Статья опубликована в рамках: Научного журнала «Студенческий» № 38(208)
Рубрика журнала: Информационные технологии
Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2, скачать журнал часть 3, скачать журнал часть 4, скачать журнал часть 5, скачать журнал часть 6, скачать журнал часть 7, скачать журнал часть 8
РАЗРАБОТКА СИСТЕМЫ ДЛЯ ОБЕСПЕЧЕНИЯ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ ПОЛЬЗОВАТЕЛЕЙ
АННОТАЦИЯ
Статья посвящена рассмотрению уровня защищенности свободно распространяемой системы обеспечения технической поддержки, а также рассмотрению возможных методов защиты такой системы.
Ключевые слова: HelpDesk-система, служба поддержки, правила управления доступом, аутентификация, уязвимость.
Достаточно часто программное обеспечение с открытым исходным кодом бывает недостаточно защищено, что делает его использование небезопасным. Это особенно критично для небольших организаций, которые не всегда пользуются дорогостоящими проверенными продуктами. Использование небезопасного программного обеспечения может стать источником риска информационной безопасности организации [1, с. 6], поэтому цель данной работы – выявить уязвимости бесплатной системы и предложить методы их устранения.
Согласно рейтингу уязвимостей от OWASP [4], самыми распространенными из них являются:
- Нарушение контроля доступа;
- Сбои в криптографии;
- Внедрение кода;
- Небезопасный дизайн;
- Некорректная конфигурация;
- Уязвимые и устаревшие компоненты;
- Ошибки идентификации и аутентификации;
- Нарушения целостности данных;
- Журнал безопасности и сбои в мониторинге;
- Подделка запросов со стороны сервера.
Для анализа защищенности была выбрана свободно распространяемая система HESK [3], так как она является достаточно популярной и полностью бесплатной. Другие известные системы являются относительно бесплатными, так как они предоставляют самый минимальный функционал, а за другие необходимые для работы функции взимается дополнительная плата, например, как в системе FreeScout [2].
В системе HESK реализованы следующие средства защиты:
- Однофакторная аутентификация инженеров поддержки с использованием многоразового пароля;
- Конфиденциальные данные шифруются алгоритм криптографического хеширования;
- Отсутствие избыточного функционала и автоматического обновления;
Итак, в ходе анализа функционала и исходного кода системы HESK были выявлены три из десяти категории уязвимостей: ошибки идентификации и аутентификации, внедрение кода и журнал безопасности и сбои в мониторинге. Такой вывод был сделан исходя из того, что в системе не реализованы следующие меры защиты: проверка многоразовых паролей на сложность, усиленная аутентификация, регистрация событий в журнале мониторинга. Также для защиты от инъекций применен устаревший и уже неэффективный метод экранирования.
Таким образом для защиты системы от выявленных уязвимостей необходимо реализовать:
- Усиленную аутентификацию, как минимум с использованием одноразового кода подтверждения;
- Журнал регистрации событий и систему мониторинга подозрительных событий;
- Параметризацию запросов и ограничение вводимых пользователями данных.
Из всего вышеописанного можно заключить, что реализация вышеописанных методов защиты в системе технической поддержки пользователей сможет значительно снизить риски нарушения информационной безопасности организации, которая использует это программное обеспечение.
Список литературы:
- ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. — М.: Стандартинформ, 2018. – IV, 129 c.; 29 см.
- FreeScout [Электронный ресурс]. – Режим доступа: https://freescout.net. – Дата доступа: 15.11.2022.
- HESK [Электронный ресурс]. – Режим доступа: https://www.hesk.com. – Дата доступа: 15.11.2022.
- OWASP Foundation [Электронный ресурс]. – Режим доступа: https://owasp.org. – Дата доступа: 16.11.2022.
Оставить комментарий