Файл: Защита внутренней сети и сотрудников компании от атак (Глава 1. Модель угроз безопасности данных в корпоративной сети организации).pdf

1) Пассивные атаки

2) Активные атаки

Пассивное воздействие на распределённую вычислительную систему (РВС) отображает в себе некое воздействие, не оказывающее прямого влияния на работу системы, но в то же время способное нарушить её политику безопасности. Пассивное удалённое воздействие (ПУВ) довольно трудно наблюсти, в связи с отсутствием прямого влияния на работу РВС. Эвентуальным примером стандартного ПУВ в РВС является прослушивание канала связи в сети.

Активное воздействие на РВС — воздействие, оказывающее прямое влияние на работу самой системы (нарушение работоспособности, изменение конфигурации РВС и т. д.), которое нарушает политику безопасности, принятую в ней. Практически все типы удалённых атак оказываются активными воздействиями. Это связано с тем, что в саму природу наносящего ущерб воздействия включается активное начало. Очевидная разница между активного эффекта от пассивного - принципиальная возможность его проявления, в результате его реализации в какой-либо системе происходят изменения. При пассивном же воздействии, не остается абсолютно ни одного следа (из-за того, что злоумышленник просмотрит чужое сообщение в системе, в тот же момент не изменится собственно ничего).^[8]

б) По цели воздействия:

1) Атаки нарушение конфиденциальности информации

2) Атаки с нарушением целостности информации

3) Атаки с комплексным воздействием на информацию

Основная цель, которую преследует практически при любой атаки - получение несанкционированного доступа к информации. Существуют два основных варианта получения информации: искажение и перехват. Опция перехвата информации означает, чтобы получить к ней доступ без возможности её изменения. Вследствие этого, перехват информации приводит к нарушению её конфиденциальности. Одним распространённым примером перехвата информации является прослушивание канала в сети. В этом случае имеется нелегитимный доступ к информации без возможных вариантов её подмены. Совершенно очевидно, что нарушение конфиденциальности информации относится к пассивному сопротивлению.

Вероятность подмены информации необходимо осознавать либо как полный контроль над потоком информации между объектами системы, либо шанс передачи разных сообщений от чужого имени. Из чего можно заключить, что подмена информации может привести к повреждению ее целостности. Такое информационное повреждающее действие есть типичный пример активного воздействия. Для удаленной атаки, рассчитанной для нарушения целостности информации, примером будет служить удалённая атака (УА)^[9]

«Ложный объект РВС».

в) По условию начала атаки:

1) Атака «по запросу» от атакуемого объекта

2) Атака по наступлению ожидаемого события на атакуемом объекте

3) Безусловная атака

Воздействие от злоумышленника начинается при условии, что потенциальная мишень атаки даст определенный тип запроса. Атаки, такого рода установлено называть атакой «по запросу» от атакуемого объекта. Данный тип атаки преимущественно присущ для распределённой вычислительной системы (РВС).

Атака по наступлению предвкушаемого события на атакуемом объекте. Атакующий непрерывно контролирует состоянием операционной системой (ОС) удалённой цели атаки и начинает оказывать воздействие при возникновении определенного события в этой системе. Атакуемый объект сам является инициатором начала атаки.

Безусловная атака осуществляется немедленно и без учета состояния операционной системы и атакуемого объекта. Таким образом, злоумышленник и есть инициатор начала атаки в данном случае.

При сбое стандартной работоспособности системы преследуются иные цели и приобретение атакующим незаконного доступа к информации не ожидается. Вывод из строя операционной системы (ОС) на атакуемом объекте и недопустимость прохода для других объектов системы к ресурсам этого объекта – есть его цель.^[10]

г) По наличию обратной связи с атакуемым:

1) С обратной связью

2) Без обратной связи (однонаправленная атака)

Нападающий отправляет некоторые запросы на атакуемый объект, на которые ожидает получить ответ. Отсюда следует, что между атакующим и атакуемым появляется обратная связь, разрешающая первому адекватно реагировать на всяческие изменения на атакуемом объекте. Вот в чем заключается суть удалённой атаки, осуществляемой при наличии обратной связи с атакующим объектом.

Атаки без обратной связи характерны тем, что им не требуется реагировать на изменения на атакуемом объекте. Такие атаки, как правило, осуществляются путем передачи на атакуемый объект одиночных запросов. В данном случае, атакующий не ждет ответы на запросы, потому что они ему не нужны. Аналогичную атаку называют также однонаправленной. Примером однонаправленных атак является типовая атака «DoS-атака».

д) По расположению субъекта атаки относительно атакуемого объекта:

1) Внутрисегментные

2) Межсегментные

С точки зрения удаленной атаки чрезвычайно важно, чтобы относительное положение субъекта и объекта атаки, то есть, являются ли они в разных или в одних и тех же сегментах. Во время внутрисегментной атаки, субъект и объект атаки находятся в одном сегменте. В случае межсегментной атаки субъект и объект атаки находятся в разных сетевых сегментах. Эта функция классификации позволяет судить о так называемой "степени удаленности" атаки.

Применить внутрисегментную атаку на практике значительно легче, нежели межсегментную. Заметим, что межсегментная удаленная атака несёт намного больше угроз, чем внутрисегментная. Связано это с тем, что, когда происходит межсегментная атака, объект и атакующий имеют возможность находиться на расстоянии, сравнимым в более тысячи километров, друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

е) По соотношению количества атакуемых и атакующих субъектов:

1) Атака «Один к одному»^[11]

2) Атака «Один к многим»

3) Распределение (скоординированные атаки)

ж) По уровню эталонной модели взаимодействия открытых систем:

1) Атаки на физическом уровне

2) Атаки на канальном уровне

3) Атаки на сетевом уроне

4) Атаки на транспортном уровне

5) Атака на сеансовом уровне

6) Атаки на представительном

7) Атаки на прикладном уровне

Международной организацией по стандартизации (ISO) был принят стандарт ISO 7498, который излагает взаимодействие открытых систем (OSI). Каждый сетевой акт обмена, так же, как и каждую сетевую программу, получается так или иначе спроецировать на эталонную 7-уровневую модель OSI. Такая многоуровневая проекция допускает описать в терминах модели OSI использующиеся в сетевом протоколе или программе функции.

Удалённая атака — сетевая программа, и логично воспринимать её с точки зрения проекции на эталонную модель ISO/OSI.

1.4 СОДЕРЖАНИЕ МОДЕЛЕЙ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ОРГАНИЗАЦИИ

Модель угроз представляет собой единый источник по угрозам безопасности, которые обрабатываются в информационных системах, связанным:^[12]

а) с перехватом (съемом) данных по техническим каналам с намерением их противозаконного распространения и копирования;

б) с несанкционированным, в том числе случайным, доступом в ИС с целью изменения, копирования, распространения данных без основания или деструктивных воздействий на элементы ИС и обрабатываемых в них данных с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования данных.

Модель угроз представляет собой методический документ и предназначена для государственных и муниципальных органов, юридических и (или) физических лиц (далее – операторов), организующих и (или) осуществляющих обработку данных, а также определяющих цели и содержание обработки данных, заказчиков и разработчиков ИС и их подсистем.

С применением модели угроз решаются следующие задачи:

а) исследование регулярный моделей угроз безопасности данных в определенных ИС учитывая их цели, положения и уникальности функционирования; анализ защищенности ИС от угроз безопасности данных в ходе организации и выполнения работ по обеспечению безопасности данных;

б) создание системы защиты данных, обеспечивающей нейтрализацию полагаемых угроз с употреблением методов и способов защиты данных, предусмотренных для соответствующего класса ИС;

в) проведение мероприятий, настроенных на устранение несанкционированного доступа к данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

г) недопущение воздействия на технические средства ИС, в результате которого может привести к расстройству их функционирование;

д) контроль обеспечения уровня защищенности персональных данных.

В Модели угроз дается обобщенная характеристика ИС как объектов защиты, возможных источников угрозы безопасности данных, основных классов уязвимостей ИС, возможных типов разрушительных воздействий на данные, а также основных способов их реализации.

В содержании модели угроз безопасности должны быть (рисунок 1.4):

а) Описание информационной системы и её структурно-функциональных характеристик^[13]

б) Описание угроз безопасности информации

1) Потенциал нарушителей (модель нарушителя)

2) Вероятных слабостей информационной системы

3) Последствий от нарушения свойств безопасности информации

4) Способов реализации угроз безопасности информации

Рис. 3 - Содержание модели угроз ИБ в ИС

ГЛАВА 2. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ОРГАНИЗАЦИИ

2.1. ОБЩИЕ ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ В КОРПОРАТИВНОЙ СЕТИ ОРГАНИЗАЦИИ

Как стало ясно из документа ФСТЭК России от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», в информационной системе объектами защиты являются информация, содержащаяся в информационнойi системе, чтобы защитить объекты информации, содержащейся в информационной системе, техническое оборудование (в том числе компьютерной техники, компьютерных носителях, а также средства связи и передачи данных, обработки алфавитно-цифровых аппаратных средств, графики, видео и голосовой информации), системы широкий, ремесел, специальное информационных технологий.

Для снабжения защиты информации, находящейся в информационной системе, Оператором ставится структурное подразделение или служебное лицо (сотрудник), несущие поручительство за сохранность.

Работа по защите информации в течение создания и функционирования информационной системы владельцем информации (заказчиком) и оператором в случае необходимости в соответствии с законодательством Российской Федерации вовлекаются Организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» (Собрание законодательства Российской Федерации, 2011, № 19, ст. 2716; № 30, ст. 4590; № 43, ст. 5971; № 48, ст. 6728; 2012, № 26, ст. 3446; № 31, ст. 4322; 2013, № 9, ст. 874).

Потребляются средства защиты информации, оценённые путем состыковке в форме необходимой сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» (Собрание законодательства Российской Федерации, 2002, № 52, ст. 5140; 2007, № 19, ст. 2293; № 49, ст. 6070; 2008, № 30, ст. 3616; 2009, № 29, ст. 3626; № 48, ст. 5711; 2010, № 1, ст. 6; 2011, № 30, ст. 4603; № 49, ст. 7025; № 50, ст. 7351; 2012, № 31, ст. 4322; 2012, № 50, ст. 6959) для составления условий гарантии защиты информации, находящейся в информационной системе.^[14]

Сохранность информации, находящейся в информационной системе, является комбинированной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в процессе эксплуатации путем принятия организационно- технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы (далее – система защиты информации информационной системы) (рисунок 5). Направлены на исключение: неправомерного доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации); неправомерных уничтожения или модифицирования информации (обеспечение целостности информации); неправомерного блокирования информации (обеспечение доступности информации) организационные и технические меры защиты информации, устраиваемые в рамках системы защиты информации информационной системы, зависящие от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой.