УИБ / учебный курс

h1. Угрозы информационной безопасности в информационных системах

{{TOC}}

!clipboard-202312041208-fubpw.png!

---

h2. Основные определения и критерии классификации угроз

> *Угроза* — это действие, которое потенциально может привести к нарушению информационной безопасности.

Попытка реализации угрозы называется *атакой*, а тот, кто предпринимает такую попытку — *злоумышленником*. Потенциальные злоумышленники являются источниками угрозы.

*Источником угрозы* могут быть: злоумышленники, обслуживающий персонал, техногенные аварии, стихийные бедствия.

Свойством угрозы является перечень уязвимостей, при помощи которых может быть реализована угроза.

Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем (например, возможность доступа посторонних лиц к критически важному оборудованию или ошибка в программном обеспечении).

> *Уязвимость* – это слабое место в информационной системе, которое может привести к нарушению безопасности путем реализации некоторой угрозы.

Свойствами уязвимости являются: вероятность (простота) реализации угрозы через данную уязвимость и критичность реализации угрозы через данную уязвимость.

Вероятность реализации угрозы через данную уязвимость в течение года – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях. Указывается в процентах.

Критичность реализации угрозы – степень влияния реализации угрозы на ресурс, т.е. как сильно реализация угрозы повлияет на работу ресурса. Задается в процентах. Состоит из критичности реализации угрозы по конфиденциальности, целостности и доступности (ERc, ERi, ERa).

Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется *окном опасности*, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на ИС.

Если речь идет об ошибках в ПО, то окно опасности «открывается» с появлением средств использования ошибки и ликвидируется при наложении патчей (заплат), ее исправляющих. 

Для большинства уязвимых мест окно опасности существует сравнительно долго (несколько дней, иногда — недель), поскольку за это время должны произойти следующие события.

* должно стать известно о средствах использовании пробела в защите;

* должны быть выпущены соответствующие заплаты;

* заплаты должны быть установлены в защищаемой ИС.

Новые уязвимые места и средства их использования появляются постоянно; это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат — как можно более оперативно.

Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов, они существуют в силу самой природы современных ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.

Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы. 

> Сведения о возможных угрозах, а также об уязвимых местах, через которые эти угрозы могут быть реализованы, необходимы для того, чтобы с одной стороны – выработать требования к создаваемой КСЗИ в ИС, с другой стороны – для того, чтобы выбрать наиболее экономичные средства обеспечения безопасности.

Незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.

На начальном этапе создания комплексной системы защиты информации в ИС разрабатывается документ, который называется "Модель угроз".

*Модель угроз* - это документ, определяющий перечень и характеристики основных (актуальных) угроз безопасности и уязвимостей при их обработке в ИС, которые должны учитываться в процессе организации защиты информации, проектирования и разработки систем защиты информации, проведения проверок (контроля) защищенности ИС. 

*Цель разработки модели угроз* – определение актуальных для конкретной ИС угроз безопасности, источников угроз и уязвимостей. Результаты моделирования должны использоваться в качестве исходных данных для выработки требований ИБ к разрабатываемой системе защиты (СУИБ).

Cамо понятие «угроза» в разных ситуациях зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной. Однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в ИБ, зависят от интересов субъектов информационных отношений, т. е. владельцев ИС, и от того, какой ущерб является для них неприемлемым

Угрозы можно классифицировать по нескольким критериям.

* *по аспекту информационной безопасности* (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;

* *по компонентам информационных систем*, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

* *по происхождению и способу осуществления* (непреднамеренные/преднамеренные действия природного/техногенного характера);

> Самыми частыми и самыми опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.

По некоторым данным, до 65% потерь — следствие непреднамеренных ошибок. Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе.

Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками — максимальная автоматизация и строгий контроль.

* *по расположению источника угроз* (внутренние/внешние).

_Внутренние угрозы безопасности объекта защиты:_ 

** неквалифицированная политика по управлению безопасностью корпорации; 

** отсутствие должной квалификации персонала по обеспечению деятельности и управлению объектом защиты;

** преднамеренные и непреднамеренные действия персонала по нарушению безопасности и т.д

_Внешние угрозы безопасности объекта защиты:_ 

** негативные воздействия недобросовестных конкурентов и государственных структур; 

** преднамеренные и непреднамеренные действия заинтересованных структур и физических лиц (сбор информации, шантаж, искажение имиджа, угрозы физического воздействия и др.); 

** утечка конфиденциальной информации из носителей информации и обусловленных каналов связи;

** несанкционированное проникновение на объект защиты;

** несанкционированный доступ к носителям информации и каналам связи с целью хищения, искажения, уничтожения, блокирования информации. 

Данный вариант классификации не единственный. Есть другие схемы классификации по другим критериям (по способу доступа, по этапу доступа, по текущему месту расположения информации и т.д.).

В качестве основного критерия мы будем использовать первый (по аспекту ИБ), привлекая при необходимости остальные.

Таким образом, базовые угрозы информационной безопасности – это нарушение доступности (отказ в обслуживании), нарушение целостности и нарушение конфиденциальности

---

h2. Основные угрозы доступности.

> *Доступность* — это возможность за приемлемое время получить требуемую информационную услугу.

_Угрозы доступности_ данных возникают в том случае, когда объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. В соответствии с определением доступности, лицо, используя ресурсы информационной системы (ИС) по правилам политики безопасности, должно получить информацию в необходимом ему виде, месте и своевременно.

Нарушение доступности реализуется либо по техническим причинам (отказ ИС, отказ поддерживающей инфраструктуры), либо связаны с человеческим фактором (ошибки, саботаж, диверсии, хакерские атаки).

Причинами отказа ИС могут быть: 

* нарушения правил эксплуатации;

* перегрузка ИС (например, из-за превышения расчетного числа запросов, превышения объема обрабатываемой информации);

* отказ программного обеспечения ИС;

* выход из строя (либо разрушение) аппаратуры ИС;

* разрушение данных. 

Отказами поддерживающей инфраструктуры могут быть - отказ системы электропитания, системы отопления, системы кондиционирования, системы заземления, разрушение зданий, инженерных сооружений и т.д. 

Причинами отказа ИС и поддерживающей инфраструктуры могут быть стихийные бедствия (пожар, ураган, наводнение, землетрясение) и природные явления (удары молнии). По статистике, на долю огня, воды и тому подобных «злоумышленников» (среди которых самый опасный — перебой электропитания) приходится 13% потерь, нанесенных информационным системам.

Весьма опасны так называемые «обиженные» сотрудники. Как правило, они стремятся нанести вред организации «обидчику», например:

* испортить оборудование;

* встроить логическую бомбу, которая со временем разрушит программы и/или данные;

* удалить данные.

Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.

h3. Некоторые примеры угроз доступности

Угрозы доступности могут выглядеть грубо — как повреждение или даже разрушение оборудования (в том числе носителей данных). Такое повреждение может вызываться естественными причинами (чаще всего — грозами). К сожалению, находящиеся в массовом использовании источники бесперебойного питания не защищают от мощных кратковременных импульсов, и случаи выгорания оборудования — не редкость.

В принципе, мощный кратковременный импульс, способный разрушить данные на магнитных носителях, можно сгенерировать и искусственным образом — с помощью так называемых высокоэнергетических радиочастотных пушек. Но в нынешних условиях подобную угрозу следует все же признать надуманной.

Действительно опасны протечки водопровода и отопительной системы. Часто организации, чтобы сэкономить на арендной плате, снимают помещения в домах старой постройки, делают косметический ремонт, но не меняют ветхие трубы. В связи с этим возникает угроза затопления.

Летом, в сильную жару, могут сломаться кондиционеры, установленные в серверных залах, набитых дорогостоящим оборудованием. В результате значительный ущерб наносится и репутации, и кошельку организации.

Общеизвестно, что периодически необходимо производить резервное копирование данных. Однако даже если это предложение выполняется, резервные носители зачастую хранят небрежно, не обеспечивая их защиту от вредного воздействия окружающей среды. И когда требуется восстановить данные, оказывается, что эти носители повреждены.

Перейдем теперь к угрозам доступности, которые реализуются путем *программных хакерских атак*.

В качестве средства вывода системы из штатного режима эксплуатации может использоваться агрессивное потребление ресурсов (обычно полосы пропускания сетей, вычислительных возможностей процессоров или оперативной памяти). По расположению источника угрозы такое потребление подразделяется на локальное и удаленное. При просчетах в конфигурации системы локальная программа способна практически монополизировать процессор и/или физическую память, сведя скорость выполнения других программ к нулю.

Простейший пример удаленного потребления ресурсов атака, получившая наименование «SYN-наводнение». Она представляет собой попытку переполнить таблицу «полуоткрытых» ТСР-соединений сервера (установление соединений начинается, но не заканчивается). Такая атака, по меньшей мере затрудняет установление новых соединений со стороны легальных пользователей, то есть сервер выглядит как недоступный.

По отношению к атаке «Рара Smurf» уязвимы сети, воспринимающие ping пакеты с широковещательными адресами. Ответы на такие пакеты «съедают» полосу пропускания.

Удаленное потребление ресурсов в последнее время проявляется в особенно опасной форме — как скоординированные распределенные атаки, когда на сервер с множества разных адресов с максимальной скоростью направляются вполне легальные запросы на соединение и/или обслуживание.

---

h2. Основные угрозы целостности

> Под *целостностью* информации подразумевается, ее защищенность от разрушения и несанкционированного изменения

Угрозы целостности данных, программ, аппаратуры. Целостность данных и программ нарушается при несанкционированном уничтожении, добавлении лишних элементов и модификации записей о состоянии счетов, изменении порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при активной ретрансляции сообщений с их задержкой. Несанкционированная модификация информации о безопасности системы может привести к несанкционированным действиям (неверной маршрутизации или утрате передаваемых данных) или искажению смысла передаваемых сообщений. Целостность аппаратуры нарушается при ее повреждении, похищении или незаконном изменении алгоритмов работы. 

Юридически некоторые нарушения целостности квалифицируются как кражи и подлоги. Эти нарушения занимают второе место по размерам приносимого ущерба (после непреднамеренных ошибок и упущений). 

С целью нарушения статической целостности злоумышленник (как правило, штатный сотрудник) может:

* ввести неверные данные;

* изменить данные.

Иногда изменяются содержательные данные, иногда — служебная информация

Показательный случай нарушения целостности имел место в 1996 году. Служащая Огасlе (личный секретарь вице-президента) предъявила судебный иск, обвиняя президента корпорации в незаконном увольнении после того, как она отвергла его ухаживания. В доказательство своей правоты женщина привела электронное письмо, якобы отправленное ее начальником президенту. Содержание письма для нас сейчас не важно; важно время отправки. Дело в том, что вице-президент предъявил, в свою очередь, файл с регистрационной информацией компании сотовой связи, из которого следовало, что в указанное время он разговаривал по мобильному телефону, находясь вдалеке от своего рабочего места. Таким образом, в суде состоялось противостояние «файл против файла». Очевидно, один из них был фальсифицирован или изменен, то есть была нарушена его целостность. Суд решил, что подделали электронное письмо (секретарша знала пароль вице-президента, поскольку ей было поручено его менять), и иск был отвергнут...

(Теоретически возможно, что оба фигурировавших на суде файла были подлинными, корректными с точки зрения целостности, а письмо отправили пакетными средствами, однако, на наш взгляд, это было бы очень странное для вице-президента действие.)

Из приведенного случая можно сделать вывод не только об угрозах нарушения целостности, но и об опасности слепого доверия компьютерной информации. Заголовки электронного письма могут быть подделаны; письмо в целом может быть фальсифицировано лицом, знающим пароль отправителя (что было показано в приведенном выше примере). Отметим, что последнее возможно даже тогда, когда целостность контролируется криптографическими средствами. 

Здесь имеет место взаимодействие разных аспектов информационной безопасности: если нарушена конфиденциальность, может пострадать целостность.

Угрозой целостности является не только фальсификация или изменение данных, но и *отказ от совершенных действий*. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства

Потенциально уязвимы с точки зрения нарушения целостности не только данные, но и программы. Внедрение вредоносного ПО — пример подобного нарушения.

*Угрозами динамической целостности* являются нарушение атомарности транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

---

h3. Основные угрозы конфиденциальности

> *Конфиденциальность* — это защита от несанкционированного доступа к информации

Угрозы конфиденциальности данных и программ реализуются при несанкционированном доступе к данным (например, к сведениям о состоянии счетов клиентов банка), программам или каналам связи. Информация, обрабатываемая на компьютерах или передаваемая по локальным сетям передачи данных, может быть снята через технические каналы утечки. При этом используется аппаратура, осуществляющая анализ электромагнитных излучений, возникающих при работе компьютера. Такой съем информации представляет собой сложную техническую задачу и требует привлечения квалифицированных специалистов.

С помощью приемного устройства, выполненного на базе стандартного радио, можно перехватывать информацию, передаваемую с расстояния в сто и более метров. Определенные сведения о работе компьютерной системы извлекаются даже в том случае, когда ведется наблюдение за процессом обмена сообщениями без доступа к их содержанию.

Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.

Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных сервисов). Если для доступа к таким системам используются многоразовые пароли или иная конфиденциальная информация, то наверняка эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе, а то и попросту теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схемы. Невозможно помнить много разных паролей; рекомендации по их регулярной (по возможности — частой) смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым (и столь же легко угадываемым) паролям.

Описанный класс уязвимых мест можно назвать размещением конфиденциальных данных в среде, где им не обеспечена (зачастую — и не может быть обеспечена) необходимая защита. Угроза же состоит в том, что кто-то не откажется узнать секреты, которые сами просятся в руки. Помимо паролей, хранящихся в записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным перехват данных. Для атаки могут использоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), но идея одна — осуществить доступ к данным в тот момент, когда они наименее защищены.

Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании ИС, но и, что очень важно, при всех изменениях. Весьма опасной угрозой являются... выставки, на которые многие организации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на них данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде. Это плохо даже в пределах защищенной сети организации; в объединенной сети выставки — это слишком суровое испытание честности всех участников.

Еще один пример изменения, о котором часто забывают, — хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом. Копии же нередко просто лежат в шкафах, и получить доступ к ним могут многие.

*Перехват данных* — очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например на кабельную сеть, может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям

Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто теряют.

Опасной угрозой конфиденциальности являются методы морально-психологического воздействия, такие как *маскарад* — выполнение действий под видом лица, обладающего полномочиями для доступа к данным.

К неприятным угрозам, от которых трудно защищаться, можно отнести *злоупотребление полномочиями*. На многих типах систем привилегированный пользователь (например, системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

---

h3. Вредительские программы

Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших общее название «вредительские программы». 

В зависимости от механизма действия вредительские программы делятся на четыре класса: 

# «логические бомбы»;

# «черви»; 

# «троянские кони»;

# «компьютерные вирусы». 

«Логические бомбы» - это программы или их части, постоянно находящиеся в ЭВМ или вычислительных системах (ВС) и выполняемые только при соблюдении определенных условий. Примерами таких условий могут быть: наступление заданной даты, переход КС в определенный режим работы, наступление некоторых событий установленное число раз и т.п. 

«Червями» называются программы, которые выполняются каждый раз при загрузке системы, обладают способностью перемещаться в ВС или сети и самовоспроизводить копии. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти и, в конечном итоге, к блокировке системы. 

«Троянские кони» - это программы, полученные путем явного изменения или добавления команд в пользовательские программы. При последующем выполнении пользовательских программ наряду с заданными функциями выполняются несанкционированные, измененные или какие-то новые функции. 

«Компьютерные вирусы» - это небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на КС

Поскольку вирусам присущи свойства всех классов вредительских программ, то в последнее время любые вредительские программы часто называют вирусами

Таковы основные угрозы, которые наносят наибольший ущерб субъектам информационных отношений.