Средства обнаружения компьютерных атак
Технология обнаружения атак должна решать следующие задачи:
- Распознавание известных атак и предупреждение о них соответствующего персонала.
- "Понимание" зачастую непонятных источников информации об атаках.
- Освобождение или снижение нагрузки на персонал, отвечающий за безопасность, от текущих рутинных операций по контролю за пользователями, системами и сетями, являющимися компонентами корпоративной сети.
- Возможность управления средствами защиты не-экспертами в области безопасности.
- Контроль всех действий субъектов корпоративной сети (пользователей, программ, процессов и т.д.).
Защита сети от компьтерных атак - это постоянная и нетривиальная задача; но ряд простых средств защиты смогут остановить большинство попыток проникновения в сеть. Например, хорошо сконфигурированный межсетевой экран и антивирусные программы, установленные на всех рабочих станциях, смогут сделать невозможными большинство компьютерных атак. Ниже мы кратко опишем 14 различных средств защиты, реализация которых поможет защитить вашу сеть.
1. Оперативная установка исправлений для программ (Patching). Компании часто выпускают исправления программ, чтобы ликвидировать неблагоприятные последствия ошибок в них. Если не внести исправления в программы, впоследствии атакующий может воспользоваться этими ошибками и проникнуть в ваш компьютер. Системные администраторы должны защищать самые важные свои системы, оперативно устанавливая исправления для программ на них. Тем не менее, установить исправления для программ на всех хостах в сети трудно, так как исправления могут появляться достаточно часто. В этом случае надо обязательно вносить исправления в программы на самых важных хостах, а кроме этого установить на них другие средства защиты, описанные ниже. Обычно исправления должны получаться ТОЛЬКО от производителей программ.
2. Обнаружение вирусов и троянских коней . Хорошие антивирусные программы - незаменимое средство для повышения безопасности в любой сети. Они наблюдают за работой компьютеров и выявляют на них вредоносные программы. Единственной проблемой, возникающей из-за них, является то, что для максимальной эффективности они должны быть установлены на всех компьютерах в сети. На установку антивирусных программ на всех компьютерах и регулярное обновление антивирусных баз в них может уходить достаточно много времени - но иначе это средство не будет эффективным. Пользователей следует учить, как им самим делать эти обновления, но при этом нельзя полностью полагаться на них. Помимо обычной антивирусной программе на каждом компьютере мы рекомендуем, чтобы организации сканировали приложения к электронным письмам на почтовом сервере. Таким образом можно обнаружить большинство вирусов до того, как они достигнут машин пользователей.
3. Межсетевые экраны . Межсетевые экраны (firewalls) - это самое важное средство защиты сети организации. Они контролируют сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может блокировать передачу в сеть какого-либо вида трафика или выполнять те или иные проверки другого вида трафика. Хорошо сконфигуированный межсетевой экран в состоянии остановить большинство известных компьютерных атак.
4. Вскрыватели паролей (Password Crackers). Хакеры часто используют малоизвестные уязвимые места в компьютерах для того, чтобы украсть файлы с зашифрованными паролями. Затем они используют специальные программы для вскрытия паролей, которые могут обнаружить слабые пароли в этих зашифрованных файлах. Как только слабый пароль обнаружен, атакующий может войти в компьютер, как обычный пользователь и использовать разнообразные приемы для получения полного доступа к вашему компьютеру и вашей сети. Хотя это средство используются злоумышленниками, оно будет также полезно и системным администраторам. Они должны периодически запускать эти программы на свои зашифрованные файлы паролей, чтобы своевременно обнаружить слабые пароли.
5. Шифрование. Атакующие часто проникают в сети с помощью прослушивания сетевого трафика в наиболее важных местах и выделения из него имен пользователей и их паролей. Поэтому соединения с удаленными машинами, защищаемые с помощью пароля, должны быть зашифрованы. Это особенно важно в тех случаях, если соединение осуществляется по Интернет или с важным сервером. Имеется ряд коммерческих и бесплатных программ для шифрования трафика TCP/IP (наиболее известен SSH).
6. Сканеры уязвимых мест. Это программы, которые сканируют сеть в поисках компьютеров, уязвимых к определенным видам атак. Сканеры имеют большую базу данных уязвимых мест, которую они используют при проверке того или иного компьютера на наличие у него уязвимых мест. Имеются как коммерческие, так и бесплатные сканеры.
7. Грамотное конфигурирование компьютеров в отношении безопасности . Компьютеры с заново установленными операционными системами часто уязвимы к атакам. Причина этого заключается в том, что при начальной установке операционной системы обычно разрешаются все сетевые средства и часто разрешаются небезопасным образом. Это позволяет атакующему использовать много способов для организации атаки на машину. Все ненужные сетевые средства должны быть отключены.
8. Боевые диалеры(war dialer). Пользователи часто обходят средства защиты сети организации, разрешая своим компьютерам принимать входящие телефонные звонки. Пользователь перед уходом с работы включает модем и соответствующим образом настраивает программы на компьютере, после чего он может позвонить по модему из дома и использовать корпоративную сеть. Атакующие могут использовать программы-боевые диалеры для обзвонки большого числа телефонных номеров в поисках компьютеров, обрабатывающих входящие звонки. Так как пользователи обычно конфигурируют свои компьютеры сами, они часто оказываются плохо защищенными и дают атакующему еще одну возможность для организации атаки на сеть. Системные администраторы должны регулярно использовать боевые диалеры для проверки телефонных номеров своих пользователей и обнаружения сконфигурированных подобным образом компьютеров. Имеются как коммерческие, так и свободно распространяемые боевые диалеры.
9. Рекомендации по безопасности (security advisories). Рекомендации по безопасности - это предупреждения, публикуемые группами по борьбе с компьютерными преступлениями и производителями программ о недавно обнаруженных уязвимых местах. Рекомендации обычно описывают самые серьезные угрозы, возникающие из-за этих уязвимых мест и поэтому являются занимающими мало времени на чтение, но очень полезными. Они описывают в-целом угрозу и дают довольно конкретные советы о том, что нужно сделать для устранения данного узявимого места. Найти их можно в ряде мест, но двумя самыми полезными являются те рекомендации, которые публикует группа по борьбе с компьютерными преступлениями CIAC и CERT
10. Средства обнаружения атак (Intrusion Detection). Системы обнаружения атак оперативно обнаруживают компьютерные атаки. Они могут быть установлены за межсетевым экраном, чтобы обнаруживать атаки, организуемые изнутри сети. Или они могут быть установлены перед межсетевым экраном, чтобы обнаруживать атаки на межсетевой экран. Средства этого типа могут иметь разнообразные возможности. Имеется статья об их использовании и видах систем обнаружения атак
11. Средства выявления топологии сети и сканеры портов. Эти программы позволяют составить полную картину того, как устроена ваша сеть и какие компьютеры в ней работают, а также выявить все сервисы, которые работают на каждой машине. Атакующие используют эти средства для выявления уязвимых компьютеров и программ на них. Системные администраторы должны использовать эти средства для наблюдения за тем, какие программы и на каких компьютерах работают в их сети. С их помощью можно обнаружить неправильно сконфигурированные программы на компьютерах и установить исправления на них.
12. Группа по расследованию происшествий с безопасностью. В каждой сети, независимо от того, насколько она безопасна, происходят какие-либо события, связанные с безопасностью (может быть даже ложные тревоги). Сотрудники организации должны заранее знать, что нужно делать в том или ином случае. Важно заранее определить следующие моменты - когда вызывать правоохранительные органы, когда вызывать сотрудников группы по борьбе с компьютерными преступлениями, когда следует отключить сеть от Интернет, и что делать в случае компрометации важного сервера. CERTпредоставляет общие консультации в рамках США. FedCIRC отвечает за консультирование гражданских государственных учреждений в США.
13. Политики безопасности . Система сетевой безопасности насколько сильна, насколько сильно защищено самое слабое ее место. Если в рамках одной организации имеется несколько сетей с различными политиками безопасности, то одна сеть может быть скомпрометирована из-за плохой безопасности другой сети. Организации должны написать политику безопасности, в которой определялся бы ожидаемый уровень защиты, который должен быть везде единообразно реализован. Самым важным аспектом политики является выработка единых требований к тому, какой трафик должен пропускаться через межсетевые экраны сети. Также политика должна определять как и какие средства защиты (например, средства обнаружения атак или сканеры уязвимых мест) должны использоваться в сети. Для достижения единого уровня безопасности политика должна определять стандартные безопасные конфигурации для различных типов компьютеров.
14. Тестирование межсетевых экранов и WWW-серверов на устойчивость к попыткам их блокирования. Атаки на блокирование компьютера распространены в Интернет. Атакующие постоянно выводят из строя WWW-сайты, перегружают компьютеры или переполняют сети бессмысленными пакетами. Атаки этого типа могут быть очень серьезными, особенно если атакующий настолько умен, что организовал продолжительную атаку, у которой не выявить источник. Сети, заботящиеся о безопасности, могут организовать атаки против себя сами, чтобы определить, какой ущерб может быть нанесен им. Мы рекомендуем проводить этот вид анализа на уязвимость только опытным системным администраторам или специальным консультантам.
3. Основные цели и задачи информационной безопасности.
Информационная безопасность — это комплекс мероприятий, обеспечивающий для охватываемой им информации следующие факторы:
· конфиденциальность — возможность ознакомится с информацией (именно с данными или сведениями, несущими смысловую нагрузку, а не с последовательностью бит их представляющих) имеют в своем распоряжении только те лица, кто владеет соответствующими полномочиями;
· целостность — возможность внести изменение в информацию (опять речь идет о смысловом выражении) должны иметь только те лица, кто на это уполномочен;
· доступность — возможность получения авторизованного доступа к информации со стороны уполномоченных лиц в соответствующий санкционированный для работы период времени.
ОСНОВНЫМИ ЦЕЛЯМИ ЗАЩИТЫ ИНФОРМАЦИИ ЯВЛЯЮТСЯ:
· предотвращение утечки, хищения, искажения, подделки;
· обеспечение безопасности личности, общества, государства;
· предотвращение несанкционированного ознакомления, уничтожения, искажения, копирования, блокирования информации в информационных системах;
· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;
· сохранение государственной тайны, конфиденциальности документированной информации;
· соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах обработки;
· сохранение возможности управления процессом обработки и пользования информацией.
Одни технологии по защите системы и обеспечению учета всех событий могут быть встроены в сам компьютер, другие - в программы. Некоторые технологии выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах. Принятие решения о выборе уровня сложности технологий для защиты системы требует установления критичности информации и последующего определения адекватного уровня безопасности. К критическим данным следует отнести такие сведения, которые требуют защиты от возможного нанесения ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение или разрушение данных.
ОСНОВНЫМИ ЗАДАЧАМИ ЗАЩИТЫ ИНФОРМАЦИИ ТРАДИЦИОННО СЧИТАЮТСЯ ОБЕСПЕЧЕНИЕ:
· доступности (возможность за приемлемое время получить требуемую информационную услугу);
· конфиденциальности (защищенность информации от несанкционированного ознакомления);
· целостности (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
· юридической значимости.
Первые три задачи общеизвестны. Наиболее подробно эти задачи рассматриваются при проведении мероприятий по сохранению государственной тайны. Формирование и развитие отечественного рынка, стремящегося к полноценной интеграции с мировой торговой системой, также стимулируют интенсивное развитие индустрии информационной защиты.
Юридическая значимость информации приобретает важность в последнее время. Одной из причин этого является создание и развитие нормативно-правовой базы безопасности информации в нашей стране. Например, юридическая значимость актуальна при необходимости обеспечения строгого учета платежных документов и любых информационных услуг. Это экономическая основа работы информационных систем, она служит для соблюдения жесткой регламентации и регистрации доступа к информации при пользовании информационными ресурсами:
Развитие информационных технологий и клиенто-ориентированная деятельность организаций (особенно коммерческих) привели к возникновению новой задачи - нотаризации. Решение этой задачи обеспечивает юридически значимую регистрацию информации, что является очень важным при разборе возникающих конфликтов между заказчиками и исполнителями работ по информационному обслуживанию.
Проблемы информационной безопасности решаются, как правило, посредством создания специализированных систем защиты информации, которые должны обеспечивать безопасность информационной системы от несанкционированного доступа к информации и ресурсам, несанкционированных и непреднамеренных вредоносных воздействий. Система защиты информации является инструментом администраторов информационной безопасности, выполняющих функции по обеспечению защиты информационной системы и контролю ее защищенности.
4. Хранение цифровой информации в медицинских учреждениях и их информационная безопасность.
Безусловно, новейшие достижения в области информационных технологий – огромное подспорье в работе медицинских работников. Применение компьютерной техники, использование ресурсов различных информационных баз, передовые технологии связи и коммуникации позволяют врачам быстро и качественно решать огромное количество задач, гибко подходить к выполнению своих обязанностей.
Современные коммуникационные сети – сложнейшие системы, открывающие перед своими пользователями колоссальные возможности и именно это естественным образом обозначает проблемы, связанные с необходимостью организации надежной защиты медицинских учреждений в указанной сфере, так как хорошо известно – с ростом сложности системы возрастает ее уязвимость. До недавнего прошлого злоумышленнику, вознамерившемуся похитить, допустим, чужую историю болезни, необходимо было искать пути проникновения в здание, открывать окна, взламывать двери, находить неформальные подходы к персоналу, или, в конце концов, устраиваться на работу в медицинское учреждение для реализации преступных планов. А сейчас, обладая необходимой аппаратурой и знаниями, можно проникать во внутренние сети компаний с помощью беспроводного доступа, находясь на другом конце земного шара и получать доступ не только к медицинской информации, но и финансовой, маркетинговой, кадровой…
На лицо – возникновение качественно нового уровня угроз.
Было бы абсолютно неправильным, говоря о развитии информационных технологий, делать упор только лишь на количество компьютеров, установленных в той или иной больнице.
Взаимозависимость человека от технической системы обуславливает необходимость применения различных мер по снижению обоюдонаправленных угроз - развитие техники требует все большей заботы о ее защите от людей. Без этих мер не обойтись, так как при нынешней роли техники в нашей жизни любая неисправность может вызвать последствия, распространяющиеся далеко за рамки среды существования отдельного человека.