9.2.4. Общие требования к средствам анализа защищенности

Информатика и вычислительная техника / Методы средств защиты компьтерной информации / 9.2.4. Общие требования к средствам анализа защищенности

Остановимся на некоторых общих характеристиках и требованиях к средствам анализа защищенности, которые нужно учитывать при их выборе и приобретении.

Обязательное условие, которое предъявляется к выбираемой системе, – отсутствие необходимости изменения сетевой инфраструктуры предприятия. В противном случае затраты на такую реорганизацию могут превысить стоимость самой системы анализа защищенности. В настоящий момент только разработка Internet Scanner компании Internet Security Systems удовлетворяет данному требованию.

При неправильном применении средств анализа защищенности ими могут воспользоваться злоумышленники для проникновения в корпоративную сеть. Поэтому средства анализа защищенности должны быть обеспечены механизмами разграничения доступа к своим компонентам и собранным данным.

К числу таких механизмов можно отнести:

· ограничение на запуск данных средств только пользователем с правами администратора;

· шифрование архивов данных сканирования;

· аутентификацию соединения при удаленном управлении;

· установку специальных прав на каталоги с системой и т.п.

Необходимо обратить внимание на наличие следующих возможностей процесса обнаружения уязвимостей:

· увеличения скорости сканирования за счет параллельной обработки нескольких устройств или сервисов;

· посылки уведомлений на каждый сканируемый узел сети во избежание несанкционированного использования системы;

· настройки на эксплуатационные требования сети для минимизации ложных срабатываний.

Постоянные изменения состояния корпоративной сети влияют и на ее защищенность. Поэтому в хорошей системе анализа защищенности должен быть предусмотрен режим работы по расписанию, чтобы, не дожидаясь, пока администратор «вспомнит» о ней, она самостоятельно проверяла уязвимости узлов сети и не только оповещала администратора о возникших проблемах, но и «рекомендовала» способы устранения выявленных уязвимостей. Если же такая возможность отсутствует в самой системе анализа защищенности, то необходимо поинтересоваться у поставщика, может ли предлагаемая система работать из командной строки. Подобный режим позволит воспользоваться встроенными в операционную систему сервисами, позволяющими запускать заданные программы по расписанию (примером является служба расписания AT для ОС Windows NT или CRON для ОС UNIX).

Одной из важных характеристик, на которую необходимо обратить внимание, является наличие системы генерации отчетов. Независимо от эффективности используемых механизмов обнаружения уязвимостей средства анализа защищенности, вряд ли, найдут применение в организации, если в них отсутствует система генерации отчетов. Она должна позволять создавать документы различной степени детализации и для разных категорий пользователей, начиная с технических специалистов и заканчивая руководителями организации.

Форма представления данных в отчетах имеет немаловажное значение. Документ, насыщенный только текстовой информацией, не принесет пользы. Использование же графики наглядно продемонстрирует руководству все проблемы с безопасностью в сети организации. Обязательное условие при выборе средств анализа защищенности – наличие в отчетах рекомендаций по устранению найденных проблем.

Постоянное обнаружение новых уязвимостей требует, чтобы система анализа защищенности предусматривала возможность пополнения базы данных уязвимостей.

Это может быть реализовано как при помощи специального языка описания уязвимостей, так и путем периодического пополнения уязвимостей, обеспечиваемого производителем системы. Для последующего анализа изменений уровня защищенности узлов корпоративной сети выбираемое средство должно позволять накапливать сведения о проведенных сеансах сканирования.

Эффективность применения систем анализа защищенности будет достигнута только в том случае, если их производитель постоянно обеспечивает свои продукты соответствующей поддержкой, учитывающей последние изменения в области обеспечения информационной безопасности. Информация об уязвимостях должна постоянно пополняться. Например, система SATAN не может быть рекомендована как надежное и эффективное средство, так как последние изменения в нее вносились несколько лет назад.

Однако следует отметить, что информация об уязвимости обычно появляется в базе данных системы не раньше, чем найдется ей «противоядие». Это является определенным недостатком всех способов поиска уязвимостей, поскольку злоумышленники могут воспользоваться имеющейся информацией до того, как появится способ устранения найденной уязвимости.