Добавлен: 12.01.2024
Просмотров: 247
Скачиваний: 12
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Первым шагом в процессе оценки рисков является определение объекта оценки, то есть границ анализируемой информационной системы, а также ресурсов и информации, образующих ИС. О системе необходимо собрать следующую информацию:
· используемое аппаратное обеспечение;
· используемое программное обеспечение;
· системные интерфейсы (внутренняя и внешняя связность);
· присутствующие в системе данные и информация;
· поддерживающий персонал и пользователи;
· миссия системы (то есть процессы, выполняемые ИС);
· критичность системы и данных;
· чувствительность (то есть требуемый уровень защищенности) системы и данных.
Действия: оценка технического задания функционала системы и её фактических составляющих.
Управление рисками
Управление рисками включает в себя два вида деятельности, которые чередуются циклически:
· регламентную оценку рисков;
· выбор эффективных и экономичных защитных средств (нейтрализация рисков).
По отношению к выявленным рискам возможны следующие действия:
· ликвидация риска (например, за счет устранения уязвимости);
· уменьшение риска (например, за счет использования дополнительных защитных средств или действий);
· принятие риска (и выработка плана действия в соответствующих условиях).
Управление рисками можно подразделить на следующие этапы:
· инвентаризация анализируемых объектов;
· выбор методики оценки рисков;
· анализ угроз и их последствий;
· определение уязвимостей в защите;
· выбор защитных мер;
· реализация и проверка выбранных мер;
· оценка остаточного риска.
Для определения основных рисков можно следовать следующей цепочке: источник угрозы > фактор (уязвимость) > угроза (действие) > последствия (атака).
· Источник угрозы -- это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.
· Угроза (действие) -- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации.
· Фактор (уязвимость) -- это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.
· Последствия (атака) -- это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости).
Действия: внедрение политики информационной безопасности компании.
Источник угрозы
Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Методы противодействия напрямую зависят от организаторов защиты информации.
В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Или, простыми словами -- это либо хакер-злоумышленник или их группа, либо персонал компании, мотивированный теми или иными факторами на противоправные или противозаконные деяния. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.
Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:
· потенциальные преступники и хакеры;
· технический персонал поставщиков телематических услуг;
· представители надзорных организаций и аварийных служб;
· представители силовых структур.
Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:
· основной персонал (пользователи, программисты, разработчики);
· представители службы защиты информации.
Действия: составление вероятностной шкалы источников угроз.
Классификация угроз безопасности Web-приложений
Данная классификация представляет собой совместную попытку членов международного консорциума собрать воедино и упорядочить угрозы безопасности Web-сайтов. Члены Web Application Security Consortiumсоздали данный проект для унификации стандартной терминологии описания угроз безопасности Web-приложений. Это даёт возможность разработчикам приложений, специалистам в области безопасности, производителям программных продуктов и аудиторам использовать единый язык при своем взаимодействии.
Данный документ содержит компиляцию и квинтэссенцию известных классов атак, которые представляют угрозы для Web-приложений. Каждому классу атак присвоено стандартное название и описаны его ключевые особенности. Классы организованы в иерархическую структуру.
Классы атак
1. Аутентификация (Authentication)
Раздел, посвященный аутентификации, описывает атаки направленные на используемые Web-приложением методы проверки идентификатора пользователя, службы или приложения. Аутентификация использует как минимум один из трех механизмов (факторов): "что-то, что мы имеем", "что-то, что мы знаем" или "что-то, что мы есть". В этом разделе описываются атаки, направленные на обход или эксплуатацию уязвимостей в механизмах реализации аутентификации Web-серверов.
Краткое описание [ подробное описание в формате .pdf 337 Kb ]
автоматизированный процесс проб и ошибок, использующийся для того, чтобы угадать имя пользователя, пароль, номер кредитной карточки, ключ шифрования и т.д.
-
Недостаточная аутентификация (Insufficient Authentication)
эта уязвимость возникает, когда Web-сервер позволяет атакующему получать доступ к важной информации или функциям сервера без должной аутентификации
-
Небезопасное восстановление паролей (Weak Password Recovery Validation)
эта уязвимость возникает, когда Web-сервер позволяет атакующему несанкционированно получать, модифицировать или восстанавливать пароли других пользователей
2. Авторизация (Authorization)
Данный раздел посвящен атакам, направленным на методы, которые используются Web-сервером для определения того, имеет ли пользователь, служба или приложение необходимые для совершения действия разрешения. Многие Web-сайты разрешают только определенным пользователям получать доступ к некоторому содержимому или функциям приложения. Доступ другим пользователям должен быть ограничен. Используя различные техники, злоумышленник может повысить свои привилегии и получить доступ к защищенным ресурсам.
Краткое описание [ подробное описание в формате .pdf 353 Kb ]
-
Предсказуемое значение идентификатора сессии (Credential/Session Prediction)
предсказуемое значение идентификатора сессии позволяет перехватывать сессии других пользователей
-
Недостаточная авторизация (Insufficient Authorization)
недостаточная авторизация возникает, когда Web-сервер позволяет атакующему получать доступ к важной информации или функциям, доступ к которым должен быть ограничен
-
Отсутствие таймаута сессии (Insufficient Session Expiration)
в случае если для идентификатора сессии или учетных данных не предусмотрен таймаут или его значение слишком велико, злоумышленник может воспользоваться старыми данными для авторизации
используя данный класс атак, злоумышленник присваивает идентификатору сессии пользователя заданное значение
3. Атаки на клиентов (Client-side Attacks)
Этот раздел описывает атаки на пользователей Web-сервера. Во время посещения сайта, между пользователем и севером устанавливаются доверительные отношения, как в технологическом, так и в психологическом аспектах. Пользователь ожидает, что сайт предоставит ему легитимное содержимое. Кроме того, пользователь не ожидает атак со стороны сайта. Эксплуатируя это доверие, злоумышленник может использовать различные методы для проведения атак на клиентов сервера.
Краткое описание [ подробное описание в формате .pdf 369 Kb ]
используя эту технику, злоумышленник заставляет пользователя поверить, что страницы сгенерированны Web-сервером, а не переданы из внешнего источника
-
Межсайтовое выполнение сценариев (Cross-site Scripting, XSS)
наличие уязвимости Cross-site Scripting позволяет атакующему передать серверу исполняемый код, который будет перенаправлен браузеру пользователя
при использовании данной уязвимости злоумышленник посылает серверу специальным образом сформированный запрос, ответ на который интерпретируется целью атаки как два разных ответа
4. Выполнение кода (Command Execution)
Эта секция описывает атаки, направленные на выполнение кода на Web-сервере. Все серверы используют данные, преданные пользователем при обработке запросов. Часто эти данные используются при составлении команд, применяемых для генерации динамического содержимого. Если при разработке не учитываются требования безопасности, злоумышленник получает возможность модифицировать исполняемые команды.
Краткое описание [ подробное описание в формате .pdf 398 Kb ]
эксплуатация переполнения буфера позволяет злоумышленнику изменить путь исполнения программы путем перезаписи данных в памяти системы
-
Атака на функции форматирования строк (Format String Attack)
при использовании этих атак путь исполнения программы модифицируется методои перезаписи областей памяти с помощью функций форматирования символьных переменных
атаки этого типа направлены на Web-серверы, создающие запросы к службе LDAP на основе данных, вводимых пользователем
атаки этого класса направлены на выполнение команд операционной системы на Web-сервере путем манипуляции входными данными
эти атаки направлены на Web-серверы, создающие SQL запросы к серверам СУБД на основе данных, вводимых пользователем
атаки данного класса позволяют злоумышленнику передать исполняемый код, который в дальнейшем будет выполнен на Web-сервере
эти атаки направлены на Web-серверы, создающие запросы на языке XPath на основе данных, вводимых пользователем
5. Разглашение информации (Information Disclosure)
Атаки данного класса направлены на получение дополнительной информации о Web-приложении. Используя эти уязвимости, злоумышленник может определить используемые дистрибутивы ПО, номера версий клиента и сервера и установленные обновления. В других случаях, в утекающей информации может содержаться расположение временных файлов или резервных копий. Во многих случаях эти данные не требуются для работы пользователя. Большинство серверов предоставляют доступ к чрезмерному объему данных, однако необходимо минимизировать объем служебной информации. Чем большими знаниями о приложении будет располагать злоумышленник, тем легче ему будет скомпрометировать систему.
Краткое описание [ подробное описание в формате .pdf 385 Kb ]
-
Индексирование директорий (Directory Indexing)
атаки данного класса позволяют атакующему получить информацию о наличии файлов в Web каталоге, которые недоступны при обычной навигации по Web сайту
-
Идентификация приложений (Web Server/Application Fingerprinting)
определение версий приложений используется злоумышленником для получения информации об используемых сервером и клиентом операционных системах, Web-северах и браузерах
данная техника атак направлена на получение доступа к файлам, директориям и командам, находящимся вне основной директории Web-сервера.
-
Предсказуемое расположение ресурсов (Predictable Resource Location)
позволяет злоумышленнику получить доступ к скрытым данным или функциональным возможностя
6. Логические атаки (Logical Attacks)