Разработка методики защиты виртуальных рабочих станций от инсайдерских атак

Разработка методики защиты виртуальных рабочих станций от инсайдерских атак

В данной статье рассматриваются безопасность и виды средств защиты в виртуальных средах.

Рубрика

IT-Технологии

Журнал

Журнал «Научный лидер» выпуск # 15 (60), апрель ‘22

Поделиться

Независимо от того, насколько совершенен уровень защиты конечных узлов - виртуализированных серверов или рабочих станций - проблемы защиты данных, которые огромны в современных корпоративных центрах обработки данных, также должны решаться с использованием специализированных средств защиты.

В виртуальных средах, в отличие от физических сред, где каждая операционная система имеет доступ к своему собственному разделу на физическом носителе или использует сетевое хранилище с выделенным логическим разделом, в случае виртуализации многие виртуальные машины, естественно, находятся в одном разделе вовремя обеспечить миграцию и отказоустойчивость. Таким образом, получив контроль над хранилищем такой виртуальной машины, злоумышленник сразу же получает доступ к группе виртуальных машин.

Чтобы избежать подобных угроз в сетях SAN, необходимо использовать создание зон для обеспечения дополнительной защиты хранилища и других средств контроля доступа. В IP-сетях необходимо естественным или логическим образом разделять сети доступа к хранилищу с помощью виртуальных локальных сетей. Вы также должны отделить общедоступные сети от сетей, используемых для миграции виртуальных машин, чтобы предотвратить мониторинг службы и ее последующий анализ злоумышленником [2].

Виртуальная машина — это просто набор файлов, поэтому ее проще украсть, например, скопировав на съемный носитель. Поэтому процесс резервного копирования виртуальной машины должен быть организован с использованием специализированного программного обеспечения, которое поддерживает шифрование канала данных между сервером виртуализации и хранилищем резервных копий, а также шифрование файлов резервных копий виртуальной машины.

Виртуальная машина является наиболее потенциально опасным объектом виртуальной инфраструктуры с точки зрения защиты информации из-за изначальной полной незащищенности и простоты модификации данных [4]. Кроме того, такие технологии, как «живая миграция» и «мгновенные снимки», могут служить отличным инструментом для сокрытия следов присутствия в руках злоумышленника. Например, злоумышленник, проникнув в операционную систему посетителя виртуальной машины и имея достаточный контроль над системой управления хоста виртуализации, может скрыть свои следы, вернувшись к предыдущему снимку диска виртуальной машины. Кроме того, кража самих файлов моментальных снимков виртуальной машины может привести к серьезной утечке информации, поскольку они содержат все последующие изменения данных на виртуальном диске и полный снимок ОЗУ виртуальной машины из моментального снимка. Также к одной из угроз следует отнести возможность преднамеренного захвата всех ресурсов сервера виртуализации у одной виртуальной машины, в результате чего другие виртуальные машины прекратят свою нормальную работу и вызовут отказ в обслуживании [3].

Отдельная проблема безопасности должна быть адресована дисковой подсистеме виртуальной машины, которая также имеет множество уязвимостей. К наиболее распространенным угрозам относится доступ к «старой» информации в разделе, где создается новый виртуальный диск. Поскольку при создании нового диска для виртуальной машины, в дальнейшем именуемой ВМ, внутреннее пространство диска заполняется, поскольку сама ВМ имеет доступ к секторам диска, поэтому существует риск доступа виртуальной машины к старым дискам. были обнулены разделы раздела и последующее удаление с них информации до восстановления файловых фрагментов. Решением этой проблемы можно считать использование ручного сброса вновь созданных виртуальных дисков, так называемого «нетерпеливого обнуленного диска».

Для эффективной защиты конечных точек существует множество программных и аппаратных решений, каждое из которых решает ряд конкретных задач.

Программные решения

Антивирусная программа. Решение предназначено для предотвращения проникновения вирусов на компьютеры, отражения вирусных атак, поиска зараженных объектов и получения данных.

Межсетевые экраны (межсетевые экраны или межсетевые экраны). Контроль и фильтрация трафика. Если вы отклонитесь от установленных стандартов, они заблокируют это, предотвратив угрозы.

DLP-системы. Современные решения, контролирующие возможные каналы утечки информации. С их помощью вы можете контролировать трафик, использование ресурсов рабочего компьютера, изменять их конфигурацию, подключение к портам внешних устройств и другие параметры [1].

Защита от несанкционированного доступа к рабочим станциям. Этому способствуют решения для многофакторной аутентификации и систем мониторинга целостности операционных систем.

Программное обеспечение для мониторинга сети. Могут использоваться средства эвристического анализа активности серверов, меры защиты от целевых атак (например, атака нулевого дня), реализация политик межсетевого экрана (сегментация сети) и т. д.

Посуда, аксессуары

Вы также можете защитить рабочие станции с помощью оборудования.

Электронные замки (аппаратные ключи) используются для защиты от внутренних угроз. Без такого устройства невозможно запустить компьютер. Ключи могут быть выполнены в различных формах: USB-носитель, RFID-метка, устройство со сканером отпечатков пальцев и т. д.

Жесткие диски, поддерживающие аппаратное шифрование (на уровне собственной прошивки), часто используются для защиты компьютеров. Другой вариант - внешние блоки аппаратного шифрования. Они связаны между материнской платой компьютера и его хранилищем [1].

Эффективный вариант — это материал межсетевых экранов. Они работают пропорционально программным решениям, фильтруя трафик и отсекая весь «мусор».

Из теории информационной безопасности известно, что эффективная защита может быть построена только на основе реализации политики ограниченного доступа к ресурсам, механизмы контроля, особенно контроль контента, по понятным причинам могут использоваться только в качестве вспомогательных средств. Однако как в требованиях к средствам безопасности, так и в известных практических приложениях - операционной системе и приложениях реализация демаркационной политики должна ограничивать доступ различных пользователей, которым разрешено обрабатывать информацию на компьютере в ресурсах. При реализации защиты информации от внутренних информационных атак задача реализации политики доступа с ограничением ресурсов уже отличается по своим параметрам - необходимо различать способы обработки различных категорий информации на одном компьютере для одного и того же пользователя и не ресурсы между разными пользователями. Здесь лучше говорить не о разделительной линии, а о разделительной политике доступа к ресурсам. В результате требуются совершенно другие подходы к решению проблемы защиты и должны выполняться совершенно другие требования, присущие механизмам защиты. Рассмотрим в данной работе возможный апробированный подход к решению задачи защиты и сформулируем требования, выполнение которых необходимо для эффективного решения задачи защиты от атак изнутри [4].

 

Поскольку информация разного уровня конфиденциальности обрабатывается на компьютере одновременно, для обработки информации разного уровня конфиденциальности требуются разные ресурсы, разные приложения, файловые объекты, устройства, сетевые ресурсы и т. д., и, как правило, чем ниже уровень конфиденциальности обрабатываемой информации, тем шире спектр ресурсов, которые могут быть использованы для ее обработки, что создает потенциальную угрозу кражи конфиденциальной информации, задачи защиты информации уровней конфиденциальности.

Формирование категоризированных методов обработки информации заключается в связывании соответствующего набора ресурсов при обработке информации каждого уровня конфиденциальности [3].

Выделение методов обработки категоризированной информации призвано исключить любую возможность изменения обработки авторизованного набора информационных ресурсов каждого уровня конфиденциальности.

При таком подходе контролировать уже нечего, так как сама возможность кражи конфиденциальной информации предотвращается за счет использования неавторизованных ресурсов, которые не используются для их обработки.

Список литературы

  1. Мельников, В. П. Информационная безопасность / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - М.: Academia, 2017. - 336 c.
  2. Модель человеко-машинного взаимодействия на основе сенсорных экранов для мониторинга безопасности компьютерных сетей. Котенко И. В., Коломеец М.В., Комашинский В.И., Бушуев С.Н., Гельфанд А. М 2018. 149стр.
  3. Васильков, А. В. Безопасность и управление доступом в информационных системах / А.В. Васильков, И.А. Васильков. - М.: Форум, 2017. - 368 c.
  4. Пестов И.Е., Методика разработки управляющего воздействия на инстансы облачной инфраструктуры 2020г. 72-76стр.
  5. Информационная безопасность открытых систем. В 2 томах. Том 1. Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников и др. - Москва: Машиностроение, 2018. - 536 c.
  6. Атаки на облачную инфраструктуру Пестов И.Е., Кошелев С.А.
  7. Бабаш, А. В. Информационная безопасность (+ CD-ROM) / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2019. - 136 c.
  8. Программная реализация средств предотвращений вторжений и аномалий сетевой инфраструктуры. Гельфанд А. М., Фадеев И.И., Казанцев А.А., 2020 31кб
  9. Защита для распределенных отказов в обсслуживании в облачных вычислениях Гельфанд А. М., Красов А. В., Косов Н.А., Орлов Г.А., 2019г 329-334стр.

Предоставляем бесплатную справку о публикации,  препринт статьи — сразу после оплаты.

Прием материалов
c по
Осталось 4 дня до окончания
Размещение электронной версии
Загрузка материалов в elibrary