події, що відносяться до безпеки.
Категорії подій аудиту
) Privilege user -використання привілеїв;
) System-системні події;
) Object access-доступ до об'єктів;
) Logon- вхід в систему;
) Policy change- зміна політики безпеки, та ін.
Для перегляду подій є засоби перегляду подій аудиту та адміністратор може визначити реакцію системи на переповнення журналу аудиту, яке може бути представлено:
зупинка системи;
заборона функціонування системи аудиту;
видалення старих записів;
6. Уразливість
Уразливість - це деяка слабкість, яку можна використовувати для порушення безпеки системи або міститься в ній інформації.
Уразливості можуть виникати через наступних причин:
1) логічна помилка, яка може міститися в операційній системі або користувальницькому додатку (помилка реалізації механізму безпеки);
2) слабкість, тобто такий механізм, що його використання за певних умов призводить до порушення безпеки (застаріле апаратне програмне забезпечення, небезпечна конфігурація);
) некоректне використання системи, користувачі системи самі порушують політику безпеки, яка створює умови для успіху атаки.
Уразливість характеризується:
1) помилка і тип помилки, що приводить до утворення уразливості;
2) наслідки, тобто ступенем компрометації безпеки системи (отримання порушником прав адміністратора, отримання доступу до системи з правами авторизованого користувача, отримання несанкціонованого доступу до захищених файлів, відмова системи або її функціональної частини в обслуговуванні);
) авторизація (права, необхідні порушнику для здійснення атаки і визначення його рівня можливостей);
) місцезнаходження (представляє необхідність фізичного доступу порушника для проведення атаки):
доступ до системного сервера;
доступ до мережі;
При проектуванні систем процес занесення уразливості складається з наступних етапів (процедур):
1) виявлення вразливостей;
2) оповіщення користувачів;
) присвоєння уразливості ідентифікатора, на основі якого вона буде розпізнаватися або іменуватися;
) пропозиція для включення в список вразливостей нових вразливостей;
) модифікація (зміна) характеристик вразливостей;
) публікація (оповіщення списку вразливостей);
) переоцінка (зміна списку вразливостей).
. 1 Помилки, що призводять до уразливості
1) помилки синхронізації (розбіжність подій);
2) помилки перевірки умов;
) помилки перевірки вхідних даних;
) помилка переповнення буфера, дані виходять за межі буфера і заслання за продовження роботи програми, за межею буфера можуть бути перехоплені зловмисником. Атаки на переповнення буфера можуть бути пов'язані з:
адреса повернення з функції (управління може бути передано на код порушника);
покажчик на функцію;
покажчик на дані.
) помилки адміністрування:
помилки конфігурації;
помилки оточення.
. 2 Пошук вразливостей в процесі розробки та аналізу систем
Пошук вразливостей може здійснюватися в два етапи:
1) аналіз вихідних текстів програм (статика);
2) динамічний аналіз безпеки програм.
При статичному аналізі вирішуються такі завдання:
1) дослідження структури програм;
2) виділення набору стандартних функцій;
) виявлення способів і цілей взаємодії програми з зовнішніми пристроями і ресурсами;
) пошук типових вразливостей;
) пошук руйнівних засобів в коді програми.
Динамічний аналіз: дослідження поведінки програми під впливом різноманітної вхідної інформації із забезпеченням повного контролю використання зовнішніх пристроїв і системних ресурсів.
До засобів динамічного аналізу відносяться:
автоматизовані отладчики;
засоби моніторингу.
<...
