Южный федеральный университет Технологический Институт Южного Федерального Университета в г. Таганроге Факультет информационной безопасности Кафедра Безопасности. - презентация

1 Южный федеральный университет Технологический Институт Южного Федерального Университета в г. Таганроге Факультет информационной безопасности Кафедра Безопасности информационных технологий Система анализа реальной защищенности автоматизированных систем от сетевых атак Е.С.Абрамов, О.Б. Макаревич 2011

2 Аудит информационной безопасности Аудит информационной безопасности – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям. АудитВнутренний Сканирование уязвимостей Внешний Тестирование на проникновение Система анализа реальной защищенности информации от сетевых атак предназначена для анализа и управления рисками информационной безопасности информационных систем на базе локальных вычислительных сетей (ЛВС) с помощью анализа реальной инфраструктуры и уязвимостей исследуемой сети и имитации реализации деструктивных информационных воздействий. 2

3 Оценка реальной защищённости 3 При оценке реальной защищенности информации в информационной системе организации защищенность каждого ресурса определяется при помощи уязвимостей, через которые могут быть реализованы угрозы безопасности, и анализа вредоносных сетевых информационных воздействий (атак), действующих на конкретный ресурс. Анализ реальной защищенности осуществляется с помощью построения модели информационной системы организации. Рассматривая средства защиты компьютеров, их взаимосвязь между собой, влияние прав доступа, модель исследует защищенность каждого вида информации.

4 Построение модели Использование протоколов канального уровня (LLTD и ARP), позволяющие обнаружить даже пассивные сетевые устройства и в точности передать физическую структуру сети Проведение безопасных проверок сканером OpenVAS для идентификации сервисов и уязвимостей Сопоставление набора обнаруженных сервисов с перечнем уязвимостей на основе международной публичной базы данных уязвимостей ПО CVE (Common Vulnerabilities and Exposures) Информация о возможных последовательностях эксплуатации уязвимостей берётся из базы данных CAPEC Использование CVSS-метрик уязвимостей 4

5 Этапы моделирования 5

6 Результаты работы Карта компьютерной сети, содержащая реальную информацию о связях между компьютерами (с учётом реальной иерархической топологии, правил маршрутизации и пакетной фильтрации трафика), установленном на компьютерах программным обеспечением (ПО) и уязвимостями этого ПО. Граф сценариев атак на основе информации автоматизированного анализа, учитывающий актуальные уязвимости исследуемой информационной системы и данные о её реальной топологии. Визуализация сценариев атак и результатов их воздействия на информационные ресурсы. Пошаговое отображение этапов проведения атаки средствами визуализации. Возможность изменения параметров средств защиты для быстрой оценки эффективности принятых или планируемых контрмер. 6

7 Моделирование многоэтапной атаки с учётом реальной топологии 7

8 8 Учёт уязвимостей программного обеспечения

9 9 Результаты моделирования

10 10 Результаты анализа защищённости

11 Перспективные направление исследований Построение модели – Автоматизированный анализ настроек маршрутизаторов и межсетевых экранов. – Учёт пользователей: группы, роли. – Анализ влияния антивирусов на возможность эксплуатации уязвимостей. – Анализ и распределение информационных ресурсов. – Автоматизированный поиск наиболее критичных объектов с точки зрения уязвимостей «нулевого дня». Анализ защищённости – Выработка критериев критичности информационных ресурсов. – Выработка метрик общей защищённости сети. – Автоматизированный анализ и оптимизация существующих правил межсетевых экранов. – Выработка отчёта. Анализ рисков – Учёт модели злоумышленника и модели актуальных угроз. – Выработка контрмер – Автоматизация предложения контрмер. – Разработка оптимизированной методики доступа на уровне сети с учётом критических объектов. – Оптимизация правил межсетевых экранов. – Оптимизация размещения межсетевых экранов и систем обнаружения атак (СОА). – Оптимизация конфигурации СОА. Влияние контрмер – Перерасчёт защищённости с учётом введённых контрмер. – Изменение настроек реальных средств защиты. 11

12 Перспективное направление исследований: использование аппаратной виртуализации Использование аппаратной виртуализации для моделирования ЛВС позволяет построить модель, фактически повторяющую функционал оригинальной сети Использование Xen - монитор виртуальных машин (VMM), использует аппаратные возможности процессоров, поэтому не имеет привязки к конкретной операционной системе Для моделирования межсетевых экранов и маршрутизаторов используется специальное ПО, например для симуляции оборудования CISCO используется среда GNS3 12