Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Приципы проведения активного аудита

Приципы проведения активного аудита

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Принципы проведения активного аудита


Михаил Маркевич,
аналитик по информационной безопасности компании Digital Security

Проведение технологического аудита информационной безопасности (ИБ) является одним из обязательных этапов жизненного цикла системы управления ИБ компании, внедренной в соответствии с требованиями международного стандарта ISO/IEC 27001:2005.

Результаты технологического аудита не только представляют ценность сами по себе как объективная и независимая (в случае внешнего аудита) оценка защищенности информационной системы компании, но и необходимы для проведения анализа информационных рисков и, следовательно, эффективного управления ИБ компании.

В настоящее время процедура проведения технологического аудита ИБ практически не формализована. Стандартизованы общие принципы проведения аудита (изложенные, например, в ISO 19011 или NSA INFOSEC Assessment Methodology), существуют также корпоративные стандарты и специализированные методики, применяемые в отдельных компаниях или для конкретных информационных систем (например, стандарты ЦБ РФ), но общих правил и применимых на практике универсальных методик не существует.

Сегодня и завтра

Наиболее распространенными подходами к технологическому аудиту ИБ являются тест на проникновение (показательная демонстрация действий нарушителя) и собственно "традиционный" аудит И Б (анализ параметров конфигурации информационной системы и применение сканера уязвимостей). Краткое описание достоинств и недостатков указанных подходов приведено в табл. 1 и 2. Минимально необходимыми естественными требованиями к методике аудита ИБ можно считать:

  1. Объективность (достоверность) результата. Аудитору необходимо предоставить доказательства того, что именно эти уязвимости существуют в информационной системе, и детально описать возможные последствия их реализации нарушителем.
  2. Полноту аудита. Аудитору необходимо предоставить доказательства того, что в ходе аудита не были проигнорированы какие-либо уязвимости информационной системы.
  3. Общепризнанность критериев оценки защищенности. Простые и понятные критерии оценки защищенности - одно из важных условий корректного восприятия результатов аудита.

Анализ и попытки использования на практике существующих подходов к проведению аудита ИБ показали, что вышеописанные подходы имеют серьезные недостатки, прежде всего - неполноту и неадекватность получаемых результатов.

Поиски наиболее оптимального подхода к оценке защищенности информационной системы привели нас к использованию и дальнейшему совершенствованию идеи активного аудита И Б. Активный аудит - это сочетание теста на проникновение и аудита ИБ в традиционном понимании. Изложенные ниже принципы являются развитием идеи активного аудита и лежат в основе применяемой нами методики.

Принципы активного аудита

Перечислим девять принципов активного аудита ИБ.

  1. Наличие четкого описания модели нарушителя, в рамках которой действуют аудиторы. Рассматриваются отдельно внутренний нарушитель (например, сотрудник компании) и внешний нарушитель (например, хакер, действующий через Интернет). Уровень квалификации нарушителя считается достаточным для выполнения сложных задач по проникновению в информационную систему. Это автоматически означает, что квалификация самих аудиторов должна соответствовать данному уровню.
  2. Уточнение области проведения аудита непосредственно в процессе работы на объекте. На практике заказчик часто предоставляет ограниченный набор сведений об информационной системе (что происходит, когда информационная система развивалась непланомерно и, как следствие, плохо документировалась), а аудиторы проводят инвентаризацию ресурсов информационной системы. Это позволяет выявить "потерянные" ресурсы (и в большинстве случаев плохо защищенные), что особенно актуально для крупных корпоративных информационных систем.
  3. Аудитор изначально имеет только физический доступ к обследуемой информационной системе, логические права до ступа (аутентификационные данные) ему не предоставляются (за редким исключением). Далее аудитор отрабатывает все возможные пути повышения привилегий от "нулевого" уровня, оценивая критичность и вероятность их реализации.
  4. Анализ путей повышения привилегий (что является принципиальным отличием используемой нами методики от всех существующих подходов к аудиту И Б). С одной стороны, например, наличие уязвимости в программном обеспечении автоматически не приводит к нарушению безопасности, так как многие уязвимости могут быть успешно реализованы только при определенном сочетании факторов. С другой стороны, использование штатных возможностей (именно возможностей, а не ошибок программного обеспечения или конфигурации) информационной системы в определенной комбинации может привести к нарушению ИБ. Выявление таких ситуаций невозможно без применения творческого, неформального подхода к анализу защищенности, хотя сами пути повышения привилегий, безусловно, легко формализовать и зафиксировать документально.
  5. Анализ влияния выявленных в ходе активного аудита уязвимостей на защищенность всей информационной системы в целом. Критика существующих подходов аудита ИБ, в частности, заключается в том, что выявленные в ходе аудита уязвимости всего лишь отражают состояние информационной системы на момент аудита. Предлагаемый подход, который ставит своей целью сделать аудит более эффективным и актуальным, заключается в следующем: не столь важно, какая именно уязвимость была обнаружена, важно то, как наличие той или иной уязвимости влияет на защищенность всей информационной системы, насколько вся система устойчива к уязвимостям. Другими словами, в ходе аудита проводится анализ архитектуры безопасности информационной системы.
  6. Поиск новых уязвимостей (незафиксированных в различных базах уязвимостей, таких, как CVE, OSVDB и т.п.) непосредственно в ходе работы на объекте в режиме реального времени.
  7. Строгая система классификации уязвимостей. Каждая выявленная в ходе аудита уязвимость оценивается (по шкале с простыми и понятными описаниями уровней) с точки зрения ее критичности, простоты и вероятности реализации. Эти данные в дальнейшем используются для проведения анализа информационных рисков.
  8. Отказ от приоритетного использования сканеров уязвимостей. Подобный инструментарий используется только на этапе предварительного сбора информации для автоматизации рутинной работы. Существенным недостатком сканеров является большое количество ложных срабатываний и невозможность обнаружения уязвимостей, отсутствующих в базе сканера (например, недавно появившихся уязвимостей, большого числа локальных уязвимостей, нетривиальных ошибок конфигурации).
  9. Применение методов социальной инженерии для имитации действий нарушителя ИБ, направленных на пользователей информационной системы компании. Эти методы позволяют оценить уровень квалификации пользователей в области обеспечения ИБ и вероятность реализации атак, выполняемых нетехническими способами.

"За" и "против"

Применяемая в соответствии с этими принципами методика проведения активного аудита И Б имеет следующие преимущества, которые позволяют значительно повысить эффективность аудита и представить заказчику адекватные и достоверные результаты:

  1. Сочетание аудита в традиционном понимании с проведением теста на проникновение устраняет принципиальные недостатки, присущие обоим методам.
  2. Детальный анализ возможных сценариев проникновения в систему в рамках выбранной модели нарушителя позволяет выявить значительно большее количество нетривиальных уязвимостей, что невозможно при использовании сканера уязвимостей и обычном анализе конфигурации.
    3. Анализ архитектуры безопасности информационной системы позволяет
  3. предсказать возможные последствия от реализации неизвестных на момент проведения активного аудита уязвимостей и выработать рекомендации по их предотвращению.

Своеобразным недостатком данной методики является то, что успешное проведение активного аудита невозможно без привлечения высококвалифицированных аудиторов ИБ, обладающих творческим подходом к анализу защищенности информационных систем и опытом в области проведения тестов на проникновение.

Эффективность методики была неоднократно проверена на практике, а каждый новый проект ставит перед аудиторами новые задачи и дает импульс к дальнейшему развитию методики активного аудита.

М.Ю. Пышкин,
директор направления информационной безопасности INLINE Technologies, CISM BS 7799 LA

Автор освещает довольно актуальную тему проведения технологического аудита ИБ. Кроме различных методик вендоров стоит остановиться и на универсальных "лучших практиках", сформулированных в первую очередь в национальном стандарте ГОСТ Р ИСО/МЭК 17799:2005, принятом 01.01.07. Согласно стандарту аудиты могут быть трех видов:

  • первой стороны: мы проверяем свою систему (внутренний);
  • второй стороны: мы проверяем поставщика или нас проверяет заказчик (внешний);
  • третьей стороны: нас проверяет независимый орган по сертификации - BSI и др. (внешний);
Выделим следующие виды аудита, перечисленные в ГОСТ Р ИСО/МЭК 17799:2005:

  • A. 6.1.8 "Независимый пересмотр информационной безопасности" определяет, что независимый пересмотр должен проводиться лицами, не имеющими прямого отношения к пересматриваемой области безопасности;
  • A. 12.6.1 "Контроль технических уязвимостей" определяет необходимость аудитов с целью получения своевременной информации о технических уязвимостях используемых информационных систем, с целью оценки подверженности организации подобным уязвимостям и связанным с ними рискам;
  • A. 15.1 "Соответствие правовым требованиям" определяет необходимость аудитов в части норм уголовного и гражданского права, обязательных предписаний и регулирующих требований или договорных обязательств, а также требований безопасности;
  • A. 15.1.2 "Права на интеллектуальную собственность" определяют аудиты обеспечения соответствия по использованию материала, для которого могут существовать права на интеллектуальную собственность (в том числе лицензии на используемое программное обеспечение);
  • A. 15.2.1 "Соответствие политикам и стандартам безопасности" определяет соответствие обработки информации политикам и стандартам безопасности, а также любым другим требованиям безопасности;
  • A. 15.2.2 "Проверка технического соответствия" определяет и проверяет техническое соответствие операционных систем; проверка может включать тестирование на проникновение и оценку уязвимостей, что можетбыть полезным для определения эффективности средств контроля при предотвращении несанкционированного доступа.

В стандарте особо подчеркивается, что такие аудиты, включая испытания на проникновение и оценки уязвимости, не подменяют работ по оценке рисков.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2007

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"