125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / Гончарова Основи захисту iнф. в - мер
...pdf
Рис. 1.21. Приклад реалізації непрямої атаки
Соціотехнічна (соціоінжинірингова) атака пов’язана з отриманням даних (наприклад, імен користувачів, паролів, телефонних номерів віддаленого доступу тощо) від атакованих людей у процесі інформаційного обміну (рис. 1.22).
Рис. 1.22. Приклад соціотехнічної атаки
Криптоаналітична атака заснована на використанні широкого спектру криптоаналітичних методів та засобів для зламування ресурсів, захищених різними криптографічними засобами.
До неспецифічних категорій відносяться атаки, які не мають вищезазначених особливостей реалізації, при цьому слід враховувати, що технології атак постійно розвиваються і дана ознака може бути розширена.
За спрямованістю результату:
–розширююча;
–викривляюча;
–розповсюджуюча;
–розкрадаюча;
–перевантажуюча;
–інформаційна;
–утримуюча;
–знищуюча.
Розширююча атака (рис. 1.23) орієнтована на одержання більших повноважень на права доступу до ресурсу, наприклад, на вхід в локальну обчислювальну мережу з правами адміністратора, отримання доступу на запис до полів баз даних, зміну атрибутів файлів тощо.
41
Рис. 1.23. Приклад реалізації розширюючої атаки
Викривляюча атака пов’язана зі здійсненням будь-яких прямих змін в цільовому ресурсі, наприклад, підробка полів баз даних, підміна інформаційних носіїв, зміна часу і дати тощо.
Розповсюджуюча атака спрямована на отримання доступу до ресурсу та його розкриття без відповідних на це повноважень, наприклад, несанкціоноване одержання файлу даних з паролями і їх публікація на хакерських сайтах або розсилання серед абонентів обчислювальної мережі.
Розкрадаюча атака направлена на використання ресурсу без нанесення прямого збитку, наприклад, без зниження якості обслуговування користувачів здійснити тимчасове вилучення частини пам’яті (для розширення можливостей іншої системи), завантаження телекомунікаційних каналів, використання робочої станції або мережевого сервісу тощо.
Перевантажуюча атака спрямована на завантаження ресурсу до такого рівня, що він втрачає властивість щодо його використання. Результатом такої атаки може бути «неможливість використання», «перевантаження», «перешкоджання використанню», «відмова в обслуговуванні» тощо. Прикладом такої атаки (рис. 1.24) може бути перевантаження маршрутизатора.
Рис. 1.24. Реалізація перевантажуючого НСД
Інформаційна атака пов’язана зі збиранням необхідних даних (як правило для реалізації подальших дій) і не передбачає прямого впливу на ресурс, наприклад, одержання інформації в результаті аналізу публікацій, використання системних утиліт для виявлення активних робочих станцій, сервісів тощо (рис. 1.25).
42
Рис. 1.25. Приклад інформаційної атаки
Утримуюча атака призначена для тимчасової затримки ресурсу з метою зниження його актуальності, наприклад, притримування шини знищуюча атака орієнтована на безповоротну ліквідацію ресурсу, наприклад, вилучення файлу, дроблення інформаційного носія, низькорівневе форматування жорсткого диску з метою знищення даних тощо (рис. 1.26).
Рис. 1.26. Приклад утримуючої атаки
Знищуюча атака орієнтована на безповоротну ліквідацію ресурсу, наприклад, вилучення файлу, дроблення інформаційного носія, низькорівневе форматування жорсткого диску з метою знищення даних тощо (рис. 1.27).
За ступенем складності:
–проста;
–складна.
Рис. 1.27. Приклад знищуючої атаки
Проста атака (рис. 1.28) є нескладною в реалізації діями, направленими на виконання окремих процедур, наприклад, сканування
43
портів, аналіз трафіку, пошук активних робочих станцій, віддалене управління тощо.
Рис. 1.28. Приклад простої атаки
Складна атака є комбінацією простих і призначена для реалізації низки необхідних функцій, наприклад, виявлення активної робочої станції і здійснення віддаленого управління нею.
Системна атака будується на основі сформованого системного підходу з багатокроковою комбінацією дій та використанням простих атак для ефективної реалізації спеціально направленого комплексу функцій, наприклад, пошук активних робочих станцій, моніторинг трафіку, сканування, зламування ОС і робочих додатків, несанкціоноване копіювання даних та замітання слідів.
Міжнародна організація стандартизації (ISO) запропонувала семирівневу еталонну модель з метою розмежування функцій різних протоколів у процесі передачі інформації від одного абонента іншому. Таких класів функцій виділено сім. Вони отримали назву рівнів, кожний з який виконує певні задачі в процесі передачі блоку інформації, причому відповідний рівень зі сторони приймача виконує перетворення, зворотні тим, що зроблені на тому самому рівні на передавальній стороні (джерелі). У цьому зв’язку атака за семирівневою еталонною моделлю можна визначити на таких рівнях:
–фізичний, що кодується параметром K0(2) = 20;
–канальний, що кодується параметром K1(2) = 21;
–мережевий, що кодується параметром K2(2) = 22;
–транспортний, що кодується параметром K3(2) = 23;
–сеансовий, що кодується параметром K4(2) = 24;
–представлення даних, що кодується параметром K5(2) = 25;
–прикладний, що кодується параметром K6(2) = 26.
На фізичному рівні забезпечуються необхідні механічні, електричні, функціональні і процедурні характеристики для встановлення, підтримки і розмикання фізичного з’єднання. На канальному рівні забезпечуються функціональні і процедурні засоби для встановлення, підтримки і вивільнення ліній передавання даних між абонентами мережі (наприклад, терміналами і вузлами мережі). На мережевому рівні забезпечуються функціональні і процедурні засоби для обміну службовою інформацією між двома об’єктами транспортного рівня мережі (тобто пристроями, що
44
підтримують протоколи на транспортному рівні за допомогою мережевого з’єднання). Гарантує незалежність поводження об’єктів транспортного рівня від схеми маршрутизації і комутації. На транспортному рівні забезпечується оптимізація комутаційного обслуговування (підтримуваного реалізацією більш низьких рівнів зв’язку) шляхом забезпечення прозорих передач даних між абонентами в рамках сеансу. На сеансовому рівні здійснюється забезпечення на логічному рівні обслуговування двох «пов’язаних» на рівні представлення даних об’єктів мережі і керування введенням діалогу між ними шляхом синхронізації повідомлень.
На рівні представлення даних забезпечується сукупність службових операцій, які можна вибрати на прикладному рівні для інтерпретації переданих і одержуваних даних. Ці службові операції містять керування інформаційним обміном, відображення даних і керування структурованими даними. Службові операції цього рівня являють собою основу всієї семирівневої моделі і дозволяють пов’язувати в одне ціле термінали і засоби обчислювальної техніки будь-яких типів.
На прикладному рівні забезпечується безпосередня підтримка прикладних процесів і програм кінцевого користувача і керування взаємодії цих програм з різними об’єктами мережі передачі даних. Визначення класу атаки за даною ознакою наступне – ISO-K, де K= K(2)0 + K(2)1 + K(2)2 + K(2)3 + K(2)4 + K(2)5 + K(2)6 – двійковий код. Для зручності
K будемо представляти у шістнадцятковому коді (K (16)). Наприклад, якщо за цією класифікацією атака записана як ISO-3A (де 3А(16)= 0111010 = 25 + 24 +23 +21 = K5 + K4 + K3 + K1), то вона інтерпретує реалізацію на рівні канальному, транспортному, сеансовому і представлення даних, а, наприклад, запис ISO-00 означає, що клас атаки не підтримується семирівневою еталонною моделлю.
Не важко помітити, що атаки, які класифікуються за ознаковим принципом, можуть у кожному конкретному випадку при визначенні загального класу містити не тільки одну, але і більше компонент кожної з ознак. Слід зазначити, що з появою нових методів і засобів реалізації несанкціонованих дій, ознаки такої класифікації можуть бути розширені. При практичному використанні класифікації, наприклад, таку атаку, як сканування портів, можна визначити як: автоматизована, 12 13 14 15 16 17 16 17 18 19 20 21 20 21 22 23 24ог рамна, зі зворотним зв’язком, К-дієва, логічна, мономономна, неспецифічна, інформаційна, проста, ISO-36.
За допомогою даної класифікації можна здійснювати (відповідну їй) формалізацію можливостей систем протидії для підвищення ефективності їхнього вибору і формуванні вимог при їхній розробці.
З НСД пов’язані такі поняття, як доступ та перехоплення. Під доступом (access) розуміють взаємодію між ресурсами інформаційних систем, що забезпечує передачу інформації між такими ресурсами, а в процесі доступу до інформації (access to information) реалізуються,
45
зокрема, її копіювання, модифікація, знищення, ініціалізація тощо. Розрізняють несанкціонований та санкціонований доступи. Якщо доступ до ресурсів системи здійснюється, наприклад, з порушенням або поза правилами розмежування доступу, то такий доступ – несанкціонований. Однією з базових дій, що породжує НСД, є перехоплення (intercept), під яким розуміють несанкціоноване одержання інформації незаконним підключенням до каналів зв’язку (наприклад, пряме перехоплення) чи візуально (наприклад, підглядання), або за допомогою радіотехнічних засобів (наприклад, непряме перехоплення).
За дією на інформацію розрізняють активне і пасивне перехоплення, а за типом підключення:
–пряме;
–непряме.
Активне перехоплення (active eavesdropping) – це таке перехоплення, під час якого в супротивника є можливість не тільки перехоплювати повідомлення, а й впливати на нього, наприклад, затримувати або вилучати сигнали, що передаються каналами зв’язку.
Пасивне перехоплення (passive tapping) – отримання інформації з можливістю тільки спостерігати за обміном повідомленнями (наприклад, з метою виявлення різної системної інформації в обчислювальній мережі (ОМ)), не впливаючи на нього.
Пряме перехоплення (direct eavesdropping) – перехоплення інформації безпосереднім підімкненням (наприклад, додаткового терміналу) до лінії зв’язку. Пряме перехоплення можна виявляти перевіркою лінії зв’язку.
Непряме перехоплення (indirect eavesdropping) – перехоплення інформації (наприклад, індуктивних хвиль) без використання безпосереднього підключення до лінії зв’язку (threat). Таке перехоплення важко виявити, оскільки немає безпосереднього приєднання термінального обладнання до лінії зв’язку.
46
1.7. Рівні захисту інформаційних систем
Побудова надійного захисту інформаційної системи неможлива без попереднього аналізу можливих загроз безпеки системи [83]. Цей аналіз повинен складатися з таких етапів:
–виявлення характеру інформації, яка зберігається в системі;
–оцінки цінності інформації, яка зберігається в системі;
–побудови моделі зловмисника;
–визначення та класифікації загроз інформації в системі (несанкціоноване зчитування, несанкціонована модифікація і т.д.);
–визначення затрат часу і матеріальних ресурсів на злам системи, припустимих для зловмисників;
–оцінки припустимих витрат часу, засобів і ресурсів системи на організацію її захисту.
Проблеми інформаційної безпеки вирішуються, як правило, з допомогою створення спеціалізованих систем захисту інформації, які повинні забезпечувати безпеку інформаційної системи від несанкціонованого доступу (НСД) до інформаційних ресурсів. Система захисту інформації є інструментом адміністраторів інформаційної безпеки, які виконують функції із забезпечення захисту інформаційної системи і контролю її захищеності.
Система захисту інформації повинна виконувати такі функції:
–реєстрація і облік користувачів, носіїв інформації, інформаційних масивів;
–забезпечення цілісності системного та прикладного програмного забезпечення та інформації яка оброблюється;
–захист комерційної таємниці, включаючи використання сертифікованих засобів криптографічного захисту;
–створення захищеного електронного документообігу з використанням сертифікованих засобів криптографічні перетворення і електронного цифрового підпису;
–централізоване управління системою захисту інформації;
–управління доступом;
–забезпечення ефективного антивірусного захисту, тощо.
Комплекс вимог, які висуваються до системи безпеки, передбачає функціональне навантаження на кожний з наведених на рис. 1.29. рівнів. Організація захисту на фізичному рівні повинна зменшити можливість несанкціонованих дій сторонніх осіб і персоналу підприємства, а також понизити вплив техногенних джерел.
Захист на технологічному рівні (програмний продукт і технічні засоби обробки інформації). Система захисту на цьому рівні повинна бути автономною, але забезпечувати реалізацію єдиної політики безпеки і будуватись на основі використання сукупності вбудованих систем захисту операційної системи і систем управління базами даних та знань.
47
Рис. 1.29. Рівні захисту інформаційної системи
На локальному рівні організується розподілення інформаційних ресурсів ІС на сегменти за рівнями конфіденційності по територіальному і функціональному принципах, а також виділяється в окремий сегмент засоби обробки конфіденційної інформації. Підвищенню рівня захищеності сприяє обмеження і мінімізація кількості точок входу/виходу (точок взаємодії) між сегментами, створення надійної оболонки по периметру сегментів і інформаційної системи в цілому, організація захищеного обміну інформацією між сегментами.
На мережевому рівні організується захищений інформаційний обмін даними між автоматизованими робочими місцями, а також створюється надійна оболонка фізичного захисту периметра розташування ІКСМ в цілому. Система захисту на цьому рівні повинна будуватись з урахуванням реалізації захисту на попередніх рівнях.
На рівні користувача повинно бути забезпечено допуск тільки авторизованих абонентів до роботи в інформаційний системі, створено захисну оболонку навколо її елементів, а також організовано індивідуальне захищене середовище діяльності кожного користувача.
Залежно від призначення і характеру задач з обробки інформації можна виділити три основні види експлуатації інформаційнокомунікаційних систем, що мають принципове значення для складу посадовців і характеру доступу до інформації з:
–закритим доступом – організація-споживач використовує інформаційну систему повністю в своїх інтересах, при цьому обслуговуючий персонал, включаючи технічний і оперативний склад, є співробітниками даної організації;
–обмеженим доступом – організація-споживач обчислювальної системи поєднує свої інтереси з інтересами інших організацій і приватних осіб;
–відкритим доступом – організація-споживач обчислювальної мережі надає послуги населенню.
48
Назва «Система з відкритим доступом» умовна в тому значенні, що будь-яка людина може скористатися послугами даної системи. Насправді ж кожна інформаційна система (ІС) має і внутрішню частину, яка стосується обробки її власної інформації, яка може бути закритою для сторонніх осіб [84].
Усі загрози безпеки, спрямовані проти програмних і технічних засобів інформаційної системи, впливають на безпеку інформаційних ресурсів і призводять до порушення основних властивостей інформації, яка зберігається і обробляється в системі. Як правило, загрози інформаційній безпеці розрізняються за способом їх реалізації.
Дослідження і аналіз численних випадків впливів на інформацію і несанкціонованого доступу до неї показують, що їх можна розділити на випадкові і навмисні.
Навмисні загрози можуть бути реалізовані шляхом довготривалої масованої атаки несанкціонованими запитами або вірусами тощо. Наслідки такі: руйнування (втрата) інформації, модифікація (зміна інформації на помилкову, яка коректна за формою і змістом, але має інший сенс) і ознайомлення з нею сторонніх осіб. Ціна вказаних подій може бути досить високою. Попередження зазначених наслідків в інформаційній системі є основною метою створення системи безпеки інформації, розроблення та вдосконалення існуючих методів захисту інформації в інформаційнокомунікаційних системах та мережах.
Для вирішення поставленої задачі доцільно навести найбільш повну класифікацію загроз і шляхів їх реалізації в ІКСМ.
Можна виділити такі основні класи загроз безпеці, які спрямовані проти інформаційних ресурсів:
–загрози конфіденційності даних і програм;
–загрози цілісності даних, програм, апаратури;
–загрози доступності даних;
–загрози відмови від виконання трансакцій.
Оцінка вразливості інформаційної системи і побудова моделі впливів припускають вивчення всіх варіантів реалізації перерахованих вище загроз і виявлення наслідків, до яких вони призводять.
49
1.8. Основні принципи захисту інформації
Захист інформації від НСД є складовою частиною загальної проблеми забезпечення захисту інформації в ІКСМ. В загальному випадку комплекс програмно-технічних засобів та організаційних рішень по захисту інформації в ІКСМ реалізується в рамках системи захисту інформації від НСД, яка умовно складається з таких чотирьох підсистем [79]:
–управління доступом до ІКСМ, до її послуг та ресурсів;
–реєстрація і облік користувачів, послуг, інформаційних ресурсів;
–криптографічного захисту;
–забезпечення цілісності інформаційних потоків, інформаційних ресурсів та програмного забезпечення.
Закриття каналів несанкціонованого отримання інформації повинно починатися з контролю доступу користувачів до ресурсів ІКСМ. Ця задача вирішується на основі ряду принципів:
Принцип виправданості доступу – користувач повинен мати достатню «форму допуску» для отримання інформації того рівня конфіденційності, що він вимагає, і ця інформація дійсно необхідна йому для виконання його виробничих функцій.
Принцип достатньої глибини контролю доступу. Засоби захисту інформації повинні включати механізми контролю доступу до всіх видів інформаційних і програмних ресурсів ІКСМ, які у відповідності з принципом виправданості доступу слід розмежовувати між користувачами.
Принцип розмежування інформаційних потоків. Для попередження порушення інформаційної безпеки, яке, наприклад, може мати місце при запису секретної інформації на несекретні носії і в несекретні файли, її передачі програмам і процесам, які не призначені для обробки секретної інформації, а також при передачі секретної інформації по незахищених каналах зв’язку, необхідно здійснювати відповідне розмежування інформаційних потоків.
Принцип персональної відповідальності. Кожний користувач повинен нести персональну відповідальність за свою діяльність в системі, включаючи будь-які операції з конфіденційною інформацією і можливі порушення її захисту.
Принцип цілісності засобів захисту. Даний принцип передбачає, що засоби захисту інформації в ІКСМ повинні чітко виконувати свої функції у відповідності з переліченими принципами і бути ізольованими від користувачів, а для свого супроводу повинні включати спеціальний захищений інтерфейс для засобів контролю, сигналізації про спроби порушення захисту інформації і впливу на процеси в системі.
Реалізація перелічених принципів здійснюється з допомогою так званого «монітору звернень», який контролює будь-які запити до даних чи програм з боку користувачів (чи їх програм) за установленими для них видами доступу до цих даних і програм. Схематично такий монітор можна представити у вигляді, показаному на рис. 1.30.
50