Program realizacji kompleksowego audytu bezpieczeństwa

CENTRUM OPROGRAMOWANIA
Program realizacji kompleksowego audytu bezpieczeństwa
systemu informatycznego
Opracował:
Mariusz Stawowski
Konsultacje:
dr Janusz Jarosz, Tomasz Ryś
Cel audytu bezpieczeństwa
Utrzymywanie wysokiego poziomu bezpieczeństwa strategicznych zasobów systemu
informatycznego wymaga stałego monitorowania i okresowego badania stanu
zabezpieczenia wszystkich elementów tego systemu. Nawet najbardziej zaawansowany
system ochrony, który w trakcie eksploatacji nie jest poddawany odpowiedniej weryfikacji
szybko traci swoje właściwości i sam może stać się źródłem zagrożenia. Użytkownicy przeświadczeni o istnieniu zabezpieczeń nie odczuwają niebezpieczeństw i mogą narazić swoją
organizację na poważne straty. W związku z tym uzasadnione jest wyposażenie systemu
informatycznego w środki szybkiego identyfikowania i sygnalizowania nieprawidłowego
działania zabezpieczeń oraz wykonywanie okresowych audytów bezpieczeństwa.
Kompleksowy audyt bezpieczeństwa systemu informatycznego powinien obejmować trzy
kategorie badań:
−
testy penetracyjne (identyfikacja słabych punktów systemu zabezpieczeń, symulacja
włamań),
−
testy kontrolne (sprawdzanie poprawności instalacji i konfiguracji systemu),
−
analiza systemowa zabezpieczeń (teoretyczna ocena bezpieczeństwa systemu
informatycznego).
Zagadnienia monitorowania systemu ochrony oraz wykonywania praktycznych testów
zabezpieczeń zostały opisane w [3]. Praktyczne testy zabezpieczeń, wspomagane za
pomocą dedykowanego oprogramowania (m.in. profesjonalnych skanerów zabezpieczeń ISS
Internet Scanner i WebTrends Security Analyzer), umożliwiają dokonanie wiarygodnej oceny
poziomu bezpieczeństwa zasobów systemu informatycznego. Nie jest jednak możliwe ich
wykonanie w zakresie całego systemu informatycznego. W dużych systemach z przyczyn
technicznych, organizacyjnych oraz finansowych praktyczne testy zabezpieczeń mogą być
wykonywane tylko dla wybranych elementów składowych.
W takich przypadkach pozostają techniki teoretycznej oceny zabezpieczeń, określane
jako analiza systemowa zabezpieczeń. CLICO Centrum Oprogramowania Sp. z o.o. (dalej
określana CLICO) posiada opracowaną metodykę analizy systemowej zabezpieczeń opartą
m.in. na formalnych metodach zaczerpniętych z teorii grafów i sieci [1]. Metodyka ta jest od
1998 roku z powodzeniem stosowna do realizacji kompleksowych audytów bezpieczeństwa
systemów informatycznych dużych przedsiębiorstw (m.in. zakładu z branży energetycznej
i dwóch dużych banków).
Zakres audytu bezpieczeństwa
Zasoby systemu informatycznego narażone są na wiele, różnego rodzaju
niebezpieczeństw, najczęściej wynikających z globalnego charakteru oraz dużego
skomplikowania heterogenicznego środowiska Intranet/Internet. Analiza bezpieczeństwa
zostanie skoncentrowana na ocenie odporności zabezpieczeń najbardziej wartościowych
zasobów na zagrożenia uznane za istotne w określonym środowisku.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
Program realizacji kompleksowego audytu bezpieczeństwa systemu informatycznego
Ogólnie, można wyróżnić 10 podstawowych kategorii
komputerowych:
1. Ataki sieciowe (np. włamania i penetracje, ataki DoS),
zagrożeń
systemów
2. Zagrożenia transmisji danych (np. podsłuch sieciowy, przechwytywanie sesji),
3. Zagrożenia aplikacyjne (np. wirusy, robaki, konie trojańskie),
4. Zagrożenia komunikacyjne (np. przeciążenia sieci, niewłaściwy ruting sieci),
5. Awarie techniczne (np. awaria sprzętu, błąd oprogramowania),
6. Błędy ludzi (np. błędy użytkowników, administratorów),
7. Zagrożenie fizyczne (np. kradzież, pożar, zalanie),
8. Zagrożenia kryptograficzne (np. nieaktualne, bądź zagubione klucze szyfrowania),
9. Przeciek informacji (np. informacje o klauzuli tajności TAJNE są dostępne dla
systemu komputerowego o klauzuli JAWNE).
10. Ulot elektromagnetyczny.
Zagrożenia z kategorii 1-7 są w praktyce obecne w każdym dużym systemie
informatycznym. Zagrożenia kryptograficzne podlegają analizie w systemach, w których do
ochrony strategicznych informacji stosuje się środki kryptograficzne (np. banki). Zagrożenia 9
i 10 są rozpatrywane w systemach informatycznych, gdzie obowiązuje ustawa o ochronie
informacji niejawnych (np. systemy rządowe i wojskowe).
System informatyczny zawiera wiele różnego rodzaju zabezpieczeń technicznych. Ich
opis można znaleźć m.in. w [4]. Audyt bezpieczeństwa powinien obejmować swoim
zasięgiem wszystkie te zabezpieczenia. Techniczne środki ochrony systemu
informatycznego można podzielić na następujące kategorie:
−
zabezpieczenia aplikacji (np. kontrola dostępu do operacji, szyfrowanie danych
aplikacji),
−
zabezpieczenia bazy danych (np. kontrola dostępu do tabel relacyjnej bazy danych),
−
zabezpieczenia systemu operacyjnego (np. kontrola dostępu do plików, logi
systemowe),
−
zabezpieczenia sieciowe (np. Firewall, VPN, IDS),
−
zabezpieczenia wspomagające
uwierzytelniania, PKI).
(np.
serwery
kontroli
zawartości,
serwery
Audyt bezpieczeństwa jest realizowany z wykorzystaniem rożnych metod. Dla przykładu,
analiza odporności zabezpieczeń na ataki sieciowe odbywa się w sposób formalny poprzez
ocenę zgodności ze specyfikacją wymagań bezpieczeństwa, zgodności z zasadą asekuracji
zabezpieczeń oraz odporności na ataki przeprowadzane metodą Island Hopping Attack.
Z punktu widzenia efektywności i dokładności (np. pomyłki w obliczeniach) prowadzenia
badań najbardziej wartościowe są metody formalne. Metody te można bowiem w prosty
sposób implementować w programach komputerowych.
Analiza i testy zabezpieczeń
Analiza i badania praktyczne są wykonywane w celu oceny poziomu bezpieczeństwa
systemu w zdefiniowanej przez Zleceniodawcę części pod kątem szczelności i odporności na
nieautoryzowane, zewnętrzne i wewnętrzne ingerencje.
W ramach testów penetracyjnych wykonane są następujące prace:
1. Identyfikacja systemu za pomocą dostępnych serwisów sieciowych (np. WWW, FTP,
Telnet, Finger, Rusers, Rpcinfo, Showmount, itp.).
Identyfikacji są poddawane wszystkie adresy IP podane przez Zleceniodawcę.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
2
Program realizacji kompleksowego audytu bezpieczeństwa systemu informatycznego
2. Rozpoznanie dostępnych komputerów i urządzeń sieciowych, rodzaju i wersji ich
systemów operacyjnych oraz oprogramowania użytkowego pod kątem wykrywania
znanych luk bezpieczeństwa.
Zasadnicze testy rozpoznawcze są wykonywane za pomocą programu NetCat oraz
innych dedykowanych narzędzi np. programu HttpVer do identyfikacji serwerów
WWW,
programu Queso do identyfikacji systemów operacyjnych, itp. Do
rozpoznawania struktury sieci wykorzystane są m.in. metody ‘Firewalking’, ‘DNS
Zone Transfer’ oraz standardowe usługi Ping i Traceroute.
Informacje na temat aktualnych luk bezpieczeństwa określonych rodzajów i wersji
systemów operacyjnych oraz oprogramowania użytkowego są uzyskiwane z
zasobów internetowych (np. CERT, Astalavista, SecurityFocus, Technotronic,
RootShell, BugTraq, itp.) oraz własnych doświadczeń członków grupy testującej.
3. Wstępna penetracja systemu za pomocą skanerów portów TCP i UDP oraz
skanerów zabezpieczeń powszechnie wykorzystywanych przez hakerów,
dostępnych w zasobach sieci Internet (np. SATAN, NMAP, Phobia, Mscan, NAT,
Asmodeus).
W zakresie skanowania
podstawowych technik:
portów
TCP
przewiduje
−
skanowanie połączeniowe ‘connect scanning’,
−
skanowanie pół-otwarte ‘half-open scanning’,
−
skanowanie skryte ‘stealth scanning’.
się
wykonanie
trzech
Rodzaje użytych skanerów zabezpieczeń będą zależeć od rodzajów rozpoznanych
systemów (np. do badania Windows NT programy NetBIOS Auditing Tool, Legion,
czy L0phtCrack, a do badania serwera Solaris programy Nessus, Phobia, Mscan,
itd.).
4. Testy zabezpieczeń systemu za pomocą profesjonalnych skanerów zabezpieczeń
ISS Internet Security Scanner i WebTrends Security Analyzer.
Skaner zabezpieczeń zostanie zastosowany do badania wszystkich dostępnych z
sieci publicznej urządzeń sieciowych (np. serwerów, firewall, ruterów) o podanych
przez Zleceniodawcę adresach IP.
5. Analiza otrzymanych wyników badań pod kątem przygotowania symulacji włamań.
6. Symulacja włamań do systemu (realizowana w czasie i zakresie zaakceptowanym
przez Zleceniodawcę).
Zakres działań zrealizowanych w trakcie symulacji włamań będzie zależny od
wyników identyfikacji i wstępnej penetracji systemu (liczba potencjalnych metod
włamań do systemów komputerowych jest tak bardzo duża).
Symulacja włamań może obejmować wszystkie dostępne z sieci wewnętrznej
i Internetu urządzenia sieciowe (np. serwery, firewall, rutery) o podanych przez
Zleceniodawcę adresach IP.
Celem wykonywania symulacji włamań jest ustalenie możliwości uzyskania
nieupoważnionego dostępu do usług i danych sieci prywatnej.
W razie wystąpienia możliwości przeprowadzenia symulacji włamań do komputerów
i urządzeń sieciowych, których adresy IP nie zostały podane przez Zleceniodawcę
(np. komputerów posiadających prywatne adresy IP) badania są wykonywane po
uzyskaniu akceptacji od Zleceniodawcy. Potencjalnie istnieje taka możliwość np. po
przejęciu kontroli nad urządzaniem wykonującym translację adresów NAT (zwykle
jest to ruter lub firewall).
7. Ocena odporności zabezpieczeń systemu na ataki destrukcyjne za pomocą narzędzi
powszechnie wykorzystywanych przez hakerów.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
3
Program realizacji kompleksowego audytu bezpieczeństwa systemu informatycznego
Wykonane są powszechnie znane ataki ‘denial of service’ oraz techniki specyficzne
dla określonych systemów.
Odpowiednie programy typu ‘exploit’ są pozyskiwane z Internetu (np. Latierra, Bonk,
Teardrop, Sunkill, SynDrop, Nestea, Smurf, itp.) lub w razie potrzeby
implementowane przez członków grupy testującej.
8. Analiza wyników testu penetracyjnego pod kątem oceny zagrożenia integralności
systemu oraz możliwości dostępu do danych firmy przez osoby nieupoważnione.
9. Sporządzenie raportu końcowego.
W przypadku pozytywnego rezultatu symulacji włamań raport zawiera propozycje
odpowiedniego wzmocnienia zabezpieczeń oraz wykonania innych stosownych
działań prewencyjnych.
Podstawowe badania wykonywane w ramach testów kontrolnych odbywają się
bezpośrednio na testowanych urządzeniach. Kontrola konfiguracji usług sieciowych może
odbywać się także zdalnie, w sposób podobny do testu penetracyjnego. W ramach testu
kontrolnego systemu komputerowego mogą zostać zrealizowane następujące
przedsięwzięcia:
−
kontrola wersji systemu operacyjnego i oprogramowania użytkowego,
−
weryfikacja poprawności konfiguracji systemu ,
−
wykrywanie śladów włamań i nadużyć użytkowników,
−
weryfikacja poziomu bezpieczeństwa systemu kontroli dostępu.
Analiza systemowa zabezpieczeń wykonywana jest z wykorzystaniem specjalnie
przygotowanych do tego celu modeli matematycznych (m.in. modelu strefowego systemu
informatycznego). Modele opisują własności jakościowe i ilościowe rzeczywistych systemów,
z uwzględnieniem istniejących w tych systemach zabezpieczeń. Każdy z modeli składa się
ze zbioru wyróżnionych, interesujących dla badanego aspektu bezpieczeństwa elementów
wraz z opisem ich organizacji w postaci zbioru relacji i funkcji. Metody analizy formalnej są
bardzo przydatne w zastosowaniach praktycznych, ponieważ ich precyzyjny, matematyczny
charakter umożliwia prostą implementację w programach komputerowych. Analiza
bezpieczeństwa dużego systemu informatycznego bez wspomagania komputerowego jest
żmudna i czasochłonna. Dodatkowo, wspomaganie komputerowe znacząco obniża
prawdopodobieństwo popełnienia błędów.
Polityka bezpieczeństwa
Zapewnienie wysokiego poziomu bezpieczeństwa systemu informatycznego,
szczególnie w odniesieniu do planowanych przedsięwzięć informatycznych wymaga
utrzymywania spójnego i kompleksowego „Dokumentu polityki bezpieczeństwa systemu
informatycznego”, określającego przedsięwzięcia wykonywane przez kierownictwo,
użytkowników, personel techniczny oraz wszystkich innych pracowników instytucji związane
z utrzymywaniem odpowiedniego poziomu ochrony zasobów systemu informatycznego.
Tworzenie takiego dokumentu (zbioru dokumentów) w skali całego systemu
informatycznego, jego odpowiednie utrzymywanie (aktualizacja, rozwój) oraz praktyczne
stosowanie w trakcie eksploatacji systemu wymaga zastosowania sprawdzonej metodyki,
umożliwiającej skuteczne i efektywne wykonanie analizy ryzyka (Risk Analysis) oraz
późniejsze zarządzanie ryzyka (Risk Management). W tym celu można dokonać zakupu
jednego z dostępnych komercyjnie systemów wspomagających analizę i zarządzanie ryzyka
(np. CRAMM, L3 Network Security Expert), bądź zastosować metodykę wypracowaną przez
firmę zatrudnioną do sporządzenia dokumentów bezpieczeństwa.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
4
Program realizacji kompleksowego audytu bezpieczeństwa systemu informatycznego
Metodyka CLICO opiera się na systemie kwestionariuszy i zawiera trzy etapy prac.
ETAP 1 – Ustalenie i oszacowanie wartości zasobów systemu informatycznego
•
Ustalenie zakresu i harmonogramu prac.
•
Sporządzenie mapy zasobów systemu informatycznego:
•
−
ustalenie grup (kategorii) użytkowników systemu informatycznego (np. Zarząd,
Produkcja, Księgowość, Informatyka) oraz ocena ich ważności dla działalności
biznesowej instytucji,
−
ustalenie zadań systemu informatycznego (np. rozliczanie produkcji, wspomaganie
decyzji, kontrola jakości) oraz określenie ich ważności dla działalności biznesowej
instytucji,
−
ustalenie zasobów systemu informatycznego (fizycznych, informacyjnych) i ich
powiązanie w relacje z grupami użytkowników i zadaniami systemu informatycznego.
Oszacowanie wartości zasobów systemu informatycznego:
−
zasoby informacyjne ocenia się w odniesieniu do skutków (kosztów) ich ujawnienia,
niepożądanej modyfikacji, niedostępności, bądź zniszczenia,
−
zasoby fizyczne ocenia się w odniesieniu do kosztów ich naprawy lub wymiany.
ETAP 2 – Ustalenie zagrożeń, podatności zasobów systemu informatycznego na zagrożenia
oraz oszacowanie wielkości ryzyka
•
Zidentyfikowanie zagrożeń zasobów systemu informatycznego oraz ocena ich wielkości.
•
Ocena podatności zasobów systemu informatycznego na zagrożenia:
•
−
rozpoznanie istniejących zabezpieczeń zasobów oraz ich analiza pod względem
szczelności i efektywności (np. kontrola konfiguracji, wersji, poprawek, logów)
wspomagana za pomocą profesjonalnych skanerów zabezpieczeń (np. ISS Security
Scanner),
−
praktyczne testy zabezpieczeń (np. testy penetracyjne, kontrolowana symulacja
włamań) wspomagane za pomocą profesjonalnych skanerów zabezpieczeń (np. ISS
Internet Scanner),
Oszacowanie wielkości ryzyka jako funkcji wielkości zagrożenia, podatności zasobu na
zagrożenie i wartości zasobu.
ETAP 3 – Ustalenie metod eliminacji, bądź redukcji ryzyka oraz ocena ryzyka szczątkowego
(residual risk)
•
Ustalenie możliwych do zastosowania zabezpieczeń (różne warianty z zakresu ochrony
technicznej i fizycznej, a także personalnej, organizacyjnej i prawnej) oraz ich analiza
jakościowa i kosztowa:
−
ocena poziomu bezpieczeństwa oferowana przez poszczególne zabezpieczenia
(w kategoriach szczelności i efektywności),
−
oszacowanie kosztów wdrożenia zabezpieczeń (koszty zakupu technologii, koszty
realizacji projektu, koszty szkoleń, nakłady pracy na wdrożenie i eksploatację
zabezpieczeń).
•
Wybór zabezpieczeń rekomendowanych do wdrożenia oraz ocena ryzyka szczątkowego.
•
Ustalenie wytycznych do zarządzania ryzyka (przedsięwzięć planowania, organizowania
i kontrolowania zabezpieczeń systemu informatycznego w celu upewnienia się, że ryzyko
szczątkowe pozostaje w granicach ryzyka akceptowalnego).
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
5
Program realizacji kompleksowego audytu bezpieczeństwa systemu informatycznego
Wyniki audytu bezpieczeństwa
Zasadniczym rezultatem audytu bezpieczeństwa jest raport opisujący rzeczywisty stan
zabezpieczenia zasobów systemu informatycznego.
Oprócz tego audyt dostarcza wielu innych korzyści, m.in.:
−
kadra informatyczna przedsiębiorstwa zaangażowana w realizację przedsięwzięć
bezpieczeństwa zostaje odpowiednio do tego celu przeszkolona i zdobywa duże
doświadczenie,
−
dla wszystkich wyznaczonych „słabych punktów” zabezpieczeń systemu
informatycznego przedstawione zostają procedury ich eliminacji, bądź redukcji,
−
podstawowe dokumenty polityki bezpieczeństwa zostają uaktualnione lub w razie ich
braku stworzone od początku,
−
dokumentacja z realizacji audytu bezpieczeństwa zawiera szczegółowy opis
wszystkich wykonanych testów (m.in. zastosowane narzędzia, sposób uruchamiania
testów) i dzięki temu w przyszłości może posłużyć do powtórzenia lub zweryfikowania
badań.
CLICO jako wykonawca audytu bezpieczeństwa zobowiązuje się do zachowania w
tajemnicy wszystkich danych dostarczonych przez Zleceniodawcę i uzyskanych w trakcie
wykonywania audytu, mających wpływ na stan bezpieczeństwa systemu informatycznego w
czasie trwania realizacji usługi oraz po jej zakończeniu.
Literatura
[1] Bohdan Korzan: Elementy teorii grafów i sieci. WNT 1978.
[2] Krzysztof Liderman: Bezpieczeństwo informacji w systemach komputerowych,
WAT 1999.
[3] Mariusz Stawowski: Badanie zabezpieczeń sieci komputerowych. ArsKom 1999.
[4] Mariusz Stawowski: Ochrona informacji w sieciach komputerowych. ArsKom 1998.
Clico Centrum Oprogramowania, Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
6