Вопрос 24. Модель Угроз

Угрозы безопасности информации (ГОСТ Р 51624 – 2000) – это совокупность условий и факторов создающих потенциальную или реальную существующую опасность связанную с утечкой информации и/или НСД и/или непреднамеренного воздействия ан нее.

Всего 3 угрозы:

1. нарушения конфиденциальности

2. нарушения целостности

3. нарушения доступности

На практике используют детальный подход к изучению угроз, т.е. построить модель угроз. Два способа:

– Создать произвольный список угроз (Недостаток: не достаточно глубокий анализ угроз; противоречивость и отсутствие взаимосвязи).

– Дерево угроз. Вводится иерархия угроз. При использовании дерева устанавливаются отношения между угрозами: логические («ИЛИ» и «И»). Для реализации «ИЛИ» достаточно выполнение одной из угроз с низким уровнем. Для «И» необходимо выполнение всех угроз с низким уровнем чтобы выполнилась угроза с высоким уровнем.

Также возможно комбинированное использование.

Вопрос 25. Реализация угроз. Атаки и вторжения. Характеристика атак. Виды атак по соотношению «нарушитель – атакуемый объект». Типовые удаленные атаки.

Классификация атак (нарушитель - атакуемый объект):

1. один к одному;

2. один ко многим (несколько объектов ко многим);

3. цепочка (маскировка нарушителя);

4. многие к одному;

5. многие на многих.

Bot net – сети пораженные вредоносным ПО.

Классификация удаленных атак (характеристики):

1. По характеру воздействия: 1) активные; 2)пассивные (не оказывают влияния на функционирование системы, не нарушает политику безопасности, пример – прослушивание линии связи).

2. По цели воздействия: 1) нарушение работоспособности ИС (наличие кратковременных сбоев и отказов; выведение ИС из строя на длительное время, как всей, так и отдельных частей, нарушение доступности информации); 2) нарушение целостности информации (полное удаление или модификация информационной системы);3) нарушение конфиденциальности (злоумышленник знакомится с содержанием информации).

3. По условиям начала воздействий: 1) безусловная атака (инициатор – сам нарушитель, не ожидающий действия объекта атаки); 2) по запросу от объекта атаки (начата после каких-либо действий атакуемого объекта);3) по наступлению некоторого события (нарушитель ведет наблюдение за объектом атаки и начинает воздействие после определенного действия системы).

4. По наличию обратной связи: 1) без обратной связи (нарушитель все свои действия направляет на объект без каких-либо ответных действий); 2) с обратной связью (нарушитель ожидает каких-либо ответных действий от объекта атаки).

5. По расположению: 1) за пределами ИС; 2) в зоне ИС.

6. По уровню взаимодействия закрытых систем (без примеров).

Типовые удаленные атаки.

1. Анализ сетевого трафика всех сообщений в линии связи – sniffering. Цель – изучение принципов и логики ИС. Перехват информации – нарушение ее логики.

2. Подмена доверенного объекта.

3. Создание ложного объекта: 1) навязывание ложного маршрута (для органицации атаки, связанной с перехватом информации – перенаправление потоков данных); 2) подмена информации; 3) нарушение взаимодействия двух узлов ИС.

4. Flooding – затопление (передача большого числа служебных сообщений. Пример – почтовый сервер Microsoft рушили, посылая большое количество сообщений с большого количества компьютеров).

5. Spoofing – подмена (подмена адресов отправителя и (или) адресата сообщений).

6. DOS (Donial of servise) – отказ в обслуживании (отправка специальных служебных сообщений о недостижимости узлов системы).

7. Сканирование портов (производится на подготовительном этапе; проверка возможности подключения).

Причины успеха атак:

1. Недостатки процедур идентификации и аутентификации.

2. Отсутствие контроля за передачей сообщения.

3. Отсутствие криптографической защиты.

4. Неполная информация о состоянии ИС.

5. Ошибки в построении системы защиты ИС.