Активный аудит - инструментальный анализ защищенности
15 февраля 2016
.jpg)
Одним из самых распространенных видов аудита является активный аудит. Это исследование состояния защищенности информационной системы с точки зрения хакера (или некоего злоумышленника, обладающего высокой квалификацией в области информационных технологий).
Зачастую компании-поставщики услуг активного аудита именуют его инструментальным анализом защищенности, чтобы отделить данный вид аудита от других.
Суть активного аудита состоит в том, что с помощью специального программного обеспечения (в том числе систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. Под состоянием системы сетевой защиты понимаются лишь те параметры и настройки, использование которых помогает хакеру проникнуть в сети и нанести урон компании.
При осуществлении данного вида аудита на систему сетевой защиты моделируется как можно большее количество сетевых атак, которые может выполнить хакер. При этом аудитор искусственно ставится именно в те условия, в которых работает хакер, – ему предоставляется минимум информации, только та, которую можно раздобыть в открытых источниках.
Естественно, атаки только моделируются и не оказывают какого-либо деструктивного воздействия на информационную систему. Их разнообразие зависит от используемых систем анализа защищенности и квалификации аудитора.
Результатом активного аудита являются информация обо всех уязвимостях, степени их критичности и методах устранения, сведения о широкодоступной информации (информация, доступная любому потенциальному нарушителю) сети заказчика.
По окончании активного аудита выдаются рекомендации по модернизации системы сетевой защиты, которые позволяют устранить опасные уязвимости и тем самым повысить уровень защищенности информационной системы от действий «внешнего» злоумышленника при минимальных затратах на информационную безопасность.
Однако без проведения других видов аудита эти рекомендации могут оказаться недостаточными для создания «идеальной» системы сетевой защиты. Например, по результатам данного вида аудита невозможно сделать вывод о корректности, с точки зрения безопасности, проекта информационной системы.
Активный аудит – услуга, которая может и должна заказываться периодически. Выполнение активного аудита, например раз в год, позволяет удостовериться, что уровень системы сетевой безопасности остается на прежнем уровне.
Активный аудит условно можно разделить на два вида – «внешний» и «внутренний».
При «внешнем» активном аудите специалисты моделируют действия «внешнего» злоумышленника. В данном случае проводятся следующие процедуры:
- определение доступных из внешних сетей IP-адресов заказчика;
- сканирование данных адресов с целью определения работающих сервисов и служб, а также назначения отсканированных хостов;
- определение версий сервисов и служб сканируемых хостов;
- изучение маршрутов прохождения трафика к хостам заказчика;
- сбор информации об ИС заказчика из открытых источников;
- анализ полученных данных с целью выявления уязвимостей.
«Внутренний» активный аудит по составу работ аналогичен «внешнему», однако при его проведении с помощью специальных програм-мных средств моделируются действия «внутреннего» злоумышленника.
Данное деление активного аудита на «внешний» и «внутренний» актуально для заказчика в следующих случаях:
- у заказчика существуют финансовые ограничения в приобретении услуг и продуктов по защите информации;
- модель злоумышленника, которую рассматривает заказчик, не включает «внутренних» злоумышленников;
- в компании заказчика расследуется факт обхода системы сетевой защиты.
Сопроводительные услуги
Иногда в ходе активного аудита заказчику предлагается ряд дополнительных услуг, напрямую связанных с оценкой состояния системы информационной безопасности, в частности – проведение специализированных исследований.
Зачастую организация в своей информационной системе использует специализированное программное обеспечение (ПО) собственной разработки, предназначенное для решения нестандартных задач (например, корпоративный информационный портал, различные бухгалтерские системы или системы документооборота). Подобные ПО уникальны, поэтому каких-либо готовых средств и технологий для анализа их защищенности и отказоустойчивости не существует. В данном случае проводятся специализированные исследования, направленные на оценку уровня защищенности конкретного ПО.
Еще один вид услуг, предлагаемых в ходе активного аудита, – исследование производительности и стабильности системы, или стресс-тестирование. Оно направлено на определение критических точек нагрузки, при которой система вследствие атаки на отказ в обслуживании или повышенной загруженности перестает адекватно реагировать на легитимные запросы пользователей.
Стресс-тест позволит выявить «узкие» места в процессе формирования и передачи информации и определить те условия, при которых нормальная работа системы невозможна. Тестирование включает в себя моделирование атак на отказ в обслуживании, пользовательских запросов к системе и общий анализ производительности.
Одной из самых «эффектных» услуг является тест на проникновение (Penetration Testing), который во многом похож на «внешний» активный аудит, но по своей сути аудитом не является.
Основная цель данного тестирования – демонстрация «успехов», которых может достигнуть хакер, действующий при текущем состоянии системы сетевой защиты. Результаты данной услуги более наглядны, чем результаты аудита. Однако ей свойственны множество ограничений и особенностей. Например, особенность технического характера: заказчик информируется только о факте уязвимости системы сетевой защиты, в то время как в результатах «внешнего» активного аудита заказчику сообщаются не только факт уязвимости сети, но и сведения обо всех уязвимостях и способах их устранения.
Источник: iso27000.ru
Инструментальный анализ в Алматы
