Тестирование защищенности информационных систем: вчера, сегодня, завтра::Журнал СА 9.2012
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

Разбор полетов  

Ошибок опыт трудный

Как часто мы легко повторяем, что не надо бояться совершать ошибки, мол,

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6143
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6856
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4139
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 2978
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3781
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3789
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6282
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3134
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3433
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7246
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10616
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12336
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13968
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9099
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7052
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5361
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4593
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3400
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3127
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3378
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 2999
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Тестирование защищенности информационных систем: вчера, сегодня, завтра

Архив номеров / 2012 / Выпуск №9 (118) / Тестирование защищенности информационных систем: вчера, сегодня, завтра

Рубрика: Безопасность /  Механизмы защиты

Александр Дорофеев АЛЕКСАНДР ДОРОФЕЕВ, директор по развитию ЗАО «НПО «Эшелон», директор АНО «Учебный центр «Эшелон». Имеет статусы: CISSP, CISA

Тестирование защищенности
информационных систем: вчера, сегодня, завтра

Можно потратить много сил и средств на защиту информации компании, но при этом оказаться абсолютно незащищенным перед угрозой проникновения злоумышленников в вашу сеть. Для оценки уровня защищенности информационных систем проводится тестирование защищенности с использованием специализированного ПО

Сейчас мы являемся свидетелями настоящего бума в этой области: на рынке представлено множество коммерческих продуктов, а также решений с открытым кодом, в требованиях, разрабатываемых регуляторами, все чаще звучат фразы о необходимости регулярного контроля защищенности. Предлагаю кратко проанализировать пройденный путь и сделать прогноз того, что ждет нас завтра.

В начале 2000-х тестирование защищенности систем проводилось в двух формах: тестирование на проникновение (penetration test) и анализ защищенности (vulnerability assessment).

До начала тестирования на проникновение перед аудиторами ставилась задача получить доступ к какой-то определенной информации (например, к excel-файлу с суммами премий топ-менеджерам компании) или административный доступ к критичным информационным системам.

Аудиторы использовали общедоступные утилиты и методики, применяемые настоящими взломщиками. Успешный тест позволял продемонстрировать руководству компании незащищенность систем и убедить в необходимости начать финансирование проектов по информационной безопасности.

Как правило, в ходе работ обнаруживались только наиболее опасные уязвимости, удобные для эксплуатации. О более-менее полном выявлении уязвимостей речи не шло. Иногда в ходе тестирования применялись методы социальной инженерии, но это не было особо популярно, впрочем, как и сейчас.

Анализ защищенности представлял собой процесс, в ходе которого уязвимости выявлялись посредством специальных сканеров безопасности от западных вендоров, отчеты которых переводились на русский язык и приводились к читаемому виду.

Большинство проверок сканеров заключалось в идентификации версии сетевого сервиса (по баннеру) и поиске в базе данных информации о соответствующих данной версии продукта уязвимостях.

Сканирование позволяло находить большее количество уязвимостей, но в реальности их не все можно было эксплуатировать, а комбинированные уязвимости оставались незамеченными.

Так, сканер может обнаружить общедоступную папку на рабочей станции специалиста технической поддержки, но не сможет заглянуть в нее и найти там образ системы, который «накатывается» на машины новых сотрудников. Также сканер не сможет «вытянуть» из этого образа хеш пароля локального администратора и взломать его.

По сути, поиск уязвимостей с применением сканеров являлся только частью тестирования на проникновение, правда, применялся он только тогда, когда отсутствовала необходимость проводить тестирование скрытно (работа сканеров хорошо определяется даже межсетевыми экранами).

Стоит отметить, что сканеры до сих пор обнаруживают не все виды уязвимостей. Так, в случае если вам необходимо протестировать безопасность «самописного» веб-приложения, вам придется познать все прелести манипулирования данными HTTP-запросов через интерфейс локального прокси-сервера.

Интересно, что 10 лет назад требования к квалификации тестировщика на проникновение были очень высокими, так как необходимо было не только разбираться в безопасности информационных технологий, но и владеть навыками системного программирования.

Тогда подавляющее большинство эксплойтов распространялось в виде исходных текстов, которые содержали преднамеренно внесенные ошибки (защита от script-kiddies). Сейчас нам доступны наборы эксплойтов, которые позволяют осуществить атаку, используя только графический интерфейс.

В течение первого десятилетия нового века специалисты по информационной безопасности старались объединить тестирование на проникновение и анализ защищенности для того, чтобы выработать стройный методологический подход к проведению технического аудита информационной безопасности.

В результате на свет появились такие методики, как Information Systems Security Assessment Framework (ISSAF), Open Source Security Testing Methodology Manual (OSSTMM) и другие.

Что касается инструментария этичного хакера, то количество утилит для взлома росло по мере распространения новых технологий и появления новых атак. Как правило, каждая утилита решала одну узкую задачу: сканирование портов (NMAP), подбор паролей к сетевым сервисам (THC-HYDRA), взлом хешей паролей учетных записей операционных систем (LCP) и другие.

Наборы утилит стали объединять в загружаемых с CD/DVD или USB-носителей операционных системах на базе Linux. Мировую известность получил дистрибутив BackTrack. В России же хорошо известен его аналог «Сканер-ВС» (разработка компании «Эшелон»), который прошел сертификацию во ФСТЭК России и Минобороны России и может применяться для контроля защищенности систем, в которых обрабатывается информация вплоть до уровня «совершенно секретно» включительно.

Разработчики сканеров сначала попробовали расширять набор решаемых их продуктами задач и стали добавлять в функционал, характерный для «хакерских» утилит. Так, во многих сканерах появилась возможность подбора паролей, причем в некоторых подбор осуществлялся по списку записей пользователей, получаемых при эксплуатации уязвимостей.

Наверное, многие помнят, что в ОС Windows 2003 Server неавторизованный пользователь мог получить список учетных записей через нулевую сессию. Наличие подобной уязвимости и неаккуратное обращение со сканером иногда приводили к беспощадной блокировке пользователей домена.

Удачным решением оказалось включение функционала по анализу конфигурации систем. Теперь в настройках сканера можно задать имя административной учетной записи и соответствующий пароль, с помощью которых сканер без труда получает список установленных обновлений и по отсутствующим патчам может уверенно сообщать об имеющихся уязвимостях.

Чуть позже разработчики сканеров осознали, что обнаруживаемые их продуктами уязвимости связаны в первую очередь с неэффективными процессами в организации, и стали разворачивать свои продукты в сторону систем, автоматизирующих процесс управления уязвимостями.

Сейчас в лидирующих на рынке продуктах можно найти функционал инвентаризации ИТ-ресурсов с возможностью определения уровня критичности ресурса (что очень полезно для реальной оценки опасности конкретной уязвимости), а также функции назначения задач по установке соответствующих обновлений ответственным ИТ-специалистам с последующим автоматическим контролем их выполнения.

На мой взгляд, дальнейшее развитие подходов к тестированию защищенности и соответствующего инструментария можно спрогнозировать, если рассмотреть потребности покупателей данных услуг и продуктов.

Малый бизнес «покупает безопасность» в основном в составе услуг и решений, которые ему необходимы для выживания (например, хостинг для интернет-магазина), соответственно в группу потенциальных пользователей рассматриваемых продуктов не попадает.

В компаниях среднего размера в основном все держится на конкретных людях, и вопросы тестирования защищенности ложатся на плечи ИТ-специалистов, для которых важно иметь гибкий и мобильный инструмент для проверки защищенности самых критичных ресурсов (например, серверов с базами данных учетных систем).

В крупных компаниях все держится на процессах, порой излишне бюрократизированных, и здесь как раз очень важно, чтобы была система управления уязвимостями, которая бы «вписывалась» в имеющийся ландшафт.

Соответственно можно прийти к выводу, что в ближайшие несколько лет продукты наподобие Backtrack и «Сканер-ВС» заинтересуют и средние, и крупные компании. Они будут пополняться новыми средствами тестирования, станут улучшаться интерфейс и отчетность. Тяжеловесные сканеры уязвимостей продолжат свое движение в сторону интеграции в автоматизированную систему управления информационной безопасностью.

Скорее всего на каком-то этапе реализуется возможность интеграции этих двух классов продуктов. Так как чистое сканирование не позволяет обнаруживать часть уязвимостей, то система должна будет позволять хранить информацию об уязвимостях, обнаруженных и в ходе проведения тестов на проникновение.

Судя по последним нормативным документам, регулирующие органы очень близки к тому, чтобы подготовить методологии по тестированию защищенности и определить более-менее унифицированный подход по этому серьезному вопросу.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru