Автор работы: Пользователь скрыл имя, 19 Октября 2009 в 12:43, Не определен
Средства защиты Secret Net
Для ряда
приложений, к добавочным СЗИ НСД
выдвигается требование по реализации
своими собственными средствами всех
механизмов защиты, регламентируемых
нормативными документами (без учета встроенных
в ОС механизмов).
Таким
образом, видим, что выше речь шла
о внесении добавочными средствами
СЗИ НСД некоторых новых
Для ответа
на эти вопросы можем, обратиться, например,
к работе [3], где приведена (получена из
открытых источников) и классифицирована
современная статистика найденных уязвимостей
в ОС и приложениях, соответственно, к
работе [4], где проведен краткий анализ
причин возникновения основных уязвимостей,
во многом, на наш взгляд, возникновение
которых связано именно с архитектурными
недостатками и принципами построения
встроенных в ОС средств защиты. Анализируя
же известную статистику уязвимостей
ОС и приложений, и, наверное, это ни для
кого сегодня не секрет, можем сделать
вывод о том, что свойства встроенных во
многие ОС механизмов защиты не столь
хороши, как хотелось бы.
Следуя сказанному, можем определить следующую важную (а, на наш взгляд, так важнейшую) функциональную задачу добавочных СЗИ НСД:
Устранение
архитектурных недостатков
В качестве
замечания отметим, что, во-первых, здесь
речь идет не о решении новых задач защиты,
в дополнение к задачам, решаемым встроенными
механизмами, а о добавлении новых свойств
защиты для повышения эффективности решения
тех задач, для которых предназначены
встроенные механизмы защиты, во-вторых,
важнейшим условием эффективной защиты
является противодействие именно «потенциально
возможным уязвимостям». Наличие потенциальной
возможности уязвимости обнаруживается
в результате анализа собственно архитектуры
построения ОС, при этом известная уязвимость
может натолкнуть исследователя на выявление
причины. Средствами же СЗИ НСД нужно противодействовать
самой причине (устранять причину) возникновения
уязвимости – только в этом случае задача
защиты может быть решена в общем виде.
В противном случае – если будем противодействовать
конкретным уязвимостям, получим решение
задачи, очень близкое по своей сути к
существующим подходам – устранение уязвимостей,
за счет внесения обновлений ОС и приложений
(о том, к чему это приводит, поговорим
в следующей части нашей работы, которую
посвятим вопросам исследования надежности
защиты информации).
Теперь,
чтобы нас не обвинили в голословности,
рассмотрим всего лишь одно запатентованное
нами решение (сегодня по реализации
механизмов защиты нами подано 17 заявок
на изобретение, уже получено 11 патентов),
и посмотрим, какие новые свойства защиты
информации оно в себе несет. Заметим,
что данное решение нами практически реализовано
и апробировано.
Основу
принципов контроля доступа к
ресурсам составляет задание прав и
разграничение на основании определенных
правил доступа субъектов (пользователей)
к объектам, в частности, к файловым объектам.
Данный способ контроля доступа реализуется
современными средствами защиты информации
от НСД, в частности ОС, и формализован
в соответствующих нормативных документах.
При этом
любой процесс, запускаемый пользователем
(в том числе, и пользователем
System), наследует права доступа
пользователя, его запустившего. Другими
словами, поток, порождаемый процессом,
обращается к ресурсу с правами
пользователя (если, естественно, не произведено
олицетворения с маркером безопасности
другого пользователя, но это отдельный
вопрос).
Однако,
именно процесс, может нести в
себе уязвимость несанкционированного
доступа к информации. Тому может
быть несколько причин, во-первых, процесс
априори может обладать недекларированными
(документально не описанными) свойствами,
в частности, это процессы, являющиеся
средой исполнения (прежде всего, это виртуальные
машины, являющиеся средой исполнения
для скриптов и апплетов, и офисные приложения,
являющиеся средой исполнения для макросов),
во-вторых, процесс может быть скомпрометирован
– содержать ошибки, использование которых
позволяет осуществить несанкционированный
доступ к информации (наиболее критичными
сегодня являются ошибки переполнения
буфера приложений и некорректность использования
приложениями сервисов олицетворения,
приводящие к расширению привилегий пользователей,
как правило, получение привилегий пользователя
System, с правами которого запускаются данные
приложения).
Таким
образом, может быть обозначена проблема
осуществления контроля доступа
к ресурсам с учетом доверия к
процессам, а также с учетом решаемых
задач и особенностей функционирования
процесса. Естественно, что это возможно
только в том случае, если процесс
можно рассматривать, как самостоятельный
субъект доступа, а не субъект, наследующий
права доступа пользователя (в противном
случае, следует говорить о доверии к пользователю,
а не к процессу).
Основу
предлагаемого нами механизма контроля
доступа процессов к ресурсам, составляет
включение в схему разграничения прав
доступа к ресурсам, наряду с субъектом
доступа «пользователь», субъекта доступа
«процесс», в предположении, что права
доступа этих субъектов могут не совпадать
(еще раз напомним, что в системе процесс
запускается с правами пользователя, его
запустившего).
Предлагаемое нами запатентованное решение (Патент № 2207619) состоит в следующем. В общем случае при управлении доступом к ресурсам следует различать два самостоятельных субъекта доступа – «пользователь» и «процесс». При этом предлагается управлять доступом (разграничивать права доступа) не только для субъекта пользователь, но и для субъекта процесс, причем могут быть выделены следующие схемы задания разграничительной политики доступа к ресурсам:
Разграничение
прав доступа к объектам процессов
вне разграничений
Разграничение прав доступа к объектам пользователей, вне разграничений процессов (эксклюзивный режим обработки запросов пользователей - доступ к объекту разрешается, если он разрешен пользователю – права доступа процесса не учитываются. Это обычная схема разграничений прав доступа, используемая современными ОС, не позволяющая учитывать свойства отдельных процессов, в частности, уровень доверия к ним);
Комбинированное
разграничение прав доступа - разграничение
прав доступа к объектам процессов
в рамках разграничений пользователей
(совместное разграничение доступа
процессов и пользователей - доступ к объекту
разрешается, если он разрешен и пользователю,
и процессу. Данная схема разграничений
может использоваться в том случае, когда
процессу следует сузить права доступа
к ресурсам, по сравнению с пользователем,
запустившим процесс).
Укрупненный
алгоритм анализа прав доступа к
ресурсу при реализации данной технологии,
приведен на рис. 1.
Рисунок 1 - Укрупненный алгоритм анализа прав доступа к ресурсам
Кликните
по схеме для увеличения масштаба
Таким
образом, применение данного подхода позволяет
устанавливать и анализировать для субъекта
«процесс» права доступа к ресурсам, как
для самостоятельного субъекта доступа.
Заметим,
что в соответствии с описанием
запатентованного решения, могут использоваться
различные механизмы управления доступом
к ресурсам процессов (как избирательный,
так и полномочный) – суть запатентованного
решения состоит в том, что права доступа
процесса к ресурсу могут отличаться от
прав доступа пользователя (назначаются
для процесса, как для самостоятельного
субъекта доступа), запустившего данный
процесс, к этому ресурсу.
Применение
данной технологии позволяет получить
множество принципиально новых
свойств защиты.
В качестве
примера возможностей предлагаемого
подхода, проиллюстрируем появляющуюся
возможность противодействия атакам на
расширение привилегий. В общем виде (не
применительно к конкретной уязвимости
скомпрометированного процесса) противодействовать
данным атакам возможно лишь в том случае,
если устранить привилегии пользователя,
от которого запускается скомпрометированный
процесс – в данном случае пользователя
System – при это теряется сам смысл атаки
на получение прав пользователя System.
Применительно
к данной задаче, речь пойдет о назначении
эксклюзивных прав доступа так называемым
привилегированным процессам (процессам,
доступ которых к ресурсам должен разграничиваться
вне прав доступа, устанавливаемых для
пользователей).
Теперь
определимся с тем, как необходимо
разграничить права доступа для
пользователя System, чтобы противодействовать
в общем виде атакам на повышение привилегий.
Естественно, что, прежде всего, необходимо
запретить ему право на «запись» (модификацию)
системного диска, право на модификацию
каталогов, где расположены исполняемые
файлы разрешенных к запуску процессов,
а также запретить право на запись (модификацию)
значимых ветвей и ключей реестра ОС, в
частности, отвечающих за политику безопасности
системы.
Установка
запрета доступа «на запись»
к системному диску и к значимым
ветвям и ключам реестра ОС для
пользователя System связано с включением
в схему разграничения прав доступа привилегированных
процессов – здесь системных процессов
и процессов СЗИ НСД, для которых устанавливаются
права доступа вне прав пользователя,
в частности, этим системным процессам
и процессам СЗИ НСД для корректного функционирования
системы и СЗИ НСД вне прав пользователя
«System» разрешается запись на системный
диск.
Пример
настройки механизма управления
доступом к файловым объектам для
виртуального пользователя «System» для
ОС Windows технологии NT представлен в Табл.
1.
Таблица 1
Кликните
по таблице для увеличения масштаба
Замечание.
Данные настройки обеспечивают корректное
функционирование системы и офисных
приложений. При использовании иных
приложений на компьютере (прежде всего,
запускаемых с системными правами), может
потребоваться модификация данных настроек.
Настройки
выполнены в следующих
Заметим,
что выделенным привилегированным
процессам (системным процессам и процессам
СЗИ НСД) в наших настройках (см. Табл. 1)
права доступа к файловым объектам не
ограничены. При необходимости, можно
проанализировать (это можно осуществить
с использованием средств аудита СЗИ НСД),
к каким конкретно файловым объектам необходимо
разрешить обращаться привилегированным
процессам и разрешить им доступ (вне прав
пользователей) только к этим объектам.
Аналогично
могут быть сформированы и права
доступа к объектам реестра ОС.
Пример настройки механизма управления
доступом к объектам реестра ОС для виртуального
пользователя «System» (где также необходимо
вводить привилегированные процессы)
для ОС Windows технологии NT представлен в
Табл. 2.
Таблица 2
Кликните
по таблице для увеличения масштаба
Замечание.
Заметим, что выделенным привилегированным
процессам (системным процессам и процессам
СЗИ НСД) в наших настройках (см. Табл. 2)
права доступа к объектам реестра ОС не
ограничены. При необходимости, можно
проанализировать (это можно осуществить
с использованием средств аудита СЗИ НСД),
к каким конкретно объектам реестра ОС
необходимо разрешить обращаться привилегированным
процессам и разрешить им доступ (вне прав
пользователей) только к этим объектам.
Проиллюстрируем сказанное примером.
Представленные разграничения для процесса
Lsass.exe обеспечивают запрет работы с учётными
записями пользователей. Наиболее распространенные
действия злоумышленника при получении
системных прав сводятся к заведению новой
учетной записи в системе в группе администраторов,
с последующим доступом в систему под
этой учетной записью. При данных разграничениях
завести нового пользователя в системе,
имея права System, становится невозможным.