию;
- отсутствие защиты от взаимодействия внутреннего и внешнего трафика сети;
- отсутствие проверок после внесения изменений в среду (например - после инсталляции новых приложений или машин);
- отсутствие контроля за вносимыми изменениями;
- отсутствие информации о внутренних угрозах безопасности;
- отсутствие информации о слабых местах различных методик аутентификации при организации мощной защиты.
Аутентификация
Аутентификация относится к средствам опознания любого входящего в систему или пытающегося воспользоваться системой. Она подразумевает некий способ идентификации входящего с помощью какой-либо формы описания имеющихся у него параметров доступа. Сегодня существует масса различных способов идентификации - PKI (Public Key Infrastructure, инфраструктура открытых ключей), маркеры доступа, биометрические устройства (например, сканеры отпечатков пальцев), пары идентификатор пользователя/пароль, однако в данном документе предполагается рассмотреть именно последнюю группу. Несмотря на то, что PKI представляет собой механизм, наиболее часто применяемый в крупном электронном бизнесе, тем не менее, основные проблемы защиты лежат именно в плоскости неудачной реализации механизмов идентификаторно-парольной защиты.
Выявленные проблемные области:
- Отсутствие или некорректная реализация средств защиты на подавляющем большинстве сайтов, так как они:
- Имеют слабо защищенные схемы доступа:
- Рекомендации:
- Не использовать общие идентификаторы электронной почты в качестве пользовательских.
- Минимизировать число пользовательских идентификаторов для одного пользователя для доступа к разным системам, необходимым ему в работе. Это уменьшает объем списков всех имен и паролей пользователей.
- Используют слишком грубые методы выявления атак в средствах выявления попыток несанкционированного доступа.
- Рекомендации:
- Уменьшить вероятность получения хакерами доступа к базам данных.
- Убедиться, что все системы регистрируют как удачные, так и неудачные попытки несанкционированного доступа. В большинстве случаев возможность такой регистрации существует в приложениях и операционных системах, но почему-то бывает неактивизирована.
- Применить к выявлению попыток несанкционированного доступа аналитическую функциональность, автоматически блокирующую возможность доступа для пользовательских идентификаторов, пароли которых были несколько раз неверно введены.
- Не вводят или не применяют никаких рекомендаций по форматам паролей:
- Рекомендации:
- Минимизировать число идентификаторов пользователей и паролей для выполнения только необходимых в работе операций.
- Убедиться, что не существует идентификаторов, не имеющих пароля.
- Убедиться, что существуют и могут автоматически применяться рекомендации относительно идентификаторов и паролей, описывающих, в частности, минимальную длину пароля, его формат (какие символы могут быть в его составе), сроки действия и обновления, уникальность паролей, недопустимость введения в качестве пароля "настоящих" слов и др.
- Многие правила, являющиеся гарантом строгости проверок прав доступа, неприменимы для пользователей-посетителей сайтов электронной коммерции.
- Рекомендации:
- Информировать посетителей сайта об опасностях, создаваемых неудачно сформулированными именами пользователей и паролями.
- Убедиться, что даже в случае такой слабой защиты клиентских идентификаторов и паролей, уязвимые данные не станут доступны хакерам.
- Отсутствует разделение функциональных обязанностей между системными администраторами, разработчиками политики безопасности, администраторами безопасности и контролирующими подразделениями.
- Рекомендации:
- Реализовать аутентификационный механизм, гарантирующий невозможность изменения политики безопасности системными администраторами.
Информационная безопасность
Под информационной безопасностью понимается обеспечение защиты информации о клиентах на время ее передачи по Интернет. Информация должна быть защищена не только в месте хранения (например, на винчестерах компьютеров, средствах резервного копирования и печатных формах), но и при пересылке по Интернет.
Выявленные проблемные области:
- Использование механизмов аутентификации, при которых происходит идентификация пользователя в начале транзакции, но не гарантируется последующая защита данных.
- Рекомендации:
- Использовать средства шифрования для защиты информации после первичной аутентификации (ITSF рекомендует использовать только те средства шифрования, в которых решена проблема антивирусной защиты).
- Возможность получения доступа к данным в обход процессов аутентификации при кэшировании web-страниц на внешних серверах (например, ISP или ASP).
- Рекомендации:
- Убедиться, что в незащищенной области не кэшируются никакие конфиденциальные данные.
Выявление событий, важных с точки зрения безопасности
Эта задача заключается в использовании протоколов и других механизмов контроля для сбора информации о доступе в систему и к приложениям, типах доступа (для обновления или "только на чтение"), событиях сети, попытках вторжения, вирусах и др.
Выявленные проблемные области:
- Недостаток информации об имеющихся инструментах контроля и их эффективном использовании.
- Рекомендации:
- Немедленно определить и активизировать имеющихся в приложениях и операционных системах механизмов протоколирования везде, где это необходимо.
- Обязательно протоколировать "необходимый минимум" событий, а именно:
- Активизировать базовые журналы безопасности.
- Активизировать протоколирование событий сети.
- Протоколировать случаи неуспешной аутентификации.
- Протоколировать нарушения доступа.
- Протоколировать попытки имплантации вирусов или другого "недружественного" кода.
- Протоколировать любые нестандартные действия/события. Это подразумевает, что сотрудники отдела технической поддержки, анализирующие журналы на предмет таких действий/событий, обязательно должны быть в курсе всех бизнес-инициатив. Например, большие скачки в трафике могут быть как свидетельством атаки, так и признаком очень успешной маркетинговой кампании, раз в десять поднявшей посещаемость.
- Убедиться, что журналы контроля хранятся достаточное с точки зрения требований безопасности время. Желательно, чтобы они позволяли проводить расследование как минимум в течение 14 дней после любой атаки.
- Убедиться, что журналы не перезаписывают собственную информацию, теряя при этом какие-либо данные.
- Ввести в действие документирование либо автоматизированную систему, определяющую назначение каждого журнала. При этом должны отслеживаться следующие параметры:
- Было ли это событие внутренним или внешним для организации?
- Было ли это действительно аномальное событие или "ложное позитивное" событие (ответ на этот вопрос зависит от многих факторов - от информированности IT-подразделения о различных бизнес-инициативах до особенностей аналитических приложений и изучения журналов).
- Кроме того, необходимо:
- Обеспечить механизм сложной ("интеллектуальной") фильтрации множества журналов.
- Обеспечить механизм обслуживания аномально больших объемов журнальных данных, исключающий потерю данных. Иначе хакеры могут просто послать избыток данных, чтобы вызвать разрушение более ранней информации в журналах при попытке системы запротоколировать все следы прохождения этих данных.
- Убедиться в целостности журнальных данных, чтобы исключить возможность редактирования журналов хакером для удаления важных записей и сокрытия следов своего вмешательства.
- Убедиться, что хранящиеся журналы могут быть переданы правоохранительным органам при необходимости расследования атаки.
- Убедиться, что имеется возможность определять новые формы атак на основании информации, получаемой из внешних источников - поставщиков решений, CERT (Computer Emergency Rresponse Team, группы компьютерной "скорой помощи" - организации, следящей за угрозами безопасности сетевых компьютеров, в том числе - в Интернет) и т.д.
Защита внешних границ (защита "по периметру")
Защита внешних границ означает некоторое отделение компьютерных систем организации от внешнего мира. Это может подразумевать какой-то общий доступ к определенной информации для клиентов, партнеров, поставщиков и т.д., с одновременной защитой от них критических данных.
Выявленные проблемные области:
- Решение этой проблемы обычно очевидно для всех компаний, но часто оно просто неудачно реализовано.
- Рекомендации:
- Реализовать брандмауэры.
- Корректно выполнить настройку и конфигурирование брандмауэра.
- Реализовать экранирующие маршрутизаторы для обеспечения соответствия политике безопасности входящего и исходящего трафика.
- На данном этапе важно, чтобы экранирующие маршрутизаторы выявляли и задерживали исходящий трафик, пытающийся фальсифицировать IP-адреса.
- Реализовать решения VPN (Virtual Private Networks, виртуальных частных сетей) для обеспечения конфиденциальности данных, поступающих через брандмауэр в общедоступную область.
- Отметьте, что необходимо убедиться, что эти VPN не являются средством доступа хакеров непосредственно во внутреннюю среду. Это может произойти, если хакер воспользуется плохо защищенной средой одного из бизнес-партнеров, чтобы попасть в среду данного предприятия.
- Убедиться, что выявлены все пути электронного соединения предприятия с внешним миром - все модемы, выделенные линии и брандмауэры.
- Убедиться, что реализованные механизмы защиты действительно являются средством, благодаря которому контролирующие службы могут сверять соответствие работы системы политике безопасности компании и выявлять новые проблемы.
- Убедиться, что "гостевые" сети, используемые для различных бизнес-целей, например, для сетевых совещаний, лекций и т.д., вносящие "ненадежные" системы в пределы внешних границ безопасности организации, также защищены и изолированы от остальных систем предприятия. Партнерский доступ также должен организовываться через "гостевую" сеть.
Выявление вторжений
Выявление вторжений представляет собой возможность определения попыток доступа в системы и сети в форме, нарушающей политику безопасности компании.
Выявленные проблемные области:
- В большинстве организаций не производится базовая классификация и распознавание незаконно вторгающихся.
- Рекомендации:
- Организациям необходимы средства распознавания и различения как минимум следующих видов вторжений:
- Внутренние/внешние попытки вторжения.
- Человеческие/автоматизированные атаки.
- Несанкционированные хосты, подсоединяющиеся к сети изнутри организации либо извне.
- Несанкционированное программное обеспечение, загружаемое в системы.
- Все точки доступа в корпоративную сеть.
Злонамеренный контент
Под злонамеренным контентом подразумеваются любые типы программ, которые вводятся в среду с целью причинения вреда или хищения информации. Сюда относятся вирусы, троянские кони, средства хакинга и сетевые анализаторы пакетов.
Выявленные проблемные области:
- Организации не обеспечивают соответствующее обслуживание для всех без исключения типов злонамеренного кода, включая и тот, что разработан специально для нанесения повреждений данным и для их хищения.
- Рекомендации:
- Реализовать не только антивирусные решения, но и полнофункциональные средства выявления и защиты от всех видов злонамеренного кода.
- Организации неэффективно используют имеющиеся в их распоряжении механизмы.
- Рекомендации:
- Убедиться, что пользователи извещены о том, насколько просто при посещении сайта может быть осуществлено автоматическое хищение данных.
- Убедиться, что все пользователи извещены о правилах безопасной работы и соблюдают их - не открывают непроверенные средствами безопасности приложения к письмам, не посещают сомнительные сайты и т.д.
- Установить эффективное решение для защиты. Систематически обновлять версии, чтобы выявлялись все новые формы злонамеренного кода.
Контроль доступа
Контроль доступа заключается в регулировании доступа к критическим корпоративным данным. Контроль доступа обеспечивает основанный на политике безопасности надзор за тем, кто имеет доступ к определенным системам, что он может делать с их помощью и когда и откуда предоставляется этот доступ.
Выявленные проблемные области:
- Большинство организаций не знают о средствах контроля доступа, как имеющихся в их собственных операционных системах и приложениях, так и предлагаемых сторонними поставщиками.
- Рекомендации:
- Повысить информированность в области имеющихся технологий путем реализации образовательных программ, семинаров и др.
- Активизировать правила контроля доступа, минимизирующие число пользователей, которым доступны критические файлы. Протоколировать весь доступ. Ограничить доступ к контексту (разрешать доступ "только на чтение", но не на запись).
- Выявить инструменты, позволяющие использовать режим предупреждений, разрешающий доступ к файлам и ресурсам, но при этом протоколирующий все попытки его осуществления.
Администрирование
Администрирование заключается в возможности управления всеми правилами безопасности, касающимися аутентификации, контроля доступа, защиты внешних границ и т.д.
Выявленные проблемные области:
- Обычно каждая система, программное обеспечение коллективного пользования, база данных и приложение в среде обслуживают собственных пользователей/ресурсы - и большая их часть не согласована между системами.
- Рекомендации:
- Реализовать методику централизованного администрирования безопасности, обеспечивающую хранение индивидуальной информации о пользователе/ресурсе.
- Как правило, у компаний отсутствует разделение функциональных обязанностей между системными администраторами, разработчиками политики безопасности, администраторами безопасности и контролирующими подразделениями.
- Рекомендации:
- Реализовать механизм аутентификации, исключающий изменение политики безопасности системными администраторами.
- Компании часто не имеют специально выделенных сотрудников для администрирования безопасности.
- Рекомендации:
- Четко определить в рамках компании функциональные обязанности администраторов по безопасности, в том числе такие, как:
- Ведение семинаров по проблемам безопасности и успешным способам реализации защиты.
- Обеспечение контроля принятых соглашений по безопасности с помощью целостности решений по защите.
- Принятие решений о необходимом балансе интересов бизнеса и безопасности, так как, например, может возникнуть необходимость временно отказаться от каких-либо наиболее оптимальных правил безопасности в целях экономии времени и получения преимуществ в конкурентной борьбе.
- Участие в исходной и последующей оценке организационных рисков.
Отклик на происшествие
Отклик на происшествие заключается в предпринятии организацией каких-либо действий при выявлении текущей внешней атаки и/или выявлении атаки по факту ее совершения. Это сходно с понятием "Чрезвычайный план действий" (Disaster Recovery plan, DR-план), используемым для обслуживания естественных аварий и катастроф - например, таких, как полное уничтожение оборудования при пожаре.
Выявленные проблемные области:
- Большинство организация просто не имеют такого плана.
- Рекомендации:
- Создать "План отклика на происшествия в области безопасности" по аналогии с DR-планом (как в содержании, так и в реализации).
- Такой план должен содержать следующий минимум:
- Соответствующее общее извещение в случае необходимости.
- Классификацию проблем.
- Создание схем, формирующих приоритеты решения проблем клиентов, партнеров и др. пользователей.
- "Дерево решений" для экономической оценки (и выбора оптимального пути обработки события - например, необходимости судебного преследования злоумышленника).
- Привлечение организаций, предоставляющих услуги "компьютерной скорой помощи" (например, CERT).
- Осуществление анализа происшествия постфактум.
Определение возможных объектов нападения
Этот вид действий подразумевает выявление систем, наиболее уязвимых для атак. Точное определение уязвимых и привлекательных для вторжения систем способствует более правильной расстановке приоритетов в области защиты.
В данном секторе наиболее рискованными и редко принимаемыми во внимание областями являются:
- Все системы, расположенные на границе сети, т. е. те, которые видны посетителям - маршрутизаторы, брандмауэры и web-серверы.
- Модемные пулы.
- Web-сайты.
- Внутренние незащищенные системы, например - настольные компьютеры.
- Рекомендации:
Автор: По материалам зарубежных сайтов