ОРИАСИБ

Некоммерческое акционерное общество
«АЛМАТИНСКИЙ УНИВЕРСИТЕТ ЭНЕРГЕТИКИ И СВЯЗИ»
Институт систем управления и информационных технологий
Кафедра системы информационной безопасности
Лабораторная работа № 7
По дисциплине: Оценка риска и аудит систем информационной
безопасности.
На тему: OpenVAS
Специальность: Системы информационной безопасности
Выполнил: Дифу И.Х.
Группа: СИБ 15 – 3
Приняла: ст. преподаватель, Дмитриева М. В.
___________ _____________«____» ____________201___г.
(оценка)
(подпись)
Алматы, 2018 год
Содержание
Введение ................................................................................................................... 3
1. Методика FRAP ................................................................................................... 4
2 Реализация программной части .......................................................................... 7
Установка сканера безопасности OpenVas в систему Kali Linux....................... 8
Запуск программы: ................................................................................................ 10
Заключение ............................................................................................................ 20
Список литературы ............................................................................................... 21
2
Введение
Цель работы - изучение методики расчета рисков
информационной безопасности по методу FRAP.
Объектом исследования являются информационные риски, а
предметом - расчет рисков информационной безопасности.
Главной целью любой системы защиты является обеспечение
устойчивого функционирования объекта, предотвращение угроз его
безопасности, защита законных интересов организации от противоправных
посягательств, недопущение хищения финансовых средств, разглашения,
утраты, утечки, искажения и уничтожения служебной информации,
обеспечение
нормальной
производственной
деятельности
всех
подразделений.
Подход на основе анализа информационных рисков компании
является наиболее интересным и значимым для практики аудита
безопасности. Это объясняется тем, что анализ риска позволяет
эффективно управлять информационной безопасностью предприятия. Для
этого в начале работ по анализу риска необходимо определить, что именно
подлежит защите на предприятии, воздействию каких угроз это
подвержено, и выработать рекомендации по практике защиты.
Информационная среда организации, вне зависимости от своего
состава, должна предусматривать систему защиты. Однако затраты на
обеспечение высокого уровня безопасности могут быть неоправданными.
Нахождение разумного компромисса и выбор приемлемого уровня защиты
при допустимых затратах является важным условием постановки задачи
обеспечения ИБ. Для решения этого вопроса необходимо проводить анализ
рисков ИБ, позволяющий оценить существующий уровень защищенности
ресурсов организации. Значение риска, являющееся произведением
вероятности реализации угрозы по отношению к защищаемому ресурсу на
ущерб от реализации данной угрозы, служит показателем полноты,
комплексности и эффективности системы ИБ организации, а также
позволяет выявить ее слабые места. При этом возникает ряд трудностей с
интерпретацией экономических показателей для области ИБ. В связи с
этим, изучение данной темы представляется актуальным.
3
1. Методика FRAP
Методика "Facilitated Risk Analysis Process (FRAP)" предлагаемая
компанией Peltier and Associates разработана Томасом Пелтиером. В
методике, обеспечение ИБ ИС предлагается рассматривать в рамках процесса
управления рисками. Управление рисками в сфере ИБ - процесс,
позволяющий компаниям найти баланс между затратами средств и сил на
средства защиты и получаемым эффектом.
Управление рисками должно начинаться с оценки рисков: должным
образом оформленные результаты оценки станут основой для принятия
решений в области повышения безопасности системы.
После завершения оценки, проводится анализ соотношения затрат и
получаемого эффекта, который позволяет определить те средства защиты,
которые нужны, для снижения риска до приемлемого уровня.
Ниже приведены основные этапы оценки рисков. Данный список во
многом повторяет аналогичный перечень из других методик, но во FRAP
более подробно раскрываются пути получения данных о системе и ее
уязвимостях.
1. Определение защищаемых активов производится с использованием
опросных листов, изучения документации на систему, использования
инструментов автоматизированного анализа (сканирования) сетей.
2. Идентификация угроз. При составлении списка угроз могут
использоваться разные подходы:
1) заранее подготовленные экспертами перечни угроз (checklists), из
которых выбираются актуальные для данной системы;
2) анализ статистики происшествий в данной ИС и в подобных ей оценивается частота их возникновения; по ряду угроз, например,
угрозе возникновения пожара, подобную статистику можно
получить у соответствующих государственных организаций;
3) "мозговой штурм", проводимый сотрудниками компании.
3. Когда список угроз закончен, каждой из них сопоставляют вероятность
возникновения. После чего оценивают ущерб, который может быть
нанесен данной угрозой. Исходя из полученных значений, оценивается
уровень риска.
При проведении анализа, как правило, принимают, что на начальном
этапе в системе отсутствуют средства и механизмы защиты. Таким образом
оценивается уровень риска для незащищенной ИС, что в последствии
позволяет показать эффект от внедрения средств защиты информации (СЗИ).
Оценка производится для вероятности возникновения угрозы и ущерба
от нее по следующим шкалам.
4
Вероятность (Probability):
- высокая (High Probability) - очень вероятно, что угроза реализуется в
течение следующего года;
- средняя (Medium Probability) - возможно угроза реализуется в течение
следующего года;
- низкая (Low Probability) - маловероятно, что угроза реализуется в
течение следующего года.
Ущерб (Impact) - мера величины потерь или вреда, наносимого активу:
- высокий (High Impact): остановка критически важных бизнесподразделений, которая приводит к существенному ущербу для бизнеса,
потере имиджа или неполучению существенной прибыли;
- средний (Medium Impact): кратковременное прерывание работы
критических процессов или систем, которое приводит к ограниченным
финансовым потерям в одном бизнес-подразделении;
- низкий (Low Impact): перерыв в работе, не вызывающий ощутимых
финансовых потерь.
Оценка определяется в соответствии с правилом, задаваемым матрицей
рисков, изображенной на рисунке ниже. Полученная оценка уровня риска
может интерпретироваться следующим образом:
- уровень A – связанные с риском действия (например, внедрение СЗИ)
должны быть выполнены немедленно и в обязательном порядке;
- уровень B – связанные с риском действия должны быть предприняты;
- уровень C – требуется мониторинг ситуации (но непосредственных
мер по противодействию угрозе принимать, возможно, не надо);
- уровень D –никаких действий в данный момент предпринимать не
требуется.
IMPACT
P
R
O
B
A
B
I
L
I
T
Y
High
High
Medium
Low
Medium
Low
A
B
C
B
B
C
B
C
D
A - Corrective action must be implemented
B - Corrective action should be implemented
C - Requires monitor
D - No action required at this time
Рисунок 1 - Матрица рисков FRAP.
5
После того как угрозы идентифицированы и дана оценка риска,
должны быть определены контрмеры, позволяющие устранить риск или
свести его до приемлемого уровня. При этом должны приниматься во
внимание законодательные ограничения, делающие невозможным или,
наоборот, предписывающие в обязательном порядке, использование тех или
иных средств и механизмов защиты. Чтобы определить ожидаемый эффект,
можно провести оценку того же риска, но при условии внедрения
предлагаемого СЗИ. Если риск снижен недостаточно, возможно, надо
применить другое СЗИ. Вместе с определением средства защиты, надо
определить какие затраты повлечет его приобретение и внедрение (затраты
могут быть как прямые, так и косвенные). Кроме того, необходимо оценить,
безопасно ли само это средство, не создает ли оно новых уязвимостей в
системе.
Чтобы использовать экономически эффективные средства защиты,
нужно проводить анализ соотношения затрат и получаемого эффекта. При
этом надо оценивать не только стоимость приобретения решения, но и
стоимость поддержания его работы. В затраты могут включаться:
- стоимость реализации проекта, включая дополнительное программное
и аппаратное обеспечение;
- снижение эффективности выполнения системой своих основных
задач;
- внедрение дополнительных политик и процедур для поддержания
средства;
- затраты на найм дополнительного персонала или переобучение
имеющегося.
Документирование. Когда оценка рисков закончена, ее результаты
должны быть подробно документированы в стандартизованном формате.
Полученный отчет может быть использован при определении политик,
процедур, бюджета безопасности и т.д.
Рисунок 2 – Оценка рисков и ее шаги
6
2 Реализация программной части
Если вы работаете в направлении 27001 сертификации ИСО,
сертификация PCI DSS, другой международной сертификации, или
внедрения и совершенствования политики управления рисками, OpenVAS
программное обеспечение для управления рисками и программное
обеспечение для управления непрерывностью бизнеса, которая поможет
вашей организации уточнить свое видение и проведет вас через процесс
оперативного управления рисками и обеспечения непрерывности бизнеса, и
планирование восстановления.
OpenVAS (Open Vulnerability Assessment System, Открытая Система
Оценки Уязвимости, первоначальное название GNessUs) фреймворк
состоящий из нескольких сервисов и утилит, позволяющий производить
сканирование узлов сети на наличие уязвимостей и управление
уязвимостями.
OpenVAS это сканер и средство управления уязвимостями с открытым
исходным кодом. Он предназначен для активного мониторинга узлов сети
для выявления проблем, связанных с безопасностью, оценки критичности
этих проблем и контроля их устранения. Активный мониторинг означает, что
OpenVAS выполняет какие-то действия с узлом сети: сканирует открытые
порты, посылает специальным образом сформированные пакеты для
имитации атаки или даже авторизуется на узле, получает доступ к консоли
управления, и выполняет на нем команды. Говоря простыми словами —
OpenVAS позволяет выявлять проблемные узлы с необновленным
программным обеспечением или небезопасно настроенные.
В основе работы OpenVAS лежит коллекция NVT (Network
Vulnerability Tests) тестов безопасности (в новой версии — порядка 50000, в
отличии от старой — порядка 30000), позволяющих выявить уязвимость.
Описание
известных
проблем
затем
проверяется
по
базам
автоматизированного управления уязвимостями CVE и OpenSCAP (Security
Content Automation Protocol). Сам OpenSCAP (open-scap.org) поддерживает
несколько спецификаций: XCCDF, OVAL, ARF, CCE, CVSS и CVE.
OpenVAS входит в популярные дистрибутивы тестирования на
проникновение (такие, как Kali Linux), разворачивается в среде *nix систем.
Наиболее удобным режимом использования является виртуальный аплайнс,
который содержит все необходимое. Внимание: после установки требуется
некоторое время, для того чтобы OpenVAS в фоновом режиме обновил базу
NVT.
Минимальные требования: 2 CPU, 2 GB RAM, 9 GB HDD.
Совместимость: VirtualBox, ESXi, Hyper-V.
7
Установка сканера безопасности OpenVas в систему Kali Linux
Kali linux — сборка на Linux, включающая в себя различные
инструменты для проведения тестирования на проникновение.
OpenVas — сканер безопасности, используемый для сканирования
сетевых устройств на наличие уязвимостей.
Установка сканера безопасности OpenVas в систему Kali Linux, не
сложное дело, так как устанавливается сканер из стандартного репозитория
Debian. План очень простой: обновить систему, обновить репозиторий
дистрибутивов и установить продукт.
Обновляем систему и дистрибутивы:
root@kalili:~# apt-get update
root@kalili:~# apt-get dist-upgrade
После того, как система обновиться введите команды для установки и
настройки сканера безопасности OpenVas:
root@kalili:~# apt-get install openvas
root@kalili:~# openvas-setup
Процесс установки довольно длительный, так как в арсенале сканера
много дополнительных программ, а также базы данных сигнатур угроз и
уязвимостей.
Рисунок 3 – Install openvas
После завершения процесса установки, проверяем порты, на которых
запущены менеджер, сканер и GSAD (Greenbone Security Assistant) сервис:
root@kalili:~# netstat -antp | grep openvas
8
Вывод команды должен быть таким:
tcp 0 0 127.0.0.1:9390 0.0.0.0:* LISTEN 9583/openvasmd
tcp 0 0 127.0.0.1:9391 0.0.0.0:* LISTEN 9570/openvassd: Wait
root@kalili:~# netstat -antp | grep gsad
Вывод команды должен быть таким:
tcp 0 0 127.0.0.1:9392 0.0.0.0:* LISTEN 9596/gsad
Пробуем запустить сканер безопасности OpenVas, командой:
root@kalili:~# openvas-start
Вывод команды:
Starting OpenVas Services
Starting Greenbone Security Assistant: gsad.
Starting OpenVAS Scanner: openvassd.
Starting OpenVAS Manager: openvasmd.
Создайте нового пользователя:
openvasmd —create-user=admin2
Результатом данной команды будет создание нового пользователя и
пароля к нему, скопируйте автоматически созданный пароль для
последующего входа в административную панель.
Установленный сканер безопасности имеет удобный веб интерфейс,
чтобы зайти в панель управления необходимо перейти по url:
https://127.0.0.1:9392 — если открываете на самом kali
https://ip_kali:9392 — если заходите с другого места сети
Для начала работы необходимо ввести ip адрес сервера или устройства
которое вы хотите проверить на наличие в нем уязвимостей.
Рисунок 4 – Tasks
9
Ниже представлены полезные команды для управления:
Запуск и включение сервисов OpenVas
systemctl start openvas-scanner.service
systemctl enable openvas-scanner.service
systemctl start openvas-manager.service
systemctl enable openvas-manager.service
Запуск программы:
Рисунок 5 – Запуск программы
10
Рисунок 6 – Авторизация
Рисунок 7 – Scan Configs
11
Рисунок 8 – Клонирование Scan Configs
Рисунок 9 – Настройка Scan Configs
12
Рисунок 10 – Targets
Рисунок 11 – Создание цели
13
Рисунок 12 – Настройка targets
Рисунок 13 – Tasks
14
Рисунок 14 – Создание новой задачи
Рисунок 15 – Редактирование задачи
15
Рисунок 16 – Запуск сканирование
Рисунок 17 – Процесс сканирование
16
Рисунок 18 – Dashboard
Рисунок 19 – Завершение сканировании
Рисунок 20 – Результат сканировании
17
Рисунок 21 – Список уязвимостей
Рисунок 22 – Список уязвимостей
Рисунок 23 – Список уязвимостей
18
Рисунок 24 – Результат выбранной уязвимости
19
Заключение
Цель данной работы (оценивания рисков) состоит в определении
характеристик рисков корпоративной информационной системы и ее
ресурсов. В результате оценки рисков становится возможным выбрать
средства,
обеспечивающие
желаемый
уровень
информационной
безопасности компании. При оценивании рисков учитываются: ценность
ресурсов, значимость угроз и уязвимостей, эффективность существующих и
планируемых средств защиты.
В данной работе были рассмотрены теоретические основы рисков
информационной безопасности, выявлены основные способы ее оценки,
также были освещены наиболее распространенные методики расчета оценки
рисков информационной безопасности.
Оценка ИБ заключается в выработке оценочного суждения
относительно пригодности процессов обеспечения ИБ, адекватности
используемых защитных мер или целесообразности инвестиций для
обеспечения необходимого уровня ИБ на основе измерения и оценивания
критических элементов (факторов) объекта оценки.
20
Список литературы
1. https://moluch.ru/archive/49/6279/ - Методики оценки рисков
2. https://cyberleninka.ru/article/n/obzor-metodik-analiza-riskovinformatsionnoy-bezopasnosti-informatsionnoy-sistemy-predpriyatiya - Обзор
методик анализа рисков
3. https://safe-surf.ru/specialists/article/5194/587935/ - Методики управления
рисками
4. https://studref.com/319682/menedzhment/osobennosti_podhoda_analizu_
riskov_informatsionnoy_bezopasnosti_malogo_srednego_biznesa
Особенности к подходу анализа рисков
5. http://www.openvas.org/ - OpenVAS
21