3.4. Методика построения модели угроз системам защиты информации сайтов органов власти Российской Федерации
Для определения и апробации методики построения модели угроз СЗИ • сайтов органов власти нами проведен анализ эффективности СЗИ сайтов органов власти СЗФО. Это потребовало решение следующих трех задач:
обзор подходов к проведению анализа;
определение методов проведения исследования сайтов;
формулирование общей методики проведения исследования, которая позволяет осуществить моделирование типовых угроз для сайтов.
На основании выработанных подходов к проведению анализа эффективности СЗИ сайтов органов власти СЗФО были определены основные методы проведения исследования (сбор общедоступной информации о сетевой инфраструктуре, анализ защищённости информационного обмена и доступа к конфиденциальной информации на сайте, анализ утечки конфиденциальной информации с сайта с использованием механизмов поисковых средств).
Ниже приводится более подробное их рассмотрение.
Первый из рассматриваемых методов заключается в получении общедоступной информации о технической поддержке сайта. Данная информация не является по определению «закрытой», однако служит отправной точкой для последующих испытаний СЗИ. Как известно, регистрация IP-адресов и доменных имен в глобальной сети осуществляется централизованно на международном уровне. Информация о зарегистрированных адресах и их владельцах является общедоступной. В России данные сведения можно получить, в частности, на сайте Российского НИИ Развития сетей. Данный сетевой сервис, известный под названием WHOIS, позволяет собрать детальную информацию о сетевой инфраструктуре компании [69].В сети Интернет есть специализированные сайты, предоставляющие онлайновые инструментальные средства для проведения подобного анализа. Использование подобных инструментов в качестве посредника между исследователем и «мишенью» позволяет провести более безопасный и анонимный для исследователя анализ.
Не менее полезным инструментом для получения необходимой информации является сведения, предоставляемые компанией NetCraft, занимающейся мониторингом информационной безопасности в Интернете [79].
На сайте компании (www.netcraft.co.uk) можно запросить информацию по сайтам, задействованным в исследовании компании. Особенное внимание уделяется компаниям из сферы электронной коммерции. Если сайт, указанный в запросе пользователя на выдачу информации, отсутствует в базе сайтов компании Net- craft, то он будет добавлен в список сайтов, мониторинг безопасности которых осуществляет служба Netcraft. Например, в 2004 году нами введен запрос на выдачу информации по сайту http://cit.ifmo.ru, на что был получен ответ о том, что мониторинг данного сайта Netcraft не производит; тем не менее с этого момента он был добавлен в базу данных службы. Данные, выдаваемые службой Netcraft, относятся к веб-серверному программному обеспечению, включая в том числе, версии веб-сервера и операционной системы. При этом ис- пользуются методы, которые позволяют достоверно определять указанные данные, несмотря на меры маскировки, которые могут применяться администраторами обозначенных систем. Пример информации, доступной с использованием данной службы для сайта ГОУ ВПО «СПбГУ ИТМО» (http://www.ifmo.ru), приведен на рисунке 4.В аспекте «пассивного сбора информации» весь Интернет можно представить одним распределённым инструментом для сбора информации, раскрытие которой может оказаться критическим для СЗИ.
Информация, которая может быть получена подобным образом, включает: имя домена или доменов, адреса подсетей; точные адреса узлов, находящихся на периметре сети; сервисы, запущенные на определенных выше узлах; типы операционных систем, запущенных на определенных выше узлах; роли узлов, находящихся на периметре; механизмы сетевой безопасности, используемые компанией-жертвой (межсетевые экраны и его правила, фильтрующие маршрутизаторы и списки контроля доступа, системы обнаружения атак и т.д.) [52]; информацию о пользователях и группах; дополнительную информацию (сведения о SNMP, таблицы маршрутизации и т.п.).
Метод анализа защищенности информационного обмена и доступа к конфиденциальной информации на сайте включает анализ наличия на сайте механизмов идентификации и аутентификации пользователей для доступа к определенным страницам данного сайта и использования протоколов SSL или TLS для защиты протокола HTTP, реализующего функциональные требования безопасности [52].
Данный метод реализован в специально разработанном инструментально- моделирующем комплексе сканирования уязвимостей сайтов органов власти (ИМК «Сканирование угроз»), более подробно описанном в разделе 4.3. главы 4. [Р address 194.85.160 58 Site rank 1700340 Country Nameserver ns.ifmo.ru >ate first seen July 1996 DNS admin h о s tm aster@ifmo.ru )omain Registry ripn.net Reverse DNS forest, ifmo.ru 3rganisation Saint-Petersburg State University of Information Nameserwer Saint-Petersburg State Univ ersity of Information Technologies, Mec, Russian Federation Organisation Technologies, Mec, Russian Federation :heck another t | к» 1 Hosting History ¦Jetblock Owner IP address OS Web Server Last changed >aint-Petersburg State University of Information Technologies Mechanics and Optics 194.85.160.58 Windows Server Apache 16-Oct- kronverksky, 49 197101.
St.Petersburg, Russian Federation 2003 2006 >aint-Petersburg State University of Information Technologies Mechanics and Optics 194.85.160.58 Windows Server unknown 15-Oct- '.ronverksky, 49 197101, St.Petersburg, Russian Federation 2003 2006 >amt-Petersburg State University of Information Technologies Mechanics and Optics 194.85.160.58 Windows Server Apache 8-Oct-2006 O-onverksky, 49 197101. St.Petersburg, Russian Federation 2003 >aint-Petersburg State University of Information Technologies Mechanics and Optics 194.85.160.58 Windows Server Apache 3-Sep- <,ronverksky, 49 197101. St Petersburg, Russian Federation 2003 2006 >aint-Petersburg State University of Information Technologies Mechanics and Optics 194.85.160.58 Windows Server Apache 9-Jul-2006 (ronverksky, 49 197101, St.Petersburg, Russian Federation 2003 Saint Petersburg State University of Information Technologies Mechanics and Optics 194.85.160.58 Windows Server Apache 4-Jun-2006 (.ronverksky, 49 197101, St.Petersburg, Russian Federation 2003 >aint-Petersburg State University of Information Technologies Mechanics and Optics 194.85.160.58 Windows Server Apache 10-Apr- <.ronverksky. 49 197101, St.Petersburg. Russian Federation 2003 2006 >aint-Petersburg State University of Information Technologies Mechanics and Optics 194.85.160.58 Windows 2000 Apache 6-Apr-2005 ^.ronverksky, 49 197101, St.Petersburg, Russian Federation Saint-Petersburg State University of Information Technologies Mechanics and Optics 194.85.160.58 Windows 2000 unknown 5-Apr-2005 «.ronverksky, 49 197101. St.Petersburg, Russian Federation >aint-Petersburg State University of Information Technologies Mechanics and Optics 194.85.160.58 Windows 2000 Apache 5-Nov-2004 'ronverksky, 49 197101. St.Petersburg. Russian Federation COPYRIGHT © NETCRAFT LTD. 2004 -6Рис. 4. Данные мониторинга службы Netcraft для сайта ГОУ ВПО «СПбГУ
ИТМО»
Таким образом, подводя итог, можно сказать, что автором в данной главе сформулирована общая укрупненная методика проведения исследования.
Данная методика позволяет осуществить моделирование типовых угроз для сайтов и включает следующие шаги.На первом шаге осуществляется локальное исследование объекта, включающее в себя определение области исследования путём формирования выборочной совокупности, методики отбора совокупности, принципов и инструментария. Более подробно о первом шаге будет сказано в 4 главе.
На втором этапе, проводится сбор информации об исследуемом объекте с использованием общедоступной информации о сетевой инфраструктуре объекта анализа, включая трассировку маршрутов к сайту, анализ информации, выдаваемой службой Whois, анализ программного обеспечения серверов с использованием службы NetCraft и т.д.
На третьем этапе, проводится анализ размещенной на сайте информации, позволяющий выявить сведения, которые станут для «нарушителя» основой для дальнейших действий: структура сайта, система ссылок, размещение файлов и информации о тех или иных мероприятиях, т.е. тех сведений, которые могут стать источником угроз.
На четвёртом этапе, анализируется эффективность защиты информационного обмена и доступа к конфиденциальной информации на сайте с использованием ИМК «Сканирование угроз».
На пятом этапе, на основе всей собранной информации проводится анализ эффективности СЗИ сайтов органов власти СЗФО. По результатам исследования формулируются рекомендации по устранению уязвимостей и по повышению уровня эффективности СЗИ.