Методика исследования и анализа средств аудита системы Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин. Анализ угрозы информационной безопасности. Алгоритм работы программного средства.
При низкой оригинальности работы "Разработка программного средства анализа событий систем семейства Windows на основе разработанной методики анализа событий", Вы можете повысить уникальность этой работы до 80-100%
Можно вести наблюдение за активностью, связанной с безопасностью, например за тем, кто получает доступ к объекту, за входом пользователя в систему и выходом из системы, или за изменением параметров политики аудита. В первой главе разрабатывается методика исследования и анализа средств аудита систем семейства Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин на основе анализа архитектуры и функциональных возможностей системы аудита Windows. В процессе аудита событий, связанных с безопасностью, создается журнал безопасности, в котором можно просмотреть эти события. Аудит входа в систему Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из нее. Аудит событий входа в систему Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с другого компьютера или выйти из нее, при условии что этот компьютер используется для проверки подлинности учетной записи.Процесс анализа зарегистрированных событий безопасности характеризуется необходимостью решения следующих основных задач: объединение событий, полученных из различных источников, например зарегистрированных на различных компьютерах сетевой информационной среды; устранение избыточности журнала аудита; поиск событий, отвечающих определенным условиям; обработка событий «вручную»; классификация зарегистрированных событий безопасности; оповещение о фактах обнаружения особо важных событий. Составляется три списка событий: несанкционированных событий, санкционированных событий, «сомнительных» событий, что и является результатом. В данную политику должны быть включены следующие критерии: - объекты, подлежащие аудиту (файлы, папки, ключи реестра); В качестве базовой политики безопасности выбрана политика аудита доступа к объектам, имеющим важное значение для функционирования системы Windows, а также наиболее часто подвергающимся атакам зловредного программного обеспечения. Меню настройки аудита находится на вкладке Безопасность меню свойства каталога.Каждый этап предполагает выдачу промежуточных результатов анализа журнала, включающих в себя имена файлов, являющихся подозрительными, количество найденных подозрительных событий, код события (создание, изменение). На этапе поиска по локальным или удаленным базам данных происходит анализ на соответствие, так называемому, «черному списку» известных зловредных программ. Входными данными для программного средства служит экспортированный журнал событий аудита, сформированный ранее при настройке системы аудита; «черный список» зловредных программ, получающих несанкционированный доступ к объектам системы; «белый список» санкционированных программ, служащий для устранения избыточности обрабатываемого журнала. Каждое событие, формируемое системой аудита имеет следующий формат: 1. Категория - класс событии в соответствии с определением в источнике, записавшем это событие (Таблица 1.1).Внутри ИС выделяются следующие информационные потоки: - передача файлов между файловыми серверами и пользовательскими рабочими станциями по протоколу smb (протокол открытого обмена информацией между арм пользователей и серверами на основе стека tcp/ip); Лица, относящиеся к категории А могут: иметь доступ к любым фрагментам информации, распространяющейся по внутренним каналам связи корпоративной сети; располагать любыми фрагментами информации о топологии сети, об используемых коммуникационных протоколах и сетевых сервисах; располагать именами зарегистрированных пользователей системы и вести разведку паролей зарегистрированных пользователей. Лица, относящиеся к категории B: располагают всеми возможностями лиц, относящихся к категории А; знают, по крайней мере, одно легальное имя доступа; обладают всеми необходимыми атрибутами, обеспечивающими доступ к системе (например, паролем); имеют санкционированный доступ к информации, хранящейся в БД и на файловых серверах корпоративной сети, а также на рабочих местах пользователей. Лица, относящиеся к категории С: обладают всеми возможностями лиц категории В; располагают информацией о топологии сети, структуре БД и файловых систем серверов; имеют возможность осуществления прямого физического доступа к техническим средствам ИС. Лица, относящиеся к категории D: обладают всеми возможностями лиц категории С; обладают полной информацией о системном и прикладном программном обеспечении ИС; обладают полной информацией о технических средствах и конфигурации сети; имеют доступ ко всем техническим и программным средствам ИС и обладают правами настройки технических средств и ПО.В соответствии с [ТОИ Р 01-00-01-96 Типовая инструкция по охране труда для операторов и пользователей персональных электронно-вычислительных машин (ПЭВМ) и работников, занятых эксплуатацией ПЭВМ и видеодисплейных терминалов (ВДТ)] возможно выделение следующих четырех типов опасных и вредных производственных факторов [ГОСТ 12.0.003-74 (СТ СЭВ 790-77). ССБТ. В соответствии с [
Введение
Актуальность темы связана с тем, что в последние годы резко возросло число возможных способов влияния на конфиденциальность, целостность и доступность информации, обрабатываемой в частных и корпоративных сетях. Причин этого явления несколько. Прежде всего, возросло количество уязвимостей, ежедневно обнаруживаемых в программном обеспечении информационных систем. С усложнением систем информационной безопасности появляются все более изощренные методы проникновения в систему с помощью программного обеспечения. В наше время основными направлениями защиты информации являются: обеспечение доступности требуемой информации из любой точки сети, обеспечение ее конфиденциальности и целостности.
Однако, доступность сетевых информационных ресурсов также упрощает задачу злоумышленника по осуществлению успешной попытки несанкционированного доступа (НСД) к этим ресурсам через сеть, что приводит к нарушению конфиденциальности. В то же время, несовершенные организационные меры позволяют как внутренним, так и внешним злоумышленникам запускать вредоносный код на компьютерах организаций. Для противодействия попыткам НСД разработчики программных и аппаратных средств компьютерных сетей развивают средства идентификации и аутентификации пользователей, средства разграничения доступа к сетевым информационным ресурсам, криптографические средства защиты информации, а для защиты компьютеров конечных пользователей от несанкционированного доступа программного обеспечения - антивирусные программы и персональные межсетевые экраны. Указанные традиционные средства защиты информационных систем от НСД являются достаточно эффективными, однако их чрезмерное усложнение часто негативно сказывается на доступности информации в сети. Таким образом, возникает проблема разработки методов и средств повышения защищенности информационных ресурсов от НСД в компьютерных сетях без ухудшения свойств доступности этих ресурсов. Одним из наиболее эффективных решений этой проблемы является использование средств регистрации и оперативного анализа событий, влияющих на информационную безопасность компьютерных сетей.
В настоящее время задачи регистрации событий безопасности решаются достаточно эффективно при помощи средств аудита, встроенных в системное и прикладное программное обеспечение. Политику аудита событий можно настроить таким образом, чтобы создавались записи о действиях пользователя или активности системы в указанной категории событий. Можно вести наблюдение за активностью, связанной с безопасностью, например за тем, кто получает доступ к объекту, за входом пользователя в систему и выходом из системы, или за изменением параметров политики аудита. Однако задачам эффективной организации оперативного анализа зарегистрированных событий безопасности не уделяется должного внимания. Для обеспечения оперативного анализа событий безопасности в компьютерной сети целесообразно разрабатывать и внедрять системы мониторинга и анализа событий безопасности, обеспечивающие автоматизированный сбор и оперативный анализ.
Практическая значимость дипломного проекта состоит в том, что разрабатываемая методика исследования и анализа средств аудита систем семейства Windows с последующей разработкой и внедрением системы мониторинга и анализа событий безопасности, позволит повысить уровень контроля и отслеживания несанкционированных действий программного обеспечения, преодолевшего систему информационной безопасности предприятия. Необходимость подобного контроля обусловлена, как правило, отсутствием в политике безопасности предприятия предписаний по раскрытию факта несанкционированного доступа, непосредственно после того как несанкционированный доступ произошел.
Целью проекта является разработка методики исследования и анализа средств аудита систем семейства Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин, а также разработка программного средства на основе алгоритма, полученного при разработке данной методики. Создание системы мониторинга и анализа событий безопасности на основе разработанной методики позволит специалисту по информационной безопасности на предприятии проводить жесткий контроль доступа к критическим объектам информационной системы, позволит своевременно обнаруживать факты несанкционированного доступа к ресурсам вычислительной машины и проводить расследование данных фактов.
Проект состоит из 5 глав.
В первой главе разрабатывается методика исследования и анализа средств аудита систем семейства Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин на основе анализа архитектуры и функциональных возможностей системы аудита Windows.
Во второй главе разрабатывается программное средство на основе разработанной методики исследования и анализа средств аудита систем семейства Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин
В третьей главе рассматривается информационная структура предприятия, анализируются угрозы информационной безопасности, и делаются выводы о необходимости дополнительной защиты, описывается подробный алгоритм работы программного средства и результаты внедрения программного средства в выделенный сегмент информационной структуры предприятия. В четвертой главе обосновывается безопасность и экологичность проекта. В пятой главе рассчитывается технико-экономическая эффективность проекта.
1. Исследование и анализ средств аудита событий систем семейства Windows с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин аудит windows программный обеспечение
1.1 Исследование архитектуры и функциональных возможностей средств аудита систем семейства Windows
1.1.1 Актуальность регистрации и анализа событий безопасности
Подсистемы регистрации событий безопасности являются на сегодняшний день важными и неотъемлемыми компонентами систем обеспечения информационной безопасности практически в любой сетевой операционной системе. Регистрацию событий безопасности также часто называют аудитом событий безопасности. Возможности регистрации событий безопасности реализованы в сетевых операционных системах и прикладном программном обеспечении. Однако, ощутимый эффект от использования средств аудита достигается лишь тогда, когда зарегистрированные данные о событиях безопасности могут быть проанализированы. Только в этом случае становится возможным своевременное обнаружение вредоносных воздействий на элементы сетевой информационной системы - компьютеры, программное обеспечение, передаваемые и хранящиеся данные и т.д.
Наличие подсистем регистрации событий безопасности является одним из основных требований, которое присутствует во всех современных стандартах и руководящих документах по информационной безопасности компьютерных систем. Указанные стандарты также определяют классы событий, подлежащих регистрации. Требования к наличию средств регистрации событий безопасности относятся к техническим требованиям, поэтому они, как правило, выполняются производителями базового программного обеспечения, используемого для построения сетевых информационных систем.
Регулярный анализ зарегистрированных событий безопасности обычно относят к организационным мероприятиям, что является основной причиной недостаточного внимания производителей программного обеспечения к проблемам организации оперативного анализа событий безопасности в сети. Иными словами, для того, чтобы аттестовать программное обеспечение сетевой информационной системы на соответствие требованиям стандартов безопасности обычно достаточно реализовать в ней лишь средства регистрации событий безопасности.
Учет типичных объемов данных о событиях безопасности, а именно сотни и тысячи записей в день на одном компьютере в сети, позволяет утверждать, что при отсутствии специальных автоматизирующих программных средств анализ событий безопасности становится малоэффективным. По этой причине и обслуживающий персонал сетевых информационных систем зачастую пренебрежительно относится к задачам анализа зарегистрированных данных о событиях безопасности.
Все это в значительной степени снижает эффективность регистрации событий безопасности, позволяющей выявить ошибки и недостатки в реализации политики безопасности сетевой информационной системы до того, как они будут использованы в злонамеренных целях.
Средства управления доступом, существующие в программном обеспечении каждой сетевой информационной системы часто не могут обеспечить безопасность в полной мере, поскольку они не предназначены для предотвращения неквалифицированных или злонамеренных воздействий со стороны пользователей имеющих необходимые полномочия доступа. Своевременный анализ событий безопасности позволяет оперативно выявлять опасные ситуации, возникающие по причине недостаточно строгого разграничения доступа и предпринимать меры противодействия.
При настройке средств управления доступом могут быть допущены ошибки, которые зачастую трудно заметить при тестировании, однако эти ошибки становятся заметны при повседневной эксплуатации сетевой информационной системы. Своевременный анализ событий безопасности позволяет выявить такие ошибки до того, как они станут причиной нарушения безопасности.
Таким образом, оперативный анализ зарегистрированных событий безопасности в компьютерной сети позволяет повысить защищенность сетевой информационной системы от различных угроз информационной безопасности за счет своевременного обнаружения уязвимостей в системе защиты информации и политике безопасности.
1.1.2 Средства аудита и журнал событий
Аудит безопасности обеспечивает наблюдение за различными событиями, затрагивающими безопасность операционной системы. Отображение системных событий необходимо для определения злоумышленников и попыток поставить под угрозу данные системы. Примером события, подлежащего аудиту, является неудачная попытка доступа.
Наиболее общими типами событий для аудита являются: - доступ к таким объектам, как файлы и папки;
- управление учетными записями пользователей, групп, программ, Интернет-ресурсов;
- вход пользователей в систему и выход из нее
- доступ и работа с процессами.
В процессе аудита событий, связанных с безопасностью, создается журнал безопасности, в котором можно просмотреть эти события. Именно поэтому система аудита является незаменимым средством обеспечения информационной безопасности. Для примера представлена экранная форма штатной реализации просмотра событий в Windows XP (рис.1.1).
Рисунок 1.1 - Просмотр событий в Windows XP
Журнал событий - ценный инструмент для контроля качества работы и безопасности сети, который часто используется недостаточно эффективно изза сложности чтения логов и их объема. Управление логами событий и их хранение требуют структурированного подхода.
1.1.3 Категории событий аудита системы
Перед внедрением аудита необходимо выбрать политику аудита. В первую очередь в политике безопасности аудиту должны быть подвергнуты события безопасности (compmgmt.msc - Служебные программы - Просмотр событий - Безопасность). Для регистрации таких событий необходимо настроить параметры безопасности политики аудита. Перечень категорий событий приведен в таблице 1.1.
Таблица 1.1 - Категории событий системы
Параметр безопасности Объяснение параметра Возможный результат попытки доступа
1 2 3
Аудит входа в систему Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с компьютера или выйти из нее. События входа в систему формируются контроллерами домена в процессе проверки учетных записей домена и локальными компьютерами при работе с локальными учетными записями Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа.
Аудит доступа к объектам Этот параметр безопасности определяет, подлежит ли аудиту событие доступа пользователя к объекту - например к файлу, папке, разделу реестра, принтеру и т. п., - для которого задана собственная системная таблица управления доступом (SACL). Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту, для которого определена соответствующая таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту, для которого определена таблица SACL.
Аудит доступа к службе каталогов Этот параметр безопасности определяет, подлежит ли аудиту событие доступа пользователя к объекту каталога Active Directory, для которого задана собственная системная таблица управления доступом (SACL). Аудит успехов означает создание записи аудита при каждом успешном доступе пользователя к объекту Active Directory, для которого определена таблица SACL. Аудит отказов означает создание записи аудита при каждой неудачной попытке доступа пользователя к объекту Active Directory, для которого определена таблица SACL.
Параметр безопасности Объяснение параметра Возможный результат попытки доступа
1 2 3
Аудит изменения политики Этот параметр безопасности определяет, подлежит ли аудиту каждый факт изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит успехов означает создание записи аудита при каждом успешном изменении политик назначения прав пользователей, политик аудита или политик доверительных отношений. Аудит отказов означает создание записи аудита при каждой неудачной попытке изменения политик назначения прав пользователей, политик аудита.
Аудит использования привилегий Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя воспользоваться предоставленным ему правом. Аудит успехов означает создание записи аудита для каждого успешного применения права пользователя. Аудит отказов означает создание записи аудита для каждого неудачного применения права пользователя.
Аудит отслеживания процессов Этот параметр безопасности определяет, подлежат ли аудиту такие события, как активизация программы, завершение процесса, повторение дескрипторов и косвенный доступ к объекту. Аудит успехов означает создание записи аудита для каждого успешного события, связанного с отслеживаемым процессом. Аудит отказов означает создание записи аудита для каждого неудачного события, связанного с отслеживаемым процессом.
Аудит системных событий Этот параметр безопасности определяет, подлежат ли аудиту события перезагрузки или отключения компьютера, а также события, влияющие на системную безопасность или на журнал безопасности. Аудит успехов означает создание записи аудита для каждого успешного системного события. Аудит отказов означает создание записи аудита для каждого неудачного завершения системного события.
Аудит событий входа в систему Этот параметр безопасности определяет, подлежит ли аудиту каждая попытка пользователя войти в систему с другого компьютера или выйти из нее, при условии что этот компьютер используется для проверки подлинности учетной записи. Аудит успехов означает создание записи аудита для каждой успешной попытки входа в систему. Аудит отказов означает создание записи аудита для каждой неудачной попытки входа в систему.
Аудит управления учетными записями Этот параметр безопасности определяет, подлежат ли аудиту все события, связанные с учетными записями. Аудит успехов и отказов означает создание записи аудита для каждого успешного и неудачного события.
Для выявления случаев НСД ПО обязателен аудит доступа к объектам (файлам, ключам реестра).
1.1.4 Формат события системы
Журнал аудита состоит из событий системы. При обработке журнала аудита происходит анализ отдельных событий. Для анализа необходимо знать, где можно получить информацию о событии, и иметь четкое представление о структуре самого события.
Чтобы просмотреть сведения о событии
- необходимо открыть окно Просмотр событий;
- в дереве консоли выбрать нужный журнал;
- в области сведений выбрать нужное событие;
- в меню Действие выберите команду Свойства.
Рисунок 1.2 - Сведения о событии
Далее приведена структура события журнала аудита.
30.11.2010 17:08:16 Security Аудит успехов Доступ к объектам 560 LEONID\Leonid LEONID "Открытие объекта: Сервер объекта: Security
Тип объекта: File
Имя объекта: C:\Documents and Settings\Leonid\Рабочий стол\aud\Текстовый документ.txt
Код дескриптора: 2864
Код операции:{0,5246970}
Код процесса:1428
Имя файла рисунка:С:\WINDOWS\explorer.exe
Основной пользователь :Leonid
Домен:LEONID
Код входа: (0x0,0x13DAB)
Пользователь-клиент: -
Код входа клиента: -
Доступ READ_CONTROL
SYNCHRONIZE
Чтение данных (или перечисление каталогов)
Запись данных (или добавление файла)
READEA
WRITEEA
Привилегии
Счетчик ограниченного SID: 0
1.2 Разработка методики анализа средств аудита событий систем семейства Windows для обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин
1.2.1 Разработка структуры системы мониторинга событий безопасности
Разработка структуры системы анализа событий безопасности и распределение функций между ее компонентами должны производиться с учетом основных требований к системе. Можно сформулировать следующие требования, влияющие на структуру системы: 1. Система должна обрабатывать данные о событиях безопасности, извлекаемые из журналов аудита конечного множества компьютеров в сети.
2. Результаты обработки событий безопасности должны хранится в единой базе данных событий безопасности.
3. Функции системы должны распределяться между компонентами, функционирующими на разных компьютерах сети.
Предлагаемая структура системы, удовлетворяющая указанным требованиям, показана на рис 1.3.
Рисунок 1.3 - Структура системы мониторинга событий безопасности
Рассмотрим подробнее назначение и основные функции компонентов системы, пользуясь схемой, представленной на рис. 1.3.
Агенты системы функционируют на компьютерах сети и извлекают данные о событиях безопасности и направляют их монитору событий безопасности для обработки. Агенты системы могут выполнять свои функции двумя основными способами, а значит можно выделить два основных возможных варианта реализации функций агентов.
Активные агенты. Агенты такого типа направляют новые данные монитору событий безопасности по мере их обнаружения в журналах аудита.
Пассивные агенты. Агенты такого типа предоставляют монитору данные о событиях безопасности по запросу, выполняя, фактически, функции сервисов удаленного доступа к журналам аудита компьютеров сети.
Пассивные агенты, могут обеспечивать как последовательное, так и произвольное чтение данных из журналов аудита. Наличие возможности произвольного чтения данных значительно упрощает и ускоряет процедуры поиска и выборки новых данных. Сложность и эффективность реализации произвольного чтения журналов аудита зависит от способа хранения событий в них. Широко распространенный текстовый формат хранения событий усложняет задачу произвольного чтения данных по сравнению со структурированными форматами.
Монитор событий безопасности (МСБ) - это основной модуль системы, который обеспечивает обработку данных о событиях безопасности, поступающих с компьютеров сети. Основные этапы, методы и алгоритмы обработки событий безопасности рассматриваются далее. МСБ решает задачи автоматизированного анализа и фильтрации поступающих событий согласно заданным правилам и сохранение их в основной базе данных событий безопасности. Таким образом, МСБ решает значительную часть задач системы, обеспечивая обнаружение признаков угроз нарушения информационной безопасности в компьютерной сети и оповещение персонала, ответственного за безопасность сети.
Модуль отображения предназначен для отображения и исследования результатов работы монитора событий безопасности.
Таким образом, монитор событий безопасности является основным модулем системы, решающим большинство задач, стоящих перед системой мониторинга событий безопасности, путем взаимодействия с другими компонентами системы. Обобщая, можно сказать, что монитор событий безопасности должен эффективно решать одна основную задачу системы - быстро и надежно выполнять обработку событий безопасности. Эффективность решения этой задачи во многом зависит от организации процесса обработки событий безопасности, структуры монитора событий безопасности, разделения функций обработки событий безопасности между монитором событий безопасности и агентами системы, функционирующими на компьютерах сети. Эффективность обработки событий также зависит от методов и алгоритмов, выполняющих различные этапы обработки событий безопасности.
Обязательной составляющей методики должен быть аудит критически важных объектов и процессов операционной системы, таких как: - корневой системный каталог Windows, его подкаталоги;
- реестр Windows;
- системные файлы;
- корневое системное хранилище System Volume Information;
- объекты автозапуска;
- попытки входа в систему;
- изменение учетных политик;
- других критических процессов и объектов.
Наиболее распространенным местом размещения исполняемых файлов вредоносного программного обеспечения является корневой системный каталог Windows, вследствие чего необходимо проводить аудит изменений файлов в данном каталоге, в частности на предмет появления новых исполняемых файлов.
Деятельность вредоносного программного обеспечения зачастую сопровождается записью собственных параметров в реестр операционной системы, в частности в ветку автозапуска.
Деятельность вредоносного программного обеспечения затрагивает системные файлы, дописывая вредоносный код в исходный код файла. Вследствие этого изменяется размер и контрольная сумма зараженных файлов.
1.2.2 Анализ основных этапов обработки событий безопасности в системе
Процесс обработки данных аудита событий безопасности, получаемых от любого из источников - журналов аудита компьютеров сети, может быть описан обобщенным алгоритмом, блок-схема которого представлена на рис. 1.4. Согласно этому алгоритму, в процессе обработки данных аудита событий безопасности можно выделить четыре основных этапа.
1. Извлечение данных из журнала аудита.
2. Формализация данных.
3. Анализ и фильтрация событий безопасности.
4. Оповещение об обнаруженных угрозах и запись событий безопасности в базу данных событий безопасности.
Извлечение данных из журнала аудита заключается в выполнении операции чтения данных из файла журнала аудита в некоторый буфер. Конкретные действия, которые необходимо выполнить на этом этапе зависят от способа организации хранения событий безопасности в журналах аудита. Современные средства аудита событий безопасности используют два основных подхода для организации хранения событий безопасности в файлах журналов аудита - хранение событий в структурированных файлах и хранение событий в текстовых файлах, где каждая отдельная текстовая строка задает отдельное событие. Если данные успешно получены, то далее их необходимо формализовать, то есть преобразовать данные к структурам, используемым в системе для представления событий. Поскольку, считанные данные о событиях безопасности представлены в таком формате, в котором они хранятся в журнале аудита, то необходимо их преобразовать к структуре, удобной для последующего представления в процессе обработки в системе. Для этого обычно необходимо выделить из массива информации отдельные события и значения отдельных полей данных структур, задающих события.
Рисунок 1.4 - Обобщенный алгоритм обработки данных аудита событий безопасности
1.2.3 Анализ действий, производимых вредоносным программным обеспечением в системе
При проникновении на компьютеры конечных пользователей вредоносное программное обеспечения оставляет «следы» деятельности в операционной системе в виде изменения файлов и параметров, обусловленные деструктивными действиями вирусов. В системах семейства Windows существует возможность регистрации данных событий в операционной системе при помощи аудита безопасности.
Деструктивное действие вируса - стратегия его функционирования, предпринимаемые им, подчас незаметные для пользователя, вредоносные действия направленные на нарушение нормального функционирования операционной системы, а иногда ее полного краха, а также условия, при которых вирус вступает в фазу своего проявления и его алгоритм работы в ней.
Процесс проникновения большинства вирусов может быть описан следующим образом: - будучи запущенным неосторожным пользователем, создает в один из каталогов - наиболее часто в каталоги: Windows, System, System32, Temp, Application Data - файлы под различными именами с наиболее частым расширением .exe, .dll, .dat, .ini, .bat;
- для обеспечения своего запуска при каждой загрузке Windows прописывается в реестре в секции автозагрузки HKLM\software\microsoft\windows\currentversion
un , - либо записывает необходимые данные в реестр, чаще всего в раздел HKLM\SOFTWARE\
- создает свои копии в виде файлов с наиболее частыми расширениями .exe, .dll, .dat, .ini, .bat;
- функционирует в соответствии с моделью деструктивного действия вируса.
Пример: Win32.HLLM.MYDOOM.33808
Тип вируса: Почтовый червь массовой рассылки
Уязвимые ОС: Win95/98/Me/NT/2000/XP
Размер файла: 22 020 байт
Упакован: UPX
Техническая информация
Червь копирует себя в каталог %Windir%под именем lsass.exe.
Для обеспечения своего запуска при каждой загрузке Windows прописывается в реестре в секции автозагрузки HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CURRENTVERSION\Run "Traybar" = "%Windir%\lsass.exe"
%Windir% - каталог с установленной Windows.
Для своего распространения использует собственную реализацию SMTP-протокола.
Создает свои копии в папках, которые содержат подстроки incoming ftproot download shar в виде файлов с такими именами: index Kazaa Lite Harry Potter ICQ 4 Lite WINRAR.v.3.2.and.key Winamp 5.0 (en) Crack Winamp 5.0 (en) exe
Этим файлам присваиваются расширения: .exe .com .SHAREREACTOR.com .scr
Рассылает свои многочисленные копии по адресам, которые содержат следующие подстроки: sales james spam abus master sample accoun privacycertific bug listserv submit ntivi suppor crosoft и т.д.
Чаще всего отсылается сообщение о том, что отправленная корреспонденция не была доставлена, и пользователю предлагается ознакомиться с подробностями.
В поле От может быть такой текст: Postmaster Mail Administrator Automatic Email Delivery Software Post Office The Post Office Bounced mail Returned mail MAILER-DAEMON Mail Delivery Subsystem или подставляться любой иной почтовый адрес, найденный в пораженной системе.
Для своего дальнейшего распространения ищет адреса, просматривая такие файлы: doc .txt .htm .html
Имя вложения выбирается из списка: blank attachment document file letter mail message readme text transcript которому присваивается одно из расширений: .bat .cmd .com .exe .pif .scr .zip
Червь содержит backdoor-процедуру : открывает и слушает порт TCP 1042.
На основании исследований, проводимых Лабораторией Касперского и ООО «Доктор Веб», и накопленной статистки можно составить список файлов и ключей реестра, наиболее часто создаваемых или модифицируемых вредоносными программами. Такая статистика может быть использована для выявления наиболее часто применяемых вирусов.
1.2.4 Анализ событий безопасности с целью обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин
Процесс анализа зарегистрированных событий безопасности характеризуется необходимостью решения следующих основных задач: 1. Объединение событий, полученных из различных источников, например зарегистрированных на различных компьютерах сетевой информационной среды.
5. Классификация зарегистрированных событий безопасности.
6. Оповещение персонала, ответственного за безопасность, о фактах обнаружения особо важных событий.
При объединении событий в единый журнал системные события образуют журнал, который экспортируется в текстовый файл. Журнал представляет собой описания событий, разделенные символом-разделителем. При экспорте разделителем является символ «. Текстовый формат хранения данных позволяет разработчикам средств аудита существенно упростить операции записи данных аудита в журналы аудита. Просмотр и обработка данных аудита в текстовом формате также являются простыми процедурами. Для этого необходимо произвести разбор строк текстового файла журнала аудита и выделить в них значения отдельных полей записи о событии. Недостатком является то, что при текстовом способе хранения данных аудита становится невозможным произвольное чтение данных из журнала аудита, данные могут быть прочитаны только последовательно.
Устранение избыточности журнала аудита, то есть сокращение числа событий для дальнейшей обработки на основании «черного» и «белого» списков.
Как было сказано ранее, вирусы при проникновении создают файлы и ключи реестра, которые на основании исследований, проводимых Лабораторией Касперского и ООО «Доктор Веб», и накопленной статистки позволяют составить список файлов и ключей реестра, наиболее часто создаваемых или модифицируемых вредоносными программами. Такая статистика, регулярно обновляемая, может служить основой для «черного» списка, который будет применен для поиска событий, относящихся к этим файлам и ключам.
Так же, для значительного уменьшения числа событий целесообразно использовать «белый» список. «Белый список» следует формировать из доверенных приложений и дополнять при установке нового приложения.
Результатом применения «черного» и «белого» списков должно являться формирование списков несанкционированных событий, санкционированных событий и событий, предназначенных для дальнейшей обработки.
Поиск событий, отвечающих определенным условиям. При необходимости произвести сортировку по таким критериям как Дата/Время.
Обработка событий «вручную» заключается в просмотре и анализе отдельных событий администратором. На основании знаний администратора о системе, в которой осуществляется аудит, и его опыта администратор выносит решение о принадлежности анализируемого события к одному из классов. Выделим три класса: санкционированные события, несанкционированные события и «сомнительные» события. «Сомнительные» события - это те события, относительно которых нельзя сделать однозначного вывода являются ли они санкционированными или нет. Такие события требуют проверки с применением дополнительных средств.
При отнесении события к одному из классов, определяется, к какому объекту относится событие (если категория события - Аудит доступа к объектам), производится поиск всех событий, случившихся с этим объектом, и отнесение найденных событий к тому же классу.
Классификация зарегистрированных событий безопасности
На основании предыдущих пунктов составляется три списка событий: - список несанкционированных событий, составленный из событий, определенных «черным» списком и отобранных администратором;
- список санкционированных событий, составленный из событий, определенных «белым» списком и отобранных администратором;
- список «сомнительных» событий.
Рисунок 1.5 - Методика анализа событий системы с целью обнаружения НСД ПО к ресурсам вычислительных машин
Вывод
1. Процесс анализа зарегистрированных событий безопасности характеризуется необходимостью решения следующих основных задач: объединение событий, полученных из различных источников, например зарегистрированных на различных компьютерах сетевой информационной среды; устранение избыточности журнала аудита; поиск событий, отвечающих определенным условиям; обработка событий «вручную»; классификация зарегистрированных событий безопасности; оповещение о фактах обнаружения особо важных событий.
2. Системные события образуют журнал, который импортируется в текстовый файл.
3. Журнал представляет собой описания событий, разделенные символом-разделителем.
4. Устранение избыточности журнала аудита происходит на основании «черного» и «белого» списков.
5. Обработка событий «вручную» заключается в просмотре и анализе отдельных событий администратором.
6. Составляется три списка событий: несанкционированных событий, санкционированных событий, «сомнительных» событий, что и является результатом.
2. Разработка программного средства анализа событий систем семейства Windows на основе разработанной методики анализа событий
2.1 Настройка системы аудита Windows на основе существующей методики анализа аудита событий
Для реализации программного средства мониторинга и анализа событий безопасности необходима правильная настройка системы аудита событий Windows в соответствии с выбранной политикой безопасности.
В данную политику должны быть включены следующие критерии: - объекты, подлежащие аудиту (файлы, папки, ключи реестра);
- результирующее свойство события доступа (успех, отказ);
- тип события (события приложений, безопасности, установки, системные, пересылаемые);
- контролируемые пользователи (полный перечень пользователей, контроль за действиями которых должен быть учтен).
В качестве базовой политики безопасности выбрана политика аудита доступа к объектам, имеющим важное значение для функционирования системы Windows, а также наиболее часто подвергающимся атакам зловредного программного обеспечения.
Контролируемые объекты: - C:\Windows\System32\;
- C:\Program files\;
- C:\Documents and Settings\;
- C:\Windows\.
Перечисленные каталоги являются базовыми для реализуемой политики аудита.
Алгоритм настройки системы аудита для каждого из объектов идентичен и рассмотрен на примере настройки системы аудита для каталога C:\Windows\System32\.
Меню настройки аудита находится на вкладке Безопасность меню свойства каталога. По нажатию кнопки Дополнительно появляется меню настройки расширенной безопасности, в котором необходимо выбрать вкладку Аудит.
Настройки аудита гибкие, и позволяют учесть большинство потребностей администратора по информационной безопасности при реализации общей политики аудита для системы.
Для каждого пользователя можно настроить индивидуальные параметры аудита для более детальной проработки политики безопасности.
Рисунок 2.1 - Настройка свойств безопасности каталога
Рисунок 2.2 - Добавление аудита для выбранных пользователей
Для добавления аудита действий определенного пользователя необходимо нажать кнопку добавить и выбрать необходимых пользователей, после чего откроется окно с выбором критериев для аудита.
Рисунок 2.3 - Выбор критериев формирования журнала аудита
Для предотвращения избыточности создаваемого журнала необходимо выбрать в качестве критериев только необходимые для последующего анализа - Обзор папок/Выполнение файлов и Создание файлов/Запись данных. Для более детального анализа можно добавить некоторые другие критерии.
После применения параметров аудита в Журнале аудита будут фиксироваться все события, удовлетворяющие заданным критериям.
Схема формирования журнала аудита в зависимости от выбранных критериев представлена на рис. 2.4.
Рисунок 2.4 - Формирование журнала аудита в соответствии с заданной политикой аудита
2.2 Функциональное назначение реализуемого программного средства
Функциональное назначение разрабатываемого программного средства представляет собой совокупность следующих критериев: 1. Поиск несанкционированных событий в сформированном системой аудита журнале на основе некоторой локальной или удаленной базы зловредного программного обеспечения.
2. Устранение избыточности журнала.
3. Поиск событий по условию и сортировка.
4. «Ручная» обработка.Каждый этап предполагает выдачу промежуточных результатов анализа журнала, включающих в себя имена файлов, являющихся подозрительными, количество найденных подозрительных событий, код события (создание, изменение).
На этапе поиска по локальным или удаленным базам данных происходит анализ на соответствие, так называемому, «черному списку» известных зловредных программ.
На этапе устранения избыточности журнала происходит удаление записей, заведомо являющихся санкционированными (определенные системные события).
На этапе сортировки по принципу этапа устранения избыточности происходит удаление событий, не попадающих в те или иные, заданные пользователем временные рамки.
На этапе «ручной» обработки пользователь имеет возможность самостоятельно отсортировать оставшиеся после предыдущих этапов необработанные подозрительные события.
На этапе анализа полученных данных пользователь проводит экспорт полученных результатов с целью дальнейшей индивидуальной проработки каждого подозрительного события и предотвращения несанкционированного доступа программного обеспечения к ресурсам вычислительной машины.
Данный обобщенный алгоритм представлен на рис. 2.5.
Рисунок 2.5 - Обобщенный алгоритм обработки журнала событий реализуемым программным средством
2.3 Разработка метода извлечения информации о событиях безопасности из журналов аудита
В качестве среды разработки программного средства выбрана среда Delphi 7.
Входными данными для программного средства служит экспортированный журнал событий аудита, сформированный ранее при настройке системы аудита; «черный список» зловредных программ, получающих несанкционированный доступ к объектам системы; «белый список» санкционированных программ, служащий для устранения избыточности обрабатываемого журнала.
Анализ по базам санкционированных и несанкционированных программ происходит путем поиска в записи события соответствия имени файла.
Каждое событие, формируемое системой аудита имеет следующий формат: 1. Дата - дата появления события.
2. Время - время записи события.
3. Источник - обозначение ПО, записавшего событие.
4. Тип - тип события по классификации Windows 2000: «Ошибка», «Предупреждение», «Сведения», «Аудит успехов» или «Аудит отказов».
5. Категория - класс событии в соответствии с определением в источнике, записавшем это событие (Таблица 1.1).
6. Код(ID) - номер определяющий конкретное событие.
7. Пользователь - имя пользователя к которому относится событие.
8. Компьютер: точное имя компьютера, на котором было зарегистрировано событие.
На основе анализа данных в каждом из этих полей можно производить выборку необходимой информации.
2.4 Внедрение методов и алгоритмов формализации и классификации данных о событиях безопасности в реализуемое программное средство
На основе методики анализа средств аудита событий систем семейства Windows для обнаружения несанкционированного доступа программного обеспечения к ресурсам вычислительных машин и метода извлечения информации о событиях безопасности из журналов аудита, необходимо разработать детализованный алгоритм анализа событий безопасности.
Детализованный алгоритм анализа событий безопасности программного средства представлен на рис. 2.6.
Рисунок 2.6 - Детализованный алгоритм анализа событий безопасности
В случае, когда необходимо проанализировать журнал только на созданные файлы, или только на измененные файлы необходимо использовать фильтры системы аудита для создания отсортированных по кодам события журналов. Последующий экспорт журнала из системы аудита в программное средство позволит учитывать только выбранные коды событий.
В процессе работы программного средства формируются три списка событий: - список несанкционированных событий, составленный из событий, определенных «черным» списком и отобранных администратором;
- список санкционированных событий, составленный из событий, определенных «белым» списком и отобранных администратором;
- список сомнительных событий.
Данные списки можно экспортировать для последующей проработки изъянов системы защиты и устранения зловредных программ.
Внешний вид программного средства представлен на рис. 2.7.
Интерфейс включает в себя несколько полей для отображения промежуточной информации анализа.
Вкладки Запрещенные события, Разрешенные события, Сортировка, Ручная обработка - соответствуют четырем этапам обработки исходного журнала, что позволяет более детально проработать каждое зафиксированное системой аудита событие.
Кнопки Загрузить журнал, Загрузить базу, Экспортировать - служат соответственно для импорта баз и экспорта текущего обработанного журнала.
Рисунок 2.7 - Интерфейс программного средстваНа основе проведенный исследований, была рассмотрена предполагаемая структура системы мониторинга событий безопасности. Произведен анализ основных этапов обработки событий безопасности в системе. Изучены деструктивные действия вредоносного программного обеспечения. Разработана методика анализа событий с целью предотвращения НСД ПО к ресурсам вычислительных машин.
На основании анализа полученных данных можно сделать следующие выводы: 1. Система должна обрабатывать данные о событиях безопасности, извлекаемые из журналов аудита.
2. Система мониторинга событий безопасности состоит из агентов, формирующих журнал, монитора событий безопасности, который обеспечивает обработку данных о событиях безопасности, и модуля отображения, предназначенного для отображения и исследования результатов работы монитора событий безопасности.
3. Обязательной составляющей методики должен быть аудит критически важных объектов операционной системы.
4. Процесс обработки данных аудита событий безопасности может быть описан алгоритмом.
5. В этом алгоритме можно выделить четыре основных этапа: извлечение данных из журнала аудита, формализация данных, анализ и фильтрация событий безопасности, оповещение об обнаруженных угрозах.
6. При проникновении на компьютеры конечных пользователей вредоносное программное обеспечения оставляет «следы» деятельности в операционной системе в виде изменения файлов и параметров, обусловленные деструктивными действиями вирусов.
7. Процесс проникновения большинства вирусов может быть описан следующим образом: будучи запущенным, создает в один из каталогов файлы, для обеспечения своего запуска при каждой загрузке Windows прописывается в реестре в секции автозагрузки, либо записывает необходимые данные в реестр, создает свои копии в виде файлов, функционирует в соответствии с моделью деструктивного действия вируса.
3. Анализ результатов работы реализованного программного средства и результаты внедрения в выделенный сегмент информационной структуры предприятия
3.1 Анализ информационной структуры выделенного для реализации сегмента сети предприятия
Разработанная методика анализа событий систем семейства Windows применима практически к любой информационной структуре предприятия и была внедрена в информационную структуру Ставропольского филиала предприятия ЗАО "Орбита".
Корпоративная сеть предприятия.
В качестве базового сетевого протокола в корпоративной сети предприятия используется протокол TCP/IP.
В качестве адресного пространства используется сеть класса А - 10.0.0.0/8, определенная документом IETF RFC 1597 для частных IP-сетей. В корпоративной сети предприятия выделяются следующие типы адресных пространств: - адресные пространства, выделенные филиальным фрагментам;
- адресные пространства, выделенные аппарату управления предприятием;
- адресное пространство для адресации магистрального сегмента корпоративной сети;
- резервное адресное пространство.
Используемая схема распределения адресного пространства маркируется следующим образом 10.x.y.z, где: x - номер филиала; y - номер виртуальной сети (VLAN) внутри филиала; z - номер устройства внутри виртуальной сети.
Серверы.
Серверная структура предприятия основывается на ОС Windows Server 2008. Функционально она подразделяется на серверы поддержки специализированных приложений, серверы поддержки общедоступных сервисов и серверы, поддерживающие технологические службы корпоративной сети.
Рабочие станции.
К информационной системе предприятия подключены автоматизированные рабочие места пользователей, функционирующих на базе ОС Microsoft Windows XP.
Линии связи и активное сетевое оборудование
Основу ИС составляет стек коммутаторов и маршрутизаторов Cisco Systems Inc. Выделенные магистральные каналы обмена данными используются для обеспечения внешнего информационного взаимодействия ИС с филиалами предприятия, районными эксплуатационными службами, а также для доступа к глобальной информационной сети Интернет.
Виды информационных ресурсов, хранимых и обрабатываемых в системе.
В ИС предприятия хранятся и обрабатываются различные виды открытой и служебной конфиденциальной информации.
К конфиденциальной и служебной информации, циркулирующей в КСПД, относятся: - персональные данные сотрудников предприятия и партнеров, хранимые в БД и передаваемые по сети;
- сообщения электронной почты и информация БД, содержащие служебные сведения, информацию о деятельности предприятия и т.п.;
- конструкторская и технологическая документация, перспективные планы развития, модернизации производства, реализации продукции и другие сведения, составляющие научно-техническую и технологическую информацию, связанную с деятельностью предприятия;
- финансовая документация, бухгалтерская отчетность, аналитические материалы исследований о конкурентах и эффективности работы на финансовых рынках;
- другие сведения, составляющие деловую информацию о внутренней деятельности предприятия.
К строго конфиденциальной информации, которая потенциально может циркулировать в ИС, относятся сведения стратегического характера, разглашение которых может привести к срыву выполнения функций предприятия, прямо влияющих на его жизнедеятельность и развитие, нанести невосполнимый ущерб деятельности и престижу предприятия, сорвать решение стратегических задач, проводимой ей политики и, в конечном счете, привести к ее краху.
К категории открытой относится вся прочая информация, не относящаяся к конфиденциальной.
Внутренние информационные потоки
Внутри ИС выделяются следующие информационные потоки: - передача файлов между файловыми серверами и пользовательскими рабочими станциями по протоколу smb (протокол открытого обмена информацией между арм пользователей и серверами на основе стека tcp/ip);
- передача сообщений электронной почты, посредством использования хешированного соединения программного обеспечения lotus notes;
- передача юридической и справочной информации между серверами БД и пользовательскими рабочими станциями;
- деловая переписка;
- передача отчетной информации;
- передача бухгалтерской информации между пользовательскими рабочими станциями и сервером БД в рамках автоматизированных систем «1с бухгалтерия», «1с зарплата и кадры», «оперативный учет».
Внешние информационные потоки.
В качестве внешних информационных потоков используются: - передача отчетных документов (производственные данные) от филиалов предприятия, по каналам корпоративной сети, а также с использованием магнитных носителей;
- передача платежных документов в банки;
- передача финансовых и статистических отчетных документов от филиалов предприятия;
- внутриведомственный и межведомственный обмен электронной почтой;
- передача информации по коммутируемым каналам удаленным пользователям;
- различные виды информационных обменов между ИС и сетью интернет.
Для внедрения разрабатываемого программного средства был выделен сегмент корпоративной сети, содержащий сервера БД Дело 11.0, БД Гарант-MAX, БД Гарант-регионы. Развертывание серверов Windows Server 2008 было произведено в среде виртуальных машин VMWARE VSPHERE, функционирование которых обусловлено аппаратной платформой IBM BLADECENTER E с установленными серверами-лезвиями HS 22. В качестве файлового хранилища выступает SAS RAID хранилище IBM System Storage DS3512.
Сегмент имеет два сетевых подключения к сетям MPLS и к ведомственной сети.
Информационная структура выделенного для внедрения участка информационной структуры представлена на рис. 3.1.
Рисунок 3.1 - Выделенный сегмент информационной структуры предприятия
3.2 Анализ угроз информационной безопасности выделенного для реализации сегмента информационной структуры предприятия
Модель нарушителя информационной безопасности предприятия
Под нарушителем ИБ понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным ресурсам предприятия.
Под атакой на ресурсы корпоративной сети понимается попытка нанесения ущерба информационным ресурсам систем, подключенных к сети. Атака может осуществляться как непосредственно нарушителем, так и опосредованно, при помощи процессов, выполняющихся от лица нарушителя, либо путем внедрения в систему программных или аппаратных закладок, компьютерных вирусов, троянских программ и т. п.
В соответствии с моделью, все нарушители по признаку принадлежности к подразделениям, обеспечивающим функционирование ИС предприятия, делятся на внешних и внутренних.
Внутренние нарушители
Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений: - обслуживающий персонал (системные администраторы, администраторы БД, администраторы приложений и т.п., отвечающие за эксплуатацию и сопровождение технических и программных средств);
- программисты, отвечающие за разработку и сопровождение системного и прикладного ПО;
- технический персонал (рабочие подсобных помещений, уборщицы и т. п.);
- сотрудники бизнес подразделений предприятия, которым предоставлен доступ в помещения, где расположено компьютерное или телекоммуникационное оборудование.
Предполагается, что несанкционированный доступ на объекты системы посторонних лиц исключается мерами физической защиты (охрана территории, организация пропускного режима и т. п.).
Предположения о квалификации внутреннего нарушителя формулируются следующим образом: - внутренний нарушитель является высококвалифицированным специалистом в области разработки и эксплуатации ПО и технических средств;
- является системным программистом, способным модифицировать работу операционных систем;
- правильно представляет функциональные особенности работы системы и процессы, связанные с хранением, обработкой и передачей критичной информации;
- может использовать как штатное оборудование и ПО, имеющиеся в составе системы, так и специализированные средства, предназначенные для анализа и взлома компьютерных систем.
В зависимости от способа осуществления доступа к ресурсам системы и предоставляемых им полномочий внутренние нарушители подразделяются на пять категорий.
Категория А: не зарегистрированные в системе лица, имеющие санкционированный доступ в помещения с оборудованием. Лица, относящиеся к категории А могут: иметь доступ к любым фрагментам информации, распространяющейся по внутренним каналам связи корпоративной сети; располагать любыми фрагментами информации о топологии сети, об используемых коммуникационных протоколах и сетевых сервисах; располагать именами зарегистрированных пользователей системы и вести разведку паролей зарегистрированных пользователей.
Категория B: зарегистрированный пользователь системы, осуществляющий доступ к системе с удаленного рабочего места. Лица, относящиеся к категории B: располагают всеми возможностями лиц, относящихся к категории А; знают, по крайней мере, одно легальное имя доступа; обладают всеми необходимыми атрибутами, обеспечивающими доступ к системе (например, паролем); имеют санкционированный доступ к информации, хранящейся в БД и на файловых серверах корпоративной сети, а также на рабочих местах пользователей. Полномочия пользователей категории B по доступу к информационным ресурсам корпоративной сети предприятия должны регламентироваться политикой безопасности, принятой на предприятии.
Категория C: зарегистрированный пользователь, осуществляющий локальный либо удаленный доступ к системам входящим в состав корпоративной сети. Лица, относящиеся к категории С: обладают всеми возможностями лиц категории В; располагают информацией о топологии сети, структуре БД и файловых систем серверов; имеют возможность осуществления прямого физического доступа к техническим средствам ИС.
Категория D: зарегистрированный пользователь системы с полномочиями системного (сетевого) администратора. Лица, относящиеся к категории D: обладают всеми возможностями лиц категории С; обладают полной информацией о системном и прикладном программном обеспечении ИС; обладают полной информацией о технических средствах и конфигурации сети; имеют доступ ко всем техническим и программным средствам ИС и обладают правами настройки технических средств и ПО. Концепция безопасности требует подотчетности лиц, относящихся к категории D и осуществления независимого контроля над их деятельностью.
Категория E: программисты, отвечающие за разработку и сопровождение общесистемного и прикладного ПО, используемого в ИС. Лица, относящиеся к категории E: обладают возможностями внесения ошибок, программных закладок, установки троянских программ и вирусов на серверах корпоративной сети; могут располагать любыми фрагментами информации о топологии сети и технических средствах ИС.
Внешние нарушители
К внешним нарушителям относятся лица, пребывание которых в помещениях с оборудованием без контроля со стороны сотрудников предприятия невозможно.
Внешний нарушитель: осуществляет перехват, анализ и модификацию информации, передаваемой по линиям связи, проходящим вне контролируемой территории; осуществляет перехват и анализ электромагнитных излучений от оборудования ИС.
Предположения о квалификации внешнего нарушителя формулируются следующим образом: - является высококвалифицированным специалистом в области использования технических средств перехвата информации;
- знает особенности системного и прикладного ПО, а также технических средств ИС;
- знает специфику задач, решаемых ИС;
- знает функциональные особенности работы системы и закономерности хранения, обработки и передачи в ней информации;
- знает сетевое и канальное оборудование, а также протоколы передачи данных, используемые в системе;
- может использовать только серийно изготовляемое специальное оборудование, предназначенное для съема информации с кабельных линий связи и из радиоканалов.
При использовании модели нарушителя для анализа возможных угроз ИБ необходимо учитывать возможность сговора между внутренними и внешними нарушителями.
Отдельно следует рассмотреть угрозы, связанные с использованием сетей передачи данных. Данный класс угроз характеризуется получением внутренним или внешним нарушителем сетевого доступа к серверам БД и файловым серверам, маршрутизаторам и активному сетевому оборудованию. Здесь выделяются следующие виды угроз, характерные для КСПД предприятия: - перехват информации на линиях связи путем использования различных видов анализаторов сетевого трафика;
- замена, вставка, удаление или изменение данных пользователей в информационном потоке;
- перехват информации (например, пользовательских паролей), передаваемой по каналам связи, с целью ее последующего использования для обхода средств сетевой аутентификации;
- статистический анализ сетевого трафика (например, наличие или отсутствие определенной информации, частота передачи, направление, типы данных и т. п.).
Источники угроз
В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители.
Выбранная политика безопасности включает в себя следующие обязательные пункты: - межсетевое экранирование;
- виртуальные частные сети VPN;
- виртуальные локальные сети VLAN;
- антивирусная защита;
- организационные меры противодействия НСД.
Применительно к выделенному для реализации сегменту информационной структуры разрабатываемый проект позволит выявить несанкционированный доступ к объектам, находящимся на серверах. В частности, существует возможность определения и классификации внутренних и внешних нарушителей, а также своевременное выявление угроз, реализуемых с использованием программных средств.
Угрозы, реализуемые с использованием программных средств в выделенном сегменте информационной структуры.
Это наиболее многочисленный класс угроз конфиденциальности, целостности и доступности информационных ресурсов, связанный с получением НСД к информации, хранимой и обрабатываемой в системе, а также передаваемой по каналам связи, при помощи использования возможностей, предоставляемых ПО ИС. Большинство рассматриваемых в этом классе угроз реализуется путем осуществления локальных или удаленных атак на информационные ресурсы системы внутренними и внешними злоумышленниками. Результатом успешного осуществления этих угроз становится получение НСД к информации БД и файловых систем корпоративной сети, данным, хранящимся на АРМ операторов, конфигурации маршрутизаторов и другого активного сетевого оборудования.
В этом классе рассматриваются следующие основные виды угроз: - внедрение вирусов и других разрушающих программных воздействий;
- нарушение целостности исполняемых файлов;
- ошибки кода и конфигурации по, активного сетевого оборудования;
- анализ и модификация ПО;
- наличие в ПО не декларированных возможностей, оставленных для отладки, либо умышленно внедренных;
- наблюдение за работой системы путем использования программных средств анализа сетевого трафика и утилит ос, позволяющих получать информацию о системе и о состоянии сетевых соединений;
- использование уязвимостей ПО для взлома программной защиты с целью получения несанкционированного доступа к информационным ресурсам или нарушения их доступности;
- выполнение одним пользователем несанкционированных действий от имени другого пользователя («маскарад»);
- раскрытие, перехват и хищение секретных кодов и паролей;
- чтение остаточной информации в ОЗУ компьютеров и на внешних носителях;
- ошибки ввода управляющей информации с АРМ операторов в БД;
- загрузка и установка в системе нелицензионного, непроверенного системного и прикладного по;
- блокирование работы пользователей системы программными средствами.
Рисунок 3.2 - Схема угроз информационной безопасности с использованием программных средств в выделенном сегменте информационной структуры предприятия
В случае? если политика безопасности оказывается неэффективной, и злоумышленник, преодолев все барьеры защиты, получает доступ к серверу с помощью программных средств, факт его деятельности должен быть зафиксирован с целью оповещения администратора информационной безопасности и анализа произведенных действий. В существующем сегменте информационной структуры отсутствуют какие-либо средства для фиксирования злоумышленных действий таких как: - доступ к корневому системному каталогу Windows и его подкаталогам;
- доступ к реестру Windows;
- доступ к системным файлам;
- доступ к корневому системному хранилищу System Volume Information;
- доступ к объектам автозапуска;
- попытки входа в систему;
- изменение учетных политик;
- доступ к другим критическим процессам и объектам.
Приведенная на рис. 3.2 схема угроз, реализуемых с использованием программных средств отображает этот факт.
При исследовании выделенного для реализации сегмента информационной структуры предприятия на предмет угроз информационной безопасности наиболее значимыми и деструктивными признаны угрозы информационной безопасности с использованием программных средств. При получении несанкционированного доступа с помощью программных средств к ресурсам вычислительной машины, на которой функционирует база данных одного из ведомственных программных продуктов злоумышленник может нанести значительный вред. Для своевременного обнаружения и фиксации факта несанкционированного доступа администратором информационной безопасности предприятия необходимо такое средство, которое позволяло бы решать поставленную задачу без затруднения доступности информации для конечных пользователей. Наиболее подходящим средством реализации поставленной задачи выбрана встроенная система аудита в системах семейства Windows. Поскольку система аудита систем семейства Windows представляет собой мощное средство, позволяющее гибко настроить аудит доступа к файлам и другим объектам, необходимо провести грамотную настройку данной системы. Целью проекта является разработка методики анализов результатов работы системы аудита с последующим удобным представлением полученной информации администратору по информационной безопасности.
3.3 Анализ результатов внедрения реализованного программного средства в выделенный сегмент информационной структуры предприятия
Внедрение разработанного программного средства в выделенный сегмент информационной структуры предприятия заключалось в следующем: 1. Настройка политик аудита безопасности в соответствии с требованиями.
2. Установка и развертывание программного средства обработки журналов аудита в соответствии с разработанной методикой.
3. Анализ выявленных нарушений и моделирование угрозы несанкционированного доступа путем намеренного внесения в список запрещенных событий, заведомо разрешенных.
В результате внедрения программного средства были выявлены некоторые незначительные нарушения доступа пользователей к общим файлам и папкам на выделенных серверах.
В результате моделирования угрозы несанкционированного доступа путем внесения заведомо разрешенных событий в список запрещенных была оценена эффективность работы программного средства. Все действия несанкционированного объекта были отслежены. Анализ журнала занял не более 3 минут.
Рисунок 3.3 - Схема угроз информационной безопасности с использованием программных средств в выделенном сегменте информационной структуры предприятия
Модель обнаружения угроз, реализуемых с использованием программных средств представлена на рис. 3.3.
3.4 Анализ результатов работы реализованного программного средства
Подробный алгоритм работы с программным средством описан далее: На первом этапе необходимо импортировать ранее сформированный системой аудита журнал в формате *.txt - Загрузить журнал. Если журнал присутствует в папке с программой - загрузка произойдет автоматически при запуске. База данных «черного списка» также может быть загружена автоматически либо при нажатии кнопки - Загрузить базу. Формат базы «черного списка» - имя и путь файла с новой строки в формате *.txt. После проведения предварительной загрузки входных данных необходимо нажать кнопку - Начать обработку для поиска несанкционированных событий, удовлетворяющих «черному списку». Результат выполнения этой процедуры представлен на рисунке 3.4.
В результате выполнения процедуры было найдено 15 соответствий на зловредный файл C:\Windows\system32\mmc.exe (добавленный в базу «черного списка» заранее для примера). Полученный список несанкционированных событий можно экспортировать для передачи лицу, ответственному за безопасность функционирования компьютера.
Рисунок 3.4 - Интерфейс программного средства на первом этапе
На втором этапе работы с программой необходимо уменьшить избыточность путем удаления из обработанного на прошлом этапе журнала заведомо санкционированных событий, определяемых «белым списком». Как и в случае с остальными входными данными «белый список» может быть загружен и в автоматическом, и в ручном режиме. После нажатия кнопки - Продолжить обработку произойдет отделение от исходного журнала всех санкционированных событий. Полученный журнал санкционированных событий также можно экспортировать для передачи. Результат работы программы на втором этапе представлен на рисунке 3.5. Из множества всех событий были выделены события связанные с файлами msaudite.dll и Delphi7, так как они присутствуют в списке доверенных программ.
Уменьшение избыточности позволяет повысить быстродействие работы программы, а также провести четкую границу между «сомнительными» событиями и событиями, явно разрешенными. Благодаря подобному разделению на последующих этапах будет достигнут оптимальный баланс между автоматически обработанным журналом, и журналом, обрабатываемом вручную пользователем программного средства.
На данном этапе можно оперативно менять список разрешенных программ, путем редактирования соответствующего поля или загрузки целого списка разрешенных программ. Благодаря этому пользователь имеет возможность испробовать различные списки разрешенных программ для более гибкого анализа.
Рисунок 3.5 - Интерфейс программного средства на втором этапе
На третьем этапе работы программы имеется возможность отсортировать журнал, оставшийся после предыдущих этапов, по времени, дате, дате и времени. Также имеется возможность экспортировать отсортированный список событий. На рисунке 3.6 показан результат работы программы после третьего этапа работы. Была произведена сортировка журнала по дате 19.10.2010 в промежутке от 9:48:40 до 11:48:43.
Временное разделение событий играет важную роль в процессе анализа событий, сформированных системой аудита Windows. Благодаря четкому ведению графика посещаемости и использования компьютера, администратор или специалист по информационной безопасности может производить выборки по времени, соответствующие нахождению у компьютера того или иного пользователя. Это необходимо для последующего формирования общей картины действий пользователя, повлекших за собой несанкционированный доступ программного обеспечения к ресурсам вычислительной машины. В зависимости от полученных на данном этапе данных специалист по информационной безопасности может сделать выводы и внести соответствующие поправки в полномочия пользователей на данном компьютере - запретить какие либо действия, либо наоборот разрешить. Наиболее точный анализ достигается при одновременной сортировке по дате и по временному промежутку. На данном этапе также возможна выгрузка промежуточного журнала для анализа, вне зависимости сколько раз пользователь проводил сортировку исходного журнала событий.
Рисунок 3.6 - Интерфейс программного средства на третьем этапе
На последнем этапе работы программы пользователь имеет возможность вручную отсортировать оставшиеся после предыдущих этапов события. Каждое событие может быть маркировано соответствующими кнопками, после нажатия которых события будут заносится соответственно в тот или иной список. На данном этапе есть возможность экспортировать каждый из списков, а также просмотреть полный отчет по четырем этапам работы программы. В примере показано, как пользователь отсортировал события, связанные с файлом msimtf.dll в список несанкционированных, а события, связанные с файлом csrss.exe - в список санкционированных. На рисунке 3.7 показан результат выполнения четвертого этапа работы программы.
Четвертый этап функционирования программы должен быть выполнен в присутствии непосредственного специалиста в данной области - администратора, либо специалиста по информационной безопасности, поскольку данный этап требует знания архитектуры событий, формируемых системой аудита. На основании всех примененных ранее критериев пользователь может, основываясь на различных параметрах события выбирать принадлежность события к зловредным или к санкционированным. Полученные после ручного анализа журнал
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы