Выявление угроз информационной безопасности внутри компании::Журнал СА 11.2006
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6241
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6948
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4233
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3015
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3813
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3829
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6324
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3174
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3468
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7285
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10652
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12371
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14008
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9132
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7084
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5395
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4625
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3434
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3165
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3406
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3031
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Выявление угроз информационной безопасности внутри компании

Архив номеров / 2006 / Выпуск №11 (48) / Выявление угроз информационной безопасности внутри компании

Рубрика: Безопасность /  Угрозы

Выявление угроз информационной безопасности внутри компании

В условиях современного бизнеса информация – это ресурс, который, как и прочие бизнес-ресурсы, имеет ценность для организации и, следовательно, нуждается в должной защите.

По мере роста и развития информационных систем количество вариантов обхода систем защиты будет увеличиваться. А это диктует необходимость постоянно контролировать и совершенствовать системы защиты и отказоустойчивости. Для выполнения этой задачи необходимо проводить регулярные проверки безопасности для определения реальных рисков, стоящих перед организацией. Такие риски включают в себя:

  • Риски, связанные с нарушением требований внутренних и нормативных документов РФ (ФСТЕК, ФСО, ФСБ, МВД, ЦБ РФ), а также других международных стандартов в области защиты информации.
  • Целенаправленные действия высококвалифицированных хакеров, неэтичных конкурентов, которые имеют цель получить конкретную информацию или нарушить рабочие процессы предприятия и действуют на основе внутрифирменной информации (например, предоставленной действующим или уволенным сотрудником компании).
  • Действия нелояльных сотрудников, направленные на проведение преднамеренных системных атак, например, с целью организации отказов в обслуживании либо на кражу конфиденциальной информации.
  • Случайные действия пользующихся доверием сотрудников с официальными, но чрезмерными системными правами, в результате которых они получают доступ к конфиденциальной информации или вызывают сбои в рабочих процессах.
  • Действия хакеров-любителей, проникающих в системы компании или вызывающих сбои в процессе обработки информации.

Диагностика системной защиты заключается в оказании предприятию содействия в снижении риска обхода систем защиты его информационных сетей с помощью:

  • выявления уязвимых мест в системах защиты, анализа организации, правил и процедур информационной безопасности;
  • разработки плана действий для ликвидации выявленных уязвимых мест.

Необходимо уделять основное внимание процедурам, связанным с выполнением требований нормативных документов в области защиты информации, а также проверке защищенности сегментов сети предприятия, удаленного доступа, а также правилам и процедурам в области IT и их общей организации.

Методика обнаружения/сканирования доступа корпоративной сети:

  • определение маршрутов доступа в сеть;
  • запрос DNS;
  • идентификация хостов;
  • сканирование сетевых служб;
  • сканирование на предмет уязвимых мест.

Коммерческие программы обеспечивают тестирование на предмет следующих уязвимых мест:

  • слабые места в защите Sendmail/SMTP;
  • уязвимость к открытым атакам;
  • недостаточная защита в области TFTP и FTP;
  • уязвимость NetBIOS/SMB;
  • уязвимость RPC-сервиса;
  • уязвимость HTTP/CGI;
  • слабые места сетевых информационных служб (NIS);
  • IP-спуфинг (имитация соединений)/прогнозирование последовательности, отказ в обслуживании и многие другие виды атак;
  • проверка сетей и протоколов на спуфинг,
  • проверка протоколов маршрутизации из источника, rlogin, rsh и telnet;
  • проверка на спуфинг RIP (маршрутизирующего информационного протокола) и ARP (протокола сопоставления адреса);
  • проверка IP-переадресации (forwarding);
  • всесторонняя проверка DNS;
  • IP-фрагментация, проверка фрагментации и ретрансляции;
  • проверка внутренних адресов;
  • проверка сетевых масок и временных меток (timestamp) ICMP;
  • проверка инкапсуляции пакета MBONE;
  • проверка инкапсуляции APPLETALK IP, IPX, Х.25, FR;
  • проверки резервированных разрядов и паритет-протоколов;
  • определение исходных портов через проверки TCP и UDP;
  • проверка портовых фильтров TCP и UDP и всесторонняя проверка портов;
  • проверка специализированных фильтров;
  • проверка фильтров с возможностью нулевой длины TCP и IP;
  • проверка на передачу сверхнормативных пакетов.

Ограниченные возможности коммерческих средств сканирования

Несмотря на то что коммерческие сканеры уязвимостей обеспечивают надежную основу для выявления уязвимых мест, они имеют определенные ограничения. Многие из них не обеспечивают однозначных результатов из-за наличия ложных положительных и отрицательных величин и возможности двойного толкования отчетов, присущей средствам автоматического сканирования. Специалисты тщательно анализируют результаты работы, предоставленные сканирующей программой, и при необходимости самостоятельно проверяют наличие скрытых факторов, угрожающих информационной системе компании. Ввиду относительно статичного характера коммерческих сканирующих программ эти продукты могут быть неспособны выявлять вновь возникающие уязвимости системы защиты.

И, наконец, технологии сканирования пока не способны выявлять риск вышеупомянутых комплексных атак на уязвимые места. Эта практика включает в себя использование нескольких обнаруженных в разных платформах уязвимых мест с низкой или средней степенью риска для получения привилегированного доступа. Это означает, что сканер может выявить несколько уязвимых мест с низкой или средней степенью риска, но не способен определить, насколько высока вероятность того, что комбинированная атака на эти уязвимые места будет иметь успех.

Техники удаленного анализа

А теперь рассмотрим несколько техник удаленного анализа (атаки), выполняемых для внутренней диагностики или злоумышленником.

Используемые доступные инструменты:

Техника 1. Поиск узлов корпоративной сети

Посылка ICMP эхо-пакетов (ping) на каждый IP-адрес и ожидание ответа для определения, какой хост в рабочем состоянии. Но множество хостов отфильтровывают (отбрасывают) запросы и ответы ping. Пример:

> ping microsoft.com

PING microsoft.com (207.46.230.219) from 208.184.74.98 : 56(84)

bytes of data.

 

--- microsoft.com ping statistics ---

 

8 пакетов отправлено, 0 пакетов принято, 100% потери пакетов

Однако существует усовершенствованный способ поиска узлов корпоративной сети при помощи инструмента nmap, использующего нижние уровни IP-протокола. По умолчанию Nmap -sP, Nmap посылает пакет TCP ACK (acknowledgment) на порт 80 параллельно ICMP ping запросу. Если пакет RST (или ответ ping) возвращается, мы получаем информацию, что хост существует.

В некоторых случаях вам необходимо опробовать компьютер при помощи пакета TCP SYN вместо ACK. Данное действие производится опцией -PS. Эта опция использует SYN (запрос соединения) пакеты вместо пакетов ACK для пользователей root.

Хосты, находящиеся в рабочем состоянии, должны ответить пакетом RST (или, реже, SYN|ACK).

Техника 2. Определение доступных и используемых сервисов в корпоративной сети

Открытые TCP-порты могут быть определены при помощи SYN-сканирования. Это предпочитаемый в общих случаях тип TCP-сканирования, также известный как half-open scanning. Запустите Nmap с аргументом -sS, чтобы произвести данный метод сканирования.

Не забывайте про UDP-сканирование! (Nmap с опцией -sU). Другие типы сканирования: FIN, XMAS и NULL (-sF, -sX, -sN). Больше информации о механике этих видов сканирования можно получить на странице руководства Nmap (http://www.insecure.org/nmap/nmap_manpage.html)

Продвинутый тип сканирования – ACK scan (-sA) для проверки межсетевых экранов/фильтрующих систем. Реализуется посредством сканирования IP-протоколов -sO. Nmap обычно фокусируется на TCP, UDP, и ICMP, но есть множество других протоколов, доступных для продвинутых атак и получения информации.

Сканирование протоколов зацикливается на 8-битном поле протокола, посылая массив IP-заголовков без данных. Ошибка «ICMP-протокол недоступен» означает, что целевой объект не принимает пакеты для данного протокола.

К примеру, вот SYN-сканирование:

# nmap -sS target.example.com/24

Эта команда запускает скрытое SYN-сканирование каждого компьютера в рабочем состоянии до 255 компьютеров в классе «C», принадлежащих домену target.example.com.

Техника 3. Разведка топологии корпоративной сети

Выполняется трассировка при помощи пакетов типа UDP, исходящий порт соединения 53, а порт назначения 5023 исследуемого хоста gw.target.com. Трассировка позволяет получить информацию о структуре корпоративной сети, ее активных сетевых узлах (брандмауэры, маршрутизаторы, и т. д.).

# hping2 --traceroute -t 1 -2 --baseport 53 -keep -V -p 5023 gw.target.com

Важно определить, какие из операционных систем используются на этих узлах.

# nmap -O targethost.com

Nmap (с опцией -O) позволяет определить версию ОС на основе техники TCP/IP-дактилоскопирование (fingerprinting). Так же просто применить простую диагностику для веб-серверов, используя терминал telnet для соединения с веб-улом по порту 80.

# telnet target.com 80

>GET /blah HTTP/1.1

HTTP/1.1 400 Bad Request

Server: Microsoft-IIS/5.0

....

....

Некоторые сервисы позволяют получить злоумышленнику избыточную информацию о сети, часто уязвимы DNS-сервера, как и приведенный выше пример с конфигурацией, разрешающей трансфер зоны:

# nslookup

>server 11.12.13.2 (подключаемся к DNS серверу)

>set type=any (устанавливает получение всех внутренних зон и узлов)

>ls –d target.com. >> ./Zonetransfer.out

Файл Zonetransfer.out содержит полный список всех внутренних зон и узлов.

Техника 4. Поиск общих windows-ресурсов (windows-share)

Допустим, злоумышленник уже получил следующие данные о корпоративной сети:

  • В сети присутствуют узлы на основе ОС MS Windows.
  • Диапазон IP-адресов локальной сети: 11.12.13.1-11.12.13.255.

Используем утилиту Legion 2.1 для сканирования заданного диапазона сети, для поиска общих ресурсов Microsoft Windows. Legion сперва определит, какие из доступных узлов используют или нет протокол NetBIOS, далее получим результат в виде полного списка доступных ресурсов и возможных прав доступа. Возможно, вы будете удивлены, увидев в списке ресурсов корневой диск или папки с рабочими документами пользователей. Так злоумышленник может получить доступ к коммерческой информации предприятия или воспользоваться доступом и установить «закладки» для мониторинга сетевых аккаунтов и паролей.

Теперь, зная базовые техники атаки и возможные инструменты, можем организовать защиту и систему оповещения атаки корпоративной сети. С точки зрения атакующего, инструменты делятся на 3 категории: зондирование, получение доступа и заметание следов.

С точки же зрения специалиста по информационной безопасности, их можно разделить на: глубоко эшелонированную защиту (HIDS/NIDS, Firewalls, Antivirus, Honeypots etc) и персональные утилиты анализа безопасности (сканеры и т. д.).

Список популярных используемых инструментов:

  • Argus – инструмент анализа сетевой активности. Работает на уровне IP приложения, получая полную информацию с сетевого интерфейса. Может оповещать об аномальной активности в локальной сети (сканирование) (ftp://ftp.andrew.cmu.edu/pub/argus).
  • Asax – cканер и анализатор уявимостей для платформы UNIX (ftp://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/asax).
  • Asmodeous Port Scanner – сетевой сканер для Windows (http://www.webtrends.com/products/wsa).
  • HPing – утилита диагностики сети использует нижние уровни IP-протокола для получения информации о маршрутах сети (http://www.kyuzz.org/antirez/oldhping.html).
  • Internet Security Scanner (ISS) – сканер уязвимостей на UNIX-платформах, также собирает информацию о NFS-ресурсах (ftp://ftp.iss.net/pub/iss).
  • NESSUS – утилита основана на открытом исходном коде, удобный инструмент утилита для диагностики безопасности различных ОС. Поддерживает многопоточные модули и графический интерфейс X-windows (http://www.nessus.org).
  • SAINT – инструмент администратора сетевой безопасности. Позволяет работать со множеством сетевых сервисов NFS, NIS, ftp and tftp, rexd, statd, и другие (http://wwdsilx.wwdsi.com/saint).

Вы можете собственными силами проверить информационную сеть компании на наличие уязвимостей, спроектировать систему информационной безопасности, выбрать нужные инструменты, разработать необходимые регламенты и политику безопасности. Или при отсутствии специалистов данной области обратиться к независимому стороннему аудиту.

Никита Дуров, 

специалист по внедрению программного обеспечения,

Департамент внедрения и консалтинга LETA IT company


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru