Rodzaje audytu informatycznego Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl
W praktyce (laboratoryjnej) Rozróżniamy 3 podstawowe rodzaje audytu informatycznego: audyt legalności oprogramowania; audyt sprzętu; audyt bezpieczeństwa. 2
Audyt legalności oprogramowania Audyt legalności oprogramowania służy zestawieniu liczby i typów posiadanych licencji na oprogramowanie ze stanem faktycznym, czyli z oprogramowaniem zainstalowanym na wszystkich komputerach należących do przedsiębiorstwa. Uzyskuje się dzięki temu informacje o tym, jakich licencji posiada się zbyt wiele lub zbyt mało. Można również określić jakie oprogramowanie jest używane nielegalnie. Aby zapobiegać wszelkim przypadkom nielegalnego użytkowania oprogramowania należy opracować i wprowadzić w życie system ewidencjonowania oprogramowania, które jest zainstalowane na komputerach firmy. W szczególności zarząd oraz dział IT powinny na bieżąco weryfikować stan faktyczny z polityką oprogramowania, gdyż im większa wiedza na temat oprogramowania używanego w firmie, tym mniejsze ryzyko konsekwencji prawnych w wyniku znalezienia nielegalnego oprogramowania podczas kontroli. 3
Oprogramowanie uplook program umożliwiający sprawdzenie zgodności oprogramowania z licencjami, zarządzanie licencjami oprogramowania w przedsiębiorstwie. Dzięki jego wykorzystaniu audyt oprogramowania na poszczególnych komputerach przestaje być procesem żmudnym i czasochłonnym. http://www.uplook.net/ 4
Oprogramowanie System e-audytor polskojęzyczne narzędzie SAM (Software Asset Management). Zakłada praktykę biznesową obejmującą zarządzanie i optymalizację nabycia, instalacji, stosowania, oraz usuwania oprogramowania w organizacji. 5
Oprogramowanie AuditPro jest profesjonalnym narzędziem do audytu oprogramowania oraz sprzętu. Zapewnia nie tylko możliwość audytu komputera pod względem legalności ale również audytu całej sieci. Dodatkowo zawiera moduły zarządzania zasobami, możliwość drukowania kodów kreskowych. Komfort administrowania poprawia możliwość integracji z aplikacją TWAIN, Denso, ORDraw nowe raporty czy nowe funkcje w module Zasoby i Monitoringu. Bardzo rozbudowany funkcjonalnie i jeden z najbardziej popularnych systemów do audytu oprogramowania w naszym kraju. 6
Oprogramowanie GASP narzędzie to jest wykorzystywane przez takie organizacje antypirackie jak: BSA, SIIA oraz CAAST. Służy on do przeprowadzania audytów oprogramowania i sprzętu w firmach obejmujących od kilkunastu do kilkuset tysięcy komputerów. http://www.gasp.com/public/common/index.aspx Zawiera obszerne bazy danych (SID), unikalny algorytm identyfikacji, szybko automatyzuje zbieranie, identyfikacja i przetwarzania PC oparte oprogramowania / sprzetu aktywów danych. Posiada bardzo szeroki wachlarz raportowania a także przystosowania na potrzeby danego klienta. Program najbardziej wspierany przez organizację BSA natomiast zaznaczyć należy, że wadą niewątpliwą na naszym rynku jest mała liczba rozpoznawanego automatycznie rodzimego oprogramowania. 7
Audyt Sprzetu Audyt sprzętu polega de facto na uruchomieniu na każdym komputerze programu, który dokładnie opisuje konfigurację sprzętową komputera. Wyniki takiego postępowania są zapisywane w centralnej bazie danych, na podstawie której opracowywane są raporty końcowe. Wyniki takiego audytu mogą być przydatne dla np. działu finansowego (weryfikacja danych inwentaryzacyjnych) lub działu administracyjnego do śledzenia zmian konfiguracyjnych poszczególnych stacji. 8
Audyt Bezpieczeństwa Audyt bezpieczeństwa, zwany również audytem zabezpieczeń lub audytem bezpieczeństwa informacji, jest de facto podstawą Polityki Bezpieczeństwa Informacji. Pozwala on na kontrolowanie i modyfikowanie mechanizmów ochrony informacji. Należy pamiętać, że bezpieczeństwo nie jest ciągłe, gdyż wraz z rozwojem techniki informatycznej pojawiają się coraz to nowe zagrożenia, zwłaszcza dla danych przetwarzanych lub przechowywanych w systemach informatycznych. Należy tutaj wspomnieć, że identyfikacja zagrożeń oraz analiza ryzyka dla systemów informatycznych są usankcjonowane prawnie, w postaci odpowiednich zapisów w Ustawie o ochronie danych osobowych oraz Ustawie o ochronie informacji niejawnych. 9
Audyt Bezpieczeństwa Już od połowy lat sześćdziesiątych ubiegłego stulecia próbowano ustandaryzować zagadnienia związane z ochroną i oceną bezpieczeństwa informacji w systemach informatycznych. Było to związane z pojawieniem się pierwszych systemów wielodostępowych (UNIX) oraz sieci komputerowych. Doprowadziło to w końcu do opracowania kilku standardów, do najważniejszych z nich należą: COBIT TSSEC BS 7799 10
COBIT Opracowany przez ISACA standard COBIT (ang. Control Objectives for Information and related Technology) jest zdecydowanie najbardziej preferowany przez instytucje bankowe i finansowe na całym świecie. Składa się on z następujących części: Executive Summary; Framework; Control Objectives; Audit Guidelines; Implementation Tool Set. Najważniejsza jest część Control Objectives, która zawiera trzysta dwa szczegółowe wymagania dotyczące trzydziestu czterech procesów przebiegających w systemach informatycznych. Dla każdego procesu w COBIT są zdefiniowane tzw. punkty kontrolne, dla których audytor musi dokonać oceny ich spełnienia lub niespełnienia w ramach ocenianej organizacji. 11
TSSEC TSSEC, opracowany przez Departament Bezpieczeństwa USA; Standard TSSEC (ang. Trusted Computer System Evaluation Criteria) został opublikowany w roku 1983. Wyróżnia on cztery poziomy kryteriów oceny, oznaczone literami alfabetu D, C, B, A. Przy czym poziom D jest najniższą oceną ochrony, poziom A natomiast najwyższą. Wskazuje on też konkretne środki ochrony, których użycie jest obligatoryjne dla osiągnięcia określonego poziomu oceny. Obecnie TSSEC jest wypierany przez znacznie młodsze ITSEC oraz CC (ang. Common Criteria). 12
BS 7799 BS 7799, opracowany przez Brytyjski Instytut Standaryzacyjny. Standard ten został po raz pierwszy opublikowany w latach dziewięćdziesiątych ubiegłego stulecia i nadal jest aktualizowany. Pierwsza część dokumentu, zatytułowana Code of practice for Information Security Management, zawiera (tak jak COBIT) spis najlepszych praktyk, które należy stosować podczas budowy i zarządzania systemami informatycznymi. Część druga standardu precyzuje 127 wymagań, jakie powinny spełniać bezpieczne systemy informatyczne. 13
BS 7799 Część druga standardu precyzuje 127 wymagań, jakie powinny spełniać bezpieczne systemy informatyczne. Są one zgrupowane w 10 tematów: Polityka bezpieczeństwa; Organizacja bezpieczeństwa; Kontrola i klasyfikacja zasobów; Bezpieczeństwo a personel; Bezpieczeństwo fizyczne; Zarządzanie komputerami i siecią komputerową; Kontrola dostępu do systemu; Projektowanie i utrzymywanie systemu; Planowanie ciągłości procesów biznesowych; Zgodność z obowiązującymi regulacjami prawnymi. 14
Audyt Bezpieczeństwa Obecnie, to jest od 1. grudnia 2000 roku wszystkie zalecenia zawarte w Code of practice for Information Security Management stanowią treść międzynarodowej normy ISO/EIC 17799:2000. We wrześniu roku 2003 Polski Komitet Normalizacyjny przyjął ją jako polska norma o oznaczeniu PN-ISO/EIC 17799:2003. Na podstawie przepisów zebranych w wyżej wymienionych standardach można śmiało stwierdzić, że audyt bezpieczeństwa informatycznego powinien składać się z czterech następujących faz: sporządzenie listy sprawdzającej według wybranego standardu; wypełnienie listy za pomocą ankiety; badanie systemów; raport końcowy. 15
Audyt Bezpieczeństwa Przy sporządzaniu listy należy najpierw wybrać metodykę jaką posłużymy się podczas audytu. Często jest ona wybierana już na etapie zamówienia na audyt lub przy podpisywaniu umowy dotyczącej wykonania audytu. Dla metodyki COBIT lista będzie składała się z 302 punktów, dla TSSEC ze 134, a dla BS 7799 lista będzie obejmowała 127 zagadnień. Wszystkie one powinny być przypisane do jednej z następujących klas oceny: spełnione nie spełnione spełnione częściowo nie dotyczy. Listę wypełniamy na podstawie ankiety, wywiadów środowiskowych, analizy dokumentacji przechowywanych w przedsiębiorstwie oraz badań i testów. 16
Badanie Badanie systemów odbywa się przy użyciu wysoko wyspecjalizowanych narzędzi, które nierzadko są uzupełniane testami penetracyjnymi. Należy tutaj pamiętać, że same testy penetracyjne nie są audytem. Są one prowadzone w celu określenia podatności danego systemu informatycznego na wrogie ataki z wewnątrz lub zewnątrz. 17
Badanie - testy testy typu black box - są najbardziej zbliżone do autentycznych ataków przeprowadzanych przez hackerów i crackerów. Wszystkie szczegółowe informacje, jak wersje systemu operacyjnego, infrastruktura sieciowa oraz wykorzystywane oprogramowanie są niewiadomą dla audytora. Może on znać przybliżone informacje, jak np. nazwa domeny używana przez audytowaną firmę. Testy mają charakter ciągłej improwizacji, gdyż nie można jasno określić kolejności działań jakie podejmuje osoba przeprowadzająca test. Tego typu testy są wykorzystywane zazwyczaj do symulacji ataków z zewnątrz z Internetu. 18
Badanie - testy test z ograniczonym dostępem do informacji istotą takiego testu jest odgórne założenie, że intruz posiada już jakieś informacje na temat atakowanego systemu. Można tutaj również przyjąć założenie, że agresor przejmie kontrolę nad jedną ze stacji roboczych należących do przedsiębiorstwa i za jej pomocą będzie zbierał informacje potrzebne do przeprowadzenia właściwego ataku, również za pomocą zainfekowanej stacji roboczej. Audytor musi w takiej sytuacji zasymulować takie wrogie przejęcie i przeprowadzić atak z Intranetu. 19
Badanie - testy test z ograniczonym dostępem do informacji istotą takiego testu jest odgórne założenie, że intruz posiada już jakieś informacje na temat atakowanego systemu. Można tutaj również przyjąć założenie, że agresor przejmie kontrolę nad jedną ze stacji roboczych należących do przedsiębiorstwa i za jej pomocą będzie zbierał informacje potrzebne do przeprowadzenia właściwego ataku, również za pomocą zainfekowanej stacji roboczej. Audytor musi w takiej sytuacji zasymulować takie wrogie przejęcie i przeprowadzić atak z Intranetu. 20
Badanie - testy weryfikacja polityki bezpieczeństwa ten rodzaj testów polega na wyrywkowym testowaniu tylko tych mechanizmów bezpieczeństwa, które są sprecyzowane w dokumencie polityki bezpieczeństwa. Zaletą tego rodzaju testów jest skupienie się tylko na wybranym fragmencie łańcucha zabezpieczeń. W szczególności taki test może dotyczyć np. : reguł firewalla; mechanizmów autoryzacji i autentykacji; dostępu do pomieszczeń serwerowni. 21
Badanie - testy Przy przeprowadzaniu dwóch pierwszych rodzajów testów należy ustalić jak daleko może posunąć się tester po znalezieniu luki. Należy sprecyzować, czy ma wykorzystać lukę tylko do nielegalnego pozyskania informacji, czy też ma za jej pomocą doprowadzić do całkowitego unieruchomienia systemu i zniszczenia danych w nim przechowywanych. Dobrą praktyką jest raportowanie występujących luk w systemie i dopiero na życzenie klienta wykonanie próby pozyskania informacji lub zniszczenia za ich pomocą systemu. Sporządzony raport po audytowy powinien zawierać jak wyniki wszystkich postępowań audytowych oraz wnioski z nich płynące. Każdy raport powinien być podpisany przez wszystkich członków zespołu audytowego, którzy w ten sposób gwarantują rzetelność i półprofesjonalność wystawionej oceny. 22
Badanie - oprogramowanie Podczas wykonywania testów penetracyjnych audytor może wesprzeć się kilkoma ogólnodostępnymi programami, które pozwalają na uzyskanie informacji istotnych dla wyników postępowania audytowego. Do tych programów można zaliczyć sniffery, skanery portów skanery podatności (ang. vulnerability scaners). 23
testery podatności Programy komputerowe służące do wykrywania i raportowania słabych punktów (podatnych na atak) aplikacji i systemów operacyjnych. Działanie takiego skanera można opisać w czterech krokach: W tym kroku skaner zazwyczaj wykrywa aktywne adresy IP w sieci, wykrywa otwarte porty, rozpoznaje system operacyjny oraz usługi na nim uruchomione. Ten krok jest często pomijany, gdyż w nim powinien zostać wygenerowany wstępny raport. Zazwyczaj przechodzi się od razu do kroku 3. Na tym etapie skaner określa dokładną wersję systemu operacyjnego oraz aplikacji nasłuchujących na otwartych portach. W tym kroku następuję dokładne sprawdzenie, czy system jest podatny na exploity zdefiniowane w skanerze. 24
testery podatności Podział skanerów podatności przyjazne nieprzyjazne Przyjazne skanery to te, które kończą swoje działanie na 3 etapie. Nieprzyjazne natomiast przeprowadzają pełny proces testowania podatności. 25
NESSUS Najbardziej znanym testerem podatności jest projekt Nessus. Wykorzystywany jest przez przeszło 75000 organizacji zajmujących się bezpieczeństwem informacji. Projekt Nessus zapoczątkował w roku 1998 Renaud Deraison. Miał służyć Internautom do wyszukiwania luk w systemach IT. Obecnie pieczę nad projektem Nessus sprawują programiści z firmy Tenable. Od samego początku był dystrybuowany na zasadach licencji GPL. 26
NESSUS Niestety wiele firm wykorzystywało kod źródłowy Nessus w swoich projektach komercyjnych i nie wnosiło nic w rozwój samego Nessusa. Z tego powodu od wersji 3.0 Nessus stał się projektem w pełni komercyjnym. J est dostępny dla wielu platform systemowych, takich jak Linux, BSD, MS Windows, Mac OS, Solaris. 27
NESSUS Jego obecny (wersja 3.2) system licencjonowania jest podzielony na 2 stopnie: Home Feed - jest to wersja Nessus, która jest przeznaczona do użytku niekomercyjnego. Dostępne są tutaj wszystkie wtyczki GPL. Ta wersja wymaga bezpłatnej rejestracji. Wszystkie wtyczki komercyjne są dostępne w tej wersji dopiero po jakimś czasie od publikacji (od 2 tygodni, do 6 miesięcy). Professional Feed - jest to w pełni komercyjna wersja Nessus. Kosztuje ona 1200 USD. Zawiera pełne wsparcie dla użytkowników końcowych i co najważniejsze dostęp do wszystkich komercyjnych wtyczek natychmiast po ich wydaniu. Dodatkowo wersja ta może być w pełni legalnie wykorzystywana do wykonywania komercyjnych audytów. 28
NESSUS Sam Nessus ma konstrukcję klient serwer. Część serwerowa jest odpowiedzialna za przeprowadzanie skanów oraz zbieranie ich wyników. Z części serwerowej serwerowej są również przeprowadzane symulowane ataki. Część kliencka jest odpowiedzialna za komunikację z użytkownikiem. Ma ona bardzo przejrzyste GUI, które bardzo ułatwia pracę z programem. W części klienckiej definiuje się cele ataku (mogą to być nazwy domenowe, zakresy IP oraz całe podsieci), wtyczki używane przy skanowaniu. Tutaj są również generowane raporty na podstawie danych zebranych przez serwer. 29
NESSUS Wszystkie wtyczki Nessus są napisane w jego wewnętrznym języku skryptowym NASL (ang. Nessus Attack Scripting Language). Zawierają one pełny opis zagrożenia, dokładny algorytm testowania, a także wszystkie zalecane środki zaradcze i naprawcze, mające na celu eliminację zagrożenie. W bazie Nessus znajduje się obecnie ponad 11 000 wtyczek. 30
Rodzaje audytu informatycznego K O N I E C