Штатные средства защиты информации в операционных системах

Штатные средства защиты информации в операционных системах

Защита информации на компьютерах

ИБ-аутсорсинг
на базе DLP-системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА

Развитие цифровых технологий расширяет возможности пользователей компьютеров. Появляются новые функции, например, удаленная оплата счетов, хранение важных данных в облачных сервисах. Однако на фоне цифровизации процессов в бизнесе и госсекторе возникает риск несанкционированного доступа посторонних лиц к сведениям, программам и прочему содержимому жесткого диска. Мошенники и хакеры похищают пароли от почты, взламывают аккаунты социальных сетей, получают доступ к банковским счетам. Надежные средства защиты от постороннего вмешательства становятся необходимостью.

Возможные угрозы для информации на компьютере

Любой ПК, не защищенный от постороннего вмешательства, представляет собой открытое хранилище конфиденциальных или деловых данных. Он напоминает записную книжку, попавшую в чужие руки.

Для пользователей, получивших доступ к устройству, становятся доступны различные действия:

• копирование;
• удаление;
• распространение;
• исправление;
• использование данных в своих целях.

Получить доступ к информации можно двумя путями:

• непосредственное использование чужих устройств;
• подключение к ним по Сети.

Защита от несанкционированной обработки информации реализуется различными способами. Выбор подходящего варианта зависит от ценности и объема данных. Последствия постороннего вмешательства могут быть разными – от кражи до изменения и удаления важных данных. Для защиты от подобных ситуаций следует ограничить несанкционированный доступ к информации.

Методики защиты данных

Существует немало способов, позволяющих надежно защитить данные. Некоторые из них предназначены для предотвращения непосредственного использования ПК. Другие рассчитаны на исключение удаленного воздействия через Интернет.

Многие пользователи, прежде всего, сотрудники компаний, используют несколько средств защиты информации одновременно. Это правильное решение. В настоящее время все подключены к Сети, и случайный физический доступ к вашим устройствам всегда возможен.

Рассмотрим наиболее эффективные методики защиты данных.

Создание сложных паролей

Для защиты аккаунтов в социальных сетях, электронной почты, онлайн-банкинга и прочих сетевых ресурсов важно использовать сложные пароли. При регистрации на сервисах пользователи получают советы, какие комбинации букв и цифр считаются надежными. Однако, юзеры часто используют одни и те же шаблоны паролей – несколько крайних цифр или букв с правой или левой стороны клавиатуры, дату рождения и т.п. Нередко сайт относит такие комбинации к надежным, но на практике они легко взламываются. Не рекомендуется использовать в качестве паролей простые последовательности цифр (12345) или букв (qwerty). Это настолько распространенные комбинации, что мошенники проверяют их в первую очередь. Придуманный пароль стоит записать, чтобы не пришлось впоследствии его восстанавливать.

Киберпреступники и мошенники используют специальное программное обеспечение, способное подобрать сложную комбинацию знаков. Единственным эффективным вариантом является создание пароля из цифр, прописных и строчных букв. Сложные комбинации требуют большого количества времени для подбора. Обычно подобные аккаунты не поддаются взлому.

Рекомендуется также применять штатную защиту в виде пароля на ОС при загрузке. Если компьютер оказался в чужих руках, злоумышленник будет остановлен на первой стадии. Для защиты информации на ноутбуке/ПК понадобится сложная комбинация букв и цифр, которую будет невозможно определить методом подбора.

Шифрование информационных массивов

Этот способ защиты хорош в случаях, когда одним ПК или ноутбуком пользуются несколько человек. Можно шифровать отдельные файлы и папки, разделы диска и прочие массивы. Для шифрования используются специальные программы, например, Free Hide Folder или TrueCrypt. В Сети есть много подобных приложений, бесплатных или распространяемых на коммерческой основе.

Можно также использовать штатные средства операционной системы. Профессиональные или корпоративные версии Windows имеют инструмент BitLocker. Эта программа может производить шифрование файлов в разных томах или разделах жесткого диска. Доступ к данным может быть получен только с помощью специального ключа.

Еще одним методом защиты является создание зашифрованных архивов. Определенная группа файлов архивируется, и на архив устанавливается сложный пароль. Подобным образом можно зашифровать несколько различных массивов, не группируя их по типам файлов. Большинство программ-архиваторов имеет такую возможность, надежно отсекающую посторонний доступ. Этот вариант позволяет защитить важные документы на компьютере от сторонних пользователей без привилегированного доступа и киберпреступников.

Антивирусные программы

Установка антивирусной программы – один из наиболее надежных методов исключения постороннего вмешательства. Хакерские атаки – распространенное явление, доставляющее немало проблем интернет-пользователям. При получении письма с вредоносным вложением или посещении зараженного сайта на компьютер проникает вирус. Это вредоносная программа, которая способна производить разнообразные действия с информацией.

С помощью вируса для мошенников становятся доступны:

• действия с клавиатурой;
• копирование, удаление или изменение файлов;
• переименование папок или отдельных файлов;
• хищение паролей, личной информации.

Существует большое количество антивирусных программ. Есть платные и бесплатные приложения, которые способны отследить и удалить большинство компьютерных вирусов. Специфика работы антивирусов заключается в необходимости постоянного обновления баз. Без этого они не обеспечат защиту, так как не смогут определять новые вредоносные файлы. Антивирусные программы относят к наиболее эффективным методам обеспечения информационной безопасности. Любое устройство, подключенное к Сети, без антивирусного пакета подвергается серьезному риску.

Подобные функции выполняет брандмауэр Windows, который препятствует самостоятельному подключению приложений к сетевым ресурсам. Многие пользователи добавляют игры или программы в список исключений, надеясь только на антивирус. Однако, оставлять свой ПК без многоступенчатой защиты данных, рискованно. Отключать брандмауэр можно только в случае полной уверенности в неприкосновенности важной или личной информации.

Установка пароля на BIOS или на жесткий диск

Этот способ защиты информации исключает взлом штатного пароля, установленного на загрузку ОС. Если у злоумышленника достаточно времени, он может переустановить систему. Это позволит обойти защиту и воспользоваться важной информацией. Однако, если установлен пароль на BIOS или UEFI, загрузка ОС с внешнего носителя станет невозможной. Этот вариант признается специалистами вполне надежным. Он с высокой эффективностью ограничивает возможность несанкционированного использования информации на персональном компьютере.

Однако, этот метод имеет недостаток. BIOS или UEFI устанавливаются в специальную микросхему на материнской плате. Если жесткий диск извлечь и запустить на другом устройстве, данные станут доступны. Ситуацию можно исправить, если в BIOS или UEFI будет установлен пароль доступа к жесткому диску. Теперь, при его подключении к другому устройству и попытке использовать мастер-ключ, информация будет уничтожена. Такой метод признается максимально эффективным и действенным, но появляется риск утратить все данные бесследно.

Применение протокола HTTPS

Стандартный протокол HTTP предусматривает прямую передачу данных. Это рискованно, так как возникает возможность перехвата и использования информации в своих целях.

Надежную защиту обеспечивает безопасная передача по протоколу HTTPS. Он представляет собой модифицированную версию HTTP, обеспечивающую SSL-шифрование данных при передаче. Метод действенный, но имеющий ограничение. Необходимо, чтобы принимающий сервер поддерживал технологию HTTPS, иначе передача станет невозможной. Если такая поддержка имеется, данные подвергаются шифрованию ключом.

В зависимости от количества данных, передаваемых в единицу времени (битрейта), различают следующие уровни сложности кодирования:

• 40 бит;
• 56 бит;
• 128 бит;
• 256 бит.

Чем выше битрейт, тем сложнее кодирование информации.

Большинство интернет-магазинов, платежных или банковских систем используют протокол HTTPS. Если планируется передача важных данных, надо обратить внимание на адресную строку браузера. Там отображается протокол, использующийся данным сайтом. У популярных социальных сетей передачу по HTTPS можно включить в настройках аккаунта.

Защита беспроводных сетей

По умолчанию шифрование данных для сетей Wi-Fi не производится. Это увеличивает риск постороннего подключения. Сохранность информации на персональном устройстве необходимо обеспечить и для беспроводных сетей. Для этого надо включить метод передачи на маршрутизаторе с использованием протокола WPA/WPA2. Кроме того, понадобится сложный пароль, который невозможно подобрать без помощи специальных программ. Это исключит вторжение в систему со стороны злоумышленников и обеспечит защиту жестких дисков и накопителей. Можно дополнительно отключить показ наименования подключения. В таком случае с маршрутизатором смогут соединиться только люди, знающие имя сети. Это ограничит посторонний доступ и позволит безопасно хранить или передавать информацию.

Родительский контроль

В семьях, где одним компьютером пользуются и родители, и дети, защите от вирусов и вредоносного ПО нужно уделять повышенное внимание. Опытные пользователи рекомендуют создавать для ребенка отдельную учетную запись.

Функция родительского контроля доступна на операционных системах, начиная с Windows 7. Для других ОС доступны специальные приложения, выполняющие те же функции. Есть платные и бесплатные версии, обеспечивающие защиту от посещения сомнительных сайтов или установки нежелательных программ. Кроме этого, многие интернет-провайдеры предлагают услуги по ограничению доступа к определенным сетевым ресурсам. В личном кабинете пользователя указываются сайты, которые должны быть исключены из списка разрешенных.

Переименование важных папок или файлов

Подобную защиту нельзя назвать надежной, но все же этот метод затрудняет поиск нужной информации для злоумышленника. Папки или файлы, которые содержат личные или значимые данные, рекомендуется переименовать. Например, вместо «Фотографии» или «Проекты» следует использовать нейтральные названия или имена из цифр и букв. Среди папок с непонятными наименованиями гораздо сложнее отыскать конфиденциальные сведения и ценные данные.

Использование резервного копирования

Чем выше ценность данных, тем важнее сохранить их в неприкосновенности. Постороннее воздействие может закончиться изменением или полным удалением информации, потерей ценных разработок.

Для гарантированного сохранения файлов в неприкосновенности рекомендуется периодически производить резервное копирование важных сведений. Можно использовать внешние носители, облачные хранилища, виртуальные жесткие диски.

Этот метод не предотвращает вмешательство злоумышленников, но позволяет быстро восстановить утерянные файлы. Вариант хорош для компьютеров, находящихся в общих кабинетах или аудиториях. Резервное хранилище необходимо носить с собой и не оставлять его на рабочем месте.

Универсальных методов защиты информации не существует. Компьютеры находятся в разных условиях, подключены к незащищенным сетям, на них установлены программы со своей спецификой. Возможности несанкционированной обработки данных достаточно широки. Поэтому необходимо тщательно проанализировать возможности постороннего проникновения в базы данных на жестком диске. Не следует пренебрегать простыми решениями, даже если установлен мощный антивирус или файрвол. Максимальный эффект достигается при использовании комплексных методик.

Средства защиты информации от несанкционированного доступа

Тест на прочность: чему нас учат недостатки СЗИ?

Защитить информацию от несанкционированного доступа можно с помощью любого из популярных специализированных средств. Главное — знать его сильные и слабые стороны, чтобы в случае необходимости нейтрализовать негативные последствия. Мы провели эксперимент, чтобы посмотреть, как ведут себя различные решения в ситуации несанкционированного доступа.

Современный рынок средств защиты информации (СЗИ) представлен различными аппаратными, программными и комбинированными комплексами. Продукты различаются по цене, функциональности и настройкам. Прежде чем сделать выбор, IT-специалист должен все это хорошо изучить. Ведь ценность защищаемой информации не дает ему права на ошибку, а руководитель требует обосновать стоимость покупки конкретного СЗИ.

Цель нашего эксперимента — понять, какие дополнительные меры безопасности необходимо принять, чтобы обезопасить информацию от кражи.

Моделируемая ситуация: в компьютере финансового директора обрабатывается очень важная информация, интерес к которой имеет недовольный зарплатой сотрудник. В обеденный перерыв директор заблокировал свой компьютер и ушел. У злоумышленника есть только час на то, чтобы незаметно похитить нужную ему информацию.

Тестируемые средства

№ Наименование СЗИ Производитель Цена за одно автоматизированное рабочее место, руб.

Программные
1	Secret Net 7 (автономный)	ООО «Код Безопасности»	7 000
2	«Аура 1.2.4»	НИО ПИБ	3 000
3	Dallas Lock 8.0 — К (для корпоративных заказчиков)	ООО «Конфидент»	6 000
4	«Страж NT» (версия 3.0)	ЗАО НПЦ «Модуль»	7 500
Программно-аппаратные
5	Аккорд-АМДЗ	ОКБ САПР	12 589
6	Secret Net 7 + Secret Net Card (плата PCI Express) — комплект с DS1992	ООО «Код Безопасности»	7 000 + 3 610

Действия злоумышленника: Предположим, что на компьютере установлено одно из вышеуказанных СЗИ и шестизначный пароль, содержащий буквы разного регистра и спецсимволы. На подбор такого пароля потребуется много времени, поэтому злоумышленник, скорее всего, попробует обойти систему следующим образом:

1. установит в BIOS загрузку с внешнего накопителя;
2. загрузится с Live USB и скопирует всю нужную ему информацию;
3. перезагрузит компьютер и покинет место преступления.

Совет № 1. Запретите загрузку с внешних носителей и используйте пароли на BIOS.

Программные СЗИ, к сожалению, оставляют возможность загрузиться в обход операционной системы и похитить ценную информацию. И в этом заключается их главный недостаток. Единственным программным СЗИ, которое не удалось обойти таким образом, оказался «Страж NT».

В СЗИ «Страж NT» идентификация и аутентификация пользователя производится до загрузки операционной системы, что позволяет исключить возможность получения доступа к информации, содержащейся на жестком диске компьютера без успешного прохождения процедуры аутентификации.

Программа идентификации и аутентификации содержится в главной загрузочной записи (MBR) жесткого диска и вызывается автоматически после прохождения процедуры POST BIOS: пользователю предлагается предъявить персональный идентификатор и ввести пароль.

Модификация главной загрузочной записи, выполняемая СЗИ при его инициализации, предотвращает попытки несанкционированного доступа при загрузке компьютера с внешнего носителя, так как любая операционная система «повиснет» при попытке монтирования раздела, на котором установлена СЗИ «Страж NT». Таким образом, для злоумышленника исключается несанкционированный доступ к содержимому жесткого диска, несмотря на гипотетическую возможность загрузки персонального компьютера с внешнего носителя или подключения жесткого диска к другому компьютеру.

Вне эксперимента нам удалось с помощью программы восстановления потерянных разделов TestDisk восстановить загрузочный сектор. Но на эту процедуру ушло больше часа.

При использовании остальных СЗИ рекомендуем в настройках BIOS выставить единственное загрузочное устройство — локальный жесткий диск. Необходимо установить пароль на BIOS. Можно установить ПАК «Соболь» или Secret Net Card, которые обеспечат доверенную загрузку.

Совет № 2. При использовании любых СЗИ, кроме «Страж NT», опечатывайте или опломбируйте корпус системного блока.

При тестировании программных СЗИ мы увидели, что добыть информацию можно и без физического вмешательства в системный блок. В случае с рассматриваемыми программно-аппаратными комплексами «Аккорд» и Secret Net способ загрузки в обход операционной системы не сработал из-за наличия установленной платы, которая не давала доступа к настройкам BIOS и не позволяла изменить источник первичной загрузки.

При настройке системы защиты в соответствии с требованиями законодательства, если системный блок не опломбировать или не закрыть на замок, злоумышленнику ничего не мешает на время своих злодеяний извлечь эту плату из системного блока. В этом состоит главный недостаток плат доверенной загрузки. Таким образом, мы настоятельно рекомендуем использовать такую меру защиты как опломбирование системных блоков и закрытие на ключ.

Совет № 3. Используйте встроенные или дополнительные средства шифрования данных.

Мы рассматриваем ситуацию, когда злоумышленник пытается незаметно похитить информацию. Если это условие убрать, то и установка пароля на BIOS, и опечатывание системного блока не помешают информации «сделать ноги». Поэтому общая рекомендация для всех рассмотренных средств защиты информации следующая — использовать средства шифрования данных. При таких условиях у злоумышленника не будет возможности получить доступ к информации описанными нами или любыми иными способами.

Так, например, в СЗИ Dallas Lock средство шифрования данных является встроенным, а для Secret Net есть возможность приобрести лицензию с возможностью сокрытия выбранных разделов на жестком диске. Для остальных СЗИ остается использовать только дополнительные средства шифрования от сторонних производителей.

Совет № 4. Используйте комплекс мер: дополняйте технические средства административными мерами.

Прежде чем принимать решение о применении того или иного средства защиты, необходимо продумать и смоделировать все возможные варианты утечки информации. В каждой конкретной ситуации это будут различные меры. В случае, описанном в начале статьи, мы бы порекомендовали не оставлять открытым помещение с важной информацией, установить системы видеонаблюдения. Для особо важной информации необходимо использовать средства защиты, позволяющие шифровать информацию «на лету» и т д.

Совет № 5. Не переплачивайте: стоимость средств защиты не должна превышать стоимость самой информации.

Если руководитель поручил защитить информацию на конкретных компьютерах, необходимо понять, какова ценность информации «в цифрах». И только после этого принимать решение о выборе СЗИ. Правда, есть один нюанс: для информации, охраняемой законодательством, это правило не работает — защищать придется даже информационные системы обработки персональных данных, содержащие сведения о пяти сотрудниках.

Вадим Галлямшин, руководитель проектов внедрения систем информационной безопасности «СКБ Контур».
Станислав Шиляев, руководитель группы технической защиты информации проекта «Контур-Безопасность»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Штатные средства защиты информации в операционных системах

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

от 18 октября 2016 года N 240/24/4893

Об утверждении Требований безопасности информации к операционным системам

В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 19 августа 2016 г. N 119 (зарегистрирован Минюстом России 19 сентября 2016 г., регистрационный N 43691) утверждены Требования безопасности информации к операционным системам (далее — Требования), которые вступают в силу с 1 июня 2017 г.

Требования применяются к операционным системам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, и иной информации ограниченного доступа при ее обработке в информационных системах (автоматизированных системах управления).

Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.

Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий.

В соответствии с Требованиями выделяются следующие типы операционных систем:

операционная система общего назначения (тип «А») — операционная система, предназначенная для функционирования на средствах вычислительной техники общего назначения (автоматизированные рабочие места, серверы, смартфоны, планшеты, телефоны и иные);

встраиваемая операционная система (тип «Б») — операционная система, встроенная (прошитая) в специализированные технические устройства, предназначенные для решения заранее определенного набора задач;

операционная система реального времени (тип «В») — операционная система, предназначенная для обеспечения реагирования на события в рамках заданных временных ограничений при заданном уровне функциональности.

Для дифференциации требований к функциям безопасности операционных систем выделяются шесть классов защиты операционных систем. Самый низкий класс — шестой, самый высокий — первый.

Операционные системы, соответствующие 6 классу защиты, применяются в государственных информационных системах 3 и 4 классов защищенности* в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности** в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровней защищенности персональных данных***.

Операционные системы, соответствующие 5 классу защиты, применяются в государственных информационных системах 2 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных***.

Операционные системы, соответствующие 4 классу защиты, применяются в государственных информационных системах 1 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных***, в информационных системах общего пользования II класса****.

Операционные системы, соответствующие 1, 2 и 3 классам защиты, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Таким образом, с 1 июня 2017 г. разрабатываемые и производимые операционные системы, используемые для защиты информации, должны соответствовать Требованиям.

С 1 июня 2017 г. сертификация, а также инспекционный контроль серийного производства операционных систем будут осуществляться только на соответствие Требованиям. В связи с этим с 1 января 2017 г. ФСТЭК России не принимаются к рассмотрению заявки на сертификацию операционных систем на соответствие иным требованиям.

Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями производится в соответствии с Порядком обеспечения органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России, размещенном на официальном сайте ФСТЭК России (www.fstec.ru) в подразделе «Обеспечение документами» раздела «Документы».

Заместитель
директора ФСТЭК России
В.Лютиков

Электронный текст документа

подготовлен АО «Кодекс» и сверен по:

официальный сайт Федеральной службы

по техническому и экспортному контролю

ИБ с ограниченным бюджетом: как защититься от атак при помощи штатных средств ОС

ИБ с ограниченным бюджетом: как защититься от атак при помощи штатных средств ОС

ИБ с ограниченным бюджетом: как защититься от атак при помощи штатных средств ОС

Для начала стоит отметить, что использование инструментов, имеющихся в ОС на момент установки, бывает полезно для повышения безопасности в целом. Можно грамотно реализовать настройку параметров учетных записей пользователей, применить информацию из системных журналов для анализа событий в системе, настроить имеющийся в ОС межсетевой экран и т.д.

Анализ опасностей

Прежде чем приступить к защите, нужно оценить вероятные опасности со стороны злоумышленников, понять, из каких этапов может состоять потенциальная угроза, а затем посмотреть, что необходимо выполнить на каждом из них, чтобы атака не удалась.

Для начала определимся с терминологией. Атака – это действие, которое негативно влияет на какой-нибудь целевой компонент. Перед ее реализацией злоумышленник должен найти бреши в системе. Такие бреши называются уязвимостями. Подобная уязвимость может появиться, например, из-за использования личной электронной почты на рабочем месте.

Обычно злоумышленников условно делят на внутренних, которые имеют непосредственный доступ к компонентам системы безопасности, и внешних. С учетом такого деления различают виды киберугроз и соответствующие меры защиты от них.

Этапы построения защиты

На первом этапе необходимо определить схему реализации атаки. Лучше всего рассматривать киберугрозу в виде конкретного действия, например «атака отказа в обслуживании на веб-сервер» или «взлом веб-сервера».

Вторым шагом является выбор стратегии для противодействия каждому этапу кибератаки. Стратегий полезно выбирать несколько, так как, возможно, не все они будут в дальнейшем использованы.

Третьим шагом должен стать выбор мер защиты, которые точно можно реализовать (и контролировать) при помощи штатных средств ОС.

На четвертом этапе производят тестирование имеющихся механизмов и коррекцию схемы защиты на основе полученной информации.

Такой подход дает возможность:

• эффективно распределить имеющиеся средства защиты информации;
• выделить узкие места в системе безопасности и использовать для их устранения дополнительные средства защиты, закупку которых обосновать теперь будет проще;
• выделить те инструменты, использование которых нужно обязательно контролировать.

На пятом этапе нужно понять, каким образом можно будет использовать имеющиеся в ОС механизмы для защиты от атаки и насколько оправдано их использование.

За основу можно взять концепцию Cyber Kill Chain¹. Она описывает различные фазы осуществления условной атаки, на каждой из которых злоумышленником будут выполнены определенные действия. Для большей реалистичности можно использовать глобальную базу знаний², в которой собраны все известные тактики и техники, применяемые для практической реализации некоторых атак. Для каждого начального воздействия (англ. Initial Access) в этой схеме предусмотрен общий сценарий развития атаки.

На последнем этапе можно выделить обобщенный сценарий условной атаки и рассмотреть штатные средства ОС.

Последовательность действий при осуществлении атаки в упрощенном виде:

1. Сбор сведений об атакуемой системе.
2. Поиск уязвимости и подбор средства для ее эксплуатации. Цель: найти уязвимость для входа в систему. С точки зрения злоумышленника, в атакуемой системе должна присутствовать брешь, которая позволит реализовать атаку, при этом необязательно одна, довольно часто атака происходит с использованием нескольких уязвимостей.
3. Доставка средства эксплуатации уязвимости. Задача: сделать так, чтобы была возможность выполнять запланированные деструктивные действия на атакуемой системе.
4. Закрепление в системе. Задача: сделать возможным постоянное присутствие злоумышленника в системе.
5. Выполнение деструктивных действий в системе.
6. Заметание следов присутствия.

Эта схема позволяет упрощенно описать действия внешнего злоумышленника. Стоит отметить, что условно в такой схеме будет два больших раздела:

• действия, реализуемые перед началом атаки (первые два);
• действия, реализуемые непосредственно во время атаки (остальные действия).

Основные стратегии защиты

Для того чтобы защитить систему, можно использовать ряд решений, которые условно разделяются на несколько категорий:

1. Detect. Инструменты обнаружения потенциально опасного воздействия/воздействий. Как правило, все меры в рамках данного этапа сводятся к детектированию признаков, которые могут быть использованы для идентификации подозрительной активности, связанной с той или иной атакой.
2. Deny. Предотвращение неавторизованного доступа к ресурсам и информации. Здесь нужно определиться, чем будем «запрещать» потенциально опасное воздействие. Меры, используемые на данном этапе, позволят предотвратить получение той информации, которая даст злоумышленнику возможность реализовать атаку.
3. Disrupt. Меры, которые позволят сорвать атаку.
4. Degrade. Меры, позволяющие снизить число возможностей для реализации атаки.
5. Deceive. «Ввести в заблуждение». Способы, которые можно использовать, чтобы у злоумышленника создалось впечатление будто атака не может быть реализована.

Механизмы защиты ОС

Теперь рассмотрим, какие механизмы ОС можно применить для защиты в рамках полученной концепции. Предположим, у нас есть сеть, в которой используются сервер на основе ОС Linux в качестве веб-сервера. Для выбора механизмов защиты составим небольшую таблицу, при помощи которой постараемся рассмотреть, как можно использовать компоненты ОС для построения системы защиты. Здесь есть некоторые ограничения:

• версии ОС должны быть относительно новыми. Правда, в некоторых случаях используется даже Windows XP, но это скорее исключение из правила;
• в статье рассматривается механизм установки обновлений.

Сама таблица будет иметь следующий вид (см. таблицу 1).

В целом основные защитные и превентивные меры сводятся к следующему:

• межсетевой экран;
• мониторинг соединений;
• политика учетных записей пользователей;
• анализ логов;
• аудит событий в системе;
• резервное копирование информации.

К сожалению, объем статьи не позволяет подробно остановиться на каждом из методе. Тем не менее эти меры достаточны для того, чтобы защитить ресурсы организации, а в некоторых случаях и предотвратить атаку еще на этапе ее подготовки.

Немного о проблемах бюджетной ИБ

Конечно, у бюджетных мер защиты есть и недостатки:

• требуются довольно обширные знания используемых в ОС технологий, при этом не стоит надеяться, что вчерашний выпускник вуза сможет что-то настроить быстро. Нужен профессионал, который при помощи ограниченных средств сможет реализовать надежную защиту;
• в некоторых случаях придется использовать определенные инструменты защиты, как правило, сертифицированные. Плюс ориентироваться на конкретный список мер, которые необходимо реализовать в рамках системы безопасности (актуально при обработке конфиденциальной информации, например персональных данных);
• за рамками статьи остается вопрос управления настроенными СЗИ, контроль их работы и анализ информации, а это довольно важная составляющая системы безопасности.

Поэтому всегда нужно помнить, что безопасность – это не только меры и средства, но и конкретные специалисты, выполняющие настройку и обслуживание системы. И если есть способ улучшить их деятельность просто за счет внедрения средств защиты информации с грамотным интерфейсом пользователя – экономить не стоит.

Штатные средства защиты современных операционных систем на примере Windows NT

Некоторые вопросы защиты ЛРС от возможных атак потенциального на­рушителя могут быть решены с использованием штатных средств, входя­щих в состав современных операционных систем.

На сегодняшний день данная система является одной из самых распро­страненных ОС, кроме того, ей присущи следующие положительные ка­чества:

• развитая сетевая поддержка. ОС Windows NT имеет в своем составе развитые сетевые средства и позволяет осуществлять информацион­ный обмен по протоколам TCP/IP, IPX/SPX, Netbeui и AppleTalk, а так­же поддерживает маршрутизацию протоколов TCP/IP и IPX/SPX. Компанией Microsoft разработаны средства, позволяющие осуще­ствлять клиентам сети прозрачный доступ к ресурсам сетевых ОС NetWare и SNA, а также эмулировать сервер NetWare для клиентов одноименной сети; при этом централизованное административное уп­равление и контроль за всей сетью сохраняются. Клиентам сети пред­ставляется также возможность удаленного доступа к ресурсам серве­ра Windows NT через глобальные сети по линиям связи ISDN, frame relay, X.25 и асинхронным коммутируемым каналам. Обеспечивается также одновременное функционирование в сети архитектуры «клиент-сервер» Windows NT нескольких одноранговых подсетей Windows for Workgroups. Таким образом, Windows NT позволяет организовывать гетерогенные сетевые конфигурации, объединяющие различные аппа­ратные и программные платформы единой политикой безопасности, равными возможностями клиентов и централизованным администри­рованием;

• поддержка нескольких аппаратных платформ и симметричная мульти­процессорная обработка. Windows NT Server может работать как на Intel-совместимых компьютерах с процессорами и Pentium, так и на компьютерах со следующими типами RISC-процессоров: PowerPC, MIPS R4000 и DEC Alpha. Возможность использования аппаратных платформ с несколькими процессорными элементами поднимает в ряде задач производительность Windows NT на уровень компьютеров клас­сов мини-ЭВМ и mainframe. Совместно с поддержкой POSIX-прило-жений указанная характеристика позволяет утверждать о переносимо­сти Windows NT;

• приоритетная вытесняющая многозадачность и многопоточность. Ис­пользуемая в Windows NT система приоритетов позволяет наиболее оптимально распределить между задачами процессорное время, гаран­тируя при этом своевременное выполнение критических участков кода и корректную обработку исключений. Разработанные особым образом приложения могут запускать во время своего выполнения несколько собственных потоков, распределяя выделенные приложению вычисли­тельные ресурсы оптимальным образом;

• виртуальная память. Windows NT, являясь многозадачной и много­пользовательской оперативной системой, предоставляет надежные механизмы защиты ядра ОС от прикладных процессов и задач, реша­емых пользователями друг с другом. Своппинг (swapping) на жесткий диск позволяет выделить активной задаче практически все доступные вычислительные ресурсы компьютера;

• поддержка нескольких файловых систем. Помимо возможности вы­полнения приложений, написанных для других операционных систем, Windows NT поддерживает несколько файловых систем: стандартную FAT и собственную NTFS;

• многоцелевые функциональные возможности. Сервер Windows NT под­держивает следующие типы услуг:

— сервер удаленного доступа;

Основная задача подсистемы безопасности Windows NT состоит в от­слеживании и управлении порядком доступа к тому или иному объекту, а также фиксации и контроле попыток несанкционированной эксплуата­ции пользователями системных объектов (файлов, каталогов, разделяемых принтеров, баз данных реестра и т.д.). Подсистема безопасности хранит определенную информацию о каждом пользователе, группе пользователей и каждом защищенном объекте, а также идентифицирующую информацию

о каждом пользователе и каждой группе пользователей. На ее основе про­веряются права пользователя на доступ к объекту, и, если таковые отсут­ствуют, подсистема защиты отказывает ему в разрешении.

В целом подсистема безопасности ОС Windows NT состоит из следую­щих компонентов (рис. 1):

• процессы входа в систему (logon-процессы), принимающие запросы на вход от пользователей. Они включают интерактивный (локальный) logon, показывающий окно для ввода пароля, а также удаленный logon, который позволяет получать доступ удаленным пользователям к про­цессам сервера Windows NT;

• компонент локальной авторизации (Local Security Authority), который определяет, имеет ли пользователь право доступа к системе. Этот ком­понент является центральным в подсистеме безопасности Windows NT. Он генерирует маркер доступа, управляет локальной политикой безопасности и предоставляет интерактивный сервис администратору. Локальная авторизация также управляет регистрацией событий и за­писывает в журнал регистрации события аудита, генерируемые дис­петчером доступа;

• менеджер управления счетами пользователей (Security Account Ma­nager, SAM), который строит базу данных счетов пользователей. Эта база данных содержит информацию обо всех счетах пользователей и группах пользователей. Менеджер SAM предоставляет сервис по их полномочиям, используемый компонентом локальной авторизации;

• диспетчер доступа. В его функции входит проверка права пользовате­ля на доступ к объекту для выполнения затребованных им операций. Этот компонент реализует политику управления доступом и следит за выполнением требований по регистрации, определенных подсистемой локальной авторизации. Он предоставляет сервисное обслуживание как в пользовательском режиме, так и в режиме ядра при попытках пользователей и процессов получить доступ к объекту. Этот компонент также генерирует соответствующие сообщения регистрации.

Рис. 1. Компоненты подсистемы безопасности

Защитные механизмы операционных систем

Перейдем к описанию системы защиты операционных систем. Ее основными задачами являются идентификация , аутентификация , разграничение доступа пользователей к ресурсам, протоколирование и аудит самой системы. Более подробную информацию об этом можно найти в [Дейтел, 1987], [Столлингс, 2001], [Таненбаум, 2002] и ряде других источников.

Идентификация и аутентификация

Для начала рассмотрим проблему контроля доступа в систему. Наиболее распространенным способом контроля доступа является процедура регистрации. Обычно каждый пользователь в системе имеет уникальный идентификатор . Идентификаторы пользователей применяются с той же целью, что и идентификаторы любых других объектов, файлов, процессов. Идентификация заключается в сообщении пользователем своего идентификатора. Для того чтобы установить, что пользователь именно тот, за кого себя выдает, то есть что именно ему принадлежит введенный идентификатор , в информационных системах предусмотрена процедура аутентификации ( authentication , опознавание, в переводе с латинского означает «установление подлинности»), задача которой — предотвращение доступа к системе нежелательных лиц.

Обычно аутентификация базируется на одном или более из трех пунктов:

• то, чем пользователь владеет (ключ или магнитная карта);
• то, что пользователь знает (пароль);
• атрибуты пользователя (отпечатки пальцев, подпись, голос).

Пароли, уязвимость паролей

Наиболее простой подход к аутентификации — применение пользовательского пароля.

Когда пользователь идентифицирует себя при помощи уникального идентификатора или имени, у него запрашивается пароль. Если пароль, сообщенный пользователем, совпадает с паролем, хранящимся в системе, система предполагает, что пользователь легитимен. Пароли часто используются для защиты объектов в компьютерной системе в отсутствие более сложных схем защиты.

Недостатки паролей связаны с тем, что трудно сохранить баланс между удобством пароля для пользователя и его надежностью. Пароли могут быть угаданы, случайно показаны или нелегально переданы авторизованным пользователем неавторизованному.

Есть два общих способа угадать пароль. Один связан со сбором информации о пользователе. Люди обычно используют в качестве паролей очевидную информацию (скажем, имена животных или номерные знаки автомобилей). Для иллюстрации важности разумной политики назначения идентификаторов и паролей можно привести данные исследований, проведенных в AT&T, показывающие, что из 500 попыток несанкционированного доступа около 300 составляют попытки угадывания паролей или беспарольного входа по пользовательским именам guest, demo и т. д.

Другой способ — попытаться перебрать все наиболее вероятные комбинации букв, чисел и знаков пунктуации (атака по словарю). Например, четыре десятичные цифры дают только 10 000 вариантов, более длинные пароли, введенные с учетом регистра символов и пунктуации, не столь уязвимы, но тем не менее таким способом удается разгадать до 25% паролей. Чтобы заставить пользователя выбрать трудноугадываемый пароль, во многих системах внедрена реактивная проверка паролей, которая при помощи собственной программы-взломщика паролей может оценить качество пароля, введенного пользователем.

Несмотря на все это, пароли распространены, поскольку они удобны и легко реализуемы.

Шифрование пароля

Для хранения секретного списка паролей на диске во многих ОС используется криптография. Система задействует одностороннюю функцию, которую просто вычислить, но для которой чрезвычайно трудно (разработчики надеются, что невозможно) подобрать обратную функцию.

Например, в ряде версий Unix в качестве односторонней функции используется модифицированный вариант алгоритма DES. Введенный пароль длиной до 8 знаков преобразуется в 56-битовое значение, которое служит входным параметром для процедуры crypt(), основанной на этом алгоритме. Результат шифрования зависит не только от введенного пароля, но и от случайной последовательности битов, называемой привязкой (переменная salt ). Это сделано для того, чтобы решить проблему совпадающих паролей. Очевидно, что саму привязку после шифрования необходимо сохранять, иначе процесс не удастся повторить. Модифицированный алгоритм DES выполняется, имея входное значение в виде 64-битового блока нулей, с использованием пароля в качестве ключа, а на каждой следующей итерации входным параметром служит результат предыдущей итерации. Всего процедура повторяется 25 раз. Полученное 64-битовое значение преобразуется в 11 символов и хранится рядом с открытой переменной salt .

В ОС Windows NT преобразование исходного пароля также осуществляется многократным применением алгоритма DES и алгоритма MD4 .

Хранятся только кодированные пароли. В процессе аутентификации представленный пользователем пароль кодируется и сравнивается с хранящимися на диске. Таким образом, файл паролей нет необходимости держать в секрете.

При удаленном доступе к ОС нежелательна передача пароля по сети в открытом виде. Одним из типовых решений является использование криптографических протоколов. В качестве примера можно рассмотреть протокол опознавания с подтверждением установления связи путем вызова — CHAP (Challenge Handshake Authentication Protocol ).

Опознавание достигается за счет проверки того, что у пользователя, осуществляющего доступ к серверу, имеется секретный пароль, который уже известен серверу.

Пользователь инициирует диалог, передавая серверу свой идентификатор. В ответ сервер посылает пользователю запрос (вызов), состоящий из идентифицирующего кода, случайного числа и имени узла сервера или имени пользователя. При этом пользовательское оборудование в результате запроса пароля пользователя отвечает следующим ответом, зашифрованным с помощью алгоритма одностороннего хеширования, наиболее распространенным видом которого является MD5. После получения ответа сервер при помощи той же функции с теми же аргументами шифрует собственную версию пароля пользователя. В случае совпадения результатов вход в систему разрешается. Существенно, что незашифрованный пароль при этом по каналу связи не посылается.

В микротелефонных трубках используется аналогичный метод.

В системах, работающих с большим количеством пользователей, когда хранение всех паролей затруднительно, применяются для опознавания сертификаты, выданные доверенной стороной (см., например, [Столлингс, 2001]).

Источник: gk-rosenergo.ru