Лекція 10. Безпека в інформаційних системах

У наші дні в забезпечення безпеки інформації вкладаються серйозні суми, а на великих підприємствах створюються цілі відділи інформаційної безпеки. У деяких випадках, на жаль, реальна цінність інформації не порівнюється з заходами щодо її захисту. В результаті витрати на захист інформації перевищують її реальну вартість. Буває і так, що перед адміністраторами мережі ставиться нездійсненне завдання досягнення абсолютної надійності, яка навіть в наш час виглядає як щось з розряду наукової фантастики.

Доцільніше перед початком впровадження заходів із захисту інформації визначити список можливих загроз, а також ступінь і актуальність кожної загрози. На деяких підприємствах навіть створюється спеціальний документ – «модель загроз», в якому описуються всі можливі загрози: від несанкціонованого доступу з Інтернету і вірусів до фізичної крадіжки ПК і / або їх компонентів. Перераховано в ньому і заходи щодо усунення цих загроз, які або вже виконані, або повинні бути виконані.

 

Безпека і комфорт

На жаль, ці два поняття мало поєднуються на практиці. Ви тільки уявіть собі спортивний автомобіль з каркасом безпеки і вбудованою системою пожежогасіння. Такий автомобіль гарантує більшу безпеку водію і пасажирам у разі перевороту і пожежі, ніж більшість звичних нам автомобілів. Але чомусь автовиробники не поспішають оснащувати цими опціями інші свої «продукти». Чому? Тому що їх наявність в салоні не додасть ні комфорту, ні будь-якого шику. Ось і зсувається «повзунок» в бік комфорту, а не безпеки. На спортивних же машинах, де підвищений ризик перекинутися, каркас встановлюється. З ним незручно, він не «виглядає», але він потрібен.

Аналогічна ситуація спостерігається і в інформаційних системах. Можна захистити систему по максимуму, але працювати в ній буде незручно. І ви, як системний адміністратор, повинні це розуміти і донести це до керівництва. Чим безпечніше система, тим складніше з нею працювати, - адже вона накладає більше обмежень на поточну роботу. Оскільки далеко не всі співробітники підприємства є фахівцями з інформаційної безпеки або мають відношення до конфіденційних даних, у вас виявиться багато незадоволених. Хоча б з тієї причини, що не всі вміють працювати із засобами захисту і не всі розуміють їх важливість і необхідність. Коли захищається інформація того варто, прийнятні будь-які заходи, - хоч рентген на вході. Якщо ж на підприємстві немає секретної інформації, то навіщо ускладнювати життя всім, в тому числі і собі?

Задайте собі питання: що станеться в разі витоку інформації? Які виникнуть від цього наслідки для підприємства? Якщо ніяких, або збиток виявиться мінімальним, то, може, і не варто намагатися «городити город» безпеки? Адже витоку може і не відбутися. Якщо на підприємстві немає цінним чи цікавою кому б то не було інформації, то ніхто не стане зламувати її інформаційну систему, ніхто не буде підкуповувати співробітників, щоб вони «винесли» оброблювану ними інформацію тощо. Цілком можливо, що для такого підприємства оптимальним набором забезпечення безпеки стануть лише засоби антивірусного захисту, міжмережевого екранування і резервного копіювання.

 

Спробуємо розкласти по поличках

Щоб не перестаратися з захистом інформації і не зробити інформаційну систему некомфортною для користувачів, вам потрібно відповісти собі на питання: що, де і від чого.Майже як в «Що? Де? Коли? »Вам слід знати, що ми будемо захищати. Чи є взагалі на підприємстві інформація, яка того варто. Або ж ми просто вибудуємо захист навіть не самої інформації, а працездатності інформаційних систем, щоб вранці, прийшовши в офіс, користувачі не виявили своє робоче місце в непрацездатному стані, - де тоді вони будуть грати в «Тетріс» або розкладати пасьянс?

Отже, адміністратор повинен мати чітке уявлення про те, що захищати. Всю інформацію можна розділити на публічну - її захищати ні до чого, вона повинна бути доступна всім, і конфіденційну: персональні дані клієнтів і співробітників, комерційна таємниця і т. П. А деякі підприємства можуть також працювати і з секретною інформацією - наприклад, з відомостями, що становлять державну таємницю. Треба розуміти, кому і до якої інформації може бути надано доступ, - не всім співробітникам потрібен доступ до секретної та конфіденційної інформації, не у всіх є відповідні допуски і т. Д.

Потрібно також визначитися, де захищати інформацію. Одна справа, якщо вся інформація знаходиться на локальних серверах, інша справа - якщо в хмарі. Ви повинні розуміти, як обробляється і де зберігається інформація, як дані з однієї програми передаються в іншу, як обмежується доступ в Інтернет і т. П. Чим точніше ви з цим розберетеся, тим легше організувати захист.

Треба визначитися і з тим, від чого захищати. Існує безліч загроз, про що вже йшлося на початку цієї глави. Складіть список передбачуваних загроз, актуальних для вашого підприємства, - в залежності від них і слід реалізувати методи захисту інформації. Наприклад, якщо ви вважаєте, що актуальна загроза витоку даних через електромагнітне випромінювання, то вам потрібно отримати схеми електроживлення із зазначенням розташування кабелів (наскільки близько вони прокладені від інформаційних ліній), схеми заземлення, пожежної та охоронної сигналізацій і т. д.

 

Як будемо захищати?

При розробці заходів безпеки потрібно враховувати вартість не тільки пусконалагоджувальних робіт, а й обслуговування встановленого обладнання. Буває так, що вартістьпусконалагодження зовсім невелика, а ось обслуговування може вилитися в пристойну суму. Так, охоронну сигналізацію «по акції» вам встановлюють за 1 гривню, а обслуговування її буде коштувати 5 тис. гривень на місяць. При цьому у конкурентів вартість пусконалагоджувальних робіт становить 20 тис. гривень, зате в місяць треба буде платити тільки 3500. Тепер підрахуйте, який варіант вам виявиться вигідніше. Вартість першого року по «акційному» варіанту складе 60, а по другому - 62 тис. гривень. Зате другий рік при виборі другого варіанту виявиться набагато вигідніше.

Якщо ви ознайомилися з базовою моделлю загроз, згаданої на початку цього розділу, то у вас вже може бути складений значний список загроз для вашої компанії. Однак на реалізацію заходів щодо усунення всіх можливих загроз не вистачить ніякого бюджету. Ви витратите всі кошти компанії і перетворите офіс в величезний сейф, в якому співробітникам буде некомфортно працювати.

На практиці існує правило 30/70: реалізувавши лише 30% заходів, ви закриєте 70% загроз, - вам треба лише правильно розставити пріоритети і вибрати «правильні» загрози. Решта 30% загроз буде реалізувати дуже складно і / або дуже дорого.

При виборі рішень інформаційної безпеки потрібно точно розставити пріоритети: захищаєтеся ви для «папірці», або вам дійсно потрібна безпека. Деякі організації звертаються до фахівців з інформаційної безпеки тільки з однією метою - для отримання атестата відповідності вимогам інформаційної безпеки. Відповідно, купуються найдешевші засоби захисту інформації - аби вони мали сертифікат. В результаті: і гроші витрачені, і мова ні про яку безпеку йти не може.

 

Три «кити» безпеки

Роботи щодо забезпечення безпеки інформаційної системи можна умовно розділити на три етапи, які слід проводити паралельно, а не послідовно.

 

Організаційні заходи - потрібно підготувати ряд внутрішніх документів, чітко регламентують дії користувачів і адміністраторів в різних ситуаціях. Ось приблизний перелік таких документів:

• наказ про призначення адміністратора інформаційної безпеки - регламентує, хто буде відповідати за інформаційну безпеку;

• інструкція адміністратора інформаційної безпеки - визначає, що повинен робити відповідальний за інформаційну безпеку;

• інструкція по діям користувачів в позаштатних ситуаціях - визначає, що є нештатна ситуація: пропажа даних, втрата працездатності робочого місця, оповіщення антивіруса або системи виявлення вторгнень і т. П., І регламентує дії користувачів;

• інструкція щодо створення резервної копії - визначає, резервне копіювання який саме інформації і як часто слід проводити. Якщо на місце адміністратора прийде інша людина, ця інструкція підкаже йому, яку інформацію треба резервувати, і як її відновити в разі збою;

• інструкція щодо порядку проведення перевірок безпеки - регламентує, які перевірки безпеки повинні проводитися на підприємстві і як часто.

 

Реалізація багаторівневої системи захисту - кілька рівнів захисту значно складніше зламати, ніж один. Відомо, що замок часто встановлюється тільки на вхідних дверях. Аналогічно цьому раніше брандмауери встановлювалися тільки на серверах. Однак зараз прийнято встановлювати брандмауери на кожній машині - так зловмисникові для злому конкретної машини доведеться розкрити два «замку». На серверах потрібно встановлювати системи контролю доступу, на зразок SELinux, LIDS і т. П. Навіть якщо зловмисник якимось чином отримає права root, нашкодити системі йому завадить така система контролю доступом.

 

Постійний моніторинг системи - тільки виробляючи постійний моніторинг системи, ви зможете помітити деякі відхилення від норми. За статистикою саме «деякі відхилення від норми» - це свідчення, що готується атаки. Наприклад, вас повинен насторожити зростання трафіку в нічний час, коли активності не повинно бути, а вона є.

Повної гарантії безпеки даних вам ніхто не дасть. Так, ви можете взагалі знехтувати заходами безпеки - мовляв, будь-яку систему можна зламати. Чи згодні. Але чому ви тоді все ще продовжуєте замикати двері у власну квартиру? - адже будь-який замок можна відкрити. Але якщо не закрити двері, то увійти зможе кожен, а якщо закрити - то тільки той, хто може відкрити «будь-який замок». А оскільки таких набагато менше, ніж звичайних людей, замок на двері істотно знижує ризик крадіжки. Ось тому ви і закриваєте двері. Так чому тоді потрібно нехтувати засобами захисту інформації?

 

Організаційне забезпечення інформаційної безпеки

На практиці істотних результатів можна досягти тільки організаційними

заходами, користь від яких в кілька разів перевершує корисність технічних заходів захисту.

Насамперед на рівні всього підприємства потрібно сформулювати чіткі положення його інформаційної безпеки. Потрібно створити концепцію інформаційної безпеки, в якій визначити категорії оброблюваної інформації, описати передбачувані ризики, встановити напрямки і обсяг захисту даних для кожної категорії.

Кожній комп'ютерній системі треба привласнити категорію конфіденційності, а також розробити для неї паспорт інформаційної безпеки, в якому визначити встановлене програмне забезпечення і категорії інформації, яка на ній зберігається і обробляється. Після цього можна буде розробити комплекс заходів щодо забезпечення безпеки кожного окремого комп'ютера.

В організаційно-розпорядчих документах організації необхідно зафіксувати правила взаємодії користувача з інформаційною системою. Користувач повинен знати, з чим він працює, які програми він може використовувати, а які - в організації заборонені (наприклад, утиліти сканування мережі) і т. П. В інструкціях необхідно обумовити правила роботи з електронною поштою організації, поведінку користувача в разі виникнення припущення про наявність вірусу, вимоги до взаємодії з Інтернетом і т. д.

Чим точніше визначені права користувача і його відповідальність за порушення обов'язків, тим з більшою ймовірністю ви можете очікувати виконання інструкцій.

Природно, що виконання вимог інструкцій повинно супроводжуватися періодичними перевірками - наприклад, шляхом аналізу журналу відвіданих сайтів Інтернету (технічний контроль) або перевіркою відсутності записів паролів на стікерах (організаційні заходи).

 

План забезпечення безперервності функціонування інформаційної системи

Важливо також скласти і затвердити план забезпечення безперервності функціонування інформаційної системи. Зверніть увагу - не тільки скласти план, але і затвердити його у керівництва компанії, інакше толку від нього не буде.

Подібний план представляє собою перелік заходів, які необхідно здійснити в разі відмови обладнання або в інший нештатної ситуації. У ньому має бути визначено, наприклад, чи можна перенести функції сервера в разі його відмови на інше обладнання? Чи припустимо замінити його іншим сервером, служби якого не критичні і від яких можна відмовитися на час ремонту основного комп'ютера? Де повинні зберігатися дистрибутиви, щоб операція могла бути проведена черговим оператором? Яка повинна бути процедура відновлення даних? Описавши всі аварійні ситуації та шляхи їх усунення, ви зможете розрахувати очікуваний час відновлення системи в кожному випадку відмови.

Такий план, затверджений керівництвом, з одного боку, обгородить вас від невиправданих вимог негайного відновлення роботи, оскільки для кожної ситуації період відновлення буде в ньому чітко обумовлений. З іншого боку, цей план стане інструкцією, що визначає, що потрібно робити в аварійній ситуації.

 

Безпека паролів

Найвужчим місцем безпеки є паролі. Деякі з них дуже прості, а деякі користувачі (о жах!) Взагалі не використовують ніяких паролів.

Пароль не тільки запобігає несанкціонований доступ, але і може використовуватися в якості ключа шифрування. Уявімо ситуацію: ви встановили простий пароль - типу 111, і зашифрували свої дані за допомогою EFS. Ваш пароль буде підібраний за лічені секунди програмою Advanced EFS Data Recovery або подібної, і дані виявляться розшифровані.Якщо ж пароль складний, розшифрувати дані за допомогою таких програм не вийде - перевірено на практиці. Який пароль можна вважати стійким до підбору?

По-перше, мінімальна довжина пароля повинна бути не менше шести символів, ще краще, якщо їх буде вісім.

По-друге, не повинно бути ніяких чисто цифрових паролів на зразок 12345678. Пароль повинен містити і букви, і цифри. Причому букви не повинні представляти собою словникове слово. Якщо ви, все ж, хочете використовувати словникове слово, то чергуйте в ньому букви з цифрами. Невеликий приклад - є два пароля: audi2015 і a2u0d1i5. Як ви думаєте, який пароль буде складніше підібрати?

По-третє, для ускладнення підбору паролів потрібно використовувати символи, відмінні від алфавітних: знак підкреслення, знаки пунктуації (тире, кома, точка). Ускладнюємо наш другий пароль з урахуванням цих вимог: @ a2, u0, d1, i5_.

По-четверте, бажано використовувати символи різного регістра, наприклад: @ A2, u0, d1, i5_.

Можна в паролі використовувати і чергування англійських і російських букв. У нашому паролі букву А можна написати, включивши російську розкладку, що значно ускладнить пароль. Ось тільки не треба писати російські слова при включеній англійській розкладці - наприклад: ghbdtn (привіт). Словники таких слів вже давно створені і використовуються зловмисниками при підборі паролів. А ось вказувати схожі символи алфавітів на різних мовах - хороша ідея. Наприклад, щоб ще ускладнити наш пароль @ A2, u0, d1, i5_, можна букву i взяти з українського алфавіту. Правда, в такому випадку він стане дуже незручним для введення: спочатку доведеться перемкнутися на російську, потім на англійську і вже потім - на український. Тому оптимальним з точки зору комфорту і безпеки нам представляється попередній варіант.

ПОРАДА

Ніколи не використовуйте пароль, застосовуваний для входу в систему, як паролі для входу на різні сайти, соціальні мережі і т. Д. Для входу на такі ресурси повинні використовуватися інші паролі.

Пам'ятайте, що існують дуже ефективні програми «відновлення» паролів користувачів, за лічені секунди підбирають простий пароль. Ось, що не слід використовувати в якості паролів:

імена рідних і близьких;

клички своїх домашніх тварин;

номера і назви своїх автомобілів;

дати зі своєї біографії і своїх близьких;

іншу загальнодоступну інформацію про себе.

Такі паролі ваші недоброзичливці зможуть підібрати навіть без жодних програм.

І взагалі, якщо ви не хочете, щоб ваш пароль підібрали, краще, щоб він складався хоча б з 15 символів. Такі паролі дуже складно підібрати, у всякому разі за помірне час. Ми, звичайно, розуміємо, що 15 символів - це дуже багато, тому замість пароля використовуйте парольний фразу, розбавлену різними цифрами, знаками пунктуації, як було показано раніше.

Пароль потрібно змінювати регулярно, скажімо, раз на місяць. Якщо ви підозрюєте, що хтось може спробувати зламати вашу систему, тоді і того частіше, - наприклад, раз в тиждень.

Новий пароль повинен бути дійсно новим, а не модифікацією старого шляхом дописування до нього нових цифр.

ПОРАДА

Ні в якому разі не використовуйте пароль адміністратора підприємства для входу на робочі станції користувачів. Існує достатня кількість утиліт, які, не виявляючи себе в системі, протоколюють натискання клавіш. При необхідності включіть за допомогою групової політики будь-яку обліковий запис в число адміністраторів робочих станцій і використовуйте цей обліковий запис для їх адміністрування.

 

Токени і смарт-карти

Існують різні технічні рішення, які дозволяють аутентифицировать користувача, не вдаючись до введення пароля, - наприклад, з яких-небудь біометричними показниками. Але найбільш використовуваним на практиці методом є аутентифікація на основі смарт-карти.

Смарт-карта являє собою пристрій, на яке можна за допомогою спеціальних зчитувачів записувати (і зчитувати) інформацію. Зазвичай на смарткарт зберігається сертифікат користувача, призначений для аутентифікації його в системі. Щоб сертифікат не міг бути використаний зловмисником, він захищається спеціальним PIN-кодом. PIN-код - це не пароль користувача в системі, а лише захист на випадок втрати або крадіжки смарт-карти. Він не передається по мережі (тому не може бути перехоплений аналізаторами трафіку) і служить для доступу до сертифіката тільки локально. Тому він може бути досить коротким і зручним для запам'ятовування.

Однак використання смарт-карт передбачає установку на всіх комп'ютерах спеціальних устрій ств дл я їх зчитування, що не завжди зручно або можливо.

Наприклад, комп'ютери можуть бути на гарантії, а рішення про впровадження смарт-карт приймається після їх придбання.

Звичайно, проблему зчитувачів смарт-карт вирішити можна, але є спосіб більш ефективний, - використання токенів . Токен (він же апаратний токен, USB ключ, криптографічний токен ) - невеликий пристрій, призначене для ідентифікації його власника і забезпечення інформаційної безпеки користувача (рис. 9.1).

При бажанні токени можна створити і з звичайних флешок, але краще, все ж, придбати справжні - коштують не так вже й дорого, особливо для підприємства. Вартість токена порівнянна з вартістю зчитувача смарт-карт, але якщо на перед прийнятті необхідно забезпечити підвищений рівень безпеки для яких-небудь окремих користувачів, це рішення буде економічно виправданим.

Підключення токена в USB-порт сприймається системою як вставка смарткарти, однак перед використанням токена потрібно встановити на систему додатковий драйвер цього пристрою.

 

Блокування облікового запису користувача

Найефективніший спосіб боротьби з підбором пароля - блокування облікового запису користувача після деякого числа невдалих спроб входу. Ця опція включається через групову політику організації за допомогою Active Directory або налаштовується за допомогою PAM-модулів при використанні Linux .

Блокувати обліковий запис рекомендується після 3-5 невдалих спроб введення пароля. Вважаємо, цієї кількості спроб повинно вистачити користувачу, який просто помилився при введенні пароля, - наприклад, вибрав неправильну розкладку клавіатури, просто натиснув не ту кнопку і т. П. Для складних паролів можна збільшити кількість неправильних спроб введення до семи. Нехай краще частіше будуть облікові записи блокуватися і частіше будуть адміністратори відволікатися на допуск в систему занадто багато раз помилившись, Але «свого» користувача, ніж хто-то підбере чийсь пароль. При цьому період, протягом якого вважаються спроби входу, а також час, через яке відбудеться автоматичне розблокування заблокованої облікового запису користувача, можна встановити близько однієї години. Іншими словами, якщо користувач встановлену кількість разів (припустимо, п'ять) ввів неправильний пароль, його обліковий запис буде заблокована. Якщо адміністратор недоступний, і розблокувати цей обліковий запис нікому, вона буде автоматично розблокована через годину. Після чого у користувача знову буде п'ять спроб введення пароля.

 

Методи соціальної інженерії

У зв'язку з постійно удосконалюються технічними заходами забезпечення безпеки зловмисники все активніше починають використовувати для отримання даних про інформаційну систему методи так званої соціальної інженерії.

Наприклад, зловмисник може представитися нічого не підозрює співробітнику підприємства новим фахівцем служби техпідтримки, комерційним агентом або інтерв'юером і спробувати отримати у нього відомості про структуру мережі та розташуванні інформаційних мережевих служб, про діючі заходи забезпечення безпеки даних і т. П.

Якщо від одного співробітника буде отримано недостатньо інформації, зловмисник легко може звернутися до другого, третього і т. Д. Широко поширені спроби використання в цілях соціальної інженерії різних анкет, запитів по електронній пошті та ін.

Співробітники організації повинні чітко дотримуватися наступних правил:

не давати ніякої інформації у відповідь на будь-які звернення по телефону, по електронній пошті, при особистих контактах яким би то не було особам, якщо немає чіткої впевненості в правочинності таких запитів;

не повідомляти ніякої інформації як особистого, так і службового характеру в різних анкетах на сторінках інформаційних серверів Інтернету або прийшли по електронній пошті;

не відповідати на будь-які не очікувані розсилки по електронній пошті, навіть якщо в листі міститься вказівка ​​на можливість припинення підписки. Чи не пересилати листів, що містять службову інформацію, поштою в незашифрованому вигляді;

при роботі в Інтернеті уважно стежити за інтернет-адресами (URL) сайтів, щоб бути впевненими в роботі з конкретною і потрібної організацією, а не з сайтом, співзвучним з написання з реальною організацією, - наприклад мають адресу організація.org замість організація.net;

не відвідувати сайти, що надають сертифікат (по протоколу HTTPS), до якого у операційної системи комп'ютера немає довіри (висвічується жовтий знак попередження);

при контактах зі співробітником тієї чи іншої фірми, вперше представився вам по електронній пошті, вжити заходів до перевірки його даних. При цьому не слід користуватися контактними даними, опублікованими в Інтернеті, перевірте дані про цю фірму іншими шляхами, - наприклад, через довідкові служби.

 

Заходи захисту від зовнішніх загроз

Перше, з чого потрібно почати, - це обмежити доступ до інформаційної системи як фізично, так і по каналах зв'язку. Фізичне обмеження доступу починається з охорони приміщень, а захист каналів зв'язку здійснюється за допомогою міжмережевих екранів і систем запобігання / виявлення вторгнень (IPS / IDS).

 

Фізична безпека

Фізичний доступ до системи дуже небезпечний. Наприклад, раніше було показано, як легко можна змінити пароль адміністратора Linux -сервера - пароль користувача root . Всього лише був потрібен фізичний доступ до сервера. Якби у зловмисника не було фізичного доступу, то у нього б нічого не вийшло, - в усякому разі, наведений сценарій не спрацював би, - це вже точно.

У Windows з безпекою в разі фізичного доступу справи йдуть не краще. Зловмисник не тільки отримає разовий доступ до інформації, а й зможе зробити таку заміну службових файлів системи, що надалі зможе отримувати доступ до будь-яких даних в будь-який час (наприклад, зможе обійти заборони файлової системи NTFS або відключити контроль записи на змінні пристрої). При цьому його дії залишаться непоміченими для адміністратора і для користувачів.

 

Обмеження доступу до робочих станцій

Що можна зробити для обмеження доступу до робочих станцій? Пакет «мінімум» повинен включати в себе набір наступних заходів:

встановити пароль на вхід в BIOS SETUP (нема на завантаження ОС, а саме на вхід в SETUP);

заборонити завантаження зі змінних носіїв - система повинна завантажуватися тільки з власного жорсткого диска;

оскільки стерти параметри BIOS можна, відключивши батарейку материнської плати або використавши на ній спеціальний джампер (при цьому всі заборони знімаються), потрібно передбачити або спеціальні замки, що перешкоджають відкриттю корпусу системного блоку, або використовувати систему пломбування. Зламати можна будь-який замок, проте це не виявиться непоміченим, так само як і розпломбування системного блоку;

на всіх ПК перейменувати стандартний обліковий запис Адміністратор, встановивши для неї складний пароль, а також створити помилкову обліковий запис Адміністратор з правами звичайного користувача;

для входу в систему використовувати складний пароль. Не застосовувати препарат гостьові облікові записи та облікові записи без пароля.

З одного боку, - це мінімум, а з іншого - максимум. Адже той же замок при бажанні можна зламати безслідно і точно так же закрити після скидання параметрів BIOS. Пломби також можна відновити. А чи впізнаєте ви про це тільки лише тоді, коли ваш пароль до BIOS SETUP не підійде.

І навіть якщо відключити всі USB-порти (що досить проблематично при використанні безлічі потрібних USB-пристроїв: миші, клавіатури, принтерів та ін.) І приводи CD / DVD, все одно залишиться ймовірність того, що хто-небудь принесе зовнішній DVD-привід або зовнішній жорсткий диск і скористається цими пристроями для крадіжки інформації. Та й мобільні смартфони зараз оснащені картами пам'яті по 64 Гбайт, чого цілком достатньо для «зливу» інформації, не кажучи вже про можливість передачі файлів через Інтернет.

Можна, звичайно, встановити програму блокування доступу до змінних пристроїв (наприклад, DeviceLock від SmartLine ) або взагалі піти шляхом максимального опору і використовувати електронний замок - той же «Соболь» від фірми

«Код безпеки» 1. Але все одно залишаться способи обійти і ці рішення. Інша справа, що на такий «обхід» знадобиться набагато більше часу, і у адміністратора буде можливість помітити спробу несанкціонованого доступу.

Повністю обмежити фізично можна хіба що сервери, які розміщуються в окремих приміщеннях, в спеціальних шафах під замком і під відеоспостереженням. Рівень фізичного захисту залежить від конкретних умов. Автори зустрічали ситуації, коли в невеликій організації сервер просто встановлювався в сейф.

Більші організації розміщують серверне обладнання в приміщенні, що охороняється, встановлюючи особливі правила доступу в нього. Існують можливості обладнання кросових шаф датчиками проникнення, «фірмові» сервери фіксують кожен випадок відкриття кришок корпусу і т. П.

Не слід забувати, що для вилучення конфіденційної інформації можуть бути використані і дані резервного копіювання. Наприклад, можна провести відновлення папок контролера домену в нове місце і отримати доступ до всіх захищених даних. Тому заходи захисту серверів резервного копіювання (пристроїв, на які здійснюється копіювання даних) повинні бути не менш жорсткими, ніж застосовувані до захисту контролерів домену.

 

Міжмережеві екрани

Для обмеження доступу до системи по каналах зв'язку традиційно застосовуються міжмережеві екрани (брандмауери). Використання їх ми докладно обговорювали в розділі 5.

Звернемо тільки ще раз увагу читача, що, по-перше, потрібно контролювати як вхідний, так і вихідний трафіки. По-друге, міжмережевий екран не перешкоджає використанню зловмисником дозволених протоколів для доступу до систем (приклад доступу ззовні через міжмережевий екран також наведено в розділі 5). І, по-третє, міжмережеві екрани повинні бути задіяні як на периметрі інформаційної системи, так і на кожній робочій станції і кожному сервері.

 

Брандмауер

Міжмережевий екран (МЕ), або брандмауер ( firewall ), - це комплекс технічних, програмних та організаційних заходів щодо безпечного підключення однієї мережі до іншої.

Що собою являє МЕ? Це програма-фільтр пакетів. Міжмережевий екран має набір правил, який проглядається при проходженні через МЕ різних пакетів. МЕ аналізує кожен проходить пакет на підставі набору правил і вирішує, що з цим пакетом робити: дозволити, заборонити, перенаправити і т. Д.

Багато що залежить від того, де запущений МЕ: на тому самому маршрутизаторі Wi-Fi, на сервері віддаленого доступу і, звичайно ж, на всіх інших комп'ютерах вашої мережі. Але брандмауери скрізь різні. На маршрутизаторі Wi-Fi, швидше за все, це буде програма iptables, оскільки такі маршрутизатори побудовані на базі Linux . На Windows -системи, якщо немає особливих вимог до захисту даних, в якості маршрутизатора буде використовуватися Брандмауер Windows .

 

Вибір брандмауера

Раніше хороших міжмережевих екранів було відносно небагато. З програм, що стали класикою, можна згадати Outpost Firewall і Kerio WinRoute Firewall . Зараз ці програми канули в Лету, а на їх місце прийшли інтегровані продукти ( Internet Security або Security Suite ), що поєднують в собі функції як брандмауера, так і антивіруса. Прикладів можна навести безліч: той же Kaspersky Internet Security, Avast ! Internet Security, ESET NOD32 Smart Security 7, Comodo Internet Security, Outpost Security Suite і Symantec Endpoint Protection. І це далеко не всі програмні продукти, що містять в собі функції брандмауера, а тільки лише ті, які ми згадали, не вдаючись до допомоги всезнаючого Google .

Приблизно всі ці рішення надають однакову функціональність (крім, хіба що, Symantec Endpoint Protection - його розгортання краще застосовувати тільки в великих підприємствах), тому ви можете вибрати відповідний вам продукт, грунтуючись на тестах незалежних експертів і, звичайно ж, на їх вартості.

Якщо ваша організація не виконує жодних конфіденційні (персональні) дані, можна зупинити вибір на будь-якому ліцензійному програмному продукті.

 

Чи потрібен проксі-сервер?

Зрозуміло, що міжмережевий екран просто необхідний як засіб захисту мережі від вторгнень ззовні. Але чи потрібен проксі-сервер? Це залежить від ряду обставин. Якщо у вас є зайвий комп'ютер, який можна виділити під проксісервер, і розмір мережі досить великий (скажімо, від 50 комп'ютерів) або ж мережа поменше, але користувачі працюють з одними і тими ж інтернет-ресурсами, Тоді проксі потрібен. З його допомогою ви зможете забезпечити кешування одержуваної з Інтернету інформації (а це не тільки HTML-код, але ще і картинки, сценарії, файли стилів і т. П.), Що підвищить швидкість відкриття сторінок, заощадить трафік і навантаження на мережу. Проксі-сервер може також заборонити доступ до певних вузлів Інтернету, але з цією функцією з легкістю впорається і міжмережевий екран, тому основна функція проксі-сервера - все ж, кешування інформації.

 

Системи виявлення вторгнень

Брандмауер сам по собі є досить простим рішенням - він зіставляє проходить через нього пакет списку правил і виконує задані правилами дії над цим пакетом. Наприклад, ви заборонили відправку пакетів на IP-адреса 111.111.111.079. Якщо через міжмережевий екран пройде вихідний пакет з таким IP-адресою в якості одержувача, то пакет буде блокований. Брандмауер нічого більше не робить з пакетом: або дозволяє, або забороняє його (є й інші дії, але, в основному, все зводиться до цих двох). Решта пакетів, які не відповідають жодному з правил, або за замовчуванням пропускаються, або блокуються (все залежить від налаштувань брандмауера).

Але шкідливі програми можуть «замаскуватися» і відправляти пакети, які з точки зору брандмауера виглядають повністю нормальними. Брандмауер, швидше за все, пропустить такі пакети, що може спричинити за собою багатомільйонні збитки. Для виявлення таких «вторгнень» використовуються системи виявлення вторгнень (СОВ), в англомовній літературі звані Intrusion

Detection Systems (IDS).

Існують і системи запобігання вторгнень (СПВ) - Intrusion Prevention Systems (IPS) - виконують активну функцію. Вони не тільки виявляють вторгнення, але і блокують підозрілий трафік. СПВ можуть виявити підготовку DoS -атаки, виявляти мережеві черв'яки, активність експлойтів і т. П.

Принцип дії СПВ грунтується на порівнянні інформації, що передається по мережі інформації з заздалегідь підготовленої базою даних сигнатур, які присутні у шкідливих програмах. Здатні СПВ виявляти і аномальні зміни трафіку - наприклад, різке збільшення пакетів певного типу, і зберігати пропускну здатність каналу для корисних даних.

Зрозуміло, що база даних сигнатур шкідливих програм зростає з кожним днем, і захист всього мережевого трафіку без зниження продуктивності просто неможлива. Виробники цього не приховують, і та ж Cisco в її апаратних рішеннях заявляє, що включення функції Cisco Intrusion Detection Systems на комутаторах Cisco призведе до зниження продуктивності. Програмних рішень IDS / IPS також досить багато. Як і у випадку з брандмауерами, багато постачальників надають IDS / IPS в якості одного комплексу, що містить також антивірус і брандмауер. Як приклад можна привести Security Studio Endpoint Protection - крім того, що до складу цього комплекту входять брандмауер, СОВ і антивірус, продукт є сертифікованим, що дозволяє використовувати його при обробці конфіденційної інформації.

 

Варіанти міжмережевих екранів

Як уже зазначалося, міжмережеві екрани бувають як апаратними, так і програмними. Різниця між ними досить умовна. Адже так зване апаратне рішення являє собою комп'ютер з обмеженою функціональністю, на якому запущена та сама програма-фільтр. Як правило, ці обмежені комп'ютери працюють або під управлінням Linux (бюджетні рішення), або під управлінням ОС власної розробки (наприклад, IOS у Cisco ).

Програмне рішення - це установка програми-фільтрації на персональний комп'ютер. Яка саме програма буде займатися фільтрацією трафіку, залежить від операційної системи. Як уже зазначалося, в Linux - це iptables, а для Windows існує безліч програм (в тому числі і стандартний брандмауер Windows )

 

Вбудований міжмережевий екран

Windows 7/8/10 / Server 2008/2012 В операційних системах сімейства Windows є власний міжмережевий екран - брандмауер Windows . Починаючи з Windows 7, цей програмний продукт є повноцінним фаєрволом і дозволяє створювати правила фільтрації не тільки для вхідного, але і вихідного трафіку. Потрібно відзначити, що в Microsoft постаралися, створюючи це рішення. Якщо немає вимог використовувати сертифіковані програмні продукти, можна сміливо використовувати його на робочих станціях.

Міжмережевий екран Linux

До складу практично всіх сучасних дистрибутивів Linux входить досить потужний брандмауер (міжмережевий екран) - iptables . Як правило, у випадку з Linux ніхто не вдається до установки сторонніх продуктів фільтрації пакетів, а все так звані брандмауери для Linux (на кшталт Firestarter ) є лише оболонками для того ж iptables .

 

Обмеження підключення нового обладнання

Сьогодні користувачам доступно безліч компактних USB-пристроїв: 3G-модеми, адаптери Wi-Fi, зовнішні жорсткі диски та ін. Підключення 3G-модема до комп'ютера робить останній частиною Інтернету, і брандмауер, встановлений на корпоративному шлюзі, вже не буде цей комп'ютер захищати. А зовнішні жорсткі диски зараз таких розмірів, що на них можуть поміститися всі дані сервера.

Тому доступ до зовнішніх пристроїв потрібно обмежувати. Перший варіант - це використання групової політики Windows, що дозволяє контролювати USB-пристрої. Детально цей спосіб описаний в статті KB555324 на сайті Microsoft .

Другий варіант - сторонні програмні продукти, наприклад, вже згадуваний DeviceLock . Опціями контролю доступу до знімних носіїв оснащені і програмні комплекси захисту вузла. Типовий приклад такого комплексу - Symantec EndPoint Protection .

При виборі варіанту захисту слід враховувати:

чи дозволяє продукт контролювати різні класи пристроїв (не тільки USB-пристрої, але і, наприклад, модеми, відеокамери і т. п.);

чи можна обійти захист простими засобами (наприклад, відключивши службу або завантажившись в безпечному режимі і т. п.);

чи є можливість, заборонивши пристрою по їх класу, дозволити використання винятків за серійним номером (реально завжди необхідно забезпечити такі винятки для адміністраторів, службових пристроїв і т. п.).

 

Забезпечення мережевої безпеки інформаційної системи

Зовнішній доступ до інформаційної системи може бути отриманий і по каналах зв'язку. Відповідно, адміністратор повинен забезпечити такий захист, щоб до мережі можна було підключити чуже пристрій, і щоб спроби злому інформаційної системи по використовуваних каналам не виявилися успішними.

Контроль трафіку

По каналах зв'язку можуть здійснюватися спроби злому інформаційної системи з використанням як відомих, так і невідомих на поточний момент вразливостей. Зазвичай засобами запобігання вторгнень оснащуються системи захисту хоста. Але існують способи і контролю всього трафіку організації - спеціалізовані засоби виявлення вторгнень (IDS, Intrusion Detection System ).

Рішення по виявленню спроб злому можуть бути як програмними, так і апаратними. Оскільки для такої роботи потрібна дуже висока швидкість обчислень, то зазвичай використовуються спеціалізовані апаратні пристрої, що дозволяють оновлювати алгоритми пошуку шкідливого коду.

Системи IDS ведуть аналіз трафіку, фіксують передбачувані відхилення і формують відповідні попередження адміністратору. Існують також і активні системи - Intrusion Prevention System (IPS) - вони в режимі реального часу можуть блокувати трафік при виявленні підозрілих кодів.

Прикладів IDS / IPS можна привести досить багато - як комерційних, так і безкоштовних : Check Point IPS, LIDS ( Linux IDS ), TippingPoint Next - Generation IPS 1, Security Studio Endpoint Protection (сертифікована система, що містить IPS) і ін.

Контроль пристроїв по MAC-адресах

Найпростіший і самий непотрібний спосіб контролю підключаються до мережі пристроїв - це перевірка MAC-адресу свого пристрою. Такий контроль підтримується всіма керованими комутаторами. При використанні режиму контролю MAC адрес, комутатор запам'ятовує MAC-адресу з першого пакету, що прийшов і надалі пропускає дані тільки з цього пристрою (звичайно ж, тільки по тому порту, до якого підключений).

Включення перевірки MAC-адреси дозволяє захиститися від уразливості, званої ARP-spoofing2, при реалізації якої зловмисник може «розташуватися» між двома комп'ютерами, що обмінюються даними, і перехоплювати весь трафік.

Недолік способу контролю шляхом перевірки MAC-адреси полягає в тому, що комутатор блокує порт до явного втручання. Саме тому адміністратори не люблять включати цю функцію - адже тоді їм доводиться перенастроювати комутатор. Марність же цього способу в тому, що MAC-адресу пристрою дуже просто змінити, - як в Windows (рис. 9.2), так і в Linux . Досвідчений зломщик може скористатися такою можливістю і підключитися до порту комутатора.

Перевірку MAC-адресу свого пристрою часто використовують інтернет-провайдери для контролю своїх клієнтів. При зміні MAC-адреси (заміна мережевої карти, підключення іншого комп'ютера або установка роутера) потрібно дзвонити провайдеру і повідомляти новий MAC-адресу. Провайдер переналаштовує комутатор, і тільки після цього стає можливо підключитися до Інтернету.

На наш погляд, це марно. Наприклад, уявіть собі ситуацію: підключилися ви до Інтернету, маршрутизатора Wi-Fi у вас не було, і співробітники провайдера записали MAC-адресу вашого комп'ютера. Через деякий час ви купили маршрутизатор або новий комп'ютер - MAC-адреси у них інші, і треба телефонувати до служби підтримки, а там як зазвичай: «всі оператори зайняті». Набагато простіше змінити MAC-адресу свого пристрою програмно, благо, ця можливість є в прошивці практично будь-якого маршрутизатора. Тому в такому захисті сенсу немає - від кваліфікованих користувачів ви не захиститеся, а лише створите незручності і собі, і самим звичайним користувачам.

 

Протокол 802.1х

Найбільш безпечним засобом контролю підключення до мережі в даний час є використання протоколу 802.1х, призначеного для аутентифікації пристрою, що підключається до локальної мережі. Спочатку він був розроблений для бездротових мереж, але згодом став застосовуватися і для контролю пристроїв, що підключаються до проводовим сегментам.

 

Виявлення нештатної мережевої активності

Вірусна епідемія або атака на інформаційну систему не виникають «раптом». Зазвичай їм передує якийсь період, який характеризується підвищеною нештатної мережевою активністю. Періодичний аналіз файлів протоколів систем і використання тих чи інших обнаружителей мережевих атак можуть попередити адміністратора і дати можливість зробити зустрічні кроки.

Хоча професійні програми, призначені для виявлення мережевих атак, досить дороги, вимагають високого рівня знань від адміністратора і звичайно не використовуються в малих і середніх підприємствах, адміністратори легко можуть знайти в Мережі пакети, які дозволяють прослуховувати активність на TCP / IP-портах системи. Сам факт виявлення активності на нестандартних портах вже може бути свідченням нештатного поведінки системи, а наявність мережевого трафіку в неочікувані періоди часу може побічно свідчити про роботу троянів.

Наведемо кілька безкоштовних програм, які часто застосовуються для сканування мережі:

nmap, http://www.insecure.org/nmap/, версії для Windows і Linux ;

Nessus, http://www.nessus.org, Linux- версії ;

NSAT, http://sourceforge.net/projects/nsat/, Linux -системи.

 

Контроль стану програмного середовища серверів і станцій

При експлуатації системи адміністратор повинен бути впевнений в тому, що на серверах і робочих станціях відсутні відомі уразливості і що встановлене програмне забезпечення виконує свої функції без наявності будь-яких закладок, недокументованих обмінів даними і т. П. Зрозуміло, що власними силами перевірити це неможливо, тому ми змушені довіряти виробникам програм і забезпечувати зі свого боку ідентичність використовуваного комплекту ПЗ оригінальному дистрибутива.

Настроювання серверів

У більшості випадків типова (за замовчуванням) конфігурація операційної системи дозволяє відразу ж приступити до її використання. При цьому, також в більшості випадків, система буде містити зайві функції - наприклад, служби, які запущені, але не потрібні вам. Такі функції з метою підвищення безпеки слід відключати. Наприклад, за замовчуванням при установці часто Linux встановлюється веб-сервер (деякі дистрибутиви грішать цим). Але він вам не потрібен, - отже, ви його на безпечну роботу не налаштовували, і у нього залишилася конфігурація за замовчуванням. Зловмисник може використовувати настроєних послуг для атаки на вашу систему. Більш того, оскільки ви вважаєте, що на цьому комп'ютері веб-сервера немає, ви навіть не будете контролювати цю службу. Саме тому всі невикористовувані служби потрібно відключити. Включити їх назад, як тільки вони вам знадобляться, - не проблема. Які саме роботи необхідно відключити, залежить від застосування комп'ютера, тому привести універсальні рекомендації на цей рахунок в нашій книзі не представляється можливим.

Security Configuration Manager

В складі Windows Server присутня програма Security Configuration Manager (SCM). Як видно з її назви, SCM призначена для настройки параметрів безпеки сервера. Практично, програма пропонує застосувати до системи один з шаблонів безпеки, вибравши ту чи іншу роль вашого сервера.

SCM приваблива тим, що пропонує застосувати комплексно всі ті рекомендації, які містяться в об'ємних посібниках з безпеки. Однак в реальних системах рідко можна знайти сервери з «чистою» роллю - зазвичай присутні ті чи інші їх модифікації, які змушують адміністратора ретельно ревізувати пропоновані до призначення настройки. Тому SCM слід розглядати тільки як перший крок настройки сервера

 

Виняток вразливостей програмного забезпечення

Помилки знаходять у всіх операційних системах, вони властиві як самим операційним системам, так і прикладного програмного забезпечення. Уразливість в програмному забезпеченні потенційно дозволяє зловмисникові отримати доступ до даних в обхід захисту. Тому установка оновлень є одним з найбільш критичних елементів системи безпеки, причому адміністратор повинен стежити не тільки за виявленням вразливостей в операційній системі, а й бути в курсі оновлень всього встановленого програмного забезпечення.

 ПРИМІТКА

Історично існують різні назви оновлень: заплатки ( Hot fix ), які зазвичай випускаються після виявлення нової уразливості, сервіс-паки ( service pack ), в які включаються не тільки більшість реалізованих до часу випуску сервіс-пака латок, а й деякі удосконалення і доповнення основних програм, і т. п. У даному контексті для нас не є актуальними ці відмінності.

 

Уразливості і експлойти

Кожен день в тому чи іншому програмному забезпеченні перебувають якісь вразливості. А ось «заплатки», що дозволяють закрити «дірки» в інформаційній безпеці випускаються не так регулярно, як цього б хотілося.

Іншими словами, з моменту виявлення уразливості і до установки «заплатки» (зауважте, не до виходу, а до установки - «латочка» вже вийшла, а адміністратор нічого про неї і не підозрює) може пройти значний час. За цей час хто-небудь може скористатися вразливістю і зламати вашу систему.

Щоб скористатися вразливістю, не потрібно бути «крутим хакером» - досить підібрати експлойт (спеціальну програму, яка реалізує цю вразливість) і застосувати його до всієї системи. Знайти експлойт досить просто - треба лише вміти користуватися пошуковими системами. В результаті звичайний користувач отримує інструмент, що дозволяє йому, наприклад, підвищити свої права до рівня адміністратора або «звалити» сервер підприємства. Можна міркувати про причини такої поведінки, але авторам неодноразово п ріходілось стикатися з наявністю подібного призначеного для користувача інтересу. На сайті http://www.metasploit.com/ доступний безкоштовний сканер вразливостей, який можна використовувати як для тестування «дірок», так і для вибору методу атаки системи.

Інформація про знайдені вразливості розробниками ПЗ ретельно приховується до моменту випуску виправлень програмного коду. Однак цей факт не гарантує відсутність «дір» в захисті систем, які вже почали експлуатуватися зловмисниками.

Тому своєчасна установка «латок» є необхідним, але не достатнім засобом забезпечення безпеки даних.

 

Як дізнатися про оновлення?

Інформація про уразливість публікується на спеціальних сайтах. Ось деякі з них:

SecurityFocus, http://www.securityfocus.com;

CERT vulnerability notes, http://www.kb.cert.org/vuls/;

Common Vulnerabilities and Exposures (MITRE CVE), http://cve.mitre.org;

SecurityLab, http://www.securitylab.ru/vulnerability/;

IBM Internet Security Systems, http://xforce.iss.net.

Ці сайти потрібно регулярно переглядати або ж підписатися на існуючі на них розсилки.

 

Перевірка системи на наявність вразливостей

При бажанні можна самостійно провести перевірку системи на наявність вразливостей. Програм для такої перевірки достатньо: RkHunter, OpenVAS, SATAN, XSpider, Jackal, Strobe, NSS - як платних, так і безкоштовних. Інформацію про ці сканерах ви без проблем знайдете в Інтернеті. Наприклад, такі статті пояснюють, як використовувати RkHunter і OpenVAS відповідно:

 

Тестування оновлень

На жаль, самі поновлення нерідко стають причиною помилок в роботі комп'ютерної системи. Ті, хто більш-менш періодично знайомиться з конференціями по програмним продуктам, напевно пам'ятають піки емоцій, коли після установки чергового сервіс-пака система просто переставала працювати.

Авторам неодноразово доводилося стикатися з ситуаціями, коли установка оновлень приводила до збоїв системи, причому часто проблеми виникали не відразу, а вже в процесі експлуатації, коли збій в роботі системи ставав критичним для забезпечення бізнес-процесів організації.

Тому адміністратор поставлений перед дилемою: застосувати оновлення і ризикувати стабільністю роботи системи або не застосовувати і чекати, що атака зловмисника мине комп'ютери невеликий і непомітною організації.

Розробники програмного забезпечення радять в обов'язковому порядку тестувати все що встановлюються на робочі комп'ютери поновлення. Тестування повинне проводитися в типовій для вашої організації конфігурації для кожної версії операційної системи. Адміністратору слід самостійно визначити, виконання яких функцій необхідно перевірити після оновлення. Зрозуміло, що повністю протестувати систему після установки оновлень в умовах малої або середньої організації практично нереально, але перевірити хоча б можливість завантаження комп'ютера і правильність виконання основних бізнес-процесів - цілком можливо.

ПОРАДА

Ставте отримані поновлення спершу не на основні комп'ютери, зокрема, спробуйте провести цю операцію на своїй машині. І, звичайно, заздалегідь продумайте, як ви будете відновлювати систему в разі її краху. Наприклад, чи є у вас актуальні файли резервної копії, і наскільки буде порушено функціонування організації, якщо таке відновлення доведеться проводити відразу після інсталяції оновлення?

 

Оновлення операційних систем Linux

Сучасні операційні системи Linux підтримуються випуском «латок» на виявлені вразливості. Цей процес можна автоматизувати (запускати оновлення за графіком з використанням демона cron ) або ж встановлювати оновлення вручну.

Операції виконуються за правилами відповідної версії операційної системи. Наприклад, для операційної системи Ubuntu ручне оновлення виконується двома командами:

# Apt-get update

# Apt-get upgrade

Перша команда оновлює локальний список інформації про пакети, друга - встановлює нові версії пакетів, т. Е. Виробляє саме оновлення .

На відміну від Windows -систем при установці оновлень на сервери Linux (без графічної підсистеми) вкрай рідко потрібне перезавантаження. Що ж стосується стабільності, то нами були помічені рідкісні проблеми тільки при оновленні програм з графічним інтерфейсом, а оскільки такі програми на сервері не встановлюються, турбуватися про це взагалі не варто.

Для поновлення в графічному режимі робочих станцій Linux задіюються майстра операцій, автоматично запускаються в разі виявлення виправлень.

 

Індивідуальні оновлення Windows -систем

Для поновлення систем Windows 7/8/2008/2012 використовується Центр оновлення, який перевіряє наявність оновлень і виробляє їх установку. Як видно на рис. 9.7, Центр оновлення показує кількість важливих і необов'язкових оновлень, а також дозволяє переглянути і вибірково встановити оновлення (рис. 9.8).

Для серверів режим автоматичної установки не є оптимальним, оскільки сервер зазвичай досить щільно навантажений: в робочий час обслуговує користувачів, вночі виконуються сервісні операції. Тому незапланована операція перезавантаження може бути небажана. Внаслідок цього ми радимо виконувати установку оновлень тільки в ручному режимі, під контролем оператора сервера.

 

Оновлення Windows-систем на підприємстві

Оновлення систем на підприємстві має кілька особливостей:

по-перше, поновлення від Microsoft часто досить об'ємні за розміром, і їх одночасне завантаження на кілька систем може негативно позначитися на доступі в Інтернет навіть на безлімітних тарифах, не кажучи вже про економію для тарифів з оплатою за трафік;

по-друге, установка оновлень в організації повинна бути контрольованою: поновлення повинні авторизуватися (отримувати дозвіл від адміністратора на установку, найкраще - після тестування), операції потрібно проводити за графіком, з урахуванням типу комп'ютерів (відбір по групах, майданчикам і т. п .), весь процес повинен протоколюватися з можливістю легкого складання звітів за результатами.

З цією метою доцільно використовувати службу автоматичного оновлення - Windows Software Update Services ( WSUS ). Вона поширюється безкоштовно і призначена для установки як оновлень операційної системи Windows, так і ряду продуктів Microsoft .

 

Захист від шкідливих програм

Часто з метою крадіжки або знищення інформації відбуваються спроби установки на комп'ютер який-небудь шкідливої ​​програми. Таких програм настільки багато, що для виключення таких ситуацій створено спеціальний клас програм - програм захисту хоста.

Програми захисту хоста дозволяють заблокувати запуск шкідливих програм, а також виключити установку троянів і руткітів (шкідливого коду, який може використовуватися для крадіжки даних). Зазвичай весь шкідливий код разом з троянами і руткитами називається malware -програми - від англійського malicious software .

На рис. 9.10 представлена програма Symantec Endpoint Protection, яка крім функцій антивірусного захисту включає сучасний міжмережевий екран і засоби виявлення атак і вторгнень. Програма здатна виявляти клавіатурні шпигуни, блокувати хости, які здійснюють атаки, маскувати операційну систему (підміняти типові відповіді на контрольні пакети IP). У ній містяться опції, включалися до них раніше тільки в спеціалізовані програми, - наприклад, захист від підміни MAC-адреси, інтелектуальний контроль протоколів DHCP, DNS, виявлення руткітів і т. Д.

Руткіт ( rootkit ) - програма, яка використовує технології маскування своїх файлів і процесів. Ця технологія широко застосовується, і не тільки зловмисниками. Наприклад, антивірусна програма Kaspersky Antivirus використовує цю технологію для приховування своєї присутності при читанні NTFS-даних.

 

Уважність користувача

Багато в чому рівень безпеки системи залежить від свідомості і уважності користувачів. Користувачам не слід переходити по сумнівними посиланнями, в тому числі в електронних листах, не можна також відкривати будь-які вкладені в листи файли. Таким шляхом можна запобігти один з найбільш часто використовуваних способів поширення комп'ютерних вірусів - по електронній пошті.

Серед співробітників підприємства треба поширити інструкції щодо запобігання інфікування вірусами. Ось один з варіантів такої інструкції - ви можете доповнити її в залежності від специфіки вашого підприємства:

Забороняється будь-яким чином втручатися в роботу антивірусних програм.

ПОЯСНЕННЯ

Як правило, такого втручання можна уникнути, якщо відповідним чином налаштувати систему і саму антивірусну програму. Проте, інтерфейс програми може надавати вибір різного режиму роботи програми, в тому числі і відключення антивірусного захисту. Ні в якому разі не можна дозволяти користувачам змінювати режими роботи антивіруса.

Забороняється переходити за посиланнями в соціальних мережах: «ВКонтакте», «Однокласники» та ін., Якими б текстами вони заманювали. Самі соціальні мережі не містять вірусів, проте вони можуть містити посилання, що ведуть на сторінки з вірусами.

Не можна відкривати файли, надіслані вам в якості вкладень. Якщо хто-небудь повинен відправити вам файл вкладенням по електронній пошті, нехай він вас якимось чином попередить (наприклад, по телефону, Skype, ICQ або по електронній пошті - в попередньому листі).

Не можна переходити за посиланнями, що містяться в електронному листі, особливо від невідомого адресата. Однак навіть комп'ютер ваших колег може бути інфікованим, тому - ніяких посилань! Як і в випадку з вкладеннями - якщо вам повинні відправити посилання, нехай спочатку попередять про це.

Всі знімні диски (CD / DVD, USB) перед використанням розміщеної на них інформації потрібно перевіряти антивірусом, навіть SD-карти фотоапаратів!

Забороняється завантажувати і запускати так звані Portable -версії програм.

ПОЯСНЕННЯ

Мається на увазі, що співробітники працюють в системі з правами звичайного користувача і встановлювати програми стандартним способом вони не можуть. Зате вони можуть завантажити Portable -версії програм, які, як правило, поширюються на сайтах, що містять піратське ПЗ . Часто буває, що разом з таким ПО поширюються і віруси, «зашиті» або в саму програму, або в генератор ключа для неї.

Виконання цих простих правил допоможе істотно знизити ризик інфікування системи.

 

Лікування вірусів

Якщо комп'ютер виявився вражений вірусом, то слід спочатку оновити базу даних антивірусної програми, якщо вона встановлена. У більшості випадків після цього вона сама зможе знешкодити вірус.

Деякі віруси блокують запуск антивірусних програм (якщо вірус вже увійшов в систему із застарілою базою даних про віруси). В цьому випадку потрібно постаратися з'ясувати назву вірусу, завантажити утиліту, яка дозволить усунути внесені ним в систему зміни, після чого можна буде завантажити оновлення та виконати повну перевірку системи.Для виявлення імені вірусу слід скористатися скануванням системи - наприклад, з флешки або за допомогою онлайнового антивірусного сервісу. Практично всі великі виробники антивірусних продуктів створили подібні служби. наприклад:

Symantec Security Check,

http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym;

Trend Micro, http://housecall.trendmicro.com/housecall/start_corp.asp;

Panda, http://www.pandasecurity.com/activescan/index/,

і багато інших.

При роботі в складі локальної комп'ютерної мережі можна скористатися також можливістю антивірусних програм здійснювати перевірку мережевих ресурсів.

Якщо антивірусна програма не встановлена, то слід спочатку провести перевірку на віруси, використовуючи завідомо «чисте» програмне забезпечення. Як правило, всі антивірусні пакети мають версії програм для сканування і лікування системи, які можна запустити в режимі командного рядка. Ці версії можна безкоштовно завантажити з відповідного сайту виробника. При перевірці необхідно бути впевненим, що в пам'яті комп'ютера відсутні віруси. Для цього система повинна бути завантажена, наприклад, з явно чистої флешки або з компакт-диска. Ось приклади таких програм:

Dr.Web CureIt, http://www.freedrweb.com/cureit/ - допоможе, якщо Windows ще запускається і відносно нормально працює;

Dr.Web LiveDisk, http://www.freedrweb.ru/livedisk/ - завантажувальний диск. Перевага цього способу в тому, що вірус на жорсткому диску буде перебувати в незапущених стані і не тільки не зможе вам перешкодити, але і не буде далі розмножуватися. Слід завантажити LiveDisk на неінфікованій комп'ютері, записати образ на «болванку» і завантажитися з нього на інфікованій системі;

AVZ, http://www.z-oleg.com/secur/avz/download.php - містить різні

додаткові кошти, які допоможуть «вирахувати» вірус, якщо це не виходить зробити за допомогою антивірусної програми. Досвідчені адміністратори швидко вникнуть, як використовувати цю програму, а починаючим користувачам краще використовувати CureIt .

Після ліквідації вірусів потрібно встановити / перевстановити (якщо вона була пошкоджена вірусом) антивірусну програму і оновити її антивірусну базу даних.

 

Захист від вторгнень

Антивірусні програми перевіряють файли, що зберігаються на носіях, контролюють поштові відправлення і т. П. Але вони не можуть запобігти атак, які базуються на вразливості служб комп'ютера. У таких випадках небезпечний код міститься в переданих по мережі даних, а не зберігається в файлової системі комп'ютера.

Програми захисту хоста включають і модулі, які контролюють передаються по мережі дані. Якщо такий модуль виявляє сигнатуру, яка застосовується для атак з використанням помилок операційної системи або прикладних програм, то він блокує відповідну передачу даних.

Так само, як і антивірусні бази даних, склад цих сигнатур потребує постійного оновлення з центрального сервера. Зазвичай оновлення здійснюється єдиної операцією.

 

Програми-шпигуни: «троянські коні»

В Інтернеті широко поширена практика установки на комп'ютер користувача певних програм без його відома. Іноді їх дії просто докучливі - наприклад, перенаправлення стартової сторінки оглядача на певні ресурси Мережі з метою реклами останніх. Іноді такі програми збирають з локального комп'ютера і відсилають до Мережі інформацію - наприклад, про переваги користувача при відвідинах сайтів. А іноді і передають зловмисникові дані, що вводяться користувачем при роботі з сайтами інтернет-банкінгу.

Частина таких програм можна знайти системами захисту, і їх робота блокується. Але багато програми не детектируются як віруси, оскільки їх дії часто ідентичні типових операцій користувача. Виявити такі программитрояни вельми складно. Тому важливо періодично здійснювати контроль запущеного на комп'ютері програмного забезпечення.

Існує спеціальний клас програм, спеціалізованих на пошуку троянів. Як приклад можна привести Ad-aware від компанії LavaSoft, яку можна знайти на сайті http://www.lavasoftusa.com/. Такі програми орієнтовані на пошук слідів троянів (ключів в реєстрі, записів на жорсткому диску і т. П.) І особливо корисні при виїзді адміністратора в іншу організацію для здійснення технічної підтримки. Обсяг файлів установки дозволяє швидко завантажити їх з Мережі і оперативно очистити комп'ютери клієнтів від шкідливих кодів в разі виявлення непередбачених дій.

Як превентивних заходів можна рекомендувати частіше здійснювати перевірку електронних підписів захищених файлів системи, за допомогою групової політики підвищити до максимуму рівень безпеки офісних програм і оглядача, дозволити виконання тільки підписаних електронним підписом сценаріїв і т. П.

Оскільки адміністраторам досить часто доводиться самостійно займатися пошуком троянських програм, опишемо основні способи їх автоматичного запуску. Отже, шкідливий код може бути запущений з використанням:

файлів autoexec.bat і config.sys - такий варіант використовується нечасто, оскільки нові операційні системи зазвичай не враховують параметри цих файлів (вони були задіяні при старті комп'ютера в Windows XP і більш старих версіях Windows, в нових версіях цих файлів немає);

файлу win.ini - хоча цей файл зберігається лише в цілях забезпечення сумісності, але включення програм в рядки run і load цього файлу дозволяє забезпечити їх запуск системою;

папки Автозавантаження для всіх користувачів і профілю поточного користувача - досить просто перевірити вміст цієї папки, щоб виявити таку програму;

 

Безпека додатків

Наскільки б добре не захищалася операційна система, хоч би правильно не були написані фільтри і політики брандмауерів, але якщо прикладне програмне забезпечення або його уразливості дозволять отримати доступ до захищених даних, то всі вжиті зусилля виявляться марними. Приклади такої поведінки програм легко можна знайти в Інтернеті: в смартфони вбудовані програми, моніторять активність користувача, клієнт Skype дозволяє прийняти виклик від людини, що не входить в список контактів (це означає, що з зовнішньої мережі є доступ до локального комп'ютера з можливістю виконання дій, заборонених користувачами) і т. п.

Основні принципи безпеки додатків

Прикладне ПЗ може стати причиною витоку конфіденційних даних не тільки через помилки його розробки, а й просто завдяки недостатнього увазі до документованих функцій. Так, файли документів, підготовлені в програмі Microsoft Word, крім самого тексту можуть містити й конфіденційні дані, які не призначаються для сторонніх очей: імена комп'ютера і користувача, шлях до мережного принтера, список редагували документ осіб, можливо, адреси їхньої електронної пошти і т. п. А якщо документ буде збережений з включеними версіями або режимом виправлень, то партнер зможе простежити, наприклад, позиції різних співробітників за цінами, запропонованими в документі, що аж ніяк не сприятиме прийняттю варіанти, найбільш сприятливого для вашої організації.

Проконтролювати дії встановлених програм практично неможливо. Найбільш раціональний вихід - це використання ПЗ з відкритим кодом, оскільки запорукою його безпеки є незалежна експертиза. Але в силу об'єктивних обставин це можливо далеко не завжди. Тому слід дотримуватися кількох принципів:

обмежте мінімумом кількість програм, встановлених на серверах і станціях;

використовуйте засоби контролю запуску програмного забезпечення;

виключіть можливість передачі даних з серверів в мережу Інтернету (заблокуйте, наприклад, по їх IP-адресами);

по можливості, використовуйте програми аналізу поведінки.

 

Єдиний фонд дистрибутивів і засоби контролю запуску програмного забезпечення

Для забезпечення безпеки додатків також необхідно:

по-перше, домогтися, щоб на підприємстві існував єдиний фонд дистрибутивів, щоб все установки програм на робочі станції і сервери виконувалися тільки з перевіреного джерела;

по-друге, включати засоби контролю запуску програм. Максимально безпечний варіант - заборонити запуск будь-яких програм за замовчуванням і створити виключення: ті програми, які необхідні для роботи. Контроль запуску програм можна реалізовувати через групові політики (варіант описаний в главі 6), але більш тонкі налаштування можна виконати, застосовуючи програми захисту хоста.

На рис. 9.14 показаний приклад вибору параметрів, які можна використовувати приформировании правил запуску в програмі Symantec Endpoint Protection . За допомогою використання подібних налаштувань - контролю доступу до параметрів реєстру, до файлів і папок, спробам запуску або припинення процесу, завантаження бібліотек - можна дуже точно налаштувати правила дозволу і блокування .

 

Незмінність системи

Одним із способів захисту системи від шкідливого коду є заборона на внесення змін на локальний диск. Традиційний рада для тих, хто не хоче «підхопити» що-небудь в Інтернеті, полягає в завантаженні при подорожах по Мережі з будь-якого LiveCD . До речі, Microsoft підготувала спеціальну модифікацію для Windows, призначену для інтернет-кафе та ігрових клубів, яка повертає стан системи до початкового після кожної перезавантаження.

Аналогічні рішення присутні і серед безкоштовних продуктів. Наприклад по адресою http://www.bitdisk.ru/ доступна програма BitDisk, яка також може контролювати запис змін під час роботи системи. Безкоштовна версія програми після перезавантаження системи повертає стан до того моменту, на якому ця функція була включена (платна версія дозволяє перемикатися між режимами без перезавантаження і вибирати режими збереження змін на локальний диск).

 

Захист від витоку даних

Під час роботи комп'ютера доступ до інформації контролюється засобами операційної системи і програмного забезпечення. Порядок налаштування прав доступу не представляє особливої складності і успішно реалізується адміністраторами.

Але як тільки дані виходять з-під контролю операційної системи (наприклад, комп'ютер вимикається, або дані переносяться на змінний носій), то виключити їх попадання в чужі руки вкрай складно.

Шифрування даних

Шифрування даних на сьогодні є самим надійним способом забезпечення конфіденційності інформації.

Застосування шифрування обмежена чинним законодавством (наприклад, потрібна ліцензія, необхідно застосовувати тільки сертифіковані алгоритми шифрування і т. П.), Але на практиці існує і застосовується багато варіантів кодування даних.

Шифрування даних на пристроях зберігання

ПРИМІТКА

При роботі із зашифрованою інформацією важливо виключити витік по інших каналах - наприклад, через тимчасові файли, які система створює при обробці даних, через електромагнітне випромінювання монітора, на якому відтворено текст, і т. П.

Шифрування архівів

Шифрування при архівації - найпростіший спосіб, але далеко не найнадійніший. Для багатьох архиваторов існують програми підбору паролів, і, з огляду на схильність користувачів до простих варіантів паролів, інформація з архівів може бути отримана за кінцевий час.

Потрібно також враховувати, що комерційні варіанти архиваторов можуть мати так звані інженерні паролі, за допомогою яких відповідні служби при необхідності прочитають дані.

Безкоштовні програми шифрування даних

Існує кілька програм, які дозволяють шифрувати дані з високою ступенем надійності. Ми ж хочемо тут порекомендувати утиліту TrueCrypt (http://www.truecryptrussia.ru/). Це безкоштовне кроссплатформне рішення, версії якого є для Windows 7, Windows XP, Mac OS і Linux . Побічно якість програми підтверджує факт її застосування в збройних силах Ізраїлю.

 

Стеганографія

Кращий спосіб захисту інформації - не показати зловмисникові, що така інформація є. Технологія стеганографії передбачає маскування даних серед нічого не значущою інформацією.

Найпростіший спосіб - це додати в кінець файлу зображення ще один архів ( «склеїти» його з зображенням). Зображення буде нормально проглядатися в графічних програмах, але при відкритті його в архіваторі ви зможете отримати приховані дані.

Аналіз поведінки користувачів

За результатами деяких західних досліджень приблизно дві третини високотехнологічних корпорацій постійно стикаються з внутрішніми загрозами безпеці інформації.

Традиційні способи захисту - обмеження доступу до інформації, контроль периметра (пошти, різних месенджерів, змінних носіїв і т. Д.) За ключовими словами (сигнатурам) і т. Д. - стають малоефективними.

 По-перше, інформація часто викрадають тими, хто має доступ до відповідного класу даних. Крім того, отримати доступ до бажаної інформації не становить труднощів і для зловмисника, котрий використовує методи соціальної інженерії. По-друге, користувачі стають більш досвідченими і підготовленими. Вони можуть легко дізнатися, які продукти використовуються для захисту даних, які сигнатури аналізуються, і навіть поставити собі для вивчення пробну версію такого продукту. В результаті зловмисник зможе винести з організації серйозні обсяги інформації, що має комерційну цінність.

Для виключення подібних ситуацій стали з'являтися продукти, що аналізують модель поведінки користувача. Найпростіший приклад: поведінка співробітника, в поточній роботі на своєму робочому місці стільки-то раз відкриває документи з такою-то папки, яка провадить пошук по таким-то ключовими словами і т. Д., Може бути описано відповідною моделлю. Але якщо він починає готуватися до відходу з організації і збирає уявну йому корисною інформацію, то такі додаткові операції будуть сприйняті програмою як відхилення від профілю, і фахівці служби безпеки отримають попередження.

Подібні продукти є комерційними рішеннями. Тут ми не станемо описувати конкретні програми, оскільки вони специфічні для різних типів інформації.

DLP-технології

Захищається інформація може покинути організацію різними шляхами: через канали зв'язку і змінні носії, електронну пошту, ICQ, Skype, флешки і т. П. Причому це може бути зроблено як навмисне, так і випадково (наприклад, якщо при створенні листа переплутано адресу одержувача) .

На ринку сьогодні є кілька продуктів, що дозволяють контролювати периметр організації і блокувати можливий витік даних. Такі рішення називаються запобігання витокам (від англ. Data Loss Prevention, DLP). Основне завдання DLP - виявити і заблокувати заборонену передачу конфіденційних даних по будь-яких каналах зв'язку і пристроїв.

Більшість таких продуктів працюють вже «за фактом», т. Е. Повідомляють про наявність підозрілого трафіку і витоку даних. Крім того, методи аналізу даних не дозволяють говорити про надійність розпізнавання конфіденційної інформації, тим більше, що кожній категорії даних потрібно своя адаптована технологія аналізу.

Для аналізу документів застосовується теорія відбитків. Кожному документу ставиться у відповідність цифровий відбиток, який порівнюється з збереженими цифровими відбитками документів, які експерти віднесли до конфіденційної інформації. На основі такого аналізу визначається ймовірність присутності в документі конфіденційних даних. Крім того, проводиться морфологічний і граматичний розбір тексту для виявлення шуканих даних.

DLP-рішення є недешевими продуктами. Про доцільність їх впровадження з економічної точки зору має сенс говорити при числі контрольованих робочих місць порядку декількох сотень і більш. Крім того, рішення, що виноситься такою системою, є імовірнісним (хоча і з досить високим ступенем правильної ідентифікації).

Тому подібні технології сьогодні поки застосовуються в великих організаціях, де дуже висока вартість витоку даних (фінансовий сектор і т. д.).

 

Анонімність роботи в глобальній Мережі

Останнім часом Інтернет стає все менш анонімним. З одного боку - всілякі ресурси і шкідливі програми, що збирають різну інформацію про користувача: IP-адреса, ім'я, стать, вік, місце проживання, номер телефону. Така інформація може збиратися як явно (ви її самі вказуєте, заповнюючи на відвідуваних сайтах різні форми-анкети), так і неявно, коли вона визначається на підставі непрямих даних (наприклад, ваше місцезнаходження при відвідуванні того чи іншого сайту легко обчислюється по IP-адресою комп'ютера, з якого ви зайшли в Інтернет). Вся ця інформація може збиратися різними сайтами - наприклад, для показу вам рекламних оголошень, прив'язаних до вашого місця проживання, або в будь-яких інших цілях. З іншого боку - вас «Вивчають» силові органи за допомогою обладнання СОРМ (система оперативно-розшукових заходів), яке впроваджується вже багато років.