Основы безопасности информационных систем ДокладчикMicrosoft

Содержание Значение информационной безопасности Значение информационной безопасности Управление рисками Управление рисками Глубокая оборона Глубокая оборона Необходимые действия при защите от атак Необходимые действия при защите от атак Десять законов информационной безопасности Десять законов информационной безопасности

Последствия нарушения безопасности Потери доходов Снижение доверия инвесторов Ухудшение репутации Потеря или компрометация данных Нарушение бизнес- процесса Снижение доверия клиентов Правовые последствия

Финансовые потери

Содержание Значение информационной безопасности Значение информационной безопасности Управление рисками Управление рисками Глубокая оборона Глубокая оборона Необходимые действия при защите от атак Необходимые действия при защите от атак Десять законов информационной безопасности Десять законов информационной безопасности

Дисциплина управления рисками Оценка Оценка Анализ объектов Анализ объектов Идентификация угроз Идентификация угроз Анализ и расстановка приоритетов Анализ и расстановка приоритетов Планирование, назначение и отслеживание действий по работе с рисками Планирование, назначение и отслеживание действий по работе с рисками Разработка и внедрение Разработка и внедрение Разработка и тестирование процесса исправления Разработка и тестирование процесса исправления Сохранение знаний Сохранение знаний Операции Операции Повторная оценка объектов и рисков Повторная оценка объектов и рисков Стабилизация и применение новых или измененных контрмер Стабилизация и применение новых или измененных контрмер

Приоритеты объектов (шкала от 1 до 10) 1. Сервер обеспечивает базовую функциональность и не влияет на финансовую сторону бизнеса 3. Сервер содержит важную информацию, данные могут быть быстро восстановлены 5. Сервер содержит важную информацию, восстановление данных потребует времени 8. Сервер содержит важные бизнес-данные, его потеря существенно повлияет на продуктивность всех пользователей 10. Сервер имеет критически важное значение для бизнеса, его потеря повредит конкурентоспособности компании Оценка и анализ объектов 7 Web-сервер отдела кадров 8 Порталы отделов 10 Интранет-портал компании 8 Серверы файлов и печати 1 Серверы DHCP 3 Серверы WINS 5 Дочерние серверы DNS 4 Корневой сервер DNS 8 Контроллеры дочерних доменов 8 Контроллеры корневого домена Приоритет Классификация сервера

Идентификация угроз (STRIDE) Тип угрозыПримеры Имитация (Spoofing) Подделка электронных сообщений Подделка электронных сообщений Подделка ответных пакетов при аутентификации Подделка ответных пакетов при аутентификации Фальсификация (Tampering) Модификация данных, передаваемых по сети Модификация данных, передаваемых по сети Модификация файлов Модификация файлов Отречение (Repudiation) Удаление критичного файла или совершение покупки с последующим отказом признавать свои действия Удаление критичного файла или совершение покупки с последующим отказом признавать свои действия Раскрытие информации (Information disclosure) Несанкционированный доступ или незаконная публикация конфиденциальной информации Несанкционированный доступ или незаконная публикация конфиденциальной информации Отказ в обслуживании (Denial of service) Заполнение сети пакетами «SYN» Заполнение сети пакетами «SYN» Загрузка сетевого ресурса большим количеством поддельных пакетов ICMP Загрузка сетевого ресурса большим количеством поддельных пакетов ICMP Повышение привилегий (Elevation of privilege) Получение системных привилегий через атаку с переполнением буфера Получение системных привилегий через атаку с переполнением буфера Незаконное получение административных прав Незаконное получение административных прав

Анализ рисков Основные цели анализа рисков Основные цели анализа рисков Идентификация угроз Идентификация угроз Определение степени воздействия угрозы Определение степени воздействия угрозы Обеспечение баланса между степенью риска и стоимостью противодействия Обеспечение баланса между степенью риска и стоимостью противодействия Вычисление рейтингов угроз по модели DREAD Вычисление рейтингов угроз по модели DREAD Установить рейтинг (от 1 до 10) для каждой из пяти областей и взять среднее значение Установить рейтинг (от 1 до 10) для каждой из пяти областей и взять среднее значение Ущерб (Damage) Ущерб (Damage) Воспроизводимость (Reproducibility) Воспроизводимость (Reproducibility) Используемость (Exploitability) Используемость (Exploitability) Затрагиваемые пользователи (Affected Users) Затрагиваемые пользователи (Affected Users) Открытость (Discoverability) Открытость (Discoverability) Степень риска = Приоритет объекта * Рейтинг угрозы Степень риска = Приоритет объекта * Рейтинг угрозы

Разработка и внедрение политики безопасности Политика безопасности Анализ угроз и рисков Управление конфигурациями Управление конфигурациями Управление обновлениями Управление обновлениями Мониторинг систем Мониторинг систем Аудит систем Аудит систем Операционные политики Операционные политики Операционные процедуры Операционные процедуры Тестовая лаборатория

Сохранение знаний и обучение Главный офис Сервисы Интернет LAN Тестовая лаборатория Формализация процесса накопления знаний и опыта, полученных при анализе угроз и уязвимостей системы Формализация процесса накопления знаний и опыта, полученных при анализе угроз и уязвимостей системы Последующее обучение персонала Последующее обучение персонала

Повторная оценка и изменения Главный офис Сервисы Интернет LAN Тестовая лаборатория При изменении или при появлении новых объектов необходимо проводить повторную оценку и анализ При изменении или при появлении новых объектов необходимо проводить повторную оценку и анализ Модификация политики безопасности Модификация политики безопасности Новые сервисы

Общая картина операций по управлению рисками Отслеживание Планирование Анализ Контроль Идентификация

Содержание Значение информационной безопасности Значение информационной безопасности Управление рисками Управление рисками Глубокая оборона Глубокая оборона Необходимые действия при защите от атак Необходимые действия при защите от атак Десять законов информационной безопасности Десять законов информационной безопасности

Защита на всех уровнях Упрощает процесс обнаружения вторжения Упрощает процесс обнаружения вторжения Снижает шансы атакующего на успех Снижает шансы атакующего на успех Политики и процедуры Защита ОС, управление обновлениями, аутентификация Межсетевые экраны, Карантин VPN-соединений Охрана, средства наблюдения Сегментация сети, IP Security, Система обнаружения вторжений Защита приложений, антивирусные системы Списки контроля доступа, шифрование Обучение пользователей Физическая защита Периметр Внутренняя сеть Компьютер Приложения Данные

Пользователи часто забывают о безопасности В качестве пароля я возьму свое имя. Мне нужно настроить брандмауэр. Какие порты мне заблокировать? Я зафиксирую дверь в серверную открытой. Так удобнее! Доступ к моим любимым сайтам заблокирован. К счастью, у меня есть модем!

Социальный инжиниринг А у нас тоже есть сеть! Как вы настраиваете свои брандмауэры? Я никак не могу придумать хороший пароль. А вы какой используете? Вы не знаете, как пройти в серверную комнату? Отличный модем! А какой номер у вашей линии?

Политики, процедуры и обучение Правила обращения с секретной информацией Процедура запроса оборудования Процедура настройки брандмауэра Политика физического доступа к серверам Своевременное обучение пользователей правилам и процедурам защиты

Воздействия при физическом доступе Установка вредного программного кода Демонтаж оборудования Порча оборудования Просмотр, изменение, удаление файлов

Физическая защита Физическая защита Блокировка дверей, средства слежения и сигнализации Выделенный персонал для охраны Жесткая регламентация процедур доступа в серверные помещения Удаление лишних устройств ввода данных Системы видео-наблюдения Средства удаленного администрирования

Филиал Периметр информационной системы В периметр системы входят подключения к Интернет Филиалам Сетям партнеров Мобильным пользователям Беспроводным сетям Интернет-приложениям Бизнес-партнер Сервисы Интернет LAN Главный офис LAN Сервисы Интернет LAN Беспроводная сеть Мобильный пользователь Интернет

Филиал Компрометация периметра Направления атак через периметр: На сеть предприятия На мобильных пользователей От партнеров От филиалов На сервисы Интернет Из Интернет Бизнес-партнер Сервисы Интернет LAN Главный офис LAN Сервисы Интернет LAN Беспроводная сеть Мобильный пользователь Интернет

Филиал Защита периметра Средства и действия Межсетевые экраны Блокировка портов Трансляция IP-адресов Частные виртуальные сети (VPN) Туннельные протоколы Карантин VPN Бизнес-партнер Сервисы Интернет LAN Главный офис LAN Сервисы Интернет LAN Беспроводная сеть Мобильный пользователь Интернет

Угрозы локальной сети Неавторизованный доступ к системам Перехват сетевых пакетов Некорректное использование коммуникационных портов Несанкционированный доступ ко всему сетевому трафику Неавторизованный доступ к беспроводной сети

Защита локальной сети Защита локальной сети Взаимная аутентификация пользователей и сетевых ресурсов Сегментация локальной сети Шифрование сетевого трафика Контроль доступа к сетевым устройствам Блокировка неиспользуемых портов Цифровая подпись сетевых пакетов

Компрометация компьютера Небезопасная конфигурация операционной системы Неконтролируемый доступ Использование уязвимостей операционной системы Распространение вирусов

Защита компьютеров Защита компьютеров Взаимная аутентификация пользователей, серверов и рабочих станций Защита операционной системы Установка обновлений безопасности Отключение неиспользуемых сервисов Аудит успешных и неуспешных событий Установка и обновление антивирусных систем

Компрометация приложений Настольные приложения для создания и модификации данных Серверные приложения (Exchange Server, SQL Server и др.) Потеря приложения Потеря приложения Исполнение вредного кода Исполнение вредного кода Экстремальная загрузка приложения (DoS) Экстремальная загрузка приложения (DoS) Несанкционированные и некорректные операции Несанкционированные и некорректные операции

Защита приложений Защита приложений Включать только необходимые службы и функции приложений Настройка параметров защиты приложений Установка обновлений безопасности Запуск приложений в контексте с минимальными привилегиями Установка и обновление антивирусных систем

Компрометация данных Документы Приложения Active Directory Просмотр, модификация или уничтожение информации Несанкционированный доступ к файлам хранилища службы каталогов Замена или модификация модулей приложений

Защита данных Защита данных Защита файлов средствами Шифрующей файловой системы (EFS) Настройка ограничений в Списках контроля доступа Система резервного копирования и восстановления Защита на уровне документов с помощью Windows Right Management Services

Содержание Значение информационной безопасности Значение информационной безопасности Управление рисками Управление рисками Глубокая оборона Глубокая оборона Необходимые действия при защите от атак Необходимые действия при защите от атак Десять законов информационной безопасности Десять законов информационной безопасности

Атака червя на порт UDP 135 (Blaster) Периметр Периметр Межсетевой экран должен блокировать порт 135 Межсетевой экран должен блокировать порт 135 Внутренняя сеть Внутренняя сеть Просканировать сеть и обнаружить уязвимые компьютеры Просканировать сеть и обнаружить уязвимые компьютеры Проверить машины, подключаемые через Службу удаленного доступа, на наличие обновлений Проверить машины, подключаемые через Службу удаленного доступа, на наличие обновлений Windows Server 2003 RRAS Quarantine Windows Server 2003 RRAS Quarantine Компьютер Компьютер Установить соответствующие обновления Установить соответствующие обновления Разрешить входящий трафик для порта UDP 135 только на машинах, которым требуется RPC Разрешить входящий трафик для порта UDP 135 только на машинах, которым требуется RPC Фильтры IP Security Фильтры IP Security Заблокировать ненужный входящий трафик Заблокировать ненужный входящий трафик Internet Connection Firewall Internet Connection Firewall

Почтовые черви Периметр Периметр Сканирование всех вложений на шлюзе SMTP Сканирование всех вложений на шлюзе SMTP Внутренняя сеть Внутренняя сеть Проверить хосты, подключаемые через Службу удаленного доступа, на наличие актуальных обновлений и сигнатур вирусов Проверить хосты, подключаемые через Службу удаленного доступа, на наличие актуальных обновлений и сигнатур вирусов Приложения Приложения Microsoft Office 98 Microsoft Office 98 Установить обновления безопасности Microsoft Outlook® 98 Установить обновления безопасности Microsoft Outlook® 98 Office 2000 Office 2000 Установить Service Pack 2 или более поздний Установить Service Pack 2 или более поздний Office XP et Office 2003 Office XP et Office 2003 Усиленная защита от почтовых вирусов включена по умолчанию Усиленная защита от почтовых вирусов включена по умолчанию Пользователи Пользователи Правила обращения с файлами в почтовых вложениях Правила обращения с файлами в почтовых вложениях «Не открывайте файлы, если вы не уверены, что это безопасно» «Не открывайте файлы, если вы не уверены, что это безопасно»

Стандартный процесс обработки инцидента Обнаружение атаки Идентификация атаки Оповещение Защитные действия Превентивны е меры Документирование Выключить и отсоединить пораженные компьютеры от сети Исследовать пораженные компьютеры Заблокировать входящий и исходящий сетевой трафик Зафиксировать улики вторжения

Содержание Значение информационной безопасности Значение информационной безопасности Управление рисками Управление рисками Глубокая оборона Глубокая оборона Необходимые действия при защите от атак Необходимые действия при защите от атак Десять законов информационной безопасности Десять законов информационной безопасности

Законы информационной безопасности 1. Если плохой парень может запускать свои программы на Вашем компьютере – это больше не Ваш компьютер. 2. Если плохой парень может изменить настройки операционной системы на Вашем компьютере – это больше не Ваш компьютер. 3. Если плохой парень имеет неограниченный физический доступ к Вашему компьютеру – это больше не Ваш компьютер. 4. Если Вы разрешаете плохому парню загружать исполняемые файлы на Ваш Web-сайт – это больше не Ваш Web-сайт. 5. Слабые пароли сводят на нет сильную систему защиты.

6. Машина защищена ровно настолько, насколько Вы уверены в своем администраторе. 7. Зашифрованные данные защищены ровно настолько, насколько защищен ключ шифрования. 8. Устаревший антивирусный сканер не намного лучше, чем отсутствие сканера вообще. 9. Абсолютной анонимности практически не бывает, ни в реальной жизни, ни в Интернете. 10. Технологии – не панацея. Законы информационной безопасности

Информация Информационный ресурс Microsoft по безопасности Информационный ресурс Microsoft по безопасности Для профессионалов IT: Для профессионалов IT: На русском языке: На русском языке: Руководства Microsoft по защите информационных систем Руководства Microsoft по защите информационных систем Computer Security Institute Computer Security Institute

© 2004 Microsoft Corporation. All rights reserved. This session is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.