Файл: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 02.12.2023
Просмотров: 116
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
№
п/п
Тип атаки
Возможные последствия
1
Анализ сетевого трафика
Исследование характеристик сетевого трафика, перехват передаваемых данных, в том числе идентификаторов и паролей пользователей
2
Сканирование сети
Определение протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, активных сетевых сервисов, идентификаторов и паролей пользователей
3
«Парольная» атака
Выполнение любого деструктивного действия, связанного с получением несанкционированного доступа
4
Подмена доверенного объекта сети
Изменение трассы прохождения сообщений, несанкционированное изменение маршрутно- адресных данных. Несанкционированный доступ к сетевым ресурсам, навязывание ложной информации
5
Навязывание ложного маршрута
Несанкционированное изменение маршрутно- адресных данных, анализ и модификация передаваемых данных, навязывание ложных сообщений
6
Внедрение ложного объекта сети
Перехват и просмотр трафика. Несанкционированный доступ к сетевым ресурсам, навязывание ложной информации
7
О
тк аз в
о бс лу ж
ив ании
Частичное исчерпание ресурсов Снижение пропускной способности каналов связи, производительности сетевых устройств. Снижение производительности серверных приложений
Полное исчерпание ресурсов
Невозможность передачи сообщений из-за отсутствия доступа к среде передачи, отказ в установлении соединения. Отказ в предоставлении сервиса
(электронной почты, файлового и т.д.)
Нарушение логической связности между атрибутами, данными, объектами
Невозможность передачи, сообщений из-за отсутствия корректных маршрутно-адресных данных.
Невозможность получения услуг ввиду несанкционированной модификации идентификаторов, паролей и т.п.
Использование ошибок в программах
Нарушение работоспособности сетевых устройств
8
У
да ле нн ы
й за пу ск п
ри ло ж
ен ий
Путем рассылки файлов, содержащих деструктивный исполняемый код, вирусное заражение
Нарушение конфиденциальности, целостности, доступности информации
Путем переполнения буфера серверного приложения
Путем использования возмож- ностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами
Скрытое управление системой
47
Процесс реализации угрозы в общем случае состоит из четырех этапов: сбора информации; вторжения (проникновения в операционную среду); осуществления несанкционированного доступа; ликвидации следов несанкционированного доступа.
На этапе сбора информации нарушителя могут интересовать различные сведения об ИСПДн, в том числе: а) о топологии сети, в которой функционирует система. При этом может исследоваться область вокруг сети (например, нарушителя могут интересовать адреса доверенных, но менее защищенных хостов). Для определения доступности хоста могут использоваться простейшие команды (например, команда ping для посылки ICMP-запросов ECHO_REQUEST с ожиданием на них ICMP-ответов
ECHO_REPLY).
Существуют утилиты, осуществляющие параллельное определение доступности хостов (такие как fping), которые способны просканировать большую область адресного пространства на предмет доступности хостов за короткий промежуток времени. Топология сети часто определяется на основании «счетчика узлов» (дистанции между хостами). При этом могут применяться такие методы, как «модуляции TTL» и записи маршрута.
Метод «модуляции TTL» реализован программой traceroute (для
Windows NT – tracert.exe) и заключается в модуляции поля TTL IP-пакетов. Для записи маршрута могут использоваться ICMP-пакеты, создаваемые командой ping.
Сбор информации может быть также основан на запросах: к DNS-серверу о списке зарегистрированных (и, вероятно, активных) хостов; к маршрутизатору на основе протокола RIP об известных маршрутах
(информация о топологии сети); к некорректно сконфигурированным устройствам, поддерживающим протокол SNMP (информация о топологии сети).
Если ИСПДн находится за межсетевым экраном (МЭ), возможен сбор информации о конфигурации МЭ и о топологии ИСПДн за МЭ, в том числе путем посылки пакетов на все порты всех предполагаемых хостов внутренней
(защищаемой) сети; б) о типе операционной системы (ОС) в ИСПДн. Самый известный способ определения типа ОС хоста основан на том, что различные типы ОС по- разному реализуют требования стандартов RFC к стеку TCP/IP. Это позволяет нарушителю удаленно идентифицировать тип ОС, установленной на хосте
ИСПДн путем посылки специальным образом сформированных запросов и анализа полученных ответов.
Существуют специальные средства, реализующие данные методы, в частности, Nmap и QueSO. Можно отметить также такой метод определения типа ОС, как простейший запрос на установление соединения по протоколу удаленного доступа telnet (telnet-соединения), в результате которого по
«внешнему виду» ответа можно определить тип ОС хоста. Наличие определенных сервисов также может служить дополнительным признаком для определения типа ОС хоста;
48 в) о функционирующих на хостах сервисах. Определение сервисов, исполняемых на хосте, основано на методе выявления «открытых портов», направленном на сбор информации о доступности хоста. Например, для определения доступности UDP-порта необходимо получить отклик в ответ на посылку UDP-пакета соответствующему порту: если в ответ пришло сообщение ICMP PORT UNREACHEBLE, то соответствующий сервис недоступен; если данное сообщение не поступило, то порт «открыт».
Возможны весьма разнообразные вариации использования этого метода в зависимости от используемого протокола в стеке протоколов TCP/IP.
Для автоматизации сбора информации об ИСПДн разработано множество программных средств. В качестве примера можно отметить следующие из них:
1) Strobe, Portscanner – оптимизированные средства определения доступных сервисов на основе опроса TCP-портов;
2) Nmap – средство сканирования доступных сервисов, предназначенное для ОС Linux, FreeBSD, Open BSD, Solaris, Windows NT. Является самым популярным в настоящее время средством сканирования сетевых сервисов;
3) Queso – высокоточное средство определения ОС хоста сети на основе посылки цепи корректных и некорректных TCP-пакетов, анализа отклика и сравнения его с множеством известных откликов различных ОС. Данное средство также является популярным на сегодняшний день средством сканирования;
4) Cheops – сканер топологии сети позволяет получить топологию сети, включая картину домена, области IP-адресов и т.д. При этом определяется ОС хоста, а также возможные сетевые устройства (принтеры, маршрутизаторы и т.д.);
5) Firewalk – сканер, использующий методы программы traceroute в интересах анализа отклика на IP-пакеты для определения конфигурации межсетевого экрана и построения топологии сети.
На этапе вторжения исследуется наличие типовых уязвимостей в системных сервисах или ошибок в администрировании системы. Успешным результатом использования уязвимостей обычно является получение процессом нарушителя привилегированного режима выполнения
(доступа к привилегированному режиму выполнения командного процессора), внесение в систему учетной записи незаконного пользователя, получение файла паролей или нарушение работоспособности атакуемого хоста.
Этот этап развития угрозы, как правило, является многофазным. К фазам процесса реализации угрозы могут относиться, например: установление связи с хостом, относительно которого реализуется угроза; выявление уязвимости; внедрение вредоносной программы в интересах расширения прав и др.
Угрозы, реализуемые на этапе вторжения, подразделяются по уровням стека протоколов TCP/IP, поскольку формируются на сетевом, транспортном или прикладном уровне в зависимости от используемого механизма вторжения.
К типовым угрозам, реализуемым на сетевом и транспортном уровнях, относятся такие как:
49 a) угроза, направленная на подмену доверенного объекта; б) угроза, направленная на создание в сети ложного маршрута; в) угрозы, направленные на создание ложного объекта с использованием недостатков алгоритмов удаленного поиска; г) угрозы типа
«отказ в обслуживании», основанные на
IP-дефрагментации, на формировании некорректных ICMP-запросов (например, атака «Ping of Death» и «Smurf»), на формировании некорректных
TCP-запросов (атака «Land»), на создании «шторма» пакетов с запросами на соединение (атаки «SYN Flood») и др.
К типовым угрозам, реализуемым на прикладном уровне, относятся угрозы, направленные на несанкционированный запуск приложений, угрозы, реализация которых связана с внедрением программных закладок (типа
«троянский конь»), с выявлением паролей доступа в сеть или к определенному хосту и т.д.
Если реализация угрозы не принесла нарушителю наивысших прав доступа в системе, возможны попытки расширения этих прав до максимально возможного уровня. Для этого могут использоваться уязвимости не только сетевых сервисов, но и уязвимости системного программного обеспечения хостов ИСПдн.
На этапе реализации несанкционированного доступа осуществляется собственно достижение цели реализации угрозы: нарушение конфиденциальности
(копирование, неправомерное распространение); нарушение целостности (уничтожение, изменение); нарушение доступности (блокирование).
На этом же этапе, после указанных действий, как правило, формируется так называемый «черный вход» в виде одного из сервисов (демонов), обслуживающих некоторый порт и выполняющих команды нарушителя.
«Черный вход» оставляется в системе в интересах обеспечения: возможности получить доступ к хосту, даже если администратор устранит использованную для успешной реализации угрозы уязвимость; возможности получить доступ к хосту как можно более скрытно; возможности получить доступ к хосту быстро (не повторяя заново процесс реализации угрозы).
«Черный вход» позволяет нарушителю внедрить в сеть или на определенный хост вредоносную программу, например, «анализатор паролей»
(password sniffer)
– программу, выделяющую пользовательские идентификаторы и пароли из сетевого трафика при работе протоколов высокого уровня (ftp, telnet, rlogin и т.д.). Объектами внедрения вредоносных программ могут быть программы аутентификации и идентификации, сетевые сервисы, ядро операционной системы, файловая система, библиотеки и т.д.
Наконец, на этапе ликвидации следов реализации угрозы осуществляется попытка уничтожения следов действий нарушителя. При этом удаляются соответствующие записи из всех возможных журналов аудита, в том числе записи о факте сбора информации.
50
5.5. Общая характеристика угроз программно-математических
воздействий
Программно-математическое воздействие – это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций: скрывать признаки своего присутствия в программной среде компьютера; обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти; разрушать (искажать произвольным образом) код программ в оперативной памяти; выполнять без инициирования со стороны пользователя
(пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирование, уничтожение, блокирование и т.п.); сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных); искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.
Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в
ИСПДн, в процессе его разработки, сопровождения, модификации и настройки.
Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн.
Современные вредоносные программы основаны на использовании уязвимостей различного рода программного обеспечения (системного, общего, прикладного) и разнообразных сетевых технологий, обладают широким спектром деструктивных возможностей
(от несанкционированного исследования параметров ИСПДн без вмешательства в функционирование
ИСПДн, до уничтожения ПДн и программного обеспечения ИСПДн) и могут действовать во всех видах программного обеспечения (системного, прикладного, в драйверах аппаратного обеспечения и т.д.).
Наличие в ИСПДн вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.
Основными видами вредоносных программ являются: программные закладки; классические программные (компьютерные) вирусы; вредоносные программы, распространяющиеся по сети (сетевые черви); другие вредоносные программы, предназначенные для осуществления НСД.
п/п
Тип атаки
Возможные последствия
1
Анализ сетевого трафика
Исследование характеристик сетевого трафика, перехват передаваемых данных, в том числе идентификаторов и паролей пользователей
2
Сканирование сети
Определение протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, активных сетевых сервисов, идентификаторов и паролей пользователей
3
«Парольная» атака
Выполнение любого деструктивного действия, связанного с получением несанкционированного доступа
4
Подмена доверенного объекта сети
Изменение трассы прохождения сообщений, несанкционированное изменение маршрутно- адресных данных. Несанкционированный доступ к сетевым ресурсам, навязывание ложной информации
5
Навязывание ложного маршрута
Несанкционированное изменение маршрутно- адресных данных, анализ и модификация передаваемых данных, навязывание ложных сообщений
6
Внедрение ложного объекта сети
Перехват и просмотр трафика. Несанкционированный доступ к сетевым ресурсам, навязывание ложной информации
7
О
тк аз в
о бс лу ж
ив ании
Частичное исчерпание ресурсов Снижение пропускной способности каналов связи, производительности сетевых устройств. Снижение производительности серверных приложений
Полное исчерпание ресурсов
Невозможность передачи сообщений из-за отсутствия доступа к среде передачи, отказ в установлении соединения. Отказ в предоставлении сервиса
(электронной почты, файлового и т.д.)
Нарушение логической связности между атрибутами, данными, объектами
Невозможность передачи, сообщений из-за отсутствия корректных маршрутно-адресных данных.
Невозможность получения услуг ввиду несанкционированной модификации идентификаторов, паролей и т.п.
Использование ошибок в программах
Нарушение работоспособности сетевых устройств
8
У
да ле нн ы
й за пу ск п
ри ло ж
ен ий
Путем рассылки файлов, содержащих деструктивный исполняемый код, вирусное заражение
Нарушение конфиденциальности, целостности, доступности информации
Путем переполнения буфера серверного приложения
Путем использования возмож- ностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами
Скрытое управление системой
47
Процесс реализации угрозы в общем случае состоит из четырех этапов: сбора информации; вторжения (проникновения в операционную среду); осуществления несанкционированного доступа; ликвидации следов несанкционированного доступа.
На этапе сбора информации нарушителя могут интересовать различные сведения об ИСПДн, в том числе: а) о топологии сети, в которой функционирует система. При этом может исследоваться область вокруг сети (например, нарушителя могут интересовать адреса доверенных, но менее защищенных хостов). Для определения доступности хоста могут использоваться простейшие команды (например, команда ping для посылки ICMP-запросов ECHO_REQUEST с ожиданием на них ICMP-ответов
ECHO_REPLY).
Существуют утилиты, осуществляющие параллельное определение доступности хостов (такие как fping), которые способны просканировать большую область адресного пространства на предмет доступности хостов за короткий промежуток времени. Топология сети часто определяется на основании «счетчика узлов» (дистанции между хостами). При этом могут применяться такие методы, как «модуляции TTL» и записи маршрута.
Метод «модуляции TTL» реализован программой traceroute (для
Windows NT – tracert.exe) и заключается в модуляции поля TTL IP-пакетов. Для записи маршрута могут использоваться ICMP-пакеты, создаваемые командой ping.
Сбор информации может быть также основан на запросах: к DNS-серверу о списке зарегистрированных (и, вероятно, активных) хостов; к маршрутизатору на основе протокола RIP об известных маршрутах
(информация о топологии сети); к некорректно сконфигурированным устройствам, поддерживающим протокол SNMP (информация о топологии сети).
Если ИСПДн находится за межсетевым экраном (МЭ), возможен сбор информации о конфигурации МЭ и о топологии ИСПДн за МЭ, в том числе путем посылки пакетов на все порты всех предполагаемых хостов внутренней
(защищаемой) сети; б) о типе операционной системы (ОС) в ИСПДн. Самый известный способ определения типа ОС хоста основан на том, что различные типы ОС по- разному реализуют требования стандартов RFC к стеку TCP/IP. Это позволяет нарушителю удаленно идентифицировать тип ОС, установленной на хосте
ИСПДн путем посылки специальным образом сформированных запросов и анализа полученных ответов.
Существуют специальные средства, реализующие данные методы, в частности, Nmap и QueSO. Можно отметить также такой метод определения типа ОС, как простейший запрос на установление соединения по протоколу удаленного доступа telnet (telnet-соединения), в результате которого по
«внешнему виду» ответа можно определить тип ОС хоста. Наличие определенных сервисов также может служить дополнительным признаком для определения типа ОС хоста;
48 в) о функционирующих на хостах сервисах. Определение сервисов, исполняемых на хосте, основано на методе выявления «открытых портов», направленном на сбор информации о доступности хоста. Например, для определения доступности UDP-порта необходимо получить отклик в ответ на посылку UDP-пакета соответствующему порту: если в ответ пришло сообщение ICMP PORT UNREACHEBLE, то соответствующий сервис недоступен; если данное сообщение не поступило, то порт «открыт».
Возможны весьма разнообразные вариации использования этого метода в зависимости от используемого протокола в стеке протоколов TCP/IP.
Для автоматизации сбора информации об ИСПДн разработано множество программных средств. В качестве примера можно отметить следующие из них:
1) Strobe, Portscanner – оптимизированные средства определения доступных сервисов на основе опроса TCP-портов;
2) Nmap – средство сканирования доступных сервисов, предназначенное для ОС Linux, FreeBSD, Open BSD, Solaris, Windows NT. Является самым популярным в настоящее время средством сканирования сетевых сервисов;
3) Queso – высокоточное средство определения ОС хоста сети на основе посылки цепи корректных и некорректных TCP-пакетов, анализа отклика и сравнения его с множеством известных откликов различных ОС. Данное средство также является популярным на сегодняшний день средством сканирования;
4) Cheops – сканер топологии сети позволяет получить топологию сети, включая картину домена, области IP-адресов и т.д. При этом определяется ОС хоста, а также возможные сетевые устройства (принтеры, маршрутизаторы и т.д.);
5) Firewalk – сканер, использующий методы программы traceroute в интересах анализа отклика на IP-пакеты для определения конфигурации межсетевого экрана и построения топологии сети.
На этапе вторжения исследуется наличие типовых уязвимостей в системных сервисах или ошибок в администрировании системы. Успешным результатом использования уязвимостей обычно является получение процессом нарушителя привилегированного режима выполнения
(доступа к привилегированному режиму выполнения командного процессора), внесение в систему учетной записи незаконного пользователя, получение файла паролей или нарушение работоспособности атакуемого хоста.
Этот этап развития угрозы, как правило, является многофазным. К фазам процесса реализации угрозы могут относиться, например: установление связи с хостом, относительно которого реализуется угроза; выявление уязвимости; внедрение вредоносной программы в интересах расширения прав и др.
Угрозы, реализуемые на этапе вторжения, подразделяются по уровням стека протоколов TCP/IP, поскольку формируются на сетевом, транспортном или прикладном уровне в зависимости от используемого механизма вторжения.
К типовым угрозам, реализуемым на сетевом и транспортном уровнях, относятся такие как:
49 a) угроза, направленная на подмену доверенного объекта; б) угроза, направленная на создание в сети ложного маршрута; в) угрозы, направленные на создание ложного объекта с использованием недостатков алгоритмов удаленного поиска; г) угрозы типа
«отказ в обслуживании», основанные на
IP-дефрагментации, на формировании некорректных ICMP-запросов (например, атака «Ping of Death» и «Smurf»), на формировании некорректных
TCP-запросов (атака «Land»), на создании «шторма» пакетов с запросами на соединение (атаки «SYN Flood») и др.
К типовым угрозам, реализуемым на прикладном уровне, относятся угрозы, направленные на несанкционированный запуск приложений, угрозы, реализация которых связана с внедрением программных закладок (типа
«троянский конь»), с выявлением паролей доступа в сеть или к определенному хосту и т.д.
Если реализация угрозы не принесла нарушителю наивысших прав доступа в системе, возможны попытки расширения этих прав до максимально возможного уровня. Для этого могут использоваться уязвимости не только сетевых сервисов, но и уязвимости системного программного обеспечения хостов ИСПдн.
На этапе реализации несанкционированного доступа осуществляется собственно достижение цели реализации угрозы: нарушение конфиденциальности
(копирование, неправомерное распространение); нарушение целостности (уничтожение, изменение); нарушение доступности (блокирование).
На этом же этапе, после указанных действий, как правило, формируется так называемый «черный вход» в виде одного из сервисов (демонов), обслуживающих некоторый порт и выполняющих команды нарушителя.
«Черный вход» оставляется в системе в интересах обеспечения: возможности получить доступ к хосту, даже если администратор устранит использованную для успешной реализации угрозы уязвимость; возможности получить доступ к хосту как можно более скрытно; возможности получить доступ к хосту быстро (не повторяя заново процесс реализации угрозы).
«Черный вход» позволяет нарушителю внедрить в сеть или на определенный хост вредоносную программу, например, «анализатор паролей»
(password sniffer)
– программу, выделяющую пользовательские идентификаторы и пароли из сетевого трафика при работе протоколов высокого уровня (ftp, telnet, rlogin и т.д.). Объектами внедрения вредоносных программ могут быть программы аутентификации и идентификации, сетевые сервисы, ядро операционной системы, файловая система, библиотеки и т.д.
Наконец, на этапе ликвидации следов реализации угрозы осуществляется попытка уничтожения следов действий нарушителя. При этом удаляются соответствующие записи из всех возможных журналов аудита, в том числе записи о факте сбора информации.
50
5.5. Общая характеристика угроз программно-математических
воздействий
Программно-математическое воздействие – это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций: скрывать признаки своего присутствия в программной среде компьютера; обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти; разрушать (искажать произвольным образом) код программ в оперативной памяти; выполнять без инициирования со стороны пользователя
(пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирование, уничтожение, блокирование и т.п.); сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных); искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.
Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в
ИСПДн, в процессе его разработки, сопровождения, модификации и настройки.
Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн.
Современные вредоносные программы основаны на использовании уязвимостей различного рода программного обеспечения (системного, общего, прикладного) и разнообразных сетевых технологий, обладают широким спектром деструктивных возможностей
(от несанкционированного исследования параметров ИСПДн без вмешательства в функционирование
ИСПДн, до уничтожения ПДн и программного обеспечения ИСПДн) и могут действовать во всех видах программного обеспечения (системного, прикладного, в драйверах аппаратного обеспечения и т.д.).
Наличие в ИСПДн вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.
Основными видами вредоносных программ являются: программные закладки; классические программные (компьютерные) вирусы; вредоносные программы, распространяющиеся по сети (сетевые черви); другие вредоносные программы, предназначенные для осуществления НСД.