Аудит безопасности для корпоративных пользователей

Несмотря на постоянное развитие технологий безопасности Интернет/Интранет, положение дел в практике обеспечения информационной безопасности в российских компаниях вызывает беспокойство. Это вызвано следующими причинами:

· возрастает роль информационных технологий в поддержке бизнес–процессов отечественных компаний, повышаются требования к качеству и безопасности процессов обработки, хранения и передачи данных, возрастает структурная и функциональная сложность корпоративных информационных систем, а следовательно, и возрастает цена ошибок и сбоев информационных систем. Эта причина нейтрализуется способностью компании обеспечить возрастающие требования в области информационной безопасности;

· эволюционное развитие Интернет/Интранет–технологий приводит к появлению все большего числа уязвимостей операционной среды, многочисленных служб и сервисов, а также протоколов ТСР/IР, которые на практике ранее были не известны и не изучены, что в свою очередь приводит к росту уязвимости и незащищенности корпоративных информационных систем. Данная проблема решается постоянным отслеживанием и анализом выявленных уязвимостей с целью дальнейшего их оперативного устранения;

· постоянное усложнение компьютерных информационных систем повышает квалификационные требования к обслуживающему персоналу, приводит к усложнению процедур выбора решений и выполнения политики безопасности компании, обеспечивающих приемлемый уровень информационной безопасности при допустимом уровне затрат. Эта проблема решается в рамках кадровой политики и определяется возможностью получения объективной информации о состоянии системы.

Рассмотрим актуальность аудита безопасности для корпоративных пользователей на примере наиболее используемых сервисов, реализованных в компьютерных сетях.

1. Безопасность электронной почты.

Безопасность электронной почты должна обеспечиваться как на уровне администрации сети, так на уровне конечного пользователя. В общем случае пользователь не является специалистом по технологиям Интернет и обучен работать с определенной почтовой программой без понимания деталей того, что происходит во время приема, отправки и чтения сообщений, и не может идентифицировать и анализировать нештатную ситуацию. Служба электронной почты предприятия должна быть организована так, чтобы администратор мог перехватить как можно большее число потенциальных инцидентов еще до начала работы пользователя.

На уровне конечного пользователя опасность для компьютера могут представлять только запущенные на этом компьютере программы, пересылка текстовых сообщений совершенно безвредна, но любая программа, содержащаяся во вложении к письму и неосторожно (либо автоматически) запущенная при его прочтении, может причинить компьютеру вред. Избежать этого можно следуя нескольким простым правилам:

· никогда не конфигурировать свою почтовую программу на автоматическое открытие приложений. При получении письма с вложением его следует извлекать в отдельный файл на диске и проверять антивирусной программой. При получении письма с неизвестным вам типом файла или с неожиданным для данного отправителя приложением, следует до открытия файла попросить у отправителя разъяснений. по поводу этого приложения.

Нужно иметь в виду, что не только.ехе - файлы, но и файлы Visual Basic Script (vbs), Microsoft Office (Word, Excel), файлы HTML, Postscript (.ps), Program Information File (.pif) в общем случае являются программами и могут содержать вредоносный код.;

· убедиться, что почтовая программа не опускает расширение и не сокращает слишком длинное имя. Система (по крайне мере, MS Windows) будет интерпретировать файл по его последнему расширению; ни имя файла, ни расширения, предшествующие последнему, значения не имеют, то есть файл Документ.txt.ехе будет интерпретирован как исполнимый.ехе-файл;

· своевременно обновлять базу данных антивирусной программы и проводить периодическую проверку всех файлов системы. Некоторые современные почтовые серверы производят автоматическую проверку вложений в проходящих через них письмах на наличие вредоносных программ. Следует проконсультироваться у сетевого администратора или провайдера, производится ли такая проверка и какие именно типы приложений проверяются.

Проблема безопасности электронной почты состоит также в возможности фальсификации адреса отправителя в протоколе SMTP, с помощью которого письма пересылаются через Интернет. Частично эту проблему можно решить правильной конфигурацией почтовых серверов, но полностью ликвидировать эту угрозу нельзя.

Фальсификация адреса отправителя относится к типу атак, называемых social engineering. Для борьбы с подобными угрозами всем пользователям сети должна быть четко разъяснена политика безопасности на предприятии и, в частности, то, что администратор никогда не попросит пользователя сообщить свой пароль.

Поскольку почтовые сообщения передаются через Интернет в открытом виде, пользователю нужно иметь в виду, что любое отправленное им письмо может быть прочитано злоумышленником, и любое полученное им письмо может оказаться фальсификацией. Эти проблемы могут быть решены только с помощью шифрования сообщений и цифровой подписи.

Еще одна проблема безопасности – открытая передача имени пользователя и пароля при доступе пользователя к серверу электронной почты. Для доступа к серверу почтовая программа пользователя использует действующие версии протокола POP. Для получения почты с сервера пользователь должен предоставить пароль, который передается через сеть на сервер. Иногда пароль требуется и при отправке сообщения (в этом случае используется протокол SMTP). Перехват пароля позволит злоумышленнику не только свободно читать адресованные пользователю письма или удалять их с сервера до того, как к ним получит доступ адресат.

Часто «почтовый» пароль пользователя совпадает с «системным». Многие пользователи из соображений удобства вообще используют один и тот же пароль для получения почты и входа в различные системы предприятия (WWW-серверы, сеть Windows). Перехватив такой пароль, злоумышленник получит доступ к другим, возможно, лучше защищенным и более ответственным, системам.

Защититься от перехвата пароля можно применяя методы аутентификации, не требующие передачи пароля в открытом виде (APOP, SASL), или шифруя все передаваемые между клиентом и сервером данные (SSL). И POP-клиент, и сервер должны поддерживать используемый протокол APOP или SSL.

На уровне администратора проблема безопасности электронной почты представляется следующим образом.

Система электронной почты предприятия должна быть организована так, чтобы весь почтовый трафик (по крайней мере, весь почтовый трафик между корпоративной сетью и Интернет) проходил через один почтовый сервер.

В этом случае администратор имеет возможность контролировать проходящие сообщения на предмет опасных вложений и блокировать спам.

Известные производители антивирусных программ (например, Лаборатория Касперского) предлагают специальные модули для почтовых серверов, которые производят проверку корреспонденции на наличие вирусов.

Администратор не может предотвратить фальсификацию почтовых сообщений, т.к. нет никаких прямых средств борьбы с этой проблемой. В общем случае только использование цифровой подписи может гарантировать подлинность сообщения.

Со стороны администратора требует особого внимания обеспечение надежной аутентификации, серьезно затрудняющей возможность перехвата пароля пользователя.

Администратор должен также уделять серьезное внимание предотвращению атак, направленных против почтового сервера. Атаки на почтовый сервер реализуются через почтовое программное обеспечение. Поэтому от администратора требуется своевременное обновление программного обеспечения.

2. Безопасность WWW.

С точки зрения пользователя WWW – это огромная библиотека тексто-графических документов, распределенных по множеству серверов и связанных друг с другом перекрестными ссылками. При этом не все информационные ресурсы WWW могут быть открыты для всеобщего просмотра.

Для того чтобы ограничить доступ к какому-либо ресурсу, используется аутентификация клиента, то есть «клиент должен предоставить имя пользователя и пароль, прежде чем его запрос будет обслужен HTTP-сервером. Но эта мера не обеспечивает защиту передаваемых данных от перехвата.

Для пользователя WWW опасна также, как и электронная почта, а именно:

· прослушивание передаваемых данных и паролей;

· загрузка и исполнение на компьютере пользователя вредоносных программ: при этом может либо произойти автоматическая загрузка программного кода браузером без ведома пользователя при просмотре последним определенной Web-странницы, либо пользователь находит на каком-либо сайте ссылку на исполнимую программу и загружает ее. В последнем случае нужно понимать, что загруженная программа может содержать любой вредоносный код. Загрузка известной программы с известного сайта, не дает полной гарантии безопасности. Наличие цифровой подписи говорит только о том, что программа написана определенным автором и не была изменена. Подпись не гарантирует того, что после запуска программа не начнет стирать файлы с жесткого диска. Конечно, программа, подписанная широко известной компанией, вряд ли содержит умышленно введенный вредоносный код, но может содержать ошибки, которые потом могут быть использованы злоумышленником. Что касается программ, содержащих подпись с ничего не говорящей вам фамилией, то от них можно ожидать любых действий. К тому же, если браузер доверяет одной подписанной программе, то он автоматически доверяет всем программам, подписанным тем же автором;

· подлог документов (ресурсов). Технология обмана пользователя, известная также под названием mirror world, состоит в том, что злоумышленник создает на подконтрольном ему сервере копию другого сайта (или его части). После этого злоумышленник обманом заставляет пользователя обратиться к своему серверу. В результате пользователь, полагая, что работает на сайте, скажем, банка, вводит в HTML-форму номер кредитной карты, который немедленно попадает к злоумышленнику. Аутентификация в этом случае не поможет, поскольку она предназначена для защиты ресурсов сервера, а не пользователя. Более того, использование аутентификации для доступа на сфальсифицированный сервер приведет к сдаче пароля злоумышленнику.