Лекция 3. Угрозы ИБ: классификация, источники, векторы атак¶

• Содержание
• Лекция 3. Угрозы ИБ: классификация, источники, векторы атак
  • Введение
  • Классификация угроз
    • По природе возникновения
    • По преднамеренности
    • По объекту воздействия (нарушаемое свойство КДЦ)
    • По вектору реализации
  • Источники угроз
    • Антропогенные источники
    • Техногенные источники
    • Стихийные источники
  • Векторы атак
    • Сетевые векторы
    • Локальные векторы
    • Векторы через персонал
    • Векторы через цепочку поставок
  • Актуальные угрозы: понятие и критерии
  • Банк данных угроз ФСТЭК (БДУ)
  • Пример: перечень актуальных угроз для ИСПДн кадровой службы
  • Что дальше
  • Список литературы и нормативных актов

Введение¶

В предыдущих лекциях мы определили, что защищаем: объект информатизации и его активы. Теперь переходим к вопросу от чего защищаем.

Понятие угрозы — центральное в информационной безопасности, и именно здесь начинаются самые распространённые ошибки. Первая — путать угрозу с уязвимостью. Вторая — составлять перечень угроз «на глазок», по принципу «что в голову пришло». Третья — рассматривать угрозы абстрактно, без привязки к конкретному объекту и его активам.

Разберём все три ошибки через точные определения.

Угроза безопасности информации — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.
(ГОСТ Р 50922-2006)

Уязвимость — слабость в системе, которая может быть использована для нарушения безопасности.
(ISO/IEC 27000:2018)

Риск ИБ — потенциальная возможность того, что угроза воспользуется уязвимостью актива и причинит ущерб организации.

Соотношение этих понятий — фундамент всей работы по защите:

Классификация угроз¶

Угрозы классифицируются по нескольким основаниям. Понимание классификации позволяет структурировать перечень угроз и не упустить целые классы.

По природе возникновения¶

Класс	Характеристика	Примеры
Антропогенные	Вызваны действиями людей — преднамеренными или случайными	Хакерская атака, ошибка администратора, кража ноутбука
Техногенные	Вызваны отказами технических систем	Сбой жёсткого диска, перегрев оборудования, короткое замыкание
Стихийные	Вызваны природными явлениями	Пожар, наводнение, удар молнии, землетрясение

По преднамеренности¶

Класс	Характеристика
Преднамеренные	Целенаправленные действия нарушителя с умыслом нанести ущерб
Непреднамеренные	Случайные действия, ошибки, халатность без умысла нанести ущерб

По статистике большинства исследований инцидентов, непреднамеренные угрозы — ошибки персонала — являются причиной значительной доли инцидентов ИБ. Это означает, что система защиты обязана учитывать их наравне с преднамеренными атаками.

По объекту воздействия (нарушаемое свойство КДЦ)¶

Свойство	Угрозы
Конфиденциальность	Несанкционированный доступ, перехват трафика, утечка через персонал, разведка по открытым источникам (OSINT)
Целостность	Несанкционированная модификация данных, внедрение вредоносного кода, атаки типа man-in-the-middle
Доступность	DDoS-атаки, программы-вымогатели (ransomware), физическое уничтожение оборудования, сбои питания

По вектору реализации¶

• Сетевые угрозы — реализуются через каналы передачи данных.
• Локальные угрозы — требуют физического доступа к объекту или логического доступа к системе.
• Угрозы через цепочку поставок — реализуются через скомпрометированное ПО или оборудование сторонних поставщиков.
• Угрозы через персонал — социальная инженерия, инсайдерские действия.
• Физические угрозы — кража, вандализм, несанкционированный физический доступ.

Источники угроз¶

Источник угрозы — это то, что может реализовать угрозу. Правильная идентификация источников определяет, какие меры защиты будут эффективны.

Антропогенные источники¶

Внешние нарушители:

Тип	Мотивация	Типичные действия
Хакеры-одиночки	Финансовая выгода, самореализация, идеология	Эксплуатация уязвимостей, фишинг
Организованные киберпреступные группы	Финансовая выгода	Целевые атаки (APT), ransomware, кража данных
Государственные акторы (APT)	Шпионаж, дестабилизация, саботаж	Длительные скрытые кампании, атаки на КИИ
Конкуренты	Конкурентное преимущество	Промышленный шпионаж, дискредитация
Хактивисты	Идеологические цели	DDoS, дефейс сайтов, утечки данных

Внутренние нарушители:

Тип	Характеристика
Злонамеренный сотрудник	Намеренное причинение ущерба: кража данных, саботаж, продажа доступа
Халатный сотрудник	Ненамеренные нарушения: слабые пароли, открытие фишинговых писем, нарушение политик
Скомпрометированный сотрудник	Действует под принуждением или его учётная запись захвачена нарушителем
Привилегированный пользователь	Администратор, злоупотребляющий расширенными правами доступа

Внутренние нарушители особенно опасны: они знают архитектуру системы, имеют легитимный доступ и доверие коллег. Именно поэтому принцип минимальных привилегий и разделение обязанностей — первоочередные меры защиты. Подробнее в Лекции 6.

Техногенные источники¶

• Отказы аппаратного обеспечения (жёсткие диски, блоки питания, сетевое оборудование).
• Программные ошибки и уязвимости в ПО.
• Электромагнитные помехи, скачки напряжения.
• Износ носителей информации.

Стихийные источники¶

• Природные катастрофы (пожар, наводнение, землетрясение).
• Атмосферные явления (удар молнии, грозовые разряды в линии связи).

Стихийные угрозы нельзя предотвратить, но можно снизить ущерб от них через резервирование, географическое разнесение площадок и планы непрерывности бизнеса.

Векторы атак¶

Вектор атаки — конкретный путь, по которому угроза реализуется. Знание актуальных векторов позволяет выстраивать многоуровневую защиту на каждом из них.

Сетевые векторы¶

Фишинг и целевой фишинг (spear phishing). Электронные письма, имитирующие легитимные коммуникации. Цель — вынудить пользователя перейти по ссылке, открыть вложение или раскрыть учётные данные. По данным Verizon DBIR, фишинг остаётся одним из ведущих векторов первоначального проникновения в корпоративные сети.

Эксплуатация уязвимостей сетевых сервисов. Атаки на веб-приложения (SQL-инъекции, XSS, CSRF), эксплуатация уязвимостей в VPN-шлюзах, RDP, почтовых серверах.

Man-in-the-Middle (MitM). Перехват и модификация трафика между двумя узлами. Актуален в незащищённых сетях Wi-Fi, при атаках ARP-spoofing в локальной сети.

DDoS (Distributed Denial of Service). Атака на доступность путём перегрузки сервиса запросами с множества источников. Объёмные атаки (volumetric), атаки на протоколы и атаки уровня приложений — три основных типа.

Локальные векторы¶

Вредоносное программное обеспечение (malware). Вирусы, трояны, черви, шпионское ПО, ransomware. Проникает через фишинг, заражённые носители, уязвимости в ПО.

Эксплуатация локальных уязвимостей. Повышение привилегий после получения первоначального доступа с непривилегированной учётной записью.

Атаки на съёмные носители. Заражённые USB-накопители, подброшенные или переданные пользователю. Эффективны против изолированных (air-gapped) сетей.

Векторы через персонал¶

Социальная инженерия. Манипулирование людьми для получения информации или доступа. Формы: телефонный вишинг, имперсонация (pretexting), физическое следование за авторизованным лицом (tailgating).

Инсайдерские действия. Кража данных перед увольнением, продажа доступа, саботаж систем.

Векторы через цепочку поставок¶

Компрометация ПО сторонних разработчиков. Внедрение вредоносного кода в обновления легитимного ПО. Классический пример — атака SolarWinds (2020), когда через обновление системы мониторинга была скомпрометирована сеть тысяч организаций.

Скомпрометированное оборудование. Бэкдоры, внедрённые в процессоры, сетевые устройства или другое оборудование на этапе производства или поставки.

Актуальные угрозы: понятие и критерии¶

Не все угрозы одинаково применимы к конкретному объекту. Методика ФСТЭК вводит ключевое разграничение: потенциальная угроза (существует в принципе) vs актуальная угроза (реальна для данного объекта).

Угроза признаётся актуальной, если одновременно выполняются два условия:

1. Существует возможность реализации угрозы — то есть на объекте присутствует уязвимость, которую может использовать источник угрозы.
2. Существует мотивация или предпосылки для реализации — источник угрозы имеет интерес к активам данного объекта или технические условия для реализации угрозы объективно присутствуют.

Именно понятие актуальности угрозы делает модель угроз инструментом принятия решений, а не просто теоретическим перечнем. Организация не обязана защищаться от всех мыслимых угроз — только от актуальных. Методологии определения актуальности рассматриваются в Лекции 5.

Банк данных угроз ФСТЭК (БДУ)¶

В российской практике основным инструментом для составления перечня угроз является Банк данных угроз безопасности информации ФСТЭК России (БДУ).

БДУ содержит формализованные описания угроз в структурированном формате:

Поле	Содержание
Идентификатор	УБИ.XXX
Наименование	Краткое название угрозы
Описание	Детальное описание механизма реализации
Объект воздействия	Тип системы/компонента
Нарушаемые свойства	Конфиденциальность / Целостность / Доступность
Источник угрозы	Тип нарушителя
Способ реализации	Технический механизм

Пример записи в БДУ:

УБИ.008 — Угроза восстановления и использования очищенного аутентификационного контента.
Данная угроза заключается в возможности восстановления нарушителем очищенного аутентификационного контента (имён пользователей, паролей и т.п.) при наличии доступа к носителям информации или журналам системных событий. Нарушитель, используя специализированные программные средства, может восстановить удалённую или перезаписанную информацию аутентификации.

Актуальный перечень угроз доступен на сайте ФСТЭК России

Пример: перечень актуальных угроз для ИСПДн кадровой службы¶

Продолжим пример из предыдущих лекций. Для объекта — ИСПДн кадровой службы — определим актуальные угрозы на основе состава активов (Лекция 2) и характеристик объекта (Лекция 1).

Угроза	Источник	Актив	КДЦ	Обоснование актуальности
Несанкционированный доступ к БД через веб-приложение	Внешний нарушитель	БД личных дел	К, Ц	Приложение доступно из корпоративной сети; типовые уязвимости веб-приложений
Кража учётных данных HR-специалиста методом фишинга	Внешний нарушитель	Уч. записи HR	К	Сотрудники работают с электронной почтой; зафиксированы фишинговые кампании в отрасли
Утечка ПДн через привилегированного пользователя	Внутренний нарушитель	БД личных дел	К	Администратор СУБД имеет полный доступ к данным без контроля DLP
Шифрование данных программой-вымогателем	Внешний нарушитель	БД, резервные копии	Д, Ц	Рабочие станции имеют выход в интернет; антивирусная защита не обновлялась
Уничтожение данных при отказе оборудования	Техногенный	Сервер СУБД	Д, Ц	Единственный сервер без резервирования; ИБП с истёкшим ресурсом батарей
Перехват трафика в локальной сети	Внутренний нарушитель	БД личных дел	К	Трафик между приложением и СУБД не шифруется (HTTP вместо HTTPS)

Что дальше¶

• Следующая тема: 4. Модель нарушителя — детальная характеристика источников антропогенных угроз
• Методологии: 5. Методологии моделирования угроз — как формализовать перечень актуальных угроз по STRIDE, PASTA и методике ФСТЭК
• Смежная тема в курсе аудита: 3. Риск-ориентированный подход — угрозы как компонент оценки рисков
• Смежная тема в курсе менеджмента: 2. Угрозы ИБ в ИС — базовый обзор угроз, который здесь углублён

Список литературы и нормативных актов¶

• ГОСТ Р 50922-2006 — «Защита информации. Основные термины и определения»
• Методика оценки угроз безопасности информации ФСТЭК России (2021) — основной методический документ по формированию моделей угроз
• Банк данных угроз ФСТЭК России — bdu.fstec.ru
• ГОСТ Р 56939-2016 — «Защита информации. Разработка безопасного программного обеспечения»
• Verizon Data Breach Investigations Report (DBIR) — ежегодный отчёт о векторах атак и статистике инцидентов
• MITRE ATT&CK — база знаний тактик и техник атакующих: attack.mitre.org
• ISO/IEC 27005:2022 — управление рисками ИБ; раздел 6: идентификация и оценка угроз