- •5. Кібербезпека та захист інформації
- •5.1. Основи кібербезпеки
- •5.1.1. Поняття кіберпростору та інформаційного простору
- •5.1.2. Інформаційна безпека як сфера національної безпеки України
- •5.1.3. Поняття кібербезпеки, захисту інформації та кіберзахисту
- •5.1.4. Види захисту інформації
- •5.1.5. Поняття конфіденційності, цілісності, доступності
- •5.1.6. Принципи кібербезпеки
- •5.2. Кіберзагрози та кібератаки
- •5.2.1. Поняття загроз, атак, вразливості
- •5.2.2. Класифікація загроз, атак
- •5.2.3. Кіберзлочини. Кібервійна. Кібероборона
- •5.2.4. Кібертероризм. Кіберрозвідка
- •5.2.5. Модель порушника
- •5.2.6. Поняття, сутність та основні завдання комплексної системи захисту інформації
- •5.3. Безпека мережі
- •5.3.1. Поняття про шкідливе програмне забезпечення
- •5.3.2. Шпигунські програми, фішинг, програми-вимагачі
- •5.3.3. DDoS-атаки
5.2.2. Класифікація загроз, атак
Загрози інформаційної безпеки можуть бути класифіковані за різними ознаками:
За аспектом інформаційної безпеки, на який спрямовані загрози:
Загрози конфіденційності (неправомірний доступ до інформації). Загроза порушення конфіденційності полягає в тому, що інформація стає відомою тому, хто не володіє повноваженнями доступу до неї. Вона стається, коли отримано доступ до деякої інформації обмеженого доступу, що зберігається в комп'ютерній системі або передається від однієї системи до іншої. У зв'язку з загрозою порушення конфіденційності, використовується термін «витік». Подібні загрози можуть виникати внаслідок «людського фактора» (наприклад, випадкове делегування тому або іншому користувачеві привілеїв іншого користувача), збоїв роботи програмних та апаратних засобів. До інформації обмеженого доступу належить державна таємниця (комерційна таємниця, персональні дані, професійні види таємниці: лікарська, адвокатська, банківська, службова, нотаріальна таємниця страхування, слідства й судочинства, листування, телефонних переговорів, поштових відправлень, телеграфних або інших повідомлень (таємниця), відомості про сутність винаходу, корисної моделі або промислового зразка до офіційної публікації (ноу-хау) та ін)[2].
Загрози цілісності (неправомірна зміна даних). Загрози порушення цілісності — це загрози, пов'язані з імовірністю модифікації тієї чи іншої інформації, що зберігається в інформаційній системі. Порушення цілісності може бути викликано різними чинниками — від умисних дій персоналу до виходу з ладу обладнання.
Загрози доступності (здійснення дій, які унеможливлюють чи ускладнюють доступ до ресурсів інформаційної системи). Порушення доступності являє собою створення таких умов, при яких доступ до послуги або інформації або заблокований, або можливий за час, який не забезпечить виконання тих чи інших бізнес-цілей.
За розташуванням джерела загроз:
Внутрішні (джерела загроз розташовуються всередині системи);
Зовнішні (джерела загроз знаходяться поза системою).
За розмірами завданого збитку:
Загальні (завдавання збитку об'єктові безпеки в цілому, заподіяння значної шкоди);
Прикладом може слугувати ситуація з вірусом «I love you», що спричинив пошкодження комп'ютерних систем у багатьох містах світу, і завдав загального збитку близько 100 мільйонів доларів США[2].
Локальні (заподіяння шкоди окремими частинами об'єкта безпеки);
Приватні (заподіяння шкоди окремим властивостям елементів об'єкта безпеки).
Яскравим прикладом є гучний «касетний скандал».
За ступенем впливу на інформаційну систему:
Пасивні (структура і зміст системи не змінюються);
Активні (структура і зміст системи піддається змінам).
За природою виникнення:
Природні (об'єктивні) — викликані впливом на інформаційне середовище об'єктивних фізичних процесів або стихійних природних явищ, що не залежать від волі людини;
Штучні (суб'єктивні) — викликані впливом на інформаційну сферу людини. Серед штучних загроз своєю чергою виділяють:
Ненавмисні (випадкові) погрози, помилки програмного забезпечення, персоналу, збої в роботі систем, відмови обчислювальної та комунікаційної техніки;
Навмисні (умисні) загрози — неправомірний доступ до інформації, розробка спеціального програмного забезпечення, використовуваного для здійснення неправомірного доступу, розробка та поширення вірусних програм і т. д. Навмисні загрози зумовлені діями людей. Основні проблеми інформаційної безпеки пов'язані насамперед з умисними погрозами, оскільки вони є головною причиною злочинів і правопорушень.
За результатами, які визначили фахівці з інформаційної безпеки досліджень, понад 65 % шкоди, що наноситься інформаційним ресурсам, є наслідком ненавмисних помилок. Це є підставою для акцентування уваги на ефективнішому впровадженні комп'ютерних систем для забезпечення безпеки. Так, Національним інститутом стратегічних досліджень була запропонована програма «Електронна Україна».
У цьому плані небезпечними є співробітники спецслужб, які, маючи доступ до секретної інформації з певних причин невдоволення, роблять інформацію загальнодоступною. Одним із таких прикладів є дія колишнього генерала СБУ, одного з керівників ГУР України Валерія Кравченка, який 18 лютого 2004 року, маючи доступ до секретних матеріалів, безпідставно надав до них доступ іншим особам, зокрема журналістам «Deutsche Welle».
Класифікація джерел загроз інформаційної безпеки:
Носіями загроз безпеки інформації є джерела загроз. Як джерела загроз можуть виступати як суб'єкти (особистість), так і об'єктивні прояви, наприклад, конкуренти, злочинці, корупціонери, адміністративно-управлінські органи. Джерела загроз переслідують при цьому наступні цілі: ознайомлення з охоронюваними відомостями, їх модифікація в корисливих цілях і знищення для нанесення прямого матеріального збитку.
Всі джерела загроз інформаційної безпеки можна поділити на три основні групи:
Обумовлені діями суб'єкта (антропогенні джерела) — суб'єкти, дії яких можуть призвести до порушення безпеки інформації, дані дії можуть бути кваліфіковані як навмисні або випадкові злочини. Джерела, дії яких можуть призвести до порушення безпеки інформації можуть бути як зовнішніми, так і внутрішніми. Ці джерела можна спрогнозувати, і прийняти адекватні заходи.
Обумовлені технічними засобами (техногенні джерела) — ці джерела загроз менш прогнозовані, безпосередньо залежать від властивостей техніки і тому вимагають особливої уваги. Дані джерела загроз інформаційній безпеці, також можуть бути як внутрішніми, так і зовнішніми.
Стихійні джерела — дана група об'єднує обставини, що становлять непереборну силу (стихійні лиха або інші обставини, які неможливо передбачити або запобігти чи можливо передбачити, але неможливо запобігти), такі обставини, які мають об'єктивний і абсолютний характер, поширюється на всіх. Такі джерела загроз абсолютно не піддаються прогнозуванню і тому заходи проти них повинні застосовуватися завжди. Стихійні джерела, як правило, є зовнішніми щодо захищеного об'єкта і під ними, як правило, розуміються природні катаклізми.
Основними типами кібератак на інформаційні системи є:
Віддалене проникнення (remote penetration).
Локальне проникнення (local penetration).
Атака на відмову в обслуговуванні (denial of service).
Мережні сканери (network scanners).
Сканери уразливостей (vulnerability scanners).
Зламувачі паролів (password crackers).
Аналізатори протоколів (sniffers).
Спам e-mail (Mailbombing).
Перехоплення каналу зв'язку (Man-in-the-Middle).
Віддалене проникнення (від англ. Remote penetration) — діяльність кіберзловмисників, які використовують легітимну програму для віддаленого управління комп’ютерами з метою отримання несанкціонованого доступу до інформаційних систем. Наприклад, навесні 2024 року спільними зусиллями Центру кіберзахисту Національного банку України та CERT-UA було зафіксовано та проаналізовано кібератаки, в ході яких жертвам надсилалися електронні листи з посиланням на Dropbox, де містився виконуваний файл (.SCR) розміром близько 33 Мб. При запуску цього файлу на комп’ютері жертви відбувається завантаження, декодування та виконання шкідливого Python-коду, який у свою чергу запускає легітимну програму SuperOps RMM. Це надавало зловмисникам несанкціонований віддалений доступ до комп’ютера жертви[3].
Атака на відмову в обслуговуванні. DoS (від англ. Denial of Service — відмова в обслуговуванні) — атака, що має своєю метою змусити сервер не відповідати на запити. Такий вид атаки не передбачає отримання деякої секретної інформації, але іноді буває підмогою в ініціалізації інших атак. Наприклад, деякі програми через помилки в своєму коді можуть викликати виняткові ситуації, і при відключенні сервісів здатні виконувати код, наданий зловмисником або атаки лавинного типу, коли сервер не може обробити величезну кількість вхідних пакетів.
DDoS (від англ. Distributed Denial of Service — розподілена DoS) — підтип DoS-атаки, що має ту ж мету, що і DoS, але що проводяться не з одного комп'ютера, а з декількох комп'ютерів в мережі. У даних типах атак використовується або виникнення помилок, що призводять до відмови сервісу, або спрацьовування захисту, що приводить до блокування роботи сервісу, а в результаті також до відмови в обслуговуванні. DDoS використовується там, де звичайний DoS неефективний. Для цього кілька комп'ютерів об'єднуються, і кожен виробляє DoS-атаку на систему жертви. Разом це називається DDoS-атака.
Будь-яка атака являє собою не що інше, як спробу використовувати недосконалість системи безпеки жертви або для отримання інформації, або для нанесення шкоди системі, тому причиною будь-якої вдалої атаки є професіоналізм крекерів і цінність інформації, а також недостатня компетенція адміністратора системи безпеки зокрема, недосконалість програмного забезпечення та недостатня увага до питань безпеки в компанії в цілому.
Аналізатори протоколів (sniffers). Також досить поширений вид атаки, заснований на роботі мережевої карти в режимі promiscuous mode, а також monitor mode для мереж Wi-Fi. В такому режимі всі пакети, отримані мережевою картою, пересилаються на обробку спеціальному додатку, званому сніффером. В результаті зловмисник може отримати велику кількість службової інформації: хто, звідки і куди передавав пакети, через які адреси ці пакети проходили. Найбільшою небезпекою такої атаки є отримання самої інформації, наприклад логінів і паролів співробітників, які можна використовувати для незаконного проникнення в систему під виглядом звичайного співробітника компанії.
Mailbombing. Вважається найстарішим методом атак, хоча суть його проста і примітивна: велика кількість поштових повідомлень роблять неможливими роботу з поштовими скриньками, а іноді і з цілими поштовими серверами. Для цієї мети було розроблено безліч програм, і навіть недосвідчений користувач може зробити атаку, вказавши всього лише e-mail жертви, текст повідомлення, і кількість необхідних повідомлень. Такі програми дозволяють ховати реальний IP-адрес відправника, використовуючи для розсилки анонімний поштовий сервер. Цій атаці складно запобігти, так як навіть поштові фільтри провайдерів не можуть визначити реального відправника спаму. Провайдер може обмежити кількість листів від одного відправника, але адреса відправника і тема часто генеруються випадковим чином.
Man-in-the-Middle. Вид атаки, коли зловмисник перехоплює канал зв'язку між двома системами, і отримує доступ до всієї інформації, що передається. При отриманні доступу на такому рівні зловмисник може модифікувати інформацію потрібним йому чином, щоб досягти своєї цілі. Мета такої атаки — незаконне отримання, крадіжка або фальсифікування переданої інформації, або ж отримання доступу до ресурсів мережі. Такі атаки вкрай складно відстежити, оскільки зазвичай зловмисник знаходиться всередині організації.
Основні види кібератак на бізнес в Україні:
Програми-вимагачі (шифрувальники). Шифрують всю інформацію на девайсах вашої компанії, що може призвести до повної зупинку бізнесу. Інколи така інформація навіть не підлягає відновленню.
Інсайдерські атаки. Це найскладніший вид кіберзагроз, адже вони пов'язані з людським фактором. Інсайдером може бути співробітник, якому ви довіряєте. Він може зашкодити компанії як цілеспрямовано, так і випадково. Такий вид кібератаки складно передбачити.
Фішинг. Одна з найефективніших атак. Полягає в розсилці кіберзловмисником листів зі шкідливими файлами або посиланнями. Відкриваючи такі вкладення, людина заражає свій ПК. З цього розпочинається проникнення в мережу організації. Навіть досвідчені люди іноді потрапляють у цю пастку. Тому, якщо ви отримали підозрілого листа, краще взагалі його не відкривати.
Цільові кібератаки, DDoS-атаки – це атаки на обчислювальну систему з метою довести її до відмови. Зловмисники прагнуть створити такі умови, щоб обмежити або взагалі заблокувати для користувачів системи доступ до системних ресурсів.