Активний аудит

являє собою обстеження стану захищений-ності певних підсистем інформаційної безпеки (ПІБ), відно-сящіхся до програмно-технічному рівню Наприклад, варіант активного аудиту, званий тестом на проникнення (Penetration test), передбачає обстеження підсистеми захисту мережевих взаємодій включає:

– Аналіз поточної архітектури і налаштувань елементів ПІБ

– Інтервювання відповідальних і зацікавлених осіб

– Проведення інструментальних перевірок, що охоплюють певні

ПІБ

Аналіз архітектури і налаштувань елементів ПІБ проводиться спеціалі-стами, що володіють знаннями по конкретних підсистемах, представленим в обстежуваній системі (наприклад, можуть вимагатися фахівці з актив- ному мережевого обладнання фірми Cisco або по ОС сімейства Microsoft), а також системними аналітиками, які виявляють можливі вади в ор-ганізації підсистем Результатом цього аналізу є набір опитувальних листів та інструментальних тестів

Опитувальні листи використовуються в процесі інтервювання осіб, від-віча за адміністрування АІС, для отримання субєктивних характе-них характеристик АІС, для уточнення отриманих вихідних даних і для ідентифікації ції деяких заходів, реалізованих у рамках СОІБ Наприклад, опитувальні лис-ти можуть включати питання, повязані з політикою зміни і призначення па-ролей, життєвим циклом АІС і ступенем критичності окремих її під-систем для АІС і бізнес-процесів організації в цілому

Паралельно з интервьюированием проводяться інструментальні про-

верки (тести), які можуть включати наступні заходи:

– Візуальний огляд приміщень, обстеження системи контролю доступу-

па в приміщення

– Отримання конфігурацій і версій пристроїв і ПО

– Перевірка відповідності реальних конфігурацій наданим ис-

вихідним даним

– Отримання карти мережі спеціалізованим ПЗ

– Використання сканерів захищеності (як універсальних, так і спе-

ціалізірованних)

Моделювання атак, що використовують уразливості системи

– Перевірка наявності реакції на дії, які виявляються механізмами обготівковув-

ружения та реагування на атаки

Аудитор може виходити з таких моделей, що описують ступінь його знання досліджуваної АІС (модель знання):

– Модель «чорного ящика» – аудитор не володіє ніякими апріорними

знаннями про досліджувану АІС Наприклад, при проведенні зовнішнього актив-

ного аудиту (тобто в ситуації, коли моделюються дії злоумишлен-ника, що знаходиться поза досліджуваної мережі), аудитор може, знаючи тільки імя або IP-адреса web-сервера, намагатися знайти уразливості в його захисті

– Модель «білого ящика» – аудитор володіє повним знанням про структуру досліджуваної мережі Наприклад, аудитор може володіти картами і діаграма-

ми сегментів досліджуваної мережі, списками ОС і додатків Застосування даної моделі не повною мірою імітує реальні дії злоумишлен-ника, але дозволяє, тим не менш, представити «найгірший» сценарій, коли ата-кують володіє повним знанням про мережу Крім того, це дозволяє побудувати-

ить сценарій активного аудиту таким чином, щоб інструментальні тес-ти мали мінімальні наслідки для АІС і не порушували її нормальної роботи

– Модель «сірого ящика» або «кришталевого ящика» – аудитор імітує дії внутрішнього користувача АІС, що володіє обліковим записом дос-тупа в мережу з певним рівнем повноважень Дана модель дозволяє

оцінити ризики, повязані з внутрішніми загрозами, наприклад від неблагона-

Дежньов співробітників компанії

Аудитори повинні погоджувати кожен тест, модель знання, примі-

няемие в тесті, і можливі негативні наслідки тесту з особами, зацікавлені-ресованнимі в безперервній роботі АІС (керівниками, адміністратора-ми системи тощо)

За результатами інструментальної перевірки проводиться перегляд ре-злиттів попереднього аналізу і, можливо, організовується додаткових-ве обстеження (рис 81)

Набір тестів

A Інструментальних ная перевірка

Аналіз вихідних даних

Набір питально-ков

Додаткове обстеження

B Інтервюю-вання

Аналіз даних A і B

Формирова-ня результату

Рис 81 Схема проведення активного аудиту ІБ

За результатами активного аудиту створюється аналітичний звіт, со-стоїть з опису поточного стану технічної частини СОІБ, списку знайдених вразливостей АІС зі ступенем їх критичності і результатів уп-Рощенье оцінки ризиків, що включає модель порушника і модель загроз

Додатково може бути розроблений план робіт з модернізації техниче

ської частини СОІБ, що складається з переліку рекомендацій з обробки ризиків

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*