Demin Vyacheslav Konstantinovich, candidate of technical science, docent, ecolo-gy_tsu_tula@,mail. ru, Russia, Tula, Tula State University
УДК 621.317
АНАЛИЗ УЯЗВИМОСТИ СИСТЕМ МОНИТОРИНГА СПЕЦИАЛЬНОГО НАЗНАЧЕНИЯ
О.А. Губская, А.С. Захарченко, С.П. Кривцов, С.А. Корягин,
Е.В. Фатьянова
В статье рассматриваются основные методы анализа уязвимости систем мониторинга специального назначения, которые могут быть использованы в задачах обеспечения безопасности при модернизации существующих и построении перспективных автоматизированных систем управления связью специального назначения.
Ключевые слова: система мониторинга, безопасность, автоматизированная система управления, инцидент.
Построение современных и перспективных автоматизированных систем управления связью специального назначения (АСУС СН) вызывает необходимость наличия в арсенале разработчиков соответствующего методического аппарата, учитывающего важнейшие аспекты анализа и синтеза систем обеспечения информационной безопасности в структуре АСУС систем мониторинга специального назначения (СМ СН). В этой связи весьма важным является вопрос исследования и применения эффективных методов анализа уязвимости СМ специального назначения и принимаемых решений по обеспечению требований их информационной безопасности.
В области информационной безопасности информационных систем, к классу которых относятся СМ СН, термин «уязвимость» используется для обозначения недостатка, (слабости) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации [1, 2]. В качестве угрозы при этом выступает совокупность условий и факторов, создающих потенциальную или реальную опасность нарушения безопасности информации. Угроза представляет собой вероятностное событие или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба активам организации, в частности, нарушению конфиденциальности информации ограниченного доступа, целостности информации или доступности сервисов, предоставляемых информационных систем. В качестве активов при этом рассматривается все, что имеет ценность для СМ СН и системы управления, в интересах которой создана данная информационно-измерительная система [2]. К таким активам могут относятся: ресурсы (вычислительные, информационные, телекоммуникационные и другие); процессы (технологические, информационные и пр.); оказываемые услуги.
161
Любой информационной системе присущи определенные уязвимости, перечень которых является достаточно объемным и постоянно подлежит обновлению (расширению).
Наличие уязвимости само по себе не наносит ущерба, поскольку необходимо наличие угрозы, которая сможет воспользоваться ею. Для уязвимости, которой не соответствует определенная угроза, может не потребоваться внедрение средств контроля и управления (средств обеспечения безопасности), но она должна осознаваться и подвергаться мониторингу на предмет изменений. Следует отметить, что неверно реализованное, неправильно функционирующее или неправильно используемое средство контроля и управления (средство обеспечения безопасности), само может обладать уязвимостью.
Описание уязвимости СМ - это определенным образом представленная информация о выявленной (обнаруженной) уязвимости. Правила описания уязвимости СМ формализуют совокупность положений, регламентирующих структуру и содержание описания уязвимости [1].
Любую уязвимость СМ можно представить в виде образа (сигнатуры), который включает в себя набор определенных характеристик (элементов, описывающих данную уязвимость), формируемых по определенным правилам. Одним из методологических подходов к анализу уязвимости СМ СН может быть предлагаемая методика оценки уязвимости.
Методика оценки уязвимости СМ СН в заданных условиях функционирования включает следующие процедуры:
формирование исходных данных;
зондирование и тестирование уязвимостей СМ СН;
корректировка базы данных параметров уязвимостей (при необходимости);
корректировка базы данных учетной подсистемы (при необходимости);
анализ мероприятий оценки уязвимости СМ СН;
корректировка политики информационной безопасности (при необходимости).
Обобщенный алгоритм оценки уязвимости СМ СН представлен на
рис. 1.
Формирование исходных данных включает учет информации, хранящейся в базе данных параметров уязвимостей и в базе данных учетной СМ СН.
В качестве уязвимых компонентов СМ рассматриваются: общесистемное (общее), прикладное, специальное программное обеспечение; технические средства; сетевое (коммуникационное, телекоммуникационное) оборудование; средства защиты информации.
Основными классификационными признаками уязвимостей СМ являются: область происхождения уязвимости; типы недостатков СМ; место возникновения (проявления) уязвимости СМ.
Рис. 1. Обобщенный алгоритм оценки уязвимости СМ СН
Образы (сигнатуры) уязвимостей подразделяются на образы известных уязвимостей, образы уязвимостей нулевого дня и образы впервые выявленных уязвимостей.
Известная уязвимость - это уязвимость, опубликованная в общедоступных источниках с описанием соответствующих мер защиты информации, исправлений недостатков и соответствующих обновлений.
Уязвимость нулевого дня - это уязвимость, которая становится известной до момента выпуска разработчиком СМ соответствующих мер защиты информации, исправлений недостатков или соответствующих обновлений.
Впервые выявленная уязвимость - это уязвимость, неопубликованная в общедоступных источниках.
Основное классификационное содержание параметров уязвимостей отражается в данных «Идентификатор уязвимости», «Паспорт уязвимости» и «Описание уязвимости».
Основными источниками возникновения уязвимостей СМ являются:
ошибки при разработке (проектировании) СМ (например, ошибки в
ПО);
ошибки при реализации СМ (например, неправильная настройка или конфигурация ПО, неэффективная концепция политики безопасности и т. п.);
ошибки при использовании СМ (пользовательские ошибки) (например, слабые пароли, нарушение в политике безопасности и т. п.).
При выявлении, идентификации и оценке уязвимостей, необходимо исходить из того, что СМ состоит из уровней:
163
уровень прикладного программного обеспечения, отвечающий за взаимодействие с пользователем;
уровень системы управления базами данных (СУБД), отвечающий за хранение и обработку данных СМ;
уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного ПО;
сетевой уровень, отвечающий за взаимодействие узлов СМ.
Каждому из уровней СМ соответствуют различные типы (классы) уязвимостей.
Из базы данных учетной подсистемы СМ СН для формирования исходных данных используются данные по СМ СН (перечень активов, идентификаторы активов, критичность активов), данные по принятым мерам защиты (средства защиты, средства контроля и управления, остаточный риск) и данные по условиям функционирования (перечень угроз).
Зондирование и тестирование уязвимости СМ СН является стандартным элементом реализации политики безопасности.
Оценка уязвимости методами зондирования и тестирования используется для того, чтобы обнаружить, какие в системе и её элементах, процессах, обеспечиваемых системой, имеются недостатки и произвести соответствующие действия для снижения риска и возможного ущерба [2].
Для выявления, идентификации и оценки уязвимостей СМ, а также формирования отчетов и устранения (нейтрализации) уязвимостей, используются средства анализа защищенности сети (сканеры безопасности), которые можно разделить на два типа:
- сетевые сканеры (осуществляют удаленный анализ состояний контролируемых хостов на сетевом уровне);
- сканеры уровня ОС (осуществляют локальный анализ состояний контролируемых хостов).
Сканирование представляет собой пассивный процесс выявления уязвимостей СМ, а зондирование - метод активной проверки наличия уяз-вимостей контролируемой СМ.
В процессе сканирования средство анализа защищенности, отправляя соответствующие запросы в адрес контролируемой СМ (на порты контролируемого хоста), анализирует обратно возвращаемые заголовки пакетов данных и делает соответствующие выводы о типе ИИС и наличии потенциальных (возможных) ее уязвимостей. Результат сканирования не всегда говорит о наличии возможных (типовых) уязвимостей ИИС, так как текстовое содержание заголовка может быть специально модифицировано, либо известные уязвимости, присущие данной СМ, были устранены специалистом в процессе ее реализации (использования).
Другим способом выполнения сканирующих действий является способ использования активных зондирующих проверок, которые предоставляют возможность проанализировать возвращаемый цифровой слепок фрагмента ПО контролируемой СМ (т.е. выполнить процесс сравнения полученного результата с цифровым слепком известной уязвимости данного
164
типа СМ). Данный способ обеспечивает более надежную и точную процедуру выявления возможных (типовых) уязвимостей контролируемой СМ.
В процессе зондирования средство анализа защищенности имитирует выполнение атаки на контролируемую СМ, используя образ возможной (типовой) уязвимости, полученной при сканировании. Результат процесса зондирования является самой точной и надежной информацией о наличии уязвимостей контролируемой СМ. Данный способ применяется не всегда, так как существует вероятность нарушения работоспособности (вывода из строя) контролируемой СМ. Решение на применение вышеуказанного способа принимает администратор сети в случаях не эффективного выполнения или необходимости подтверждения результатов сканирования и активных зондирующих проверок. Целесообразно также использовать данный способ на этапе создания и наладки СМ.
Результаты сканирования и зондирования поступают в БД уязвимостей, в которой хранятся образы уязвимостей контролируемой СМ. На основании процедуры сравнения образа обнаруженной уязвимости с образами уязвимостей контролируемой СМ средство анализа защищенности формирует отчет об отсутствии или наличии совпадений в образах уязви-мостей (обнаружение уязвимостей), который сохраняется в БД уязвимостей.
Основные элементы системы анализа уязвимости СМ СН представлены на рис. 2.
Интерфейс программы -анализа уязвимости
Сканирование
Зондирование
Результаты сканирования Результаты зондирования
Средства сканирования и зондирования
Анализатор результатов сканирования
Не обнаружена уязвимость
Анализатор результатов зондирования
Не обнаружена уязвимость
Обнаружена уязвимость
Автоматизированная система анализа уязвимостей ИИС СН
Рис. 2. Основные элементы системы анализа уязвимости СМ СН
Необходимо подчеркнуть, что автоматизированный анализ уязвимости СМ СН может также дополняться методами анкетного и инструментального тестирования и аудита с привлечением профильных специалистов.
При этом можно выделить следующие виды подобных исследований:
Обнаружена
автоматизированные инструментальные средства поиска уязвимо-
стей;
тестирование и оценка безопасности;
тестирование на проникновение в систему;
проверка кодов.
Автоматизированные инструментальные средства поиска уязвимо-стей используются для просмотра группы хостов или сети на предмет наличия известных уязвимостей сервисов (например, система разрешает использование анонимного протокола передачи файлов, ретрансляцию отправленной почты). Следует, однако, отметить, что некоторые из потенциальных уязвимостей, идентифицированных автоматизированными инструментальными средствами поиска уязвимостей, могут не представлять реальных уязвимостей в контексте системной среды. При этом часть уязви-мостей, отмеченных автоматизированными инструментальными средствами поиска, могут в действительности не быть уязвимостями для конкретной СМ, а быть сконфигурированными таким образом, как этого требует среда [2]. Таким образом, этот метод тестирования может иногда давать ошибочные результаты исследования.
Другим методом, который может использоваться для выявления уязвимостей СМ СН является тестирование и оценка безопасности. Он включает в себя разработку и осуществление плана тестирования (например, сценарий тестирования, процедуры тестирования и ожидаемые результаты тестирования). Цель тестирования безопасности системы состоит в тестировании эффективности мер и средств контроля и управления безопасности системы СМ СН, которые были применены в операционной среде. Задача заключается в том, чтобы удостовериться, что применяющиеся меры и средства контроля и управления соответствуют утвержденной спецификации безопасности для программных и аппаратных средств, обеспечивают реализацию политики безопасности организации или соответствуют отраслевым стандартам.
Тестирование на проникновение может использоваться как дополнение к проверке мер и средств контроля и управления безопасности и обеспечение защиты различных аспектов СМ СН. Его задача состоит в тестировании системы с точки зрения источника угрозы и выявлении потенциальных сбоев в структурах ее защиты.
Проверка кодов является наиболее сложным (но также и самым дорогостоящим) способом оценки уязвимостей.
Исследование уязвимостей системы выполняется на регулярной основе. Осуществляется это в рамках демонстрации уровня её защищённости или проверке (тестировании) её соответствия принятым стандартам безопасности.
По результатам оценки уязвимостей составляют отчёты. Такие отчёты закладывают базу для других исследований, таких, как оценка систем на соответствие стандартам безопасности.
Корректировка базы данных параметров уязвимостей (при необходимости) осуществляется в процессе идентификации обнаруженной уязвимости.
Процесс идентификации образа обнаруженной уязвимости СМ, который имеет специфические характеристики (элементы), осуществляется посредствам процедуры его сравнения с образами известных уязвимостей и уязвимостей нулевого дня, хранящихся в БД уязвимостей. Формализованное описание известных уязвимостей и уязвимостей нулевого дня оформляется в виде паспортов, которые содержат информацию о специфических характеристиках (элементах) конкретной уязвимости. Для точной идентификации образа обнаруженной уязвимости он должен содержать информацию о наименовании и версии ПО СМ, в которой обнаружена уязвимость, о идентификаторе, наименовании и классе обнаруженной уязвимости. На основании вышеуказанной информации система анализа защищенности соотносит образ обнаруженной уязвимости к одному из типов образов уязвимостей. Для качественного проведения оценки идентифицированный образ уязвимости, в свою очередь, должен содержать информацию об идентификаторе и типе недостатка СМ, при котором обнаружена уязвимость, о месте обнаружения уязвимости в СМ, о способе выявления уязвимости. Процесс оценки образа уязвимости оканчивается выработкой рекомендаций по устранению уязвимости или по исключению возможности ее использования. В случаях, если был обнаружен образ впервые выявленной уязвимости, то система анализа защищенности должна поместить информацию о нем в БД уязвимостей с формированием нового паспорта уязвимости нулевого дня. При принятии разработчиком ИИС мер защиты информации, а также при проведении необходимых обновлений и исправлений, уязвимость нулевого дня переходит в статус известной уязвимости.
Корректировка базы данных учетной подсистемы осуществляется при изменении условий функционирования СМ СН [2].
К изменению условий функционирования следует относить все характеристики самой СМ СН и внешних условий, оказывающих влияние как на систему в целом, так и на её элементы.
Основными разделами при этом должны быть данные по СМ СН, основными из которых являются:
специфические данные по активам СМ (перечень защищаемых ресурсов, их принадлежность, идентификаторы, критичность к воздействию, уровень ценности);
принятые меры защиты (используемые средства, мероприятия, способы, остаточный риск);
условия функционирования СМ (все те условия, которые определяют перечень (модель) угроз.
При изменении условий функционирования проводится необходимая корректировка базы данных учетной подсистемы.
Следующим элементом методики является организация цикла анализа мероприятий оценки уязвимости СМ СН.
Уязвимости СМ СН могут быть выявлены в следующих областях: организация функционирования СМ;
процессы и процедуры, используемые при сборе, использовании, хранении, обработке и уничтожении активов;
принятый порядок управления самой СМ и системой обеспечения информационной безопасностью;
персонал (порядок отбора, подготовки, переподготовки, увольнения и контроля);
физическая среда; конфигурация СМ;
аппаратные средства, программное обеспечение и аппаратура связи; зависимость от внешних сторон (провайдеры телекоммуникационных и информационных услуг, сотрудники обслуживающих и ремонтных организаций, поставщики оборудования).
Анализ мероприятий оценки уязвимости СМ СН проводится с целью определения необходимости корректировки (изменения) политики безопасности, реализуемой для данной СМ СН в заданных условиях эксплуатации.
Политика информационной безопасности, представляющая собой формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется должностное лицо органа управления (ДЛ ОУ) связью в своей деятельности содержит:
предмет, основные цели и задачи политики безопасности; условия применения политики безопасности и возможные ограничения;
описание позиции руководства в отношении выполнения политики безопасности и организации режима информационной безопасности для СМ СН в целом;
права и обязанности, а также степень ответственности сотрудников за выполнение мероприятий политики безопасности;
порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности.
Реализация политики информационной безопасности осуществляется путем анализа событий безопасности в той их части, которая определяется как инциденты безопасности.
Инцидентом безопасности является любое непредвиденное или нежелательное событие, которое может нарушить процесс функционирования или информационную безопасность СМ.
Инцидентами информационной безопасности являются: нарушения процессов предоставления услуг, отказы оборудования или устройств;
системные сбои или перегрузки; ошибки пользователей;
несоблюдение политики или рекомендаций по информационной безопасности;
нарушение физических мер защиты; неконтролируемые изменения систем;
сбои программного обеспечения и отказы технических средств; нарушение правил доступа.
Инциденты безопасности являются источником информации о том, что необходимо провести следующий этап итерации анализа и оценки уязвимости СМ СН в конкретных условиях эксплуатации.
В результате анализа и оценки уязвимости СМ СН, корректировки данных по СМ СН, принятым мерам защиты и условиям функционирования СМ, принимается решение о необходимости корректировки (изменения) текущей версии политики безопасности.
Методологической основой принятия решения по корректировке (изменению) политики безопасности СМ СН является процессный (структурный) подход к управлению инцидентами, целями которого является обеспечение следующих условий:
все события информационной безопасности должны быть обнаружены и определены как относящиеся или не относящиеся к инцидентам информационной безопасности;
идентифицированные инциденты информационной безопасности должны быть оценены и реагирование на них должно быть осуществлено целесообразным и результативным способом;
воздействие инцидентов информационной безопасности на СМ СН и её функционирование необходимо минимизировать соответствующими защитными мерами;
из инцидентов информационной безопасности необходимо извлечь уроки для улучшения защитных мер. В необходимых случаях должна осуществляться корректировка политики информационной безопасности СМ СН.
Эффективность функционирования современных СМ СН самым непосредственным образом зависит от качества принимаемых решений при построении всех элементов (подсистем) АСУС СН, в том числе подсистемы обеспечения информационной безопасности.
Рассмотренные в статье методика и методы анализа уязвимости СМ СН, предложения по применению автоматизированных средств тестирования (поиска) уязвимости СМ могут быть рекомендованы для использования в процессе разработки структур и алгоритмов функционирования систем обеспечения информационной безопасности при модернизации существующих и построении перспективных систем управления связью специального назначения.
Список литературы
1. Коноваленко С.А., Королев И. Д. Выявление уязвимостей информационных систем // Инновации в науке: сб. ст. матер. LXI междунар. науч.-практ. конф. Новосибирск: СибАК, 2016. № 9 (58). С. 12-20.
2. Губская О.А., Корягин С.А., Кривцов С.П., Мякотин А.В., Орлова Л.И. Восстановление сети связи методом динамического программирования // Проблемы технического обеспечения войск в современных условиях. Труды IV межвузовской научно-практической конференции. Санкт-Петербург, 2019. С. 281-284.
Губская Оксана Александровна, преподаватель, [email protected], Россия, Санкт-Петербург, Военная академия связи им. Маршала Советского Союза С.М. Буденного,
Захарченко Алексей Станиславович, командир, zakharchenko_240®,mail. ru, Россия, Москва, Войсковая часть 5583,
Корягин Сергей Александрович, командир батальона, bagrationspb®,yandex.ru, Россия, Екатеринбург, Войсковая часть 28331,
Кривцов Станислав Петрович, старший преподаватель, staskrivamail.ru, Россия, Санкт-Петербург, Военная академия связи им. Маршала Советского Союза С. М. Буденного,
Фатьянова Елена Валентиновна, преподаватель, fatlen77amail.ru, Россия, Санкт-Петербург, Военная академия связи им. Маршала Советского Союза С. М. Буденного
VULNERABILITY ANALYSIS OF MONITORING SYSTEMS SPECIAL PURPOSE O.A. Gubskaya, A.S. Zakharchenko, S.A. Koryagin, S.P. Krivtsov, E. V. Fatyanova
The article discusses the main methods of vulnerability analysis of special-purpose monitoring systems that can be used in security tasks when upgrading existing and building advanced automated communication management systems for special purposes.
Key words: monitoring system, security, automated control system, incident.
Gubska Oksana Alexandrovna, teacher, oksanochka23932393@mail. ru, Russia, St. Petersburg, Military Academy of Communications named after Marsha la Soviet Union S.M. Budyonny,
Zakharchenko Alexey Stanislavovich, commander, zakharchenko 240a,mail. ru, Russia, Moscow, Military unit 5583,
Koryagin Sergey Alexandrovich, battalion commander, bagrationspbayandex.ru, Russia, Yekaterinburg, Military unit 28331,
Krivtsov Stanislav Petrovich, senior lecturer, staskrivamail. ru, Russia, St. Petersburg, Military Academy of Communications named after Marsha la Soviet Union S.M. Budyonny,
Fatyanova Elena Valentinovna, teacher, fatlen 7 7a mail. ru, Russia, St. Petersburg, Military Academy of Communications named after Marsha la Soviet Union S.M. Budyonny