Исследование возможностей потенциальных инициаторов утечки информации - Обеспечение защиты от несанкционированного доступа в организации

Источниками угроз НСД в информационной системе могут быть:

Нарушитель;

Носитель вредоносной программы;

Аппаратная закладка.

Для источников угроз - людей, должна быть разработана модель нарушителя информационной системы, включающая описание опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий, а также возможных технических и специальных средств нарушения.

По наличию права постоянного или разового доступа в контролируемую зону (КЗ) информационной системы нарушители подразделяются на два типа:

Внешние нарушители (I тип) - нарушители, не имеющие доступа к информационной системы, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;

Внутренние нарушители (II тип) - нарушители, имеющие доступ к информационной системе, включая пользователей организации, реализующие угрозы непосредственно в ЛВС.

Внешними нарушителями могут быть:

Криминальные структуры;

Конкуренты (конкурирующие организации);

Бывшие сотрудники;

Физические лица, пытающиеся получить доступ к ПДн в инициативном порядке;

Внешний нарушитель имеет следующие возможности:

Осуществлять несанкционированный доступ к каналам связи с использованием портативных, возимых, носимых, а также автономных автоматических средств разведки ПЭМИН(Побочные Электромагнитные Излучения и Наводки) серийной разработки;

Осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;

Осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;

Осуществлять несанкционированный доступ через элементы информационной инфраструктуры ЛВС, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны;

Осуществлять несанкционированный доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ЛВС.

Осуществление несанкционированного доступа через АРМ, подключенные к сетям связи, сетям международного информационного, необходимо рассматривать т. к. все АРМ, имеют связи с сетями международного информационного обмена и не защищены средством межсетевого экранирования.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированных действий.

Исходя из особенностей функционирования информационной системы, допущенные к ней физические лица, имеют разные полномочия на доступ к информационным, программным, аппаратным и другим ресурсам в соответствии с принятой политикой информационной безопасности (правилами). К внутренним нарушителям могут относиться:

Категория I-администраторы ЛВС;

Категория II-пользователи (бухгалтера, работники отдела рекламы, отдела персонала, отдела брака, комплектации);

Категория III - сотрудники, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются ресурсы ЛВС, но не имеющие права доступа к ресурсам (работники склада);

Категория IV-обслуживающий персонал (уборщица);

Категория V - уполномоченный персонал разработчиков ЛВС, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов информационной системы(специалист по обновлению ПО 1С).

За I полугодие 2015 года Аналитическим центром InfoWatch зарегистрировано 723случая утечки конфиденциальной информации (см. Рисунок 1). Это на 10% больше, чем за аналогичный период 2014 года (654 утечки). В пределах исследуемого периода рост утечек замедлился на 22 процентных пункта (п. п.) по сравнению с показателями I полугодия 2014 года (тогда рост к 2013 году составил 32%).

число зарегистрированных утечек информации, ѕ 2006 - ѕ 2015 гг

Рисунок 1Число зарегистрированных утечек информации, Ѕ 2006 - Ѕ 2015 гг.

Зарегистрирована 471 (65%) утечка информации, причиной которой стал внутренний нарушитель. В 233 (32%) случаях утечка информации произошла из-за внешнего воздействия. Для некоторых случаев (2,6%) установить вектор воздействия(направление атаки) оказалось невозможно

распределение утечек по вектору воздействия

Рисунок 2 Распределение утечек по вектору воздействия

Вопрос защиты персональных данных от утечек для среднего бизнеса сегодня даже более актуален, чем для крупного. В организациях среднего размера зафиксировано в разы больше утечек, чем в крупных компаниях. Совокупный объем скомпрометированных записей в средних компаниях впервые за годы наблюдения превысил объем скомпрометированных записей в крупных компаниях. Исходя из результатов исследования, наиболее уязвимыми следует считать сегмент высоких технологий, торговые и транспортные компании. Наибольший объем скомпрометированных данных (без учета "мега-утечек") пришелся на интернет-сервисы

Нормативно-техническая документация

Техническая документация на систему должна соответствовать требованиям комплекса стандартов и руководящих документов на автоматизированные системы, в том числе:

ГОСТ 34.201-89 "Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем";

ГОСТ 34.601-90 "Комплекс стандартов на автоматизированные системы. Стадии создания";

ГОСТ 34.602-89 "Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы";

ГОСТ 34.603-92 "Информационная технология. Виды испытаний автоматизированных систем";

РД 50-34.698-90 "Комплекс стандартов и руководящих документов на автоматизированные системы. Методические указания. Автоматизированные системы. Требования к содержанию документов".

Также необходимо использовать рекомендации и положения следующих стандартов:

ISO13335-5:2001 Information technology. Guidelines for the management of IT security. Managementguidanceofnetworksecurity (Информационные технологии. Руководство по управлению ИТ безопасностью. Руководство по управлению сетевой безопасностью);

ISO/IEC 18028-1:2006. Information technology. Security techniques. IT networksecurity. Part 1 - Networksecuritymanagement (Безопасность сети - Часть 1:Управление безопасностью сети);

ISO/IEC 18028-2:2006. Information technology. Security techniques. IT networksecurity. Part 2 - Networksecurityarchitecture (Безопасность сети - Часть 2:Архитектура безопасности сети);

ISO/IEC 18028-3:2005. Information technology. Security techniques. IT network security. Part 3 - Securing communications between networks using security gateways (Безопасностьсети - Часть 3: Обеспечениебезопасностикоммуникациймеждусетямисиспользованиемшлюзов);

ISO/IEC 18028-4:2005. Information technology. Security techniques. IT networksecurity. Part 4 - Securingremoteaccess (Безопасность сети - Часть 4:Обеспечение безопасности удаленного доступа);

ISO/IEC 18028-5:2006. Information technology. Security techniques. IT network security. Part 5 - Securing communications across networks using virtual private networks (Безопасностьсети - Часть 5: Обеспечение безопасности коммуникаций между сетями с использованием VPN).

Решения по структуре системы

Система представляет собой ЛВС, состоящую из следующих компонентов:

Подсистемы межсетевого экранирования;

Подсистемы обнаружения и предотвращения вторжений.

Каждый из компонентов системы имеет свое назначение и обеспечивает возложенный на него функционал. Решения, применяемые при проектировании, выбирались с позиции обеспечения отказоустойчивости, производительности, высокой доступности сетевой инфраструктуры.

Решения по численности, квалификации и функциям персонала системы

Численность и квалификация персонала системы, а также режим его работы определяются штатным расписанием и должностными инструкциями соответствующих подразделений организации Заказчика.

Подразделения, выполняющие эксплуатацию подсистем, должны включать инженерно-технический персонал, обеспечивающий постоянную работоспособность системы за счет выполнения регламентного обслуживания и надлежащей эксплуатации ее компонентов в соответствии с рекомендациями производителей оборудования.

Допускается проводить эксплуатацию подсистем по договору на техническое обслуживание со специализированной организацией.

Подсистема межсетевого экранирования. Назначение

Подсистема межсетевого экранирования обеспечивает:

Информационное взаимодействие пользователей Заказчика;

Информационное взаимодействие серверных сегментов ЦО;

Информационное взаимодействие между элементами системы;

Защиту серверных ресурсов и внутренних пользователей с использованием средств межсетевого экранирования.

Физическое представление

На текущий момент времени роль ядра / распределения ЛВС ЦО выполняет стек коммутаторов Cisco 3750E-48TD, к которому, в свою очередь, подключаются коммутаторы уровня доступа, а также серверные ресурсы ЦО. Настоящим техническим проектом предлагается переложить функции уровня ядра на вновь устанавливаемые МЭ Cisco ASA5585-X, а коммутаторы Cisco 3750E-48TD оставить в роли уровня распределения (см. Рис. 3).

Данное решение позволит организовать гибкую политику фильтрации трафика серверных сегментов с использованием списков контроля доступа и инспекции протоколов входящих и исходящих соединений всех подсистем в соответствии с предварительно настроенными правилами.

структурная схема лвс цо

Рисунок 3. Структурная схема ЛВС ЦО

Описание физических подключений

Как уже было сказано выше, в роли ядра ЛВС предполагается использовать высокопроизводительные мультисервисные МЭ ASA 5585-X, которые представляют собой 2-U шасси с двумя установленными модулями:

ASA5585-SSP-10 - модуль межсетевого экранирования;

ASA5585-SSP-IPS10 - модуль обнаружения и предотвращения атак (IPS).

Модуль межсетевого экранирования ASA5585-SSP-10 является процессорным модулем для всех карт, установленных в шасси ASA 5585-X. Данный модуль позволяет подключать 8 интерфейсов GigabitEthernet, а также 2 SFP-порта с поддержкой 10 GbitEthernet (при соответствующей лицензии). При установке дополнительного модуля ASA5585-SSP-IPS10 суммарное количество портов межсетевого экрана увеличивается вдвое. Производительность МЭ в режиме межсетевого экранирования - 4 Гбит/с, в режиме предотвращения вторжений - 2 Гбит/с.

Для обеспечения отказоустойчивости предполагается использовать два устройства адаптивной безопасности ASA 5585-X, работающих в режиме StatefulFailover, где один МЭ ASA 5585-X будет функционировать в режиме Active, а второй - в режиме Standby. Реализация StatefulFailover осуществляется путем связи двух МЭ с помощью каналов Failover и Stateful. Failover-канал предназначен для наблюдения за состоянием активного МЭ, канал Stateful предназначен для синхронизации информации о сессиях активного устройства. Применение данных каналов позволяет осуществлять прозрачное для клиентов переключение на резервное устройство в случае сбоя активного.

Межсетевые экраны, помимо специализированного канала Failover, используют другой метод определения состояния соседа - "состояние интерфейсов" (MonitoringInterface). Данный метод призван предотвратить состояние, в котором оба МЭ являются активными (dual-active-состояния). Метод "состояние интерфейсов" работает следующим образом: на интерфейсе (или на sub-интерфейсе) настраиваются два IP-адреса, где первый IP-адрес принадлежит интерфейсу активного МЭ, а второй - резервному МЭ. Так как оба интерфейса находятся в одном широковещательном домене (в одной VLAN), резервный МЭ всегда проверяет доступность IP-адреса активного МЭ с помощью Hello-пакетов. Как только Hello-пакеты перестанут приходить на интерфейс, резервный МЭ по истечении определенного времени (Hold-time) становится активным (см. Рис.4).

метод

Рисунок 4 Метод "состояние интерфейсов"

Метод StatefulFailover позволяет увеличить отказоустойчивость системы, однако, пропускная способность в режиме Active/Standby снижена, так как передачей данных занимается лишь интерфейс активного МЭ. Для увеличения пропускной способности предлагается от каждого МЭ подключить по два канала GigabitEthernet к каждому коммутатору Cisco 3750E (см. Приложение А). Далее необходимо каждую физическую пару каналов GigabitEthernet объединить в один логический канал Port-channel, используя технологию EtherChannel, которая позволяет объединить до 8-ми физических интерфейсов в одни логический с использованием протокола LACP.

Семейство МЭ CiscoASA 5500 обладает особой политикой безопасности, основанной на уровне доверия к каждому интерфейсу платформы. Каждому интерфейсу присваивается свой уровень безопасности, в зависимости от того, к какой сети этот интерфейс подключен с точки зрения безопасности. Значение уровня безопасности варьируется от 0 (наименьший уровень доверия к данному подключению) до 100 (наибольший уровень доверия).

Состав логических интерфейсов и их уровень сетевой безопасности представлен вТабл. 1.

Таблица1. Состав логических интерфейсов и их уровень сетевой безопасности

Логический интерфейс

Название логического интерфейса

Securitylevel

Назначение

Состав физических интерфейсов

Port-channel 1.51

Users

20

Подключение пользователей Заказчика

GigabitEthernet 0/0

GigabitEthernet 1/0

Port-channel 1.52

Itusers

35

Подключение администраторов ЛВС

Port-channel 1.53

Dbuser

30

Подключение пользователей дирекция по безопасности

Port-channel 1.61

Printers

22

Подключения принтеров и МФУ

Port-channel 1.62

Wifi

7

Подключение пользователей беспроводного доступа Wi-Fi

Port-channel 1.65

Management

50

Управление АСО ЦО

Port-channel 1.68

Phones

25

Подключение IP-телефонов

Port-channel 2.20

Outside

0

Связь с ISA-сервером

GigabitEthernet 0/1

GigabitEthernet 1/1

Port-channel 2.21

Servers1

18

Подключение к серверной группе №1

Port-channel 2.22

Servers2

16

Подключение к серверной группе №2

Port-channel 2.23

Servers3

14

Подключение к серверной группе №3

Port-channel 2.24

Servers4

12

Подключение к серверной группе №4

Port-channel 2.25

Servers5

10

Подключение к серверной группе №5

Port-channel 2.100

Remoteoffice

5

Подключение удаленных подразделений

В случае если трафик направлен от интерфейса с высоким уровнем безопасности к интерфейсу с меньшим уровнем, МЭ пропустит трафик, предварительно запомнив информацию о данной сессии. Если поток данных направлен в обратную сторону, трафик будет заблокирован МЭ до тех пор, пока в явном виде не будет прописан доступ с помощью списков доступа (Access-list). Данный метод позволяет администратору создавать гибкую политику безопасности, исключая несанкционированный доступ к ЛВС. Принцип работы интерфейсов с определенным уровнем безопасности показан на Рис. 5.

принцип работы интерфейсов с определенным уровнем безопасности

Рисунок 5. Принцип работы интерфейсов с определенным уровнем безопасности

Протоколы, которые используются в локальной сети, не всегда используют одну сессию для своей работы (когда весь обмен данными происходит по одной сессии TCP или UDP). Примерами таких "сложных" для МЭ протоколов являются FTP, SIP, SCCP, H.323, и многие другие. Все приведенные протоколы используют для служебной информации одно соединение, а для передачи данных - другое. Например, популярный протокол SIP устанавливает служебную сессию на ТСР/5060 с SIP-сервером, но голосовой поток идет от одного телефона до другого напрямую. Для корректной передачи данного типа трафика, МЭ Cisco ASA 5585x реализована функция глубокого исследование протоколов (AdvancedProtocolHandling). Данная функция позволяет МЭ разбирать многопотоковыепротоколы (в некоторых случаях и однопотоковые, которым требуется пристальное внимание HTTP, ESMTP, DNS, SNMP и др.) до 7 уровня модели OSI анализируя их структуру, информацию в заголовках и передаваемых данных. В рамках данного проекта, предполагается включить инспектирование для следующих протоколов: ftp, h323 h225, sqlnet, sip, netbios, tftp, ip-options, icmp, http.

Помимо глубокого исследования протоколов, МЭ Cisco ASA 5585X поддерживает технологию сбора событий по сетевой активности в ЛВС с разбивкой по хостам, протоколам, портам и спискам доступа. Данная технология называется threat-detection и имеет 2 уровня. Первый уровень - threat-detectionbasic (включен по умолчанию). Данный уровень собирает статистику по:

Хостам:количество посланных/полученных пакетов/байтов за 1,8 и 24 часа. Также учитывается количество уничтоженных пакетов, если такие были;

Спискам доступа:количество совпадений со строками списка доступа;

Протоколам и портам:учитывается количество пакетов и байт, прошедших по конкретному протоколу, либо приложению за 1,8 и 24 часа.

Вторая часть этой технологии называется scanning-threat (по умолчанию выключена). Эта часть позволяет анализировать неуспешные попытки хостов связаться через МЭ по TCP/UDP протоколам.

Если активировать scanning-threat, то МЭ будет блокировать хосты, которые превысили установленный порог "исследовательской активности", которая часто означает, что хост заражен трояном и может быть частью ботнета.

Похожие статьи




Исследование возможностей потенциальных инициаторов утечки информации - Обеспечение защиты от несанкционированного доступа в организации

Предыдущая | Следующая