Таблица 6 – Примеры результата определения актуальных нарушителей при реализации угроз безопасности информации и соответствующие им возможности
Способы реализации (возникновения) угроз безопасности информации
|
№ |
|
|
Виды |
|
|
Категория |
|
|
Объект |
|
|
Доступные |
|
|
Способы |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
нарушител |
|
|
нарушите |
|
|
воздействия |
|
|
интерфейсы |
|
|
реализации |
|
|
|
|
|
я |
|
|
ля |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
|
|
Отдельные |
|
Внешний |
|
Удаленное |
|
Доступ |
|
Внедрение |
||||||
|
|
|
|
физические |
|
|
|
|
автоматизированно |
|
через |
|
вредоносной |
||||
|
|
|
|
лица |
|
|
|
|
е рабочее место |
|
локальную |
|
программы |
||||
|
|
|
|
(хакеры) |
|
|
|
|
(АРМ) |
|
сеть |
|
|
|
|||
|
|
|
|
(Н2) |
|
|
|
|
пользователя: |
|
организации |
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
несанкционирован |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Съемные |
|
Использован |
||||
|
|
|
|
|
|
|
|
|
|
ный доступ к |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
машинные |
|
ие |
||||
|
|
|
|
|
|
|
|
|
|
операционной |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
носители |
|
уязвимостей |
||||
|
|
|
|
|
|
|
|
|
|
системе |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
информации |
|
конфигурац |
||||
|
|
|
|
|
|
|
|
|
|
пользователя; |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
, |
|
|
ии системы |
||||
|
|
|
|
|
|
|
|
|
|
нарушение |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
подключаем |
|
управления |
||||
|
|
|
|
|
|
|
|
|
|
конфиденциальнос |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
ые к АРМ |
|
доступом к |
||||
|
|
|
|
|
|
|
|
|
|
ти информации, |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
пользовател |
|
АРМ |
||||
|
|
|
|
|
|
|
|
|
|
содержащейся на |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
я |
|
пользовател |
||||
|
|
|
|
|
|
|
|
|
|
АРМ пользователя |
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
я |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
||||||
2 |
|
|
Разработчи |
|
Внутренн |
|
Выведение из |
|
Прямой |
|
Вредоносны |
||||||
|
|
|
|
ки (Н3) |
|
ий |
|
строя программно- |
|
доступ к |
|
й код |
|||||
|
|
|
|
|
|
|
|
|
|
аппаратных |
|
системе |
|
|
|
||
|
|
|
|
|
|
|
|
|
|
средств компании, |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
повреждение базы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
данных |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 7 – Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности
Актуальные угрозы безопасности информации
№ |
Тактика |
Основные техники |
|
|
|
Т1 |
Внедрение и |
Т1.1. Активация и выполнение |
|
исполнение |
вредоносного кода, внедренного в |
|
вредоносного |
виде закладок в легитимное |
|
программного |
программное и программное- |
|
обеспечения в |
аппаратное обеспечение систем и |
|
системах и сетях |
сетей. |
|
|
|
|
|
11 |
|
Тактическая |
Т1.2. Подмена дистрибутивов |
|
задача: |
программ на носителях информации |
|
нарушитель |
или общих сетевых ресурсах. |
|
стремится |
Т1.3. Планирование запуска |
|
внедрить в |
вредоносных программ при старте |
|
программную |
операционной системы путем |
|
среду средства, |
эксплуатации стандартных |
|
необходимые ему |
механизмов, в том числе путем |
|
для дальнейших |
правки ключей реестра, отвечающих |
|
действий |
за автоматический запуск программ, |
|
|
запуска вредоносных программ как |
|
|
сервисов и т.п. |
|
|
|
Т2 |
Повышение |
Т2.1. Получение данных для |
|
привилегий по |
аутентификации и авторизации от |
|
доступу к |
имени привилегированной учетной |
|
компонентам |
записи путем поиска этих данных в |
|
систем и сетей |
папках и файлах, поиска в памяти или |
|
Тактическая |
перехвата в сетевом трафике. |
|
задача: |
Т2.2. Подбор пароля или другой |
|
нарушитель |
информации для аутентификации от |
|
стремится |
имени привилегированной учетной |
|
повысить |
записи. |
|
полученные |
Т2.3. Обход политики ограничения |
|
привилегии и |
пользовательских учетных записей в |
|
получить |
выполнении групп операций, |
|
контроль над |
требующих привилегированного |
|
узлом |
режима. |
|
|
|
Т3 |
Сбор и вывод из |
Т3.1. Вывод информации через |
|
системы или сети |
съемные носители, в частности, |
|
информации, |
передача данных между |
|
необходимой для |
скомпрометированными |
|
дальнейших |
изолированной системой и |
|
действий при |
подключенной к Интернет системой |
|
реализации угроз |
через носители информации, |
|
безопасности |
используемые на обеих системах. |
|
информации или |
Т3.2. Вывод информации через |
|
реализации новых |
предоставление доступа к файловым |
|
угроз |
хранилищам и базам данных в |
|
|
инфраструктуре |
|
|
скомпрометированной системы или |
|
|
сети, в том числе путем создания |
|
|
новых учетных записей или передачи |
|
|
данных для аутентификации и |
|
|
|
|
|
12 |
|
|
|
|
авторизации имеющихся учетных |
|
|
|
|
|
|
|
записей. |
|
|
|
|
|
|
|
|
|
|
|
Т4 |
Сокрытие |
|
Т4.1. Очистка/затирание истории |
|
|
||
|
действий и |
|
команд и журналов регистрации, |
|
|
||
|
применяемых при |
перенаправление записей в журналы |
|
|
|||
|
этом средств от |
регистрации, переполнение истории |
|
|
|||
|
обнаружения |
команд и журналов регистрации, |
|
|
|||
|
Тактическая |
|
затруднение доступа к журналам |
|
|
||
|
задача: |
|
регистрации для авторизованных |
|
|
||
|
нарушитель |
|
пользователей. |
|
|
||
|
стремится |
|
Т4.2. Отключение систем и средств |
|
|
||
|
затруднить |
|
мониторинга и защиты от угроз |
|
|
||
|
применение мер |
промышленной, физической, |
|
|
|||
|
защиты |
|
пожарной, экологической, |
|
|
||
|
информации, |
радиационной безопасности, иных |
|
|
|||
|
которые |
|
видов безопасности |
|
|
||
|
способны |
|
автоматизированной системы |
|
|
||
|
помешать его |
управления технологическими |
|
|
|||
|
действиям или |
процессами и управляемого |
|
|
|||
|
обнаружить их |
(контролируемого) объекта и (или) |
|
|
|||
|
|
|
|
процесса. |
|
|
|
|
|
|
|
Т4.3. Использование нарушителем |
|
|
|
|
|
|
|
или вредоносной платформой |
|
|
|
|
|
|
|
штатных инструментов |
|
|
|
|
|
|
|
администрирования, утилит и |
|
|
|
|
|
|
|
сервисов операционной системы, |
|
|
|
|
|
|
|
сторонних утилит, в том числе |
|
|
|
|
|
|
|
двойного назначения |
|
|
|
|
|
|
|
|
|
|
|
Таблица 8 – Тактики и техники, используемые для построения сценариев реализации угроз |
|||||||
безопасности информации |
|
|
|
|
|||
|
|
|
|
|
|||
|
|
|
|
|
|||
Внедрение и |
|
Повышение |
Сбор и вывод |
Сокрытие действий |
|||
исполнение |
|
привилегий |
информации |
|
|
||
вредоносного |
|
|
|
|
|
|
|
|
ПО |
|
|
|
|
|
|
|
|
|
|
|
|||
Вредоносный |
|
Получение данных |
Вывод информации |
Очистка/затирание |
|||
код |
|
от имени |
через предоставление |
истории команд и |
|||
|
|
|
привилегированной |
доступа к файловым |
журналов |
||
|
|
|
учетной записи |
хранилищам и базам |
регистрации |
||
|
|
|
путем поиска |
данных в |
|
|
|
|
|
|
данных в памяти |
инфраструктуре |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
13 |
|
|
|
или перехвата в |
скомпрометированной |
|
|
сетевом трафике |
системы или сети |
|
|
|
|
|
Подмена |
Подбор пароля или |
Отправка данных по |
Использование |
дистрибутивов |
от имени |
собственным |
вредоносной |
программ на |
привилегированной |
протоколам |
платформой |
носителях |
учетной записи |
|
штатных |
информации |
|
|
инструментов |
или общих |
|
|
администрирования, |
сетевых |
|
|
утилит и сервисов |
ресурсах |
|
|
операционной |
|
|
|
системы |
|
|
|
|
Удаленное |
|
|
|
исполнение |
|
|
|
программного |
|
|
|
кода |
|
|
|
|
|
|
|
Таблица 9 – Пример сценария реализации угрозы безопасности информации
14
Рисунок 2 - Пример сценариев реализации угроз безопасности информации
Текст – описание реализации угрозы
- Недопустимые последствия
- Угроза безопасности информации
- Сеть предприятия
- Атака на предприятие
Описание базового объекта
Объект располагается в Московской области РФ, спокойная метеорологическая, сейсмическая и гидрологическая обстановка, предприятий в округе нет.
Компания по добыче металла «НТР» имеет гетерогенную, иерархическую корпоративную информационную сеть:
•имеет равенство приоритетов целей ИБ
•пользователи имеют разные права доступа к информации
•не имеет удаленных и мобильных пользователей
•сопряженную с сетью Internet
Представленные мероприятия по обеспечению безопасности можно реализовать с помощью следующих комплексов мер:
•комплекс мер по внедрению средств защиты;
•комплекс мер по развитию инфраструктуры управления ИБ;
•комплекс мер по внедрению политики безопасности.
Данные комплексы предполагают устранение одних и тех же угроз, следовательно, необходим анализ каждого комплекса для выявления наиболее выгодного для реализации комплекса. Эти данные были обработаны в ходе лабораторной работы № 3 и был сделан вывод о том, что наиболее выгодным является комплекс мер по внедрению средств защиты.
15
Рисунок 3 – Комплекс мер
Как видно из графика комплекс мер по внедрению средств защиты имеет самую минимальную стоимость.
Для доказательства эффективности выбранного комплекса мер рассмотрим уровень остаточного риска из лабораторной работы № 8.
Рисунок 4 – Сравнение оценок остаточного риска
Вывод: в связи с тем, что приемлемым риск считается остаточный риск ниже 538, следует выбрать предложенный комплекс мер, так как он
16
соответствует требованиям. Предполагаемая стоимость данного комплекса
составляет 4 670 000 рублей единиц приемлемый риск.
17