Источники угроз безопасности информации.
№ |
Виды нарушителя |
Категории |
Возможные цели реализации угроз ИБ |
|
нарушителя |
||||
|
|
|
||
|
|
|
|
|
|
Преступные группы |
|
Получение финансовой или иной материальной |
|
1 |
(криминальные |
Внешний |
выгоды. Дестабилизация деятельности |
|
|
структуры) |
|
организаций |
|
|
|
|
|
|
|
Конкурирующие |
|
Получение конкурентных преимуществ. |
|
2 |
Внешний |
Получение финансовой или иной материальной |
||
организации |
||||
|
|
выгоды |
||
|
|
|
||
|
|
|
|
|
|
|
|
Внедрение дополнительных |
|
|
|
|
функциональных возможностей в программные |
|
|
Разработчики |
|
или программно-аппаратные средства на этапе |
|
3 |
программных, |
Внутренний |
разработки. Получение конкурентных |
|
программно- |
преимуществ. Получение финансовой или иной |
|||
|
|
|||
|
аппаратных средств |
|
материальной выгоды. Непреднамеренные, |
|
|
|
|
неосторожные или неквалифицированные |
|
|
|
|
действия |
|
|
|
|
|
|
|
Лица, привлекаемые |
|
|
|
|
для установки, |
|
Получение финансовой или иной материальной |
|
5 |
настройки, |
Внутренний |
выгоды. Непреднамеренные, неосторожные или |
|
испытаний, |
неквалифицированные действия. Получение |
|||
|
|
|||
|
пусконаладочных и |
|
конкурентных преимуществ |
|
|
иных видов работ |
|
|
|
|
|
|
|
|
|
Системные |
|
Получение финансовой и материальной выгоды. |
|
|
|
Месть за ранее совершенные действия. |
||
|
администраторы и |
|
||
6 |
Внутренний |
Любопытство или желание самореализации. |
||
администраторы |
||||
|
|
Непреднамеренные, неосторожные или |
||
|
безопасности |
|
||
|
|
неквалифицированные действия |
||
|
|
|
||
|
|
|
|
Таблица 4. Возможные цели реализации угроз безопасности информации нарушителями.
Виды риска (ущерба) и |
Виды актуального |
Категория |
Уровень |
|
возможные негативные |
возможностей |
|||
нарушителя |
нарушителя |
|||
последствия |
нарушителя |
|||
|
|
|||
|
|
|
|
|
У2: |
Разработчики |
|
|
|
Потеря (хищение) денежных |
программных, |
Внутренний |
Н3 |
|
средств; невозможность |
программно- |
|||
|
|
|||
заключения договоров, |
аппаратных средств |
|
|
|
соглашений; нарушение |
|
|
|
|
штатного режима |
Лица, привлекаемые |
|
|
|
функционирования |
|
|
||
для установки, |
|
|
||
автоматизированной системы |
|
|
||
настройки, испытаний, |
Внутренний |
Н2 |
||
управления и управляемого |
||||
пусконаладочных и |
|
|
||
объекта и/или процесса; |
|
|
||
иных видов работ |
|
|
||
|
|
|
||
причинение имущественного |
|
|
|
|
Преступные группы |
Внешний |
Н3 |
||
|
|
|
|
|
|
11 |
|
|
ущерба; утечка |
(криминальные |
|
|
конфиденциальной |
структуры) |
|
|
информации |
|
|
|
Системные |
|
|
|
|
|
|
|
|
администраторы и |
Внутренний |
Н2 |
|
администраторы |
||
|
|
|
|
|
безопасности |
|
|
|
|
|
|
|
Конкурирующие |
Внешний |
Н2 |
|
организации |
||
|
|
|
|
|
|
|
|
Таблица 5. Результаты определения актуальных нарушителей при реализации
угроз безопасности и соответствующие им возможности.
Способы реализации угроз безопасности информации.
№ |
Вид нарушителя |
Категория |
Объект воздействия |
Способы реализации |
|
нарушителя |
|||||
|
|
|
|
||
|
|
|
|
|
|
|
Преступные |
|
Доступ к базам |
Использование уязвимостей |
|
|
|
конфигурации системы |
|||
|
группы (два лица |
|
данных |
||
|
|
управления базами данных |
|||
|
и более, |
|
|
||
1 |
Внешний |
|
|
||
действующие по |
|
Внедрение вредоносного ПО; |
|||
|
|
|
|||
|
единому плану) |
|
Удаленное рабочее |
||
|
|
использование уязвимостей |
|||
|
Н2 |
|
место пользователя |
||
|
|
системы |
|||
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Доступ к базам |
Использование уязвимостей |
|
|
|
|
конфигурации системы |
||
|
|
|
данных |
||
|
Конкурирующие |
|
управления базами данных |
||
|
|
|
|||
2 |
организации |
Внешний |
|
|
|
|
Внедрение вредоносного ПО; |
||||
|
Н2 |
|
Удаленное рабочее |
||
|
|
|
использование уязвимостей |
||
|
|
|
место пользователя |
||
|
|
|
системы |
||
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Доступ к базам |
Использование уязвимостей |
|
|
|
|
конфигурации системы |
||
|
|
|
данных |
||
|
Лица, |
|
управления базами данных |
||
|
|
|
|||
|
привлекаемые |
|
|
Извлечение аутентификационной |
|
|
для установки, |
|
|
||
|
|
АРМ оператора |
информации из постоянной |
||
|
настройки, |
|
|||
|
Внутренни |
|
памяти носителя |
||
3 |
испытаний, |
|
|||
й |
|
|
|||
|
пусконаладочны |
Коммутационный |
|
||
|
|
|
|||
|
х и иных видов |
|
контроллер для |
Использование уязвимостей кода; |
|
|
работ |
|
управления |
кража аутентификационной |
|
|
Н2 |
|
аварийным |
информации из постоянной |
|
|
|
|
задвижками в |
памяти носителя |
|
|
|
|
нефтепроводе: |
|
|
|
|
|
|
|
|
|
Системные |
Внутренни |
Доступ к базам |
Использование уязвимостей |
|
4 |
администраторы |
конфигурации системы |
|||
й |
данных |
||||
|
и |
управления базами данных |
|||
|
|
|
|||
|
|
|
|
|
|
|
|
|
12 |
|
|
администраторы |
|
|
Использование |
|
безопасности |
|
Удаленное рабочее |
уязвимостей |
|
Н2 |
|
конфигурирования |
|
|
|
место пользователя |
||
|
|
|
системы; установка |
|
|
|
|
|
|
|
|
|
|
вредоносного ПО |
|
|
|
|
|
|
|
|
Линия связи между |
|
|
|
|
сервером основного |
|
|
|
|
центра обработки |
Установка закладок |
|
|
|
данных и сервером |
|
|
|
|
|
|
|
|
|
резервного центра |
|
|
|
|
обработки данных: |
|
|
|
|
|
|
|
Разработчики |
|
Доступ к базам |
Использование уязвимостей |
|
|
конфигурации системы |
||
|
программных, |
|
данных |
|
|
|
управления базами данных |
||
|
программно- |
Внутренни |
|
|
5 |
|
|
||
аппаратных |
й |
|
Использование уязвимостей |
|
|
|
|||
|
средств |
|
Удаленное рабочее |
|
|
|
конфигурирования системы; |
||
|
Н3 |
|
место пользователя |
|
|
|
установка вредоносного ПО |
||
|
|
|
|
|
|
|
|
|
|
Таблица 6. Определение актуальных способов реализации угроз безопасности
информации и соответствующие им виды нарушителей и их возможности.
№ |
Тактика |
Основные техники |
|
|
|
Т1 |
Сбор информации о |
T1.4. Направленное сканирование при помощи |
|
системах и сетях |
специализированного программного обеспечения |
|
Тактическая задача: |
подключенных к сети устройств с целью идентификации |
|
нарушитель |
сетевых сервисов, типов и версий программного обеспечения |
|
стремится получить |
этих сервисов, а также с целью получения конфигурационной |
|
любую техническую |
информации компонентов систем и сетей, программного |
|
информацию, которая |
обеспечения сервисов и приложений. |
|
может оказаться |
Т1.10 Кража цифровых сертификатов, включая кражу |
|
полезной в ходе |
физических токенов, либо неавторизованное выписывание |
|
реализации угроз |
новых сертификатов (возможно после компрометации |
|
безопасности |
инфраструктуры доменного регистратора или аккаунта |
|
информации |
администратора зоны на стороне жертвы) |
|
|
Т1.12 Сбор личной идентификационной информации |
|
|
(идентификаторы пользователей, устройств, информация об |
|
|
идентификации пользователей сервисами, приложениями, |
|
|
средствами удаленного доступа), в том числе сбор украденных |
|
|
личных данных сотрудников и подрядчиков на случай, если |
|
|
сотрудники/подрядчики используют одни и те же пароли на |
|
|
работе и за ее пределами |
|
|
Т1.18. Сбор и анализ данных о прошивках устройств, |
|
|
количестве и подключении этих устройств, используемых |
|
|
промышленных протоколах для получения информации о |
|
|
технологическом процессе, технологических установках, |
|
|
системах и ПО на предприятиях в автоматизированных |
|
|
|
|
|
13 |
|
|
системах управления производственными и технологическими |
|
|
процессами, в том числе на критически важных объектах |
|
|
Т1.19. Сбор и анализ специфических для отрасли или типа |
|
|
предприятия характеристик технологического процесса для |
|
|
получения информации о технологических установках, |
|
|
системах и ПО на предприятиях в автоматизированных |
|
|
системах управления производственными и технологическими |
|
|
процессами, в том числе на критически важных объектах |
|
|
Т1.20. Техники конкурентной разведки и промышленного |
|
|
шпионажа для сбора информации о технологическом процессе, |
|
|
технологических установках, системах и ПО на предприятиях в |
|
|
автоматизированных системах управления производственными |
|
|
и технологическими процессами, в том числе на критически |
|
|
важных объектах |
|
|
|
Т2 |
Получение |
Т2.2. Использование устройств, датчиков, систем, |
|
первоначального доступа |
расположенных на периметре или вне периметра физической |
|
к компонентам систем и |
защиты объекта, для получения первичного доступа к системам |
|
сетей |
и компонентам внутри этого периметра. |
|
Тактическая задача: |
Т2.3. Эксплуатация уязвимостей сетевого оборудования и |
|
нарушитель, находясь |
средств защиты вычислительных сетей для получения доступа к |
|
вне инфраструктуры сети |
компонентам систем и сетей при удаленной атаке. |
|
или системы, стремится |
Т2.4. Использование ошибок конфигурации сетевого |
|
получить доступ к |
оборудования и средств защиты, в том числе слабых паролей и |
|
любому узлу в |
паролей по умолчанию, для получения доступа к компонентам |
|
инфраструктуре и |
систем и сетей при удаленной атаке |
|
использовать его как |
Т2.5. Эксплуатация уязвимостей компонентов систем и сетей |
|
плацдарм для |
при удаленной или локальной атаке. |
|
дальнейших действий |
Т2.6. Использование недокументированных возможностей |
|
|
программного обеспечения сервисов, приложений, |
|
|
оборудования, включая использование отладочных |
|
|
интерфейсов, программных, программно-аппаратных закладок |
|
|
Т2.12. Использование доступа к системам и сетям, |
|
|
предоставленного сторонним организациям, в том числе через |
|
|
взлом инфраструктуры этих организаций, компрометацию |
|
|
личного оборудования сотрудников сторонних организаций, |
|
|
используемого для доступа. |
|
|
Т2.13. Реализация атаки типа «человек посередине» для |
|
|
осуществления доступа, например, NTLM/SMB Relaying атаки |
|
|
|
Т3 |
Внедрение и исполнение |
Т3.2. Активация и выполнение вредоносного кода, внедренного |
|
вредоносного |
в виде закладок в легитимное программное и программное- |
|
программного |
аппаратное обеспечение систем и сетей |
|
обеспечения в системах и |
Т3.5. Эксплуатация уязвимостей типа удаленное исполнение |
|
сетях |
программного кода (RCE, Remotecodeexecution) |
|
Тактическая задача: |
Т3.6. Автоматическое создание вредоносных скриптов при |
|
получив доступ к узлу |
помощи доступного инструментария от имени пользователя в |
|
сети или системы, |
системе с использованием его учетных данных |
|
нарушитель стремится |
Т3.7. Подмена файлов легитимных программ и библиотек |
|
внедрить в его |
непосредственно в системе. |
|
программную среду |
Т3.11. Компрометация сертификата, используемого для |
|
инструментальные |
цифровой подписи образа ПО, включая кражу этого |
|
|
|
|
|
14 |
|
средства, необходимые |
сертификата у производителя ПО или покупку краденого |
|
ему для дальнейших |
сертификата на нелегальных площадках в сетях связи (т.н. |
|
действий |
«дарквеб») и подделку сертификата с помощью эксплуатации |
|
|
уязвимостей ПО, реализующего функции генерирования |
|
|
криптографических ключей, хранения и управления цифровыми |
|
|
сертификатами |
|
|
Т3.12 Компрометация средств создания программного кода |
|
|
приложений в инфраструктуре разработчика этих приложений |
|
|
(компиляторов, линковщиков, средств управления разработкой) |
|
|
для последующего автоматизированного внесения изменений в |
|
|
этот код, устанавливаемый авторизованным пользователем на |
|
|
целевые для нарушителя системыТ3.16 Запуск вредоносных |
|
|
программ при помощи легитимных, подписанных цифровой |
|
|
подписью утилит установки приложений и средств запуска |
|
|
скриптов (т.н. техника проксирования запуска), а также через |
|
|
средства запуска кода элементов управления ActiveX, |
|
|
компонентов фильтров (кодеков) и компонентов библиотек |
|
|
DLL. |
|
|
|
Т6 |
Повышение привилегий |
Т6.1. Получение данных для аутентификации и авторизации от |
|
по доступу к |
имени привилегированной учетной записи путем поиска этих |
|
компонентам систем и |
данных в папках и файлах, поиска в памяти или перехвата в |
|
сетей |
сетевом трафике. Данные для авторизации включают пароли, |
|
Тактическая задача: |
хэш-суммы паролей, токены, идентификаторы сессии, |
|
получив первоначальный |
криптографические ключи, но не ограничиваются ими |
|
доступ к узлу с |
Т6.3 Эксплуатация уязвимостей ПО к повышению привилегий. |
|
привилегиями, |
Т6.7. Использование уязвимостей конфигурации системы, |
|
недостаточными для |
служб и приложений, в том числе предварительно |
|
совершения нужных ему |
сконфигурированных профилей привилегированных |
|
действий, нарушитель |
пользователей, автоматически запускаемых от имени |
|
стремится повысить |
привилегированных пользователей скриптов, приложений и |
|
полученные привилегии |
экземпляров окружения, позволяющих вредоносному ПО |
|
и получить контроль над |
выполняться с повышенными привилегиями. |
|
узлом |
Т6.8. Эксплуатация уязвимостей, связанных с отдельным, и |
|
|
вероятно менее строгим контролем доступа к некоторым |
|
|
ресурсам (например, к файловой системе) для |
|
|
непривилегированных учетных записей. |
|
|
|
Т7 |
Сокрытие действий и |
Т7.1. Использование нарушителем или вредоносной |
|
применяемых |
платформой штатных инструментов администрирования, |
|
при этом средств от |
утилит и сервисов операционной системы, сторонних утилит, в |
|
обнаружения |
том числе двойного назначения. |
|
Тактическая задача: |
Т7.4. Отключение средств защиты от угроз информационной |
|
нарушитель стремится |
безопасности, в том числе средств антивирусной защиты, |
|
затруднить применение |
механизмов аудита, консолей оператора мониторинга и средств |
|
мер защиты информации, |
защиты других типов |
|
которые способны |
Т7.10. Внедрение вредоносного кода в доверенные процессы |
|
помешать его действиям |
операционной системы и другие объекты, которые не |
|
или обнаружить их |
подвергаются анализу на наличие такого кода, для |
|
|
предотвращения обнаружения |
|
|
Т7.15. Внедрение вредоносного кода выборочным/целевым |
|
|
образом на наиболее важные системы или системы, |
|
|
|
|
|
15 |
|
|
удовлетворяющие определенным критериям, во избежание |
|
|
преждевременной компрометации информации об |
|
|
используемых при атаке уязвимостях и обнаружения факта |
|
|
атаки |
|
|
Т7.22. Подмена и компрометация прошивок, в том числе |
|
|
прошивок BIOS, жестких дисков |
|
|
|
Т10 |
Несанкционированный |
Т10.2. Несанкционированное воздействие на системное |
|
доступ и (или) |
программное обеспечение, его конфигурацию и параметры |
|
воздействие на |
доступа |
|
информационные |
Т10.5. Несанкционированное воздействие на программный код, |
|
ресурсы или компоненты |
конфигурацию и параметры доступа системного программного |
|
систем и сетей, |
обеспечения |
|
приводящие к |
Т10.8. Уничтожение информации, включая информацию, |
|
негативным |
хранимую в виде файлов, информацию в базах данных и |
|
последствиям |
репозиториях, информацию на неразмеченных областях дисков |
|
Тактическая задача: |
и сменных носителей |
|
достижение нарушителем |
Т10.12. Несанкционированное воздействие на |
|
конечной цели, |
автоматизированные системы управления с целью вызова |
|
приводящее к реализации |
отказа или нарушения функций управления, в том числе на |
|
моделируемой угрозы и |
АСУ критически важных объектов, потенциально опасных |
|
причинению |
объектов, объектов, представляющих повышенную опасность |
|
недопустимых |
для жизни и здоровья людей и для окружающей природной |
|
негативных последствий |
среды, в том числе опасных производственных объектов. |
|
|
Т10.14. Отключение систем и средств мониторинга и защиты от |
|
|
угроз промышленной, физической, пожарной, экологической, |
|
|
радиационной безопасности, иных видов безопасности, в том |
|
|
числе критически важных объектов, потенциально опасных |
|
|
объектов, объектов, представляющих повышенную опасность |
|
|
для жизни и здоровья людей и для окружающей природной |
|
|
среды, в том числе опасных производственных объектов |
|
|
|
Таблица 7. Перечень основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности информации
Вывод:
В компании «Челябинский трубопрокатный завод» реализована защита по классу K3 ГИС, по уровню защиты 3 ИСПДн-И. Бизнес-процессы компании относятся к критическим и имеют категорию значимости 3.
16