В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Для начала стоит отметить, что использование инструментов, имеющихся в ОС на момент установки, бывает полезно для повышения безопасности в целом. Можно грамотно реализовать настройку параметров учетных записей пользователей, применить информацию из системных журналов для анализа событий в системе, настроить имеющийся в ОС межсетевой экран и т.д.
Прежде чем приступить к защите, нужно оценить вероятные опасности со стороны злоумышленников, понять, из каких этапов может состоять потенциальная угроза, а затем посмотреть, что необходимо выполнить на каждом из них, чтобы атака не удалась.
Для начала определимся с терминологией. Атака – это действие, которое негативно влияет на какой-нибудь целевой компонент. Перед ее реализацией злоумышленник должен найти бреши в системе. Такие бреши называются уязвимостями. Подобная уязвимость может появиться, например, из-за использования личной электронной почты на рабочем месте.
Обычно злоумышленников условно делят на внутренних, которые имеют непосредственный доступ к компонентам системы безопасности, и внешних. С учетом такого деления различают виды киберугроз и соответствующие меры защиты от них.
На первом этапе необходимо определить схему реализации атаки. Лучше всего рассматривать киберугрозу в виде конкретного действия, например "атака отказа в обслуживании на веб-сервер" или "взлом веб-сервера".
Вторым шагом является выбор стратегии для противодействия каждому этапу кибератаки. Стратегий полезно выбирать несколько, так как, возможно, не все они будут в дальнейшем использованы.
Третьим шагом должен стать выбор мер защиты, которые точно можно реализовать (и контролировать) при помощи штатных средств ОС.
На четвертом этапе производят тестирование имеющихся механизмов и коррекцию схемы защиты на основе полученной информации.
Такой подход дает возможность:
На пятом этапе нужно понять, каким образом можно будет использовать имеющиеся в ОС механизмы для защиты от атаки и насколько оправдано их использование.
За основу можно взять концепцию Cyber Kill Chain¹. Она описывает различные фазы осуществления условной атаки, на каждой из которых злоумышленником будут выполнены определенные действия. Для большей реалистичности можно использовать глобальную базу знаний², в которой собраны все известные тактики и техники, применяемые для практической реализации некоторых атак. Для каждого начального воздействия (англ. Initial Access) в этой схеме предусмотрен общий сценарий развития атаки.
На последнем этапе можно выделить обобщенный сценарий условной атаки и рассмотреть штатные средства ОС.
Последовательность действий при осуществлении атаки в упрощенном виде:
Эта схема позволяет упрощенно описать действия внешнего злоумышленника. Стоит отметить, что условно в такой схеме будет два больших раздела:
Для того чтобы защитить систему, можно использовать ряд решений, которые условно разделяются на несколько категорий:
Теперь рассмотрим, какие механизмы ОС можно применить для защиты в рамках полученной концепции. Предположим, у нас есть сеть, в которой используются сервер на основе ОС Linux в качестве веб-сервера. Для выбора механизмов защиты составим небольшую таблицу, при помощи которой постараемся рассмотреть, как можно использовать компоненты ОС для построения системы защиты. Здесь есть некоторые ограничения:
Сама таблица будет иметь следующий вид (см. таблицу 1).
В целом основные защитные и превентивные меры сводятся к следующему:
К сожалению, объем статьи не позволяет подробно остановиться на каждом из методе. Тем не менее эти меры достаточны для того, чтобы защитить ресурсы организации, а в некоторых случаях и предотвратить атаку еще на этапе ее подготовки.
Конечно, у бюджетных мер защиты есть и недостатки:
Поэтому всегда нужно помнить, что безопасность – это не только меры и средства, но и конкретные специалисты, выполняющие настройку и обслуживание системы. И если есть способ улучшить их деятельность просто за счет внедрения средств защиты информации с грамотным интерфейсом пользователя – экономить не стоит.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2020