Файл: Уязвимости информационной безопасности.pdf

Автоматическая генерация паролей, если она выполнена должным образом, помогает избежать всякой связи между паролем и его пользователем. Например, имя домашнего питомца пользователя вряд ли сгенерируется такой системой. Для пароля, выбранного из достаточно большого пространства возможностей, полный перебор может стать практически невозможным. Однако действительно случайные пароли может быть сложно сгенерировать и, как правило, пользователю их сложно запомнить.

Рекомендации по выбору хорошего пароля составлены для того, чтобы сделать пароль более стойким к разнообразным ухищрениям взломщиков.

Минимально рекомендуемая длина пароля — в пределах от 12 до 14 символов. Увеличение длины пароля всего на 2 символа даёт в 500 раз больше вариантов, чем увеличение алфавита на 18 символов.

Рекомендуется генерировать случайные пароли, если это возможно.

Рекомендуется избегать использования паролей, содержащих словарные слова («password»), повторяющиеся наборы букв («passpass»), буквенные или числовые последовательности («aaa», «123»), ники, имена (собственное имя, имена родственников), клички домашних животных, романтические отсылки (нынешние или прошлые), биографическую информацию.

Рекомендуется включать в пароль цифры и иные символы, если это разрешено системой.

Рекомендуется использовать как прописные, так и строчные буквы, когда это возможно. Однако может быть лучше добавить к паролю слово, чем каждый раз нажимать и отпускать в нужных местах клавишу Shift.

Рекомендуется избегать использования одного пароля для различных сайтов или целей.

Некоторые рекомендации советуют никуда не записывать пароль, в то время как другие, отмечая существование большого количества защищённых паролем систем, к которым пользователь должен иметь доступ, одобряют идею записывания паролей, если, конечно, список паролей будет находиться в надёжном месте.

Некоторые похожие пароли оказываются слабее, чем другие. Например, разница между паролем, состоящим из словарного слова, и паролем, состоящим из слова спутанного (то есть слова, буквы в котором заменены на, скажем, цифры сходного начертания, например: «о» на «0», «ч» на «4»), может стоить прибору для взлома паролей несколько лишних секунд — это добавляет к паролю немного сложности. В приведённых ниже примерах показаны разнообразные способы создания слабых паролей. В способах используются простые шаблоны, чем и объясняется низкая энтропия получаемых паролей — лёгкость их угадывания.

Пароли по умолчанию: «password», «default», «admin», «guest» и другие. Список паролей по умолчанию широко распространён по интернету.

-Словарные слова: «chameleon», «RedSox», «sandbags», «bunnyhop!», «IntenseCrabtree» и другие, включая слова из неанглийских словарей.

-Слова с добавленными числами: «password1», «deer2000», «ivan1234» и другие. Подбор подобных паролей осуществляется очень быстро.

-Слова с заменёнными буквами: «p@ssw0rd», «l33th4x0r», «g0ldf1sh» и другие. Подобные пароли могут быть проверены автоматически с небольшими временными затратами.

-Слова, составленные из двух слов: «crabcrab», «stopstop», «treetree», «passpass» и другие.

-Распространённые последовательности на клавиатуре: «qwerty», «12345», «asdfgh», «fred» и другие.

-Широко известные наборы цифр: «911», «314159…», «271828…», «112358…» и другие.

Личные данные: «ivpetrov123», «1/1/1970», номер телефона, имя пользователя, ИНН, адрес и другие.

У пароля существует много других возможностей оказаться слабым, судя по сложности некоторых схем атак; главный принцип в том, чтобы пароль обладал высокой энтропией, а не определялся каким-либо умным шаблоном или личной информацией. Онлайн-сервисы часто предоставляют возможность восстановить пароль, которой может воспользоваться хакер и узнать таким образом пароль. Выбор сложного для угадывания ответа на вопрос поможет защитить пароль.

Людям обычно советуют никогда и нигде не записывать свои пароли и никогда не использовать один пароль для разных аккаунтов. Неcмотря на это обычные пользователи могут иметь десятки аккаунтов и могут использовать один и тот же пароль для всех аккаунтов. Чтобы не запоминать множество паролей, можно использовать специальное программное обеспечение — менеджер паролей, которое позволяет хранить пароли в зашифрованной форме. Также можно зашифровать пароль вручную и записать шифрограмму на бумаге, при этом запомнив метод расшифровки и ключ. Ещё можно слегка менять пароли для обычных аккаунтов и выбирать сложные и отличающиеся друг от друга пароли для высокоценных аккаунтов, таких как, например, интернет-банкинг.

Менеджер паролей — компьютерная программа, позволяющая пользователю использовать множество паролей и, возможно, требующая ввода одного пароля для доступа к хранимым паролям. Пароль к менеджеру паролей, естественно, должен быть как можно более сложным и не должен быть нигде записан.

Уязвимости информационной безопасности.

Угрозы, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации. Приложение 4.

Уязвимости присущи объекту информатизации, неотделимы от него и обуславливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.

Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред.

Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.

Для удобства анализа, уязвимости разделены на классы (обозначаются заглавными буквами), группы (обозначаются римскими цифрами) и подгруппы (обозначаются строчными буквами). Уязвимости безопасности информации могут быть:

-Объективными

-субъективными

-случайными.

Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации. К ним можно отнести:

-сопутствующие техническим средствам излучения

-электромагнитные (побочные излучения элементов технических средств , кабельных линий технических средств , излучения на частотах работы генераторов , на частотах самовозбуждения усилителей )

-электрические (наводки электромагнитных излучений на линии и проводники , просачивание сигналов в цепи электропитания, в цепи заземления , неравномерность потребления тока электропитания [3])

-звуковые (акустические , виброакустические)

активизируемые

-аппаратные закладки (устанавливаемые в телефонные линии , в сети электропитания , в помещениях , в технических средствах )

-программные закладки (вредоносные программы , технологические выходы из программ , нелегальные копии ПО )

определяемые особенностями элементов

-элементы, обладающие электроакустическими преобразованиями (телефонные аппараты , громкоговорители и микрофоны , катушки индуктивности , дроссели, трансформаторы и пр. )

элементы, подверженные воздействию электромагнитного поля (магнитные носители , микросхемы , нелинейные элементы, поверженные ВЧ навязыванию ) определяемые особенностями защищаемого объекта

местоположением объекта (отсутствие контролируемой зоны , наличие прямой видимости объектов , удаленных и мобильных элементов объекта , вибрирующих отражающих поверхностей ) организацией каналов обмена информацией (использование радиоканалов , глобальных информационных сетей , арендуемых каналов )

Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами:

-Ошибки при подготовке и использовании программного обеспечения (при разработке алгоритмов и программного обеспечения, инсталляции и загрузке программного обеспечения , эксплуатации программного обеспечения , вводе данных)

-при управлении сложными системами (при использовании возможностей самообучения систем , настройке сервисов универсальных систем, организации управления потоками обмена информации )

- при эксплуатации технических средств (при включении/выключении технических средств , использовании технических средств охраны , использовании средств обмена информацией )

нарушения

-режима охраны и защиты (доступа на объект , доступа к техническим средствам )

-режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения )

-режима использования информации (обработки и обмена информацией , хранения и уничтожения носителей информации , уничтожения производственных отходов и брака )

режима конфиденциальности (сотрудниками в нерабочее время , уволенными сотрудниками ).

Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной безопасности:

-сбои и отказы

-отказы и неисправности технических средств (обрабатывающих информацию , обеспечивающих работоспособность средств обработки информации , обеспечивающих охрану и контроль доступа )

старение и размагничивание носителей информации (дискет и съемных носителей , жестких дисков , элементов микросхем , кабелей и соединительных линий)

-сбои программного обеспечения (операционных систем и СУБД , прикладных программ , сервисных программ , антивирусных программ

сбои электроснабжения (оборудования, обрабатывающего информацию , обеспечивающего и вспомогательного оборудования

повреждения жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации , кондиционирования и вентиляции )

ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий , корпусов технологического оборудования )

Статистические данные информационная безопасность в России.

Специалисты компании Positive Technologies выяснили, сколько стоит информационная безопасность в России. В опросе участвовали представители 170 российских компаний — руководители IT- и ИБ-подразделений и директора.

По объему бюджета на обеспечение информационной безопасности на фоне остальных компаний существенно выделяются некоторые банки и госорганизации. Это неудивительно, учитывая, что правительство РФ взяло курс на «цифровую экономику». Так, госорганизации выделяют на информбезопасность до 800 млн рублей в год, а финансовые учреждения — до 300 млн рублей.

До 50 млн рублей в год на обеспечение кибербезопасности выделяют IT и промышленная отрасли, а также транспортный сектор. Большую сумму денег расходуют компании, занятые в промышленности.

Меньше всего тратят компании, занятые в сфере образования: в некоторых случаях их годовой бюджет, выделяемый на защиту информации, не превышает 1 млн рублей.

Аналитики Positive Technologies отмечают. Такое распределение ресурсов, прежде всего, связано с общими бюджетами компаний, которые в крупных государственных учреждениях в разы больше, чем в других организациях. Более того, подразделение, отвечающее непосредственно за информационную безопасность, имеется лишь в 44% компаний-респондентов, в остальных организациях необходимые функции выполняются специалистами IT-отдела.

Как показали недавние киберэпидемии, во многих отечественных (да и в зарубежных тоже) компаниях все еще экономят на информбезопасности. Руководство российских компаний все еще склонно считать чрезмерные затраты на обеспечение ИБ лишними, считая, что кибератаки вполне способен предотвратить IT-отдел. Но это давно уже не так.