2015-01-21
1132
Одной из самых главных составляющих нарушения функционирования ИТС является объект атаки, то есть компонент ИТС, который подвергается воздействию со стороны злоумышленника. Определение объекта атаки позволяет принять меры по ликвидации последствий нарушения, восстановлению этого компонента, установку контроля по предупреждению повторных нарушений и т.д. Воздействию могут подвергаться ИТС в целом или объекты ИТС – данные или программы в оперативной памяти или на внешних носителях, сами устройства системы, как внешние (дисководы, сетевые устройства, терминалы), так и внутренние (оперативная память, процессор), каналы передачи данных, процессы.
Причина появления используемой ошибки защиты. Реализация любой угрозы возможна только в том случае, если в данной конкретной системе есть какая-либо ошибка или брешь защиты. Такая ошибка может быть обусловлена одной из следующих причин.
1. Неадекватностью политики безопасности реальной ИТС.
2. Ошибками административного управления, под которыми понимается некорректная реализация или поддержка принятой политики безопасности в данной ИТС.
|
|
|
3. Ошибками в алгоритмах программ, в связях между ними и т.д., которые возникают на этапе проектирования программы или комплекса программ и благодаря которым их можно использовать совсем не так, как описано в документации.
4. Ошибками реализации алгоритмов программ (ошибки кодирования), связей между ними и т.д., которые возникают на этапе реализации или отладки и которые также могут служить источником недокументированных свойств.
Способ воздействия на ИТС: в интерактивном режиме или в пакетном режиме.
Используемые средства атаки. Для воздействия на систему злоумышленник может использовать стандартное программное обеспечение или специально разработанные программы.
Состояние объекта атаки. Объект атаки может находиться в одном из трех состояний:
хранения информации;
передачи информации;
обработки информации.
Рассмотренные варианты классификации угроз безопасности приведены на рис. 1.
Рисунок Варианты классификации угроз безопасности
Подобная классификация показывает сложность полного перечисления возможных угроз и способов их реализации. Поэтому в конкретной организации необходимо, опираясь на описание ее производственных и управленческих процессов, на классификацию и перечни угроз, выделить множество угроз, критичных для данной организации, для последующего выбора контрмер.
В работе [__]содержится одна из последних классификаций основных угроз для объектов критических сегментов ИИ. В таблице приводятся описания угроз из указанного документа. Фактически они представляют собой обобщенную классификацию угроз по источнику (агенту) угрозы.. доклада [GAO05, Critical Infrastructure Protection: Department of Homeland Security Faces Challenges in Fulfilling Cybersecurity Responsibilities]
|
|
|
Таблица 3 Перечень угроз для объектов критических сегментов информационной инфраструктуры.
| Угроза (Threat) | Описание |
| Операторы зомби-сетей (Bot-network operators) | Операторы зомби-сетей – это хакеры, однако, вместо того, чтобы проникать в систему для захвата привилегий, они захватывают сложные системы с тем, чтобы координировать атаки и распространять фишинговые схемы, спам и злонамеренное ПО. Сервисы захваченных сетей иногда делаются доступными для подпольных рынков (например, оплата DOS-атаки, серверов для распространения спама или фишинговых атак, и т.д |
| Криминальные группы | Криминальные группы стремятся атаковать системы из-за денежной корысти. Характерно, что организованные криминальные группы используют спам, фишинг и шпионское/злонамеренное ПО для совершения кражи идентификационной информации и он-лайнового обмана. Международные корпоративные шпионы и организованные криминальные организации также нацелены и умеют вести промышленный шпионаж и огромные денежные кражи, также нанимая хакеров или развивая хакерский талант. |
| Иностранные разведывательные органы | Иностранные разведывательные службы используют киберметоды в своих действиях по сбору информации. К тому же, несколько стран агрессивно работают над развитием доктрины, программ, и возможностей информационной войны. Такие возможности позволяют отдельному человеку иметь значительное и серьезное влияние через разрушение запасов, коммуникаций и экономических инфраструктур, которые обеспечивают военную мощь – влияния, которые могут воздействовать на повседневную жизнь граждан всей страны. |
| Хакеры (Hackers) | Хакеры проникают в сети из-за желания решить эту сложную задачу или желания похвастаться привилегиями в хакерском сообществе. Хотя удаленное вскрытие требует значительного умения и компьютерных знаний, хакеры могут сейчас скачать из Интернета скрипты и протоколы для атаки и запустить их против сайтов-жертв. Таким образом, хотя средства атак стали более изощренными, они стали проще в использовании. Большинство хакеров, по мнению Центрального разведывательного агентства, не имеют соответствующего опыта для угрозы сложным целям, таким как критические сети США. Тем не менее мировая популяция хакеров представляет относительно высокую угрозу для локальнго или широкого разрушения, вызывающего серьезные потери. |
| Инсайдеры (Insiders) | Сотрудник организации является одним из основных источников компьютерных преступлений. Инсайдерам нет нужды заниматься компьютерными вторжениями, так как их знание атакуемой системы часто позволяет иметь неограниченный доступ для нанесения ущерба или похищения данных системы. Инсайдерская угроза включает также сторонних производителей и служащих, которые случайно вносят злонамеренное ПО в систему. |
| Фишеры (Phishers) | Отдельные люди или малые группы людей, осуществляющие фишинговые схемы в попытках украсть идентификационную информацию или информацию для денежной выгоды. Фишеры могут также использовать спам и шпионское или злонамеренное ПО для достижения своих целей. |
| Спамеры (Spammers) | Отдельные люди или организации, которые распространяют незапрошенные электронные сообщения со скрытой или неверной информацией с целью продажи продуктов, выполнения фишинговых схем, распространения шпионского или злонамеренног ПО или атаки организаций (например DOS-атаки) |
| Создатели шпионского/ злонамеренного ПО (Spyware/malware) | Отдельные люди или организации с злонамеренным желанием выполнить атаки против пользователей с помощью производства и распространения шпионского и злонамеренного. Несколько разрушительных компьютерных вирусов и червей нанесли существенный ущерб файлам и жестким дискам. Это the Melissa Macro Virus, the Explore.Zip worm, the CIH (Chernobyl) Virus, Nimda, Code Red, Slammer, и Blaster. |
| Террористы | Террористы стремятся разрушить, вывести из строя или использовать в своих интересах критические инфраструктуры с тем, чтобы угрожать национальной безопасности, вызывать массовые жертвы, ослаблять экономику, и наносить ущерб морали и доверию. Террористы могут использовать схемы фишинга или шпионского/злонамеренного ПО с тем, чтобы создавать денежные запасы или собирать чувствительную информацию. |
Там же приведены типы кибератак с их описанием. К ним относятся:
|
|
|
отказ в обслуживании (Denial of service), распределенный отказ в обслуживании (Distributed denial of service), средства эксплуатации уязвимости (Exploit tools), логические бомбы, фишинг (Phishing), снифферы (Sniffer), троянские кони, вирусы, сканирование дозвоном (War dialing), поиск на местности доступной беспроводной сети (War driving), компьютерные черви. Здесь единого принципа классификации не усматривается; наряду с результатом воздействия на систему (например, отказ в обслуживании) приведены методы реализации атак (логические бомбы, вирусы).
Таблица. Типы кибератак
| Типы атак | Описание |
| Отказ в обслуживании , DOS-атака (Denial of Service) | Метод атаки с единого источника, которая приводит к тому, что система отказывает в доступе законным пользователям из-за переполнения атакуемого компьютера от сообщений и блокирования законного трафика. Это может препятствовать системе обмениваться данными с другими системами или использовать Интернет. |
| Распределенный отказ в обслуживании, DDOS-атака (Distributed Denial of Service) | Разновидность атаки отказа в обслуживании, которая использует координированное воздействие от распределенной системы компьютеров, а не от одного компьютера. Атака часто использует компьютерных червей для распределения заданий на много компьютеров, которые могут затем атаковать цель. |
| Средства эксплуатации уязвимости (Exploit tools) | Открыто доступные и искусные средства, с помощью которых злоумышленники с разным уровнем подготовки могут определить уязвимости и проникнуть в атакуемые системы. |
| Логические бомбы | Форма саботажа, при которой программист вставляет подпрограмму, вызывающую выполнение программой деструктивных действий, когда появляется некоторое инициирующее событие, например такое, как увольнение этого программиста. |
| Фишинг (Phishing) | Создание и использование электронной почты и веб-сайтов – выглядящими как у законных компаний, финансовых институтов и правительственных организаций – с тем чтобы обманом побудить пользователей Интернета к раскрытию их персональных данных, таких как информация о банковском и финансовом счете и парольные слова. Фишеры затем используют эту информацию в криминальных целях, таких как кража и обман. |
| Сниффер (Sniffer) | Синоним с пакетным сниффером. Это программа, которая перехватывает передаваемые данные и проверяет каждый пакет в поисках специальной информации, такой как парольные слова, посланные в открытом тексте. |
| Троянский конь | Компьютерная программа, которая скрывает в себе вредоносный программу. Троянский конь обычно маскируется как полезная программа, которую пользователь хотел бы использовать. |
| Вирус | Программа, которая заражает компьютерные файлы, обычно выполнимые программы, с помощью внесения своей копии в файл. Эти копии обычно выполняются, когда инфицированный файл загружается в память, позволяя вирусу заражать другие файлы. В отличии от компьютерного червя, вирус требует человеческого участия (обычно непреднамеренного) для распространения. |
| Сканирование дозвоном (War dialing) | Простые программы, которые используются для дозвона по последовательным телефонным номерам для определения модемов. |
| Поиск на местности доступной беспроводной сети (War driving) | Метод проникновения в беспроводные компьютерные сети, используя переносной компьютер, антенны и беспроводной сетевой адаптер, с помощью проверки на местности для получения неавторизованного доступа. |
| Червь | Независимая компьютерная программа, которая репродуцирует себя копированием из одной системы в другую через сеть. В отличие от компьютерных вирусов, черви не требуют привлечения человека для размножения. |
Следует отметить включение в список источников угроз инсайдеров (внутренних злоумышленников). В последнее время в отечественной и зарубежной прессе им уделяется, наряду с кибертеррористами повышенное внимание.
|
|
|
Можно сравнить приведенные угрозы с угрозами из более раннего документа американского института стандартов 2002 года [29], где приводятся угрозы системам ИТ, связанные с действиями людей, мотивация этих людей и описание действия угроз. Оба списка включают угрозу терроризма, но, естественно, более поздний список более полон.
Список угроз из работы [28] сильно коррелирует со списком угроз из [30]. Этими угрозами являются следующие: террористы, криминальные группы, разведывательные службы иностранных государств, создатели шпионского или злонамеренного ПО, хакеры, инсайдеры, операторы зомби-сетей, фишеры и спамеры.
Как видно из представленного выше материала, множество угроз, которые надо рассматривать при анализе критически важных информационных инфраструктур, динамически меняется. Эти изменения определяются многими причинами, среди которых основную роль играет появление новых технологий и повышение зависимости от них.
В настоящее время предложен ряд перечней угроз. В качестве примера можно привести перечень угроз, содержащийся в германском стандарте информационной безопасности «Руководство по базовой защите информационных технологий» (BSI IT baseline protection manual). Этот перечень, возможно, является наиболее полным из существующих. Он содержит 370 угрозы, сгруппированные в 5 разделов:
- форс-мажорные обстоятельства,
- организационные недостатки,
- неумышленные неправильные действия людей,
- технические неполадки,
- злонамеренные действия людей.
Немецкий стандарт "Руководство по обеспечению безопасности ИТ" (IT Baseline Protection Manual) разрабатывается в BSI (Bundesamt für Sicherheit in der Informationstechnik (German Information Security Agency), www.bsi.bund.de).
BSI\IT Baseline Protection Manual наверно самый объемный, содержательный и практичный стандарт по ИБ. Он имеется в свободном доступе в сети Интернет по следующему адресу: https://www.bsi.bund.de/gshb/english/menue.htm (https://www.bsi.bund.de/english/gshb/index.htm). В них содержаться подробные руководства по обеспечению информационной безопасности применительно к различным аспектам функционирования ИС и различным областям ИТ.
Данный стандарт постоянно совершенствуется с целью обеспечения его соответствия текущему состоянию дел в области ИТ и ИБ. К настоящему времени накоплена уникальная база знаний, содержащая информацию по угрозам и контрмерам в хорошо структурированном виде.
https://www.bsi.bund.de/english/gshb/index.htm
