Проведение аудита информационной безопасности организации с использованием сканера безопасности

Результирующие информационные потоки содержат сводную информацию о состоянии информационной безопасности ООО «Вектор». На рис. 6 приведена диаграмма декомпозиции основного процесса.Рис. . Контекстная диаграммаРис. . Диаграмма декомпозиции сбора и анализа защиты информацииКак показано на рис. 6, сбор и анализ состояния информационной безопасности ООО «Вектор» включает следующие виды работ:построение модели угроз;анализ организационной защиты информации;анализ программной защиты информации;анализинженерно-технической защиты информации.На рис. 7 приведена диаграмма декомпозиции построения модели угроз, на рис. 8 – анализа организационной структуры Управления ООО «Вектор», на рис. 9 – анализа программной защиты информации. Рис. . Диаграмма построения модели угрозКак показано на рис. 7, для оценки эффективности проводимых работ по защите информации необходимо провести анализ видов обрабатываемой информации в условиях Управления ООО «Вектор», определить категорию обрабатываемых данных. Далее необходимо выбрать стандарт реализации систем защиты информации, соответствующий классу обрабатываемых данных, на основе которого выбираются критерии защищенности системы, по которым проводится дальнейший сбор информации и ее обработка.На рис. 8 показаны основные подходы к организации системы защиты информации (анализ организационной структуры предприятия, изучение документации по защите информации, анализ организации системы защиты, оценка качества организации системы защиты).Рис. . Диаграмма анализа организационной защиты информацииКак показано на рис. 9, в рамках анализа программной части защиты информации проводится:инвентаризация информационных ресурсов ООО «Вектор»;определение пользователей и их ролей в контексте их достаточности при выполнении должностных обязанностей;оценка эффективности применяемых средств программной защиты информации;проведение мониторинга работы программной среды предприятия на предмет соответствия модели угроз.Рис. . Диаграмма анализа программной защиты информацииТиповыми проблемами в организации сбора информации по защите информации в условиях промышленных предприятий являются:отсутствие необходимых программных средств по оценке соответствия документации по защите информации классу информационной системы;отсутствие инструментов мониторинга эффективности используемых программных средстви аудита пользовательских учетных записей.Использование автоматизированной системы для поддержки технологии сбора и анализа данных состояния защищенности информационной системы промышленных предприятий позволит повысить эффективность аудита защищенности. Таким образом, совершенствование бизнес-процесса сбора и анализа данных по защите информации связано с внедрением в работу предприятия программного инструмента, позволяющего решать указанные задачи. На рис.10приведена контекстная диаграмма «как должно быть», на рис. 11 – диаграмма декомпозиции.Рис. . Контекстная диаграмма «ASTO-BE»Рис. .Диаграмма основного процесса «ASTO-BE»В качестве критериев оценки защищенности локальной сети ООО «Вектор» от внешнихатак следует рассматривать следующие:скорость работы сетевых приложений (проводится сравнение заявленной производительности сетевых приложений с фактическими);использование файрволов, систем шифрования трафика, VPN-систем (анализируется статистика сетевых пакетов);стабильность работы Web-сервера компании (анализ скорости работы Web-приложений, статистика отказов в обслуживании);наличие утвержденных инструкций по работе пользователей с сетевыми ресурсами с доведением их до сотрудников под роспись;количество прецедентов в работе сетевых ресурсов, связанных с отказом в обслуживании;статистика обнаружения сетевых пакетов, источниками которых не являются установленныесетевые приложения.Таким образом, совершенствование архитектуры информационной безопасности исследуемой компании связано с использованием сканера безопасности.2.4. Использование сканера безопасности ПО NessusВ рамках практической части работы для аудита защищенности информационной системы ООО «Вектор» предлагается использование сканера уязвимостей Nessus[28].Сканер уязвимостей Nessus является одним из наиболее распространенных программных продуктов в области поиска уязвимостей в ИС [2]. Ключевой особенностью использования приложения является необходимость подключения плагинов, каждый из которых отвечает за поиск уязвимостей определенного типа. Существуют 42 различных типа подключения внешних модулей: для проведения пентеста возможна активация как отдельных плагинов, так и всех плагинов определенного типа, например, для проведения всех локальных проверок на системах класса Ubuntu. Также пользователями системы, имеющими квалификацию в области работы с системами безопасности, возможно написание собственных модулей сканирования.Основные возможности системы NessusProfessional включают [3]: наличие большого количества режимов анализа защищенности;возможность управления настройками сканирования; наличие сервиса обновлений программного продукта и базы знаний по уязвимостям;возможностьсоздания отчетности об уязвимостях.В системе поддерживается несколько способов сканирования, включающих удаленное и локальное сканирование активов, сканирование с поддержкой аутентификации, автономный аудит конфигурации сетевых устройств [3]: возможности обнаружения и сканирования активов, включающих сетевые устройства, включая брандмауэры, операционные системы, базы данных, веб-приложения, виртуальные и облачные среды;сервисы сетевого сканирования. Сканирование протоколов IPv4, IPv6 и гибридных сетей, поддерживается возможность запуска задач по расписанию;возможности сканирования с настройкой времени и частоты запуска;сканирование сетевых узлов по выборке;возможность автоматического анализа результатов сканирования. Выдача рекомендаций по восстановлению и настройке процесса поиска уязвимостей.В системе имеются возможности автоматической пересылки отчетов ответственным специалистам при обнаружении уязвимостей, с указанием уровня их опасности, формирования отчетности по расписанию, включая отчеты по устранению уязвимостей. Возможность создания отчетности с поддержкой сортировки по видам уязвимостей или хостам, создание аналитического отчета по результатам поиска уязвимостей и состоянию защищенности сети. Поддерживается множество форматов отчетов, включая: встроенные (XML), PDF, CSV и HTML. Возможна настройка рассылки уведомлений об отправке отчета, о получении или обновлении состояния защищенности сети. Рассмотрим функционал отдельных плагинов системы.1. NASL (NessusAttackScriptingLanguage).Данный плагин имеет раздельные серверную и клиентскую части. В последней 4.2 версии агент проводит открытие Web-сервера на 8834 порту, посредством которого возможно управление сканером с использованием интерфейса, реализованного на Flash, с использованием браузера. После установки сканера серверная часть запускается автоматически. При определении типа лицензии система открывает доступные возможности сканирования: по количеству IP-адресов и возможным действия с обнаруженными уязвимостями. Система администрирования Nessusпредлагает создание учетных записей, под которыми выполняются операции сканирование на наличие уязвимостей.Любой тест на проникновение начинается с создания так называемых Policies – правил, в соответствии с которыми сканер будет проводить анализ уязвимостей системы.При задании правил необходимо указать [2]:виды сканирования портов (TCP Scan, UDP Scan, SynScan и т.д.);количество одновременных подключений, а также типичные для Nessus настройки, например, SafeChecks. Последняя включает безопасное сканирование, деактивируя плагины, которые могут нанести вред сканируемой системе.Необходимым шагом при создании правил является подключение необходимых плагинов: возможна активация целыхгрупп, например, DefaultUnixAccounts, DNS, CISCO, SlackwareLocalSecurityChecks, Windows и т.д. Система проверяет признаки большого количества возможных атак и подозрительной активности приложений. Сканер никогда не будет анализировать активность сервиса только по номеру его порта. При изменении стандартно используемых приложениями портов – сканер обнаруживает изменение и проведет определение наличия подозрительной активности. Ниже приведен перечень общих настроек, к которым возможно получение доступа [2]:Basic: посредством данного параметра возможно определение связанных с безопасностью и организационных аспектов проведения проверки или политики. Данные аспекты будут включать наименование шаблона сканирования, информацию о целях сканирования, в независимости от того является ли данная операция запланированной.Discovery: в данной настройке проводится определение сканируемых портов и методов, которые будут использованы при проведении указанного исследования. Настройка содержит несколько разделов.Assessment: Данный параметр позволяет определять тип сканирования уязвимостей для выполнения и способы его исполнения. Система проводит проверку уязвимостей веб-приложений к возможным атакам, а также проверку устойчивости других приложений кDDoS-атакам.Report: В данной области настройки проводится работа с шаблонами формируемой отчетности по результатам сканирования уязвимостей. На рис. 12 приведен режим настройки процесса сканирования уязвимостей, на рис. 13 – настройки сканирования.Рис. . Настройки сканирования уязвимостейРис. . Настройки сканированияВ ходе проведения сканирования сети ООО «Вектор» были обнаружены следы инцидентов:обнаружение неопознанного потока запросов к базе данных MSSQLServer;обнаружены внешние сетевые атаки на серверные ресурсы;возможность авторизации в СУБД в автоматическом режиме без ввода пароля;обнаружена активность неопознанного приложения на сервере.Уязвимости в информационной системе ООО «Вектор включают:не отключенная учетная запись «администратор» на компьютерах пользователей без пароля;пароль Администратора на сервере не соответствует требованиям безопасности;пользователям доступен режим самостоятельного отключения и удаления антивирусного ПО;пользователи на рабочих станциях имеют права локальных администраторов;установлены прикладные программные продукты, использование которых требует административных прав;не разграничен доступ к использованию flash-накопителей;существуют служебные доменные учетные записи, не имеющие пароля (например, учетная запись для использования сетевого сканера);отсутствует система защиты от СПАМа;в разделяемых файловых ресурсах всем пользователям доступны режимы записи, изменения и удаления (что является для некоторых ресурсов избыточным), не проводится мониторинг активности учетных записей при работе с ресурсами файлового сервера; ошибки в конфигурировании межсетевого экрана.Устранение указанных уязвимостей возможно при использовании дополнительных программных средств, позволяющих провести анализ состояния системы (например, антивирусного ПО).2.5. Выводы по второй главеВ данной главе выпускной квалификационной работы был рассмотрен объект исследования – сеть магазинов ООО «Вектор», были определены объекты защиты и приведены их примеры, рассмотрена система антивирусной защиты, принятая на предприятии и проведен аудит информационной безопасности с использованием сканера безопасности Nessus.В рамках проведенного анализа уязвимостей с использованием ПО Nessus информационной системы ООО «Вектор» было показано, что для системы характерно множество актуальных угроз, связанных с:обнаружением неопознанного потока запросов к базе данных MSSQLServer;обнаружением внешних сетевых атак на серверные ресурсы;возможностью авторизации в СУБД в автоматическом режиме без ввода пароля;активностью неопознанного приложения на сервере.Устранение указанных недостатков возможно при проведении мероприятий по оптимизации системы безопасности на уровне баз данных и операционной системы.ЗаключениеДля достижения поставленной цели выпускной квалификационной работы были выполнены определенные задачи, которые раскрываются в двух главах работы.Рассмотрены теоретические основы аудита информационной безопасности с использованием сканера безопасности. Были определены цели, этапы проведения и виды активного аудита информационной безопасности; основные уязвимости информационной безопасности и рассмотрены сканеры уязвимостей MaxPatrol 8 и OpenVAS.Произведен анализ деятельности ООО «Вектор», в ходе которого были определены объекты защиты ООО «Вектор», к которым относятся базы данных, содержащие конфиденциальные сведения, коммерчески значимая информация, персональные данные и криптографические системы. Обеспечение защиты указанных ресурсов требует применения специальных инструментов мониторинга обеспечения информационной безопасности.Описана система защиты информации. Рассмотрена система антивирусной защиты, принятая на предприятии, состоящая изKasperskyEndPointSecurity 10 и KasperskySecurityCenter. Рассмотрены цели и принципы АВЗ и описана организационная структура АВЗ.Проведен в ООО «Вектор» аудит информационной безопасности с использованием сканера безопасности Nessus.В ходе проведенного сканирования информационной системы ООО «Вектор» были обнаружены инциденты информационной безопасности, причинами которых могут являться уязвимости, связанные с ошибками в конфигурировании межсетевых экранов, настройки системы антивирусной защиты, прав доступа к файловым ресурсам, а также управления парольной защитой.Таким образом, совершенствование системы защиты информации ООО «Вектор» предполагает необходимость проведения ряда мероприятий по настройке антивирусного ПО, разграничению доступа к информационным ресурсам, использовании систем защиты от СПАМа, ограничение использования flash-накопителей. Список использованных источниковОрганизация системы аудита информационной безопасности. [Электронный ресурс]. Режим доступа: http://mirznanii.com/a/19714/organizatsiya-audita-informatsionnoy-bezopasnosti-informatsionnoy-sistemyСканер уязвимостей Nessus. Описание. [Электронный ресурс]. Режим доступа: https://networkguru.ru/tenable-nessus-vulnerability-scanner/Сканирование уязвимостей в ИТ-инфраструктуре. Обзор программных продуктов. [Электронный ресурс]. Режим доступа: https://www.anti-malware.ru/reviews/tenable-analysis-security-corporate-infrastructure.Сравнение программных продуктов – сканеров уязвимостей. [Электронный ресурс]. Режим доступа: https://www.tiger-optics.ru/resources/tenable-sc-maxpatrol/?yclid=1913900678926858974Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва : Горячая линия - Телеком, 2016. - 304 с. Бабиева Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Бабиева. - Казань: Медицина, 2018. – 127Астахов А.М. Искусство управления информационными рисками. – М.: ДМК Пресс, 2015. – 314 с. Блинов А.М. Информационная безопасность. – СПб: СПбГУЭФ, 2015 - 96с.Шалак М. Е. Архивное дело и делопроизводство: учебное пособие / М. Е. Шалак; РОСЖЕЛДОР. - Ростов-на-Дону : ФГБОУ ВО РГУПС, 2017. - 78 с.Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2015. – 338с.Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c.Емельянова Н.З., Партыка Т.Л., Попов И.И. Защита информации в персональном компьютере. – М.: Форум, 2009. – 368 с.Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013. - 239 c.Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.Корнеев И.К, Степанов Е.А. Защита информации в офисе. – М.: ТК Велби, Проспект, 2008. – 336 с.Лопатин Д. В. Программно-аппаратная защита информации: учебное пособие / Лопатин Д. В. - Тамбов: ТГУ, 2014. – 254с.Никифоров С. Н. Защита информации : учебное пособие / С.Н. Никифоров. - Санкт-Петербург :СПбГАСУ, 2017. – 76с.Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011 – 338с.Ожиганов А.А. Криптография: учебное пособие / А.А. Ожиганов. - Санкт-Петербург : Университет ИТМО, 2016. - 142 cНикифоров С. Н. Защита информации. Шифрование: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург: СПбГАСУ, 2017. - 129Радько, Н.М. Основы криптографической защиты информации [Электронный ресурс]: учебное пособие / Н. М. Радько, А. Н. Мокроусов; Воронеж. гос. техн. ун-т. - Воронеж : ВГТУ, 2014.Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сБондарев В. В. Анализ защищенности и мониторинг компьютерных сетей : методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Шаньгин В.Ф. Информационная безопасность и защита информации [Электронный ресурс]: учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 c.Российские системы мониторинга ИТ-безопасности. [Электронный ресурс]. Режим доступа: http://samag.ru/archive/article/3753.Nessus[Электронный ресурс]. Режим доступа:https://www.tenable.com/downloads/nessus?loginAttempted=true.