Контроль целостности
Почему актуально?
Целостность – одно из основных свойств безопасности информации наряду с конфиденциальностью и доступностью. Необходимость обеспечения контроля целостности определяется требованиями нормативных документов в сфере информационной безопасности:
№ п/п |
Регулятор |
Нормативные документы |
Требования |
1. |
Федеральная служба по техническому и экспортному контролю (ФСТЭК России) |
Приказ ФСТЭК №21 Приказ ФСТЭК №239 Приказ ФСТЭК №17 |
Регламентация правил и процедур обеспечения целостности |
2. |
Контроль целостности программного обеспечения |
||
3. |
Контроль целостности программного обеспечения |
||
4. |
Ограничения по вводу информации в информационную (автоматизированную) систему |
||
5. |
Контроль данных, вводимых в информационную (автоматизированную) систему |
||
6. |
Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях |
||
7. |
Обезличивание и (или) деидентификация информации |
||
8. |
Центральный банк Российской Федерации (ЦБ РФ) |
ГОСТ 57580.1-2017 |
Наличие, учет и контроль целостности эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО |
9. |
Наличие, учет и контроль целостности эталонных значений параметров настроек ПО АС, системного ПО, ПО средств и систем защиты информации, возможность восстановления указанных настроек в случаях нештатных ситуаций |
||
10. |
Контроль состава ПО серверного оборудования |
||
11. |
Контроль состава ПО АРМ пользователей и эксплуатационного персонала, запускаемого при загрузке операционной системы |
||
12. |
Контроль целостности запускаемых компонентов ПО АС на АРМ пользователей и эксплуатационного персонала |
||
13. |
Регистрация установки, обновления и (или) удаления ПО АС, ПО средств и систем защиты информации, системного ПО на серверном и сетевом оборудовании |
||
14. |
Регистрация результатов выполнения операций по контролю состава ПО серверного оборудования, АРМ пользователей и эксплуатационного персонала |
||
15. |
Регистрация результатов выполнения операций по контролю состава ПО АРМ пользователей и эксплуатационного персонала |
||
16. |
Регистрация результатов выполнения операций по контролю состава ПО, запускаемого при загрузке операционной системы АРМ пользователей и эксплуатационного персонала |
||
17. |
Регистрация результатов выполнения операций контроля целостности запускаемых компонентов ПО АС |
||
18. |
PCI Security Standards Council |
PCI DSS |
Журналы протоколирования событий должны быть защищены от изменений. Следует использовать приложения контроля целостности файлов для защиты журналов регистрации событий от несанкционированных изменений (однако добавление новых данных не должно вызывать тревожного сигнала). |
19. |
Следует внедрить механизм защиты от изменений (например, мониторинг целостности файлов) для оповещения персонала о несанкционированных изменениях критичных системных файлов, конфигурационных файлов и файлов данных; сопоставительный анализ критичных файлов должен проводиться не реже одного раза в неделю. |
Варианты решения задачи?
В данной статье описывается применение механизмов контроля целостности, обеспечивающих подтверждение неизменности и актуальности артефакта, без применения средств электронной подписи, так как это отдельная большая область.
Реализация требований по контролю целостности может осуществляться следующими классами средств защиты (разделение условное, поскольку тенденция разработки суперприложений, в том числе и для средств защиты, обуславливает расширение функционала и комплексность решений):
- Средства анализа защищенности (vulnerability scanners);
- Средства защиты информации от несанкционированного доступа (СЗИ от НСД, Endpointprotection);
- Средства обнаружения вторжений уровня хоста (Host Intrusion Detection System, IDS) / Средства контроля целостности файлов (File integrity monitoring, FIM).
В итоге контроль целостности сводится к сервису, который отслеживает различные изменения в файлах и реестре операционной системы с предоставлением предупреждений при регистрации изменений. Вторым вызовом является добавление контроля актуальности файлов, прочий функционал, реализуемый путем обработки событий изменений файлов, регистрируемых средствами решения по контролю целостности.
Рассмотрим принципиальные особенности использования каждого из перечисленных классов решений:
№ п/п |
Класс решений |
Особенности реализации |
Достоинства |
Недостатки |
1 |
Vulnerabilityscanners |
Удаленное подключение к защищаемым ресурсам, снятие хеш-суммы с контролируемых файлов и сохранение в локальную базу на периодической основе |
Не требует установки агента |
Не обеспечивает проверки в real-time Требует крайне широких сетевых доступов от серверов анализа защищенности до защищаемых хостов Риск компрометации технологической учетной записи с широкими полномочиями, используемой для подключения сканеров анализа защищенности |
2 |
Endpoint protection |
Обеспечение контроля целостности файлов и реестра комплексным агентским решением, обеспечивающим разграничение доступа к файлам, контроль прав доступа, контроль изменений по хеш-суммам и свойствам файла |
Комплексное решение, обеспечивающее закрытие группы мер по защите и управлению доступом |
Высокая нагрузка на операционную систему хоста Ограниченный перечень поддерживаемых операционных систем Избыточный функционал |
3 |
Host IDS / FIM |
Обеспечение контроля целостности файлов и реестра легким агентом, обеспечивающим контроль изменений файла по хеш-суммам и свойствам файла |
Разнообразиеopen-sourceрешений с широким перечнем поддерживаемых операционных систем и сред виртуализации (в т.ч. облачных) Доставка агента в контейнере Неограниченный функционал (с учетом возможности применения других open-sourceрешений) |
Сложность в настройке интеграций open-sourceрешений |
Возможность реализации регулярного контроля целостности средствами анализа защищенности продемонстрирована как пример, который может быть актуален в отдельных нераспространенных кейсах, такой способ не рекомендуется к использованию. Остается 2 варианта: использование комплексных решений СЗИ от НСД и специализированных решений контроля целостности (FileIntegrity Monitoring).
Использование СЗИ от НСД обосновано для комплексной защиты государственных информационных систем (ГИС), объектов критической информационной инфраструктуры (КИИ), реализованных на «стандратных» технологических стеках Microsoft и однородной унаследованной (legacy) инфраструктуры.
Современным вызовом к ИТ и ИБ-решениям является развертывание систем в разнородных и гибридных инфраструктурах, в том числе облачных, переход к cloud-native сервисам, широкое использование различных open-source решений. Для таких задач «классические» решения СЗИ от НСД не применимы, требуются cloud-native решения по контролю целостности с широким набором поддерживаемых операционных систем и функционалом. В массовом распространении представлены следующие проекты:
- Wazuh (имеются как свободно распространяемый open source, так и enterprise версия): https://wazuh.com
- Atomic OSSEC (имеются как свободно распространяемый open source, так и enterprise версия): https://github.com/ossec/ossec-hids
- Tripwire (также свободно распространяемый open source / enterprise версия): https://github.com/Tripwire/tripwire-open-source
- Контроль целостности файлов, системных журналов в реальном времени;
- Оповещение об изменениях, отправка событий в SIEM;
- Контроль запущенных процессов;
- Обнаружение руткитов;
- Мониторинг портов;
- Out-of-box интеграция с публичными облаками: Google CloudPlatform, AWS, Azure, IBM Cloud, а также поддерживают возможность работы в различных операционных системах:
- Linux;
- Solaris;
- AIX;
- HP-UX;
- BSD;
- Windows;
- Mac;
- VMware ESX.
Я установил СЗИ от НСД. Это Compliant?
В современных реалиях свойство целостности (integrity) дополняется неотказуемостью (non-repudiation), что также находит отражение в российской сфере регулирования информационной безопасности: нашумевшее «проведение исследования компьютерной информации» в ФЗ «Об оперативно-розыскной деятельности», обновление Положения Банка России от 17.04.2019 №683-П и др.
Неотказуемость уже не обеспечится контролем неизменности файлов и реестра операционной системы, потребуется применение электронной подписи (подпись артефакта, timestamp, подпись метаданных артефакта), применение спецификаций декларативного описания процесса и проверки целостности заданного pipeline / процесса для обеспечения подтверждений:
- авторства артефакта (authority);
- актуальности артефакта (up to date);
- подтверждение выполнения некоторой операции в рамках процесса.
Какие услуги мы оказываем?
«Стайл Телеком» предлагает комплексный подход по внедрению FIM-решений, включающий:
- консультации по выбору FIM-решения;
- проведение пилотного тестирования FIM-решений на вашей территории (возможно использование как вашего, так и нашего оборудования);
- проведение всех стадий проектных работ (в том числе в соответствии с ГОСТ) в части внедрения FIM-решений;
- сопровождение внедренного FIM-решения.