CC BY
89
УДК 004.71
А.А. Терпугова
магистрант,
кафедра прикладной информатики в юриспруденции, ФГБОУ ВПО «Дагестанский государственный технический университет», г. Махачкала
ПРИМЕНЕНИЕ СПЕЦИАЛИЗИРОВАННЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СЕТЕЙ ПРАВООХРАНИТЕЛЬНЫХ ОРГАНОВ
Аннотация. Проведен анализ традиционных средств защиты сетей правоохранительных органов. Предложено объединение функционала межсетевого экрана и системы обнаружения и предотвращения вторжений на единой платформе для снижения рисков при управлении распределенными сетями.
Ключевые слова: сетевая безопасность, правоохранительные органы, специализированные средства
защиты.
А.А. Terpugova, Dagestan State Technical University, Makhachkala
CREATING A MODEL PLAN NETWORK SECURITY INFORMATION SYSTEMS IN LAW ENFORCEMENT
Abstract. The analysis of traditional security networks of law enforcement. Proposed unification of functional firewall and intrusion detection and intrusion prevention on a single platform to mitígate risks in the management of distributed networks.
Keywords: network security, law enforcement agencies, specialized protective equipment.
Введение. Проблема безопасности по мере увеличения размеров сети выходит на лидирующие позиции. Безопасность в распределенных сетях правоохранительных органов включает в себя не только процедуры защиты информации от хищения или изменения, но и комплекс мероприятий по предотвращению в сети всевозможных сбоев [1].
С внедрением современных информационных технологий в правоохранительные органы страны образовались новые виды угроз, направленные «на системы управления страны и поддержку принятия решений». Особое значение приобретает обеспечение безопасности критически важных сегментов информационной инфраструктуры России.
В перечень наиболее острых проблем безопасности входят программные роботы (bots) и шпионские программы (spyware), что неудивительно, если учесть общее количество взломов сетей правоохранительных органов России. ФСБ РФ озабочена прежде всего однократными атаками, снижающими производительность, прекращающими доставку услуг и вызывающими потерю конфиденциальных данных. Меньшую озабоченность вызывают постоянные угрозы, вызываемые удаленным доступом, неизвестными приложениями и пробелами в системах безопасности. Правоохранительные органы считают, что для укрепления сетевой безопасности в федеральных учреждениях необходима интеграция всех сетевых средств защиты. Сегодня есть ряд методов обеспечения безопасности сетей, разработанные специалистами [2, 3, 4, 5].
Современные информационные технологии можно определить как систему операций по сбору, хранению, обработке и передаче информации, осуществляемых по каналам связи с использованием компьютерной техники.
Безопасность сети определяется ее администратором. Именно он должен позаботиться о распределении ответственности между пользователями и администраторами ЭВМ и субсетей; именно он определяет конфигурацию программного обеспечения узла, вырабатывает меры на случай вторжения или повреждения системы. Администратор сети формулирует требования к сетевым паролям, контролирует их выполнение и определяет время жизни паролей [6].
Инновации в безопасности сетевой правоохранительных органов. Интеллектуальные атаки осуществляются с помощью нескольких этапов: сбора информации, осуществления вторжения, закрепления влияния, извлечения данных и удержания влияния.
В развернутом варианте это обретает следующий вид: определение цели, поиск и организация сообщника, подготовка вредоносного программного обеспечения, исследование ин-
фраструктуры, тест на обнаружение, внедрение, начало вторжения, инициация исходящего соединения, расширение доступа и получение учетных данных, закрепление влияния, извлечение данных, удержание влияния.
Сценарий развития атаки развивается следующим образом: атакующий инициирует адресную атаку путем сообщений с вредоносными вложениями; пользователь взаимодействует с электронной почтой, вследствие чего система скомпрометирована. Зараженной и скомпрометированной системой пользуются работники правоохранительных органов с помощью инструментов дистанционного управления и администрирования, способствуя компрометации других машин по средствам информационной сети, предоставляя возможность атакующему получения доступа к конфиденциальной информации и ценным данным; атакующему остается извлечь данные из зараженных машин.
Для защиты от сбора информации баз данных правоохранительных органов традиционно используются межсетевые экраны и системы обнаружения и предотвращения вторжений. Однако у традиционных средств защиты есть существенные недостатки. При расположении IPS-устройства за межсетевым экраном, мы не сможем обнаруживать сканирования, которые осуществляются в течение длительного времени, например, в течение нескольких недель. У злоумышленника может быть достаточно большое число зараженных хостов, с которых он может проводить анализ баз данных атакуемого, что значительно затрудняет определение начала подготовки к атаке.
Кроме того, в крупных распределенных сетях за межсетевые экраны и IPS-системы может отвечать разный обслуживающий персонал, что приводит к неполноте общей картины. Поэтому на этапе сбора информации злоумышленником для обеспечения защиты рекомендуется внедрение устройств класса Next Generation Firewall.
За счет объединения функционала межсетевого экрана и системы обнаружения и предотвращения вторжений на единой платформе получаем возможность коррелировать эти данные и с большей достоверностью обнаруживать факт начала атаки.
За счет анализа сетевого трафика до седьмого уровня, т.е. до уровня приложений, появляется возможность обнаружить новые подключения и определить потенциальные цели злоумышленника. А за счет корреляции информационных потоков и информации о пользователях правоохранительных органов появляется возможность отслеживать внутренних злоумышленников. К примеру, если сотрудник стал работать по ночам и пользоваться пиринговыми сетями, подобную активность возможно обнаружить и выслать соответствующее уведомление в отдел информационной безопасности.
На втором этапе, когда злоумышленник осуществляет вторжение в базы данных правоохранительных органов, традиционно используются следующие средства защиты: все технические средства первого этапа, т.е. межсетевые экраны, системы обнаружения и предотвращения вторжений, системы фильтрации запросов к веб-серверам, антивирусное программное обеспечение, установленное на серверах и рабочих станциях.
В случае направленной атаки стандартные средства защиты обладают такими недостатками, как невозможность обнаружения вредоносного программного обеспечения, написанного специально для данной атаки и для которого еще не существует сигнатур, и невозможность обнаружения аномалий в работе веб-серверов, что может привести к компрометации баз данных, к которым они подключены. При этом используются такие средства защиты, как межсетевые экраны нового поколения (NGFW), специализированные средства защиты от APT, специализированные средства защиты веб-приложений (WAF).
Существует два вида анализа сетевой безопасности: динамический анализ кода и статистический анализ модели поведения, показанные схематично на рисунке 1.
Специализированные средства защиты веб-приложений, кроме стандартного функционала фильтрации URL-запросов, обладают следующим функционалом. Они анализируют входящий и исходящий трафик и определяют стандартный профиль запросов к веб-серверу. При этом профиль
работы с различными веб-серверами будет отличаться, что затрудняет возможность незаметного взлома веб-сервера. Таким образом, любое действие злоумышленника, к примеру, попытка загрузки шелл-кода или обхода процедур авторизации приводит к резкому изменению профиля обращения к веб-ресурсу и, как следствие, к отклонению от заданного шаблона.
Рисунок 1 - Схема анализа сетевой безопасности
Кроме того, Web Application Firewall позволяет получить такую аналитику, как статистика поведения пользователей, что позволяет обнаружить аномалии в их работе. А использование сигнатурных методов анализа позволяет обнаружить SQLInjection, CrosssiteScripting, Path-Traversal и другие виды атаки.
После проникновения в сеть злоумышленник активно анализирует сетевое окружение, пытается получить доступ к базам данным, общедоступным данным на файловых серверах, а также получить доступ к прикладному программному обеспечению. Традиционные средства обнаружения такой активности включают в себя SIEM-системы и IPS-системы.
Но в случае APT злоумышленник может использовать ряд техник сокрытия своего присутствия. К примеру, перебор паролей может осуществляться в течение длительного времени, что позволяет обойти системы, которые сравнивают активность хостов с неким порогом срабатывания. Также злоумышленник может использовать различного рода шифрование, уязвимо-стей в прикладном программном обеспечении для сокрытия своей активности. Таким образом, невозможно заранее предсказать, каким образом будет работать злоумышленник, и создать соответствующие сигнатуры.
Поэтому, необходимо использовать косвенные признаки присутствия злоумышленника. Средства защиты при этом: межсетевые экраны нового поколения (NGFW), специализированные средства выявления сетевых аномалий, специализированные компоненты контроля сетевых взаимодействий. К примеру, есть возможность анализировать информационные потоки, проходящие через сетевое оборудование правоохранительных органов. При передаче большого объема данных либо при использовании нестандартных портов активность зараженного хоста будет отличаться от его активности до заражения. Также есть возможность анализировать длительность сессии, степень фрагментации пакетов, инкапсуляцию и т.д.
Для обнаружения злоумышленника также возможно использовать дополнительные модули
к SIEM-системам, которые позволяют осуществить корреляцию данных не только в рамках правоохранительных органов, но и обнаружить изменение в работе конкретного узла либо пользователя.
Снижение рисков при управлении распределенными сетями. С ростом базы данных правоохранительных органов возникают следующие проблемы роста: децентрализация управления, при котором средствами ИБ разных подразделений управляют разные сотрудники; мультивендорность решений, к примеру, использование межсетевых экранов Cisco, Checkpoint, что приводит к разделению обязанностей между администраторами. Все это может привести к ошибкам администрирования.
Таким образом, злоумышленнику достаточно будет скомпрометировать лишь слабое звено, например одно из подразделений, и это приведет к компрометации всей сети. Поэтому необходимо внедрение системы централизованного контроля конфигураций. В этом случае управление осуществляется администраторами «на местах», однако проверка настроек межсетевых экранов осуществляется централизованно. Также есть ряд решений, которые позволяют из единой консоли управлять конфигурациями межсетевых экранов различных вендоров, таким образом позволяя снизить вероятность ошибок администрирования.
Для обеспечения защиты от направленных атак необходимо внедрить устройства класса NGFW, систему обнаружения потенциально-опасных файлов, специализированные средства защиты веб-приложений, системы обнаружения аномалий в сетевом трафике, системы анализа и управления конфигурациями сетевого оборудования.
Заключение. Для оперативного решения проблем отсутствия достаточного нормативного и методического обеспечения защиты компьютерной информации, отсутствия единой системы защиты, значительного отставания в выполнении программы информатизации правоохранительных органов необходима интеграция всех информационных систем и сетей правоохранительных органов для создания единого информационного пространства.
Требуется создание для сотрудников правоохранительных органов необходимой методической базы и инструментального обеспечения защиты компьютерной информации. Предложенные подходы к реализации систем защиты сетей правоохранительных органов могут помочь в решении вопросов информационной безопасности .
Список литературы:
1. Абакарова О.Г. Метод интегральной оценки качества информационных систем правоохранительных органов / О.Г. Абакарова, Г.Х. Ирзаев // Научное обозрение. - 2014. - № 2. -С.180-184.
2. Котенко И.В. Методики визуального анализа в системах управления информационной безопасностью компьютерных сетей / И.В. Котенко, Е.С. Новикова // Вопросы защиты информации. - 2013. - № 3 (102). - С. 33-42.
3. Ирзаев Г.Х. Экспертный метод аудита безопасности информационных систем // Вестник Дагестанского государственного технического университета. Технические науки. -2011. - Т. 1, № 20. - С. 11-15.
4. Грязин Д.С. Применение сетей Zigbee в охранных комплексах / Д.С. Грязин, А.А. Данилова // Приволжский научный вестник. - 2014. - № 2 (30) - С. 36-39.
5. Губина Е.А. Проектирование информационной системы на основе связывания CASE-инструментария и реляционной базы данных / Е.А. Губина, Г.Х. Ирзаев, М.Г. Адеева // Наука и бизнес: пути развития. - 2014. - № 4 (34). - С. 75-79.
6. Клейменов С.А. Администрирование в информационных системах / С.А. Клейменов, В.П. Мельников, А.М. Петраков. - М.: Академия, 2008. - 272 с.
