Контроль целостности

Почему актуально?

Целостность – одно из основных свойств безопасности информации наряду с конфиденциальностью и доступностью. Необходимость обеспечения контроля целостности определяется требованиями нормативных документов в сфере информационной безопасности:

№ п/п	Регулятор	Нормативные документы	Требования
1.	Федеральная служба по техническому и экспортному контролю (ФСТЭК России)	Приказ ФСТЭК №21 Приказ ФСТЭК №239 Приказ ФСТЭК №17	Регламентация правил и процедур обеспечения целостности
2.			Контроль целостности программного обеспечения
3.			Контроль целостности программного обеспечения
4.			Ограничения по вводу информации в информационную (автоматизированную) систему
5.			Контроль данных, вводимых в информационную (автоматизированную) систему
6.			Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях
7.			Обезличивание и (или) деидентификация информации
8.	Центральный банк Российской Федерации (ЦБ РФ)	ГОСТ 57580.1-2017	Наличие, учет и контроль целостности эталонных копий ПО АС, ПО средств и систем защиты информации, системного ПО
9.			Наличие, учет и контроль целостности эталонных значений параметров настроек ПО АС, системного ПО, ПО средств и систем защиты информации, возможность восстановления указанных настроек в случаях нештатных ситуаций
10.			Контроль состава ПО серверного оборудования
11.			Контроль состава ПО АРМ пользователей и эксплуатационного персонала, запускаемого при загрузке операционной системы
12.			Контроль целостности запускаемых компонентов ПО АС на АРМ пользователей и эксплуатационного персонала
13.			Регистрация установки, обновления и (или) удаления ПО АС, ПО средств и систем защиты информации, системного ПО на серверном и сетевом оборудовании
14.			Регистрация результатов выполнения операций по контролю состава ПО серверного оборудования, АРМ пользователей и эксплуатационного персонала
15.			Регистрация результатов выполнения операций по контролю состава ПО АРМ пользователей и эксплуатационного персонала
16.			Регистрация результатов выполнения операций по контролю состава ПО, запускаемого при загрузке операционной системы АРМ пользователей и эксплуатационного персонала
17.			Регистрация результатов выполнения операций контроля целостности запускаемых компонентов ПО АС
18.	PCI Security Standards Council	PCI DSS	Журналы протоколирования событий должны быть защищены от изменений. Следует использовать приложения контроля целостности файлов для защиты журналов регистрации событий от несанкционированных изменений (однако добавление новых данных не должно вызывать тревожного сигнала).
19.	PCI Security Standards Council	PCI DSS	Следует внедрить механизм защиты от изменений (например, мониторинг целостности файлов) для оповещения персонала о несанкционированных изменениях критичных системных файлов, конфигурационных файлов и файлов данных; сопоставительный анализ критичных файлов должен проводиться не реже одного раза в неделю.

Варианты решения задачи?

В данной статье описывается применение механизмов контроля целостности, обеспечивающих подтверждение неизменности и актуальности артефакта, без применения средств электронной подписи, так как это отдельная большая область.

Реализация требований по контролю целостности может осуществляться следующими классами средств защиты (разделение условное, поскольку тенденция разработки суперприложений, в том числе и для средств защиты, обуславливает расширение функционала и комплексность решений):

Средства анализа защищенности (vulnerability scanners);
Средства защиты информации от несанкционированного доступа (СЗИ от НСД, Endpointprotection);
Средства обнаружения вторжений уровня хоста (Host Intrusion Detection System, IDS) / Средства контроля целостности файлов (File integrity monitoring, FIM).

В итоге контроль целостности сводится к сервису, который отслеживает различные изменения в файлах и реестре операционной системы с предоставлением предупреждений при регистрации изменений. Вторым вызовом является добавление контроля актуальности файлов, прочий функционал, реализуемый путем обработки событий изменений файлов, регистрируемых средствами решения по контролю целостности.

Рассмотрим принципиальные особенности использования каждого из перечисленных классов решений:

№ п/п	Класс решений	Особенности реализации	Достоинства	Недостатки
1	Vulnerabilityscanners	Удаленное подключение к защищаемым ресурсам, снятие хеш-суммы с контролируемых файлов и сохранение в локальную базу на периодической основе	Не требует установки агента	Не обеспечивает проверки в real-time Требует крайне широких сетевых доступов от серверов анализа защищенности до защищаемых хостов Риск компрометации технологической учетной записи с широкими полномочиями, используемой для подключения сканеров анализа защищенности
2	Endpoint protection	Обеспечение контроля целостности файлов и реестра комплексным агентским решением, обеспечивающим разграничение доступа к файлам, контроль прав доступа, контроль изменений по хеш-суммам и свойствам файла	Комплексное решение, обеспечивающее закрытие группы мер по защите и управлению доступом	Высокая нагрузка на операционную систему хоста Ограниченный перечень поддерживаемых операционных систем Избыточный функционал
3	Host IDS / FIM	Обеспечение контроля целостности файлов и реестра легким агентом, обеспечивающим контроль изменений файла по хеш-суммам и свойствам файла	Разнообразиеopen-sourceрешений с широким перечнем поддерживаемых операционных систем и сред виртуализации (в т.ч. облачных) Доставка агента в контейнере Неограниченный функционал (с учетом возможности применения других open-sourceрешений)	Сложность в настройке интеграций open-sourceрешений

Возможность реализации регулярного контроля целостности средствами анализа защищенности продемонстрирована как пример, который может быть актуален в отдельных нераспространенных кейсах, такой способ не рекомендуется к использованию. Остается 2 варианта: использование комплексных решений СЗИ от НСД и специализированных решений контроля целостности (FileIntegrity Monitoring).

Использование СЗИ от НСД обосновано для комплексной защиты государственных информационных систем (ГИС), объектов критической информационной инфраструктуры (КИИ), реализованных на «стандратных» технологических стеках Microsoft и однородной унаследованной (legacy) инфраструктуры.

Современным вызовом к ИТ и ИБ-решениям является развертывание систем в разнородных и гибридных инфраструктурах, в том числе облачных, переход к cloud-native сервисам, широкое использование различных open-source решений. Для таких задач «классические» решения СЗИ от НСД не применимы, требуются cloud-native решения по контролю целостности с широким набором поддерживаемых операционных систем и функционалом. В массовом распространении представлены следующие проекты:

Wazuh (имеются как свободно распространяемый open source, так и enterprise версия): https://wazuh.com
Atomic OSSEC (имеются как свободно распространяемый open source, так и enterprise версия): https://github.com/ossec/ossec-hids
Tripwire (также свободно распространяемый open source / enterprise версия): https://github.com/Tripwire/tripwire-open-source

Данные решения отличаются следующим функционалом мониторинга рабочих мест:

Контроль целостности файлов, системных журналов в реальном времени;
Оповещение об изменениях, отправка событий в SIEM;
Контроль запущенных процессов;
Обнаружение руткитов;
Мониторинг портов;
Out-of-box интеграция с публичными облаками: Google CloudPlatform, AWS, Azure, IBM Cloud, а также поддерживают возможность работы в различных операционных системах:

Linux;
Solaris;
AIX;
HP-UX;
BSD;
Windows;
Mac;
VMware ESX.

Я установил СЗИ от НСД. Это Compliant?

В современных реалиях свойство целостности (integrity) дополняется неотказуемостью (non-repudiation), что также находит отражение в российской сфере регулирования информационной безопасности: нашумевшее «проведение исследования компьютерной информации» в ФЗ «Об оперативно-розыскной деятельности», обновление Положения Банка России от 17.04.2019 №683-П и др.

Неотказуемость уже не обеспечится контролем неизменности файлов и реестра операционной системы, потребуется применение электронной подписи (подпись артефакта, timestamp, подпись метаданных артефакта), применение спецификаций декларативного описания процесса и проверки целостности заданного pipeline / процесса для обеспечения подтверждений:

авторства артефакта (authority);
актуальности артефакта (up to date);
подтверждение выполнения некоторой операции в рамках процесса.

В следующих статьях мы опишем принципиальные подходы к обеспечению неотказуемости и контроля целостности pipeline.

Какие услуги мы оказываем?

«Стайл Телеком» предлагает комплексный подход по внедрению FIM-решений, включающий:

консультации по выбору FIM-решения;
проведение пилотного тестирования FIM-решений на вашей территории (возможно использование как вашего, так и нашего оборудования);
проведение всех стадий проектных работ (в том числе в соответствии с ГОСТ) в части внедрения FIM-решений;
сопровождение внедренного FIM-решения.

Контроль целостности