Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5133 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский технический университет связи и информатики
Предмет:
Методы и средства защиты информации в компьютерных сетях
Файл:
Лабораторные / Лабораторная работа 3 МИСЗИвКС.docx
Скачиваний:
4
Добавлен:
15.01.2025
Размер:
1.79 Mб
Скачать
►Содержание►

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ

Ордена Трудового Красного Знамени

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Московский технический университет связи и информатики»

__________________________________________________________________

Кафедра «Информационная безопасность»

Отчёт по лабораторной работе №3

«Составление модели угроз для хоста КС с использованием OWASP и БДУ ФСТЭК»

по дисциплине «Методы и средства защиты информации в компьютерных сетях»

Выполнили: студенты гр. БСТ2104

Проверили:

асс. Рыбаков С.Ю.

асс. Раковский Д.И.

Москва, 2024 г.

Задание

  1. Перейти на сайт OWASP (от англ. Open Web Application Security Project) в раздел с 10 основными угрозами безопасности КС (https://owasp.org/www-project-top-ten/). Сделать скриншот и включить в отчет;

  2. Кратко описать каждую из 10 основных угроз безопасности;

  3. Продублировать в табл. 2.1 из ЛР №2, добавив столбец «номер основной угрозы безопасности OWASP». Присвоить каждому потенциальному вектору атаки минимум одну основную угрозу безопасности OWASP;

  4. Перейти на сайт БДУ ФСТЭК в раздел «Новый раздел угроз» (https://bdu.fstec.ru/threat-section/shaper-threats). Ознакомиться с функционалом, сделать скриншот и включить в отчет;

4.1. Нажать на кнопку «приступить к формированию угроз»;

4.2. Ознакомиться с содержимым страницы «Выберите негативные последствия». Выбрать негативные последствия (минимум 3 шт.), актуальные для анализируемого хоста КС. Выбор последствий обосновать. Сделать скриншот и включить в отчет. Нажать на кнопку «далее»;

4.3. Ознакомиться с содержимым страницы «Выберите угрозы». Ознакомиться с автоматически выбранными угрозами безопасности информации. Скорректировать при необходимости. Выбор угроз обосновать. Сделать скриншот и включить в отчет. Нажать на кнопку «далее»;

4.4. Ознакомиться с содержимым страницы «Выберите объекты воздействия». Выбрать объекты воздействия (минимум 3 шт.), актуальные для анализируемого хоста КС. Сделать скриншот и включить в отчет. Нажать на кнопку «далее»;

4.5. Ознакомиться с содержимым страницы «Выберите компоненты объектов воздействия»;

4.5.1. Раскрыть выпадающее меню «Дополнительные компоненты» для каждого объекта воздействия и выбрать минимум 3 дополнительных компонента, актуальных для анализируемого хоста КС;

4.5.2. Выбор дополнительных компонентов для каждого объекта воздействия обосновать. Сделать скриншот меню с выбором и включить в отчет. Нажать на кнопку «далее»;

4.6. Ознакомиться с содержимым страницы «Выберите уровень возможностей нарушителей». Выбрать все типы нарушителей. Сделать скриншот и включить в отчет. Нажать на кнопку «далее»;

4.7. Получить перечень возможных угроз безопасности информации. Ознакомиться с содержимым каждой категории. Перенести содержимое перечня в отчет в соответствии с шаблоном из табл. 3.1;

Содержание

Цель работы 5

Теоретическая часть 5

Ход выполнения работы 6

Вывод 33

Цель работы

Ознакомление и получение первичных практических навыков работы с банком данных угроз (БДУ) ФСТЭК.

Теоретическая часть

Угроза безопасности информации представляет собой условия и факторы, которые могут создавать потенциальную или уже существующую опасность для защиты информации, включая её конфиденциальность, целостность и доступность. Реализация таких угроз чаще всего возможно в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях и облачных инфраструктурах.

Модель угроз безопасности информации — это физическое, математическое и описательное представление характеристик и свойств этих угроз. Основная цель модели угроз — определить актуальные угрозы для конкретной системы.

Ход выполнения работы

  1. Перейти на сайт OWASP (от англ. Open Web Application Security Project) в раздел с 10 основными угрозами безопасности КС (https://owasp.org/www-project-top-ten/). Сделать скриншот и включить в отчет;

Рисунок 1 – Страница сайта OWASP с разделом раздел с 10 основными угрозами безопасности КС

  1. Кратко описать каждую из 10 основных угроз безопасности;

Таблица 1 - основные угрозы безопасности

Угроза

Описание

A01:2021-Broken Access Control

Угроза, связанная с недостаточным контролем доступа в системе, может позволить злоумышленникам получить несанкционированный доступ к функциям (ведет к утечке конфиденциальной информации, компрометации учетных записей и нарушению целостности данных).

A02:2021-Криптографические сбои

Угрозы возникают из-за неправильного применения криптографии, включая слабое шифрование, плохое управление ключами и устаревшие алгоритмы.

A03:2021-Внедрение

Угрозы связаны с внедрением вредоносного кода в систему через межсайтовый скриптинг(злоумышленник внедряет вредоносный скрипт на веб-страницу, которая отображается другим пользователям.)

A04:2021-Небезопасный дизайн

Категория, обращающая внимание на риски, связанные с недостатками дизайна; требует использования безопасных принципов. архитектурных уязвимостей в системе, возникающих из недостаточного планирования и анализа рисков.

A05:2021-Security Misconfiguration

Приложений имеют проблемы с неправильной конфигурацией, особенно в условиях высокой настраиваемости ПО. Угрозы, вызванные неправильной настройкой систем безопасности, например, плохое управление правами доступа.

A06:2021-Уязвимые и устаревшие компоненты

Угроза, связанная с использованием устаревшего или уязвимого программного обеспечения, что может позволить злоумышленникам проникнуть в систему.

A07:2021-Identification and Authentication Failures

Угрозы из-за неправильной проверки аутентификации пользователей, таких как слабые пароли и отсутствие многофакторной аутентификации.

A08:2021-Software and Data Integrity Failures

Категория, фокусирующаяся на целостности программного обеспечения и критических данных в CI/CD процессах.

A09:2021-Security Logging and Monitoring Failures

Расширенные проблемы с регистрацией и мониторингом; недостаток тестирования и представления в данных увеличивает риски. Угрозы связаны с недостаточным контролем логирования и мониторинга безопасности, что затрудняет обнаружение атак.

A10:2021-Server-Side Request Forgery

Угроза подделки серверных запросов, когда злоумышленник заставляет сервер делать запросы к другим ресурсам, что может привести к утечке данных.
Соседние файлы в папке Лабораторные
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности