Проведение технологического аудита информационной безопасности (ИБ) является одним из обязательных этапов жизненного цикла системы управления ИБ компании, внедренной в соответствии с требованиями международного стандарта ISO/IEC 27001:2005.
Результаты технологического аудита не только представляют ценность сами по себе, как объективная и независимая (в случае внешнего аудита) оценка защищенности информационной системы компании, но и необходимы для проведения анализа информационных рисков и, следовательно, эффективного управления ИБ компании.
В настоящее время процедура проведения технологического аудита ИБ практически не формализована. Стандартизованы общие принципы проведения аудита (изложенные, например, в ISO 19011 или NSA INFOSEC Assessment Methodology), существуют также корпоративные стандарты и специализированные методики, применяемые в отдельных компаниях или для конкретных информационных систем (например, стандарты ЦБ РФ), но общих правил и применимых на практике универсальных методик не существует.
Наиболее распространенными подходами к технологического аудиту ИБ, согласно общепринятой терминологии, являются тест на проникновение (показательная демонстрация действий нарушителя) и собственно «традиционный» аудит ИБ (анализ параметров конфигурации информационной системы и применение сканера уязвимостей). Краткое описание достоинств и недостатков указанных подходов приведено в таблицах 1 и 2.
Таблица 1. Тест на проникновение
Достоинства |
Недостатки |
Имитация действий нарушителя аудитором максимально приближена к реальной среде функционирования информационной системы.
Демонстрация возможности проникновения в информационную систему является эффективным способом показать недостатки в обеспечении ИБ информационной системы компании |
Тест на проникновение по определению является показательной акцией, не направленной на выявление всех существующих уязвимостей информационной системы.
Процедура проведения теста на проникновение трудно формализуема.
Отсутствие успешного проникновения не является доказательством защищенности информационной системы
В подавляющем большинстве случаев тест на проникновение применяется для анализа защищенности внешнего периметра информационной системы (проверка возможности проникновения из сети Интернет) |
Таблица 2. «Традиционный» аудит ИБ
Достоинства |
Недостатки |
Детальный анализ архитектуры и параметров конфигурации информационной системы позволяет достаточно подробно изучить механизмы защиты и потенциальные уязвимости.
Процедура «традиционного» аудита ИБ может быть формализована и документирована для каждого компонента информационной системы |
Логика действий нарушителя направлена в том числе и на преодоление средств защиты и на поиск новых уязвимостей, следовательно, только анализ текущей конфигурации и использование сканера уязвимостей (без моделирования действий нарушителя в реальных условиях) не позволяет предсказать возможные сценарии реализации атак.
Успешное выполнение в ходе «традиционного» аудита ИБ всех запланированных проверок не является доказательством защищенности информационной системы |
Минимально необходимыми естественными требованиями к методике аудита ИБ можно считать:
- Объективность (достоверность) результата. Аудитору необходимо предоставить доказательства того, что именно эти уязвимости существуют в информационной системе и детально описать возможные последствия их реализации нарушителем.
- Полноту аудита. Аудитору необходимо предоставить доказательства того, что в ходе аудита не были проигнорированы какие-либо уязвимости информационной системы.
- Общепризнанность критериев оценки защищенности. Простые и понятные критерии оценки защищенности - одно из важных условий корректного восприятия результатов аудита.
Анализ и попытки использования на практике существующих подходов к проведению аудита ИБ показали, что они обладают серьезными недостатками, прежде всего - неполнотой и неадекватностью получаемых результатов.
Поиски наиболее оптимального подхода к оценке защищенности информационной системы привели нас к использованию и дальнейшему совершенствованию идеи активного аудита ИБ. Активный аудит является сочетанием теста на проникновение и аудита ИБ в традиционном понимании. Изложенные ниже принципы являются развитием идеи активного аудита и лежат в основе применяемой нами методики.
Первый принцип - наличие четкого описания модели нарушителя, в рамках которой действуют аудиторы. Рассматриваются отдельно внутренний нарушитель (например, сотрудник компании) и внешний нарушитель (например, хакер, действующий через Интернет). Уровень квалификации нарушителя считается достаточным для выполнения сложных задач по проникновению в информационную систему. Это автоматически означает, что квалификация самих аудиторов должна соответствовать данному уровню.
Второй принцип - уточнение области проведения аудита непосредственно в процессе работы на объекте. На практике заказчик часто предоставляет ограниченный набор сведений об информационной системе (что происходит, когда информационная система развивалась непланомерно и, как следствие, плохо документировалась), а аудиторы проводят инвентаризацию ресурсов информационной системы. Это позволяет выявить «потерянные» ресурсы (и в большинстве случаев плохо защищенные), что особенно актуально для крупных корпоративных информационных систем.
Третий принцип - аудитор изначально имеет только физический доступ к обследуемой информационной системе, логические права доступа (аутентификационные данные) ему не предоставляются (за редким исключением). Далее аудитор отрабатывает все возможные пути повышения привилегий от «нулевого» уровня, оценивая критичность и вероятность их реализации.
Четвертый принцип, который является принципиально важным отличием используемой нами методики от всех существующих подходов к аудиту ИБ, как раз и заключается в анализе путей повышения привилегий. С одной стороны, например, наличие уязвимости в программном обеспечении автоматически не приводит к нарушению безопасности, так как многие уязвимости могут быть успешно реализованы только при определенном сочетании факторов. С другой стороны, использование штатных возможностей (именно возможностей, а не ошибок программного обеспечения или конфигурации) информационной системы в определенной комбинации может привести к нарушению ИБ. Выявление таких ситуаций невозможно без применения творческого, неформального подхода к анализу защищенности, хотя сами пути повышения привилегий, безусловно, легко формализовать и зафиксировать документально.
Пятый принцип - анализ влияния выявленных в ходе активного аудита уязвимостей на защищенность всей информационной системы в целом. Критика существующих подходов аудита ИБ, в частности, заключается в том, что выявленные в ходе аудита уязвимости «всего лишь» отражают состояние информационной системы на момент аудита. Предлагаемый подход, который ставит своей целью сделать аудит более эффективным и актуальным, заключается в следующем: не столь важно, какая именно уязвимость была обнаружена, важно то, как наличие той или иной уязвимости влияет на защищенность всей информационной системы, насколько вся система устойчива к уязвимостям. Другими словами, в ходе аудита проводится анализ архитектуры безопасности информационной системы.
Шестой принцип - поиск новых уязвимостей (не зафиксированных в различных базах уязвимостей, таких как CVE, OSVDB и т.п.) непосредственно в ходе работы на объекте в режиме реального времени.
Седьмой принцип - строгая система классификации уязвимостей. Каждая выявленная в ходе аудита уязвимость оценивается (по шкале с простыми и понятными описаниями уровней) с точки зрения её критичности, простоты и вероятности её реализации. Эти данные в дальнейшем используются для проведения анализа информационных рисков.
Восьмой принцип - отказ от приоритетного использования сканеров уязвимостей. Подобный инструментарий используется только на этапе предварительного сбора информации для автоматизации рутинной работы. Существенным недостатком сканеров является большое количество ложных срабатываний и невозможность обнаружения уязвимостей, отсутствующих в базе сканера (например, недавно появившихся уязвимостей, большого числа локальных уязвимостей, нетривиальных ошибок конфигурации).
Девятый принцип - применение методов социальной инженерии для имитации действий нарушителя ИБ, направленных на пользователей информационной системы компании. Эти методы позволяют оценить уровень квалификации пользователей в области обеспечения ИБ и вероятность реализации атак, выполняемых нетехническими способами.
Применяемая в соответствии с этими принципами методика проведения активного аудита ИБ обладает следующими преимуществами, которые позволяют значительно повысить эффективность аудита и представить заказчику адекватные и достоверные результаты:
- Сочетание аудита в традиционном понимании с проведением теста на проникновение устраняет принципиальные недостатки, присущие обоим методам.
- Детальный анализ возможных сценариев проникновения в систему в рамках выбранной модели нарушителя позволяет выявить значительно большее количество нетривиальных уязвимостей, что невозможно при использовании сканера уязвимостей и обычном анализе конфигурации.
- Анализ архитектуры безопасности информационной системы позволяет предсказать возможные последствия от реализации неизвестных на момент проведения активного аудита уязвимостей и выработать рекомендации по их предотвращению.
Своеобразным недостатком применяемой нами методики является то, что успешное проведение активного аудита невозможно без привлечения высококвалифицированных аудиторов ИБ, обладающих творческим подходом к анализу защищенности информационных систем и опытом в области проведения тестов на проникновение.
Эффективность методики была неоднократно проверена на практике, а каждый новый проект ставит перед аудиторами новые задачи и дает импульс к дальнейшему развитию методики активного аудита.
ЛИТЕРАТУРА:
- NSA INFOSEC Assessment Methodology
- NIST Security Self-Assessment Guide for Information Technology Systems
- Медведовский И.Д. Практические аспекты проведения аудита информационной безопасности в соответствии с лучшей западной практикой. Журнал "Connect! Мир связи", №10/2006.
наверх
