Cesta: Info / Tiskové centrum / Články / Bezpečnostní audit ICT

• Manuál ServiceDesk ANECT
• HelpDesk
• ServiceDesk

• Tiskové centrum
• Zaměstnání
• Logo ke stažení

Tento článek je určen především pro manažery zodpovědné za chod informačních a komunikačních technologií (dále též ICT) a všem administrátorům, kterých se někdy dotkne bezpečnostní audit. Jste-li auditorem nebo člověkem zdatným v bezpečnosti, pak vám většina informací v článku bude známá a místo toho si můžete kupříkladu přečíst nějaké dobrodružné články na www.phrack.org nebo na security.nnov.ru :-)

O čem to vlastně bude

Pro soudobou informační společnost je typické plošné využívání informačních a komunikačních technologií, a proto se řízení informatiky stává jedním z klíčových prvků celkového managementu většiny organizací. Znalost skutečného stavu informatiky je rozhodujícím prvkem efektivního a úspěšného rozvoje. Důležitým nástrojem pro poznání objektivního stavu řízení informační bezpečnosti je bezpečnostní audit ICT, který je důležitou složkou prohlubující nepostradatelné zpětné vazby.

Rádi bychom vám přiblížili, jak takový audit probíhá v praxi. Ideální příležitostí je popsání námi realizovaného bezpečnostního auditu u jednoho z našich zákazníků. Z pochopitelných důvodů ponecháme název organizace skrytý pod rouškou mlčenlivosti.

V úvodu se budeme zabývat, doporučeními a metodikami při bezpečnostních auditech. Uvedeme krátký přehled a rozdělení používaných metodik.Dále vás seznámíme s konkrétním průběhem jednoho reálného auditu ve snaze co nejvíce přiblížit, jak takový audit vypadá

Metodiky auditu

Co rozumíme pod pojmem "Bezpečnostní audit" a jaké úrovně auditu můžeme provádět?

Bezpečnostním auditem ICT rozumějme systematický, nezávislý a dokumentovaný proces získávání důkazů o skutečném stavu bezpečnosti informací organizace a porovnání tohoto stavu vůči určeným kritériím auditu.

Při definici bezpečnostních auditů ICT používáme osvědčenou metodologii Information Assurance Metodology vyvinutou NSA (National Security Agency - Národní bezpečnostní úřad USA), která dělí bezpečnostní audity do třech základních kategorií:

• Úroveň I - Assessment - organizační pohledy, politiky, procedury,
• Úroveň II - Evaluation - systémová síťová úroveň identifikace bezpečnostních slabin
• Úroveň III - RedTeam - reálné pokusy o průnik do systému.

Úroveň I - Assessment

Jádrem této části auditu je zhodnotit stav ICT z organizačního a procesního hlediska. Jedná se o prověření procesů a postupů, kterými je realizován management bezpečnosti informací. Toto prověření provádíme podle doporučení nové mezinárodní normy ISO/IEC 27001:2005 - Systém managementu bezpečnosti informací - Požadavky (mezinárodní podoba normy BS 7799-2). Cílem doporučení je právě ověřit, zda organizace správně identifikuje existující informační rizika, navrhuje vhodná bezpečnostní opatření a je schopna bezpečnost účinně prosadit do každodenního života.

Úroveň II - Evaluation

V literatuře se také můžete setkat s označením Blue Team testy. V této úrovni je hlavním cílem celkový pohled ICT ze síťového a systémového pohledu. Vyhodnocuje se, do jaké míry jsou politiky a procesy ve shodě se skutečným realizovaným systémem, a to včetně logiky návrhu. Auditoři dostanou k dispozici informace o informačním systému včetně přístupů. Testování provádějí při vědomí odpovědných administrátorů a techniků auditované společnosti. Součástí je též ohodnocení existujících zranitelností v systému.

K získání výsledků jsou zpravidla používány softwarové, komerční a Open Source nástroje, které lze z principu funkčnosti rozdělit na dvě kategorie.

První kategorii tvoří síťové scannery, které komunikují s auditovaným zařízením a na základě získaných odpovědí odhadují typ, verzi a z toho i plynoucí možnou zranitelnost.

Druhou kategorií jsou programy, které získávají informace o službách a aplikacích přímo na zařízení (například ze záznamů v registru, z konfiguračních souborů apod.) Výhodou druhé kategorie jsou přesnější a správnější informace, nevýhodou je nutnost použití privilegovaných oprávnění (zpravidla administrátorské účty). Záleží pak na každé společnosti, zda-li tyto citlivé údaje poskytne.

Úroveň III - Red Team

Poslední úrovní jsou testy simulují skutečný útok. Zpravidla jsou tyto testy zaměřené na dílčí kritické části ICT, poněvadž jsou časově (a tudíž i finančně) nejnáročnější. Auditoři provádějí testy záměrně bez podrobnějších informací o testovaném objektu tak, aby byly nuceni použít i metod zaměřených na "rekognoskaci terénu". Tím tak mohou v systému nalézt "nebezpečně zajímavé" informace, které jsou na první pohled neškodné.

Při testech doporučujeme, aby o nich věděl pouze odpovědný bezpečnostní manager. Pakliže budou informování i zodpovědní administrátoři, mohou díky obavám vypnout nebo dočasně překonfigurovat systém, a tím tak znemožní pravdivé zhodnocení. Zcela klasický příklad je dočasné vypnutí různých chatů a "neoficiálních" sdílených zdrojů.

Audit organizace - příklad z praxe

Společnost ANECT již několik let poskytuje poradenské služby v oblasti bezpečnostních auditů. Jelikož bychom rádi přiblížili, jak takový audit probíhá, vybrali jsme pro vás typický audit, který jsme provedli poměrně nedávno v jedné organizaci střední velikosti. Záměr zadavatele byl následující:

Provést bezpečnostní audit, jenž bude zahrnovat:

• Vyhodnocení celkové architektury sítě z hlediska bezpečnosti
• Zjištění aktuálních bezpečnostních slabin v celém systému

a to včetně dodání základních doporučení, která povedou k nápravě.

Příprava - plán postupu

Na základě našich zkušenostní jsme postupovali podle normy ČSN EN ISO 19011:2003 - Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu, která je mezinárodně využívána i pro účely auditu managementu bezpečnosti informací.

Podívejme se nyní na vlastní průběh auditu trochu podrobněji. Audit jsme rozdělili do následujících pěti částí:

• Zahájení auditu - definovali jsme cíle, předmět a kritéria auditu
• Přezkoumání dokumentace a příprava činností na místě - všechny audity by se měly opírat o základní znalost prostředí. Tato fáze auditu nám sloužila k prostudování existující dokumentace, která je základem pro návrh účinného plánu auditu. Součástí této fáze auditu byla též příprava různých pracovních dokumentů (např. dotazníky apod.).
• Provádění auditu na místě -jádro celého auditu, kdy docházelo k vlastnímu směru informací o skutečném fungování systému, k ověřování zjištěných skutečností a ke shromáždění důkazů.
• Příprava, schválení a distribuce zprávy z auditu znamenala důkladné vyhodnocení všech zjištěných skutečností při zvážení negativních dopadů a dalších souvislostí. Tato práce byla základem pro zformulování stručné a výstižné zprávy z auditu. Součástí byla také prezentace výsledků a následná diskuze se všemi odpovědnými manažery a administrátory.
• Dokončení auditu - pro vlastní auditní tým je důležité, aby si sám vyhodnotit úspěšné i méně zdařilé stránky auditu. Proto i zpětná vazba byla důležitým nástrojem zlepšování u nás auditorů.

Realizace auditu

Před podepsáním kontraktu

bylo klíčové definovat kritéria, rozsah a podmínky auditu, a to včetně formy a obsahu výstupní zprávy. Zjistili jsme si informace o povaze a rozsahu auditovaného systému:

Auditovaný systém byl tvořen 15ti servery s různorodými operačními systémy (WinX, různé distribuce linuxu, Solaris, Novell Netware) propojený několika různorodými router v jedné LAN síti. Klientské stanice byly v drtivé většině na platformě Windows (v počtu cca 200).

Mezi stěžejní služby a aplikace ICT patřila pošta MS Exchange, doména Microsoft, datová úložiště a zálohování, účetnictví, webové servery pro styk s veřejností, databázové systémy Oracle a MSSQL. Na základě těchto zjištění jsme utvořili tým stávající se ze 4 konzultantů, každý z nich je odborníkem na dílčí oblast.

Zahájení auditu

Na úvodní schůzce jsme společně upřesnili kritéria auditu a formu výstupní zprávy.

Předali jsme následující seznam požadovaných materiálů:

• Organizační strukturu ICT (včetně odpovědnosti)
• Informační strategii/koncepci
• Existující bezpečnostní politiky, pravidla či směrnice
• Existující zprávy z auditů, kontrol či testů ICT
• Architekturu a základní popis informačního systému
• Krizové plány a plány zálohování datových souborů
• Jiné interní předpisy, metodické pokyny, příkazy či vnitřní normy související s bezpečností

Následně jsme navrhli harmonogram prací včetně oboustranného personálního zajištění. Nezbytnou záležitostí byla přesná specifikace, které systémy spadají do kompetence dané organizace. Pro jednotlivé systémy bylo důležité definovat časové rámce, kdy je možné systém testovat. Zejména u kritických systémů velkých společností je možné spustit testy pouze mimo běžnou pracovní dobu, kdy potenciální výpadek nebude mít tak velké důsledky.

Po oboustranném odsouhlasení rozsahu a harmonogramu auditu bylo možné se pustit do práce.

Přezkoumání dokumentace a příprava činností na místě

Při další návštěvě byly dodány dokumentace, které byly k dispozici. Zároveň jsme do vnitřní sítě nainstalovali síťový scanner, který byl základem pro další auditorskou činnost. Vzhledem ke struktuře sítě bylo rozmístění síťových senzorů jednoduché - jeden do serverového segmentu, jeden do segmentu s klientskými stanicemi. Síťový scanner byl v našem případě server s Open Source nástroji, a to včetně všem známého Nessusu. Pro audit politik domény Microsoft byl použit Symantec Enterprise Security Manager.

Provedení auditu na místě

První zajímavý moment přišel již v úvodu, kdy se jeden z našich kolegů snažil získat oprávnění na síťové prvky. Měl v plánu vyzkoušet 5 nejčastěji používaných hesel, no po třetím pokusu již nebylo třeba pokračovat, neb enable mód (privilegovaný konfigurační režim) byl zpřístupněn.

Stěžejní částí auditu bylo ohodnocení zranitelností v systému - tedy v řeči metodiky NSA IAM úroveň II -Evaluation. Při této úrovni jsme použili tzv. SAFE testů, které nezpůsobí pád systému. Přípravnou fází bylo prozkoumání sítě nástroji NMAP, telnet, tcpdump, dsniff a hping.

Získali jsme tak lepší představu o skutečné topologii. Hlavní fází bylo provedení několika testů nástrojem Nessus, který používáme ze tří důvodů - je snadno dostupný, je kvalitní a oproti komerčním programům si můžete u jednotlivých testů (psány převážně v NASL skripu) zjistit jak daný test pracuje. Dokážete tak odhadnout, v jakých případech označí výsledek za falešně pozitivní.

Získané pracovní výsledky jsme importovali do SQL databáze, a pro jednodušší následné zpracovávání byly exportovány do tabulkového procesoru Excel. Bylo možné zpracovávat výsledky přímo ve frontendu Nessuse, nicméně ze zkušenosti jsme použili Excel, který nám umožnil rychlé třídění a psaní poznámek k jednotlivým nálezů, navíc v této formě jsou detailní výsledky velmi přehledné.

Výsledky testů jsme ověřovali buď přímou kontrolou verze služby či aplikacemi na auditovaném zařízení, nebo vzdáleně dodatečnými testy.

Dokončení auditu a zhodnocení

V závěrečné zprávě jsme při vyhodnocení auditu ICT přehledně znázornili, které částí jsou či nejsou v souladu s metodikou. Z pochopitelných důvodů jsou některé hodnoty změněny. Příklad hodnocení bezpečnosti je uveden na následujícím obrázku.

Obr. Příklad grafického vyhodnocení auditu bezpečnosti ICT

Součástí zprávy byl popis a seznam nalezených závažnějších zranitelností.

Závěr aneb co audit přináší

Bezpečnostní audit ICT přináší pro vedoucí pracovníky organizace důležité informace o skutečném stavu fungování bezpečnostních procesů a míry prosazení bezpečnostních opatření. Tyto údaje jsou rozhodujícím zdrojem pro zvyšování účinnosti a pro zlepšování efektivnosti bezpečnostních opatření. Mějte na paměti, že i při sebelepším zabezpečení bude existovat nepatrné procento lidí schopných překonat bezpečnostní systémy. Pokud ale nebudete neustále pracovat na své bezpečnostní strategii, pak to umožníte i těm ostatním.

Literatura a zajímavé odkazy

[1] http://www.theiia.org/itaudit
[2] http://www.isecom.org/osstmm
[3] kniha Security Assessment Case Studies for Implementing the NSA - ISBN: 1932266968
[4] kniha Nessus Network Auditing - ISBN 1931836086