Активный аудит

представляет собой обследование состояния защищен- ности определенных подсистем информационной безопасности (ПИБ), отно- сящихся к программно-техническому уровню. Например, вариант активного аудита, называемый тестом на проникновение (Penetration test), предполагает обследование подсистемы защиты сетевых взаимодействий. включает:

?    анализ текущей архитектуры и настроек элементов ПИБ;

?    интервьюирование ответственных и заинтересованных лиц;

?    проведение инструментальных проверок, охватывающих определенные

ПИБ.

Анализ архитектуры и настроек элементов ПИБ проводится специали- стами, обладающими знаниями по конкретным подсистемам, представленным в обследуемой системе (например, могут требоваться специалисты по актив- ному сетевому оборудованию фирмы Cisco или по ОС семейства Microsoft),  а также системными аналитиками, которые выявляют возможные изъяны в ор- ганизации подсистем. Результатом этого анализа является набор опросных листов и инструментальных тестов.

Опросные листы  используются в процессе интервьюирования лиц, от- вечающих за администрирование АИС, для получения субъективных характе- ристик АИС, для уточнения полученных исходных данных и для идентифика- ции некоторых мер, реализованных в рамках СОИБ. Например, опросные лис- ты могут включать вопросы, связанные с политикой смены и назначения па- ролей, жизненным циклом АИС и степенью критичности отдельных ее под- систем для АИС и бизнес-процессов организации в целом.

Параллельно с интервьюированием проводятся инструментальные про-

верки (тесты), которые могут включать следующие мероприятия:

?    визуальный осмотр помещений, обследование системы контроля досту-

па в помещения;

?    получение конфигураций и версий устройств и ПО;

?    проверка  соответствия реальных конфигураций предоставленным ис-

ходным данным;

?    получение карты сети специализированным ПО;

?    использование сканеров защищенности (как универсальных, так и спе-

циализированных);

?    моделирование атак, использующих уязвимости системы;

?    проверка наличия реакции на действия, выявляемые механизмами обна-

ружения и реагирования на атаки.

Аудитор может исходить из следующих моделей, описывающих степень его знания исследуемой АИС (модель знания):

?    модель «черного ящика» – аудитор не обладает никакими априорными

знаниями об исследуемой АИС. Например, при проведении внешнего актив-

ного аудита (то есть в ситуации, когда моделируются действия злоумышлен- ника, находящегося вне исследуемой сети), аудитор может, зная только имя или IP-адрес web-сервера, пытаться найти уязвимости в его защите;

?    модель «белого ящика» – аудитор обладает полным знанием о структуре исследуемой сети. Например, аудитор может обладать картами и диаграмма-

ми сегментов исследуемой сети, списками ОС и приложений. Применение данной модели не в полной мере имитирует реальные действия злоумышлен- ника, но позволяет, тем не менее, представить «худший» сценарий, когда ата- кующий обладает полным знанием о сети. Кроме того, это позволяет постро-

ить сценарий активного аудита таким образом, чтобы инструментальные тес- ты имели минимальные последствия для АИС и не нарушали ее нормальной работы;

?    модель «серого ящика» или «хрустального ящика» – аудитор имитирует действия внутреннего пользователя АИС, обладающего учетной записью дос- тупа в сеть с определенным уровнем полномочий. Данная модель позволяет

оценить риски, связанные с внутренними угрозами, например от неблагона-

дежных сотрудников компании.

Аудиторы должны согласовывать каждый тест, модель знания, приме-

няемую в тесте, и возможные негативные последствия теста с лицами, заинте- ресованными в непрерывной работе АИС (руководителями, администратора- ми системы и др.).

По результатам инструментальной проверки проводится пересмотр ре- зультатов предварительного анализа и, возможно, организуется дополнитель- ное обследование (рис. 8.1).

Набор тестов

A. Инструменталь- ная проверка

Анализ исходных данных

Набор вопросни- ков

Дополнительное обследование

B. Интервьюиро- вание

Анализ данных A и B

Формирова- ние результата

Рис. 8.1.  Схема проведения активного аудита ИБ

По результатам активного аудита создается аналитический отчет, со- стоящий из описания текущего состояния технической части СОИБ, списка найденных уязвимостей АИС со степенью их критичности и результатов уп- рощенной оценки рисков, включающей модель нарушителя и модель угроз.

Дополнительно может быть разработан план работ по модернизации техниче-

ской части СОИБ, состоящий из перечня рекомендаций по обработке рисков.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий