|
ВОССТАНОВЛЕНИЕ ИНФОРМАЦИИ С РАЗЛИЧНЫХ НАКОПИТЕЛЕЙ В КИЕВЕ уход за растениями - озеленение - фитодизайн |
|
http://kiev-security.org.ua
Введение С расширением использования корпоративных сетей и сети Internet, профессионалы в области защиты сетей и информационных систем все больше осознают необходимость анализа и управления потенциальными рисками безопасности в своих сетях и системах. Анализ уязвимостей - это процесс обнаружения, оценки и ранжирования этих рисков, связанных с системами и устройствами, функционирующими на сетевом и системном уровнях, с целью рационального планирования применения информационных технологий. Инструменты, реализующие этот процесс, позволяют установить собственную политику безопасности, автоматизировать анализ уязвимостей и создать отчеты, которые эффективно связывают информацию об обнаруженных уязвимостях с подробными корректирующими действиями на всех уровнях организации. Одновременное использование систем анализа защищенности, функционирующих на сетевом и системном уровнях, обеспечивает мощнейшую защиту против трех типов уязвимостей, вводимых поставщиком, администратором и пользователем (с этой классификацией можно поспорить - примечание переводчика). Эта статья посвящена вопросам правильной эксплуатации систем анализа защищенности на сетевом и системном уровнях и описанию уникальных возможностей каждого класса систем. Какие типы уязвимостей защиты мне необходимо знать? Анализ рисков безопасности корпоративным вычислительным устройствам позволяет произвести классификацию рисков, связанных с открытой вычислительной средой. Все риски можно разделить на три категории: Риски, связанные с ПО, поставляемым поставщиком- включает ошибки, неустановленные обновления (patch'и и hotfix'ы) операционной системы, уязвимые сервисы и незащищенные конфигурации по умолчанию. Риски, связанные с действиями администратора- включает доступные, но не правильно используемые настройки и функции системы, не отвечающие политике безопасности требования к минимальной длине пароля и несанкционированные изменения в конфигурации системы. Риски, связанные с деятельностью пользователя- включают уклонение от предписаний принятой политики безопасности, например, отказ запускать ПО для сканирования вирусов или использование модемов для выхода в сеть Интернет в обход межсетевых экранов и другие, более враждебные действия. Эти типы рисков могут быть представлены (реализованы) при проектировании информационной системы, в сетевых устройствах, операционных системах и приложениях. Возможности сетевого сканирования Сетевой сканер должен быть первым инструментом, используемым в процессе анализа защищенности. Он обеспечивает быстрый обзор уязвимостей самой высокой степени риска, которые требуют немедленного внимания. Анализ уязвимостей при сканировании на сетевом уровне поможет обнаружить очень серьезные уязвимости, такие как неправильно сконфигурированные межсетевые экраны (МСЭ) или уязвимые Web-сервера в демилитаризованной зоне (DMZ), которые могут предоставить потенциальную возможность для проникновения хакеров и позволить им скомпрометировать систему защиты организации. Сканирование на сетевом уровне обеспечивает быстрый и детальный анализ сетевой инфраструктуры предприятия как со стороны внешнего, так и со стороны внутреннего наблюдателя. Возможности сканирования на сетевом уровне можно разделить на две основных категории:
Сканеры сетевого уровня обнаруживают уязвимости путем моделирования методов, которые используют хакеры для атаки на удаленные системы. Первый подробный отчет об анализе защищенности, поступающий от сканера, часто округляет глаза у персонала, отвечающего за информационные системы, когда они осознают истинное, документированное состояние своей системы защиты.
Если мы вернемся к нашему оригинальному описанию трех типов рисков защиты, вы заметите из примеров, представленных выше, чтосканеры сетевого уровня являются превосходными инструментами для оценки рисков защиты, связанных с двумя типами: риски, связанные с продавцом-поставщиком ПО и риски, связанные с администраторами сетей и систем. Возможности сканирования ОС Достоинства сканирования на уровне ОС кроются в прямом доступе к низкоуровневым возможностям ОС хоста, конкретным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь внешний злоумышленник, сканер системного уровня может рассматривать систему со стороны пользователя, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись.Это является наиболее важным отличием, поскольку сетевой сканер по определению не может предоставить эффективного анализа возможные рисков деятельности пользователя. Добавление этих рисков безопасности, создаваемых пользователем, является не только крайне важным для конкретного хоста, подверженного им, но и для защиты всей сети. Как только пользователь получает доступ к локальной учетной записи (даже просто к учетной записи "Guest"), перед ним открывается широкий диапазон возможностей для атаки и осуществления контроля над локальной системой. Хакер, который получил доступ к конкретному хосту, может злоупотреблять учетными записями авторизованного пользователя или это может быть учетная запись, украденная хакером, который зарегистрировался в системе как гость и "подобрал" пароль. В обоих случаях сканер системного уровня помогает убедиться, что данная система сконфигурирована соответствующим образом, и что уязвимости устранены, так что локальный пользователь не получает доступа к привилегиям администратора. Достоинства сканера системного уровня можно разделить на три основные категории:
Пользователи, выбирающие легко угадываемые пароли или вообще не использующие пароли, являются классическим примеров рискованной деятельности пользователя. Другое значительное нарушение сетевой защиты - совместное использование жесткого диска компьютера пользователями сети.
Если мы вернемся снова к нашему исходному описанию трех типов рисков безопасности, вы заметите из примеров выше, чтосканеры системного уровня являются превосходными инструментами для оценки рисков защиты, связанных со всеми типами пользовательских рисков. Они включают риски, вызванные игнорирующими все пользователями, враждебными пользователями и всеми пользователями между ними. Они также предоставляют дополнительный охват для целого ряда рисков, связанных как с продавцами, так и с администраторами. Сканеры системного уровня также являются великолепными инструментами в "блокировании" потенциальных атак на наиболее важные системы, такие как файловые, прикладные и web-сервера, сервера баз данных и МСЭ. В дополнение к тестированию стандартных характеристик защиты они также могут обнаруживать ошибки конфигурации, которые оставляют устройства открытыми для вторжения. Какие системы я должен сканировать с помощью продуктов сетевого и системного уровней? Сканер сетевого уровня может обнаруживать неизвестные и несанкционированные устройства и системы в сети, а также поможет найти неизвестные точки периметра вашей сети, такие как сервера несанкционированного удаленного доступа. Сканирование на сетевом уровне идентифицирует устройства в вашей сети, и оценивает конфигурации и влияния таких систем как МСЭ, маршрутизаторы и корпоративные Web-сервера, находящиеся снаружи МСЭ. Из-за этих возможностей рекомендуется, чтобы система анализа защищенности сетевого уровня использовалась для сканирования всей сети. Хакер воспользуется преимуществом одноточечного доступа, который он/она может иметь. Незащищенные Windows 95/98 или рабочие станции и сервера NT могут предоставить необходимую базу для получения контроля над всем доменом. Средства сканирования на системном уровне являются очевидным выбором для защиты серверов, которые содержат наиболее важные сервисы: почтовые, Web, удаленного доступа, управления базами данных и другие прикладные сервисы. Эти системы часто содержат наиболее критичные данные для ведения бизнеса, и сканирование на системном уровне поможет найти уязвимости высокой степени риска и предоставить администратору информацию для устранения найденных проблем. Сканирование на системном уровне также должно являться приоритетным при защите межсетевых экранов, которые обычно запускаются под управлением стандартных ОС Unix и NT, и часто содержат хорошо известные уязвимости и конфигурации, установленные по умолчанию. Даже правильно сконфигурированный МСЭ, не обеспечивает эффективной защиты периметра, если администратор или лицо с администраторскими привилегиями на межсетевом экране может быть скомпрометировано каким-либо способом. Запомните, что термин "Хост" применим не просто к серверам, а к любым компьютерам, установленным в сети организации. Наиболее важная, стратегическая бизнес-информация размещается на настольных компьютерах ответственных сотрудников. Каждая из этих систем, будучи скомпрометированной, может представлять такой же большой риск для бизнеса, как и риск, от скомпрометированного сервера. Эта информация хранится, передается и пересылается каждый день по электронной почте, в рекламных листовках, в презентационных материалах и документах между руководителями, финансовыми и бизнес-партнерами, техническим персоналом, персоналом по маркетингу и продажам. Организации столкнется с серьезными проблемами, если конкурент сможет получить доступ к этим наиболее важным планам, стратегиям и корпоративным активам. Стоит рассмотреть сканирование на сетевом и системном уровнях для desktop-систем, а также серверов по следующим причинам:
Какие продукты лучше всего охватывают все три категории уязвимостей защиты? Из анализа и примеров, рассмотренных выше, мы приходим к следующим выводам: Риски, связанные с ПО, поставляемым продавцом: Неустановленные патчи ОС, уязвимые сервисы, плохая настройка по умолчанию, или устаревший Java Security Manager в Web-броузере,лучше всего устраняются как системой анализа защищенности на уровне ОС так и уровне сети.
Риски, связанные с администраторами,включая не отвечающие политике безопасности значения в системном реестре, не отвечающие политике безопасности требования к минимальной длине пароля или несанкционированные изменения в конфигурации системы,легче идентифицировать с помощью системы сканирования сетевого уровня, а затем, для полного анализа, использовать средства системного уровня.
Риски, связанные с деятельностью пользователя,включая совместное использование директорий, отказ запускать антивирусное ПО, и использование модемов в обход корпоративного МСЭ,лучше всего определяются средствами анализа защищенности системного уровня. Выводы:Тогда как каждая из этих технологий анализа защищенности (на сетевом и системном уровнях) имеет свои уникальные преимущества, скоординированное использование их обеих предоставит самый эффективный способ поиска уязвимостей. Сканеры сетевого уровня позволяют специалистам по информационной безопасности оценить и устранить уязвимости на уровне сети, подозрительные точки по периметру сети и усилить исходные линии обороны против атак. Сканер системного уровня предоставляет дополнительный уровень защиты, блокируя индивидуальные хосты с целью защиты наиболее важных ресурсов от доступа в случае несанкционированной деятельности внутри сети или от внешних хакеров, использующих скомпрометированные учетные записи. |
<a href="http://kiev-security.org.ua" title="Самый большой объем в сети онлайн инф-ции по безопасности на rus" target="_blank"><img src="http://kiev-security.org.ua/88x31.gif" width="88" height="31" border="0" alt="security,безопасность,библиотека"></a> |