воскресенье, 15 ноября 2009 г.

ISSP \ Домен 02. Управление доступом. Часть 10

В этой части рассмотрены следующие вопросы:
  • Типы управления доступом
  • Превентивные: Административные
  • Превентивные: Физические
  • Превентивные: Технические
  • Подотчетность
  • Анализ журналов регистрации событий
  • Мониторинг нажатия клавиш
  • Защита данных аудита и журналов регистрации событий

Обновлено: 28.03.2010

Различные типы управления доступом (административный, физический и технический) работают на разных уровнях в рамках своих категорий. Например, охранники являются разновидностью защитных мер, которые предназначены для того, чтобы отпугнуть злоумышленника и предоставить доступ в здание только уполномоченному персоналу. Если злоумышленник сможет так или иначе преодолеть или обмануть охранников, его зафиксируют датчики движения, остановят замки на дверях, сработает сигнализация. Эти уровни изображены на рисунке 2-17.

Рисунок 2-17. Безопасность должна быть реализована в виде отдельных уровней, которые ставят различные барьеры для злоумышленника

Различные защитные меры работают с разной степенью детализации и имеют разную функциональность. Существуют следующие виды мер: превентивные, детективные, корректирующие, сдерживающие (устрашающие), восстанавливающие, компенсирующие и руководящие.

Хорошо понимая функции различных защитных мер, вы сможете принимать более правильные решения о том, какие меры лучше всего использовать в той или иной ситуации. Существует семь разновидностей функциональности управления доступом:
  • Сдерживание – предназначены для сдерживания (устрашения) потенциального злоумышленника
  • Превентивные меры – предназначены для предотвращения инцидента
  • Корректировка – предназначена исправление компонентов или систем после инцидента
  • Восстановление – предназначено для восстановления функционирования защитных мер
  • Детективные меры – помогают выявить связанную с инцидентом деятельность
  • Компенсирующие меры – обеспечивают альтернативные варианты защиты
  • Руководящие меры – обязательные защитные меры, которые должны быть реализованы в соответствии с действующими требованиями
Для обеспечения безопасности окружения наиболее эффективно применять превентивную модель, а затем для поддержки этой модели использовать детективные, восстанавливающие и корректирующие механизмы. Обычно мы хотим предотвратить проблемы и не допустить, чтобы они произошли, однако нужно быть готовыми адекватно реагировать на неприятности, если они все-таки случаться. Все защитные меры следует строить на основе концепции превентивной защиты. Однако невозможно предотвратить все, и мы должны иметь возможность быстро обнаруживать проблемы, которые мы не в состоянии предотвратить. Именно поэтому всегда следует внедрять одновременно и превентивные и детективные меры, которые будут дополнять друг друга. Если мы обнаруживаем проблему, мы должны принять корректирующие меры для исправления ситуации, а также для того, чтобы предотвратить это в следующий раз. Таким образом, все три вида защитных мер работают вместе: превентивные, детективные и корректирующие.

Описанные далее типы защитных мер (административные, физические и технические) являются превентивными. Это важно понимать при разработке модели безопасного управления доступом, а также при сдаче экзамена CISSP.


Для обеспечения управления доступом и защиты компании в целом применяются следующие механизмы:
ПРИМЕЧАНИЕ. Очень хорошея практикой является требование от сотрудников подписание соглашения о неразглашении информации и порядке использования ресурсов, к которым им будет предоставлен доступ. Это соглашение может использоваться как некая гарантия неразглашения информации компании после увольнения сотрудника, либо как основание для привлечения сотрудника к ответственности за ненадлежащее использование ресурсов компании, либо разглашение информации. Именно неправильное управление доступом является причиной большинства случаев несанкционированного доступа.

Следующие механизмы могут физически ограничивать доступ в здание, отдельные помещения или к компьютерным системам.
  • Бейджи, магнитные карты
  • Охрана, собаки
  • Ограждения, замки, шлюзы

Следующие механизмы являются логическими мерами и могут быть реализованы, как часть операционной системы, в виде приложений третьих фирм или в виде аппаратных устройств.
Таблица 2-3 показывает, как эти категории механизмов управления доступом выполняют различные функции безопасности. Однако следует отметить, что таблица 2-3 не покрывает все их возможности. Например, ограждения могут обеспечивать как превентивные, так и сдерживающие меры, усложняя злоумышленникам доступ в здание, но они также могут быть и компенсирующей мерой. Если компания не может себе позволить нанять охрану, она может установить ограждения в качестве компенсирующей физической меры. Каждая защитная мера может использоваться шире, чем это указано в таблице. Таблица 2-3 – это только пример, показывающий взаимоотношения между различными защитными мерами и атрибутами безопасности, которые они предоставляют.

Таблица 2-3. Функциональность защитных мер

ПРИМЕЧАНИЕ. Замки обычно считают задерживающими механизмами, поскольку они только задерживают злоумышленника на некоторое время. Их цель – задержать злоумышленника на время, достаточное для реакции на инцидент правоохранительным органам или охране.
Любые меры могут, в конечном счете, быть компенсирующими. Компания может выбрать компенсирующие меры, если другие меры слишком дороги, но защита все-таки необходима. Например, компания не может себе позволить нанять охрану, поэтому она устанавливает ограждения, которые будут являться компенсирующей мерой. Другой причиной использовать компенсирующие меры являются потребности бизнеса. Если специалисты по безопасности рекомендуют закрыть определенный порт на межсетевом экране, но бизнес требует доступности для внешних пользователей сервиса, который работает через этот порт, в этом случае могут быть внедрены компенсирующие меры в виде системы обнаружения вторжений (IDS), которая будет отслеживать весь трафик, поступающий на этот порт. Существует несколько видов механизмов безопасности, которые должны работать совместно. Однако сложность защитных мер и окружения, в котором они находятся, может привести к тому, что некоторые меры будут противоречить друг другу, либо оставлять «дыры» в системе безопасности. Это, в свою очередь, может привести к появлению неожиданных недостатков в системе безопасности компании, которые не были выявлены или не были полностью поняты специалистами, внедрявшими защитные механизмы. Компания может иметь очень стойкие технические меры управления доступом, а также все необходимые административные меры, но если любой человек сможет получить физический доступ к любой системе в здании, возникнет реальная угроза безопасности всей среды. Все эти защитные меры должны работать в гармонии для обеспечения здорового, безопасного и продуктивного окружения.


Возможности аудита обеспечивают ответственность пользователей за свои действия, проверку соблюдения политики безопасности, а также могут быть использованы при проведении расследований. Есть целый ряд причин, по которым сетевые администраторы и специалисты по безопасности хотят быть уверены, что механизмы журналирования событий включены и правильно настроены: для отслеживания неправильных действий пользователей, выявления вторжений, реконструкции событий и состояния системы, предоставления материалов по запросам правоохранительных органов, подготовки отчетов о проблемах. Журналы регистрации событий хранят горы информации – не так просто «расшифровать» ее и представить в наглядном и удобном для использования виде.

Подотчетность обеспечивается отслеживаем и записью системой действий пользователя, системы и приложения. Эта запись выполняется посредством функций и механизмов, встроенных в операционную систему или приложение. Журнал регистрации событий содержит информацию о действиях операционной системы, событиях приложений, а также действиях пользователей. Этот журнал может использоваться, в том числе, для проверки правильности работы системы, выявления ошибок и условий, при которых они возникают. После критического сбоя системы сетевой администратор просматривает журналы регистрации событий, пытаясь восстановить информацию о состоянии системы в момент аварии и понять какие события могли привести к ней.

Журналы регистрации событий могут также использоваться для выдачи предупреждений в случае выявления подозрительных действий, которые могут быть расследованы позднее. Дополнительно они могут быть очень ценны при определении, как далеко зашла атака, и какие повреждения она вызвала. Важно убедиться, что обеспечивается надлежащая защита журналов регистрации событий, гарантирующая, что любые собранные данные могут быть в случае необходимости предоставлены в неизменном виде и полном объеме для проведения расследований.

Целесообразно учитывать следующие моменты при организации системы аудита:
  • Журналы регистрации событий должны храниться защищенным образом
  • Следует использовать надежные инструменты работы с файлами журналов регистрации событий, которые сохраняют размер файлов журналов
  • Журналы регистрации событий должны быть защищены от изменения неуполномоченными лицами
  • Следует обучать соответствующий персонал правильным процедурам анализа данных в журналах регистрации событий
  • Необходимо обеспечить гарантии того, что удаление журналов регистрации событий доступно только администраторам
  • Журналы регистрации событий должны включать в себя действия всех высокопривилегированных учетных записей (root, administrator)
Администратор настраивает систему аудита, указывая, какие действия и события должны отслеживаться и журналироваться. В высокозащищенной среде администратор может настроить журналирование большего количества действий и установить порог критичности этих действий. События могут просматриваться для выявления недостатков в системе безопасности и нарушений политики безопасности. Если среда не требует такого уровня безопасности, анализируемых событий в ней может быть меньше, а пороги – выше.

Список событий и действий, которые подлежат журналированию, может стать бесконечным. Специалист по безопасности должен быть способен оценить среду и цели безопасности, знать, какие действия подлежат аудиту, понимать, что нужно делать с собранной информацией. При этом не должно расходоваться слишком много дискового пространства, процессорных ресурсов и рабочего времени персонала. Ниже приведен обзор групп событий и действий, которые могут быть выявлены и журналированы:
  • События системного уровня 
    • Производительность системы
    • Попытки регистрации пользователей (успешные и неудачные)
    • Идентификатор регистрирующегося пользователя
    • Дата и время каждой попытки регистрации
    • Блокировка пользователей и терминалов
    • Использование административных утилит
    • Использование устройств
    • Выполнение функций
    • Запросы на изменение конфигурационных файлов
  • События прикладного уровня 
    • Сообщения об ошибках
    • Открытия и закрытия файлов
    • Изменения файлов
    • Нарушения безопасности в рамках приложения
  • События пользовательского уровня
    • Попытки идентификации и аутентификации
    • Использование файлов, сервисов и ресурсов
    • Выполнение команд
    • Нарушения безопасности
Должен быть настроен порог (уровень отсечения) и параметры для каждого из этих событий и действий (например, администратор может настроить учет всех попыток регистрации, либо только неудачных). В качестве счетчиков производительности может использоваться, к примеру, объем дискового пространства, используемого за восьмичасовой период.

Система обнаружения вторжений (IDS) должна постоянно сканировать журнал регистрации событий на предмет подозрительный действий. При выявлении нежелательных событий или событий, свидетельствующих о попытке вторжения, журналы регистрации событий должны быть сохранены, чтобы использовать их позднее в качестве улик и доказательств. Если произошло серьезное событие безопасности, система IDS должна отправить соответствующее уведомление администратору или другому персоналу, ответственному за реакцию на инциденты, для принятия оперативных мер и прекращения деструктивной деятельности. Например, если выявлена вирусная угроза, администратор может отключить почтовый сервер. Если злоумышленник получил доступ к конфиденциальной информации в базе данных, соответствующий сервер может быть временно отключен от сети или Интернета. Если атака продолжается, администратору может потребоваться проследить действия злоумышленника. IDS может показать эти действия в режиме реального времени и/или просканировать журналы регистрации событий и показать специфические последовательности (шаблоны) или поведение.


Журналы регистрации событий обязательно должны просматриваться и анализироваться. Это можно делать как вручную, так и с помощью автоматизированных средств. Если компания просматривает журналы вручную, необходимо систематизировать эту деятельность – что, как, когда и почему подлежит анализу. Обычно журналы регистрации событий становятся крайне востребованными после инцидента безопасности, непонятной работы системы или сбоя системы. Администратор или другой ответственный персонал пытается по-быстрому сопоставить различные действия, которые привели к этому инциденту. Такой тип анализа журналов регистрации событий называется ориентированным на события (event-oriented). Кроме того, журналы могут просматриваться на периодической основе, чтобы выявить необычное поведение пользователей и систем, а также убедиться в исправной работе системы. При этом перед администраторами должна быть поставлена соответствующая задача периодического просмотра журналов. Для контроля журналов в режиме реального времени (или близко к этому) существуют специальные автоматизированные средства. Данные журналов регистрации событий обычно должны анализироваться, а затем сохраняться в отдельное место для хранения в течение определенного периода времени. Это должно быть отражено в политике и процедурах безопасности компании.

Анализ журналов регистрации событий вручную крайне трудоемок. Следует использовать для этого специализированные приложения и инструменты анализа, которые сокращают объем журналов и повышают эффективность ручных процедур анализа. Основное время при анализе журналов регистрации событий тратится на несущественную информацию, а эти инструменты позволяют выбирать необходимую информацию по заданным критериям и представлять ее в более наглядной и удобной форме.

Существует три основных типа инструментов анализа журналов регистрации событий:
  • Инструменты для уменьшения объема журналов (audit-reduction tool) отбрасывают обычные события работы программ и пользователей, записи счетчиков производительности системы, оставляя только те события, которые могут быть интересны специалистам по безопасности и администраторам
  • Инструменты для выявления нарушений (variance-detection tool) отслеживают использование компьютера или ресурса, фиксируя стандартную картину, а затем выявляют отклонения от нее. Например, обычно использование ресурса происходит с 8:00 до 17:00 по рабочим дням. Факт использования этого ресурса ночью в выходной день является поводом отправки предупреждения администратору.
  • Инструменты выявления сигнатур атак (attack signature-detection tool) имеют специализированную базу данных, содержащую информацию о событиях, которые могут указывать на определенные атаки (сигнатуры атак). В журналах отыскиваются последовательности событий, соответствующие сигнатурам атак.

Мониторинг нажатия клавиш (keystroke monitoring) – это вид мониторинга, позволяющий проанализировать и записать последовательность нажатий клавиш пользователем в течение сеанса его работы. При этом все символы, набранные пользователем, записываются в специальный журнал, который может быть позднее проверен. Обычно такой тип аудита используется только для выполнения специальных задач и только на короткое время, поскольку объем собранной информации будет огромен, а ее значительная часть будет неважной. Если специалист по безопасности или администратор подозревают пользователя в проведении несанкционированных действий, они могут воспользоваться этим видом мониторинга. На некоторых санкционированных этапах проведения расследования между клавиатурой и компьютером может быть вставлено специальное устройство, перехватывающее все нажатия клавиш, включая набор пароля для загрузки системы (на уровне BIOS).

Хакеры также могут использовать такой вид мониторинга. Если атакующий сможет установить троянскую программу на компьютер, она cможет внедрить специальную утилиту перехвата данных, вводимых с клавиатуры. Обычно таким программам наиболее интересны учетные данные пользователя, и они могут уведомить атакующего, когда такие данные будут успешно перехвачены.

Нужно соблюдать осторожность при проведении такого мониторинга, т.к. это может нарушать законодательство. Следует заранее уведомить сотрудников о возможности такого мониторинга, а также получать разрешение руководства на его проведение. Если компания намерена использовать такой контроль, следует внести информацию об этом в политику безопасности, сообщать об этом на тренингах по вопросам безопасности, уведомить пользователей другими доступными способами о возможности такого мониторинга. Это позволит защитить компанию от претензий в нарушении неприкосновенности частной жизни, а также проинформирует пользователей об ограничениях использования рабочего компьютера в личных целях.


Если воры ограбили квартиру, они стараются не оставлять следов (например, отпечатков пальцев), которые позволят связать произошедшее преступление с ними. То же самое происходит при компьютерном мошенничестве и нелегальной деятельности. Злоумышленник старается скрыть следы своей деятельности. Часто атакующие удаляют журналы регистрации событий, которые содержат компрометирующую их информацию, либо удаляют из журналов регистрации событий только информацию о своем присутствии (scrubbing). Это может привести к тому, что администратор не узнает о произошедшем инциденте безопасности. Поэтому данные журналов регистрации событий должны быть защищены посредством строгого управления доступом к ним.

Только определенные лица (администраторы и персонал подразделения безопасности) должны иметь доступ на просмотр, изменение или удаление журналов регистрации событий. Никакие другие люди не должны иметь возможность просматривать данные журналы и, тем более, изменять или удалять их. Целостность этих данных может быть обеспечена средствами ЭЦП, хэш-функциями и строгим управлением доступом. Их конфиденциальность может быть защищена с помощью шифрования и управления доступом. Кроме того, целесообразно сохранять данные журналов регистрации событий на внешних носителях информации с однократной записью (например, компакт-дисках) для предотвращения потери или модификации информации. Все попытки несанкционированного доступа к журналам регистрации событий должны фиксироваться и своевременно анализироваться.

Журналы регистрации событий могут использоваться в качестве доказательств или улик, а также для демонстрации процесса атаки или подтверждения факта инцидента. Целостность и конфиденциальность этих журналов должна постоянно контролироваться.

Ссылки по теме:

Комментариев нет: