2020-09-24
162
В дополнение обсудим два термина, имеющие отношения к рассматриваемой тематике и использовавшиеся выше.
Термин «Информационная атака».
1) Данное понятие можно рассматривать, прежде всего, как синоним понятия «информационная угроза» («угроза информационной безопасности»).
2) Информационную атаку можно рассматривать также как спланированный комплекс мероприятий по нанесению ущерба некоторому субъекту, использующему информационно-технологическую инфраструктуру. Согласно данному подходу информационная атака в общем случае может быть разделена на 4 стадии:
Стадия рекогносцировки. На этой стадии нарушитель осуществляет сбор данных об объекте атаки, на основе которых планируются дальнейшие стадии атаки. Примерами такой информации являются: тип и версия операционной системы (ОС), установленной на узлах ИС, список пользователей, зарегистрированных в системе, сведения об используемом прикладном ПО и т.п. При этом в качестве объектов атак могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование ИС.
|
|
|
Стадия вторжения в ИС. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех узлов ИС, по отношению к которым совершается атака.
Стадия атакующего воздействия на ИС. Данный этап направлен на достижение нарушителем тех целей, ради которых предпринималась атака. Примерами таких действий могут являться нарушение работоспособности ИС, кража конфиденциальной информации, хранимой в системе, удаление или модификация данных системы и т.п. При этом атакующий может также осуществлять действия, которые могут быть направлены на удаление следов его присутствия в ИС.
Стадия дальнейшего развития атаки. На этом этапе выполняются действия, которые направлены на продолжение атаки на ресурсы других узлов ИС.
Схематично стадии жизненного цикла информационной атаки изображены на рис. 1.6.
| Информационная система |
Рис. 1.6. Жизненный цикл типовой информационной атаки на ресурсы ИС
3) Наконец, конкретный вид информационной атаки мажет рассматриваться как самостоятельный вид информационной угрозы. В качестве примера можно указать на DDoS-атаку (от английского Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании сетевого ресурса хорошо защищённой крупной компании или правительственной организации.
Первым делом злоумышленник сканирует сеть с помощью специально подготовленных сценариев, которые выявляют потенциально слабые узлы. Выбранные узлы подвергаются нападению, и злоумышленник получает на них права администратора. На захваченные узлы устанавливаются троянские программы, которые работают в фоновом режиме (то есть одновременно с другими программами, запускаемыми операционной системой, так что пользователь не замечает трояна). Теперь захваченные компьютеры называются компьютерами-зомби, их пользователи даже не подозревают, что являются потенциальными участниками DDoS-атаки. Далее злоумышленник отправляет определенные команды захваченным компьютерам и те, в свою очередь, осуществляют мощную DoS-атаку на целевой компьютер (см. рис. 1.7), направляя ему огромное количество сообщений-запросов, в результате чего целевой компьютер не в состоянии обслужить ни одно из сообщений, в том числе отправленных лицами, не являющимися злоумышленниками.
|
|
|
В настоящее время существуют даже программы для добровольного участия в DDoS-атаках.
В некоторых случаях к фактической DDoS-атаке приводит непреднамеренное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них. Борьба с DDoS-атаками базируется на непрерывном измерении интенсивности информационных потоков в сети.
Студенты самостоятельно могут познакомиться с другими видами информационных атак в информационно-телекоммуникационных сетях, например, с DNS-атакой.
Рис. 1.7. Схема осуществления DDoS-атаки
Термин «Информационный риск».
В области информационной, равно как и экономической, безопасности обычно различать угрозу и риск. Если информационная угроза представляет собой негативное проявление среды (внутренней и внешней), в которой действует экономический субъект, использующий в своей деятельности ИС, относительно данного субъекта, то риск характеризует результат реализации этой угрозы, как правило, материальный или финансовый. Под риском в информационной безопасности следует понимать события материального и финансового ущерба при реализации различных видов угроз информационной безопасности, которые носят вероятный характер, или потенциально возможные неблагоприятные события, в результате которых могут возникнуть убытки и имущественный ущерб.
