Оценка существующих средств анализа защищенности информационных систем

EVALUATION OF EXISTING TOOLS FOR ANALYZING INFORMATION SYSTEMS SECURITY

Sergei Konovalenko

postgraduate of Krasnodar higher military school,

Russia, Krasnodar

Igor Korolev

doctor of Engineering, Professor, Professor of the department of protected information technologies, Krasnodar higher military school,

Russia, Krasnodar

Alexander Simonov

scientific company operator of Krasnodar higher military school,

Russia, Krasnodar

АННОТАЦИЯ

Проведена оценка существующих средств анализа защищенности информационных систем на основе их базовых функциональных возможностей. Определены основные преимущества и недостатки средств анализа защищенности, которые позволят облегчить выбор специалиста, занимающегося обеспечением безопасности контролируемой информационной системы.

ABSTRACT

An assessment of existing tools for analyzing the security of information systems on the basis of their basic functionality. The main advantages and disadvantages of the analysis of security tools that will facilitate the selection of a specialist dealing with controlled information system security.

Ключевые слова: информационная система; средство анализа защищенности; функциональные возможности.

Keywords: information system; security analysis tool; functionality.

Контроль защищенности информационных систем (далее по тексту – ИС) является одним из основополагающих элементов в управленческой деятельности специалиста по обеспечению безопасности информации. Ввиду важности этой функции ее часто отделяют от других функций систем управления и реализуют специальными средствами.

В настоящей статье оценка существующих средств анализа защищенности ИС (далее по тексту – САЗ ИС) (таблица 1) осуществлялась без учета установки дополнительных утилит, позволяющих расширять базовые функциональные возможности средств. Оценка САЗ ИС производилась, на наш взгляд, по наиболее приоритетным базовым функциональным возможностям, которые однозначно раскрывают способности средств [1; 2; 3; 4; 5; 6; 7; 8; 9; 10].

Данная статья будет интересна специалистам, занимающимся обеспечением безопасности, контролируемой ИС, и позволит им сократить временные затраты на осуществление выбора необходимого САЗ.

Выбор определенных САЗ ИС для проведения их оценки был обусловлен следующим:

• популярностью и доступностью САЗ;
• наличием лицензий и сертификатов ФСТЭК России;
• авторитетностью разработчика САЗ;
• наличием расширенного перечня базовых функциональных возможностей САЗ.

Таблица 1.

Оценка существующих средств анализа защищенности ИС

В приведенной оценке САЗ ИС определены их основные преимущества и недостатки. Лидирующие позиции в области контроля защищенности ИС занимает САЗ – Max Patrol, но несмотря на это оно так же обладает рядом недостатков, указанных в таблице 1.

Стоит отметить общие недостатки, присущие всем без исключения САЗ, которые не приведены в таблице 1:

• повышенная загруженность сетевого трафика, за счет формирования САЗ сканирующих воздействий (повышенная интенсивность в передаче и приеме пакетов данных), что, в первую очередь, негативно воздействует на производительность ИС (время реакции, пропускную способность, задержку в передаче данных), и во вторую очередь, критически характеризует принципы централизованного построения системы мониторинга ИС, а в отдельных случаях вообще может говорить о его недееспособности и не состоятельности;
• агрегирование в САЗ достаточно большого объема собираемых параметрических данных о состоянии контролируемых ИС, которые в принципе можно было бы оптимизировать и приоритезировать, что несомненно бы облегчило и ускорило процесс их восприятия специалистом в целях сокращения времени на принятие организационного решения;
• ограниченность в выявлении неизвестных уязвимостей, а также не способность оперативного противодействия уязвимостям нулевого дня и впервые выявленным уязвимостям, как следствие зависимость от разработчиков компонентов мер защиты информации, исправлений недостатков или соответствующих обновлений ИС;
• функционирование САЗ напрямую зависит от деятельности специалиста (свидетельствует о наличии субъективного человеческого фактора) в вопросах систематического обновления действующей БД уязвимостей и грамотного формирования необходимого списка сканирования (проверок) контролируемой ИС;
• наличие пропусков в процессе идентификации уязвимостей, связанных в отдельных случаях с необходимостью аутентификации (т. е. подключение к хосту с использованием учетной записи), с ошибками реализации существующих шаблонов сканирования или вообще с отсутствием в САЗ необходимого алгоритма сканирования (проверки) и т. п.;
• присутствие некого чувства недоверия результатам проверок, проводимых методом сканирования (баннеры, возвращаемых пакетов данных от контролируемых ИС, подвержены изменению), а с другой стороны, наличие опасения в применении метода зондирования (имитирование атаки на контролируемую ИС) в целях подтверждения результатов сканирования, который может неблагоприятно воздействовать на работоспособность ИС, вследствие чего, формируется недостаток, выраженный в отсутствии автоматизированного процесса выбора (без задействования специалиста) наиболее подходящего метода (шаблона) сканирования, либо зондирования контролируемой ИС в определенный период времени;
• отсутствие единого алгоритма (системы, последовательности) в настройке конфигураций различных САЗ (индивидуализация настроечной работы на каждом САЗ), связанное с не однотипностью и обширным кругом применяемых семейств ОС, установленных на них ПО, и активного сетевого коммуникационного оборудования;
• распространенность установки серверной части САЗ, функционирующей в большей степени под ОС Windows, чем под всеми остальными семействами ОС;
• сканирование в основном только базовых свойств наиболее распространенных семейств ОС и коммуникационного оборудования, без учета тонкостей в индивидуальных настройках каждой ИС, что приводит к вероятности частого ложного срабатывания САЗ или к случаям не определения признаков сетевой атаки;
• не в полной мере удовлетворяющий результат работы САЗ, получаемый при идентификации сетевых сервисов (сетевых служб), запущенных на UDP-портах, что связано с не ориентированностью UDP протокола на установление гарантированного соединения;
• не автоматизированный процесс сравнения двух отчетов (без задействования специалиста) и представления сравнительных результатов;
• достаточно высокий стоимостный показатель САЗ;
• отсутствие возможности удаленного блокирования контролируемой ИС (хоста), на которой выявлена критическая неизвестная уязвимость;
• не в полной мере, реализованы механизмы автоматизированного функционирования САЗ, сопряженные с пользовательской (ручной) возможностью корректировки работы в любой момент времени.

Подводя итоги, можно сделать вывод, что проведенная оценка существующих САЗ указывает на два возможных подхода в реализации контроля защищенности ИС:

1. Для контроля защищенности ИС возможно применять одно из существующих САЗ (например, САЗ Max Patrol, которое, по нашему мнению, обладает достаточно большим перечнем базовых функциональных возможностей, хоть и не лишено недостатков).
2. Контроль защищенности ИС необходимо построить посредствам комбинированного комплекса, который синтезирует в себе совокупность базовых функциональных возможностей разных САЗ, причем он, в идеале, должен быть лишен недостатков, присущих этим средствам.

Конечно, первый подход для многих выглядит более привлекательным, так как не является трудоемким и не требует от специалиста дополнительных умственных, временных и иных затрат. С другой стороны, второй подход можно отнести к более перспективному и инновационному. Правда, в нем может прослеживаться проблема, выраженная в сложности единого представления большого количества собираемых параметрических данных с их дальнейшей обработкой.

Список литературы:

1. Астахов А.С. Анализ защищенности корпоративных автоматизированных сетей – [Электронный ресурс] – // Информационный бюллетень Jet Info. – 2002. – № 7 (110). – С. 18–19. – URL: http://www.jetinfo.ru (Дата обращения: 15.09.2016).
2. Андерсон Г. Введение в Nessus – [Электронный ресурс]. – Режим доступа. – URL: http://www.securitylab.ru (Дата обращения: 28.09.2016).
3. Лепихин В.Б. Сравнительный анализ сканеров безопасности. Часть 1. Тест на проникновение. – М.: Информзащита, 2008. – 50 с.
4. Проверки Nessus с использованием учетных данных для ОС Unix и Windows – [Электронный ресурс]. – Режим доступа. – URL: http://www.weta.ru (Дата обращения: 27.09.2016).
5. Проверки соответствия Nessus. Система аудита конфигураций и содержимого – [Электронный ресурс] – Режим доступа. – URL: http://www.static.tenable.com (Дата обращения: 29.09.2016).
6. Руководство пользователя программного комплекса «Средство анализа защищенности «Сканер-ВС». НПЭШ.00606-01. ЗАО «НПО «Эшелон», 2011.
7. Система анализа защищенности Internet Scanner – [Электронный ресурс] – Режим доступа. – URL: http://www.citforum.ru (Дата обращения: 02.10.2016).
8. Сканер безопасности XSpider. Руководство администратора – [Электронный ресурс] – Режим доступа. - URL: http://www.ptsecurity.ru (Дата обращения: 15.09.2016).
9. Сканер безопасности Nessus. Руководство пользователя сервера Nessus 4.4 – [Электронный ресурс] – Режим доступа. – URL: http://www.weta.ru (Дата обращения: 27.09.2016).
10. Сканер безопасности Max Patrol. Система контроля защищенности – [Электронный ресурс] – Режим доступа. – URL: http://www.ptsecurity.ru (Дата обращения: 16.09.2016).