В настоящее время компьютерные сети имеют повсеместное распространение. Сетевые технологии применяются во всех сферах деятельности людей. Эксплуатация уязвимостей, присутствующих в сетях, может привести к большим убыткам различного характера. Кроме того постоянный рост размера сетей и усложнение их структуры замедляют процесс обнаружения угроз безопасности и снижают скорость применения контрмер. По этой причине остается актуальной проблема разработки удобного способа выработки контрмер направленных на минимизацию количество уязвимостей вычислительной сети.
Статья представляет собой описание предлагаемого нами способа выявления наиболее критичных узлов защищаемой сети и алгоритма системы автоматизированного расчета контрмер для устранения уязвимостей в защищаемой сети. В данной работе под контрмерами понимаются действия различного характера, направленные снижения количественной оценки уровня опасности каждого узла. Статья представляет собой продолжение исследований проблем, представленных в других публикациях [1].
Статья состоит из трех частей. В первой части описана структура необходимой модели сети и способ поиска ее наиболее уязвимых узлов. Вторая часть описывает характер мер, направленных на минимизацию уязвимостей вычислительной сети. Третий раздел дает вербальное описание разработанного нами алгоритма функционирования разрабатываемой автоматизированной системы расчета контрмер для устранения уязвимостей в защищаемой сети. В разделе выводов приведен краткий анализ проделанной работы и задан вектор для дальнейших исследований.
1. Использование модели сети для поиска наиболее уязвимых узлов
Для разработки контрмер, направленных на устранение уязвимостей в защищаемой сети необходимо иметь максимально подробную информацию об этой сети. Наиболее удобной формой представления такой информации является компьютерное моделирование защищаемой сети. Мы считаем, что использование модели сети предпочтительна, поскольку это позволяет облегчить анализ защищенности сети. Модель целевой сети может быть получена в результате ее сканирования или построена администратором вручную.
В данном исследовании мы предлагаем использовать модель сети, разработанной ранее в другом проекте [1]. Данная модель карты сети включает в себя информацию о связности, маршрутизации, фильтрации и возможность расчета доступа между узлами. Помимо информации о структуре сети модель содержит информацию о каждом узле, которая включает в себя сведения об используемых на хосте сервисах (имя CPE) и об их уязвимостях (CVE-код).
Используя полученную модель карты сети автоматизированная система расчета контрмер должна определять уязвимые точки сети. Для этого система должна определять количественную оценку опасности каждой. В данной работе для расчета оценки опасности узла сети мы предлагаем использовать базовые метрики CVSS [2].
После получения количественной оценки опасности для каждого узла сети, необходимо выделить наиболее критичные из них.
На основе полученного списка критичных точек сети можно генерировать контрмеры. Данная часть системы будет рассмотрена далее.
2. Контрмеры направленные на устранение уязвимостей в защищаемой сети
Контрмеры для минимизации уязвимостей, имеющихся в целевой сети, должны быть не только эффективны, но и целесообразны. Они должны вносить минимальные изменения в архитектуру защищаемой сети.
На наш взгляд, контрмеры для обеспечения безопасности уязвимых узлов сети можно разделить на несколько направлений:
• контрмеры направленные на уязвимый сервис;
• контрмеры направленные на ограничение доступа к уязвимому сервису;
• контрмеры направленные на повышения уровня защищенности вычислительной сети в целом.
Данные направления расположены в порядке убывания их приоритета и подробно будут рассмотрены далее.
2.1. Контрмеры, направленные на уязвимый сервис. Мы считаем что, данное направление контрмер является наиболее приоритетным, поскольку действия, направленные на устранение уязвимости в самом сервисе не несут никаких изменений в архитектуру защищаемой сети. Ниже приведены способы устранения уязвимостей в сервисе:
Замена сервиса версией, в которой отсутствует уязвимость. Такой способ достаточно эффективный, может быть применим на используемом сервисе, только если альтернативная версия обладает всем необходимым функционалом. Сервис можно заменить как более новой (обновление), так и более старой версией (“откат”), что может повлечь за собой ликвидацию/изменения некоторых возможностей используемого ПО.
Замена сервиса на альтернативный, в котором отсутствует уязвимость. Этот метод имеет высокий уровень эффективности, но уже не так удобен, как способ описанный выше. Дело в том, что замена сервиса на альтернативный может быть осуществлена только в том случае, если он дублирует функционал заменяемого сервиса. Кроме того замена ПО может повлечь за собой реконфигурацию каждого узла сети, на котором данный сервис заменен.
Перемещения сервиса на отдельный узел сети. Применение данного метода повышения уровня защищенности целесообразно лишь в том случае, когда уязвимость в текущем сервисе возможно эксплуатировать, только после эксплуатации уязвимости в другом сервисе на данном узле сети. В этом случае необходимо переместить текущий сервис на отдельный узел сети, что позволит предотвратить эксплуатацию его уязвимости.
Удаление уязвимого сервиса. Данный способ избавления от уязвимости является очень эффективным, но может быть применен только тогда, когда удаляемый сервис абсолютно неиспользуемый.
2.2. Контрмеры, направленные на ограничение доступа к уязвимому сервису. Такие контрмеры несут за собой реконфигурацию целевой сети, в связи с этим их приоритет ниже, чем у контрмер, описанных в пункте 2.1. Применение контрмер данного типа напрямую зависит от необходимости удаленного доступа к сервисам из внешней или локальной сети. Исходя из данной характеристики можно выделить несколько типовых ситуаций:
К уязвимому сервису узла сети необходим удаленный доступ из внешней сети. В данном случае оптимальным решением задачи обеспечения безопасности целевой сети является перемещение данного сервиса в отдельный сегмент сети, т.е. в демилитаризованную зону (DMZ). Так же было бы целесообразным запретить доступ из DMZ в другие сегменты сети, если в этом нет необходимости.
К уязвимому сервису узла сети необходим удаленный доступ внутри локальной сети. В данной ситуации наилучшим решением проблемы безопасности сети является запрет доступа к уязвимому сервису хоста, если в этом нет явной необходимости.
К уязвимому сервису узла сети отсутствует необходимость удаленного доступа. В такой ситуации необходимо просто ограничить доступ к уязвимому сервису.
2.3. Контрмеры, направленные на повышение уровня защищенности вычислительной сети в целом. Мы предлагаем реализацию контрмеры данного направления в виде системы предотвращения атак (IPS). Данный метод является очень эффективным и позволяет тщательно настроить систему на противодействие конкретным типам атак.
Произведя анализ расположения уязвимостей в сети можно определить места размещения сенсоров IPS, которые будут максимально эффективно детектировать атаки. Это обеспечит оптимальную работу системы, что позволит решить проблему безопасности, когда иные способы оказываются бессильны.
В тоже время данный метод сложен в реализации и настройке влечет за собой изменения в структуре вычислительной сети. Этим обусловлен самый низкий приоритет данного типа контрмер.
3. Алгоритм расчета контрмер для устранения уязвимостей в защищаемой сети
На основе предложенного нами метода определения потенциально опасных узлов сети, описанного в разделе 1, и рассмотренных нами направлений контрмер в разделе 2, мы предлагаем использовать следующий алгоритм выработки контрмер, направленных на устранение конкретной уязвимости в защищаемой сети:
1. Выполнить поиск альтернативной версии сервиса, в которой отсутствует уязвимость, и если такая версия найдена предложить использовать ее;
2. Иначе выполнить поиск альтернативного сервиса, в котором отсутствует уязвимость, и если такая альтернатива найдена предложить использовать ее;
3. Иначе, если эксплуатация данного сервиса возможна только после эксплуатации другой уязвимости на данном узле сети, то предложить переместить данный сервис на отдельный сетевой узел;
4. Иначе проверить используется ли данный сервис, если это неиспользуемый сервис, то предложить удалить его;
5. Иначе проверить необходимость доступа к данному сервису из внешних сетей, если необходимость есть, то предложить переместить данный сервис в DMZ, и оптимально ограничить доступ из DMZ в другие сегменты ЛВС.
6. Иначе проверить необходимость доступа к данному сервису из локальной сети, если необходимость есть предложить блокировать весь доступ который не является необходимым.
7. Иначе предложить полностью блокировать доступ к данному сервису.
8. Иначе предложить использовать в ЛВС систему предотвращения атак.
Мы предлагаем реализовать автомтизированную систему выработки контрмер для устранения уязвимостей в защищаемой сети, которая будет составлять список рекомендаций для повышения уровня безопасности целевой сети, применяя предложенный нами алгоритм к каждой уязвимоти.
Заключение
В данной статье были описаны идеи для поиска наиболее уязвимых узлов целевой сети. Помимо этого нами были проанализированны основные направления разработки контрмер для обеспечения безопасности защищаемой сети. Ключевой частью данной статьи является предложенный нами алгоритм выработки контрмер. Развитием исследований данного направления станет практическая реализация автоматизированной системы расчета контрмер для устранения уязвимостей в защищаемой сети.