поиск по сайту
Обеспечение целостности файлов журналов с помощью usb-накопителя с контролируемым доступом

Обеспечение целостности файлов журналов с помощью usb-накопителя с контролируемым доступом

Д.А. Эпиктетов1, А.А. Алтухов1, 2, 3

1Московский физико-технический институт (государственный университет)

2Закрытое акционерное общество «ОКБ САПР»

3Национальный исследовательский ядерный университет «МИФИ»

Проблема защиты от кибератак является сегодня очень актуальной [1]. В частности, большую проблему представляют уязвимости нулевого дня [2]. С момента обнаружения такой уязвимости до момента, когда будут приняты меры по её устранению, риск взлома информационной системы повышается.

Для повышения защищённости могут использоваться такие методы, как тестирование на проникновение (пентестинг), внедрение принципов разработки безопасного программного обеспечения, своевременное обновление программного обеспечения. На конкретной системе возможна регулярная проверка открытых портов, запущенных процессов, списка пользователей, поиск руткитов специальными средствами и так далее. Такие меры могут помочь предотвратить вторжение, но, конечно, не являются стопроцентной гарантией защиты.

Что же делать, если предотвратить атаку всё-таки не удалось? В этом случае важно иметь как можно более полное представление о том, каким образом она была произведена, какое место в системе оказалось “слабым звеном” и кто именно её осуществил. Основной инструмент  здесь  –  анализ  журналов  работы  операционной  системы  и  прикладного программного обеспечения. Необходимость регистрации происходящих событий предписывается и нормативными документами [3–5]. Злоумышленник, не желая быть обнаруженным, может замести за собой следы, удалив или модифицировав эту информацию. Таким образом, приходим к необходимости защищать и сами журналы.

Предложим решение этой задачи с использованием резидентного компонента безопасности (РКБ) [6], вынесенного за пределы защищаемой системы. Будем использовать   usb-накопитель    с    флеш-памятью,    доступ    к    которой ограничивается специальным микроконтроллером, осуществляющим процедуры идентификации/аутентификации и производящим операции чтения и записи согласно с политикой безопасности. Устройство со схожей функциональностью существует – продукт “ПАЖ” компании ОКБ САПР [7]. Его можно использовать как базу для нового решения. Предоставим возможность записи информации в режиме append-only, таким образом удалить или модифицировать ранее записанные данные будет невозможно. Будем переносить журналы системы с определённой регулярностью на такое устройство, тогда задача их защиты сведётся к задаче защиты этого устройства, решать которую значительно проще. Отметим, что аналогичное решение было предложено ранее для решения другой задачи – хранения и передачи журналов средств доверенной загрузки [8, 9] .В том случае мы имели дело с логами, собираемыми в единое хранилище с большого количества устройств под управлением специализированной ОС, а устройство на базе ПАЖ играло роль среды передачи данных.

Для управления устройством ПАЖ разработана библиотека на языке C, с использованием которой написана программа, осуществляющая перенос журналов. Можно настроить регулярный запуск такой программы (например, с помощью cron в семействе ОС Linux). Пользователь ЭВМ, к которой подключается ПАЖ, имеет возможность сформировать список файлов, являющихся источниками логов (например, /var/log/syslog, /var/log/auth.log). При запуске программа переносит свежие (то есть те, которые были добавлены после последнего старта утилиты) записи из заданных источников на ПАЖ и обновляет дату последнего экспорта для каждого их них.

Отметим некоторые недостатки этого решения. Злоумышленник, получив необходимые права на защищаемой ЭВМ, сам может использовать программу переноса журналов и, таким образом, может заполнить память устройства мусорной или недостоверной информацией. Тем не менее возможность изменить записи, относящиеся ко времени до момента проникновения (точнее, до момента осуществления последнего перед проникновением экспорта журналов), у него отсутствует. При анализе журналов можно выявить этот момент и не считать записи, сделанные после него, корректными. Для этого нужно иметь на вооружении специальные аналитические алгоритмы. Ещё одна проблема заключается в необходимости физического доступа к ПАЖ для получения журналов с него в случае компрометации системы. Также нужно каким-то образом решать проблему заполнения памяти устройства.

Подведём итоги.

  1. Предложен подход по повышению защищенности ЭВМ за счет обеспечения контроля целостности журналов с помощью специализированного ПАК.
  2. Выбрана подходящая платформа и предложено решение на её основе
  3. Предложена схема общего способа встраивания ПАК в состав систем.
  4. Разработано ПО для ОС Linux, осуществляющее запись на ПАК.
  5. Разработана схема встраивания в ОС Linux.
  6. Выявлен ряд недостатков.

В дальнейшем планируется реализация переноса журналов с помощью специального драйвера ПАЖа, позволяющего осуществлять операцию записи на него. Также возможна реализация переноса журналов и для других операционных систем (в частности, для семейства Windows). Особое внимание будет посвящено анализу и устранению выявленных недостатков.

Литература

  1. Kaspersky Security Bulletin 2016. Прогнозы на 2017 год: конец «Индикаторов заражения» [Электронный ресурс] URL: https://securelist.ru/files/2016/11/KSB_Predictions_2017_RUS.pdf (дата обращения 21.10.2017).
  2. Отчёт. Угрозы и тенденции в области информационной безопасности 2016–2017 гг.
  3. Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [Электронный ресурс]. URL: https://www.cbr.ru/credit/Gubzi_docs/st-10-14.pdf (дата обращения 14.10.2017).
  4. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [Электронный ресурс] URL: http://fstec.ru/component/attachments/download/567 (дата обращения 24.03.2017).
  5. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. URL: http://fstec.ru/component/attachments/download/561 (дата обращения 24.03.2017).
  6. Конявский В.А. Методы и аппаратные средства защиты информационных технологий электронного документооборота: диссертация доктора технических наук. М., 2005. 360 с.
  7. Специальный съемный носитель информации: патент на полезную модель № 94751. 05.2010, бюл. № 15.
  8. Андреев В.М., Давыдов А.Н. Безопасное хранение журналов работы СЗИ // Материалы XX научно-практической конференции. Минск, 19–21 мая 2015 г. Минск: РИВШ, С. 49–52.
  9. Эпиктетов Д.А., Алтухов А.А. Специальный съемный носитель как среда передачи журналов средств доверенной загрузки // Вопросы защиты информации, 2017. №3. С. 29–33.