14 ноября, среда 13:51
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Об умирающих парадигмах

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Об умирающих парадигмах

    Сообщение от Turkish Посмотреть сообщение
    Вы говорили об смене ее на концепт (в моем понимании именно концепт, так как на полную парадигму не тянет) - "Свой-соседний", в том числе пределах единой организации (особливо транснациональной корпорации ).
    Но ведь по сути взаимоотношения "Свой" и "сосед" это теже взаимодействующие периметры!

    Рассмотрим, например, что есть "свой" - это по сути периметр, так же включающий в себя некий набор объектов доступа и субъектов, только привязанных к определенной географической зоне и/или решаемыми задачами бизнеса. Иными словами, граница периметра в таком случае определяется не общностью границ компании (организации, корпорации и т.п.), а общностью решаемой задачи и локализацией в пространстве. То есть "те же яйца, только в профиль" (с)

    И пример Алексея Лукацкого про его потребности в доступе к корпоративным ресурсам в реал-тайм независимо от места физического присутствия как раз это и показывает. Его ноутбук выступает "соседним" самостоятельно защищаемым периметром, по понятным причинам "дружественным" другим периметрам его работодателя.

    Ну и почему тогда парадигма умирает, когда по сути идет коррекция определяемого в ней же понятия "периметр" (в соответствии с требованиями времени) без изменения самих взаимоотношений "периметров", а самое главное способов их защиты? (я имею в виду в первую очередь технические способы/средства)

    Или я что-то неправильно понимаю? Или Вы не конца изложили свою парадигму?
    Парадигма "за периметром - хоть потоп" предполагает, что все объекты, к которым предоставляется доступ, и все субъекты, которые этим доступом пользуются, должны находиться в контролируемой зоне. В этом случае у вас все под контролем: действия пользователей ограничиваются системой разграничения доступа, посторонние субъекты получить доступ в контролируемую зону (а значит - к средствам вычислительной техничи и каналам связи защищаемой АС) получить не могут, и даже использовать средства электронной разведки они не могут благодаря виброаккустической защите, защите от ПЭМИН и т.п. Если у вас несколько разделенных контролируемых зон, связанных выходящими за их пределы каналами связи, каналы связи нужно защитить сертифицированными СКЗИ и сертифицированными же МЭ, создав сетевой периметр контролируемой зоны.

    Это - парадигма, заложенная в СТР-* и "Концепцию защиты СВТ и АС от НСД".

    Теперь попробуйте создать на основе такой парадигмы информационую систему, которая содержит одновременно конфиденциальную и общедоступную информацию, причем к общедоступной информации должен иметь доступ неограниченный круг лиц - т.е. любой пользователь с помощью браузера Точнее - попробуйте ее аттестовать А ведь почти любая коммерческая информационная система, предназначенная для использования клиентами - именно такая.

    Одна из болевых точек этой парадигмы - неоправданно самонадеянное предположение, что, если вы отгородились от внешнего мира сетевым периметром, то внешний мир в принципе не может получить доступ к вашей информационной системе. Благодаря этому из модели нарушителя исключается внешний нарушитель (т.е. человек, за спиной которого не стоит "конкретный живой человек с авоматом"): "4.1. В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС." ("Концепция..."). А это значит, что нарушителем является только собственный сотрудник или клиент компании, с которым можно бороться не только техническими, но и органиционными мерами. А поскольку организационные меры часто бывают дешевле - получается перекос в сторону одних только организационных мер, вроде упоминавшегося Алексеем Евстафьевым заклеивания USB-портов без технической их блокировки.

    Предположение о том, что "мы всех внутри контролируем" - ключевая ошибка этой парадигмы. Админы и безопасники совершают ошибки, причем типичные (т.е. одни и те же для большинства организаций. Причем внешний нарушитель - специалист, он собаку съел на выявлении и использовании таких ошибок. Получив доступ к внешним ресурсам, он рвется в ДМЗ, из ДМЗ атакует телеком и серверные сегменты и т.п - т.е. пробует на прочность все, до чего может дотянуться. Поскольку ошибки, которые он может использовать, существуют всегда, периметр оказывается пробитым (и, к сожалению, довольно легко). И внутри периметра препятствий для него уже нет (защита внутри ориентирована на подконтрльного пользователя, который и не хакер вовсе, и даже софт на свой компьютер без разрешения установить не может).

    Поэтому, если вы всерьез опасаетесь целенаправленной атаки специалиста, в вам действительно нужно огораживать отдельными периметрами все значимые объекты. В политике безопасности банка, в котором я работал, это называлось "принципом мыльной пены": вокруг всей инфраструктуры мыльный пцузырь, внутри него - пузыри поменьше, ограничивающие отдельные сетевые сегменты, внутри этих пузырей - еще один слой, отделяющий информационные системы друг от друга, следующий слой отделяет друг от друга серверы и т.д - в пределах разумного. Причем такой пузырь предполоагает не только фильтрацию трафика, но и контроль защищенности, анализ логов, менеджмент инцидентов, выявление сетевых атак - т.е. всех тех мероприятий, которые используются и на внешнем периметре.
    Последний раз редактировалось malotavr; 13.01.2010, 12:57.

  • #2
    Парадигма "за периметром - хоть потоп" - имеет право на существование, потому как она уже озвучена. Только что обозначает эта парадигма не понятно. Для Вас она значит:
    1. В этом случае у вас все под контролем: действия пользователей...
    2. ...системой разграничения доступа...
    3. ...каналы связи нужно защитить сертифицированными СКЗИ и сертифицированными же МЭ ...

    Кажется, все существенное выделил (просьба не сильно бить за разрыв фразы). Приступим:
    1. заявление "контроль действий пользователя" - утопия, т.к. для контроля действий пользователя, нужно залезть ему в голову, что представляется весьма затруднительным. И даже если Вы залезете одному в голову, то их в очереди на "залезание" не один десяток.
    2. ситему разграничения доступа - это же одна из мер. Да и сомнения меня гложут, что Вы обычным пользователям предоставляете админские права.
    3. закон говорит, что надо бы защищать сертифициорванными СЗИ, включая СКЗИ и МЭ. Надо полагать, что по отношению к парадигме Вас несколько напрягает слово "сертифицированными". Потому как отрицать, что "каналы связи нужно защитить" Вы не сможете.

    Теперь посмотрим:
    Теперь попробуйте создать на основе такой парадигмы информационую систему, которая содержит одновременно конфиденциальную и общедоступную информацию, причем к общедоступной информации должен иметь доступ неограниченный круг лиц - т.е. любой пользователь с помощью браузера Точнее - попробуйте ее аттестовать А ведь почти любая коммерческая информационная система, предназначенная для использования клиентами - именно такая
    и
    Поэтому, если вы всерьез опасаетесь целенаправленной атаки специалиста, в вам действительно нужно огораживать отдельными периметрами все значимые объекты
    Не могу понять, где же Вы нашли противоречие? В "перекосах" с мерами? Что мешает разбить на сегменты всю сеть (ДМЗ, ДБО, ЛВС с рабочими станциями, ЛВС с серверами и т.д.) и получить аттестаты на отдельные сегменты? СТР-К именно об этом и говорит: взаимодествие между сегментами возможно только через МЭ.
    Какая разница между тем как вы назовете группы объектов защиты "мыльным пузырем" или "предметы за периметром защищаемым МЭ"?
    И осталось ощущение, что Евстафьев как раз о такой организации сети и писал. Так писал то он без долгих раздумий и не обладая полным набором информации. Но однако умудрился получить схему, подобную "пузырям".

    Комментарий


    • #3
      Сообщение от Идущий Посмотреть сообщение
      1. заявление "контроль действий пользователя" - утопия, т.к. для контроля действий пользователя, нужно залезть ему в голову, что представляется весьма затруднительным. И даже если Вы залезете одному в голову, то их в очереди на "залезание" не один десяток.
      Это не ко мне, это к авторам норматвно-методических документов ФСТЭК Я еще смягчил их формулировку - в оригинале ("Концепция защиты...") вся защита автоматизированной системы обеспечивается системой разграничения доступа и только ею :

      6.1. Обеспечение защиты СВТ и АС осуществляется:
      - системой разграничения доступа (СРД) субъектов к объектам доступа;
      - обеспечивающими средствами для СРД.
      Сообщение от Идущий Посмотреть сообщение
      2. ситему разграничения доступа - это же одна из мер. Да и сомнения меня гложут, что Вы обычным пользователям предоставляете админские права.
      А вот видите, согласно концепции СРД - единственная мера/ Про админские права я ничего не говорил

      Сообщение от Идущий Посмотреть сообщение
      3. закон говорит, что надо бы защищать сертифициорванными СЗИ, включая СКЗИ и МЭ. Надо полагать, что по отношению к парадигме Вас несколько напрягает слово "сертифицированными". Потому как отрицать, что "каналы связи нужно защитить" Вы не сможете.
      По отношению к парадигме меня напрягает то, что для защиты от внешнего нарушителя считается достаточным отделить его от защищаемых ресурсов одним межсетевым экраном.

      Сообщение от Идущий Посмотреть сообщение
      СТР-К именно об этом и говорит: взаимодествие между сегментами возможно только через МЭ.
      Разве? Читаем внимательно:
      5.8.4. Подключение ЛВС к другой автоматизированной системе (локальной или неоднородной вычислительной сети) иного класса защищенности должно осуществляться с использованием МЭ...
      Т.е. межсетевой экран нужен только в том случае, если защищаемая АС взаимодействет с менее доверенной (т.е. недостаточно защищенной от нарушителя). В противном случае МЭ не нужен. Заметьте, речь идет о замкнутых ЛВС:
      5.8.1. Положения данного подраздела относятся к взаимодействию локальных сетей, ни одна из которых не имеет выхода в сети общего пользования типа Internet.
      Если из ЛВС требуется доступ в Интернет, требуется установить МЭ на узле доступа:
      6.3.2. Подключение ЛВС предприятия (учреждения) к Сети должно осуществляться через средства разграничения доступа в виде МЭ (Firewall, Брандмауэр). Не допускается подключение ЛВС к Сети в обход МЭ. МЭ должны быть сертифицированы по требованиям безопасности информации.
      Кстати, обратите внимание, СТР-К в принципе не предлагает никаких решений для случая, когда требуется доступ к защищаемому серверу из сети Интернет.

      Сообщение от Идущий Посмотреть сообщение
      Какая разница между тем как вы назовете группы объектов защиты "мыльным пузырем" или "предметы за периметром защищаемым МЭ"?
      И осталось ощущение, что Евстафьев как раз о такой организации сети и писал. Так писал то он без долгих раздумий и не обладая полным набором информации. Но однако умудрился получить схему, подобную "пузырям".
      Давайте определимся с терминологией. Когда я говорю "периметр", я имею в виду некоторую линию, для преодоления которой нарушителю нужно предпринять определенные усилия. Так вот, я утверждяю, что систему защиты нужно строить так, чтобы любая попытка нарушителя развить уже полученный успех обязательна требовала преодоления очередного периметра.

      Применительно к "принципу мыльных пузырей" и межсентевому экранированию это означает следующее.

      Шаг 1. Всю защищаемую сеть отделяем внешним периметром (МЭ, IPS и т.п.) - понятно почему.

      Шаг 2. Разделяем в разные сегменты пользователей и серверы и фильтруем трафик между сегментами. Если у нас трехзвенка (web-сервер - сервер приложений - СУБД), то пользователь должен иметь доступ только к web-серверу и только на порт 80. Если не зафильтровать трафик, то, получив доступ к компу пользователя, нарушитель получает возможность брутфорсить учетки на серверах, эксплуатировать уязвимости, которые vdss по каким-то причинам не можем пропатчить и т.п.

      Шаг 3.1. Разделяем в разные подсети обычных пользователей и админов. Если этого не сделать, то нарушитель, получив доступ к компу пользователя, получает разные интереные плюшки вроде ARP spoofing в адрес админской машины, что позволяет позволяет ему от обычного пользователя дорасти до админа.

      Шаг 3.2. Разделяем в разные подсети разные АС и зафильтровываем трафик между ними, оставляя только те протоколы, которые действительно нужнгы для обмена между ними (причем только между обменивающимися хостами).

      Шаг 4.1. На рабочих станциях закрываем все слушающие порты, кроме некоторых необходимых. Грубо говоря, если для управления компом нужен удаленный доступ к реестру или к админской шаре, то этот доступ должен быть предоставлен только админину и только с админской машины, а вовсе не с любой. Если этого не сделать, то вас начинают сильно пугать такие безобидные вещи, как Сonflicker. А так - даже если появится эксплойт для MS RPC или CIFS, вам не нужно спешно ставить патчи сразу на все машины, а можно спокойно сконцентрироваться на файловых серверах и контроллере домена, а потом спокойно идти по рабочим местам пользователей.

      Шаг 4.2 В рамках каждой АС на серверах зафильтровываем ненужный трафик. Если web-серверу нужен доступ на отдельно стоящему серверу СУБД, то доступ на порт 1521 сервера СУБД должен быть разрешен только с этого Web-сервера, а вовсе не со всех серверов этого сегмента.

      Т.е., на каждом шаге мы сужаем область, в пределах которой может резвиться нарушитель, получи он над ней контроль. Доступ в соседние области закрыт периметрами этих областей.

      Разница с п. 5.8.4 СТР-К понятна?

      Алексей же предлагает совсем иное - "сделать контролируемый вход с этих станций в мир "внутренний", защищаемый, (например, используя технологии терминальных служб)". Т.е. практически совсем отказаться от защиты рабочих станций, до которых может добраться нарушитель. А внутренние ресурсы он предлагает заэкранировать терминальным сервером. Это не самое удачное решение, и без того, оч ем я писал выше, оно пробивается так же легко, как и прочие механизмы управления доступом.

      Комментарий


      • #4
        Сообщение от malotavr Посмотреть сообщение
        ...
        Разница с п. 5.8.4 СТР-К понятна?
        ...
        Нет. Я не могу себе представить, что два сегмента 1Г с разными правилами имеют одинаковый класс защищенности. Может формально Вы и правы, но по логике - зачем их тогда в разные сегменты развели.

        А вот эти Ваши Шаг 1 и т.д. выполняются с использованием СТР-К, правда не на счет "раз", и что-то напоминают мне очень знакомое.

        Комментарий


        • #5
          Сообщение от Идущий Посмотреть сообщение
          Нет. Я не могу себе представить, что два сегмента 1Г с разными правилами имеют одинаковый класс защищенности. Может формально Вы и правы, но по логике - зачем их тогда в разные сегменты развели.
          Вы сами-то поняли, что написали? Два сегмента 1Г имеют одинаковый класс защищенности - 1Г.

          Сообщение от Идущий Посмотреть сообщение
          А вот эти Ваши Шаг 1 и т.д. выполняются с использованием СТР-К, правда не на счет "раз", и что-то напоминают мне очень знакомое.
          Что вы подразумеваете под "выполняются"? Что кто-то это делает? Я вас разочарую - не делают. За прошлый год, общаясь с клиентами и выполняя проекты, я посмотрел десятка два сетей. Полноценной Фильтрации трафика во внутренней сети не было ни в одном случае, в двух случаях внутренняя сеть была жестко поделена на "офисную" и "технологическую", в трех случаях во внутренней сети была огороженная отдельным "забором" подсеть процессинга. Все. Управляемоцй фильтрации трафика между компонентами АС не было ни в одном случае, и не припомню, чтобы за 10 лет работы я хотя бы раз сталкнулся с компанией, котораяф это делала бы.

          Тут как-то пиарили талмуд от Домарева "Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты". Домарев как раз и описывает реализацию парадигмы "защищенного периметра". Попробуйте найти в его книге хотябы одно указание на то, что нужно жестко фильтровать трафик внетри внешнего периметра. Использование МЭ описано в главе 13.

          Короче, основной мой тезис заключается в следующем: если вы будете строить защиту так, как учат наших студентов-безопасников, вы получите совершено прозрачную для квалифицированного нарушителя систему - какими и являются информационные системы подавляющего большинства российских компаний. Можно, конечно, следом за Федотовым повторять "коммерческая компания хакеру неинтересна", но я бы не стал
          Последний раз редактировалось malotavr; 14.01.2010, 11:24.

          Комментарий


          • #6
            Сообщение от malotavr Посмотреть сообщение
            Вы сами-то поняли, что написали? Два сегмента 1Г имеют одинаковый класс защищенности - 1Г.
            Когда писал, меня это несколько смущало, мол и там и там 1Г. Но упомянул разные правила для сегментов - вроде легче стало.

            Сообщение от malotavr Посмотреть сообщение
            Что вы подразумеваете под "выполняются"? Что кто-то это делает? Я вас разочарую - не делают.
            Вы еще напишите, что это Вы сами с собой в этой теме дискутируете. То что не встречали - верю. А вот на счет не делают - не согласен. Если хотите посмотреть на такую сетку - попросите Лукацкого пригласить к себе в гости. По косвенным признакам, сеть, в которой он работает, частично построена по этому принципу.

            Сообщение от malotavr Посмотреть сообщение
            Короче, основной мой тезис заключается в следующем: если вы будете строить защиту так, как учат наших студентов-безопасников, вы получите совершено прозрачную для квалифицированного нарушителя систему - какими и являются информационные системы подавляющего большинства российских компаний. Можно, конечно, следом за Федотовым повторять "коммерческая компания хакеру неинтересна", но я бы не стал
            К сожалению мне придется с Вами согласиться в этих вопросах. Очень не хочется, да деваться некуда.
            До сих пор понять не могу, почему Вы меня не поддержали в этом вопросе :
            Сообщение от Идущий Посмотреть сообщение
            Уважаемый Алексей Федоров, огромная просьба переделать топологию представленной сети либо убрать ее вовсе, что бы такое решение не служило образцом для подражания.

            Комментарий


            • #7
              Сообщение от Идущий Посмотреть сообщение
              Вы еще напишите, что это Вы сами с собой в этой теме дискутируете. То что не встречали - верю. А вот на счет не делают - не согласен. Если хотите посмотреть на такую сетку - попросите Лукацкого пригласить к себе в гости. По косвенным признакам, сеть, в которой он работает, частично построена по этому принципу.
              Я бы очень удивился, если бы Cisco не следовала Cisco SAFE Вот только среди российских компаний этой стратегии следуют очень немногие. Я не утверждаю, что их совсем нет, есть - на уровне статистической погрешности

              Сообщение от Идущий Посмотреть сообщение
              К сожалению мне придется с Вами согласиться в этих вопросах. Очень не хочется, да деваться некуда.
              До сих пор понять не могу, почему Вы меня не поддержали в этом вопросе :
              Скажу честно - я не читал документы Алексея, поэтому не участвовал в их обсуждении.

              Комментарий


              • #8
                Вот чего нам не хватает:

                6 апреля в Великобритании вступит в силу распоряжение, которое позволит местному Бюро по защите информации (Information Commissioner's Office) штрафовать организации на крупные суммы за уязвимости в системах безопасности.

                Комментарий


                • #9
                  to malotavr

                  Радует когда вы конкретику пишите..
                  Сообщение от malotavr Посмотреть сообщение
                  Применительно к "принципу мыльных пузырей" и межсентевому экранированию это означает следующее.

                  Шаг 1. Всю защищаемую сеть отделяем внешним периметром (МЭ, IPS и т.п.) - понятно почему.
                  Ну то есть я к тому, что надо было сразу написать.. как вы там говорите..? ) “Чуваки! Надо делать так-то и так то”.. и далее
                  Сообщение от malotavr Посмотреть сообщение
                  Шаг 1. Всю защищаемую сеть отделяем внешним периметром (МЭ, IPS и т.п.) - понятно почему.
                  и т.д.

                  Согласен, хорошая последовательность ..
                  Только одно замечание.. скорее из области мотивации.. )
                  Вот смотрите как получается. Есть много компаний на свете, далеко не у всех руководство что-то понимает в техническом плане.
                  Далее .. ну вот можно защитить сеть так как вы говорите, а можно

                  Сообщение от malotavr Посмотреть сообщение
                  практически совсем отказаться от защиты рабочих станций, до которых может добраться нарушитель
                  а также, не разделять сети , не фильтровать трафик..
                  Ваш вариант требует несомненно более тонкой настройки, большего времени, да и ошибки может вызвать с большей вероятностью (недоступность ресурса вследствие ошибочной фильтрации и т.п.)
                  Теперь предположим , что в случае вашей настройки происходят связанные с ошибками инциденты , в случае же второй не происходят (может же такое быть?)
                  Итого получаем недовольство руководства и большие затраты в первом случае и отсутствие претензии и меньшие во втором.
                  Ну то есть я еще раз повторюсь, что это из области мотивации.
                  К примеру .. могу поставить сервер Вин2008, сделать NAP – ограничить попадание в сеть клиентов без обновленного антивируса, с выключенным файерволом и т.п.
                  могу используя тот же Вин2008 сервер групповыми политиками (без дополн. программ) закрыть динамически нужные съемные устройства.. Могу использовать механизм виртуализации и более эффективно использовать серверное железо, подняв на одном физ.сервере несколько виртуальных.
                  Могу использовать Вин7 или висту вместо ХР на рабочих местах.
                  А могу ничего этого не делать.
                  Итого – опять же в первом случае масса затрат моего времени, во втором минимум.
                  О подвигах совершенных в первом случае никто и не узнает, хотя недовольства может вызвать скажем допуск в основную, а карантинную сеть.
                  При этом безопасность IMHO я повысил, вот ведь что обидно


                  А вот о чем то таком
                  Сообщение от malotavr Посмотреть сообщение
                  Теперь попробуйте создать на основе такой парадигмы информационую систему, которая содержит одновременно конфиденциальную и общедоступную информацию,
                  здесь на форуме пытался сказать г-н Щеглов..
                  что то типа такого http://www.cnews.ru/reviews/free/security2006/int/itb/

                  Комментарий


                  • #10
                    Сообщение от Dan А Посмотреть сообщение
                    О подвигах совершенных в первом случае никто и не узнает, хотя недовольства может вызвать скажем допуск в основную, а карантинную сеть.
                    Это классическая проблема из области оценки эффективности. Для чего внедряют XP, Vista, 2008? Якобы там выше защищенность, удобство и т.п. Т.е. должно стать лучше. Но все на этом "лучше" и останавливаются. Никто не транслирует "лучше" в конкретные цифры, применимые к конкретной компании. А без этого действительно затевать подвиг бесмысслено, раз мы не можем посчитать, что нам это даст.

                    А что касается незамеченности подвига - это скорее из области недостатка коммуникации в компании ;-)

                    Комментарий


                    • #11
                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                      Это классическая проблема из области оценки эффективности. Для чего внедряют XP, Vista, 2008? Якобы там выше защищенность, удобство и т.п. Т.е. должно стать лучше. Но все на этом "лучше" и останавливаются. Никто не транслирует "лучше" в конкретные цифры, применимые к конкретной компании. А без этого действительно затевать подвиг бесмысслено, раз мы не можем посчитать, что нам это даст.
                      Ну отчего же якобы выше? Если в висте физически невозможно работать в контекте учетной записи администратора (что не дает возможность исполнять произвольный код к примеру) разве это не более высокая защищенность?
                      Если механизм NAP не пускает ПК без антивируса в сеть на уровне отключения сетевого интерфейса - разве это не повышение уровня защищенности?
                      Изучение новых технологии ИМХО способствуют повышению уровня защищенности.

                      Комментарий


                      • #12
                        Сообщение от malotavr Посмотреть сообщение
                        Вот чего нам не хватает:
                        Мозгов и совести.
                        По крайней мере мне.

                        Комментарий


                        • #13
                          Сообщение от Dan А Посмотреть сообщение
                          Если механизм NAP не пускает ПК без антивируса в сеть на уровне отключения сетевого интерфейса - разве это не повышение уровня защищенности?
                          Спрашивать откуда взялся ПК без АВЗ, мне стыдно, но интересует как этот ПК обновить с отключенным сетевым интерфейсом. А если там не только АВЗ не в порядке?
                          Стоит заметить, что если этот ПК выключить, то уровень его защищенности поднимется очень значительно.

                          Комментарий


                          • #14
                            Сообщение от Идущий Посмотреть сообщение
                            Спрашивать откуда взялся ПК без АВЗ, мне стыдно, но интересует как этот ПК обновить с отключенным сетевым интерфейсом. А если там не только АВЗ не в порядке?
                            Стоит заметить, что если этот ПК выключить, то уровень его защищенности поднимется очень значительно.
                            Ну да некорректно сказал. Смысл в том, что после проверки наличия антивируса на ПК и более того - свежести обновления антивирусных баз, а также включения файервола.. некоторых других опций (проверка каждого пункта гибко может включаться или исключаться)происходит следующее:
                            - автоматически запускается файерволл.
                            - ПК переходит в определенную заранее карантинную сеть, где пользователь может обновить антивирусную базу и только. Доступа к ресурсам рабочей сети он не имеет.
                            - после обновления автоматически этот ПК получает доступ уже к ресурсам основной сети..
                            - в случае отсутствия антивируса вообще - ПК не сможет перейти в рабочую сеть, о чем будет сообщение мне.
                            Все это происходит достаточно быстро.

                            А ПК без АСЗ.. я конешно не знаю где как.. но ИМХО очень просто может быть- админы ЗАБЫЛИ поставить. Как это случилось, если они с одного и того же образа ставят я не знаю , но такое бывает у нас

                            Комментарий


                            • #15
                              Сообщение от Dan А Посмотреть сообщение
                              Теперь предположим , что в случае вашей настройки происходят связанные с ошибками инциденты , в случае же второй не происходят (может же такое быть?)
                              Итого получаем недовольство руководства и большие затраты в первом случае и отсутствие претензии и меньшие во втором.
                              Тут есть один маленьуий нюанс: выбор подхода к реализации защитных мер определяется не инженером, выполняющим настройку. Если вы реализуете защитные меры по собственной инициативе, то это будет, выражаясь языком УК, действие совершенное по легкомыслию (" лицо предвидело возможность наступления общественно опасных последствий своих действий (бездействия), но без достаточных к тому оснований самонадеянно рассчитывало на предотвращение этих последствий") Вы ведь не обладаете полной информацией о том, что происходит, и вполне можете своими действиями из самых благих побуждений причинить серьезный вред, парализовав какие-то процессы.

                              Поэтому такие решения принимаются не вами, а бизнесом. Сперва проводится анализ рисков, результаты которого показывают, что компетентный специалист способен получить бесконтрольный доступ к активам, парализовать их работу и т.п. И тут есть три варианта:

                              а) бизнес не признает наличие этих рисков
                              б) бизнес признает наличие этих рисков и принимает их
                              в) бизнес признает наличие этих рисков и принимает решение защищаться.

                              И только в третьем варианте у вас появляются основания (точнее - обязанность) обосновать выбор защитных мер и выполнить настройку.

                              Что касается ошибок и недовольства начальства - они возможны всегда. Поэтому для каждого нового решения и делают пилотные зоны, UAT, опытную эксплуатацию

                              Комментарий


                              • #16
                                Сообщение от malotavr Посмотреть сообщение
                                Тут есть один маленьуий нюанс
                                Это не маленький нюанс.. Это очень даже большой нюанс )
                                Вы правы, но тут такая штука. Я конечно подозреваю, что в банках как то по другому относятся к безопасности, чем в остальных организациях, но..
                                Сообщение от malotavr Посмотреть сообщение
                                Поэтому такие решения принимаются не вами, а бизнесом. Сперва проводится анализ рисков
                                Чаще всего бизнесу никакого дела нет до безопасности, его интересует только бизнес пока нет серьезных (несущих очевидный ущерб) инцидентов. Ну вот представим, что их нет
                                Тогда.. я , как вы говорите
                                Сообщение от malotavr Посмотреть сообщение
                                из самых благих побуждений
                                пытаюсь реализовать самые очевидные и необходимые
                                Сообщение от malotavr Посмотреть сообщение
                                защитные меры по собственной инициативе
                                Которые конечно могут
                                Сообщение от malotavr Посмотреть сообщение
                                причинить серьезный вред, парализовав какие-то процессы.
                                Чтоб этого не случилось я изучаю бизнес путем изучения бизнес-процессов и бесед с представителями бизнеса.

                                Это п.1
                                П.2
                                В любой практически организации все руководство за безопасность на словах, но фактически никак участвовать в этом (ни финансово, ни организационно) не собирается. . Кризис и все такое..
                                Если вы как безопасник не имеете веса (читай должности) в организации, то вам и никак не воздействовать на руководство для изменения ситуации.

                                Сообщение от malotavr Посмотреть сообщение
                                Поэтому такие решения принимаются не вами, а бизнесом. Сперва проводится анализ рисков, результаты которого показывают, что компетентный специалист способен получить бесконтрольный доступ к активам, парализовать их работу и т.п.
                                Далее .. бизнес не будет участвовать в процедуре анализа рисков. Не хочет, не до того.. не будет и все. Я вот пытаюсь заниматься внедрением стандарта ISO 27001 в рамках своей корп. сети.
                                Потому я :
                                На первом этапе разобрался с методикой составления перечня активов кс и составил его, согласовав с владельцами активов
                                На втором – составил перечень угроз и уязвимостей, сделал отчет по оценке рисков и написал план их обработки..
                                Однако, в стандарт надо быть погруженным, понимать как этот анализ проводится.. хотя бы хотеть разобраться.
                                Бизнес в этом участвовать не хочет. Он конечно согласовывает разработанные мною документы, но делает это как бы это сказать помягче.. не вчитываясь особо.
                                Вот такие нюансы и реалии. Потому определяем за бизнес сами. И говорить, что я должен (могу) изменить это .. Не могу, не имею ни возможностей, ни положения.
                                Наверняка в приличных организациях дела могут обстоять и по другому, но неприличных то абсолютное большинство.

                                Комментарий


                                • #17
                                  Сообщение от Dan А Посмотреть сообщение
                                  Чаще всего бизнесу никакого дела нет до безопасности, его интересует только бизнес пока нет серьезных (несущих очевидный ущерб) инцидентов. Ну вот представим, что их нет
                                  Вариант "а) бизнес не признает наличие этих рисков". А раз так - вы либо миритесь с такой ситуацией, либо переубеждаете. Причем я не утверждаю, что правы непременно мы с вами - вполне возможно, что бизнесу действительно не нужна такая защита.

                                  За что я люблю банковскую сферу - почти все риски можно посчитать в деньгах. К сожалению, в нефинансовых отраслях работать на порядки сложнее.

                                  Единственное на чем настаиваю - любые серьезные изменения должны быть согласованы с бизнесом.

                                  Комментарий


                                  • #18
                                    Сообщение от Dan А Посмотреть сообщение
                                    Ну отчего же якобы выше? Если в висте физически невозможно работать в контекте учетной записи администратора (что не дает возможность исполнять произвольный код к примеру) разве это не более высокая защищенность?
                                    Если механизм NAP не пускает ПК без антивируса в сеть на уровне отключения сетевого интерфейса - разве это не повышение уровня защищенности?
                                    Пока вы не можете продемонстрировать это "выше", "повышение", "более высокая", то это просто слова, которые бизнес не понимает и не реагирует на них. В этом и проблема в ИБ/ИТ, что многие говорят о том, что внедрение какой-то технологии даст улучшение, но не может сказать какое улучшение и насколько это улучшение будет больше (в конкретных цифрах) лучше, чем сейчас.

                                    Комментарий


                                    • #19
                                      Сообщение от malotavr Посмотреть сообщение
                                      За что я люблю банковскую сферу - почти все риски можно посчитать в деньгах.
                                      Как и в любой другой. Надо просто метод знать правильный ;-)

                                      Сообщение от malotavr Посмотреть сообщение
                                      К сожалению, в нефинансовых отраслях работать на порядки сложнее.
                                      Не совсем так. Надо просто начать с главного и ответить себе на вопрос "Что такое информационная безопасность?" Как ни странно, но, во-первых, не каждый может себе ответить на этот "простой" вопрос. Во-вторых, у разных специалистов будут разные ответы на этот вопрос; значит и понимание решения проблем ИБ тоже разное. Для кого-то ИБ - это снижение числа дыр в системе, для кого-то уменьшение числа инцидентов ИБ, для кого-то - соответствие требованиям ФСТЭК, а для кого-то способствование защищенному росту бизнеса.

                                      И только ответив на этот вопрос, можно заниматься всем остальным. В т.ч. и легко измерять ИБ в любых метриках - хоть финансовых, хоть нет. А без ответа на этот вопрос будет обычное броуновское движение - может попаду в точку назначения, а скорее всего нет.

                                      Комментарий


                                      • #20
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        Пока вы не можете продемонстрировать это "выше", "повышение", "более высокая", то это просто слова, которые бизнес не понимает и не реагирует на них. В этом и проблема в ИБ/ИТ, что многие говорят о том, что внедрение какой-то технологии даст улучшение, но не может сказать какое улучшение и насколько это улучшение будет больше (в конкретных цифрах) лучше, чем сейчас.
                                        Справедливо, кто бы спорил

                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        Как и в любой другой. Надо просто метод знать правильный .
                                        Алексей, может подскажете этот самый правильный метод?
                                        Скажем применительно к изложенному выше случаю внедрения новой технологии, серверной и клиентской ОС.. ?

                                        Комментарий


                                        • #21
                                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                                          Не совсем так. Надо просто начать с главного и ответить себе на вопрос "Что такое информационная безопасность?" Как ни странно, но, во-первых, не каждый может себе ответить на этот "простой" вопрос. Во-вторых, у разных специалистов будут разные ответы на этот вопрос; значит и понимание решения проблем ИБ тоже разное. Для кого-то ИБ - это снижение числа дыр в системе, для кого-то уменьшение числа инцидентов ИБ, для кого-то - соответствие требованиям ФСТЭК, а для кого-то способствование защищенному росту бизнеса.
                                          Как интересно

                                          to All
                                          Может обсудим

                                          to Алексей
                                          Может поделитесь своим ответом на этот вопрос? А мы своим
                                          Предлагаю также определиться про информационную безопасность чего мы говорим.. отдельной информационной системы, комплекса информационных систем, всего предприятия .

                                          to malotavr
                                          Может перенести в отдельную тему?

                                          Комментарий


                                          • #22
                                            Сообщение от malotavr Посмотреть сообщение
                                            Алексей же предлагает совсем иное - "сделать контролируемый вход с этих станций в мир "внутренний", защищаемый, (например, используя технологии терминальных служб)". Т.е. практически совсем отказаться от защиты рабочих станций, до которых может добраться нарушитель. А внутренние ресурсы он предлагает заэкранировать терминальным сервером. Это не самое удачное решение, и без того, оч ем я писал выше, оно пробивается так же легко, как и прочие механизмы управления доступом.
                                            Какая богатая фантазия :-). Откуда произрастает вывод о том, что я предлагаю совсем отказаться от защиты рабочих станций? Отнюдь. Я предлагал совершенное иное - а именно (если хотите подробности):
                                            1. Определить защищаемую информацию.
                                            2. Определить рабочие места, которые максимально подвержены ударам.
                                            3. Максимально убрать с этих рабочих мест защищаемую информацию. Безусловно оградить эти машины от знонамеренного воздействия, хакерского (дистанционного), от вирусов, например, установить и на них правила доступа, чтобы юзера имель минимум полномочий, что бы не были сами себе рутами, и так далее.
                                            4. При необходимости обрабатывать защищаемую информацию на этих машинах, обрабатывать её таким образом, чтобы она не попадала "физически" на ресурсы рабочих станций, которые максимально подвержены ударам. Технологии терминального доступа это сделать позволяют. Это только один из инструментов. Но далеко не единственный.
                                            5. Ключевое слово, которые почему-то выпало из рассмотрения - доступ такой должен быть КОНТРОЛИРУЕМЫМ. А что нам обеспечит контроль удаленного доступа, как не МЭ? Я полагаю, что специалистам это вполне понятно.

                                            И тогда реализовав эти мероприятия, вложив в них большое бабло, понимаешь, что интрудер даже не станет пытаться ломать эту систему, инциденты в ней будут фиксироваться только вызванные природной дуростью юзерской... А интрудер применит гораздо более дешевый и эффективный механизм - "метод шоколадки". Купит в "банке" себе крота и тот крот будет работать в рамках собственных полномочий, но в пользу этого интрудера. Сколько было громких скандалов об разных банковских инцидентах. А потом мелким текстом, что без помощи внутреннего соучастника дело не обошлось.

                                            Комментарий


                                            • #23
                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              Какая богатая фантазия :-). Откуда произрастает вывод о том, что я предлагаю совсем отказаться от защиты рабочих станций?
                                              Вот отсюда:
                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              А "внешние" станции - защищать по минимуму, парольная защита с блокировкой экрана да антивирус. Плюс патчи регулярные. На них важнее работоспособность обеспечить. А защищаемую информацию - в замкнутую песочницу. Тут и овцы сыты и волки целы будут.
                                              Предлагаемые вами меры не защищают "внешние" рабочие станции от целенаправленных атак со стороны человека. Это и называетс "отказаться от защиты".

                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              Отнюдь. Я предлагал совершенное иное - а именно (если хотите подробности):
                                              1. ...
                                              2. ...
                                              3. Максимально убрать с этих рабочих мест защищаемую информацию. Безусловно оградить эти машины от знонамеренного воздействия, хакерского (дистанционного), от вирусов, например, установить и на них правила доступа, чтобы юзера имель минимум полномочий, что бы не были сами себе рутами, и так далее.
                                              4. При необходимости обрабатывать защищаемую информацию на этих машинах, обрабатывать её таким образом, чтобы она не попадала "физически" на ресурсы рабочих станций, которые максимально подвержены ударам. Технологии терминального доступа это сделать позволяют. Это только один из инструментов. Но далеко не единственный.
                                              На этом моменте остановимся, поскольку здесь наши представления об угрозах сильно расходятся.

                                              Если я правильно понимаю, вы считаете, что опасность успешной атаки на "внешнюю" рабочюю станцию заключается в том, что атакующий получить доступ к ценной информаци, с которой работает пользователь. Соответственно, вы предлагаете убрать эту информацию за пределы непосредственной досягаемости пользователя, например - спрятав ее за терминальный сервер. И, если ваша предпосылка верна, терминальный доступ в сочетании с фильтрацией трафика на границе "внутреннего" сегмента действительно решает проблему.

                                              Но ваша предпосылка неверна. Получив доступ к рабочей станции пользователя, нарушитель свою задачу не решил: почти наверняка та информация, которая доступна именно этому пользователю сама по себе нарушиетеля не интересует. Более того, вполне возможно, что этот пользователь даже не имеет доступа к информационным системам, которые интересуют нарушителя. Или имеет, но нарушитель сам толком не знает, какие именно системы ему нужны, а возможностей этого пользователя для полноценного discovery не хватает. Поэтому, получив доступ к рабочей станции, анрушитель последовательно атакует сетевые узлы, соседние с уже контролируемыми, используя недостатки в их защите, чтобы в конечном итоге либо получить контроль над нужной ему информационной системой, либо получить учетку ее администратора, что по своим результатам одно и то же.

                                              Если в пределах досягаемости есть фвйловый сервер, то нарушитель будет искать непропатченные уязвимости или ошибкт в конфигурации доступных ему простоколов NetBIOS, MS RPC, NTLM, CIFS. Предположжим, вы сделали финт ушами и спрятали файловый сервер за терминальный. Думаете, вы усложнили задачу нарушителя? Ни фига подобного: вы заменили файловый сервер терминальным, и нарушитель точно так же будет искать уязвимости на терминальном сервере, используя все в тех же NetBIOS, MS RPC, NTLM, CIFS плюс MS RDP. В основе виндовой архитектуры используются одинаковые механизмы защиты, и вы либо умеете ими пользоваться, либо не умеете. И тут возможны только два варианта:
                                              1. либо вы защищаете виндовые серверы одинаково хорошо, и тогда нарушитеель не сможет получить контроль над терминальным сервером, как он не смог бы получить контроль над файловым сервером;
                                              2. либо вы защищаете виндовые сервера одинаково плохо, и нарушитель получит контроль над терминальным сервером так же, как он получил бы контроль над файловым сервером.


                                              Ключевое слово - одинаково, потому что нет ни малейшей предпосылки к тому, что вы сможете защитить терминальный сервер, не умея аналогичным образом защитить остальные виндовые серверы.

                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              5. Ключевое слово, которые почему-то выпало из рассмотрения - доступ такой должен быть КОНТРОЛИРУЕМЫМ. А что нам обеспечит контроль удаленного доступа, как не МЭ? Я полагаю, что специалистам это вполне понятно.
                                              Что-то обеспечит, но никак не МЭ. Опять-таки, не нужно приписывать средству защиты свойств, которыми оно не обладает. Правило фильтрации
                                              access-list 1 permit tcp host A host B eq 1521
                                              access-list 1 deny tcp any any
                                              гарантирует только то, что досутп к ораклу на хосте B получит только субъект, имеющий доступ к хосту А. Любой субъект.

                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              И тогда реализовав эти мероприятия, вложив в них большое бабло, понимаешь, что интрудер даже не станет пытаться ломать эту систему,
                                              Не только станет и не только пытаться. Если наши специалисты сравнительно легко ломают такие системы, то почему же настоящий нарушитель этого не сумеет?

                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              А интрудер применит гораздо более дешевый и эффективный механизм - "метод шоколадки". Купит в "банке" себе крота и тот крот будет работать в рамках собственных полномочий, но в пользу этого интрудера.
                                              Ага, нашли дураков. Для "метода шоколадки" нужно:
                                              1. Выйти на контакт с "кротом", т.е. нарушить собственную анонимность.
                                              2. Заплатить деньги, причем много денег
                                              3. Надеяться на то, что "крот" не сдаст вас или не проколется на какой-нибудь глупости.

                                              На взлом снаружи информационных систем среднестатистического российского банка уходит 5-10 рабочих дней, причем без дополнительных финансовых затрат. Вы своего "крота" дольше искать будете

                                              Сообщение от Евстафьев Алексей Посмотреть сообщение
                                              Сколько было громких скандалов об разных банковских инцидентах. А потом мелким текстом, что без помощи внутреннего соучастника дело не обошлось.
                                              Я приводил примеры нескольких крупных проникновений. Где вы там нашли "внутреннего соучастника"?

                                              Комментарий


                                              • #24
                                                Сообщение от Евстафьев Алексей Посмотреть сообщение
                                                Я предлагал совершенное иное - а именно (если хотите подробности):
                                                1. Определить защищаемую информацию.
                                                2. Определить рабочие места, которые максимально подвержены ударам.
                                                3. Максимально убрать с этих рабочих мест защищаемую информацию. Безусловно оградить эти машины от знонамеренного воздействия, хакерского (дистанционного), от вирусов, например, установить и на них правила доступа, чтобы юзера имель минимум полномочий, что бы не были сами себе рутами, и так далее.
                                                4. При необходимости обрабатывать защищаемую информацию на этих машинах, обрабатывать её таким образом, чтобы она не попадала "физически" на ресурсы рабочих станций, которые максимально подвержены ударам. Технологии терминального доступа это сделать позволяют. Это только один из инструментов. Но далеко не единственный.
                                                5. Ключевое слово, которые почему-то выпало из рассмотрения - доступ такой должен быть КОНТРОЛИРУЕМЫМ. А что нам обеспечит контроль удаленного доступа, как не МЭ? Я полагаю, что специалистам это вполне понятно.
                                                Как не прискорбно, но, например, для компании Ciscoс оборотом в 40 миллиардов долларов такой подход неприемлем ;-(

                                                Комментарий


                                                • #25
                                                  Сообщение от malotavr Посмотреть сообщение
                                                  Но ваша предпосылка неверна. Получив доступ к рабочей станции пользователя, нарушитель свою задачу не решил: почти наверняка та информация, которая доступна именно этому пользователю сама по себе нарушиетеля не интересует. Более того, вполне возможно, что этот пользователь даже не имеет доступа к информационным системам, которые интересуют нарушителя. Или имеет, но нарушитель сам толком не знает, какие именно системы ему нужны
                                                  А может и вообще нарушителю не нужна никакая информация, а ему нужна очередная жертва для ботнета.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Tiger Посмотреть сообщение
                                                    Как интересно
                                                    Еще как ;-)

                                                    Сообщение от Tiger Посмотреть сообщение
                                                    to All
                                                    Может обсудим
                                                    Легко.

                                                    Сообщение от Tiger Посмотреть сообщение
                                                    to Алексей
                                                    Может поделитесь своим ответом на этот вопрос? А мы своим
                                                    Я уже делился ранее в этом топике.

                                                    Сообщение от Tiger Посмотреть сообщение
                                                    Предлагаю также определиться про информационную безопасность чего мы говорим.. отдельной информационной системы, комплекса информационных систем, всего предприятия .
                                                    Предприятия.

                                                    Сообщение от Tiger Посмотреть сообщение
                                                    to malotavr
                                                    Может перенести в отдельную тему?
                                                    Я создал.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                      Как не прискорбно, но, например, для компании Ciscoс оборотом в 40 миллиардов долларов такой подход неприемлем ;-(
                                                      Вы наверное забыли дописать "в целом", потому как очень сомнительно, что Cisco не смогла или не захотела или посчитала нецелесообразной необходимость "1. Определить защищаемую информацию." к примеру.

                                                      Комментарий


                                                      • #28
                                                        Однако вернемся к "парадигме".
                                                        Пусть у нас имеется три АС различного назначения, реализованные в виде автономных ЛВС. Две из них класса 1Г, третья не классифицирована.
                                                        Две первые АС имеют аттестаты.
                                                        Задача1: организовать взаимодействие между первыми двумя АС.
                                                        Возможные действия:
                                                        1. соединить коммутаторы этих АС:
                                                        - получится объединение ЛВС - оба аттестата потеряны
                                                        2. поставить между АС маршрутизатор:
                                                        - получится объединение ЛВС - оба аттестата потеряны по причине образовавшегося не описанного взаимодействия (много переделок в документах - дешевле выбросить)
                                                        3. поставить маршрутизатор, оснащенный МЭ:
                                                        - объединения нет, аттестаты требуют минимальной коррекции.

                                                        Несколько скомкано.
                                                        В 3 случае получается "пена".

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Идущий Посмотреть сообщение
                                                          Возможные действия:
                                                          1. соединить коммутаторы этих АС:
                                                          - получится объединение ЛВС - оба аттестата потеряны
                                                          Что мешает поставить сертифицированный коммутатор?

                                                          Сообщение от Идущий Посмотреть сообщение
                                                          3. поставить маршрутизатор, оснащенный МЭ:
                                                          - объединения нет, аттестаты требуют минимальной коррекции.
                                                          И мы прекрасно понимаем, что и при наличии МСЭ и при его отсутствии из одной ЛВС в другую можно замечательно попасть.

                                                          Комментарий


                                                          • #30
                                                            К слову http://www.networkworld.com/community/node/55790 (не сочтите за рекламу)

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X