Содержание
- Модель угроз ПД. Организационно-распорядительная документация по защите ПД
- 2.1. Виды угроз безопасности информации
- Понятие «Угроза безопасности». «Модель» нарушителя. Угроза информационным ресурсам
- Цель изучения темы: изучить механизм реализации типовых удаленных атак и их характеристику.
- Требования к знаниям и умениям
- Студент должен знать:
- типовые удаленной атаки и механизмы их реализации.
- Студент должен уметь:
- классифицировать типовые удаленные атаки по совокупности признаков.
- Ключевой термин
- Ключевой термин: Типовые удаленные атаки.
- Типовая удаленная атака — это удаленное информационное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной сети.
- Второстепенные термины
- Удаленная атака «анализ сетевого трафика»
- Удаленная атака «подмена доверенного объекта»
- Удаленная атака «ложный объект»
- Удаленная атака «отказ в обслуживании»
- Расширяющий блок: Характеристика типовых удаленных атак.
- Структурная схема терминов
- Как уже было показано ранее, распределенные вычислительные сети проектируются на основе одних и тех же принципов, а, следовательно, имеют практически одинаковые проблемы безопасности, причем, в большинстве случаев, независимо от используемых сетевых протоколов, топологии и инфраструктуры вычислительной сети.
- С учетом этого специалисты в области информационной безопасности используют понятие типовой удаленной угрозы (атаки), характерной для любых распределенных вычислительных сетей. Введение этого понятия в совокупности с описанием механизмов реализации типовых удаленных угроз позволяет выработать методику исследования безопасности вычислительных сетей, заключающейся в последовательной умышленной реализации всех типовых удаленных угроз и наблюдению за поведением системы.
- Типовая удаленная атака — это удаленное информационное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной сети.
- 3.6.1 Удаленная атака «анализ сетевого трафика»
- Основной особенностью распределенной вычислительной сети является распредельнность ее объектов в пространстве и связь между ними по физическим линиям связи. При этом все управляющие сообщения и данные, пересылаемые между объектами вычислительной сети, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичного для распределенных вычислительных сетей типового удаленного воздействия, заключающегося в прослушивании канала связи, называемого анализом сетевого трафика.
- Анализ сетевого трафика позволяет:
- изучить логику работы распределенной вычислительной сети, это достигается путем перехвата и анализа пакетов обмена на канальном уровне (знание логики работы сети позволяет на практике моделировать и осуществлять другие типовые удаленные атаки);
- перехватить поток данных, которыми обмениваются объекты сети, т.е. удаленная атака данного типа заключается в получении несанкционированного доступа к информации, которой обмениваются пользователи (примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети).
- По характеру воздействия анализ сетевого трафика является пассивным воздействием (класс 1.1). Осуществление данной атаки без обратной связи (класс 4.2) ведет к нарушению конфиденциальности информации (класс 2.1) внутри одного сегмента сети (класс 5.1) на канальном уровне OSI (класс 6.2). При этом начало осуществления атаки безусловно по отношению к цели атаки (класс 3.3).
- 3.6.2 Удаленная атака «подмена доверенного объекта»
- Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентификация (определение подлинности) удаленных друг от друга объектов. Основная трудность заключается в осуществлении однозначной идентификации сообщений, передаваемых между субъектами и объектами взаимодействия. Обычно в вычислительных сетях эта проблема решается использованием виртуального канала, по которому объекты обмениваются определенной информацией, уникально идентифицирующей данный канал. Для адресации сообщений в распределенных вычислительных сетях используется сетевой адрес, который уникален для каждого объекта системы (на канальном уровне модели OSI — это аппаратный адрес сетевого адаптера, на сетевом уровне — адрес определяется протоколом сетевого уровня (например, IP-адрес). Сетевой адрес также может использоваться для идентификации объектов сети. Однако сетевой адрес достаточно просто подделывается и поэтому использовать его в качестве единственного средства идентификации объектов недопустимо. В том случае, когда в вычислительной сети использует нестойкие алгоритмы идентификации удаленных объектов, то оказывается возможной типовая удаленная атака, заключающаяся в передаче по каналам связи сообщений от имени произвольного объекта или субъекта сети (т.е. подмена объекта или субъекта сети).
- Подмена доверенного объекта распределенной вычислительной сети является активным воздействием (класс 1.2), совершаемым с целью нарушения конфиденциальности (класс 2.1) и целостности (класс 2.2) информации, по наступлению на атакуемом объекте определенного события (класс 3.2). Данная удаленная атака может являться как внутрисегментной (класс 5.1), так и межсегментной (класс 5.2), как с обратной связью (класс 4.1), так и без обратной связи (класс 4.2) с атакуемым объектом и осуществляется на сетевом (класс 6.3) и транспортном (класс 6.4) уровнях модели OSI.
- Принципиальная возможность реализации данного вида удаленной атаки в вычислительных сетях также обусловлена недостаточно надежной идентификацией сетевых управляющих устройств (например, маршрутизаторов). Целью данной атаки является внедрение в сеть ложного объекта путем изменения маршрутизации пакетов, передаваемых в сети. Внедрение ложного объекта в распределенную сеть может быть реализовано навязыванием ложного маршрута, проходящего через ложный объект.
- Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через сетевые узлы. При этом маршрутом называется последовательность узлов сети, по которой данные передаются от источника к приемнику. Каждый маршрутизатор имеет специальную таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальный маршрут. Таблицы маршрутизации существуют не только у маршрутизаторов, но и у любых хостов (узлов) в глобальной сети. Для обеспечения эффективной и оптимальной маршрутизации в распределенных ВС применяются специальные управляющие протоколы, позволяющие маршрутизаторам обмениваться информацией друг с другом (RIP (Routing Internet Protocol), OSPF (Open Shortest Path First)), уведомлять хосты о новом маршруте — ICMP (Internet Control Message Protocol), удаленно управлять маршрутизаторами (SNMP (Simple Network Management Protocol)). Эти протоколы позволяют удаленно изменять маршрутизацию в сети Интернет, то есть являются протоколами управления сетью.
- Реализация данной типовой удаленной атаки заключается в несанкционированном использовании протоколов управления сетью для изменения исходных таблиц маршрутизации. В результате успешного изменения маршрута атакующий получит полный контроль над потоком информации, которой обмениваются объекты сети, и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей сообщений, получаемых от дезинформированных объектов вычислительной сети.
- Навязывание ложного маршрута — активное воздействие (класс 1.2), совершаемое с любой из целей из класса 2, безусловно по отношению к цели атаки (класс 3.3). Данная типовая удаленная атака может осуществляться как внутри одного сегмента (класс 5.1), так и межсегментно (класс 5.2), как с обратной связью (класс 4.1), так и без обратной связи с атакуемым объектом (класс 4.2) на транспортном (класс 6.3) и прикладном (класс 6.7) уровне модели OSI.
- Получив контроль над проходящим потоком информации между объектами, ложный объект вычислительной сети может применять различные методы воздействия на перехваченную информацию, например:
- 1. селекция потока информации и сохранение ее на ложном объекте (нарушение конфиденциальности);
- 2. модификация информации:
- · модификация данных (нарушение целостности);
- · модификация исполняемого кода и внедрение разрушающих программных средств – программных вирусов (нарушение доступности, целостности);
- 3. подмена информации (нарушение целостности).
- 3.6.4 Удаленная атака «отказ в обслуживании»
- Одной из основных задач, возлагаемых на сетевую операционную систему, функционирующую на каждом из объектов распределенной вычислительной сети, является обеспечение надежного удаленного доступа с любого объекта сети к данному объекту. В общем случае в сети каждый субъект системы должен иметь возможность подключиться к любому объекту сети и получить в соответствии со своими правами удаленный доступ к его ресурсам. Обычно в вычислительных сетях возможность предоставления удаленного доступа реализуется следующим образом: на объекте в сетевой операционной системе запускаются на выполнение ряд программ-серверов (например, FTP-сервер, WWW-сервер и т.п.), предоставляющих удаленный доступ к ресурсам данного объекта. Данные программы-серверы входят в состав телекоммуникационных служб предоставления удаленного доступа. Задача сервера состоит в том, чтобы постоянно ожидать получения запроса на подключение от удаленного объекта и, получив такой запрос, передать на запросивший объект ответ, в котором либо разрешить подключение, либо нет. По аналогичной схеме происходит создание виртуального канала связи, по которому обычно взаимодействуют объекты сети. В этом случае непосредственно операционная система обрабатывает приходящие извне запросы на создание виртуального канала и передает их в соответствии с идентификатором запроса (номер порта) прикладному процессу, которым является соответствующий сервер. В зависимости от различных параметров объектов вычислительной сети, основными из которых являются быстродействие ЭВМ, объем оперативной памяти и пропускная способность канала связи — количество одновременно устанавливаемых виртуальных подключений ограничено, соответственно, ограничено и число запросов, обрабатываемых в единицу времени. С этой особенностью работы вычислительных сетей связана типовая удаленная атака «Отказ в обслуживании». Реализация этой угрозы возможна, если в вычислительной сети не предусмотрено средств аутентификации (проверки подлинности) адреса отправителя. В такой вычислительной сети возможна передача с одного объекта (атакующего) на другой (атакуемый) бесконечного числа анонимных запросов на подключение от имени других объектов.
- Результат применения этой удаленной атаки — нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов вычислительной сети — отказ в обслуживании. Одна из разновидностей этой типовой удаленной атаки заключается в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволяет трафик. В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов. И последней, третьей разновидностью атаки «Отказ в обслуживании» является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы.
- Типовая удаленная атака «Отказ в обслуживании» является активным (класс 1.2) однонаправленным воздействием (класс 4.2), осуществляемым с целью нарушения работоспособности системы (класс 2.3) на транспортном (класс 6.4) и прикладном (класс 6.7) уровнях модели OSI.
- Выводы по теме
- Анализ сетевого трафика заключается в прослушивании канала связи.
- Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентификация (определение подлинности) удаленных друг от друга объектов.
- В том случае, когда в вычислительной сети использует нестойкие алгоритмы идентификации удаленных объектов, то оказывается возможной типовая удаленная атака, заключающаяся в передаче по каналам связи сообщений от имени произвольного объекта или субъекта сети (т.е. подмена объекта или субъекта сети).
- Целью удаленной атаки «ложный объект» является внедрение в сеть ложного объекта путем изменения маршрутизации пакетов, передаваемых в сети. Внедрение ложного объекта в распределенную сеть может быть реализовано навязыванием ложного маршрута, проходящего через ложный объект.
- Целью удаленной атаки «отказ в обслуживании» является нарушение работоспособности соответствующего узла сети или сервиса, предоставляемого им другим пользователям.
- Контрольные вопросы:
- Дайте определение типовой удаленной атаки.
- Механизм реализации удаленной атаки «анализ сетевого трафика».
- Что является целью злоумышленников при «анализе сетевого трафика»?
- Назовите причины успеха удаленной атаки «ложный объект».
- Охарактеризуйте удаленную атаку «подмена доверенного объекта» по классам угроз.
- Поясните возможные механизмы реализации удаленной атаки «отказ в обслуживании».
- Какие составляющие «информационной безопасности» могут быть нарушены при реализации каждой из типовых удаленных атак?
- Поделиться ссылкой:
- Изменение данных
- Анализ сетевого трафика
- Подмена доверенного субъекта.
- Угрозы безопасности персональных данных
Модель угроз ПД. Организационно-распорядительная документация по защите ПД
4.1. Угрозы информационной безопасности
При построении системы защиты персональных данных (далее СЗПД) ключевым этапом является построение частной модели угроз для конкретной организации. На основании этой модели в дальнейшем подбираются адекватные и достаточные средства защиты, в соответствии с принципами, рассмотренными в «Автоматизированная и неавтоматизированная обработка персональных данных» .
Под угрозами безопасности ПД при их обработке в ИСПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Появление угроз безопасности может быть связано как с преднамеренными действиями злоумышленников, так и с непреднамеренными действиями персонала или пользователей ИСПД.
Угрозы безопасности могут быть реализованы двумя путями:
- через технические каналы утечки;
- путем несанкционированного доступа.
Обобщенная схема реализации канала угроз ПД показана на рисунке 4.1
Рис. 4.1. Обобщенная схема канала реализации угроз безопасности персональных данных
Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация. Среда распространения бывает однородной, например, только воздух при распространении электромагнитного излучения, или неоднородной, когда сигнал переходит из одной среды в другую. Носителями ПД могут быть люди, работающие с ИСПД, технические средства, вспомогательные средства и т.д. Главное, что информация при этом отображается в виде полей, сигналов, образов, количественных характеристиках физических величин.
Как правило, выделяют следующие угрозы за счет реализации технических каналов утечки:
- угрозы утечки речевой информации. Фактически злоумышленник перехватывает информацию с помощью специальной аппаратуры в виде акустических, виброакустических волн, а также электромагнитного излучения, модулированного акустическим сигналом. В качестве средств могут использоваться различного рода электронные устройства, подключаемые либо к каналам связи, либо к техническим средствам обработки ПД.
- угрозы утечки видовой информации. В этом случае речь идет о непосредственном просмотре ПД при наличии прямой видимости между средством наблюдения и носителем ПД. В качестве средств наблюдения используются оптические средства и видеозакладки;
- угрозы утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Речь идет о перехвате побочных (не связанных с прямым функциональным значением элементов ИСПД) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническими средствами ИСПД. Для регистрации ПЭМИН используется аппаратура в составе радиоприемных устройств и оконечных устройств восстановления информации. Кроме этого, перехват ПЭМИН возможен с использованием электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки ПД. Наводки электромагнитных излучений возникают при излучении элементами технических средств ИСПД информативных сигналов при наличии емкостной, индуктивной или гальванической связей соединительных линий технических средств ИСПД и различных вспомогательных устройств.
Источниками угроз, реализуемых за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают регламентируемые в ИСПД правила разграничения доступа к информации. Этими субъектами могут быть:
- нарушитель;
- носитель вредоносной программы;
- аппаратная закладка.
Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПД при их обработке техническими средствами в информационных системах. С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПД, нарушители подразделяются на два типа:
- нарушители, не имеющие доступа к ИСПД, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;
- нарушители, имеющие доступ к ИСПД, включая пользователей ИСПД, реализующие угрозы непосредственно в ИСПД, – внутренние нарушители.
Для ИСПД, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПД, подключенные к сетям общего пользования.
Обобщим полученные знания с помощью рисунка 4.2.
Рис. 4.2. Классификация угроз безопасности персональных данных по способу реализации
Угрозы можно классифицировать по различным признакам, например, по виду нарушаемого свойства информации (конфиденциальность, целостность, доступность), по типу ИСПД, на которые направлена атака, по типу используемой для атаки уязвимости.
4.2. Общая характеристика уязвимостей информационной системы персональных данных
Появление потенциальных угроз безопасности связано с наличием слабых мест в ИСПД — уязвимостей. Уязвимость информационной системы персональных данных – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении ИСПД, которые могут быть использованы для реализации угрозы безопасности персональных данных.
Причинами возникновения уязвимостей в общем случае являются:
- ошибки при разработке программного обеспечения;
- преднамеренные изменения программного обеспечения с целью внесения уязвимостей;
- неправильные настройки программного обеспечения;
- несанкционированное внедрение вредоносных программ;
- неумышленные действия пользователей;
- сбои в работе программного и аппаратного обеспечения.
Уязвимости, как и угрозы, можно классифицировать по различным признакам:
- по типу ПО – системное или прикладное.
- по этапу жизненного цикла ПО, на котором возникла уязвимость – проектирование, эксплуатация и пр.
- по причине возникновения уязвимости, например, недостатки механизмов аутентификации сетевых протоколов.
- по характеру последствий от реализации атак – изменение прав доступа, подбор пароля, вывод из строя системы в целом и пр.
Наиболее часто используемые уязвимости относятся к протоколам сетевого взаимодействия и к операционным системам, в том числе к прикладному программному обеспечению.
Уязвимости операционной системы и прикладного ПО в частном случае могут представлять:
- функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;
- фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;
- отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);
- ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.
Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др. Так, например, протокол прикладного уровня FTP, широко используемый в Интернете, производит аутентификацию на базе открытого текста, тем самым позволяя перехватывать данные учетной записи.
Прежде чем приступать к построению системы защиты информации необходимо провести анализ уязвимостей ИСПД и попытаться сократить их количество, то есть использовать метод превентивности. Можно закрыть лишние порты, поставить «заплатки» на программное обеспечение (например, service pack для Windows), ввести более сильные методы аутентификации и т.п. Эти меры могут существенно сократить материальные, временные и трудовые затраты на построение системы защиты персональных данных в дальнейшем.
4.3. Наиболее часто реализуемые угрозы
В связи с повсеместным развитием Интернета наиболее часто атаки производятся с использованием уязвимостей протоколов сетевого взаимодействия. Рассмотрим 7 наиболее распространенных атак.
- Анализ сетевого трафика
Данный вид атаки направлен в первую очередь на получение пароля и идентификатора пользователя путем «прослушивания сети». Реализуется это с помощью sniffer – специальная программа-анализатор, которая перехватывает все пакеты, идущие по сети. И если протокол, например, FTP или TELNET, передает аутентификационную информацию в открытом виде, то злоумышленник легко получает доступ к учетной записи пользователя.
Рис. 4.3. Схема реализации угрозы “Анализ сетевого трафика” - Сканирование сети
Суть данной атаки состоит в сборе информации о топологии сети, об открытых портах, используемых протоколах и т.п. Как правило, реализация данной угрозы предшествует дальнейшим действиям злоумышленника с использованием полученных в результате сканирования данных.
- Угроза выявления пароля
Целью атаки является преодоление парольной защиты и получении НСД к чужой информации. Методов для кражи пароля очень много: простой перебор всех возможных значений пароля, перебор с помощью специальных программ (атака словаря), перехват пароля с помощью программы-анализатора сетевого трафика.
- Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа. Доверенный объект – это элемент сети, легально подключенный к серверу.
Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д.
Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.
Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта. Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).
Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных.
В результате реализации угрозы нарушитель получает права доступа, установленные его пользователем для доверенного абонента, к техническому средству ИСПД– цели угроз.
- Навязывание ложного маршрута сети
Данная атака стала возможной из-за недостатков протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP), таких как слабая аутентификация маршрутизаторов. Суть атаки состоит в том, что злоумышленник, используя уязвимости протоколов, вносит несанкционированные изменения в маршрутно-адресные таблицы.
- Внедрение ложного объекта сети
Когда изначально объекты сети не знают информацию друг о друге, то для построения адресных таблиц и последующего взаимодействия, используется механизм запрос (как правило, широковещательный) — ответ с искомой информацией. При этом если нарушитель перехватил такой запрос, то он может выдать ложный ответ, изменить таблицу маршрутизации всей сети, и выдать себя за легального субъекта сети. В дальнейшем все пакеты, направленные к легальному субъекту, будут проходить через злоумышленника.
- Отказ в обслуживании
Этот тип атак является одним из самых распространенных в настоящее время. Целью такой атаки является отказ в обслуживании, то есть нарушение доступности информации для законных субъектов информационного обмена.
Могут быть выделены несколько разновидностей таких угроз:
- скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПД на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу;
- явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam);
- явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS-flooding) или идентификационной и аутентификационной информации;
- явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа «Land», «TearDrop», «Bonk», «Nuke», «UDP-bomb») или имеющих длину, превышающую максимально допустимый размер (угроза типа «Ping Death»), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.
Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПД в ИСПД, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПД, какое максимально может «вместить» трафик (направленный «шторм запросов»), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.
Мы рассмотрели наиболее часто реализуемые угрозы при сетевом взаимодействии. На практике угроз значительно больше. Частная модель угроз безопасности строится на основе двух документов ФСТЭК – «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» и «Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПД». Если организация большая, и в ней несколько систем ИСПД, наиболее разумным решением будет привлечение квалифицированных специалистов сторонних фирм для построения частной модели угроз и проектирования СЗПД.
4.4. Организационно-распорядительная документация по защите ПД
Помимо технических и процедурных решений создаваемой системы защиты персональных данных, оператор должен обеспечить разработку организационно — распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПД при их обработке в ИСПД и эксплуатации системы защиты персональных данных (далее СЗПД). Таких документов достаточно много, основные из них:
1. Положение по обеспечению безопасности ПД. Это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152, а, следовательно, в нем должно быть указано:
- цель и задачи в области защиты персональных данных;
- понятие и состав персональных данных;
- в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
- как происходит сбор и хранение персональных данных;
- как они обрабатываются и используются;
- кто (по должностям) в пределах фирмы имеет к ним доступ;
- принципы защиты ПД, в том числе от несанкционированного доступа;
- права работника в целях обеспечения защиты своих персональных данных;
- ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
Положение по обеспечению безопасности персональных данных утверждается руководителем организации или уполномоченным им лицом, вводится в действие приказом руководителя. Работодатель обязан ознакомить работника с Положением… под подпись.
2. Для организации системы допуска и учета лиц, допущенных к работе с ПД в ИСПД, — Список лиц, допущенных к обработке ПД (перечень по должностям тех, кому доступ к ПД необходим для выполнения служебных обязанностей) и Матрица доступа (должна отражать полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПД – чтение, запись, корректировка, удаление).
В первую очередь доступ необходимо оформить сотрудникам кадровой службы, поскольку они собирают и формируют данные о работнике, а также сотрудникам бухгалтерии. Помимо того, доступ к этим сведениям могут получить руководители структурных подразделений (например, начальники отделов) – и это также необходимо отразить в списке. Однако все они вправе запрашивать не любые данные, а только те, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.
Список лиц, допущенных к обработке ПД, можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.
3. Частная модель угроз (если ИСПД несколько, то модель угроз разрабатывается на каждую из них) – разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:
- угрозы утечки информации по техническим каналам;
- угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПД, реализующих угрозы непосредственно в ИСПД. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПД;
- угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПД, реализующих угрозы из внешних сетей связи общего пользования и(или) сетей международного информационного обмена.
Разработанная модель угроз утверждается руководителем.
4. На основании утвержденной модели угроз ИСПД необходимо разработать требования по обеспечению безопасности ПД при их обработке в ИСПД. Требования, как и модель угроз, — это самостоятельный документ, который должен быть утвержден руководителем организации.
Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК.
5. Инструкции в части обеспечения безопасности ПД при их обработке в ИСПД.
6. Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.
Мы рассмотрели только основные организационно-распорядительные документы. Помимо перечисленных документов необходимо составить Акт классификации ИСПД, Технический паспорт ИСПД, Электронный журнал регистрации обращений пользователей ИСПД на получение ПД, Регламент разграничения прав доступа, приказы о назначении лиц, работающих с ИСПД и т.п.
Кроме того, до проведения всех мероприятий по защите ПД оператор должен назначить должностное лицо или (если ИСПД достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПД. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица (подразделения), ответственного за обеспечение безопасности ПД, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами).
>Глава 2. Характеристика угроз безопасности информации
2.1. Виды угроз безопасности информации
Под безопасностью информации понимаются условия, при которых она не подвергается опасности. Опасность (по Ожегову С. И.) — угрозы чего-либо. Следовательно, под безопасностью информации следует понимать условия хранения, обработки и передачи информации, при которых обеспечивается ее защита от угроз уничтожения, изменения и хищения.
Следует различать потенциальную и реальную безопасность. Потенциальная безопасность информации, как и любого другого объекта или субъекта, существует всегда. Безопасность информации оценивается двумя показателями: вероятностью предотвращения угроз и временем, в течение которого обеспечивается определенный уровень безопасности. Эти показатели взаимозависимые. При заданных конкретных мерах по защите обеспечить более высокий уровень безопасности возможно в течение более короткого времени.
Так как информация содержится в значениях параметров носителя, то эти параметры должны сохранять свои значения в течение определенных значений. Очевидно, что параметры носителя постоянно меняются. Бумага со временем изменяет свой цвет, становится ломкой и хрупкой. Но если текст, напечатанный на ней, читается без искажений, то можно говорить об обеспечении безопасности содержания информации. Однако когда текст, например, содержит цветные изображения (рисунки или цветные репродукции), то ухудшение яркости или изменение красок меняют количество информации в изображении. В этом случае информация искажается. Для замедления процесса изменения параметров бумаги в хранилищах книг и картин принимают специальные меры по обеспечению безопасности информации путем уменьшения влияния угроз со стороны факторов среды хранения: поддерживают определенную температуру и влажность воздуха.
С угрозами безопасности информации постоянно сталкиваются пользователи вычислительной техники. Информация, записанная на магнитных дисках, со временем теряется или искажается в результате осыпания магнитного порошка или размагничивания отдельных участков магнитного слоя дисков, дискет и лент.
Информация постоянно подвергается случайным или преднамеренным воздействиям — угрозам: хищению, изменению, уничтожению. В общем случае эти угрозы реализуются в результате:
— действий злоумышленников: людей, занимающихся добыванием информации в интересах государственной и коммерческой разведки, криминальных элементов, непорядочных сотрудников или просто психически больных людей;
— разглашения информации людьми, владеющими секретной или конфиденциальной информацией;
— утери носителей с информацией (документов, машинных носителей, образцов материалов и др.);
— несанкционированного распространения информации через поля и электрические сигналы, случайно возникающие в электрических и радиоэлектронных приборов в результате их старения, некачественного конструирования (изготовления) и нарушений правил эксплуатации;
— воздействий стихийных сил, прежде всего, огня во время пожара и воды в ходе тушения пожара и протечками в трубах водоснабжения;
— сбоев в работе аппаратуры сбора, обработки, хранения и передачи информации, вызванных ее неисправностями, а также непреднамеренных ошибок пользователей или обслуживающего персонала;
— воздействия мощных электромагнитных и электрических промышленных и природных помех.
Несанкционированное распространение (утечка) информации может происходить в результате:
— наблюдения за источниками информации;
— подслушивания конфиденциальных разговоров и акустических сигналов;
— перехвата электрических, магнитных и электромагнитных полей, электрических сигналов и радиационных излучений;
— несанкционированного распространения материально-вещественных носителей за пределы организации.
Наблюдение включает различные формы: визуальное, визуально-оптическое (с помощью оптических приборов), телевизионное и радиолокационное наблюдение, фотографирование объектов в оптическом и инфракрасном диапазонах.
Учитывая распространенность акустической информации при общении людей, подслушивание, прежде всего, речевой информации вызывает одну из наиболее часто встречающихся угроз безопасности информации — ее копирование. Подслушивание звуков, издаваемых механизмами во время испытаний или эксплуатации, позволяет специалистам определить конструкцию, новые узлы и технические решения излучающих эти звуки механизмов. Перехват полей и электрических сигналов, содержащих информацию, осуществляется путем их приема злоумышленником и съема с них информации, а также анализа сигналов с целью получения сигнальных признаков.
Угрозу безопасности информации создают также условия и действия, обеспечивающие попадание к злоумышленнику бумажных носителей (набросков, черновиков и др.), бракованной продукции или ее отдельных узлов и деталей, сырья и материалов, содержащих демаскирующие вещества, и других источников информации.
Наблюдение, перехват и подслушивание информации, проводимые с использованием технических устройств, приводят к ее утечке по техническим каналам.
Для обеспечения эффективной защиты необходимо оценивать величину угрозы. Величину конкретной угрозы Суi для рассматриваемого i‑го элемента информации в общем случае можно представить в виде произведения потенциального ущерба от реализации угрозы по i‑му элементу информации Спуi и вероятности реализации угрозы Pуi, т. е. Суi=Cпуi Pуi.
Получить точные количественные значения сомножителей не представляется возможным. Приближенная оценка угрозы возможна при следующих ограничениях и условиях.
Во-первых, можно предположить, что максимальный ущерб от хищения информации соответствует ее цене. Действительно, в случае попадания информации к конкуренту владелец информации может лишиться не только ожидаемой прибыли, но и не компенсировать ее себестоимость.
Во-вторых, в условиях полной неопределенности знаний о намерениях злоумышленника по добыванию информации ошибка прогноза минимальна, если принять величину вероятности реализации угрозы в течение рассматриваемого периода времени (например, 1 года) равной 0.5.
В результате усреднения по всем i — м элементам информации верхняя граница угрозы составит половину цены защищаемой информации. Очевидно, что чем выше цена информации и больше угроза ее безопасности, тем больше ресурсов потребуется для защиты этой информации.
Понятие «Угроза безопасности». «Модель» нарушителя. Угроза информационным ресурсам
Понятие «Угроза безопасности». «Модель» нарушителя. Угроза информационным ресурсам
Угроза безопасности — потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба (защищаемому ресурсу) предприятию.
Угрозы можно классифицировать по различным основаниям и измерять в количественных параметрах. Возможны следующие типы угроз: экономические, социальные, правовые, организационные, информационные, экологические, технические и криминальные.
Рассмотрим механизм осуществления угрозы.
Уязвимость — это присущие предприятию причины обусловленными особенностями хранения, использования, транспортировки, охраны и защиты ресурсов, приводящие к нарушению безопасности конкретного ресурса.
Атака — реализация угрозы.
Ущерб — невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. (материальный, физический, моральный).
Внешние и внутренние источники угроз. «Модель» нарушителя.
В любом рассматриваемом времени и месте существует ряд факторов, которые каким-либо образом влияют на вероятность возникновения и возможность осуществления угроз.
Портрет потенциального НАРУШИТЕЛЯ безопасности информационного ресурса может быть представлен следующим образом: Нарушитель — это лицо, по ошибке, незнанию или осознанно предпринявшее попытку выполнения запрещенных операций и использующее для этого различные возможности, методы и средства.
Уровни технической оснащенности нарушителя и его знаний о физических принципах работы систем охраны, установленных на объекте, определяют возможность и время, необходимое ему на преодоление средств инженерной защиты и обход сигнализационной техники.
Наиболее вероятными путями физического проникновения «нарушителя» в здание являются:
через двери и окна первого этажа;
по коммуникационным и техническим проемам подвала или цокольного этажа;
с крыши через окна или другие проемы верхних этажей;
путем разрушения ограждений (разбивание стекол, пролом дверей, решеток, стен, крыши, внутренних перегородок, пола и т.п.).
Рассматривают две группы способов реализации угроз (враждебных действий) — контактные, бесконтактные.
Способы проникновения на объект, в его здания и помещения могут быть самые различные (это описано во многих литературных источниках), например:
разбитие окна, витрины, остекленной двери или других остекленных проемов;
взлом (отжатие) двери, перепиливание (перекус) дужек замка и другие способы проникновения через дверь;
пролом потолка, подлежащего блокировке;
пролом капитального потолка, не подлежащего блокировке;
пролом стены, подлежащей блокировке;
пролом капитальной стены, не подлежащей блокировке;
пролом (подкоп) капитального пола, не подлежащего блокировке;
пролом (подкоп) пола, подлежащего блокировке;
проникновение через разгрузочный люк;
проникновение через вентиляционное отверстие, дымоход или другие строительные коммуникации;
проникновение подбором ключей;
оставление нарушителя на объекте до его закрытия;
свободный доступ нарушителя на объект в связи с времен-ным нарушением целостности здания из-за влияния природно-техногенных факторов или в период проведения ремонта;
проникновение через ограждение (забор, сетку, решетку), ис-пользуя подкоп, перелаз, разрушение, прыжок с шестом и т.д.
Каждый тип нарушителей (неподготовленный, подготовленный, квалифицированный) будет осуществлять проникновение на объект по разному — менее или более грамотно используя различные условия, способствующие проникновению, как то:
взрыв;
пожар (поджог);
разбойное нападение;
наводнение;
химическое заражение;
общественные беспорядки;
отключение электроэнергии на объекте, в районе, городе;
постановка нарушителем помех ТСО на объекте;
постановка нарушителем помех в канале связи объекта с охраной;
предварительный вывод из строя ТСО на объекте;
предварительный вывод из строя канала связи объекта с охраной;
предварительный сговор нарушителя с персоналом объекта;
предварительный сговор нарушителя с персоналом службы охраны объекта;
создание и использование многих и многих других условий для проникновения на охраняемый объект, например: использование дрессированных животных и птиц, специальных технических средств обхода ТСО, специальных технических средств для предварительного изучения объекта и т.д.
Модель нарушителя информационной безопасности может быть дополнена некоторыми показателями, определяемыми особенностями человеческого характера. Сотрудники охраняемого объекта, участвующие в процессах движения информации, могут быть возможными нарушителями. Типы угроз компьютерной информации и возможные нарушители представлены в таблице.
Любой нарушитель для реализации своих замыслов руководствуется определенной мотивацией и намерениями, владеет совокупностью знаний, умений и навыков (способов) совершения противоправных действий с применением технических средств, имеет в своем распоряжении соответствующие технические средства. Он знает систему защиты информации на объекте или имеет Возможность доступа к конкретным информационным ресурсам, сам выбирает время и место предполагаемого нарушения.
Угрозы персоналу.
Правовое положение работника на предприятии определяется положениями Конституции РБ, а также условиями контракта (трудового соглашения) и организационно-распорядительными документами, действующими на данном предприятии, в т.ч. и в части обеспечения безопасности на своем участке работы. Работодатель обязан предпринять меры для защиты работника от возможных угроз его здоровью, жизни, интересам, а работник, в свою очередь — добросовестно выполнить обязательства, взятые на себя при оформлении контракта во время приема на работу.
Угрозы Персоналу (человеку) могут быть выражены явлениями и действиями такими как:
1) Стихийные бедствия;
2) Вредные условия труда; попытки внесения изменений в технологические процессы производства, с целью подготовки и совершения технологических аварий; техногенные аварии;
3) Психологический террор, угрозы, компромат, распространение ложной информации (то ли он украл, то ли у него украли), запугивание, шантаж, вымогательство;
4) Нападение, с целью завладения денежными средствами, ценностями, сведениями конфиденциального характера и документами;
5) Внесение опасных для здоровья изменений в окружающую среду (радиоактивное, химическое, бактериологическое заражение и т.п.);
8) Убийства, сопровождаемые насилием, издевательствами и пытками и другие.
Способы осуществления угроз персоналу разнообразны и зависят от исполнителя угрозы, его подготовки и оснащенности.
Угрозы материальным ресурсам.
Ценным ресурсам предприятия с физической формой существования могут угрожать:
Стихийные бедствия;
Пожар;
Хищения — совершенное с корыстной целью противоправное безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества;
Повреждение — изменение свойств имущества, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становиться полностью или частично непригодным для целевого использования. Повреждение осуществляется с помощью поджогов, взрывов, обстрелов из огнестрельного оружия и другими способами ограждений, входных дверей, ворот, решеток, витрин, и т.п.; транспортных средств, технологического транспорта и оборудования; средств и систем связи и сигнализации; систем жизнеобеспечения предприятия.
Уничтожение — внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводится в полную непригодность для использования по целевому назначению. Уничтоженное имущество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота.
Заражение радиоактивными, химическими, бактериологическими веществами;
Пикетирование, блокирование входов, вторжение, захват и другие.
Способы осуществления угроз ценным ресурсам, существующим в физической форме, также разнообразны и зависят от исполнителя угрозы, его подготовки и оснащенности.
Угрозы информационным ресурсам.
Классификация угроз информационным ресурсам.
Угрозы информационным ресурсам можно в общем случае классифицировать:
1). По цели реализации угроз:
угрозы конфиденциальности:
хищение (копирование) информации и средств ее обработки (носителей);
утрата (неумышленная потеря, утечка) информации и средств ее обработки (носителей);
угрозы доступности:
блокирование информации;
уничтожение информации и средств ее обработки (носителей);
угрозы целостности:
модификация (искажение) информации;
отрицание подлинности информации;
навязывание ложной информации, обман
При этом:
Хищение и Уничтожение информации понимается аналогично по применению к материальным ценным ресурсам. Уничтожение компьютерной информации — стирание информации в памяти ЭВМ.
Копирование информации — повторение и устойчивое запечатление информации на машинном или ином носителе.
Повреждение — изменение свойств носителя информации, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и он становиться полностью или частично непригодным для целевого использования.
Модификация информации — внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных для компьютерной информации.
Блокирование информации — несанкционированное затруднение доступа пользователей к информации, не связанное с ее уничтожением;
Несанкционированное уничтожение, блокирование, модификация, копирование информации — любые, не разрешенные Законом, собственником или компетентным пользователем указанных действий с информацией.
Обман (отрицание подлинности, навязывание ложной информации) — умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество, и таким образом добиться от него добровольной передачи имущества, а также сообщений с этой целью заведомо ложных сведений.
2) По принципу воздействия на носители информации — систему обработки и передачи информации (АСОИ):
с использованием доступа нарушителя (злоумышленника, пользователя АСОИ, процесса) к объекту (в комнату переговоров, к файлу данных, каналу связи и т.д.);
с использованием скрытых каналов — с применением ЗУ, РЗУ, путей передачи информации, позволяющих двум взаимосвязанным процессам (легитимному и внедренному злоумышленником) обмениваться информацией таким способом, который приводит к у теске информации.
3) По характеру воздействия на систему обработки и передачи информации:
— активные угрозы, связанные с выполнением нарушителем каких-либо действий, (копирование, несанкционированная запись, доступ к наборам данных, программам, вскрытие пароля и т.д.);
— пассивные угрозы, осуществляются путем наблюдения пользователем каких-либо побочных эффектов процессов движения информации и их анализа.
4) По факту наличия возможной для использования ошибки защиты угроза может быть обусловлена одной из следующих причин:
неадекватностью — несоответствием режиму безопасности защиты зоны охраны.
ошибками административного управления- режима безопасности;
ошибками в алгоритмах программ, в связях между ними и т.д., которые возникают на этапе проектирования программ или комплекса программ и из-за которых эти программы могут быть использованы совсем не так, как описано в документации.
ошибками реализации алгоритмов программ (ошибки кодирования), связей между ними и т.д., которые возникают на этапах реализации, отладки и могут служить источником недокументированных свойств.
5) По способу воздействия на объект атаки (при активном воздействии):
непосредственное воздействие на объект атаки (в том числе с использованием привилегий), например: непосредственный доступ в зоны слышимости и видимости, к набору данных, программе, службе, каналу связи и т.д., воспользовавшись какой-либо ошибкой;
воздействие на систему разрешений (в том числе захват привилегий). При этом несанкционированные действия выполняются относительно прав пользователей на объект атаки, а сам доступ к объекту осуществляется потом законным образом;
опосредованное воздействие (через других пользователей):
«маскарад». В этом случае пользователь присваивает себе каким-либо образом полномочия другого пользователя, выдавая себя за него;
«использование вслепую». При таком способе один пользователь заставляет другого выполнить необходимые действия (для системы защиты они не выглядят несанкционированными, ибо их выполняет пользователь, имеющий на это право), причем последний о них может и не подозревать. Для реализации этой угрозы может использоваться вирус (он выполняет необходимые действия и сообщает о их результате тому, кто его внедрил).
Два последних способа очень опасны. Для предотвращения подобных действий требуется постоянный контроль как со стороны администраторов и операторов за работой АСОИ в целом, так и со стороны пользователей за своими собственными наборами данных.
6) По способу воздействия на АСОИ:
в интерактивном режиме — в процессе длительной работы с программой;
в пакетном режиме — после долговременной подготовки быстрым внедрением пакета программ направленного действия.
Работая с системой, пользователь всегда имеет дело с какой-либо ее программой. Одни программы составлены так, что пользователь может оперативно воздействовать на ход их выполнения, вводя различные команды или данные, а другие так, что всю информацию приходится задавать заранее. К первым относятся, например, некоторые утилиты, управляющие программы баз данных, в основном — это программы, ориентированные на работу с пользователем. Ко вторым относятся в основном системные и прикладные программы, ориентированные на выполнение каких-либо строго определенных действий без участия пользователя.
При использовании программ первого класса воздействие оказывается более длительным по времени и, следовательно, имеет более высокую вероятность обнаружения, но более гибким, позволяющим оперативно менять порядок действий. Воздействие с помощью программ второго класса (например, с помощью вирусов) является кратковременным, трудно диагностируемым, гораздо более опасным, но требует большой предварительной подготовки для того, чтобы заранее предусмотреть все возможные последствия вмешательства.
7) По объекту атаки:
АСОИ в целом: злоумышленник пытается проникнуть в систему для последующего выполнения каких-либо несанкционированных действий. Используют обычно «маскарад», перехват или подделку пароля, взлом или доступ к АСОИ через сеть;
объекты АСОИ — данные или программы в оперативной памяти или на внешних носителях, сами устройства системы, как внешние (дисководы, сетевые устройства, терминалы), так и внутренние (оперативная память, процессор), каналы передачи данных. Воздействие на объекты системы обычно имеет целью доступ к их содержимому (нарушение конфиденциальности или целостности обрабатываемой или хранимой информации) или нарушение их функциональности (например, заполнение всей оперативной памяти компьютера бессмысленной информацией или загрузка процессора компьютера задачей с неограниченным временем исполнения);
субъекты АСОИ — процессоры пользователей. Целью таких атак является либо прямое воздействие на работу процессора — его приостановка, изменение характеристик (например, приоритета), либо обратное воздействие — использование злоумышленником привилегий, характеристик другого процесса в своих целях. Воздействие может оказываться на процессы пользователей, системы, сети;
каналы передачи данных — прослушивание канала и анализ графика (потока сообщений); подмена или модификация сообщений в каналах связи и на узлах-ретрансляторах; изменение топологии и характеристик сети, правил коммутации и адресации.
8) По используемым средствам атаки:
— с использованием стандартного программного обеспечения;
-с использованием специально разработанных программ.
9) По состоянию объекта атаки.
Объект атаки хранится на диске, магнитной ленте, в оперативной памяти или в любом другом месте в пассивном состоянии. При этом воздействие на объект обычно осуществляется с использованием доступа; Объект атаки находится в состоянии передачи по линии связи между узлами сети или внутри узла. Воздействие предполагает либо доступ к фрагментам передаваемой информации (например, перехват пакетов на ретрансляторе сети), либо просто прослушивание с использованием скрытых каналов; Объект атаки (процесс пользователя) находиться в состоянии обработки.
Приведенная классификация показывает сложность определения возможных угроз и способов их реализации. Источники угроз информационным ресурсам аналогичны ранее рассмотренным источникам угроз для материальных ресурсов и могут быть представлены в таблице, как:
АНТРОПОГЕННЫЕ ИСТОЧНИКИ
— Криминальные структуры
— Потенциальные преступники и хакеры
— Недобросовестные партнеры
— Представители надзорных организаций и аварийных служб
— Представители силовых структур
-Основной персонал (пользователи, программисты, разработчики)
— Представители службы защиты информации (администраторы)
— Вспомогательный персонал (уборщики, охрана)
— Технический персонал (жизнеобеспечение, эксплуатация)
ТЕХНОГЕННЫЕ ИСТОЧНИКИ
Средства связи (передачи информации)
Сети инженерных коммуникаций (энергоснабжения, водоснабжения, отопления, вентиляции, канализации)
ВНУТРЕННИЕ ТЕХНОГЕННЫЕ ИСТОЧНИКИ УГРОЗ
Некачественные технические средства обработки информации
Некачественные программные средства обработки информации
Вспомогательные средства (охраны, сигнализации, телефонии)
Другие технические средства, применяемые в учреждении
СТИХИЙНЫЕ ИСТОЧНИКИ УГРОЗ
Пожары
Землетрясения
Наводнения
Ураганы
Различные непредвиденные обстоятельства
Необъяснимые явления
Другие форс-мажорные обстоятельства**
* Особую группу внутренних, антропогенных источников составляют специально внедренные и завербованные агенты из числа основного, вспомогательного, технического персонала и представителей службы защиты информации. Эта группа не рассматривается как самостоятельная, но при анализе, в случае возникновения потенциальной возможности внедрения агентов, необходимо учитывать особенности защиты от таких источников при рассмотрении возможностей внутренних антропогенных источников.
** В данном случае под термином «другие форс-мажорные обстоятельства» понимается юридическая составляющая форс-мажора, то есть различные решения высших государственных органов, забастовки, войны, революции и т. п., приводящие к возникновению обстоятельств непреодолимой силы.
ЛИТЕРАТУРА
1. Барсуков, В.С. Безопасность: технологии, средства, услуги / В.С.Барсуков. — М., 2001 — 496 с.
2. Ярочкин, В.И. Информационная безопасность. Учебник для студентов вузов / 3-е изд. — М.: Академический проект: Трикста, 2005.-544 с.
3. Барсуков, В.С. Современные технологии безопасности / В.С. Барсуков, В.В. Водолазский. — М.: Нолидж, 2000. — 496 с., ил.
4. Зегжда, Д.П. Основы безопасности информационных систем / Д.П. Зегжда, А.М. Ивашко. — М.: Горячая линия — Телеком, 2000. — 452 с., ил
5. Компьютерная преступность и информационная безопасность / А.П.Леонов ; под общ. Ред. А.П.Леонова. — Минск: АРИЛ, 2000.-552 с.
Цель изучения темы: изучить механизм реализации типовых удаленных атак и их характеристику.
Требования к знаниям и умениям
Студент должен знать:
-
типовые удаленной атаки и механизмы их реализации.
Студент должен уметь:
-
классифицировать типовые удаленные атаки по совокупности признаков.
Ключевой термин
Ключевой термин: Типовые удаленные атаки.
Типовая удаленная атака — это удаленное информационное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной сети.
Второстепенные термины
-
Удаленная атака «анализ сетевого трафика»
-
Удаленная атака «подмена доверенного объекта»
-
Удаленная атака «ложный объект»
-
Удаленная атака «отказ в обслуживании»
Расширяющий блок: Характеристика типовых удаленных атак.
Структурная схема терминов
Как уже было показано ранее, распределенные вычислительные сети проектируются на основе одних и тех же принципов, а, следовательно, имеют практически одинаковые проблемы безопасности, причем, в большинстве случаев, независимо от используемых сетевых протоколов, топологии и инфраструктуры вычислительной сети.
С учетом этого специалисты в области информационной безопасности используют понятие типовой удаленной угрозы (атаки), характерной для любых распределенных вычислительных сетей. Введение этого понятия в совокупности с описанием механизмов реализации типовых удаленных угроз позволяет выработать методику исследования безопасности вычислительных сетей, заключающейся в последовательной умышленной реализации всех типовых удаленных угроз и наблюдению за поведением системы.
Типовая удаленная атака — это удаленное информационное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной сети.
3.6.1 Удаленная атака «анализ сетевого трафика»
Основной особенностью распределенной вычислительной сети является распредельнность ее объектов в пространстве и связь между ними по физическим линиям связи. При этом все управляющие сообщения и данные, пересылаемые между объектами вычислительной сети, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичного для распределенных вычислительных сетей типового удаленного воздействия, заключающегося в прослушивании канала связи, называемого анализом сетевого трафика.
Анализ сетевого трафика позволяет:
-
изучить логику работы распределенной вычислительной сети, это достигается путем перехвата и анализа пакетов обмена на канальном уровне (знание логики работы сети позволяет на практике моделировать и осуществлять другие типовые удаленные атаки);
-
перехватить поток данных, которыми обмениваются объекты сети, т.е. удаленная атака данного типа заключается в получении несанкционированного доступа к информации, которой обмениваются пользователи (примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети).
По характеру воздействия анализ сетевого трафика является пассивным воздействием (класс 1.1). Осуществление данной атаки без обратной связи (класс 4.2) ведет к нарушению конфиденциальности информации (класс 2.1) внутри одного сегмента сети (класс 5.1) на канальном уровне OSI (класс 6.2). При этом начало осуществления атаки безусловно по отношению к цели атаки (класс 3.3).
3.6.2 Удаленная атака «подмена доверенного объекта»
Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентификация (определение подлинности) удаленных друг от друга объектов. Основная трудность заключается в осуществлении однозначной идентификации сообщений, передаваемых между субъектами и объектами взаимодействия. Обычно в вычислительных сетях эта проблема решается использованием виртуального канала, по которому объекты обмениваются определенной информацией, уникально идентифицирующей данный канал. Для адресации сообщений в распределенных вычислительных сетях используется сетевой адрес, который уникален для каждого объекта системы (на канальном уровне модели OSI — это аппаратный адрес сетевого адаптера, на сетевом уровне — адрес определяется протоколом сетевого уровня (например, IP-адрес). Сетевой адрес также может использоваться для идентификации объектов сети. Однако сетевой адрес достаточно просто подделывается и поэтому использовать его в качестве единственного средства идентификации объектов недопустимо. В том случае, когда в вычислительной сети использует нестойкие алгоритмы идентификации удаленных объектов, то оказывается возможной типовая удаленная атака, заключающаяся в передаче по каналам связи сообщений от имени произвольного объекта или субъекта сети (т.е. подмена объекта или субъекта сети).
Подмена доверенного объекта распределенной вычислительной сети является активным воздействием (класс 1.2), совершаемым с целью нарушения конфиденциальности (класс 2.1) и целостности (класс 2.2) информации, по наступлению на атакуемом объекте определенного события (класс 3.2). Данная удаленная атака может являться как внутрисегментной (класс 5.1), так и межсегментной (класс 5.2), как с обратной связью (класс 4.1), так и без обратной связи (класс 4.2) с атакуемым объектом и осуществляется на сетевом (класс 6.3) и транспортном (класс 6.4) уровнях модели OSI.
Принципиальная возможность реализации данного вида удаленной атаки в вычислительных сетях также обусловлена недостаточно надежной идентификацией сетевых управляющих устройств (например, маршрутизаторов). Целью данной атаки является внедрение в сеть ложного объекта путем изменения маршрутизации пакетов, передаваемых в сети. Внедрение ложного объекта в распределенную сеть может быть реализовано навязыванием ложного маршрута, проходящего через ложный объект.
Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через сетевые узлы. При этом маршрутом называется последовательность узлов сети, по которой данные передаются от источника к приемнику. Каждый маршрутизатор имеет специальную таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальный маршрут. Таблицы маршрутизации существуют не только у маршрутизаторов, но и у любых хостов (узлов) в глобальной сети. Для обеспечения эффективной и оптимальной маршрутизации в распределенных ВС применяются специальные управляющие протоколы, позволяющие маршрутизаторам обмениваться информацией друг с другом (RIP (Routing Internet Protocol), OSPF (Open Shortest Path First)), уведомлять хосты о новом маршруте — ICMP (Internet Control Message Protocol), удаленно управлять маршрутизаторами (SNMP (Simple Network Management Protocol)). Эти протоколы позволяют удаленно изменять маршрутизацию в сети Интернет, то есть являются протоколами управления сетью.
Реализация данной типовой удаленной атаки заключается в несанкционированном использовании протоколов управления сетью для изменения исходных таблиц маршрутизации. В результате успешного изменения маршрута атакующий получит полный контроль над потоком информации, которой обмениваются объекты сети, и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей сообщений, получаемых от дезинформированных объектов вычислительной сети.
Навязывание ложного маршрута — активное воздействие (класс 1.2), совершаемое с любой из целей из класса 2, безусловно по отношению к цели атаки (класс 3.3). Данная типовая удаленная атака может осуществляться как внутри одного сегмента (класс 5.1), так и межсегментно (класс 5.2), как с обратной связью (класс 4.1), так и без обратной связи с атакуемым объектом (класс 4.2) на транспортном (класс 6.3) и прикладном (класс 6.7) уровне модели OSI.
Получив контроль над проходящим потоком информации между объектами, ложный объект вычислительной сети может применять различные методы воздействия на перехваченную информацию, например:
1. селекция потока информации и сохранение ее на ложном объекте (нарушение конфиденциальности);
2. модификация информации:
· модификация данных (нарушение целостности);
· модификация исполняемого кода и внедрение разрушающих программных средств – программных вирусов (нарушение доступности, целостности);
3. подмена информации (нарушение целостности).
3.6.4 Удаленная атака «отказ в обслуживании»
Одной из основных задач, возлагаемых на сетевую операционную систему, функционирующую на каждом из объектов распределенной вычислительной сети, является обеспечение надежного удаленного доступа с любого объекта сети к данному объекту. В общем случае в сети каждый субъект системы должен иметь возможность подключиться к любому объекту сети и получить в соответствии со своими правами удаленный доступ к его ресурсам. Обычно в вычислительных сетях возможность предоставления удаленного доступа реализуется следующим образом: на объекте в сетевой операционной системе запускаются на выполнение ряд программ-серверов (например, FTP-сервер, WWW-сервер и т.п.), предоставляющих удаленный доступ к ресурсам данного объекта. Данные программы-серверы входят в состав телекоммуникационных служб предоставления удаленного доступа. Задача сервера состоит в том, чтобы постоянно ожидать получения запроса на подключение от удаленного объекта и, получив такой запрос, передать на запросивший объект ответ, в котором либо разрешить подключение, либо нет. По аналогичной схеме происходит создание виртуального канала связи, по которому обычно взаимодействуют объекты сети. В этом случае непосредственно операционная система обрабатывает приходящие извне запросы на создание виртуального канала и передает их в соответствии с идентификатором запроса (номер порта) прикладному процессу, которым является соответствующий сервер. В зависимости от различных параметров объектов вычислительной сети, основными из которых являются быстродействие ЭВМ, объем оперативной памяти и пропускная способность канала связи — количество одновременно устанавливаемых виртуальных подключений ограничено, соответственно, ограничено и число запросов, обрабатываемых в единицу времени. С этой особенностью работы вычислительных сетей связана типовая удаленная атака «Отказ в обслуживании». Реализация этой угрозы возможна, если в вычислительной сети не предусмотрено средств аутентификации (проверки подлинности) адреса отправителя. В такой вычислительной сети возможна передача с одного объекта (атакующего) на другой (атакуемый) бесконечного числа анонимных запросов на подключение от имени других объектов.
Результат применения этой удаленной атаки — нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов вычислительной сети — отказ в обслуживании. Одна из разновидностей этой типовой удаленной атаки заключается в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволяет трафик. В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов. И последней, третьей разновидностью атаки «Отказ в обслуживании» является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы.
Типовая удаленная атака «Отказ в обслуживании» является активным (класс 1.2) однонаправленным воздействием (класс 4.2), осуществляемым с целью нарушения работоспособности системы (класс 2.3) на транспортном (класс 6.4) и прикладном (класс 6.7) уровнях модели OSI.
Выводы по теме
-
Анализ сетевого трафика заключается в прослушивании канала связи.
-
Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентификация (определение подлинности) удаленных друг от друга объектов.
-
В том случае, когда в вычислительной сети использует нестойкие алгоритмы идентификации удаленных объектов, то оказывается возможной типовая удаленная атака, заключающаяся в передаче по каналам связи сообщений от имени произвольного объекта или субъекта сети (т.е. подмена объекта или субъекта сети).
-
Целью удаленной атаки «ложный объект» является внедрение в сеть ложного объекта путем изменения маршрутизации пакетов, передаваемых в сети. Внедрение ложного объекта в распределенную сеть может быть реализовано навязыванием ложного маршрута, проходящего через ложный объект.
-
Целью удаленной атаки «отказ в обслуживании» является нарушение работоспособности соответствующего узла сети или сервиса, предоставляемого им другим пользователям.
Контрольные вопросы:
-
Дайте определение типовой удаленной атаки.
-
Механизм реализации удаленной атаки «анализ сетевого трафика».
-
Что является целью злоумышленников при «анализе сетевого трафика»?
-
Назовите причины успеха удаленной атаки «ложный объект».
-
Охарактеризуйте удаленную атаку «подмена доверенного объекта» по классам угроз.
-
Поясните возможные механизмы реализации удаленной атаки «отказ в обслуживании».
-
Какие составляющие «информационной безопасности» могут быть нарушены при реализации каждой из типовых удаленных атак?
Поделиться ссылкой:
Изменение данных
злоумышленник, получивший возможность прочитать данные, сможет сделать и следующий шаг — изменить их. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе.
Анализ сетевого трафика
целью атак подобного типа являются прослушивание каналов связи и анализ передаваемых данных и служебной информации с целью изучения топологии и архитектуры построения системы, получения критической пользовательской информации (например, паролей пользователей или номеров кредитных карт, передаваемых в открытом виде). При анализе сетевого трафика нарушитель может находиться как внутри сегмента, так и между сегментами. Атакам данного типа подвержены такие протоколы, как FTP или Telnet, особенностью которых является то, что имя и пароль пользователя передаются в рамках этих протоколов в открытом виде.
Подмена доверенного субъекта.
Большая часть сетей и операционных систем используют IP-адрес компьютера для того, чтобы определить, тот ли это адресат, который нужен.
В некоторых случаях возможно некорректное присвоение 1Р-ад- реса (подмена IP-адреса отправителя другим адресом) — такой способ атаки называют фальсификацией адреса (ip-spoofing).
IP-спуфинг имеет место, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за законного пользователя.
Злоумышленник может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам.
Злоумышленник может также использовать специальные программы, формирующие IP-пакеты таким образом, чтобы они выглядели как исходящие с разрешенных внутренних адресов корпоративной сети. Атаки IP-спуфинга часто являются отправной точкой для других атак. Классическим примером является атака типа «отказ в обслуживании» (DoS), которая начинается с чужого адреса, скрывающего истинную личность хакера.
Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер: правильная настройка управления доступом из внешней сети, пресечение попыток спуфинга чужих сетей пользователями своей сети.
Следует иметь в виду, что IP-спуфинг может быть осуществлен при условии, что аутентификация пользователей проводится на базе IP-адресов, поэтому введение дополнительных методов аутентификации пользователей (на основе одноразовых паролей или других методов криптографии) позволяет предотвратить атаки IР-спуфинга.
Угрозы безопасности персональных данных
Смотреть что такое «Угрозы безопасности персональных данных» в других словарях:
-
Угрозы безопасности персональных данных — 3.5. Угроза безопасности персональных данных: Угроза нарушения свойств безопасности персональных данных доступности, целостности или конфиденциальности персональных данных организации БС РФ… Источник: Рекомендации в области стандартизации Банка … Официальная терминология
-
Источник угрозы безопасности персональных данных — 3.1. Источник угрозы безопасности персональных данных: Объект или субъект, реализующий угрозы безопасности персональных данных путем воздействия на объекты среды обработки персональных данных организации БС РФ… Источник: Рекомендации в области… … Официальная терминология
-
Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) — Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… … Словарь-справочник терминов нормативно-технической документации
-
источник угрозы безопасности информации — 3.2.2 источник угрозы безопасности информации: Субъект, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации. Источник: Р 50.1.053 2005: Информационные технологии. Основные термины и… … Словарь-справочник терминов нормативно-технической документации
-
Источник угрозы безопасности информации — субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации… Источник: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах… … Официальная терминология
-
ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения — Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении ; АС в защищенном исполнении:… … Словарь-справочник терминов нормативно-технической документации
-
безопасность — 2.38 безопасность (security): Сочетание доступности, конфиденциальности, целостности и отслеживаемое™ . Источник: ГОСТ Р ИСО/ТС 22600 2 2009: Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 2. Формальные модел … Словарь-справочник терминов нормативно-технической документации
-
источник — 3.18 источник (source): Объект или деятельность с потенциальными последствиями. Примечание Применительно к безопасности источник представляет собой опасность (см. ИСО/МЭК Руководство 51). Источник … Словарь-справочник терминов нормативно-технической документации
-
нарушитель — 3.3 нарушитель (attacker): Любое лицо, преднамеренно использующее уязвимости технических и нетехнических мер и средств контроля и управления безопасностью с целью захвата или компрометации информационных систем и сетей, или снижения доступности… … Словарь-справочник терминов нормативно-технической документации
-
идентификация — 4.15 идентификация (identification): Процесс последовательного сопоставления полученного изображения лица со множеством изображений лиц для обнаружения похожего изображения; сопоставление 1:N («один ко многим»). Источник … Словарь-справочник терминов нормативно-технической документации