Интернет-безопасность. Исходные рекомендации для ведения защищенного электронного бизнеса

Вторая статья представляет собой рекомендации, разработанные The Internet
Security Task Force (ISTF) - независимым консорциумом, объединяющим
производителей средств безопасности, владельцев электронного бизнеса и
компании, обеспечивающие Интернет-инфраструктуры. Эта организация была создана
именно для разработки специальных технических, организационных и рабочих
рекомендаций по Интернет-безопасности в целях предотвращения крупномасштабных
кибертеррористических атак в области электронного бизнеса. Среди членов
консорциума - такие компании, как CMGI, Cisco Systems, Digex, eToys, Sabre,
Travelocity, Verio, а предлагаемая вашему вниманию статья опубликована на сайте
одного из основателей консорциума - компании Computer Associates.

Наиболее часто встречающиеся дефекты защиты, отмеченные компаниями, работающими в области электронного бизнеса:

• общие проблемы в брандмауэрах, операционных системах, сетях и стандартных приложениях;
• неопознанные машины или приложения в сети;
• использование старых версий программного обеспечения на машинах сети;
• неполная информация обо всех точках входа в сеть из внешней среды;
• неполное изъятие прав доступа при увольнении сотрудников, наличие идентификаторов пользователей, используемых по умолчанию, неверно обслуживаемые права доступа;
• неоправданно открытые порты в брандмауэрах;
• необоснованный общий доступ к файловым системам;
• недостаточные требования к идентификации пользователя, собирающегося изменить регистрационные записи пользователей;
• присутствие ненужных сервисов или приложений на машинах, требующих высокой степени защиты;
• использование слабозащищенных установочных параметров, присваиваемых по умолчанию, при инсталляции приложений, ввиду чего становятся известны идентификаторы и пароли пользователей, установленные по умолчанию;
• отсутствие защиты от взаимодействия внутреннего и внешнего трафика сети;
• отсутствие проверок после внесения изменений в среду (например - после инсталляции новых приложений или машин);
• отсутствие контроля за вносимыми изменениями;
• отсутствие информации о внутренних угрозах безопасности;
• отсутствие информации о слабых местах различных методик аутентификации при организации мощной защиты.

Аутентификация

Аутентификация относится к средствам опознания любого входящего в систему или пытающегося воспользоваться системой. Она подразумевает некий способ идентификации входящего с помощью какой-либо формы описания имеющихся у него параметров доступа. Сегодня существует масса различных способов идентификации - PKI (Public Key Infrastructure, инфраструктура открытых ключей), маркеры доступа, биометрические устройства (например, сканеры отпечатков пальцев), пары идентификатор пользователя/пароль, однако в данном документе предполагается рассмотреть именно последнюю группу. Несмотря на то, что PKI представляет собой механизм, наиболее часто применяемый в крупном электронном бизнесе, тем не менее, основные проблемы защиты лежат именно в плоскости неудачной реализации механизмов идентификаторно-парольной защиты.

Выявленные проблемные области:

• Отсутствие или некорректная реализация средств защиты на подавляющем большинстве сайтов, так как они:
• Имеют слабо защищенные схемы доступа:
• Рекомендации:
• Не использовать общие идентификаторы электронной почты в качестве пользовательских.
• Минимизировать число пользовательских идентификаторов для одного пользователя для доступа к разным системам, необходимым ему в работе. Это уменьшает объем списков всех имен и паролей пользователей.
• Используют слишком грубые методы выявления атак в средствах выявления попыток несанкционированного доступа.
• Рекомендации:
• Уменьшить вероятность получения хакерами доступа к базам данных.
• Убедиться, что все системы регистрируют как удачные, так и неудачные попытки несанкционированного доступа. В большинстве случаев возможность такой регистрации существует в приложениях и операционных системах, но почему-то бывает неактивизирована.
• Применить к выявлению попыток несанкционированного доступа аналитическую функциональность, автоматически блокирующую возможность доступа для пользовательских идентификаторов, пароли которых были несколько раз неверно введены.
• Не вводят или не применяют никаких рекомендаций по форматам паролей:
• Рекомендации:
• Минимизировать число идентификаторов пользователей и паролей для выполнения только необходимых в работе операций.
• Убедиться, что не существует идентификаторов, не имеющих пароля.
• Убедиться, что существуют и могут автоматически применяться рекомендации относительно идентификаторов и паролей, описывающих, в частности, минимальную длину пароля, его формат (какие символы могут быть в его составе), сроки действия и обновления, уникальность паролей, недопустимость введения в качестве пароля "настоящих" слов и др.
• Многие правила, являющиеся гарантом строгости проверок прав доступа, неприменимы для пользователей-посетителей сайтов электронной коммерции.
• Рекомендации:
• Информировать посетителей сайта об опасностях, создаваемых неудачно сформулированными именами пользователей и паролями.
• Убедиться, что даже в случае такой слабой защиты клиентских идентификаторов и паролей, уязвимые данные не станут доступны хакерам.
• Отсутствует разделение функциональных обязанностей между системными администраторами, разработчиками политики безопасности, администраторами безопасности и контролирующими подразделениями.
• Рекомендации:
• Реализовать аутентификационный механизм, гарантирующий невозможность изменения политики безопасности системными администраторами.

Информационная безопасность

Под информационной безопасностью понимается обеспечение защиты информации о клиентах на время ее передачи по Интернет. Информация должна быть защищена не только в месте хранения (например, на винчестерах компьютеров, средствах резервного копирования и печатных формах), но и при пересылке по Интернет.

Выявленные проблемные области:

• Использование механизмов аутентификации, при которых происходит идентификация пользователя в начале транзакции, но не гарантируется последующая защита данных.
• Рекомендации:
• Использовать средства шифрования для защиты информации после первичной аутентификации (ITSF рекомендует использовать только те средства шифрования, в которых решена проблема антивирусной защиты).
• Возможность получения доступа к данным в обход процессов аутентификации при кэшировании web-страниц на внешних серверах (например, ISP или ASP).
• Рекомендации:
• Убедиться, что в незащищенной области не кэшируются никакие конфиденциальные данные.

Выявление событий, важных с точки зрения безопасности

Эта задача заключается в использовании протоколов и других механизмов контроля для сбора информации о доступе в систему и к приложениям, типах доступа (для обновления или "только на чтение"), событиях сети, попытках вторжения, вирусах и др.

Выявленные проблемные области:

• Недостаток информации об имеющихся инструментах контроля и их эффективном использовании.
• Рекомендации:
• Немедленно определить и активизировать имеющихся в приложениях и операционных системах механизмов протоколирования везде, где это необходимо.
• Обязательно протоколировать "необходимый минимум" событий, а именно:
• Активизировать базовые журналы безопасности.
• Активизировать протоколирование событий сети.
• Протоколировать случаи неуспешной аутентификации.
• Протоколировать нарушения доступа.
• Протоколировать попытки имплантации вирусов или другого "недружественного" кода.
• Протоколировать любые нестандартные действия/события. Это подразумевает, что сотрудники отдела технической поддержки, анализирующие журналы на предмет таких действий/событий, обязательно должны быть в курсе всех бизнес-инициатив. Например, большие скачки в трафике могут быть как свидетельством атаки, так и признаком очень успешной маркетинговой кампании, раз в десять поднявшей посещаемость.
• Убедиться, что журналы контроля хранятся достаточное с точки зрения требований безопасности время. Желательно, чтобы они позволяли проводить расследование как минимум в течение 14 дней после любой атаки.
• Убедиться, что журналы не перезаписывают собственную информацию, теряя при этом какие-либо данные.
• Ввести в действие документирование либо автоматизированную систему, определяющую назначение каждого журнала. При этом должны отслеживаться следующие параметры:
• Было ли это событие внутренним или внешним для организации?
• Было ли это действительно аномальное событие или "ложное позитивное" событие (ответ на этот вопрос зависит от многих факторов - от информированности IT-подразделения о различных бизнес-инициативах до особенностей аналитических приложений и изучения журналов).
• Кроме того, необходимо:
• Обеспечить механизм сложной ("интеллектуальной") фильтрации множества журналов.
• Обеспечить механизм обслуживания аномально больших объемов журнальных данных, исключающий потерю данных. Иначе хакеры могут просто послать избыток данных, чтобы вызвать разрушение более ранней информации в журналах при попытке системы запротоколировать все следы прохождения этих данных.
• Убедиться в целостности журнальных данных, чтобы исключить возможность редактирования журналов хакером для удаления важных записей и сокрытия следов своего вмешательства.
• Убедиться, что хранящиеся журналы могут быть переданы правоохранительным органам при необходимости расследования атаки.
• Убедиться, что имеется возможность определять новые формы атак на основании информации, получаемой из внешних источников - поставщиков решений, CERT (Computer Emergency Rresponse Team, группы компьютерной "скорой помощи" - организации, следящей за угрозами безопасности сетевых компьютеров, в том числе - в Интернет) и т.д.

Защита внешних границ (защита "по периметру")

Защита внешних границ означает некоторое отделение компьютерных систем организации от внешнего мира. Это может подразумевать какой-то общий доступ к определенной информации для клиентов, партнеров, поставщиков и т.д., с одновременной защитой от них критических данных.

Выявленные проблемные области:

• Решение этой проблемы обычно очевидно для всех компаний, но часто оно просто неудачно реализовано.
• Рекомендации:
• Реализовать брандмауэры.
• Корректно выполнить настройку и конфигурирование брандмауэра.
• Реализовать экранирующие маршрутизаторы для обеспечения соответствия политике безопасности входящего и исходящего трафика.
• На данном этапе важно, чтобы экранирующие маршрутизаторы выявляли и задерживали исходящий трафик, пытающийся фальсифицировать IP-адреса.
• Реализовать решения VPN (Virtual Private Networks, виртуальных частных сетей) для обеспечения конфиденциальности данных, поступающих через брандмауэр в общедоступную область.
• Отметьте, что необходимо убедиться, что эти VPN не являются средством доступа хакеров непосредственно во внутреннюю среду. Это может произойти, если хакер воспользуется плохо защищенной средой одного из бизнес-партнеров, чтобы попасть в среду данного предприятия.
• Убедиться, что выявлены все пути электронного соединения предприятия с внешним миром - все модемы, выделенные линии и брандмауэры.
• Убедиться, что реализованные механизмы защиты действительно являются средством, благодаря которому контролирующие службы могут сверять соответствие работы системы политике безопасности компании и выявлять новые проблемы.
• Убедиться, что "гостевые" сети, используемые для различных бизнес-целей, например, для сетевых совещаний, лекций и т.д., вносящие "ненадежные" системы в пределы внешних границ безопасности организации, также защищены и изолированы от остальных систем предприятия. Партнерский доступ также должен организовываться через "гостевую" сеть.

Выявление вторжений

Выявление вторжений представляет собой возможность определения попыток доступа в системы и сети в форме, нарушающей политику безопасности компании.

Выявленные проблемные области:

• В большинстве организаций не производится базовая классификация и распознавание незаконно вторгающихся.
• Рекомендации:
• Организациям необходимы средства распознавания и различения как минимум следующих видов вторжений:
• Внутренние/внешние попытки вторжения.
• Человеческие/автоматизированные атаки.
• Несанкционированные хосты, подсоединяющиеся к сети изнутри организации либо извне.
• Несанкционированное программное обеспечение, загружаемое в системы.
• Все точки доступа в корпоративную сеть.

Злонамеренный контент

Под злонамеренным контентом подразумеваются любые типы программ, которые вводятся в среду с целью причинения вреда или хищения информации. Сюда относятся вирусы, троянские кони, средства хакинга и сетевые анализаторы пакетов.

Выявленные проблемные области:

• Организации не обеспечивают соответствующее обслуживание для всех без исключения типов злонамеренного кода, включая и тот, что разработан специально для нанесения повреждений данным и для их хищения.
• Рекомендации:
• Реализовать не только антивирусные решения, но и полнофункциональные средства выявления и защиты от всех видов злонамеренного кода.
• Организации неэффективно используют имеющиеся в их распоряжении механизмы.
• Рекомендации:
• Убедиться, что пользователи извещены о том, насколько просто при посещении сайта может быть осуществлено автоматическое хищение данных.
• Убедиться, что все пользователи извещены о правилах безопасной работы и соблюдают их - не открывают непроверенные средствами безопасности приложения к письмам, не посещают сомнительные сайты и т.д.
• Установить эффективное решение для защиты. Систематически обновлять версии, чтобы выявлялись все новые формы злонамеренного кода.

Контроль доступа

Контроль доступа заключается в регулировании доступа к критическим корпоративным данным. Контроль доступа обеспечивает основанный на политике безопасности надзор за тем, кто имеет доступ к определенным системам, что он может делать с их помощью и когда и откуда предоставляется этот доступ.

Выявленные проблемные области:

• Большинство организаций не знают о средствах контроля доступа, как имеющихся в их собственных операционных системах и приложениях, так и предлагаемых сторонними поставщиками.
• Рекомендации:
• Повысить информированность в области имеющихся технологий путем реализации образовательных программ, семинаров и др.
• Активизировать правила контроля доступа, минимизирующие число пользователей, которым доступны критические файлы. Протоколировать весь доступ. Ограничить доступ к контексту (разрешать доступ "только на чтение", но не на запись).
• Выявить инструменты, позволяющие использовать режим предупреждений, разрешающий доступ к файлам и ресурсам, но при этом протоколирующий все попытки его осуществления.

Администрирование

Администрирование заключается в возможности управления всеми правилами безопасности, касающимися аутентификации, контроля доступа, защиты внешних границ и т.д.

Выявленные проблемные области:

• Обычно каждая система, программное обеспечение коллективного пользования, база данных и приложение в среде обслуживают собственных пользователей/ресурсы - и большая их часть не согласована между системами.
• Рекомендации:
• Реализовать методику централизованного администрирования безопасности, обеспечивающую хранение индивидуальной информации о пользователе/ресурсе.
• Как правило, у компаний отсутствует разделение функциональных обязанностей между системными администраторами, разработчиками политики безопасности, администраторами безопасности и контролирующими подразделениями.
• Рекомендации:
• Реализовать механизм аутентификации, исключающий изменение политики безопасности системными администраторами.
• Компании часто не имеют специально выделенных сотрудников для администрирования безопасности.
• Рекомендации:
• Четко определить в рамках компании функциональные обязанности администраторов по безопасности, в том числе такие, как:
• Ведение семинаров по проблемам безопасности и успешным способам реализации защиты.
• Обеспечение контроля принятых соглашений по безопасности с помощью целостности решений по защите.
• Принятие решений о необходимом балансе интересов бизнеса и безопасности, так как, например, может возникнуть необходимость временно отказаться от каких-либо наиболее оптимальных правил безопасности в целях экономии времени и получения преимуществ в конкурентной борьбе.
• Участие в исходной и последующей оценке организационных рисков.

Отклик на происшествие

Отклик на происшествие заключается в предпринятии организацией каких-либо действий при выявлении текущей внешней атаки и/или выявлении атаки по факту ее совершения. Это сходно с понятием "Чрезвычайный план действий" (Disaster Recovery plan, DR-план), используемым для обслуживания естественных аварий и катастроф - например, таких, как полное уничтожение оборудования при пожаре.

Выявленные проблемные области:

• Большинство организация просто не имеют такого плана.
• Рекомендации:
• Создать "План отклика на происшествия в области безопасности" по аналогии с DR-планом (как в содержании, так и в реализации).
• Такой план должен содержать следующий минимум:
• Соответствующее общее извещение в случае необходимости.
• Классификацию проблем.
• Создание схем, формирующих приоритеты решения проблем клиентов, партнеров и др. пользователей.
• "Дерево решений" для экономической оценки (и выбора оптимального пути обработки события - например, необходимости судебного преследования злоумышленника).
• Привлечение организаций, предоставляющих услуги "компьютерной скорой помощи" (например, CERT).
• Осуществление анализа происшествия постфактум.

Определение возможных объектов нападения

Этот вид действий подразумевает выявление систем, наиболее уязвимых для атак. Точное определение уязвимых и привлекательных для вторжения систем способствует более правильной расстановке приоритетов в области защиты.

В данном секторе наиболее рискованными и редко принимаемыми во внимание областями являются:

• Все системы, расположенные на границе сети, т. е. те, которые видны посетителям - маршрутизаторы, брандмауэры и web-серверы.
• Модемные пулы.
• Web-сайты.
• Внутренние незащищенные системы, например - настольные компьютеры.
• Рекомендации:

Автор: По материалам зарубежных сайтов