Aktualności
2011-03-14
SARA: asystentka do spraw bezpieczeństwa
Schemat działania systemu SARA
System Automatycznego Raportowania i Administracji
Czy łatwo jest administrować maszyną? Jednym komputerem, choćby Twoim laptopem? Pewnie tak… ale przyjrzyjmy się tej kwestii trochę bliżej. Ile działa na nim różnych aplikacji? Czy zawsze pamiętasz o aktualizacji komunikatora internetowego, klienta SSH, przeglądarki, programu pocztowego, aplikacji narzędziowych? Jak często dokonujesz aktualizacji systemu operacyjnego? Nie zawsze i nie wszystko można zautomatyzować.

Ateraz załóżmy, że nie mamy jednego komputera, tylko ze dwie setki serwerów (i drugie tyle stacji roboczych), stosowną liczbę urządzeń sieciowych i kilkadziesiąt osób do obsługi całej infrastruktury. Stopień komplikacji zadania, które przed nami stoi, rośnie. I bez względu na to, gdzie administratorzy oraz pracownicy działu bezpieczeństwa ustalą granicę odpowiedzialności za aktualny stan zabezpieczeń serwera, problem jest zawsze taki sam. W jaki sposób zapewnić (a przynajmniej zwiększyć prawdopodobieństwo), że wszystkie posiadane systemy i aplikacje będą zawsze w odpo- wiednich wersjach? A co to w ogóle znaczy „wszystkie posiadane systemy i aplikacje”?...

System Automatycznego Raportowania i Administracji (SARA) został zaprojektowany w celu ułatwienia zadania zarządzania bezpieczeństwem infrastruktury PCSS. Ma on służyć pomocą zespołowi odpowiedzialnemu za ochronę systemów poprzez ułatwienie oceny ogólnego stanu zabezpieczeń infrastruktury, atakże pozwolić na szybszą reakcję wprzypadku pojawiania się nowych podatności. Jednym z założeń projektowych było wykorzystanie standardów opisu podatności. Dzięki takiemu podejściu możliwa jest bardziej miarodajna, rzetelna, a co najważniejsze – w dużym stopniu zautomatyzowana kontrola globalnego stanu bezpieczeństwa. SARA wykorzystuje repozytorium NVD. Do najważniejszych funkcjonalności systemu należą:

• pobieranie danych dotyczących podatności i składowanie ich we własnej bazie danych,
• przechowywanie danych na temat infrastruktury  (w tym – zainstalowanego na poszczególnych węzłach oprogramowania),
• przeprowadzanie statycznej kontroli bezpieczeństwa (na podstawie pobranych z NVD informacji o podatnościach oraz danych na temat infrastruktury),
• generowanie raportów (aktualizacje, przeprowadzone kontrole) i rozsyłanie ich do osób odpowiedzialnych za bezpieczeństwo oraz administratorów maszyn.

Schemat działania systemu SARA
Funkcjonowanie całego systemu dobrze obrazuje zamieszczony schemat. SARA najpierw pobiera dane o podatnościach bezpieczeństwa z repozytorium National Vulnerability Database (NVD, http://nvd.nist.gov). Wykorzystuje ono standardy i specyfikacje opisu podatności oraz systemów: Common Vulnerabilities and Exposures (CVE), Common Platform Enumeration (CPE) oraz Common Vulnerability Scoring System (CVSS). Następnie SARA przetwarza pozyskane informacje, składując je w wewnętrznej bazie danych. Proces ten odbywa się cyklicznie, dzięki mechanizmowi podobnemu do znanego np. z systemu Unix rozwiązania cron. Zalecanym okresem aktualizacji są dwie godziny – tak często jest aktualizowana NVD. Drugim źródłem informacji, koniecznym do kontroli bezpieczeństwa w infrastrukturze, są administratorzy poszczególnych węzłów, którzy za pomocą webowego interfejsu umieszczają dane (w postaci nazw CPE) na temat oprogramowania zainstalowanego w podległych im systemach.

Mając do dyspozycji informacje z obu tych źródeł, system SARA, przy użyciu algorytmu CPE Language Matching, pochodzącego ze specyfikacji CPE, przeprowadza kontrolę bezpieczeństwa. Polega ona na przeanalizowaniu wpisów CPE dla poszczególnych systemów i porównaniu z wpisami dotyczącymi podatnego oprogramowania pochodzącymi zbazy NVD. Podobnie jak aktualizacje bazy danych, szczegóły procedury kontroli mogą być zdefiniowane w pliku konfiguracyjnym.

Po skończonej kontroli system generuje raporty o wykrytych w infrastrukturze podatnościach. Raporty te są rozsyłane do dwóch grup użytkowników: administratorów i tzw. superwizorów, będących nadzorcami całej infrastruktury. Raport kierowany do administratora zawiera nazwy maszyn, słowne opisy podatności oraz odnośniki do stron NVD, udostępniających szczegóły poszczególnych luk. Co ważne, administrator (w przeciwieństwie to superwizora), otrzymuje raport opodatnościach dotyczących tylko podlegających mu systemów.

Oprócz raportów kontroli bezpieczeństwa, SARA generuje raporty z aktualizacji bazy danych o nowe informacje opodatnościach, pobrane z NVD. Raporty aktualizacji są wysyłane tylko do superwizorów i zawierają informacje dotyczące poszczególnych wpisów CVE dodanych do bazy danych, jak również opis potencjalnych błędów występujących podczas tej procedury.

SARA to system prototypowy, nie można więc nie wspomnieć o obiecujących wizjach rozwoju, prowadzących do wydajniejszego wykrywania podatności, atakże – z punktu widzenia użytkownika – wygodniejszej obsługi. Planowane udogodnienie, polegające na zastosowaniu słownika z najpopularniejszymi nazwami CPE, pozwoli na łatwiejsze (i obarczone mniejszą liczbą przypadkowych błędów) wprowadzanie danych przez użytkowników.

Innym kierunkiem rozwoju jest rozbudowa funkcji inwentaryzacyjnych – dane na temat infrastruktury składowane w bazie danych systemu rozszerzyć można np. o listę portali/projektów, nad którymi prowadzi się prace, przechowywać można także raporty z realizowanych audytów bezpieczeństwa. Wspomnieć można też o bardziej dalekosiężnej idei rozłożenia ciężaru logiki aplikacji na zestaw niezależnych, luźno powiązanych usług. Rozwiązanie takie uczyni system bardziej elastycznym i łatwiejszym w rozbudowie.

Odbyły się testy prototypowej instalacji systemu SARA. Planowane są dalsze rozszerzenia oferowanej funkcjonalności. Czy warto pomyśleć o wdrożeniu już teraz? Cóż, każda odpowiedzialna instytucja posiada przecież (mam nadzieję) spis inwentaryzacyjny systemów i urządzeń. Może warto przenieść go do aplikacji, która dodatkowo pomoże zapewnić bezpieczeństwo naszej infrastruktury?

Michał Rzepka, PCSS
Schemat działania systemu SARA
Schemat działania systemu SARA