FAQ_Print
.pdfвания) или необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
• возникновение отказа в работе операционной системы.
Угрозы, непосредственным источником которых являются несанкционированные программно-аппаратные средства:
•нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других программ, не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
•заражение компьютера вирусами с деструктивными функциями.
4.По положению источника угроз.
Угрозы, источник которых расположен вне контролируемой зоны территории (помещения), на которой находится АС:
•перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);
•перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
•дистанционная фото- и видеосъемка.
Угрозы, источник которых расположен в пределах контролируемой зоны территории (помещения), на которой находится АС:
•хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);
•отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.д.);
•применение подслушивающих устройств.
Угрозы, источник которых имеет доступ к периферийным устройствам АС (терминалам).
Угрозы, источник которых расположен в АС:
• проектирование архитектуры системы и технологии обработки данных,
разработка прикладных программ, которые представляют опасность для работоспособности системы и безопасности информации;
91
•некорректное использование ресурсов АС.
5. По степени зависимости от активности АС.
Угрозы, которые могут проявляться независимо от активности АС:
•вскрытие шифров криптозащиты информации;
•хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и компьютерных систем).
Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных (например, угрозы выполнения и распространения программных вирусов).
6. По степени воздействия на АС.
Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АС (угроза копирования секретных данных).
Активные угрозы, которые при воздействии вносят изменения в структуру и содержание АС:
•внедрение аппаратных спецвложений, программных “закладок” и “вирусов” (“троянских коней” и “жучков”), т.е. таких участков программ, которые не нужны для выполнения заявленных функций, но позволяют преодолеть систему защиты, скрытно и незаконно осуществить доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;
•действия по дезорганизации функционирования системы (изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных радиопомех на частотах работы устройств системы и т.п.);
•угроза умышленной модификации информации.
7. По этапам доступа пользователей или программ к ресурсам АС.
Угрозы, которые могут проявляться на этапе доступа к ресурсам АС (например, угрозы несанкционированного доступа в АС).
Угрозы, которые могут проявляться после разрешения доступа к ресурсам АС
(например, угрозы несанкционированного или некорректного использования ресурсов АС).
8. По способу доступа к ресурсам АС.
Угрозы, направленные на использование прямого стандартного пути доступа
кресурсам АС:
•незаконное получение паролей и других реквизитов разграничения досту-
92
па (агентурным путем, используя халатность пользователей, подбором, имитацией интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя (“маскарад”);
• несанкционированное использование терминалов пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.
Угрозы, направленные на использование скрытого нестандартного пути доступа к ресурсам АС:
•вход в систему в обход средств защиты (загрузка посторонней операционной системы со сменных магнитных носителей и т.п.);
•угроза несанкционированного доступа к ресурсам АС путем использования недокументированных возможностей ОС.
9.По текущему месту расположения информации, хранимой и обрабатываемой в АС.
Угрозы доступа к информации на внешних запоминающих устройствах (например, угроза несанкционированного копирования секретной информации с жесткого диска).
Угрозы доступа к информации в оперативной памяти:
•чтение остаточной информации из оперативной памяти;
•чтение информации из областей оперативной памяти, используемых опе-
рационной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме, используя недостатки мультизадачных АС и систем программирования;
•угроза доступа к системной области оперативной памяти со сторон прикладных программ.
Угрозы доступа к информации, циркулирующей в линиях связи:
•незаконное подключение к линиям связи с целью работы во время пауз в действиях законного пользователя от его имени с вводом ложных сообщений или модификацией передаваемых сообщений;
•незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений;
•перехват всего потока данных с целью дальнейшего анализа не в реальном
масштабе времени.
93
Угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере (например, угроза записи отображаемой информации на скрытую видеокамеру). Вне зависимости от конкретных видов угроз или их проблемноориентированной классификации АС удовлетворяет потребности эксплуатиру-
ющих ее лиц, если обеспечиваются следующие свойства информации систем ее обработки. В качестве основного критерия будем использовать аспект ИБ, привлекая при необходимости остальные.
Таковы основные угрозы, которые наносят наибольший ущерб субъектам информационных отношений.
Не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требующихся на ее преодоление. Исходя из данных условий, примем следующую модель: защита информационной системы считается преодоленной, если в ходе ее исследования определены все уязвимости системы. Поскольку преодоление защиты также представляет собой угрозу, для защищенных систем будем рассматривать ее четвертый вид – угрозу раскрытия параметров АС, включающей в себя систему защиты.
2. Виды уязвимостей, внутренние и внешние угрозы.
В компьютерной безопасности термин «уязвимость» используется для обозначения недостатка в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектирова-
нии системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.
Распространённые типы уязвимостей включают в себя:
1.Нарушения безопасности доступа к памяти, такие как:
• Переполнения буфера
• Висящие указатели
2.Ошибки проверки вводимых данных, такие как:
•Ошибки форматирующей строки
•Неверная поддержка интерпретации метасимволов командной оболочки
•SQL-инъекция
•Инъекция кода
•E-mail инъекция
94
•Обход каталогов
•Межсайтовый скриптинг в веб-приложениях
•Межсайтовый скриптинг при наличии SQL-инъекции 3. Состояния гонки, такие как:
•Ошибки времени-проверки-ко-времени-использования
•Гонки символьных ссылок
4. Ошибки путаницы привилегий, такие как:
•Подделка межсайтовых запросов в веб-приложениях
5. Эскалация привилегий, такие как:
•Shatter attack
Угроза информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности.
По расположению источника угроз можно выелить:
•Внешние (источники угроз находятся вне системы).
•Внутренние (источники угроз располагаются внутри системы).
1. Угрозы, источник которых расположен вне контролируемой зоны территории (помещения), на которой находится АС:
•перехват побочных электромагнитных, акустических и других излучений
устройств и линий связи, а также наводок активных излучений на вспомогательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);
•перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;
•дистанционная фото- и видеосъемка.
2. Угрозы, источник которых расположен в пределах контролируемой зоны территории (помещения), на которой находится АС:
•хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);
•отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т.д.);
•применение подслушивающих устройств.
95
3.Угрозы, источник которых имеет доступ к периферийным устройствам АС (терминалам).
4.Угрозы, источник которых расположен в АС:
•проектирование архитектуры системы и технологии обработки данных, разработка прикладных программ, которые представляют опасность для работоспособности системы и безопасности информации;
•некорректное использование ресурсов АС.
3.Инсайдеры. Мотивация инсайдера, типы инсайдеров, модели поведения инсайдеров. Психологические предпосылки кражи конфиденциальных данных.
Инсайдер - собственный персонал организации, допущенный к основным ресурсам, который сможет нанести значительный ущерб организации своими несанкционированными действиями.
Проведенные исследования показали, что наибольшую опасность для компаний представляет несанкционированный доступ собственных сотрудников к конфиденциальной информации предприятия.
Психологическая безопасность организации - состояние системы инфор- мационно-психологических отношений, в котором система способна успешно, устойчиво и непрерывно развиваться в условиях интенсивного воздействия внешних и внутренних факторов, оказывающих на систему как стабилизирующее, так и деструктивное информационно-психологическое воздействие.
Классификация внутренних нарушителей. Мотивы нарушений
Пользователи, которые допускают утечку конфиденциальной информации, будучи к ней официально допущенными, могут быть классифицированы по нескольким критериям:
•Злонамеренные;
•Халатные;
•Действующие по заказу;
•Ставящие себе цели сами;
•Охотники за конкретной информацией;
•Ворующие все, что смогут.
Внутренних нарушителей можно разделить на следующие категории:
•Неосторожные;
•Манипулируемые;
96
•Саботажники;
•Нелояльные;
•Мотивируемые извне
Мотивы внутренних нарушителей:
Тип |
Умысел |
Корысть |
Постановка |
Действия при |
|
|
|
задачи |
невозможности |
|
|
|
|
|
Халатный |
Нет |
Нет |
Нет |
Сообщение |
|
|
|
|
|
Манипулируемый |
Нет |
Нет |
Нет |
Сообщение |
Обиженный |
Да |
Нет |
Сам |
Отказ |
Нелояльный |
Да |
Нет |
Сам |
Имитация |
Подрабатывающий |
Да |
Да |
Сам\Извне |
Отказ\Имитация\ |
|
|
|
|
Взлом |
Внедренный |
Да |
Да |
Сам\Извне |
Взлом |
Нарушители по типу могут быть подразделены на незлонамеренных и злонамеренных.
В свою очередь незлонамеренные нарушители подразделяются на:
•Манипулируемых;
•Неосторожных.
Неосторожные (халатные) - данные пользователи нарушают правила исходя из лучших побуждений. Чаще всего они выносят информацию для работы с ней дома, в командировке и т.д. Ущерб от таких утечек может быть не меньшим, чем от промышленных шпионов. Против таких нарушителей эффективны простые технические средства – фильтрация контента исходящего трафика и менеджеры устройств ввода-вывода.
Манипулируемые - все чаще для манипулирования сотрудниками используется «социальная инженерия». Например, добросовестный сотрудник по просьбе злоумышленника может “для надежности” продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик.
Другим способом манипуляции может служить сотрудник, начальник которого – злоумышленник, отдавший этому сотруднику преступный приказ.
Отдельной группой являются злонамеренные сотрудники, осознающие, что они наносят вред компании, в которой работают.
По мотивам злонамеренных действий их можно разделить на:
• Саботажники;
97
•Нелояльные;
•Мотивируемые извне;
•Другие.
Саботажники чаще всего стремятся нанести вред компании из-за личных мотивов. Чаще всего таким мотивом является недооценка их роли в компании. Ключевым в поведении таких нарушителей является то, что, во-первых, такие сотрудники не собираются покидать компанию, а во-вторых, целью саботажника является нанести вред, а не похитить информацию. То есть такие люди стремятся к тому, чтобы руководство не узнало, что утечка произошла по их вине и, столкнувшись с технической невозможностью нанести вред, они направят свои усилия на уничтожение или фальсификацию иной информации.
Чаще всего нелояльные сотрудники стараются унести максимально возможное количество информации, зачастую даже не подозревая о ее истинной ценности.
Сюда же можно отнести и тех сотрудников, которые, решив сменить место работы, еще не сообщили об этом начальству. Чаще всего нелояльные сотрудники не скрывают факта хищения.
Однако максимальную опасность представляют не эти два типа нарушителей, а мотивированные извне. Ведь если потенциальный злоумышленник может заранее найти покупателя на информацию и тогда его дальнейшая работа, благосостояние, а иногда жизнь и здоровье напрямую зависят от полноты и актуальности похищенной информации.
Нарушители, мотивированные извне – это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети “работодатели” могут снабдить их соответствующими устройствами или программами для обхода защиты.
Модель вредоносных действий инсайдера
Сегодня совсем не обязательно быть настоящим хакером для того, чтобы украсть из компании конфиденциальные документы. На первый план выходят приемы так называемой социальной инженерии, против которых бессильны пароли и схемы контроля доступа». Как узнать, что потенциальный инсайдер собирается применять приёмы социальной инженерии для «обработки» кого-либо из сотрудников? Главный признак этого – активный интерес к личным сведениям
будущей жертвы, которые нужны инсайдеру для установления тесного контакта с нею.
98
Краже и увольнению предшествуют ключевые предпосылки: основные проблемы возникают до того, как инсайдер совершает кражу, и являются мотивацией для инсайдера. Ранее происходят психологические предпосылки, стрессы и соответствующее поведение - все это может быть индикатором риска инсайдерской
атаки.
4. Средства диагностики рискованного поведения работников.
Психология поведения сотрудников во многом определяется не только их личностными качествами, но и внутренней средой организации, условиями деятельности и другими внешними по отношению к человеку факторами. При определенных условиях каждый сотрудник может быть в той или иной степени «честным», «надежным», «порядочным» и он же, при других условиях, способен проявить противоположные качества.
Учитывая фактор психологии поведения работника можно наиболее эффективно выстраивать систему психологической безопасности организации. Для этого применяется мониторинг отношений между людьми, владеющими информацией и применяющей ее в совместной профессиональной деятельности.
Мониторинг включает в себя организационно-психологические меры защиты информации с точки зрения человеческого капитала как ресурсной составляющей. Данный способ позволяет выработать эффективные меры, связанные с повышением информационной безопасности организации на основе прогноза морального - психологического состояния коллектива
Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно принятым критериям).
Зная жизненную позицию человека, его психологические установки и личностные свойства нетрудно предсказать, как он себя поведет в определенной ситуации. Для этой цели применяется психологический мониторинг организации, который ориентирован на выявление проблемных зон, отдельных фактов дестабилизирующих внутреннюю среду и является действенной превентивной мерой, обеспечивающей безопасность предприятия. Результатом психологиче-
ского мониторинга является анализ внутренней среды организации, который включает в себя оценку личностного, мотивационного, психологического потенциала сотрудников, изучение психологического климата, атмосферы организации и позволяет не только выявить слабые места, но и разработать программу коррекционных мероприятий.
99
5. Идентификация пользователей компьютерных систем.
Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова «аутентификация» иногда используют словосочетание «проверка подлинности».
6. Парольные системы идентификации и аутентификации пользователей.
Парольные системы идентификации/аутентификации являются одними из основных и наиболее распространенных в системах защиты информации (СЗИ) методов пользовательской аутентификации. В данном случае информацией, аутентифицирующей пользователя, является некоторый секретный пароль, известный только легальному пользователю.
Совокупность идентификатора и пароля пользователя – основные составляющие его учётной записи. База данных пользователей парольной системы содержит учётные записи всех пользователей.
Парольные системы являются зачастую «передним краем обороны» всей системы безопасности. Отдельные ее элементы могут быть расположены в местах,
открытых для доступа потенциальному злоумышленнику (в том числе и база данных учетных записей пользователей). В связи с этим, парольные системы становятся одним из наиболее привлекательных для злоумышленника объектов атаки.
•Основными типами угроз безопасности парольных систем являются следующие:
•Перебор паролей в интерактивном режиме.
•Подсмотр пароля.
•Преднамеренная передача пароля его владельцем другому лицу.
•Кража базы данных учётных записей с дальнейшим её анализом, подбором пароля.
•Перехват вводимого пароля путём внедрения в компьютерную систему программных закладок (клавиатурных шпионов).
•Перехват пароля, передаваемого по сети.
•Социальная инженерия.
100