Журнал "Information Security/ Информационная безопасность" #1, 2020

рованные деструктивные действия на атакуемой системе. 4. Закрепление в системе. Задача: сделать возможным постоянное присут- ствие злоумышленника в системе. 5. Выполнение деструктивных дей- ствий в системе. 6. Заметание следов присутствия. Эта схема позволяет упрощенно опи- сать действия внешнего злоумышлен- ника. Стоит отметить, что условно в такой схеме будет два больших раз- дела: l действия, реализуемые перед началом атаки (первые два); l действия, реализуемые непосред- ственно во время атаки (остальные дей- ствия). Основные стратегии защиты Для того чтобы защитить систему, можно использовать ряд решений, кото- рые условно разделяются на несколько категорий: 1. Detect. Инструменты обнаружения потенциально опасного воздействия/воз- действий. Как правило, все меры в рам- ках данного этапа сводятся к детекти- рованию признаков, которые могут быть использованы для идентификации подо- зрительной активности, связанной с той или иной атакой. 2. Deny. Предотвращение неавто- ризованного доступа к ресурсам и информации. Здесь нужно опреде- литься, чем будем "запрещать" потен- циально опасное воздействие. Меры, используемые на данном этапе, поз- волят предотвратить получение той информации, которая даст злоумыш- леннику возможность реализовать атаку. 3. Disrupt. Меры, которые позволят сорвать атаку. 4. Degrade. Меры, позволяющие сни- зить число возможностей для реализа- ции атаки. 5. Deceive. "Ввести в заблуждение". Способы, которые можно использовать, чтобы у злоумышленника создалось впе- чатление будто атака не может быть реализована. Механизмы защиты ОС Теперь рассмотрим, какие механизмы ОС можно применить для защиты в рам- ках полученной концепции. Предполо- жим, у нас есть сеть, в которой исполь- зуются сервер на основе ОС Linux в каче- стве веб-сервера. Для выбора механиз- мов защиты составим небольшую таб- лицу, при помощи которой постараемся рассмотреть, как можно использовать компоненты ОС для построения системы защиты. Здесь есть некоторые ограниче- ния: l версии ОС должны быть относительно новыми. Правда, в некоторых случаях используется даже Windows XP, но это скорее исключение из правила; l в статье рассматривается механизм установки обновлений. Сама таблица будет иметь следующий вид (см. таблицу 1). В целом основные защитные и пре- вентивные меры сводятся к следую- щему: l межсетевой экран; l мониторинг соединений; l политика учетных записей пользова- телей; l анализ логов; l аудит событий в системе; l резервное копирование информации. К сожалению, объем статьи не позво- ляет подробно остановиться на каждом из методе. Тем не менее эти меры достаточны для того, чтобы защитить ресурсы организации, а в некоторых случаях и предотвратить атаку еще на этапе ее подготовки. Немного о проблемах бюджетной ИБ Конечно, у бюджетных мер защиты есть и недостатки: l требуются довольно обширные знания используемых в ОС технологий, при этом не стоит надеяться, что вчерашний выпускник вуза сможет что-то настроить быстро. Нужен профессионал, который при помощи ограниченных средств смо- жет реализовать надежную защиту; l в некоторых случаях придется исполь- зовать определенные инструменты защиты, как правило, сертифицирован- ные. Плюс ориентироваться на конкрет- ный список мер, которые необходимо реализовать в рамках системы безопас- ности (актуально при обработке конфи- денциальной информации, например персональных данных); l за рамками статьи остается вопрос управления настроенными СЗИ, конт- роль их работы и анализ информации, а это довольно важная составляющая системы безопасности. Поэтому всегда нужно помнить, что безопасность – это не только меры и средства, но и конкретные специалисты, выполняющие настройку и обслуживание системы. И если есть способ улучшить их деятельность просто за счет внедре- ния средств защиты информации с гра- мотным интерфейсом пользователя – экономить не стоит. l • 21 УПРАВЛЕНИЕ www.itsec.ru Detect Deny Disrupt Degrade Deceive Сбор сведений Детектирование Запрет Отключить Скрытие Обфускация об атакуемой системе сканирований подозрительных лишние сервисы сведений версий ПО Анализ логов соединений о сервисе Поиск уязвимости и подбор Анализ логов Обновление Минимизация Отключение Изоляция средства для эксплу Анализ трафика компонентов запущенных лишних процессов атации уязвимости сервисов сервисов Доставка средства Поиск подозрительных Wihitelisting входящих Запрет на запуск Настройка эксплуатации уязвимости объектов в трафике соединений лишних объектов привилегий УЗ Закрепление в системе Анализ логов Убрать ненужные Wihitelisting компиляторы исходящих из системы соединений Выполнение деструктивных Аудит доступа Настройка Резервное копирование действий в системе к объектам привилегий УЗ важной информации Заметание следов Анализ логов Настройка Резервное копирование присутствия Аудит доступа к объектам доступа к логам логов Таблица. Основные меры защиты Ваше мнение и вопросы присылайте по адресу is@groteck.ru