Средства криптографической защиты информации (СКЗИ)
Результаты применения вышеописанных моделей атак:
Полный взлом цифровой подписи с получением закрытого ключа, и, следовательно, полный взлом алгоритма.
Подделка цифровой подписи - нахождение алгоритма, аналогичного алгоритму, используемому при подписи документа, что позволяет подделывать подписи для любого электронного документа.
Выборочная подделка цифровой подписи - возможность подделывать подписи для документов, выбранных криптоаналитиком.
Экзистенциальная подделка цифровой подписи - возможность получения допустимой подписи для какого-то документа, не выбираемого криптоаналитиком.
Средства криптографической защиты информации (СКЗИ)
Если допустить безошибочную реализации алгоритмов ЭП, из-за вычислительной сложности задачи, получение закрытого ключа практически невозможно.
При этом остается возможность вызова коллизий первого и второго рода.
Коллизия первого рода эквивалентна экзистенциальной модели атаки, а второго рода — выборочной.
С учетом применения хэш-функций, нахождение коллизий для алгоритма ЦП эквивалентно нахождению коллизий для используемых хэш-функций.
Средства криптографической защиты информации (СКЗИ)
Социальные атаки - направлены на манипуляции с открытым и закрытым ключами, а не на взлом алгоритмов самой цифровой подписи.
Кража закрытого ключа позволяет подписать любой документ от имени владельца ключа и обманом заставить владельца подписать какой-либо документ.
Подмена открытого ключа владельца на свой, что позволит выдавать себя за него.
Снизить опасность социальных атак позволяет использование протоколов обмена ключами и защита закрытого ключа от несанкционированного доступа.
Средства криптографической защиты информации (СКЗИ)
Проблема защиты ключей от подмены решается с помощью сертификатов.
Сертификат позволяет удостоверить владельца и его открытый ключ подписью третьего доверенного лица.
Существуют централизованные и децентрализованные системы сертификатов.
Вцентрализованных системах используются центры сертификации, поддерживаемые доверенными организациями.
Вдецентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных лиц каждым участником строится сеть доверия.
Средства криптографической защиты информации (СКЗИ)
Центр сертификации формирует собственный сертификат и закрытый ключ, а так же сертификаты конечных пользователей и подписывает их своей цифровой подписью.
Так же ЦС проводит отзыв сертификатов в случае истечения времени действия сертификата или компрометации, а так же ведет базы с выданными и отозванными сертификатами.
Анализ основных типов угроз информационной безопасности Физическая безопасность
Физическая безопасность включает в себя планирование помещений, компонентов окружения, планирование действий на случай чрезвычайных происшествий, контроль доступа, выявление вторжений, защиту систем электроснабжения, противопожарную безопасность.
ИБ не может существовать в вакууме, без надежной физической безопасности и механизмов резервирования.
ИБ следует внедрять на основе многоуровневой модели защиты, в которой защитные меры должны работать совместно.
Эта концепция предусматривает, что если защита на одном уровне нарушена, другие уровни продолжат защищать ценный актив. Уровни защиты должны быть реализованы на пути от периметра до актива.
Анализ основных типов угроз информационной безопасности Физическая безопасность
Например, у вас есть забор вокруг здания, затем стены самого здания, система контроля доступа на смарт-картах при входе в здание, система выявления вторжений, запертые компьютерные корпуса и сейфы. Такая последовательность уровней защиты предназначена для защиты критичных активов компании, размещенных в самой глубине контролируемой зоны. Так, если злоумышленники преодолеют изгородь и перехитрят охранников на входе, им нужно будет преодолеть еще несколько уровней защиты, прежде чем они получат доступ к защищаемым ресурсам и система.
Говоря о безопасности часто употребляется термин “злоумышленник”, который подразумевает постороннее лицо пытающееся получить неправомерный доступ к информации. Однако не всегда угроза ИБ исходит от посторонних, всё чаще виновниками утечек конфиденциальных данных становятся сотрудники компаний.
Анализ основных типов угроз информационной безопасности Внутренние угрозы (инсайдеры)
Аналитический Центр InfoWatch по итогам своего исследования, отмечает следующие основные факты:
•77% руководителей и 85% сотрудников ИТ- и ИБ-служб считают, что опасность для бизнеса их работодателей связана не с внешними, а с внутренними угрозами.
•73% руководителей ИТ- и ИБ-служб и более 77% сотрудников ИТ- и ИБ-служб не уверены в надежности корпоративных систем обеспечения ИБ, функционирующих в их компаниях.
•86% представителей среднего бизнеса и 75% респондентов из крупных компаний полагают, что их руководство будет охотнее инвестировать в ИБ, если доводить до него информацию о случившихся инцидентах.
Бюллетень «Информационная безопасность бизнеса в 2014 году», представленный Лабораторией Касперского, также указывает на возросшую угрозу со стороны инсайдеров - 87% компаний пострадали от внутренних угроз; почти четверть (24%) таких инцидентов привели к потере конфиденциальных данных.
Анализ основных типов угроз информационной безопасности Внутренние угрозы (инсайдеры)
Инциденты IT-безопасности: внутренние угрозы
Анализ основных типов угроз информационной безопасности Внутренние угрозы (инсайдеры)
Среди внутренних угроз, уязвимости в программном обеспечении виновны в менее чем половине инцидентов.
На случайные и намеренные утечки через сотрудников приходится 36% и 23% соответственно.
Инсайдеры, в частности действующие и бывшие сотрудники компании, стали всё чаще фигурировать в качестве виновников киберпреступлений.
Тем не менее это вовсе не означает, что сотрудники всегда демонстрируют злонамеренное поведение.
Служащие, подвергающие риску компанию, не обязательно должны быть настроены враждебно, они могут и не отдавать себе отчет о наличии потенциальных рисков.
Бреши в системе безопасности часто возникают по недомыслию служащих, к примеру, кто- то может оставить планшет с конфиденциальными данными в аэропорту или же разместить на каком-то сайте подлинные данные.