8(495)909-90-01
8(964)644-46-00
pro@sio.su
Главная
Системы видеонаблюдения
Охранная сигнализация
Пожарная сигнализация
Система пожаротушения
Система контроля удаленного доступа
Оповещение и эвакуация
Контроль периметра
Система домофонии
Парковочные системы
Проектирование слаботочных сетей
Аварийный
контроль
Вы находитесь в разделе Типовых решений систем безопасности

Противодействие внешним ит-угрозам. задачи и способы решения ,часть 2.,



2. Противодействие вредоностным программам Задача защиты компьютерных ресурсов и данных от вредоносных программ становится одной из ключевых задач антивирусного противодействия. Это обусловлено кажущейся сложностью решения задачи, т.к. вредоносные программы могут, во-первых, характеризоваться большим разнообразием (в общем случае можно считать, что их бесконечное множество, т.е. в принципе не представляется возможность все их выявить и проанализировать), различными способами внедрения на защищаемый компьютер и запуска, во-вторых, в отличие от программ, априори обладающих недекларируемыми возможностями, подобная возможность подобных программ исходно неизвестна (отсутствуют критерии отнесения той или иной программы к вредоносным без анализ свойств программы), в-третьих, они могут быть направлены на реализацию различных способов атаки на защищаемые ресурсы, которые, подчас, даже невозможно предугадать.

Единственно корректный подход к решению данной задачи (обеспечивается решение задачи защиты в общем виде) состоит в предотвращении самой возможности запуска сторонних процессов на защищаемом вычислительном средстве.

Решение задачи антивирусной защиты при этом обеспечивается в общем виде благодаря тому, что становится не важным ни способ занесения сторонней программы на защищаемое вычислительное средство, ни реализуемый сторонней программой способ атаки.

Решается эта задача реализацией механизма обеспечения замкнутости программной среды

Под обеспечением замкнутости программной среды в общем случае понимается локализация на защищаемом компьютере возможности запуска программ механизмом контроля доступа к ресурсам (контролем доступа на выполнение исполняемых файлов), при этом механизм реализован корректно лишь при условии, если им выполняются требования к полноте и к корректности разграничений доступа к исполняемыми файлами. Под полнотой разграничений понимается возможность разграничить доступ “на выполнение” для всех компьютерных ресурсов, с которых возможен запуск программы, а под корректностью разграничений понимается оказание противодействия любой возможности модификации разрешенных к запуску исполняемых файлов, а также запуск под их именем других (несанкционированных) программ.

Сегодня известны различные подходы к реализации механизма обеспечения замкнутости программной среды, например, задание разрешенных к запуску исполняемых файлов их списками, противодействие модификации исполняемых файлов путем контроля их целостности перед запуском. Большинство из них характеризуется сложностью администрирования и сильным влиянием на загрузку вычислительного ресурса.

Внимание. Механизм обеспечения замкнутости программной среды является ключевым механизмом защиты, который обязательно должен быть установлен, настроен и активизирован на защищаемом вычислительном средстве. Это обусловливает особые требования к простоте его администрирования и к влиянию данного механизма защиты на загрузку вычислительного ресурса защищаемого компьютера.

Эффективный подход к реализации механизма обеспечения замкнутости программной среды состоит в задании разрешенных к запуску процессов (приложений) заданием перечня папок (каталогов, подкаталогов), из которых пользователям разрешено запускать процессы. С учетом того, что должен контролироваться и запуск системных процессов, в качестве подобных папок целесообразно задавать каталоги C:\Program Files и C:\Winnt (WINDOWS). Данные каталоги должны запрещаться (не разрешаться) пользователям на запись, что предотвращает возможность модификации разрешенных на выполнение исполняемых файлов.

Достоинством подобного подхода к реализации механизма является то, что данный подход позволяет сохранить все штатные действия в части администрирования системы – он должен штатными средствами инсталлировать программы в каталог и штатными средствами их удалять из каталога. Запись в эти каталоги (в папки, в которых хранятся исполняемые файлы разрешенных на запуск санкционированных процессоа) должна быть запрещена всем пользователям, при этом в системе могут быть запущены только санкционированные процессы.

Внимание. Несанкционированная программа на компьютере может быть обнаружена с использованием средств аудита по зафиксированной попытке ее запуска (при этом будет зафиксирован отказ в запуске программы). Эту программу следует удалить.

Возможности механизма обеспечения замкнутости программной среды могут быть расширены за счет того, что в качестве субъекта доступа может выступать процесс. Используя данную возможность, можно реализовать более тонкую политику обеспечения замкнутости программной среды – задать какие исполняемые файлы могут запускаться критичными процессами (т.е. права на запуск исполняемых файлов для конкретных процессов могут быть усечены, чем данные права задаваемые в общем случае – для пользователя). В случае необходимости, может быть реализована и альтернативная возможность, состоящая в том, что в общем случае пользователю (соответственно запускаемым им процессам) запуск отдельных исполняемых файлов может быть не разрешен, а отдельным приложениям, наоборот, разрешен (например, для обеспечения корректности их функционирования). Таким образом появляется возможность разграничивать и контролировать не единичные факты запуска процессов (приложений) а последовательности запуска процессов.

2. Противодействие сетевым атакам

Атаки на защищаемые компьютерные ресурсы из внешней сети наиболее вероятны (т.к. какому-либо регламентированию подобный доступ не подлежит). Поэтому процессы (приложения), обеспечивающие работу с внешней сетью могут позиционироваться, как наиболее критичные. Вместе с тем, не следует заблуждаться относительно того, что именно эта составляющая угрозы информационной безопасности доминирует (естественно, что удаленно (из сети) эффективную атаку осуществить (естественно, при условии, что компьютер защищен) существенно сложнее, чем локально – с консоли). Вместе с тем, не обеспечив защиты компьютерных ресурсов от сетевых атак, говорить о комплексной защите информации не приходится.

2.2. Противодействие критичным (сетевым) приложениям

2.2.1. Локализация программной среды доступа во внешнюю сеть

С учетом того, что процессы (приложения), используемые для работы с внешней сетью, с наибольшей вероятностью могут быть подвержены атакам из внешней сети, их число, как следствие, и суммарную вероятность атаки следует минимизировать (локализовать), разрешив работу с внешней сетью только необходимым приложениям.

Задача локализации программной среды доступа во внешнюю сеть решается механизмом контроля доступа к сетевым ресурсам.

В порядке замечания по терминологии отметим, что иногда подобные средства называют персональным межсетевым экраном, что в принципе не верно, т.к. межсетевой экран это самостоятельное устройство устанавливаемое на стыке подсетей, основная задача которого заключается в их физическом разделении. Поэтому далее будем говорить о контроле доступа к сетевым ресурсам.

В данном механизме защиты, как и во всех иных механизмах защиты должна быть реализована разрешительная разграничительная политика доступа к ресурсам (Все что не разрешено – явно не задано, то запрещено). В части расширения функциональных возможностей механизма защиты, в схему контроля доступа должен быть включен процесс, как самостоятельный субъект доступа (при этом разграничения могут задаваться только для пользователя, только для процесса и для субъекта доступа пользователь и процесс).

Локализации программной среды доступа во внешнюю сеть реализуется следующим образом. Формируется список приложений (сетевых служб), которые могут использоваться на защищаемом компьютере для доступа во внешнюю сеть (также задается и номер порта, который может быть использован для взаимодействия с внешней сетью). После настройки механизма защиты иными (кроме заданных) приложениями с внешней сетью взаимодействовать будет невозможно.

В порядке замечания отметим, что этот механизм может быть использован для задания различных режимов работы с сетью для конфиденциальных и открытых данных, для формирования корпоративной сети, либо отдельных защищаемых фрагментов сети. С этой целью необходимо настроить правила разграничения доступа (по адресам и портам сетевых хостов) для пользователей (при этом пользователи могут обладать различными полномочиями: передача открытой информации без ограничений по доступу к хостам, а передача конфиденциальных данных – в рамках корпоративной сети – для этой учетной записи разрешается взаимодействие только с хостами копоративной сети). В этом случае, при задании соответствующих разграничений для пользователей (учетных записей - сессий), допущенных к работе с открытыми и конфиденциальными данными конфиденциальные данные не смогут попасть в открытую сеть (противодействие внутренним ИТ-угрозам – атакам со стороны инсайдеров), причем один пользователь (под различными учетными записями) может иметь доступ и к внешней, и к корпоративной сети.

2.2.1. Локализация прав доступа критичных (сетевых) приложений

Задача защиты компьютерных ресурсов и данных от критичных (сетевых) приложений программ, следует формулировать и рассматривать по полной аналогии с задачей противодействия процессам, априори обладающим недекларируемыми возможностями. Это обусловлено тем, что вероятность обнаружения уязвимости, в частности, вызванной ошибкой программирования, наиболее высока (это является следствием не качества разработки подобных приложений – ошибки программирования есть всегда, в любых приложениях, а максимальной заинтересованностью потенциальных злоумышленников в обнаружении недостатков именно в этих программных средствах, ввиду того, что подобные уязвимости наиболее доступны для осуществления атаки на корпоративные ресурсы, конечно, в предположении, что корпоративные вычислительные средства подключены к внешней сети).

Внимание. Защита компьютерных ресурсов от критичных (сетевых) приложений осуществляется реализацией для них соответствующих прав доступа (локализацией прав доступа критичных приложений) к данным и к системным ресурсам (системным объектам файловой системы и реестра ОС). При этом решение задачи реализуется по аналогии с решением задачи противодействия процессам, априори обладающим недекларируемыми возможностями (см. часть 1. .

2.2.1. Противодействие критичным (сетевым) приложениям, запускаемым системыми правами

В корпоративных приложениях ряд сетевых служб, например, серверные сервисы, могут запускаться с системными правами, в частности, с правами пользователя System. Как правило, данные приложения не имеют собственных средств защиты. Современными же ОС семейства Windows не обеспечивается возможность разграничить права доступа системных пользователей к системным ресурсам (запретите системный диск пользователю System на запись и увидите синий экран). Подобный архитектурный недостаток защиты современных ОС, несомненно, являющийся одной из архитектурных уязвимостей ОС, приводит к тому, что наличие ошибки в сетевом приложении, запускаемом с системными правами, позволяет пользователю получить полное управление защищаемым компьютером).

Невозможность разграничить в полном объеме права доступа для системных пользователей к системным файловым объектам (в частности, невозможно запретить модифицировать системный диск) и к системным объектам реестра ОС является критичной архитектурной уязвимостью ОС. Об уязвимости здесь следует говорить потому, что ОС, с одной стороны, не обеспечивает в полном объеме возможности ограничить права доступа к ресурсам для системных пользователей, с другой стороны, предоставляет услугу по запуску приложений с системными правами (что несет в себе явное противоречие, с точки зрения принципов обеспечения информационной безопасности). Невозможность осуществления подобных разграничений вызвана тем, что с правами системного пользователя к данным объектам обращаются и некоторые системные процессы. Поэтому если системному пользователю запретить доступ к системным компьютерным ресурсам, тем самым, будет запрещен соответствующий доступ и системным процессам, что приведет к нарушению работоспособности ОС.

Для решения рассматриваемой задачи предлагается использовать следующий подход.

Основанный на том, что при управлении доступом к ресурсам (здесь нас интересуют файловые объекты и объекты реестра ОС) различаются два самостоятельных субъекта доступа – пользователь и процесс. При этом возможно управлять доступом (разграничивать права доступа) не только для субъекта пользователь, но и для субъекта процесс. Системному пользователю (рассмотрим на примере System) запрещается доступ на запись к системному диску и к системным областям реестра ОС. При этом любое сетевое приложение, запущенное с правами системного пользователя доступ к этим объектам получить не сможет. Выделяются системные процессы, которым подобное право доступа следует разрешить – для них задается эксклюзивный режим обработки запросов процессов - доступ к объекту разрешается, если он разрешен процессу. Заметим, что это не снижает уровня защиты, т.к. системные процессы не имеют интерфейса с пользователем, а возможность их модификации предотвращается механизмом обеспечения замкнутости программной среды.

Рассмотрим примеры настройки соответствующих механизмов, выполненные в следующих предположениях.

Операционная система установлена на диске C:;

Все программы, разрешенные пользователь на запуск, располагаются (и инсталлируются администратором) в каталогах: C:\Winnt (WINDOWS), C:\Program Files.

Установка запрета доступа на запись к системному диску для виртуального пользователя System связано с включением в схему разграничения прав доступа привилегированных процессов – здесь системных процессов, для которых устанавливаются права доступа вне прав пользователя, в частности, этим системным процессам для корректного функционирования системы вне прав пользователя System разрешается запись на системный диск.

Пример настройки механизма для рассматриваемого случая представлен в Табл. 1

Таблица 1. Настройка прав доступа пользователя System к системному диску
Субъект доступа Ресурсы
Пользователи Разрешённые
для чтения		 Разрешённые для записи Разрешённые
для выполнения
System C: C:\Documents and Settings C:\Program Files C:\Winnt (WINDOWS)
Процессы Запрещенные
для чтения 		Запрещенные для записи Запрещенные для выполнения
С:\WINNT (WINDOWS)\system32\winlogon.exe      
С:\WINNT (WINDOWS)\system32\lsass.exe      
С:\WINNT (WINDOWS)\system32\csrss.exe      
С :\WINNT (WINDOWS)\system32\svchost.exe      
С:\WINNT (WINDOWS)\system32\services.exe      
Заметим, что выделенным привилегированным процессам в Табл.1 разрешен доступ на запись ко всему системному диску. При необходимости, можно проанализировать (с использованием средств аудита), к каким конкретно файловым объектам необходимо разрешить обращаться привилегированным процессам и разрешить им доступ (вне прав пользователя) только к этим объектам.

Установка запрета доступа к реестру ОС, так же, как и к системным файловым объектам, для виртуального пользователя System связано с включением в схему разграничения прав доступа привилегированных процессов – здесь системных процессов, для которых устанавливаются права доступа вне прав пользователя (данные процессы рассматриваются как самостоятельные субъекты доступа).

Пример настройки механизма для рассматриваемого случая представлен в Табл.2.

Таблица Настройка прав доступа пользователя System к реестру ОС
Субъект доступа Ресурсы
Пользователи Разрешённые
для чтения		 Разрешённые для записи
System   HKCU \*
Процессы Запрещенные
для чтения 		Запрещенные
для записи
C:\Client    
C:\WINDOWS(WINNT)\system32\csrss.exe    
C:\WINDOWS(WINNT)\system32\winlogon.exe    
C:\WINDOWS(WINNT)\system32\services.eexe    
C:\WINDOWS(WINNT)\system32\userinit.eexe    
C:\WINDOWS(WINNT)\system32\rundll32.eexe    
C:\Program Files\Microsoft Office\Office10    
C:\WINDOWS(WINNT)\system32\lsass.exe   HKLM\SAM\SAM\ DOMAINS\BUILTIN*
С:\WINDOWS(WINNT)\system32\svchost.eexe    
Процессы Разрешённые для записи Разрешённые для записи
С:\WINDOWS(WINNT)\explorer.exe   HKCU \*
Замечание. Выделенным привилегированным процессам в Табл.2 разрешен доступ на запись ко всем объектам реестра ОС. При необходимости, можно проанализировать (с использованием средств аудита), к каким конкретно объектам реестра необходимо разрешить обращаться привилегированным процессам и разрешить им доступ (вне прав пользователя) только к этим объектам. В качестве примера в Табл.2 приведены подобные разграничения для процесса Lsass.exe, которые обеспечивают запрет работы с учётными записями пользователей. Наиболее распространенные действия злоумышленника при получении системных прав сводятся к заведению новой учетной записи в системе в группе администраторов, с последующим доступом в систему под этой учетной записью. При данных разграничениях для процесса Lsass.exe завести нового пользователя в системе становится невозможным.

Вывод. При реализации данного подхода права доступа к системному диску и к реестру ОС пользователя System практически не отличаются от прав обычных пользователей, поэтому несанкционированное получение системных прав злоумышленником, не позволит осуществить ему сколько-нибудь критичных действий в части модификации значимых для безопасности системы файловых объектов и областей реестра ОС. Аналогичные разграничения могут быть установлены и для критичных информационных объектов (файловых объектов, хранящих конфиденциальные данные).

2.2. Контроль использования критичными (сетевыми) приложениями сервисов олицетворения

ОС предоставляет приложениям сервис олицетворения – возможность заимствования при обращении к ресурсам потоком, порождаемым процессом, запущенным с правами одного пользователя, прав другого пользователя. При некорректном использовании приложением сервиса олицетворения появляется угроза неоднозначной идентификации пользователя при доступе к ресурсам, что приводит к осуществлению доступа к ресурсам с правами, иными чем исходно заданы для пользователя (т.е. в обход заданной разграничительной политики доступа к ресурсам). С учетом того, что, как правило, на одном компьютере может обрабатываться как открытая, так и конфиденциальная информация, причем реализация данной обработки корректна только при обработке информации различной категории под различными учетными записями - при этом учетные записи обладают различными полномочиями и привилегиями, использование сервисов олицетворения допустимо только с целью понижения полномочий. Поэтому контроль должен состоять в предотвращении возможности повышения полномочий при доступе к ресурсам (заметим, такой контроль не осуществляется встроенными в ОС механизмами защиты). В этом случае критичные (сетевые) приложения, используемые для обмена по сети открытыми данными, даже в случае успешной атаки на них из сети, не смогут получить несанкционированных прав доступа к конфиденциальным данным.

Обозначим: Ixy — олицетворение потока с исходным идентификатором доступа x и олицетворяющим идентификатором доступа y. Представим Ixy в виде матрицы олицетворения I, отображающей варианты заимствования прав. Введем следующие обозначения. Пусть множество C = {C1…Cn} — линейно упорядоченное множество субъектов доступа. В качестве субъекта доступа Сk, k = 1…n рассматривается как отдельный субъект, так и группа субъектов, обладающих одинаковыми правами доступа. Введем следующую иерархию субъектов доступа: чем меньше порядковый номер (идентификатор) k субъекта, тем большими полномочиями он обладает. Обозначим Xk — исходный идентификатор субъекта доступа Ck, Yk — олицетворяющий идентификатор субъекта доступа Ck.



Модель управления олицетворением контекстов защиты формально может быть описана следующим образом: элемент (Iij) матрицы олицетворения I назначается следующим образом: Iij = 1, если ; Iij = 0, если ; где i – порядковый номер исходного идентификатора субъекта доступа (номер строки в матрице олицетворения), j – порядковый номер олицетворяющего идентификатора субъекта доступа (номер столбца в матрице олицетворения). Т.е. разрешенными считаются олицетворения, не приводящие к повышению полномочий субъекта доступа.

Вывод. Смена идентификатора доступа считается корректной, если субъект доступа, описываемый исходным идентификатором доступа, обладает большими или равными полномочиями по отношению к субъекту доступа, описываемому олицетворяющим (целевым) идентификатором доступа (Ixy, ).

Заметим, что применительно к задаче обеспечения корректности идентификации субъекта доступа, одинаково важно не только запретить некорректные олицетворения контекстов защиты, но и предусмотреть возможность осуществления санкционированных олицетворений, согласно сформулированным выше условиям корректности смены идентификаторов доступа. Таким образом, поход к обеспечению корректности идентификации субъекта доступа может считаться эффективным, если он:

а) позволяет запретить все некорректные олицетворения;

б) предусматривает возможность разрешений всех необходимых корректных вариантов заимствования прав.

Эта проблема обусловлена тем, что на практике различные приложения запускаются с различными правами (пользователя, системного пользователя, например, System) поэтому каждое приложение в общем случае может потребовать собственных правил разрешенных (запрещенных) вариантов олицетворения.

Механизм контроля сервисов олицетворения (при корректной его реализации) предполагает возможность назначить разрешительную, либо запретительную политику смены первичного маркера для процессов, причем в качестве субъекта доступа здесь выступает процесс (может задаваться полнопутевым именем, именем папки – одинаковые разграничения действую для всех процессов, запускаемых из этой папки, маской), что обеспечивает максимальную гибкость применения механизма, в качестве объектов разграничений – пара: исходный меркер безопасности (исходное имя пользователя) и маркер безопасности, на который разрешается, либо запрещается менять исходный маркер (эффективное имя пользователя).

Внимание. С точки зрения защиты от сетевых атак позволительно разрешать только понижение полномочий с использованием сервиса олицетворения. Т.к. механизмом защиты контролируются все попытки олицетворений любого процесса, то возможность атаки на конфиденциальные данные из сети (за счет того, что сетевое приложение, запущенное с правами учетной записи открыто, может себя олицетворить с правами учетной записи конфиденциально) при корректной настройке механизма (осуществляемой с использованием средств аудита) исключается.

В порядке замечания отметим, что при настройке механизма необходимо предусмотреть предотвращение возможности олицетворения приложений (прежде всего, сетевых служб) с правами привилегированных пользователей - с правами администратора и системных пользователей.

2. Противодействие шпионским программам

Любая программа, причем, как коммерческая, так и свободно распространяемая (последняя, естественно, с большей вероятностью) может обладать шпионскими функциями, которые могут быть направлены, как на хищение конфиденциальных данных, так и на сбор сведений о системных ресурсах защищаемого компьютера. Для передачи несанкционированно собранной информации, в первую очередь, шпионские программы используют сетевые ресурсы (передается через внешнюю сеть). Как следствие, противодействие шпионским программам во многом аналогично противодействию критичным (сетевым приложениям).

Шпионскими функциями может обладать специально созданная для решения этих задач программа. Подход к решению задачи противодействия подобным программам состоит в использовании механизма обеспечения замкнутости программной среды.

Внимание. Единственно корректный подход к решению данной задачи (обеспечивается решение задачи защиты в общем виде) состоит в предотвращении самой возможности запуска сторонних процессов (в том числе и шпионских программ) на защищаемом вычислительном средстве.

Решение задачи противодействия шпионским программам при этом обеспечивается в общем виде благодаря тому, что становится не важным ни способ занесения сторонней программы на защищаемое вычислительное средство, ни реализуемые сторонней программой шпионские функции.

Решается эта задача реализацией механизма обеспечения замкнутости программной среды

Шпионские функции могут представлять собою недекларируемые возможности приложений, в том числе и доступ к внешней сети для которых является недекларируемой функцией.

Внимание. С учетом того, что шпионскими функциями могут обладать процессы, осуществляющие недекларируемый доступ во внешнюю сеть, противодействие данным шпионским программам следует оказывать, путем разрешения работы с внешней сетью только необходимым приложениям.

Решается эта задача реализацией механизма локализации программной среды доступа во внешнюю сеть – доступ во внешнюю сеть предоставляется только необходимым сетевым приложениям.

Шпионские функции могут представлять собою недекларируемые возможности приложений предназначенныехдля работы с внешней сетью (сетевые службы).

Внимание. С учетом того, что шпионскими функциями могут обладать процессы, предназначенные для работы с внешней сетью, для этих приложений должны устанавливаться соответствующие права доступа к данным и к системным ресурсам (системным объектам файловой системы и реестра ОС) (см. часть 1. . В частности, сетевые приложения, используемые для доступа во внешнюю сеть, должны иметь доступ только к открытым данным (это защитит конфиденциальную информацию от ее выдачи во внешнюю сеть шпионской программой). В рамках реализации корпоративной сети предприятия (для обмена конфиденциальными данными), должен контролироваться доступ к внешним хостам, причем должна быть реализована разрешительная разграничительная политика доступа.

Внимание. Механизмами аудита должен осуществляться аудит всех обращений во внешнюю сеть, позволяющий обнаружить и зафиксировать недекларируемую возможность процесса, как по доступу в сеть, так и по несанкционированному обращению к внешним хостам.

2. Анализ недекларируемых разработчиком функций приложений. Локализация функций приложения

Приобретая коммерческое ПО, используя свободно распространяемое ПО, да даже используя ПО, разработанное под заказ, никто не может поручиться за то, что в этом ПО отсутствуют недекларируемые разработчиком возможности. Это делает использование подобного ПО в слепую, что особенно критично при обработке конфиденциальной информации. Осуществить же какой-либо осмысленный анализ функциональных возможностей ПО на основе анализа его исходных кодов, во-первых, для современных сложных программных средств не представляется возможным технически, во-вторых, не всегда может быть законным (если требуется его дизассемблирование).

Средство защиты должно обеспечивать перехват запросов на уровне ядра ко всем значимым ресурсам защищаемого вычислительного средства, как к прикладным, так и к системным, т.е. должно обеспечивать возможность фиксировать действия приложений. Поставив средствами аудита действия критичного (нуждающегося в проверке на наличие недекларируемых функций) приложения на аудит, за определенное время его тестовой эксплуатации можно определить и проанализировать работу приложения в штатном режиме (к каким ресурсам и с какой целью обращается приложение, какие сервисы и с какой целью использует приложение). Если в результате анализа не будет выявлено недеклалируемых разработчиком действий приложения, то для контролируемого приложения данный зафиксированный набор действий может быть локализован механизмами контроля доступа к ресурсам. Так как механизмы защиты

Должны обеспечивать при защите конфиденциальной информации реализацию разрешительной разграничительной политики доступа к ресурсам Все что не разрешено (явно не указано), то запрещено, то в любом ином действии приложению при последующем его функционировании будет отказано, а если подобное действие будет присутствовать, то оно будет зафиксировано средствами аудита.

Если недекларируемые разработчиком действия приложения выявляются на этапе тестовой работы приложения, можно попытаться отключить эти возможности, установив соответствующие запреты механизмами защиты (если это не нарушит корректности работы приложения), либо потребуется заменить приложение на иное.

Также, используя механизмы защиты, можно попытаться отключить отдельные декларируемые разработчиками функциональные возможности приложения (например, запретить приложению запуск макроса и т.д.). Однако при этом необходимо проверить, насколько после этого приложение будет корректно функционировать.

Внимание. Функциональные возможности критичных приложений могут полностью быть локализованы, что в принципе предотвращает возможность несанкционированного использования этих приложений злоумышленником. Настройка разграничительной политики доступа к ресурсам для критичных приложений осуществляется с использованием средств аудита.

Заключение

Несмотря на то, что данный материал посвящен только составляющей защиты информации (противодействие внешним ИТ-угрозам), он наглядно иллюстрирует следующий набор требований к построению средства защиты конфиденциальной информации в корпоративных приложениях:
  1. Средство защиты должно быть специализированным – должно быть ориентированно на конкретную область приложений (в частности, защита конфиденциальной информации в корпоративных приложениях – это отдельная конкретная область приложений). Универсализация средства защиты применительно к различным приложениям недопустима, т.к. это приводит к снижению эффективности защиты и к усложнению администрирования механизмов защиты. Это обусловливается тем, что каждой областью приложений средства защиты выдвигаются свои требования к реализации механизмов защиты, которые подчас являются взаимоисключающими для различных приложений.
  2. Средство защиты, созданное для конкретных приложений, должно решать в комплексе необходимый набор задач защиты, актуальных для конкретного приложения, в частности, применительно к защите конфиденциальной информации, обеспечивать противодействие внутренним и внешним ИТ-угрозам. Реализация частных решений недопустима, т.к. некоторые решения для альтернативных типов угроз взаимно исключают друг друга. Реализация частного решения приводит к повышению эффективности противодействия одной группе угроз, за счет снижения эффективности противодействия другой группе угроз. Результирующая эффективность частного решения всегда будет оставаться невысокой. Только комплексный подход к решению задачи защиты информации позволяет получать эффективные специализированные технические средства защиты информации.
  3. Реализация комплексного решения не должна приводить к сколько-нибудь существенному усложнению средства защиты, т.к. большинство задач защиты противодействия альтернативным типам угроз (внешним и внутренним ИТ-угрозам) решаются одними и теми же механизмами (решение реализуется на основании одних и тех же подходов). Другое дело, что функциональные возможности основных механизмов защиты, в частности механизмов контроля доступа к ресурсам, при реализации комплексного решения требуют кардинального расширения, вследствие пересмотра решаемых механизмами защиты задач при комплексном подходе к защите информации.


Внимание. Комплексное специализированное средство защиты, в частности ориентированное на комплексную защиту конфиденциальной информации в корпоративных приложениях, реализующее данные требования, будет отличаться подходом к реализации и функциональными возможностями практически каждого механизма защиты в своем составе, причем как от универсального средства, так и от средства, решающего частную задачу защиты информации, например, только задачу противодействия внутренним ИТ-угрозам (именно эта частная задача защиты информации сегодня наиболее часто решается добавочными средствами).

В заключение отметим, что все рассмотренные в работе подходы реализованы и апробированы в Комплексной системе защиты информации (КСЗИ) Панцирь-К для ОС Windows 2000/XP/2003 (большинство из которых запатентовано сотрудниками ЗАО НПП Информационные технологии в бизнесе, получено 14 патентов на изобретения).

Эти решения кардинально отличаются от подходов, реализуемых в современных ОС семейства Windows и в иных средствах защиты.




Читайте далее:
Анализ рынка безопасности ,март 2005 года,
безопасность загородной недвижимости стоит дорого
Защита банка
7. портрет участника рынка безопасности 2007 года
Конкуренция в южнокорейском экспорте
Перспективы азиатского рынка безопасности в 2003 году
11 - 15 февраля 2008 года
18 - 24 февраля 2008 года
17 - 23 марта 2008 года
21 - 27 апреля 2008 года ,рынок безопасности,
28 - 30 апреля 2008 года ,рынок it,
01 - 04 мая 2008 года ,рынок безопасности,
05 - 11 мая 2008 года ,рынок it,
19 - 25 мая 2008 года ,рынок it,
Кто там?