Внутренний vs внешний: аудит безопасности
Технически внутренний аудит ИТ-безопасности компании или организации отличается тем, что аудиторы изначально имеют доступ к сетевым ресурсам изнутри, т. е. с «чистой стороны» межсетевого экрана.
Чаще всего это означает авторизованное подключение лэптопов и других мобильных хостов аудиторов к портам корпоративных коммутаторов. Как вариант возможна выдача непривилегированных аккаунтов на пользовательских системах или серверах компании с целью выяснения вероятности получения административного доступа к этим системам и дальнейшего проникновения в тестируемые сети и их узлы, используя открывшиеся возможности.
Изредка удаленные аудиторы получают авторизованный доступ к внутренним ИТ-ресурсам посредством VPN или же через беспроводную сеть. Возможны сочетания различных видов аудита: внутреннего и внешнего (дальнейшее тестирование безопасности локальной сети, используя прорехи, найденные в процессе удаленной проверки защищенности ее периметра), внутреннего и беспроводного (фактически атака проводной сети с беспроводной, к которой был ранее получен доступ), внутреннего и физического ( когда доступ к внутренним сетевым ресурсам не авторизован и осуществляется посредством социальной инженерии) .
При подготовке к проверке компании на соответствие требуемым стандартам, например ISO 27001:2005 или PCI DSS, внутренний аудит безопасности в первую очередь служит для выявления прорех и корректировки реальных сетей и систем, которые не отвечают положениям корпоративной политики безопасности, основанным на ней целеуказаниям, руководствам и схемам по защите информации. Во всех перечисленных комбинациях внутренний аудит безопасности можно рассматривать как вторую фазу общей проверки информационной безопасности организации или компании.
Кому нужен аудит
Если подходить к этому вопросу формально, то в первую очередь проверка безопасности изнутри нужна компаниям, многим сотрудникам которых по определению нельзя доверять. Речь здесь о компаниях с высокой ротацией персонала, полагающихся на временных работников, а также контрактников, приглашаемых под отдельно взятые проекты. Однако если задуматься, какая крупная компания может доверять всем своим сотрудникам до единого и строго контролировать их действия внутри локальной сети?
Ничто не вечно под Луной, и даже наиболее проверенный и уважаемый работник может встать на тропу войны против своих работодателей и коллег под влиянием самых разных обстоятельств: от личных конфликтов и обид до компромата и шантажа со стороны третьих лиц. А если посмотреть на проблему еще шире, то, как только внешний атакующий получил возможность выполнять команды на любом из внутренних хостов или посылать пакеты внутри локальной сети, он по определению становится внутренним. В теории проведенный по всем удаленный аудит безопасности с последующим устранением найденных проблем должен пресекать такие инциденты на корню.
Но на практике далеко не все так гладко. В придачу никто не отменял zero day-эксплойты, множащиеся с каждым днем атаки на клиентские приложения (в особенности веб-браузеры), социальную инженерию, беспроводной взлом (все ли клиентские 802.11 устройства вашей компании учтены и защищены), старый добрый wardialing (dial-in-соединения к маршрутизаторам до сих пор часто используются для их внеканальной резервной администрации) и лобовое физическое проникновение с подключением к локальной сети. Удаленный аудит безопасности периметра сети значительно снижает вероятность успеха атак «в лоб», но «умный в гору не пойдет, умный гору обойдет». Таким образом, искренний ответ на поставленный в заголовке вопрос — всем, кто обладает развитой сетевой инфраструктурой и относится к информационной безопасности серьезно. Надежная оборона обязана быть эшелонированной.
Сложившаяся на настоящий момент ситуация парадоксальна. Согласно статистике FBI, CERT и множества других служб и организаций, порядка 70% успешных взломов происходит изнутри. Да и большинство расследований компьютерных преступлений, в которых довелось принимать участие автору данной статьи, относилось как раз к внутренним атакам на почве конфликтов при увольнении сотрудников, борьбы за должности при слиянии корпораций и т. п. Такие атакующие уже обладают как минимум правами обычного пользователя (в одном из упомянутых выше расследований нам удалось выяснить и доказать, что взломщик — бывший ИТ-директор одной из двух сливающихся компаний), они более мотивированы, упорны и знают, что именно им нужно достичь. В то же время львиная доля заказываемых аудитов ИТ-безопасности — удаленные, внешние и абсолютно бесполезные в описываемых ситуациях. «Защищайся там, где не нападают», — писал Сун Цзы и, словно следуя этому девизу, владельцы корпоративных сетей концентрируют меры противодействия на их периметре, который в гораздо меньшей мере подвержен успешным, высокоэффективным атакам, чем «мягкое подбрюшье» таких сетей (постоянные попытки просканировать порты, новички и черви, ищущие старые незалатаные системы не в счет). Однако крылатая фраза древнекитайского стратега имеет и вторую половину: «Нападай там, где не защищаются». И пока перевес явно на стороне нападающих.
Ключевые различия
Мало того что частота проводимых внутренних аудитов информационной безопасности значительно уступает числу внешних, даже если речь идет о многонациональных корпорациях, так в подавляющем большинстве случаев эти аудиты осуществляются с использованием подходов, методологии и отчетных форматов, полностью идентичных таковым при удаленном тестировании. При этом не учитываются ни специфика, связанная с нахождением аудитора внутри локальной сети клиентской компании или организации, ни значительные преимущества, которые подобная позиция предоставляет атакующему. Ведь отсутствие межсетевого экрана на пути к заветным целям, наличие программных уязвимостей, которые можно использовать только локально, и частое присутствие внутри сетевого периметра «полузабытых» хостов со старыми уязвимыми версиями установленных операционных систем, сервисов и приложений — это далеко не все. Постараемся же разобраться, в чем заключаются остальные, не менее важные отличия между внутренней и внешней проверкой безопасности ИТ-инфраструктуры.
Во-первых, при проведении внутреннего тестирования безопасности сети аудитор имеет (или может легко получить) полный доступ к используемым в этой сети протоколам. Пассивная энумерация и фингерпринтинг операционных систем и сервисов хостов, уменьшающие интенсивность «шумного» активного сканирования? Нет проблем! Особенно когда в сети присутствуют такие протоколы, как CDP и SNMP. Нужно построить схему топологии сети? Нет нужды “пинговать” все возможные IP адреса ARP и ICMP пакетами — тихо слушаем и анализируем протоколы маршрутизации и резервные протоколы маршрутизации (VRRP и HSRP сразу покажут локальные шлюзы). Удаленный доступ без особого труда?
Смотрим на незащищенные протоколы управления, такие как telnet и вышеупомянутый SNMP (до 3-й версии при условии включения функций аутентификации и шифрования), ищем TFTP-пакеты с названиями конфигурационных файлов, использующих этот протокол сетевых устройств. Примитивно, но атакующие, особенно изнутри компании, не будут церемониться и искать тяжелые пути. Чуть более сложен стандартный взлом плохо защищенных протоколов, к примеру SSHv1 (примите на заметку, что модификация SSHv1, используемая устройствами Cisco, с помощью sshmitm из Dsniff не ломается) и SSL/TLS-защищенных соединений, использующих CBC режим (проект Omen). Можно еще вспомнить протоколы аутентификации, до сих пор использующие MS-CHAPv1, а также старые добрые хэши LM и NTLM. К сожалению, вероятность столкнуться с подобными динозаврами на внутренних сетях по-прежнему велика, чтобы не сбрасывать их со счетов.
Отдельно стоит выделить тестирование на уязвимость к атакам, связанным с перенаправлением сетевого трафика и его дальнейшей модификацией (например, с помощью pdump и netsed, вставка записанных wav'ов в VOIP-потоки посредством vomit и т. п.). Тема атак «человек в середине» посредством подделки ARP-сообщений уже настолько заезжена, что, казалось, можно было бы ее и не упоминать. Тем не менее, а вы установили на ваших сетях Arpwatch или иные средства защиты (например, использование «липкого ARP» или динамической ARP-инспекции на коммутаторах) от этой извечной проблемы?
И даже если ответ на этот вопрос позитивен, не обольщайтесь. Есть множество других способов перенаправить трафик локальной сети, не имеющих никакого отношения к ARP. Атакующий может легко установить фальшивый DHCP-сервер и подделывать DHCP-сообщения. Он может попытаться отравить кэш вашего DNS-сервера (более распространенные атаки подделки идентификационных номеров DNS требуют успешной предварительной атаки «человек в середине» на более низких сетевых уровнях). Но гораздо реже при проведении внутренних аудитов сетевой безопасности проверяют защищенность протоколов второго и третьего сетевого уровней, включая разнообразные протоколы маршрутизации (RIP, IGRP, EIGRP, OSPF, IS-IS, iBGPv4), уже упомянутые VRRP и HSRP и протокол связующего древа (STP). Посредством злонамеренной инъекции пакетов/фреймов перечисленных протоколов атакующий может перенаправить трафик целого сегмента или даже автономной системы в нужном для него направлении (обычно через принадлежащий ему хост).
Данная тема слишком широка для более подробного раскрытия в этой обзорной статье, поэтому просто отметим, что при проведении внутренних аудитов, по опыту, крайне редко встречаются сети, в которых все вышеперечисленные протоколы были бы защищены как следует. К примеру, даже если MD5-аутентификация протоколов маршрутизации была включена, пароли ломались по словарю либо была возможность использовать недостатки самого механизма аутентификации (атаки проигрывания RIP и ЕIGRP пакетов).
В заключение, говоря о тестировании безопасности низкоуровневых протоколов, невозможно не упомянуть «прыжки через виртуальные локальные сети (VLANs)». Многие до сих пор считают разделение на виртуальные локальные сети одним из элементов безопасности сетевой инфраструктуры. Не мудрствуя лукаво, скажем, что если атакующий может получить доступ к магистральному порту коммутатора, например, заставив порт, к которому подсоединен его хост, стать магистральным (через инъекцию DTP пакетов на «цисках» и т. д.), то для него разделение на VLAN’ы более не проблема. Кроме того, для удобства администрации сетей с большим количеством VLAN’ов многие пользуются «автоматическими» протоколами управления виртуальными локальными сетями, такими как VTP. В случае недостаточной защищенности VTP, локальный атакующий может получить полный контроль над VLAN’ами злосчастной сети, что не только устраняет их как барьер, но и открывает массу интересных возможностей. К примеру, можно отрезать от сети централизованный сервер журналирования или рабочую станцию системного администратора, посадив их на отдельный VLAN для времяпрепровождения в гордом одиночестве.
Помимо необходимости глубокой проверки защищенности сетевых протоколов, есть и другие специфические элементы проведения внутренних аудитов ИТ-безопасности. Скажем, вы как аудитор предположили, что, находясь в локальной сети, вам более не стоит думать о брандмауэрах и прочих шлюзовых устройствах на ее периметре. Стоп. А как насчет тестирования фильтрации выходящего трафика? Если эгресс-фильтрование отсутствует напрочь, это означает, что компания или организация крайне безалаберно относятся к информационной безопасности, и в отчете после аудита можно смело подчеркивать это как серьезную проблему. Если же выходящий трафик фильтруется, нужно как следует проверить тщательность этой фильтрации, включая отсеивание вредоносных программ, генерируемого червями и DDoS-утилитами трафика, СПАМа и другого нежелательного контента (возможное содержание которого мы оставляем на волю вашего воображения). Выход подобных данных наружу может нанести серьезный ущерб имиджу компании и привести к неприятным юридическим последствиям.
Перед тестированием правил и методов эгресс-фильтрования проверьте политику/устав безопасности организации на предмет данных, запрещенных к выходу наружу, так как вариации подобных ограничений от компании к компании могут сильно отличаться. По большому счету полноценный внутренний аудит информационной безопасности должен быть сопряжен с проверкой политики и руководств по безопасности и процессов управления ее обеспечением, равно как и хотя бы самым базовым физическим аудитом. В конце концов, искомый пароль может быть написан на клочке бумаги под клавиатурой тестируемой системы, в придачу незащищенной скринсэйвером и BIOS-паролем. Или же имеется возможность незаметно проскользнуть в серверную с консольным кабелем наперевес... И если все эти вещи, равно как и необходимость и параметры фильтрования выходящего трафика или положения по мерам защиты низкоуровневых протоколов, не прописаны в политике безопасности и другой, опирающейся на ней документации, есть хорошие шансы, что их просто проигнорируют. Посему отчет по внутреннему аудиту безопасности должен охватывать и административный аспект: внести, добавить, дополнить эти положения в вышеперечисленные документы на основании результатов проведенного тестирования.
В целом формат отчета по внутреннему аудиту никак не может быть идентичным отчету по аудиту удаленному. Полноценный отчет о проведенном аудите безопасности должен обязательно включать в себя такие элементы, как оценка риска и уровень умений атакующего для каждой найденной уязвимости. Это позволяет расставить приоритеты в закрытии обнаруженных прорех: дыры, не несущие особого риска и требующие при этом высокого уровня знаний для их эксплуатации, должны быть устранены в последнюю очередь, а при недостатке времени и ресурсов могут быть и проигнорированы. Понятно, что и сами категории риска и «продвинутости» атакующего, и описывающие их шкалы (обычно приводятся в начальных общих разделах отчета) разительно различаются для внутренних и внешних аудитов. Хотя бы из-за тех же атак на протоколы: в плане оценки риска невозможно сопоставлять SQL-инъекцию или кросс-сайт-скриптинг на удаленном сервере с перенаправлением и модификацией трафика в локальной сети или преодолением VLAN’ов. Да и исходный набор знаний атакующего здесь полностью различен — программирование/администрация веб-приложений и баз данных с одной стороны и сетевая инженерия с другой. Об оценке риска физических и процессуальных уязвимостей, часто обнаруживаемых при внутренних аудитах, можно и не говорить.
По большому счету и сами термины «удаленный»/«локальный» в описании прорех приобретают иное значение. Для внутреннего аудита «удаленная уязвимость» — это проблема безопасности другого хоста в локальной сети, для использования которой атакующему необходимо находиться в том же ее сегменте. «Локальная» уязвимость четко соотносится с дырой на самой тестируемой системе. А для категоризации уязвимостей протоколов или же некорректной фильтрации исходящего трафика придется вводить новый термин, скажем, «сетевая уязвимость» с дальнейшей ее субкатегоризацией. Начальный раздел отчета, посвященный фингерпринтингу и энумерации сети перед собственно тестированием на прорехи также будет иным, включая описание пассивных методов, полную карту топологии сети, описание типов и потоков данных в ней. Кроме вышеперечисленных можно найти десятки отличий, обусловливающих разницу в форматах отчета по внешним и внутренним аудитам.
Подведем итоги
Внешний, удаленный аудит ИТ-безопасности и аудит внутренний — это, как говорят в Одессе, две большие разницы. Алгоритмы их проведения различны. Так, внутренний аудит должен начинаться с перехвата трафика и его анализа, пассивной энумерации и определения топологии сети. И только затем следует традиционное сканирование портов отдельно взятых систем, приоритеты тестирования которых выбраны на основе первой, пассивной фазы аудита. Наборы навыков аудиторов также неодинаковы — в связи с доступом к локальным сетевым протоколам знания и умения оценивать и проверять их безопасность становятся критическими и добавляются к типичному набору квалификаций, необходимых для удаленного тестирования. Безусловно, все вышеперечисленное вкупе с добавляющимися административными и физическими элементами аудита отражается на форме его отчетности, методологии и подходах к оценке характера уязвимостей, риска и уровня умений потенциальных атакующих.
Несмотря на понимание многими опасности атак изнутри и необходимости построения эшелонированной, многоярусной обороны, корректное и регулярное проведение внутренних аудитов безопасности по-прежнему является скорее исключением, чем правилом. И если данная статья заставит хотя бы задуматься над необходимостью уделять должное внимание внутренней оценке ИТ-безопасности и тому, как ее следует проводить, то ее задачу можно считать выполненной.
|
Обсуждение статьи
|
|
|
|
RE: Внутренний vs внешний: аудит безопасности
еп |
|
RE: Внутренний vs внешний: аудит безопасности
What I Like About You Best wishes to your black lung replica watches For Women Imitations Sell at fake chopard watch you will be a classy, |
|
RE: Внутренний vs внешний: аудит безопасности
The printing machinery network (www.yja.com.cn), founded in 2001, is now the largest domestic printing machinery industry vertical B2B e-commerce websites. Value-added telecommunication business license Numbers for: hubei B2-20050125. For printing and china printing machine related enterprise products trade and information exchange interaction bridge erection. It has comprehensive application foreground and spread value for label printing machine,flexo printing machine.And it is the biggest online printing machinery display platform. The printing machinery network make full use of the advantages of the Internet, distinctive "Network + publications" , facing the whole country and the world, to provide professional enterprise online, offline various forms of professional trade service. |
|
|
Keywords: zPOSTz zMAIN_THEMEz z10151z
Для Авторов: edit  delete
Автор: none
Дата: 29.10.2009 16:11:35©
|
Архив номеров
