Анализ статического и динамического состояния ИС

О.А. Данилин

А.И. Качалин

Это полезно для:

• Выявления нелегальных участников

• Выявления нелегальных каналов

• Выявления потенциальных каналов утечки

• Выявления нелегальных способов взаимодействия

• Планирования обновления ПО в ИС

Вид ИС глазами IT специалиста

Идея

• Объекты исследования:– Участники:

• MAC-адрес• IP-адрес(а)• Открытые порты• Уязвимости сетевых приложений на открытых портах

– Взаимодействия:• MAC и IP-адреса участников• Порты• Статистические характеристики (продолжительность, объем переданной информации, средние значения

размера пакета и межпакетного интервала, распределения размера пакета и межпакетного интервала и д.р.)

• Участники формируют условно статическую картину ИС

• Взаимодействия формируют динамическая картина ИС

• Условно статическую и динамическую картины ИС нужно сопоставить

Результат сопоставления должен:

• Характеризовать участников с точек зрения:– Ролей (клиент, сервер, gateway и т.д.)

– Интереса к участникам (toptalker, средневзвешенная уязвимость, наличие критических уязвимостей, используемое ПО и т.д.)

• Характеризовать взаимодействия между участниками с точек зрения:– Направления взаимодействия (внутри ИС, за пределы ИС)

– Используемого приложения или типа приложений

– Вида активности (download, онлайн просмотр видео, чат, игровая активность и т.д.)

– Использования уязвимых сервисов в ИС

Процесс исследования

• Этапы:– Сбор исходных данных

– Первичная обработка

– Автоматизированный анализ

– Ручной анализ

• Требования к автоматизированному анализу:– низкая чувствительность к ошибкам в исходных данных

– минимально возможное время

– высокая достоверность полученных результатов

Исходные данные

• Отчеты сканера безопасности

• Отчеты средств узловой инвентаризации

• Дампы пакетов

• Отчеты систем учета трафика

Сбор исходных данных

• Исходные данные существенно различаются по:– сложности процедуры сбора и первичной обработки– количеству определяемых участников– количеству определяемых аспектов взаимодействия– точности определения общих аспектов взаимодействий– объему хранимой информации

• При сборе исходных данных необходимо:– Обеспечить их непротиворечивость

• выбор промежутка времени, в течение которого ИС находится в условно низменном состоянии

• одновременный сбор необходимых видов исходных данных

– Снизить их объем• ограничиться видами данных, отвечающими условиям задачи при минимальной

избыточности информации• исключить из собираемых данных информацию об исследователе как участнике и

его активностях по сбору данных

Сравнение источников данных об участниках

Критерий Сканер безопасности Узловой инвентаризатор

Участники Только видимые сканеру Все

Размер файла Около 100 Кбайт на хост Около 500Кбайт на хост

Определение установленного ПО

Приблизительное Гарантировано

Определение уязвимостей установленного ПО

Приблизительное Уязвимости не определяются

Требуемое время для подготовки сбора информации

Х-минут Х*k-минут, где k – от 3 до 6

Сравнение источников данных о взаимодействиях

Критерий Пакетный сниффер Система учета трафика

Возможность получения в ИС Всегда Не всегда

Размер файла за одинаковый интервал времени

Х-Мбайт Х/k-Мбайт, где k – от 100 до 700

Чувствительность к избыточности и неполноте трафика

Чувствителен Не чувствительна

Скорость первичной обработки Ниже Выше

Чистота определения направления трафика

Не гарантирована из-за возможной ошибки зеркалирования портов коммутатора

Гарантирована при условии знания схемы соединений на коммутационном оборудовании

Чистота определения ролей участников и множества локальных IP-адресов

Статистические методы анализа Применимы в полном объеме Методы, использующие статистическую информацию о пакетах потока, не применимы

Анализ payload Возможен Не возможен

Оценка времени анализа

• Основана на системе метрик обрабатываемых данных

• На различных этапах должны использоваться подходящие метрики

Этап Метрики Объекты измерения Влияние

Сбор Объемные и скоростные

Трафик Сильное на возможность и продолжительность сбора

Количественные Участники Сильное на продолжительность этапа

Первичная обработка Количественные Участники Слабое на продолжительность этапа

Пакеты или потоки Сильное на продолжительность этапа.

Автоматизированный анализ

Количественные Участники Слабое на продолжительность этапа

Потоки Сильное на выбор алгоритмов и продолжительность этапа

Ручной анализ Количественные Участники и взаимодействия

Сильное на восприятие

Вид ИС глазами аналитика

Или после автоматизированного анализа…

В результате ручного анализа могут быть выявлены:

• Уязвимости, требующие немедленного устранения (хосты, доступные из вне исследуемой ИС и принимающие трафик на уязвимые порты).• Уязвимости, требующие планового устранения (хосты, недоступные из вне исследуемой ИС, но принимающие трафик на уязвимые порты от других хостов ИС).• Участники информационного обмена, требующие

немедленного внимания со стороны службы ИБ(атакующие/сканирующие хосты, хосты с ложными ролями).• Участники информационного обмена, требующие планового

внимания со стороны службы ИБ (хосты с сетевыми приложениями, установленными в нарушение политики ИБ или представляющими потенциальную угрозу ИБ ИС в виде каналов утечки информации).

Выводы:

• При анализе ИС необходимо и возможно определить приемлемое соотношение между затрачиваемым временем, полнотой и достоверностью полученных результатов

• Необходимо учитывать, что время сбора информации прямо пропорционально количеству участников, а время анализа – количеству взаимодействий между ними

Спасибо за внимание!

Олег Данилин

Oleg.Danilin@advancedmonitoring.ru