четверг, 28 марта 2013 г.

СОИБ. Анализ. Ещё один инструмент тестирования системы защиты


Как Вы наверное знаете из приказа 21 ФСТЭК, необходимо проводить анализ защищенности ИСПДн и тестирование работоспособности системы защиты персональных данных, в том числе:
“ (АНЗ.3) Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации ”

Кроме того при оценке рисков, анализе актуальности угроз , определении достаточности контрмер и наконец при сравнении эффективности средств защиты может возникнуть необходимость протестировать имеющиеся/установленные средства защиты.

Для помощи нам в этом нелегком деле компания Imperva выпустила общедоступный инструмент WAF Testing  Framework.

Данный инструмент позволяет протестировать имеющиеся механизмы средства web приложений, а именно средства типа web application firewall (WAF), next generation firewall (ngfw), intrusion prevention system (IPS). Если ничего этого нет то можно протестировать свой МЭ.

Для того чтобы не зависеть от уязвимостей в web приложении Организации, которые могут быть, а могут и не быть, а могут и не быть обнаруженными, imperva сделала изящный ход: в связке со своим  WAF Testing  Framework предлагает использовать заведомо уязвимое web приложение webgoat из открытого проекта OWASP WebGoat Project.


Соответственно и все атаки заточены под webgoat.  Проверки делятся на проверки несрабатывания средств защиты (False Negatives)  и ложных срабатываний средств защиты (False Positives). Основные типы False Negatives:
·        SQL Injection
·        Cross Site Scripting (XSS)
·        Remote File Inclusion (RFI)
·        HTTP Parameter Pollution (HPP)

При таком подходе тестирование проводится быстро – за пару часов. Всего требуется пара ноутбуков – один с WAF Testing  Framework, второй с webgoat.  Сами утилиты запускаются в пару кликов. Примерная схема подключения ниже:

Схема посложнее ниже:


В результате получаем отчет содержащий сводные графики неэфективности системы защиты и подробный перечень проверок которые провалены системой защиты



Ранее подобный инструмент Evader был опубликован компанией Stonesoft. Который так-же состоит из двух компонентов – сканирующей утилиты и уязвимого сервера linux c  apache + mysql+php+phpBB и подключается он аналогично.

Видимо это актуальная тенденция вендоров безопасности: вкладываться в аналитику в определенной области, добиваться там определенного преимущества над конкурентами, потом выкладывать в общий доступ инструмент, который может быть с одной стороны полезен пользователям, а с другой стороны обосновать максимальную эффективность именно решений вендора.

Ещё один инструмент по возможностям и схеме подключения схожий с WAF Testing  Framework, но не зависящий от конкретного вендора -  w3af. Подключать его можно аналогично: с одной стороны утилита w3af, с другой стороны уязвимый сервис webgoat.


Приложение 1. Запуск webgoat:   webgoat_8080.bat



Приложение 2. Запуск WAF Testing  Framework. Кнопка Run.


пятница, 15 марта 2013 г.

СОИБ. Проектирование. Защита web трафика - NGFW или SWG


Из аналитики Check Point в предыдущей заметке можно сделать вывод, что основные выявленные уязвимости и угрозы связаны с использованием сотрудниками сети интернет и передачи информации во внешние сети.


Если провести экспресс анализ связанных с ними рисков ИБ, то получим следующую картину.

При выборе контрмер мы сталкиваемся с тем, что на рынке уже достаточно давно существует 2 класса решений  предназначенных для нейтрализации данных рисков:
·        Next-Generation Firewall (NGFW) – межсетевой экран нового поколения. (Примеры – Check Point Security Gateway, Stonegate FW, Palo Alto и т.п.)
·        Secure Web gateway (SWG) – шлюз защиты и контроля web трафика (Примеры – Cisco Web Security, Blue Coat ProxySG и т.п.)

Ведущее аналитическая компания Gartner дает следующие определения:
“A Secure Web gateway (SWG) is a solution that filters unwanted and malicious software (malware) from user-initiated Web/Internet traffic, and enforces corporate Internet policy compliance. SWGs must, at a minimum, include URL filtering, malicious code detection and filtering, and application controls for popular Web-based applications. Native or integrated content-aware data loss prevention (DLP) is also increasingly included. SWGs have traditionally been appliances and software. However, the cloud-based SWG delivery model is growing rapidly.”
“The firewall market has evolved from simple stateful firewalls to NGFWs, incorporating full-stack inspection to support intrusion prevention, application-level inspection and granular policy control. Such NGFWs will eventually subsume mainstream deployments of stand-alone network intrusion prevention system (IPS) appliance technology at the enterprise edge. “

Независимая исследовательская и испытательная NSS Labs поддерживает Gartner в определении NGWF:
“Simply enforcing proper protocol use on standard ports and preventing attacks against unpatched servers are          no longer             of sufficient value in this environment.     To meet these challenges, firewalls need to evolve into "nextgeneration” firewalls (NGFW). These will combine           legacy firewall capabilities with               IPS and incorporate advanced application and user            ID awareness to enable             the creation of   granular security policies capable of operating in a Web 2.0               world.
However, NGFW vendors must    resist the urge to continue to bundle every security module in a single device since this is not how most enterprise customers deploy their network security. In addition, it is important that NGFWs  retain the implicit “deny all” when it comes to application traffic rather than expecting            administrators   to tune individual applications to prevent tunneling in the manner of IPS signatures.”

Если кратко, то я бы охарактеризовал эти классы так:
SWG – это современный шлюз безопасности с функциями глубокого анализа  и фильтрации web трафика, прокси и детального разграничения прав пользователей.
NGFW – современный шлюз безопасности с функциями межсетевого экрана, защиты каналов связи, обнаружения вторжений, глубокого анализа  и фильтрации web трафика и трафика электронной почты и детального разграничения прав пользователей.

В итоге мы имеем два разных исследовательских отчета и два разных квадрата по интересующим нас решениям защиты со своими лидерами:


Квадрат Gartner Magic Quadrant for Enterprise Network Firewalls 2013



Квадрат Gartner Magic Quadrant for Secure Web Gateways 2012


Ещё несколько сравнений NGFW:


Посмотрим, какие из функций, необходимых для нейтрализации приведенных выше угроз, реализуются лидерами в своих классах:


Видно, что нужные нам функции реализуются и в NGFW и в SWG. Так как же нам сделать выбор нужного класса?

Вопрос этот сложный и однозначного ответа на него быть не может. Приведу только свое мнение по этому поводу:
·        Если у вас есть FW, который полностью вас устраивает, то логично его не трогать, внедрить дополнительный SWG. И использовать связку FW + SGW. Только надо убедиться, что эти два решения друг с другом интегрируются, так как эта возможность будет полезной
·        Если у вас есть Proxy сервер, который вас полностью устраивает, то логично его не трогать, внедрить дополнительный NGFW. И использовать связку NGFW + Proxy. Только надо убедиться, что эти два решения друг с другом интегрируются, так как эта возможность будет полезной
·        Если у вас есть много средних и малых удаленных подразделений с собственными каналами в сеть Интернет, то более логично внедрять одно устройство на такое подразделение, т.е. NGFW
·        Если требуется внедрить функции защиты и фильтрации трафика сети Интернет, таким образом чтобы изменения в существующую инфраструктуру и средства защиты были минимальными, то лучше подходит SGW (потому что внедрение NGFW как правило приводит к существенному изменению внешнего блока корпоративной сети)
·        В других случаях надо ориентироваться на существующую сетевую инфраструктуру и возможность интеграции решения с ней, опыт работы организации с конкретными производителями, стоимость, наличие русскоязычной  поддержки, наличие доступных учебных курсов, сертификатов и т.п.


PS: Для заказчиков, которые осознали необходимость защиты и фильтрации web-трафика, но ещё не определились с техническим решением, в компании Микротест развернуты постоянно действующие стенды с решениями SGW - Cisco IronPort Web Security, BlueCoat ProxySG + ProxyAV   и NGFW -  Palo Alto Next Generation Firewall. Демонстрация решений производится с использованием удаленного доступа через Интернет. Ориентировочная продолжительность демонстрации одного решения – около часа.