Тема 3.2 Характеристика загроз інформаційної безпеки

1. Класифікація загроз. Найбільш поширені загрози інформаційної безпеки

2. Моделювання загроз інформаційної безпеки

3. Управління ризиками інформаційної безпеки

1. Класифікація загроз. Найбільш поширені загрози інформаційної безпеки

Загроза - це потенційна можливість певним чином порушити інформаційну безпеку.

Спроба реалізації загрози називається атакою, а той, хто вживає таку спробу, - зловмисником. Потенційні зловмисники називаються джерелами загрози.

Найчастіше загроза є наслідком наявності вразливих місць в захисті інформаційних систем (таких, наприклад, як можливість доступу сторонніх осіб до критично важливого устаткування або помилки в програмному забезпеченні).

Проміжок часу від моменту, коли з'являється можливість використовувати слабке місце, і до моменту, коли пробіл ліквідується, називається вікном небезпеки, асоційованим з даним вразливим місцем. Поки існує вікно небезпеки, можливі успішні атаки на ІБ.

Якщо мова йде про помилки в ПЗ, то вікно небезпеки "відкривається" з появою засобів використання помилки і ліквідується при накладенні латок, її виправляють.

Для більшості вразливих місць вікно небезпеки існує порівняно довго (кілька днів, іноді - тижнів), оскільки за цей час повинні відбутися наступні події:

• має стати відомо про засоби використання пробілу в захисті;

• повинні бути випущені відповідні латки;

• латки повинні бути встановлені в захищаємій ІС.

Ми вже вказували , що нові вразливі місця і засоби їх використання з'являються постійно , це значить , по-перше , що майже завжди існують вікна небезпеки і , по-друге , що відстеження таких вікон повинно проводитися постійно , а випуск і накладення латок - якомога більш оперативно.

Зазначимо , що деякі загрози не можна вважати наслідком якихось помилок чи прорахунків ; вони існують в силу самої природи сучасних ІС . Наприклад , загроза відключення електрики або виходу його параметрів за допустимі межі існує в силу залежності апаратного забезпечення ІС від якісного електроживлення.

Розглянемо найбільш поширені загрози , до яких схильні сучасні інформаційні системи . Мати уявлення про можливі загрози , а також про вразливі місця , які ці загрози зазвичай експлуатують , необхідно для того , щоб вибирати найбільш економічні засоби забезпечення безпеки. Занадто багато міфів існує у сфері інформаційних технологій ( згадаємо все ту ж " Проблему 2000" ), тому незнання в даному випадку веде до перевитрати коштів і, що ще гірше , до концентрації ресурсів там , де вони не особливо потрібні , за рахунок ослаблення дійсно уразливих напрямів .

Підкреслимо, що саме поняття "загроза" в різних ситуаціях часто трактується по-різному. Наприклад, для підкреслено відкритої організації погроз конфіденційності може просто не існувати - вся інформація вважається загальнодоступною, проте в більшості випадків нелегальний доступ представляється серйозною небезпекою. Іншими словами, загрози, як і все в ІБ, залежать від інтересів суб'єктів інформаційних відносин (і від того, який збиток є для них неприйнятним).

Ми спробуємо поглянути на предмет з точки зору типовою (на наш погляд) організації. Втім, багато загрози (наприклад, пожежа) небезпечні для всіх.

Загрози можна класифікувати за кількома критеріями:

• по аспекту інформаційної безпеки (доступність, цілісність, конфіденційність), проти якого загрози спрямовані в першу чергу;

• по компонентах інформаційних систем, на які загрози націлені (дані, програми, апаратура, підтримуюча інфраструктура);

• за способом здійснення (випадкові / навмисні, дії природного / техногенного характеру);

• за розташуванням джерела загроз (всередині / поза розглянутої ІС).

В якості основного критерію ми будемо використовувати перший (по аспекту ІБ), залучаючи при необхідності інші.

Найбільш поширені загрози доступності

Найчастішими і найнебезпечнішими (з точки зору розміру шкоди) є ненавмисні помилки штатних користувачів, операторів, системних адміністраторів та інших осіб, які обслуговують інформаційні системи.

Іноді такі помилки і є власне погрозами (неправильно введені дані або помилка в програмі, що викликала крах системи), іноді вони створюють вразливі місця, якими можуть скористатися зловмисники (такі зазвичай помилки адміністрування). За деякими даними, до 65% втрат - наслідок ненавмисних помилок.

Пожежі та повені не приносять стільки бід, скільки безграмотність і недбалість у роботі.

Очевидно, найрадикальніший спосіб боротьби з ненавмисними помилками - максимальна автоматизація і строгий контроль.

Інші загрози доступності класифікуємо за компонентами ІС, на які націлені загрози:

• відмова користувачів;

• внутрішній відмова інформаційної системи;

• відмова підтримуючої інфраструктури.

Зазвичай стосовно користувачів розглядаються наступні загрози:

• небажання працювати з інформаційною системою (найчастіше проявляється при необхідності освоювати нові можливості і при розбіжності між запитами користувачів і фактичними можливостями і технічними характеристиками);

• неможливість працювати з системою в силу відсутності відповідної підготовки (нестача загальної комп'ютерної грамотності, невміння інтерпретувати діагностичні повідомлення, невміння працювати з документацією тощо);

• неможливість працювати з системою в силу відсутності технічної підтримки (неповнота документації, недолік довідкової інформації тощо).

Основними джерелами внутрішніх відмов є:

• відступ (випадкове або навмисне) від встановлених правил експлуатації;

• вихід системи з штатного режиму експлуатації внаслідок випадкових або навмисних дій користувачів або обслуговуючого персоналу (перевищення розрахункового числа запитів, надмірний обсяг оброблюваної інформації тощо);

• помилки при (пере) конфігуруванні системи;

• відмови програмного і апаратного забезпечення;

• руйнування даних;

• руйнування або пошкодження апаратури.

По відношенню до підтримуючої інфраструктури рекомендується розглядати наступні загрози:

• порушення роботи (випадкове або навмисне) систем зв'язку, електроживлення, водо-та / або теплопостачання, кондиціонування;

• руйнування або пошкодження приміщень;

• неможливість або небажання обслуговуючого персоналу та / або користувачів виконувати свої обов'язки (цивільні безлади, аварії на транспорті, терористичний акт або його загроза, страйк і т.п.).

Досить небезпечні так звані "скривджені" співробітники - нинішні і колишні. Як правило, вони прагнуть завдати шкоди організації-"кривднику", наприклад:

• зіпсувати обладнання;

• вбудувати логічну бомбу, яка з часом зруйнує програми та / або дані;

• видалити дані.

Ображені співробітники, навіть колишні, знайомі з порядками в організації здатні завдати чималої шкоди. Необхідно стежити за тим, щоб при звільненні співробітника його права доступу (логічного і фізичного) до інформаційних ресурсів анулювалися.

Небезпечні, зрозуміло, стихійні лиха та події, що сприймаються як стихійні лиха, - пожежі, повені, землетруси, урагани. За статистикою, на частку вогню, води і тому подібних "зловмисників" (серед яких найнебезпечніший - перебій електроживлення) припадає 13% втрат, завданих інформаційним системам.

Деякі приклади загроз доступності.

Загрози доступності можуть виглядати грубо - як ушкодження або навіть руйнування обладнання (у тому числі носіїв даних). Таке пошкодження може викликатися природними причинами (найчастіше - грозами ) . На жаль , знаходяться в масовому використанні джерела безперебійного живлення не захищають від потужних короткочасних імпульсів , і випадки згорання обладнання - не рідкість.

В принципі , потужний короткочасний імпульс , здатний зруйнувати дані на магнітних носіях , можна згенерувати і штучним чином - за допомогою так званих високоенергетичних радіочастотних гармат. Але , напевно , в наших умовах подібну загрозу варто все ж визнати надуманою.

Дійсно небезпечні протікання водопроводу і опалювальної системи . Часто організації , щоб заощадити на орендній платі , знімають приміщення в будинках старої споруди , роблять косметичний ремонт , але не змінюють старі труби. Реальний приклад: прорвало трубу з гарячою водою , і системний блок комп'ютера виявився заповнений окропом. Коли окріп вилили , а комп'ютер просушили , він відновив нормальну роботу , але краще таких дослідів не ставити ...

Влітку , в сильну спеку , норовлять зламатися кондиціонери , встановлені в серверних залах , набитих дорогим обладнанням . У результаті значної шкоди наноситься і репутації , і гаманцю організації .

Загальновідомо , що періодично необхідно проводити резервне копіювання даних. Однак навіть якщо ця пропозиція виконується , резервні носії часто зберігають недбало, не забезпечуючи їх захист від шкідливого впливу навколишнього середовища . І коли потрібно відновити дані , виявляється , що ці самі носії ніяк не бажають читатися.

Перейдемо тепер до загроз доступності. Мова піде про програмні атаки на доступність .

В якості засобу виведення системи з штатного режиму експлуатації може використовуватися агресивне споживання ресурсів (зазвичай - смуги пропускання мереж , обчислювальних можливостей процесорів або оперативної пам'яті). За розташуванням джерела загрози, таке споживання підрозділяється на локальне та віддалене . При прорахунках в конфігурації системи локальна програма здатна практично монополізувати процесор і / або фізичну пам'ять , звівши швидкість виконання інших програм до нуля.

Найпростіший приклад віддаленого споживання ресурсів - атака , що отримала найменування " SYN - повінь" . Вона являє собою спробу переповнити таблицю " напіввідкритих " TCP -з'єднань сервера (встановлення з'єднань починається , але не закінчується ) . Така атака щонайменше ускладнює встановлення нових сполук з боку легальних користувачів, тобто сервер виглядає як недоступний .

По відношенню до атаки " Papa Smurf " уразливі мережі , що сприймають ping -пакети з широкомовними адресами. Відповіді на такі пакети " з'їдають " смугу пропускання.

Віддалене споживання ресурсів останнім часом проявляється в особливо небезпечній формі - як скоординовані розподілені атаки , коли на сервер з безлічі різних адрес з максимальною швидкістю спрямовуються цілком легальні запити на з'єднання та / або обслуговування . Часом початку " моди" на подібні атаки можна вважати лютий 2000 , коли жертвами виявилися кілька найбільших систем електронної комерції ( точніше - власники і користувачі систем). Відзначимо , що якщо має місце архітектурний прорахунок у вигляді розбалансованості між пропускною здатністю мережі і продуктивністю сервера, то захиститися від розподілених атак на доступність вкрай важко .

Для виведення систем зі штатного режиму експлуатації можуть використовуватися вразливі місця у вигляді програмних і апаратних помилок . Наприклад , відома помилка в процесорі Pentium I дає можливість локальному користувачеві шляхом виконання певної команди " підвісити " комп'ютер , так що допомагає тільки апаратний RESET .

Програма " Teardrop " віддалено " підвішує " комп'ютери , експлуатуючи помилку в збірці фрагментованих IP -пакетів.

Шкідливе програмне забезпечення

Одним з найнебезпечніших способів проведення атак є проникнення в систему шкідливого програмного забезпечення.

Ми виділимо наступні межі зловмисного ПЗ:

• шкідлива функція;

• спосіб поширення;

• зовнішнє подання.

Частина, що здійснює руйнівну функцію, будемо називати "бомбою" (хоча, можливо, більш вдалими термінами були б "заряд" або "боєголовка"). Взагалі кажучи, спектр шкідливих функцій необмежений, оскільки "бомба", як і будь-яка інша програма, може володіти як завгодно складною логікою, але зазвичай "бомби" призначаються для:

• впровадження іншого шкідливого ПЗ;

• отримання контролю над атакується системою;

• агресивного споживання ресурсів;

• зміни або руйнування програм та / або даних.

По механізму поширення розрізняють:

• віруси - код, який має здатність до поширення (можливо, із змінами) шляхом впровадження в інші програми;

• "черв'яки" - код, здатний самостійно, тобто без впровадження в інші програми, викликати поширення своїх копій з ІВ та їх виконання (для активізації вірусу потрібно запуск зараженої програми).

Віруси зазвичай поширюються локально, в межах вузла мережі; для передачі по мережі їм потрібна зовнішня допомога, така як пересилання зараженого файлу. "Черв'яки", навпаки, орієнтовані в першу чергу на подорожі по мережі.

Іноді саме розповсюдження шкідливого ПЗ викликає агресивне споживання ресурсів і, отже, є шкідливою функцією. Наприклад, "черв'яки" "з'їдають" смугу пропускання мережі та ресурси поштових систем. З цієї причини для атак на доступність вони не потребують вбудовування спеціальних "бомб".

Шкідливий код, який виглядає як функціонально корисна програма, називається троянським. Наприклад, звичайна програма, будучи уражена вірусом, стає троянською; часом троянські програми виготовляють вручну і підсовують довірливим користувачам у будь привабливій упаковці.

" Програмний вірус - це виконуваний або інтерпретує мий програмний код , що володіє властивістю несанкціонованого розповсюдження і самовідтворення в автоматизованих системах чи телекомунікаційних мережах з метою змінити або знищити програмне забезпечення та / або дані , що зберігаються в автоматизованих системах".

Вікно небезпеки для шкідливого ПЗ з'являється з випуском нового різновиду " бомб " , вірусів і / або "хробаків " і перестає існувати з оновленням бази даних антивірусних програм і накладенням інших необхідних латок .

За традицією з усього шкідливого ПЗ найбільшу увагу громадськості припадає на частку вірусів. Однак до березня 1999 з повним правом можна було стверджувати , що "незважаючи на експоненціальне зростання числа відомих вірусів , аналогічного зростання кількості інцидентів , викликаних ними , не зареєстрована . Дотримання нескладних правил" комп'ютерної гігієни " практично зводить ризик зараження до нуля. Там , де працюють , а не грають , число заражених комп'ютерів складає лише долі відсотка " .

У березні 1999 року , з появою вірусу " Melissa " , ситуація кардинальним чином змінилася. " Melissa " - це макро вірус для файлів MS- Word , що поширюється за допомогою електронної пошти в приєднаних файлах. Коли такий ( заражений ) приєднаний файл відкривають , він розсилає свої копії по перших 50 адресами з адресної книги Microsoft Outlook. В результаті поштові сервери піддаються атаці на доступність .

Основні загрози цілісності.

На другому місці за розмірами збитку (після ненавмисних помилок і упущень) є крадіжки та підробки. За даними газети USA Today, ще в 1992 році в результаті подібних протиправних дій з використанням персональних комп'ютерів американським організаціям було завдано загальний збиток у розмірі 882 мільйонів доларів. Можна припустити, що реальний збиток був набагато більше, оскільки багато організацій зі зрозумілих причин приховують такі інциденти; не викликає сумнівів, що в наші дні збиток від такого роду дій виріс багаторазово.

У більшості випадків винуватцями виявлялися штатні співробітники організацій, відмінно знайомі з режимом роботи та заходами захисту. Це ще раз підтверджує небезпеку внутрішніх загроз, хоча говорять і пишуть про них значно менше, ніж про зовнішні.

Раніше ми проводили різницю між статичною та динамічною цілісністю. З метою порушення статичної цілісності зловмисник (як правило, штатний співробітник) може:

• ввести невірні дані;

• змінити дані.

Іноді змінюються змістовні дані , іноді - службова інформація. Показовий випадок порушення цілісності мав місце в 1996 році. Працівниця Oracle ( особистий секретар віце - президента) пред'явила судовий позов , звинувачуючи президента корпорації в незаконному звільненні після того , як вона відкинула його залицяння. На доказ своєї правоти жінка привела електронного листа , нібито відправленого її начальником президенту. Зміст листа для нас зараз не важливо ; важливо час відправки . Справа в тому , що віце -президент пред'явив , у свою чергу , файл з реєстраційною інформацією компанії стільникового зв'язку , з якого випливало , що в зазначений час він розмовляв по мобільному телефону , перебуваючи далеко від свого робочого місця. Таким чином , в суді відбулося протистояння "файл проти файлу " . Очевидно , один з них був фальсифікований або змінений , тобто була порушена його цілісність . Суд вирішив , що підробили електронного листа ( секретарка знала пароль віце -президента , оскільки їй було доручено його міняти) , і позов був відкинутий ...

( Теоретично можливо , що обидва фігурували на суді файлу були справжніми, коректними з точки зору цілісності , а лист відправили пакетними засобами , однак , на наш погляд , це було б дуже дивне для віце -президента дія. )

З наведеного випадку можна зробити висновок не тільки про загрози порушення цілісності , а й про небезпеку сліпої довіри комп'ютерній інформації. Заголовки електронного листа можуть бути підроблені ; лист в цілому може бути фальсифікований особою , що знає пароль відправника Відзначимо , що останнє можливо навіть тоді , коли цілісність контролюється криптографічними засобами . Тут має місце взаємодія різних аспектів інформаційної безпеки : якщо порушено конфіденційність , може постраждати цілісність .

Ще один урок : загрозою цілісності є не тільки фальсифікація або зміна даних , але і відмова від вчинених дій . Якщо немає коштів забезпечити "безвідказність" , комп'ютерні дані не можуть розглядатися як доказ.

Потенційно уразливі з точки зору порушення цілісності не тільки дані , але і програми. Впровадження розглянутого вище шкідливого ПЗ - приклад подібного порушення .

Загрозами динамічної цілісності є порушення атомарності транзакцій , переупорядкування , крадіжка , дублювання даних або внесення додаткових повідомлень (мережевих пакетів тощо ) . Відповідні дії в мережевому середовищі називаються активним прослуховуванням.

Основні загрози конфіденційності

Конфіденційну інформацію можна розділити на предметну і службову . Службова інформація ( наприклад , паролі користувачів ) не належить до певної предметної області , в інформаційній системі вона грає технічну роль , але її розкриття особливо небезпечно , оскільки воно загрожує отриманням несанкціонованого доступу до всієї інформації , в тому числі предметною.

Навіть якщо інформація зберігається в комп'ютері або призначена для комп'ютерного використання , загрози її конфіденційності можуть носити некомп'ютерний і взагалі нетехнічний характер.

Багатьом людям доводиться виступати в якості користувачів не однієї , а цілого ряду систем ( інформаційних сервісів ) . Якщо для доступу до таких систем використовуються багаторазові паролі чи інша конфіденційна інформація , то напевно ці дані будуть зберігатися не тільки в голові , але і в записній книжці або на листках паперу , які користувач часто залишає на робочому столі , а то й просто втрачає . І справа тут не в неорганізованості людей , а в початкової непридатності парольної схеми . Неможливо пам'ятати багато різних паролів; рекомендації щодо їх регулярної ( по можливості - частою ) зміні тільки погіршують становище , змушуючи застосовувати нескладні схеми чергування або взагалі намагатися звести справу до двох-трьох легко запам'ятовуваних (і настільки ж легко вгадуваних ) паролів.

Описаний клас уразливих місць можна назвати розміщенням конфіденційних даних у середовищі , де їм не забезпечений ( найчастіше - і не може бути забезпечений ) необхідний захист . Загроза ж полягає в тому , що хтось не відмовиться дізнатися секрети , які самі просяться в руки. Крім паролів , що зберігаються в записниках користувачів , в цей клас потрапляє передача конфіденційних даних у відкритому вигляді (у розмові , у листі , по мережі ) , яка робить можливим перехоплення даних. Для атаки можуть використовуватися різні технічні засоби (підслуховування або прослуховування розмов , пасивне прослуховування мережі тощо ) , але ідея одна - здійснити доступ до даних в той момент , коли вони найменш захищені .

Загрозу перехоплення даних слід брати до уваги не тільки при початковому конфігуруванні ІС , але і , що дуже важливо , при всіх змінах . Вельми небезпечною загрозою є ... виставки , на які багато організацій , недовго думаючи , відправляють обладнання з виробничої мережі , з усіма даними що зберігаються на ньому. Залишаються колишніми паролі , при віддаленому доступі вони продовжують передаватися у відкритому вигляді. Це погано навіть у межах захищеної мережі організації ; в об'єднаній мережі виставки - це занадто суворе випробування чесності всіх учасників.

Ще один приклад змін, про які часто забувають, - зберігання даних на резервних носіях. Для захисту даних на основних носіях застосовуються розвинені системи управління доступом; копії ж нерідко просто лежать у шафах і отримати доступ до них можуть багато хто.

Перехоплення даних - дуже серйозна загроза, і якщо конфіденційність дійсно є критичною, а дані передаються по багатьох каналах, їх захист може виявитися досить складною і дорогою. Технічні засоби перехоплення добре опрацьовані, доступні, прості в експлуатації, а встановити їх, наприклад на кабельну мережу, може хто завгодно, так що цю загрозу потрібно брати до уваги по відношенню не тільки до зовнішніх, а й до внутрішніх комунікацій.

Крадіжки обладнання є загрозою не тільки для резервних носіїв, але і для комп'ютерів, особливо портативних. Часто ноутбуки залишають без нагляду на роботі або в автомобілі, іноді просто втрачають.

Небезпечною нетехнічною загрозою конфіденційності є методи морально-психологічного впливу, такі як маскарад - виконання дій під виглядом особи, що володіє повноваженнями для доступу до даних

До неприємних загроз, від яких важко захищатися, можна віднести зловживання повноваженнями. На багатьох типах систем привілейований користувач (наприклад системний адміністратор) здатний прочитати будь-який (незашифрований) файл, отримати доступ до пошти будь-якого користувача і т.д. Інший приклад - нанесення збитку при сервісному обслуговуванні. Зазвичай сервісний інженер отримує необмежений доступ до устаткування і має можливість діяти в обхід програмних захисних механізмів.

Такі основні загрози, які завдають найбільшої шкоди суб'єктам інформаційних відносин.