Проект

Общее

Профиль

Действия
История

Wiki » ISM »

Угрозы информационной безопасности в информационных системах

Введение

Знать, что защищать — недостаточно. Нужно понимать, от чего защищать. Угрозы — это отправная точка любого анализа безопасности: без их инвентаризации невозможно ни выстроить систему защиты, ни обосновать её стоимость перед руководством.

По статистике, до 65% потерь организаций — следствие не хакерских атак, а непреднамеренных ошибок собственных сотрудников. Пожары и наводнения вместе взятые наносят меньший ущерб, чем безграмотность и небрежность персонала. Это означает, что модель угроз для большинства организаций гораздо шире, чем «нас взломают снаружи».

Эта тема опирается на понятия из 1. Основные понятия (триада КДЦ, активы, риски) и служит входными данными для 5. Управления рисками ИБ, где угрозы оцениваются количественно и расставляются по приоритетам.

Ключевые определения

Угроза — потенциальное событие или действие, способное нарушить информационную безопасность и нанести ущерб организации.

Атака — попытка реализации угрозы.

Злоумышленник — субъект, предпринимающий такую попытку. Источником угрозы может быть не только внешний злоумышленник, но и сотрудник, техногенная авария или стихийное бедствие.

Уязвимость — слабое место в информационной системе, через которое угроза может быть реализована. Уязвимость сама по себе не наносит вреда — вред возникает только при наличии угрозы, способной её использовать.

Окно опасности — промежуток времени от момента, когда появляется возможность использовать уязвимость, до момента, когда она устраняется. Для программных уязвимостей окно открывается с появлением эксплойта и закрывается после установки патча. Типичная продолжительность — от нескольких дней до нескольких недель.

Модель угроз — документ, определяющий перечень и характеристики актуальных угроз и уязвимостей для конкретной ИС. Разрабатывается на начальном этапе создания системы защиты и служит входными данными для формирования требований к СУИБ.

Связь угроз, уязвимостей и рисков выражается формулой: Риск = Угроза × Уязвимость × Ценность актива. Снижение любого из множителей уменьшает итоговый риск. Подробнее — в теме 5. Управление рисками ИБ.

Классификация угроз

Угрозы классифицируют по нескольким критериям. Основной — по аспекту ИБ, против которого угроза направлена в первую очередь.

По аспекту ИБ

Аспект Что нарушается Типичные угрозы
Доступность Возможность получить информацию или услугу DDoS-атака, сбой оборудования, ошибки персонала
Целостность Корректность и неизменность информации Подмена данных, внедрение вредоносного ПО, ошибки при вводе
Конфиденциальность Защита от несанкционированного доступа Перехват трафика, кража носителей, социальная инженерия

По источнику угрозы

Внутренние угрозы исходят от самой организации:
  • неквалифицированная политика управления безопасностью;
  • недостаточная квалификация персонала;
  • преднамеренные и непреднамеренные действия сотрудников.
Внешние угрозы исходят извне:
  • действия конкурентов, хакеров, иностранных спецслужб;
  • социальная инженерия, шантаж, физическое проникновение;
  • перехват данных из каналов связи;
  • стихийные бедствия и техногенные аварии.

По характеру возникновения

Непреднамеренные угрозы — ошибки и упущения без злого умысла: некорректные действия пользователей, сбои оборудования, природные явления. На их долю приходится до 65% всех потерь.

Преднамеренные угрозы — целенаправленные атаки с целью кражи, уничтожения или искажения информации.

Самый радикальный способ борьбы с непреднамеренными угрозами — максимальная автоматизация и строгий контроль. С преднамеренными — эшелонированная защита и мониторинг.

Угрозы доступности

Доступность — возможность за приемлемое время получить требуемую информационную услугу.

Нарушение доступности реализуется по двум основным причинам: технические отказы и человеческий фактор.

Технические причины отказов

Причины отказа самой ИС:
  • нарушения правил эксплуатации;
  • перегрузка (превышение расчётного числа запросов или объёма данных);
  • сбой или ошибка программного обеспечения;
  • физический выход оборудования из строя;
  • разрушение данных.
Причины отказа поддерживающей инфраструктуры:
  • перебои электропитания (наиболее опасный фактор — 13% всех потерь ИС);
  • отказ систем кондиционирования в серверных залах;
  • затопление из-за протечек водопровода или отопления;
  • пожар, удар молнии, землетрясение.

Практический пример: организации нередко арендуют офисы в старых зданиях с ветхими трубами. Косметический ремонт сделан, но трубы не заменены — угроза затопления серверной реальна и дешевле всего устраняется на этапе выбора помещения, а не после инцидента.

Человеческий фактор

Особую опасность представляют «обиженные» сотрудники — в том числе бывшие, знакомые с порядками в организации. Типичные действия: намеренная порча оборудования, удаление данных, внедрение логической бомбы с отложенным действием.

При увольнении сотрудника необходимо немедленно аннулировать все его права доступа — и логического, и физического. Это требование должно быть закреплено в регламенте HR-процессов.

Сетевые атаки на доступность

SYN-флуд — атака, при которой злоумышленник переполняет таблицу полуоткрытых TCP-соединений сервера. Сервер тратит ресурсы на ожидание завершения соединений, которые никогда не завершатся, и перестаёт обслуживать легальных пользователей.

Smurf-атака — отправка ping-пакетов с поддельным обратным адресом (адресом жертвы) на широковещательные адреса сети. Все узлы сети отвечают жертве, перегружая её канал.

DDoS (Distributed Denial of Service) — скоординированная атака с тысяч и миллионов узлов (ботнет), направляющих легальные на вид запросы к одному серверу. Объём трафика превышает возможности инфраструктуры жертвы.

Угрозы целостности

Целостность — защищённость информации от разрушения и несанкционированного изменения.

Статическая целостность

Нарушение статической целостности — изменение или уничтожение данных «в покое»:
  • ввод заведомо ложных данных в систему;
  • модификация записей в базе данных (например, изменение реквизитов получателя в платёжном поручении);
  • подмена служебной информации (маршрутизационных таблиц, конфигурационных файлов);
  • физическое повреждение или хищение носителей данных.

Динамическая целостность

Нарушение динамической целостности — воздействие на данные в процессе передачи:
  • перехват и подмена сетевых пакетов (MITM — атака «человек посередине»);
  • переупорядочение или дублирование сообщений;
  • нарушение атомарности транзакций;
  • активное прослушивание сети с модификацией трафика.

Неотказуемость

Угрозой целостности является не только изменение данных, но и отказ от совершённых действий. Если в системе нет механизма неотказуемости, цифровые документы не могут служить юридическим доказательством.

Реальный случай (1996): в американском суде столкнулись два электронных документа — электронное письмо и лог звонков оператора связи. Один из них был сфальсифицирован. Суд установил подделку письма: секретарь, знавшая пароль руководителя, воспользовалась им для фальсификации. Вывод: знание пароля позволяет обойти целостность даже при криптографической защите — именно поэтому пароли недостаточны, нужна криптографическая подпись.

Механизмы обеспечения целостности — хэш-функции и электронная цифровая подпись — рассмотрены в теме 10. Аудит и криптография.

Угрозы конфиденциальности

Конфиденциальность — защита от несанкционированного доступа к информации.

Технические каналы утечки

Информация, передаваемая по сети или обрабатываемая на компьютере, может быть перехвачена техническими средствами:
  • пассивное прослушивание сети — анализ незашифрованного трафика (применимо к Wi-Fi, коммутируемым сетям без шифрования);
  • перехват электромагнитного излучения — специализированная аппаратура способна восстанавливать данные по побочному излучению устройств на расстоянии до 100 метров;
  • перехват данных на резервных носителях — копии нередко хранятся без той же строгости, что и основные данные.

Организационные уязвимости

Конфиденциальность нарушается не только технически, но и через организационные слабости:

Хранение паролей в открытом виде — пользователи физически не могут помнить десятки сложных паролей, поэтому записывают их. Частая принудительная смена паролей усугубляет проблему: люди выбирают простые схемы чередования. Решение — менеджеры паролей и многофакторная аутентификация.

Передача конфиденциальных данных по незащищённым каналам — отправка чувствительных документов по незашифрованной почте, обсуждение в открытых мессенджерах, устные переговоры в публичных местах.

Вынос оборудования за периметр — ноутбуки, флеш-накопители, резервные носители, взятые на выставку или командировку, выходят из-под контроля корпоративных средств защиты.

Социальная инженерия

Маскарад — злоумышленник выдаёт себя за авторизованного пользователя: представляется сотрудником IT-отдела, звонит с просьбой «срочно сообщить пароль для устранения аварии», рассылает фишинговые письма от имени руководства.

Злоупотребление полномочиями — привилегированный пользователь (системный администратор, сервисный инженер) использует легальный доступ в корыстных целях: читает чужую переписку, копирует конфиденциальные данные, обходит программные средства защиты.

Технические меры противодействия угрозам конфиденциальности (управление доступом, шифрование, аутентификация) рассмотрены в темах 9. Управление доступом и 10. Аудит и криптография. Организационные меры — в теме 8. Организационные меры.

Вредоносное программное обеспечение

Отдельный класс угроз всем трём аспектам ИБ — вредоносные программы (malware). Они могут нарушать доступность (блокируя систему), целостность (изменяя данные) и конфиденциальность (похищая информацию).

Класс Механизм действия Основной эффект
Логическая бомба Скрытый код, активируемый при наступлении условия (дата, событие, команда) Уничтожение или модификация данных в заданный момент
Червь Самовоспроизводящаяся программа, распространяющаяся по сети без участия пользователя Перегрузка каналов связи и памяти, блокировка систем
Троянский конь Легитимная на вид программа со скрытым вредоносным функционалом Кража данных, предоставление удалённого доступа злоумышленнику
Вирус Код, внедряющийся в файлы и распространяющийся при их запуске Повреждение данных, распространение по системе

В современной терминологии термин «вирус» часто используется как общее название для любого вредоносного ПО. Строгая классификация важна при проектировании средств защиты: антивирус, песочница, EDR и IDS решают разные задачи.

Сводная таблица угроз

Аспект ИБ Источник Пример угрозы Меры противодействия
Доступность Внешний / технический DDoS-атака, отказ электропитания Резервирование, Anti-DDoS, ИБП, BCP
Доступность Внутренний Логическая бомба, ошибка администратора Разделение полномочий, мониторинг, регламенты
Целостность Внешний MITM-атака, подмена пакетов Шифрование канала, ЭЦП, TLS
Целостность Внутренний Несанкционированная правка БД, фальсификация Аудит изменений, контроль доступа, хэши
Конфиденциальность Внешний Перехват трафика, фишинг Шифрование, MFA, обучение персонала
Конфиденциальность Внутренний Злоупотребление доступом, кража носителя DLP, минимизация привилегий, шифрование носителей

Что дальше

Зная, что угрожает ИС, можно перейти к тому, как оценивается уровень защищённости самих систем и средств защиты — через оценочные стандарты.

Список литературы и стандартов

  • ФСТЭК России — Банк данных угроз безопасности информации — актуальный реестр угроз и уязвимостей для российских ИС
  • MITRE ATT&CK — база знаний тактик и техник реальных атак
  • CVE — международный реестр уязвимостей
  • ГОСТ Р 56546-2015 — Защита информации. Уязвимости информационных систем. Классификация уязвимостей
  • Anderson R. — Security Engineering: A Guide to Building Dependable Distributed Systems. 3rd ed. Wiley, 2020
  • Schneier B. — Secrets and Lies: Digital Security in a Networked World. Wiley, 2004

Обновлено С. Антошкин 16 дня назад · 15 изменени(я, ий)