Телефон: +7 (383)-312-14-32

Статья опубликована в рамках: XXXIX Международной научно-практической конференции «Наука вчера, сегодня, завтра» (Россия, г. Новосибирск, 12 октября 2016 г.)

Наука: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Коноваленко С.А., Королев И.Д., Симонов А.В. Оценка существующих средств анализа защищенности информационных систем // Наука вчера, сегодня, завтра: сб. ст. по матер. XXXIX междунар. науч.-практ. конф. № 10(32). – Новосибирск: СибАК, 2016. – С. 6-15.
Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

Оценка существующих средств анализа защищенности информационных систем

Коноваленко Сергей Александрович

оператор научной роты Краснодарского высшего военного училища,

РФ, г. Краснодар

Королев Игорь Дмитриевич

оператор научной роты Краснодарского высшего военного училища,

РФ, г. Краснодар

Симонов Александр Валерьевич

оператор научной роты Краснодарского высшего военного училища,

РФ, г. Краснодар

EVALUATION OF EXISTING TOOLS FOR ANALYZING INFORMATION SYSTEMS SECURITY

Sergei Konovalenko

postgraduate of Krasnodar higher military school,

Russia, Krasnodar

Igor Korolev

doctor of Engineering, Professor, Professor of the department of protected information technologies, Krasnodar higher military school,

Russia, Krasnodar

Alexander Simonov

scientific company operator of Krasnodar higher military school,

Russia, Krasnodar

 

АННОТАЦИЯ

Проведена оценка существующих средств анализа защищенности информационных систем на основе их базовых функциональных возможностей. Определены основные преимущества и недостатки средств анализа защищенности, которые позволят облегчить выбор специалиста, занимающегося обеспечением безопасности контролируемой информационной системы.

ABSTRACT

An assessment of existing tools for analyzing the security of information systems on the basis of their basic functionality. The main advantages and disadvantages of the analysis of security tools that will facilitate the selection of a specialist dealing with controlled information system security.

 

Ключевые слова: информационная система; средство анализа защищенности; функциональные возможности.

Keywords: information system; security analysis tool; functionality.

 

Контроль защищенности информационных систем (далее по тексту – ИС) является одним из основополагающих элементов в управленческой деятельности специалиста по обеспечению безопасности информации. Ввиду важности этой функции ее часто отделяют от других функций систем управления и реализуют специальными средствами.

В настоящей статье оценка существующих средств анализа защищенности ИС (далее по тексту – САЗ ИС) (таблица 1) осуществлялась без учета установки дополнительных утилит, позволяющих расширять базовые функциональные возможности средств. Оценка САЗ ИС производилась, на наш взгляд, по наиболее приоритетным базовым функциональным возможностям, которые однозначно раскрывают способности средств [1; 2; 3; 4; 5; 6; 7; 8; 9; 10].

Данная статья будет интересна специалистам, занимающимся обеспечением безопасности, контролируемой ИС, и позволит им сократить временные затраты на осуществление выбора необходимого САЗ.

Выбор определенных САЗ ИС для проведения их оценки был обусловлен следующим:

  • популярностью и доступностью САЗ;
  • наличием лицензий и сертификатов ФСТЭК России;
  • авторитетностью разработчика САЗ;
  • наличием расширенного перечня базовых функциональных возможностей САЗ.

Таблица 1.

Оценка существующих средств анализа защищенности ИС

№ п/п

Базовые функциональные возможности

Max Patrol

XSpider

Internet Scanner

Nessus

Сканер-ВС

1.

Графический интерфейс САЗ.

русско-язычный

русско-язычный

англо-язычный

англо-язычный

русско-язычный

2.

Удаленный мониторинг ИС посредствам механизмов удаленного администрирования (без необходимости установки на них специализированных агентов).

+

+

+

+

+

3.

Автоматическое выявление уязвимостей путем сканирования/зондирования ИС.

+

+

+

+

+

4.

Анализ защищенности ИС на прикладном уровне.

+

+

+

+

5.

Анализ защищенности ИС на уровне системы управления базами данных (далее по тексту - СУБД).

+

+

6.

Анализ защищенности ИС на уровне операционной системы (далее по тексту – ОС).

+

+

 +

+

+

7.

Анализ защищенности ИС на сетевом уровне.

+

+

+

+

+

8.

Анализ безопасности web-приложений и web-серверов.

+

+

+

+

9.

Встроенный планировщик сканирования (сканирование по расписанию).

+

+

+

+

+

10.

Эвристические и корреляционные модели обнаружения и анализа уязвимостей контролируемых ИС.

+

+

11.

Эвристический метод определения типов (версий) и имен сетевых сервисов (сетевых служб) по особенностям протоколов, вне зависимости от их ответа на стандартные запросы.

+

+

+

12.

Анализ состояния защищенности коммуникационного оборудования (маршрутизаторов, коммутаторов и т. п.).

+

+

+

+

13.

Построение карты контролируемой вычислительной сети.

+

+

14.

Автоматический выбор наиболее безопасного протокола для соединения с контролируемым хостом.

+

+

15.

Наличие встроенных шаблонов и возможность создания пользовательских требований (политик) безопасности, применяемых в контролируемой ИС.

+

+

16.

Проверка контролируемой ИС на соответствие встроенным техническим стандартам и пользовательским требованиям (политикам) безопасности.

+

автома-тическая

+

ручная

17.

Устранение несоответствий встроенным и пользовательским требованиям (политикам) безопасности.

+

автома-тическое

+

ручное

18.

Поддерживаемые семейства ОС для установки САЗ.

Win-dows,

Win-dows

Windo-ws, Linux,

Unix

Win-dows, Linux,

Unix, Mac OS

является ОС

19.

  • Процесс инвентаризации ИС (сервера, рабочие станции, межсетевые экраны, маршрутизаторы, коммутаторы и т. п.) и их программно-аппаратного обеспечения. Контроль изменений ИС.

автома-тичес-кий

автома-тичес-кий

стати-ческий

стати-ческий

стати-ческий

20.

Автоматизированное формирование отчетов (оценка защищенности) о состоянии отдельных хостов или всей контролируемой ИС в разные периоды времени.

+

+

+

+

+

21.

Поддержка встроенных шаблонов отчетов/ возможность создания пользовательских форм отчетов.

+/+

+/+

+/+

+/+

+/—

22.

Дифференцированная система отчетности (технический, аналитический, управленческий отчет).

+

+

+

+

23.

Доставка до пользователей отчетов о результатах сканирования или работы средства.

+

+

+

+

24.

Хранение исторических данных о состоянии контролируемых ИС и их изменениях. Ведение истории всех проводимых проверок.

+

+

+

+

+

25.

Способность к избирательному и структурированному сохранению собранной информации в целях оптимизации объема базы данных (далее по тексту – БД).

+

26.

Способность определения последовательности сканирования контролируемых хостов.

+

+

+

+

+

27.

Возможность одновременного сканирования достаточно большого количества хостов или способность определения необходимого количества хостов, подлежащих сканированию.

+

+

+

+

+

28.

Возможность объединения хостов в группы для проведения однотипного (сходного) сканирования.

+

+

+

+

+

29.

Поддержка систематического обновления БД уязвимостей через Internet/через локальный сервер обновлений системы (самостоятельно).

+/+

+/+

+/—

+/—

—/+

30.

Поддержка процедур идентификации и аутентификации пользователя.

+

+

+

+

31.

Защита данных при передаче по сетевому трафику.

+

+

+

+

32.

Поддержка интеграции с существующей системой открытых ключей (PKI).

+

33.

Поддержка российских сертифицированных криптографических алгоритмов.

+

34.

Встроенная эксплуатационная документация по использованию средства.

+

+

+

+

+

35.

Поддержка системы разграничения прав доступа к определенным группам объектов и выполнения над ними определенных операций управления (сканирования).

+

+

+

+

+

36.

Наличие лицензий и сертификатов ФСТЭК России.

+

+

+

37.

Способность создания эталонных шаблонов конфигураций контролируемых ИС.

+

+

+

38.

Наличие встроенных шаблонов сканирования/ возможность создания пользовательских шаблонов сканирования.

+/+

+/+

+/+

+/+

+/—

39.

Возможность удаленного управления средством через клиентскую часть, которая подключена к серверу сканирования.

+

+

40.

Сбор информации в режиме реального времени.

+

+

+

+

+

41.

Описание выявленной уязвимости.

+

+

+

+

+

42.

Использование стандартных идентификаторов уязвимостей (CVE).

+

+

+

+

43.

Оценка степени риска выявленной уязвимости посредствам расчета CVSS.

+

+

+

+

+

44.

Способность создания шаблона действий при выявлении определенной уязвимости или при наступлении события, определенного политикой безопасности.

+

45.

Реализация поисковых функций внутри средства (поиск важной информации в БД и файлах).

+

+

+

46.

Стоимостный показатель продукта (в долларах).

45000

1200

12000

бес-платная для сетей класса «С»

921

47.

Способность средства к расширяемости посредствам применения пользовательских плагинов (команд контроля), позволяющих обеспечить сбор дополнительной информации, необходимой для выявления неизвестной уязвимости ИС.

+

+

+

+

+

48.

Способность идентификации сетевых сервисов и приложений на не стандартных портах.

+

+

+

49.

Возможность повторного сканирования отдельных сервисов.

+

+

50.

Автоматическое снижение количества передаваемых пакетов данных при превышении пропускной способности (MTU).

+

51.

Способность приостанавливать и возобновлять процесс сканирования контролируемой ИС.

+

+

+

+

52.

Возможность применения в виртуальных средах VMware.

+

+

+

+

+

53.

Проверка парольной защиты контролируемой ИС.

+

+

+

+

+

54.

Встроенный механизм обновления программного обеспечения (далее по тексту - ПО) САЗ.

автома-тичес-кий

автома-тичес-кий

ручной

ручной

ручной

55.

Поддержка командной строки.

+

+

+

+

+

56.

Аудит беспроводных сетей.

+

+

57.

Выработка рекомендаций по устранению выявленной уязвимости или исключению возможности ее использования.

+

+

+

+

+

 

 

В приведенной оценке САЗ ИС определены их основные преимущества и недостатки. Лидирующие позиции в области контроля защищенности ИС занимает САЗ – Max Patrol, но несмотря на это оно так же обладает рядом недостатков, указанных в таблице 1.

Стоит отметить общие недостатки, присущие всем без исключения САЗ, которые не приведены в таблице 1:

  • повышенная загруженность сетевого трафика, за счет формирования САЗ сканирующих воздействий (повышенная интенсивность в передаче и приеме пакетов данных), что, в первую очередь, негативно воздействует на производительность ИС (время реакции, пропускную способность, задержку в передаче данных), и во вторую очередь, критически характеризует принципы централизованного построения системы мониторинга ИС, а в отдельных случаях вообще может говорить о его недееспособности и не состоятельности;
  • агрегирование в САЗ достаточно большого объема собираемых параметрических данных о состоянии контролируемых ИС, которые в принципе можно было бы оптимизировать и приоритезировать, что несомненно бы облегчило и ускорило процесс их восприятия специалистом в целях сокращения времени на принятие организационного решения;
  • ограниченность в выявлении неизвестных уязвимостей, а также не способность оперативного противодействия уязвимостям нулевого дня и впервые выявленным уязвимостям, как следствие зависимость от разработчиков компонентов мер защиты информации, исправлений недостатков или соответствующих обновлений ИС;
  • функционирование САЗ напрямую зависит от деятельности специалиста (свидетельствует о наличии субъективного человеческого фактора) в вопросах систематического обновления действующей БД уязвимостей и грамотного формирования необходимого списка сканирования (проверок) контролируемой ИС;
  • наличие пропусков в процессе идентификации уязвимостей, связанных в отдельных случаях с необходимостью аутентификации (т. е. подключение к хосту с использованием учетной записи), с ошибками реализации существующих шаблонов сканирования или вообще с отсутствием в САЗ необходимого алгоритма сканирования (проверки) и т. п.;
  • присутствие некого чувства недоверия результатам проверок, проводимых методом сканирования (баннеры, возвращаемых пакетов данных от контролируемых ИС, подвержены изменению), а с другой стороны, наличие опасения в применении метода зондирования (имитирование атаки на контролируемую ИС) в целях подтверждения результатов сканирования, который может неблагоприятно воздействовать на работоспособность ИС, вследствие чего, формируется недостаток, выраженный в отсутствии автоматизированного процесса выбора (без задействования специалиста) наиболее подходящего метода (шаблона) сканирования, либо зондирования контролируемой ИС в определенный период времени;
  • отсутствие единого алгоритма (системы, последовательности) в настройке конфигураций различных САЗ (индивидуализация настроечной работы на каждом САЗ), связанное с не однотипностью и обширным кругом применяемых семейств ОС, установленных на них ПО, и активного сетевого коммуникационного оборудования;
  • распространенность установки серверной части САЗ, функционирующей в большей степени под ОС Windows, чем под всеми остальными семействами ОС;
  • сканирование в основном только базовых свойств наиболее распространенных семейств ОС и коммуникационного оборудования, без учета тонкостей в индивидуальных настройках каждой ИС, что приводит к вероятности частого ложного срабатывания САЗ или к случаям не определения признаков сетевой атаки;
  • не в полной мере удовлетворяющий результат работы САЗ, получаемый при идентификации сетевых сервисов (сетевых служб), запущенных на UDP-портах, что связано с не ориентированностью UDP протокола на установление гарантированного соединения;
  • не автоматизированный процесс сравнения двух отчетов (без задействования специалиста) и представления сравнительных результатов;
  • достаточно высокий стоимостный показатель САЗ;
  • отсутствие возможности удаленного блокирования контролируемой ИС (хоста), на которой выявлена критическая неизвестная уязвимость;
  • не в полной мере, реализованы механизмы автоматизированного функционирования САЗ, сопряженные с пользовательской (ручной) возможностью корректировки работы в любой момент времени.

Подводя итоги, можно сделать вывод, что проведенная оценка существующих САЗ указывает на два возможных подхода в реализации контроля защищенности ИС:

  1. Для контроля защищенности ИС возможно применять одно из существующих САЗ (например, САЗ Max Patrol, которое, по нашему мнению, обладает достаточно большим перечнем базовых функциональных возможностей, хоть и не лишено недостатков).
  2. Контроль защищенности ИС необходимо построить посредствам комбинированного комплекса, который синтезирует в себе совокупность базовых функциональных возможностей разных САЗ, причем он, в идеале, должен быть лишен недостатков, присущих этим средствам.

Конечно, первый подход для многих выглядит более привлекательным, так как не является трудоемким и не требует от специалиста дополнительных умственных, временных и иных затрат. С другой стороны, второй подход можно отнести к более перспективному и инновационному. Правда, в нем может прослеживаться проблема, выраженная в сложности единого представления большого количества собираемых параметрических данных с их дальнейшей обработкой.

 

Список литературы:

  1. Астахов А.С. Анализ защищенности корпоративных автоматизированных сетей – [Электронный ресурс] – // Информационный бюллетень Jet Info. – 2002. – № 7 (110). – С. 18–19. – URL: http://www.jetinfo.ru (Дата обращения: 15.09.2016).
  2. Андерсон Г. Введение в Nessus – [Электронный ресурс]. – Режим доступа. – URL: http://www.securitylab.ru (Дата обращения: 28.09.2016).
  3. Лепихин В.Б. Сравнительный анализ сканеров безопасности. Часть 1. Тест на проникновение. – М.: Информзащита, 2008. – 50 с.
  4. Проверки Nessus с использованием учетных данных для ОС Unix и Windows – [Электронный ресурс]. – Режим доступа. – URL: http://www.weta.ru (Дата обращения: 27.09.2016).
  5. Проверки соответствия Nessus. Система аудита конфигураций и содержимого – [Электронный ресурс] – Режим доступа. – URL: http://www.static.tenable.com (Дата обращения: 29.09.2016).
  6. Руководство пользователя программного комплекса «Средство анализа защищенности «Сканер-ВС». НПЭШ.00606-01. ЗАО «НПО «Эшелон», 2011.
  7. Система анализа защищенности Internet Scanner – [Электронный ресурс] – Режим доступа. – URL: http://www.citforum.ru (Дата обращения: 02.10.2016).
  8. Сканер безопасности XSpider. Руководство администратора – [Электронный ресурс] – Режим доступа. - URL: http://www.ptsecurity.ru (Дата обращения: 15.09.2016).
  9. Сканер безопасности Nessus. Руководство пользователя сервера Nessus 4.4 – [Электронный ресурс] – Режим доступа. – URL: http://www.weta.ru (Дата обращения: 27.09.2016).
  10. Сканер безопасности Max Patrol. Система контроля защищенности – [Электронный ресурс] – Режим доступа. – URL: http://www.ptsecurity.ru (Дата обращения: 16.09.2016).
Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом