Выявление угроз информационной безопасности внутри компании

Выявление угроз информационной безопасности внутри компании

В условиях современного бизнеса информация – это ресурс, который, как и прочие бизнес-ресурсы, имеет ценность для организации и, следовательно, нуждается в должной защите.

По мере роста и развития информационных систем количество вариантов обхода систем защиты будет увеличиваться. А это диктует необходимость постоянно контролировать и совершенствовать системы защиты и отказоустойчивости. Для выполнения этой задачи необходимо проводить регулярные проверки безопасности для определения реальных рисков, стоящих перед организацией. Такие риски включают в себя:

• Риски, связанные с нарушением требований внутренних и нормативных документов РФ (ФСТЕК, ФСО, ФСБ, МВД, ЦБ РФ), а также других международных стандартов в области защиты информации.
• Целенаправленные действия высококвалифицированных хакеров, неэтичных конкурентов, которые имеют цель получить конкретную информацию или нарушить рабочие процессы предприятия и действуют на основе внутрифирменной информации (например, предоставленной действующим или уволенным сотрудником компании).
• Действия нелояльных сотрудников, направленные на проведение преднамеренных системных атак, например, с целью организации отказов в обслуживании либо на кражу конфиденциальной информации.
• Случайные действия пользующихся доверием сотрудников с официальными, но чрезмерными системными правами, в результате которых они получают доступ к конфиденциальной информации или вызывают сбои в рабочих процессах.
• Действия хакеров-любителей, проникающих в системы компании или вызывающих сбои в процессе обработки информации.

Диагностика системной защиты заключается в оказании предприятию содействия в снижении риска обхода систем защиты его информационных сетей с помощью:

• выявления уязвимых мест в системах защиты, анализа организации, правил и процедур информационной безопасности;
• разработки плана действий для ликвидации выявленных уязвимых мест.

Необходимо уделять основное внимание процедурам, связанным с выполнением требований нормативных документов в области защиты информации, а также проверке защищенности сегментов сети предприятия, удаленного доступа, а также правилам и процедурам в области IT и их общей организации.

Методика обнаружения/сканирования доступа корпоративной сети:

• определение маршрутов доступа в сеть;
• запрос DNS;
• идентификация хостов;
• сканирование сетевых служб;
• сканирование на предмет уязвимых мест.

Коммерческие программы обеспечивают тестирование на предмет следующих уязвимых мест:

• слабые места в защите Sendmail/SMTP;
• уязвимость к открытым атакам;
• недостаточная защита в области TFTP и FTP;
• уязвимость NetBIOS/SMB;
• уязвимость RPC-сервиса;
• уязвимость HTTP/CGI;
• слабые места сетевых информационных служб (NIS);
• IP-спуфинг (имитация соединений)/прогнозирование последовательности, отказ в обслуживании и многие другие виды атак;
• проверка сетей и протоколов на спуфинг,
• проверка протоколов маршрутизации из источника, rlogin, rsh и telnet;
• проверка на спуфинг RIP (маршрутизирующего информационного протокола) и ARP (протокола сопоставления адреса);
• проверка IP-переадресации (forwarding);
• всесторонняя проверка DNS;
• IP-фрагментация, проверка фрагментации и ретрансляции;
• проверка внутренних адресов;
• проверка сетевых масок и временных меток (timestamp) ICMP;
• проверка инкапсуляции пакета MBONE;
• проверка инкапсуляции APPLETALK IP, IPX, Х.25, FR;
• проверки резервированных разрядов и паритет-протоколов;
• определение исходных портов через проверки TCP и UDP;
• проверка портовых фильтров TCP и UDP и всесторонняя проверка портов;
• проверка специализированных фильтров;
• проверка фильтров с возможностью нулевой длины TCP и IP;
• проверка на передачу сверхнормативных пакетов.

Ограниченные возможности коммерческих средств сканирования

Несмотря на то что коммерческие сканеры уязвимостей обеспечивают надежную основу для выявления уязвимых мест, они имеют определенные ограничения. Многие из них не обеспечивают однозначных результатов из-за наличия ложных положительных и отрицательных величин и возможности двойного толкования отчетов, присущей средствам автоматического сканирования. Специалисты тщательно анализируют результаты работы, предоставленные сканирующей программой, и при необходимости самостоятельно проверяют наличие скрытых факторов, угрожающих информационной системе компании. Ввиду относительно статичного характера коммерческих сканирующих программ эти продукты могут быть неспособны выявлять вновь возникающие уязвимости системы защиты.

И, наконец, технологии сканирования пока не способны выявлять риск вышеупомянутых комплексных атак на уязвимые места. Эта практика включает в себя использование нескольких обнаруженных в разных платформах уязвимых мест с низкой или средней степенью риска для получения привилегированного доступа. Это означает, что сканер может выявить несколько уязвимых мест с низкой или средней степенью риска, но не способен определить, насколько высока вероятность того, что комбинированная атака на эти уязвимые места будет иметь успех.

Техники удаленного анализа

А теперь рассмотрим несколько техник удаленного анализа (атаки), выполняемых для внутренней диагностики или злоумышленником.

Используемые доступные инструменты:

• Nmap – http://www.insecure.org/nmap/nmap_download.html.
• Hping2 – http://www.hping.org/download.html.
• Legion – http://www.rhino9.com.
• L0pht crack – http://www.l0pth.com.

Техника 1. Поиск узлов корпоративной сети

Посылка ICMP эхо-пакетов (ping) на каждый IP-адрес и ожидание ответа для определения, какой хост в рабочем состоянии. Но множество хостов отфильтровывают (отбрасывают) запросы и ответы ping. Пример:

Однако существует усовершенствованный способ поиска узлов корпоративной сети при помощи инструмента nmap, использующего нижние уровни IP-протокола. По умолчанию Nmap -sP, Nmap посылает пакет TCP ACK (acknowledgment) на порт 80 параллельно ICMP ping запросу. Если пакет RST (или ответ ping) возвращается, мы получаем информацию, что хост существует.

В некоторых случаях вам необходимо опробовать компьютер при помощи пакета TCP SYN вместо ACK. Данное действие производится опцией -PS. Эта опция использует SYN (запрос соединения) пакеты вместо пакетов ACK для пользователей root.

Хосты, находящиеся в рабочем состоянии, должны ответить пакетом RST (или, реже, SYN|ACK).

Техника 2. Определение доступных и используемых сервисов в корпоративной сети

Открытые TCP-порты могут быть определены при помощи SYN-сканирования. Это предпочитаемый в общих случаях тип TCP-сканирования, также известный как half-open scanning. Запустите Nmap с аргументом -sS, чтобы произвести данный метод сканирования.

Не забывайте про UDP-сканирование! (Nmap с опцией -sU). Другие типы сканирования: FIN, XMAS и NULL (-sF, -sX, -sN). Больше информации о механике этих видов сканирования можно получить на странице руководства Nmap (http://www.insecure.org/nmap/nmap_manpage.html)

Продвинутый тип сканирования – ACK scan (-sA) для проверки межсетевых экранов/фильтрующих систем. Реализуется посредством сканирования IP-протоколов -sO. Nmap обычно фокусируется на TCP, UDP, и ICMP, но есть множество других протоколов, доступных для продвинутых атак и получения информации.

Сканирование протоколов зацикливается на 8-битном поле протокола, посылая массив IP-заголовков без данных. Ошибка «ICMP-протокол недоступен» означает, что целевой объект не принимает пакеты для данного протокола.

К примеру, вот SYN-сканирование:

# nmap -sS target.example.com/24

Эта команда запускает скрытое SYN-сканирование каждого компьютера в рабочем состоянии до 255 компьютеров в классе «C», принадлежащих домену target.example.com.

Техника 3. Разведка топологии корпоративной сети

Выполняется трассировка при помощи пакетов типа UDP, исходящий порт соединения 53, а порт назначения 5023 исследуемого хоста gw.target.com. Трассировка позволяет получить информацию о структуре корпоративной сети, ее активных сетевых узлах (брандмауэры, маршрутизаторы, и т. д.).

# hping2 --traceroute -t 1 -2 --baseport 53 -keep -V -p 5023 gw.target.com

Важно определить, какие из операционных систем используются на этих узлах.

# nmap -O targethost.com

Nmap (с опцией -O) позволяет определить версию ОС на основе техники TCP/IP-дактилоскопирование (fingerprinting). Так же просто применить простую диагностику для веб-серверов, используя терминал telnet для соединения с веб-улом по порту 80.

Некоторые сервисы позволяют получить злоумышленнику избыточную информацию о сети, часто уязвимы DNS-сервера, как и приведенный выше пример с конфигурацией, разрешающей трансфер зоны:

Файл Zonetransfer.out содержит полный список всех внутренних зон и узлов.

Техника 4. Поиск общих windows-ресурсов (windows-share)

Допустим, злоумышленник уже получил следующие данные о корпоративной сети:

• В сети присутствуют узлы на основе ОС MS Windows.
• Диапазон IP-адресов локальной сети: 11.12.13.1-11.12.13.255.

Используем утилиту Legion 2.1 для сканирования заданного диапазона сети, для поиска общих ресурсов Microsoft Windows. Legion сперва определит, какие из доступных узлов используют или нет протокол NetBIOS, далее получим результат в виде полного списка доступных ресурсов и возможных прав доступа. Возможно, вы будете удивлены, увидев в списке ресурсов корневой диск или папки с рабочими документами пользователей. Так злоумышленник может получить доступ к коммерческой информации предприятия или воспользоваться доступом и установить «закладки» для мониторинга сетевых аккаунтов и паролей.

Теперь, зная базовые техники атаки и возможные инструменты, можем организовать защиту и систему оповещения атаки корпоративной сети. С точки зрения атакующего, инструменты делятся на 3 категории: зондирование, получение доступа и заметание следов.

С точки же зрения специалиста по информационной безопасности, их можно разделить на: глубоко эшелонированную защиту (HIDS/NIDS, Firewalls, Antivirus, Honeypots etc) и персональные утилиты анализа безопасности (сканеры и т. д.).

Список популярных используемых инструментов:

• Argus – инструмент анализа сетевой активности. Работает на уровне IP приложения, получая полную информацию с сетевого интерфейса. Может оповещать об аномальной активности в локальной сети (сканирование) (ftp://ftp.andrew.cmu.edu/pub/argus).
• Asax – cканер и анализатор уявимостей для платформы UNIX (ftp://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/asax).
• Asmodeous Port Scanner – сетевой сканер для Windows (http://www.webtrends.com/products/wsa).
• HPing – утилита диагностики сети использует нижние уровни IP-протокола для получения информации о маршрутах сети (http://www.kyuzz.org/antirez/oldhping.html).
• Internet Security Scanner (ISS) – сканер уязвимостей на UNIX-платформах, также собирает информацию о NFS-ресурсах (ftp://ftp.iss.net/pub/iss).
• NESSUS – утилита основана на открытом исходном коде, удобный инструмент утилита для диагностики безопасности различных ОС. Поддерживает многопоточные модули и графический интерфейс X-windows (http://www.nessus.org).
• SAINT – инструмент администратора сетевой безопасности. Позволяет работать со множеством сетевых сервисов NFS, NIS, ftp and tftp, rexd, statd, и другие (http://wwdsilx.wwdsi.com/saint).

Вы можете собственными силами проверить информационную сеть компании на наличие уязвимостей, спроектировать систему информационной безопасности, выбрать нужные инструменты, разработать необходимые регламенты и политику безопасности. Или при отсутствии специалистов данной области обратиться к независимому стороннему аудиту.

Никита Дуров, 

специалист по внедрению программного обеспечения,

Департамент внедрения и консалтинга LETA IT company

Комментарии могут оставлять только зарегистрированные пользователи