CENTRUM OPROGRAMOWANIA

Transkrypt

1 CENTRUM OPROGRAMOWANIA Program realizacji kompleksowego audytu bezpieczeństwa systemu informatycznego Opracował: Konsultacje: Mariusz Stawowski dr Janusz Jarosz, Tomasz Ryś Cel audytu bezpieczeństwa Utrzymywanie wysokiego poziomu bezpieczeństwa strategicznych zasobów systemu informatycznego wymaga stałego monitorowania i okresowego badania stanu zabezpieczenia wszystkich elementów tego systemu. Nawet najbardziej zaawansowany system ochrony, który w trakcie eksploatacji nie jest poddawany odpowiedniej weryfikacji szybko traci swoje właściwości i sam może stać się źródłem zagrożenia. Użytkownicy przeświadczeni o istnieniu zabezpieczeń nie odczuwają niebezpieczeństw i mogą narazić swoją organizację na poważne straty. W związku z tym uzasadnione jest wyposażenie systemu informatycznego w środki szybkiego identyfikowania i sygnalizowania nieprawidłowego działania zabezpieczeń oraz wykonywanie okresowych audytów bezpieczeństwa. Kompleksowy audyt bezpieczeństwa systemu informatycznego powinien obejmować trzy kategorie badań: testy penetracyjne (identyfikacja słabych punktów systemu zabezpieczeń, symulacja włamań), testy kontrolne (sprawdzanie poprawności instalacji i konfiguracji systemu), analiza systemowa zabezpieczeń (teoretyczna ocena bezpieczeństwa systemu informatycznego). Zagadnienia monitorowania systemu ochrony oraz wykonywania praktycznych testów zabezpieczeń zostały opisane w [3]. Praktyczne testy zabezpieczeń, wspomagane za pomocą dedykowanego oprogramowania (m.in. profesjonalnych skanerów zabezpieczeń ISS Internet Scanner i WebTrends Security Analyzer), umożliwiają dokonanie wiarygodnej oceny poziomu bezpieczeństwa zasobów systemu informatycznego. Nie jest jednak możliwe ich wykonanie w zakresie całego systemu informatycznego. W dużych systemach z przyczyn technicznych, organizacyjnych oraz finansowych praktyczne testy zabezpieczeń mogą być wykonywane tylko dla wybranych elementów składowych. W takich przypadkach pozostają techniki teoretycznej oceny zabezpieczeń, określane jako analiza systemowa zabezpieczeń. CLICO Centrum Oprogramowania Sp. z o.o. (dalej określana CLICO) posiada opracowaną metodykę analizy systemowej zabezpieczeń opartą m.in. na formalnych metodach zaczerpniętych z teorii grafów i sieci [1]. Metodyka ta jest od 1998 roku z powodzeniem stosowna do realizacji kompleksowych audytów bezpieczeństwa systemów informatycznych dużych przedsiębiorstw (m.in. zakładu z branży energetycznej i dwóch dużych banków). Zakres audytu bezpieczeństwa Zasoby systemu informatycznego narażone są na wiele, różnego rodzaju niebezpieczeństw, najczęściej wynikających z globalnego charakteru oraz dużego skomplikowania heterogenicznego środowiska Intranet/Internet. Analiza bezpieczeństwa zostanie skoncentrowana na ocenie odporności zabezpieczeń najbardziej wartościowych zasobów na zagrożenia uznane za istotne w określonym środowisku.

2 Ogólnie, można wyróżnić 10 podstawowych kategorii zagrożeń systemów komputerowych: 1. Ataki sieciowe (np. włamania i penetracje, ataki DoS), 2. Zagrożenia transmisji danych (np. podsłuch sieciowy, przechwytywanie sesji), 3. Zagrożenia aplikacyjne (np. wirusy, robaki, konie trojańskie), 4. Zagrożenia komunikacyjne (np. przeciążenia sieci, niewłaściwy ruting sieci), 5. Awarie techniczne (np. awaria sprzętu, błąd oprogramowania), 6. Błędy ludzi (np. błędy użytkowników, administratorów), 7. Zagrożenie fizyczne (np. kradzież, pożar, zalanie), 8. Zagrożenia kryptograficzne (np. nieaktualne, bądź zagubione klucze szyfrowania), 9. Przeciek informacji (np. informacje o klauzuli tajności TAJNE są dostępne dla systemu komputerowego o klauzuli JAWNE). 10. Ulot elektromagnetyczny. Zagrożenia z kategorii 1-7 są w praktyce obecne w każdym dużym systemie informatycznym. Zagrożenia kryptograficzne podlegają analizie w systemach, w których do ochrony strategicznych informacji stosuje się środki kryptograficzne (np. banki). Zagrożenia 9 i 10 są rozpatrywane w systemach informatycznych, gdzie obowiązuje ustawa o ochronie informacji niejawnych (np. systemy rządowe i wojskowe). System informatyczny zawiera wiele różnego rodzaju zabezpieczeń technicznych. Ich opis można znaleźć m.in. w [4]. Audyt bezpieczeństwa powinien obejmować swoim zasięgiem wszystkie te zabezpieczenia. Techniczne środki ochrony systemu informatycznego można podzielić na następujące kategorie: zabezpieczenia aplikacji (np. kontrola dostępu do operacji, szyfrowanie danych aplikacji), zabezpieczenia bazy danych (np. kontrola dostępu do tabel relacyjnej bazy danych), zabezpieczenia systemu operacyjnego (np. kontrola dostępu do plików, logi systemowe), zabezpieczenia sieciowe (np. Firewall, VPN, IDS), zabezpieczenia wspomagające (np. serwery kontroli zawartości, serwery uwierzytelniania, PKI). Audyt bezpieczeństwa jest realizowany z wykorzystaniem rożnych metod. Dla przykładu, analiza odporności zabezpieczeń na ataki sieciowe odbywa się w sposób formalny poprzez ocenę zgodności ze specyfikacją wymagań bezpieczeństwa, zgodności z zasadą asekuracji zabezpieczeń oraz odporności na ataki przeprowadzane metodą Island Hopping Attack. Z punktu widzenia efektywności i dokładności (np. pomyłki w obliczeniach) prowadzenia badań najbardziej wartościowe są metody formalne. Metody te można bowiem w prosty sposób implementować w programach komputerowych. Analiza i testy zabezpieczeń Analiza i badania praktyczne są wykonywane w celu oceny poziomu bezpieczeństwa systemu w zdefiniowanej przez Zleceniodawcę części pod kątem szczelności i odporności na nieautoryzowane, zewnętrzne i wewnętrzne ingerencje. W ramach testów penetracyjnych wykonane są następujące prace: 1. Identyfikacja systemu za pomocą dostępnych serwisów sieciowych (np. WWW, FTP, Telnet, Finger, Rusers, Rpcinfo, Showmount, itp.). Identyfikacji są poddawane wszystkie adresy IP podane przez Zleceniodawcę. 2

3 2. Rozpoznanie dostępnych komputerów i urządzeń sieciowych, rodzaju i wersji ich systemów operacyjnych oraz oprogramowania użytkowego pod kątem wykrywania znanych luk bezpieczeństwa. Zasadnicze testy rozpoznawcze są wykonywane za pomocą programu NetCat oraz innych dedykowanych narzędzi np. programu HttpVer do identyfikacji serwerów WWW, programu Queso do identyfikacji systemów operacyjnych, itp. Do rozpoznawania struktury sieci wykorzystane są m.in. metody Firewalking, DNS Zone Transfer oraz standardowe usługi Ping i Traceroute. Informacje na temat aktualnych luk bezpieczeństwa określonych rodzajów i wersji systemów operacyjnych oraz oprogramowania użytkowego są uzyskiwane z zasobów internetowych (np. CERT, Astalavista, SecurityFocus, Technotronic, RootShell, BugTraq, itp.) oraz własnych doświadczeń członków grupy testującej. 3. Wstępna penetracja systemu za pomocą skanerów portów TCP i UDP oraz skanerów zabezpieczeń powszechnie wykorzystywanych przez hakerów, dostępnych w zasobach sieci Internet (np. SATAN, NMAP, Phobia, Mscan, NAT, Asmodeus). W zakresie skanowania portów TCP przewiduje się wykonanie trzech podstawowych technik: skanowanie połączeniowe connect scanning, skanowanie pół-otwarte half-open scanning, skanowanie skryte stealth scanning. Rodzaje użytych skanerów zabezpieczeń będą zależeć od rodzajów rozpoznanych systemów (np. do badania Windows NT programy NetBIOS Auditing Tool, Legion, czy L0phtCrack, a do badania serwera Solaris programy Nessus, Phobia, Mscan, itd.). 4. Testy zabezpieczeń systemu za pomocą profesjonalnych skanerów zabezpieczeń ISS Internet Security Scanner i WebTrends Security Analyzer. Skaner zabezpieczeń zostanie zastosowany do badania wszystkich dostępnych z sieci publicznej urządzeń sieciowych (np. serwerów, firewall, ruterów) o podanych przez Zleceniodawcę adresach IP. 5. Analiza otrzymanych wyników badań pod kątem przygotowania symulacji włamań. 6. Symulacja włamań do systemu (realizowana w czasie i zakresie zaakceptowanym przez Zleceniodawcę). Zakres działań zrealizowanych w trakcie symulacji włamań będzie zależny od wyników identyfikacji i wstępnej penetracji systemu (liczba potencjalnych metod włamań do systemów komputerowych jest tak bardzo duża). Symulacja włamań może obejmować wszystkie dostępne z sieci wewnętrznej i Internetu urządzenia sieciowe (np. serwery, firewall, rutery) o podanych przez Zleceniodawcę adresach IP. Celem wykonywania symulacji włamań jest ustalenie możliwości uzyskania nieupoważnionego dostępu do usług i danych sieci prywatnej. W razie wystąpienia możliwości przeprowadzenia symulacji włamań do komputerów i urządzeń sieciowych, których adresy IP nie zostały podane przez Zleceniodawcę (np. komputerów posiadających prywatne adresy IP) badania są wykonywane po uzyskaniu akceptacji od Zleceniodawcy. Potencjalnie istnieje taka możliwość np. po przejęciu kontroli nad urządzaniem wykonującym translację adresów NAT (zwykle jest to ruter lub firewall). 7. Ocena odporności zabezpieczeń systemu na ataki destrukcyjne za pomocą narzędzi powszechnie wykorzystywanych przez hakerów. 3

4 Wykonane są powszechnie znane ataki denial of service oraz techniki specyficzne dla określonych systemów. Odpowiednie programy typu exploit są pozyskiwane z Internetu (np. Latierra, Bonk, Teardrop, Sunkill, SynDrop, Nestea, Smurf, itp.) lub w razie potrzeby implementowane przez członków grupy testującej. 8. Analiza wyników testu penetracyjnego pod kątem oceny zagrożenia integralności systemu oraz możliwości dostępu do danych firmy przez osoby nieupoważnione. 9. Sporządzenie raportu końcowego. W przypadku pozytywnego rezultatu symulacji włamań raport zawiera propozycje odpowiedniego wzmocnienia zabezpieczeń oraz wykonania innych stosownych działań prewencyjnych. Podstawowe badania wykonywane w ramach testów kontrolnych odbywają się bezpośrednio na testowanych urządzeniach. Kontrola konfiguracji usług sieciowych może odbywać się także zdalnie, w sposób podobny do testu penetracyjnego. W ramach testu kontrolnego systemu komputerowego mogą zostać zrealizowane następujące przedsięwzięcia: kontrola wersji systemu operacyjnego i oprogramowania użytkowego, weryfikacja poprawności konfiguracji systemu, wykrywanie śladów włamań i nadużyć użytkowników, weryfikacja poziomu bezpieczeństwa systemu kontroli dostępu. Analiza systemowa zabezpieczeń wykonywana jest z wykorzystaniem specjalnie przygotowanych do tego celu modeli matematycznych (m.in. modelu strefowego systemu informatycznego). Modele opisują własności jakościowe i ilościowe rzeczywistych systemów, z uwzględnieniem istniejących w tych systemach zabezpieczeń. Każdy z modeli składa się ze zbioru wyróżnionych, interesujących dla badanego aspektu bezpieczeństwa elementów wraz z opisem ich organizacji w postaci zbioru relacji i funkcji. Metody analizy formalnej są bardzo przydatne w zastosowaniach praktycznych, ponieważ ich precyzyjny, matematyczny charakter umożliwia prostą implementację w programach komputerowych. Analiza bezpieczeństwa dużego systemu informatycznego bez wspomagania komputerowego jest żmudna i czasochłonna. Dodatkowo, wspomaganie komputerowe znacząco obniża prawdopodobieństwo popełnienia błędów. Polityka bezpieczeństwa Zapewnienie wysokiego poziomu bezpieczeństwa systemu informatycznego, szczególnie w odniesieniu do planowanych przedsięwzięć informatycznych wymaga utrzymywania spójnego i kompleksowego Dokumentu polityki bezpieczeństwa systemu informatycznego, określającego przedsięwzięcia wykonywane przez kierownictwo, użytkowników, personel techniczny oraz wszystkich innych pracowników instytucji związane z utrzymywaniem odpowiedniego poziomu ochrony zasobów systemu informatycznego. Tworzenie takiego dokumentu (zbioru dokumentów) w skali całego systemu informatycznego, jego odpowiednie utrzymywanie (aktualizacja, rozwój) oraz praktyczne stosowanie w trakcie eksploatacji systemu wymaga zastosowania sprawdzonej metodyki, umożliwiającej skuteczne i efektywne wykonanie analizy ryzyka (Risk Analysis) oraz późniejsze zarządzanie ryzyka (Risk Management). W tym celu można dokonać zakupu jednego z dostępnych komercyjnie systemów wspomagających analizę i zarządzanie ryzyka (np. CRAMM, L3 Network Security Expert), bądź zastosować metodykę wypracowaną przez firmę zatrudnioną do sporządzenia dokumentów bezpieczeństwa. 4

5 Metodyka CLICO opiera się na systemie kwestionariuszy i zawiera trzy etapy prac. ETAP 1 Ustalenie i oszacowanie wartości zasobów systemu informatycznego Ustalenie zakresu i harmonogramu prac. Sporządzenie mapy zasobów systemu informatycznego: ustalenie grup (kategorii) użytkowników systemu informatycznego (np. Zarząd, Produkcja, Księgowość, Informatyka) oraz ocena ich ważności dla działalności biznesowej instytucji, ustalenie zadań systemu informatycznego (np. rozliczanie produkcji, wspomaganie decyzji, kontrola jakości) oraz określenie ich ważności dla działalności biznesowej instytucji, ustalenie zasobów systemu informatycznego (fizycznych, informacyjnych) i ich powiązanie w relacje z grupami użytkowników i zadaniami systemu informatycznego. Oszacowanie wartości zasobów systemu informatycznego: zasoby informacyjne ocenia się w odniesieniu do skutków (kosztów) ich ujawnienia, niepożądanej modyfikacji, niedostępności, bądź zniszczenia, zasoby fizyczne ocenia się w odniesieniu do kosztów ich naprawy lub wymiany. ETAP 2 Ustalenie zagrożeń, podatności zasobów systemu informatycznego na zagrożenia oraz oszacowanie wielkości ryzyka Zidentyfikowanie zagrożeń zasobów systemu informatycznego oraz ocena ich wielkości. Ocena podatności zasobów systemu informatycznego na zagrożenia: rozpoznanie istniejących zabezpieczeń zasobów oraz ich analiza pod względem szczelności i efektywności (np. kontrola konfiguracji, wersji, poprawek, logów) wspomagana za pomocą profesjonalnych skanerów zabezpieczeń (np. ISS Security Scanner), praktyczne testy zabezpieczeń (np. testy penetracyjne, kontrolowana symulacja włamań) wspomagane za pomocą profesjonalnych skanerów zabezpieczeń (np. ISS Internet Scanner), Oszacowanie wielkości ryzyka jako funkcji wielkości zagrożenia, podatności zasobu na zagrożenie i wartości zasobu. ETAP 3 Ustalenie metod eliminacji, bądź redukcji ryzyka oraz ocena ryzyka szczątkowego (residual risk) Ustalenie możliwych do zastosowania zabezpieczeń (różne warianty z zakresu ochrony technicznej i fizycznej, a także personalnej, organizacyjnej i prawnej) oraz ich analiza jakościowa i kosztowa: ocena poziomu bezpieczeństwa oferowana przez poszczególne zabezpieczenia (w kategoriach szczelności i efektywności), oszacowanie kosztów wdrożenia zabezpieczeń (koszty zakupu technologii, koszty realizacji projektu, koszty szkoleń, nakłady pracy na wdrożenie i eksploatację zabezpieczeń). Wybór zabezpieczeń rekomendowanych do wdrożenia oraz ocena ryzyka szczątkowego. Ustalenie wytycznych do zarządzania ryzyka (przedsięwzięć planowania, organizowania i kontrolowania zabezpieczeń systemu informatycznego w celu upewnienia się, że ryzyko szczątkowe pozostaje w granicach ryzyka akceptowalnego). 5

6 Wyniki audytu bezpieczeństwa Zasadniczym rezultatem audytu bezpieczeństwa jest raport opisujący rzeczywisty stan zabezpieczenia zasobów systemu informatycznego. Oprócz tego audyt dostarcza wielu innych korzyści, m.in.: kadra informatyczna przedsiębiorstwa zaangażowana w realizację przedsięwzięć bezpieczeństwa zostaje odpowiednio do tego celu przeszkolona i zdobywa duże doświadczenie, dla wszystkich wyznaczonych słabych punktów zabezpieczeń systemu informatycznego przedstawione zostają procedury ich eliminacji, bądź redukcji, podstawowe dokumenty polityki bezpieczeństwa zostają uaktualnione lub w razie ich braku stworzone od początku, dokumentacja z realizacji audytu bezpieczeństwa zawiera szczegółowy opis wszystkich wykonanych testów (m.in. zastosowane narzędzia, sposób uruchamiania testów) i dzięki temu w przyszłości może posłużyć do powtórzenia lub zweryfikowania badań. CLICO jako wykonawca audytu bezpieczeństwa zobowiązuje się do zachowania w tajemnicy wszystkich danych dostarczonych przez Zleceniodawcę i uzyskanych w trakcie wykonywania audytu, mających wpływ na stan bezpieczeństwa systemu informatycznego w czasie trwania realizacji usługi oraz po jej zakończeniu. Literatura [1] Bohdan Korzan: Elementy teorii grafów i sieci. WNT [2] Krzysztof Liderman: Bezpieczeństwo informacji w systemach komputerowych, WAT [3] Mariusz Stawowski: Badanie zabezpieczeń sieci komputerowych. ArsKom [4] Mariusz Stawowski: Ochrona informacji w sieciach komputerowych. ArsKom