Каналы реализации угроз информационной безопасности

Классификация угроз по видам несанкционированных воздействий

Нормативные и методические документы ФСБ России, ФСТЭК России, других регуляторов в сфере информационной безопасности рекомендуют различные классификации угроз информационной безопасности. Анализ предлагаемых классификаций показывает, что все угрозы имеют общий классификационный признак определяемый, как вид несанкционированного воздействия на информацию.

Данное заключение позволяет сделать вывод, любая угроза информационной безопасности может быть отнесена к нарушению одного или нескольких базовых свойств защищаемой информации, а именно конфиденциальности, целостности и (или) доступности.

Таким образом, по видам несанкционированных воздействий угрозы классифицируются следующим образом:

•угрозы, приводящие к нарушению конфиденциальности (хищение, утрата), реализация которых не осуществляется непосредственного воздействия на содержание защищаемой информации;

•угрозы, приводящие к нарушению доступности (блокирование), как результат несанкционированного, в том числе случайного, а в ряде случаев и стихийного, воздействия на элементы информационных систем;

•угрозы, приводящие к нарушению целостности (модификация, уничтожение, отрицание подлинности и навязывание ложной информации), как результат несанкционированного, в том числе случайного, а в ряде случаев и стихийного, воздействия на элементы информационных систем.

Классификация угроз безопасности по источникам их происхождения

Как уже было сказано любая угроза информационной безопасности характеризуется источником ее происхождения (реализации). По этому, для описания угроз необходимо идентифицировать тип источника угрозы. По типу источника угрозы - угрозы делятся на две группы: естественные (объективные) и искусственные (субъективные) .

Естественные (объективные) угрозы - это угрозы, вызванные воздействиями на информационную систему и ее элементы объективных физических процессов или стихийных природных явлений, не зависящих от человека.

Искусственные (субъективные) угрозы - это угрозы информационной системы, вызванные деятельностью человека.

Классификация по замыслу реализации угроз

По замыслу реализации угрозы информационной безопасности делятся на преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников) и не преднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в программном обеспечении, ошибками в действиях персонала и т.п.;

Классификация угроз по местоположению источника угрозы относительно объектов информационной системы

В зависимости от местоположения источника угрозы относительно объектов информационной системы угроз классифицируются как внутренние – источник угрозы расположен в пределами контролируемой зоны (охраняемой территории) и внешние – источник угрозы расположен вне контролируемой зоны (охраняемой территории).

Классификация угроз по возможностям источника угроз в получении физического доступа к ресурсам информационной системы

По возможностям источника угроз в получении физического доступа к ресурсам информационной системы угрозы делятся: на угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющими доступ к ресурсам информационной системы, включая пользователей, реализующие угрозы непосредственно в информационной системе и угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ресурсам информационной системы, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена

Классификация угроз по возможностям реализации удаленных атаки

По возможностям реализации удаленных атак угрозы делятся: на угрозы, реализуемые в информационных системах при их подключении к сетям связи общего пользования, на угрозы, реализуемые в информационных системах при их подключении к сетям международного информационного обмена и на угрозы, реализуемые в информационных системах, не имеющих подключений к сетям связи общего пользования и сетям международного информационного обмена.

Классификация угроз по структуре информационных систем, на которые направлена реализация угроз

По структуре информационных систем, на которые направлена реализация угроз, угрозы делятся: на угрозы безопасности информационных ресурсов, обрабатываемых в информационных системах, на базе автоматизированного рабочего места, на угрозы безопасности информационных ресурсов, обрабатываемых в информационных системах на базе локальных информационных систем и на угрозы безопасности информационных ресурсов, обрабатываемых в информационных системах на базе распределенных информационных систем

Классификация уязвимостей

Угрозы информационной безопасности, проявляются не сами по себе, а через уязвимости. Уязвимости, как свойства, присущи любому объекту информационной системы, они неотделимы от него и обуславливаются: недостатками процессов управления и функционирования, свойствами и характеристиками оборудования и программного обеспечения, используемых в информационной системе, протоколами обмена данными, интерфейсами взаимодействия, настройками аппаратных и программных платформ, условиями эксплуатации, расположением элементов оборудования и т.д.

Каждой угрозе информационной безопасности могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей существенно влияет на возможность реализации угроз.

Для идентификации уязвимостей используется следующая классификация:

•объективные уязвимости – являются неотъемлемой частью (свойством) объекта информационной системы;

•субъективные уязвимости – определяются особенностями использования ресурсов информационной системы сотрудниками организации и другими участниками информационных процессов;

•случайные уязвимости – характеризуются проявлениями слабопрогнозируемых процессов внешней среды и непредвиденных ситуаций

Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, инженерных сооружений и сетевых коммуникаций, применяемых на защищаемом объекте.

Полное устранение этих уязвимостей невозможно, но использование их может быть существенно затруднено использованием технических и инженерно-технических методов парирования угроз. На рисунке представлены основные группы уязвимостей входящих в состав группы объективных уязвимостей.

Состав группы случайных уязвимостей

Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды, а также от непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы. Устранение их возможно только в рамках комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной безопасности. На рисунке представлены основные группы уязвимостей входящих в состав группы случайных уязвимостей.

Характеристика уязвимостей в средствах операционной системы, предназначенных для управления локальными ресурсами и коммуникационного взаимодействия

Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой:

•функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;

•фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;

•отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);

•ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.

Уязвимости в средствах коммуникационного взаимодействия характеризуются:

•особенностями их программной реализации (например использованием незащищенных сетевых протоколов);

•ограничениями на размер применяемого буфера;

•имеющими место недостатками в процедурах аутентификации;

•отсутствием проверок правильности служебной информации и др.

Основные причины возникновения уязвимостей

Основными причинами возникновения уязвимостей являются:

•ошибки в системе менеджмента информационной безопасности;

•ошибки при проектировании, разработке и вводе в эксплуатацию автоматизированных систем и программно-аппаратных комплексов;

•преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения;

•ошибки в конфигурациях автоматизированных систем и программно-аппаратных комплексов;

•неправомерное изменение режимов работы устройств и программ;

•несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

•внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;

•несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;

•сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).

Характеристика уязвимостей системного программного обеспечения

Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения корпоративной информационной системы.

На уровне системного программного обеспечения имеют место следующие уязвимости:

•в микропрограммах, в прошивках запоминающих устройств;

•в программном коде операционной системы, предназначенных для управления локальными ресурсами (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.) драйверах, утилитах;

•в средствах операционной системы, предназначенных для выполнения вспомогательных функций - утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиках и т.п.), программах предоставления пользователю дополнительных услуг (специальных вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т.д.);

•в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы.

Характеристика уязвимостей в средствах операционной системы, предназначенных для управления локальными ресурсами и коммуникационного взаимодействия

Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой:

•функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;

•фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;

•отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);

•ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.

Уязвимости в средствах коммуникационного взаимодействия характеризуются:

•особенностями их программной реализации (например использованием незащищенных сетевых протоколов);

•ограничениями на размер применяемого буфера;

•имеющими место недостатками в процедурах аутентификации;

•отсутствием проверок правильности служебной информации и др.

Характеристика уязвимостей прикладного программного обеспечения

К прикладному программному обеспечению относятся прикладные программы общего пользования и специальные прикладные программы.

Прикладные программы общего пользования - текстовые и графические редакторы, медиа-программы (аудио- и видеопроигрыватели, программные средства приема телевизионных программ и т.п.), системы управления базами данных, программные средства для разработки программных продуктов (типа Visual Basic Application), средства защиты информации общего пользования и т.п.

Специальные прикладные программы - это программы, которые разрабатываются и приобретаются в интересах решения конкретных прикладных задач (в том числе программные средства защиты информации и контроля).

Уязвимости прикладного программного обеспечения могут представлять собой:

•функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы;

•функции, процедуры, изменение параметров которых позволяет использовать их для несанкционированного доступа, несанкционированной модификации, удаления программ и данных и других деструктивных воздействий, без обнаружения таких изменений операционной системой;

•фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе;

•отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);

•ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации.

Классификация способов реализации угроз

Как уже было отмечено описание угрозы информационной безопасности должно включать в себя не только характеристики источника угрозы, используемых им уязвимостей, но так же и описание способа реализации угрозы.

Множество способов реализации угроз классифицируется как:

аналитические способы;

социальные способы;

организационные способы;

технические способы;

программно-аппаратные способы.

Необходимо отметить, что реализация большинства из рассматриваемых в данном курсе способов реализации угроз невозможна без внедрения в организацию злоумышленника или привлечения для их реализации сотрудников организации. Например, установка программной закладки в локальной сети, изолированной от внешних сетей, невозможна без привлечения сотрудника имеющего права доступа к сетевому оборудованию.

Аналитические способы реализации угроз информационной безопасности

К типовых аналитическим способам относятся:

опрос в ходе публичных мероприятий (конференции и пр.);

опрос бывших (уволенных) сотрудников;

проведение мнимых переговоров;

скрытая инвентаризация информационных ресурсов организации;

анализ информации из СМИ, глобальных ИС, выступлений публичных лиц;

агрегирование и инференция[1] открытой информации.

7.2. Социальные способы реализации угроз информационной безопасности

В группу типовых социальных способов реализации угроз входят:

вербовка, подкуп или шантаж персонала;

сговор;

вхождение в доверие;

разжигание вражды;

террористические методы (поджег, взрыв, уничтожение).

7.3. Организационные способы реализации угроз информационной безопасности

К типовым организационным способам реализации угроз можно отнести:

доступ к носителям информации, техническим средствам и другим компонентам информационной системы;

подделка документов;

разрушение коммуникаций.



[1] Инференция - умозаключение, формируемое участниками коммуникации в процессе интерпретации получаемых сообщений.

Технические способы реализации угроз информационной безопасности

К типовым техническим способам реализации угроз относятся:

мониторинг (наблюдение) активности каналов связи и передачи данных;

получение информации о номерах телефонов, IP адресах сетевых устройств и подсетей, сетевой архитектуре, организации серверных ресурсов, структуре системы ИТ управления, выявление наиболее уязвимых мест для дальнейшей реализации угроз;

нарушение целостности и доступности информации при передаче по каналам связи и передачи данных, нарушение нормальной работы оборудования, носителей информации;

электромагнитное воздействие на элементы оборудования связи и передачи данных;

создание условий (предпосылок) для сбоев и отказов оборудования и программного обеспечения;

визуально-оптическое наблюдение и фотографирование;

перехват акустических и виброакустических сигналов;

перехват информации в кабельных линиях связи.

Программно-аппаратные способы реализации угроз информационной безопасности

К типовым программно-аппаратным способам реализации угроз относятся:

внедрение дезинформации;

загрузка нештатной операционной системы и программного обеспечения;

изменение конфигурации компонентов корпоративной информационной системы и используемых сетевых служб и сервисов;

маскировка под авторизованного пользователя (маскарад);

модификация информации (данных);

модификация программного обеспечения и/или его настроек;

несанкционированное изменение полномочий субъектов доступа;

перехват управления сетевыми соединениями;

перехват управления ресурсами корпоративной информационной системы;

перехват управления средствами защиты информации защиты (СЗИ);

применение вредоносных программ (вирусов);

применение нештатных отладочных режимов;

сканирование и модификация журналов регистрации и контроля событий;

перегрузка корпоративных систем и серверов общего пользования, а так же каналов связи;

наблюдение за активностью работы компонентов корпоративной информационной системы;

установка нештатного оборудования и/или программного обеспечения;

чтение, копирование информации.

Характеристика угроз информационной безопасности

8.1. Характеристика угроз утечки информации по техническим каналам

Источниками угроз утечки информации по техническим каналам являются физические лица, не имеющие доступа к оборудованию информационной системы Банка, а также организации (в том числе конкурирующие или террористические), криминальные группировки, осуществляющие перехват (съем) информации с использованием технических средств регистрации, приема или фотографирования информации.

Носителем информации, как правило является пользователь информационной системы, осуществляющий голосовой ввод (передачу) информации, акустическая система воспроизводящая защищаемую информацию, а также технические средства, создающие физические поля, в которых информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

При обработке защищаемой информации возможно возникновение угроз информационной безопасности за счет реализации следующих технических каналов утечки: угрозы утечки акустической (речевой) информации; угрозы утечки видовой информации; угрозы утечки информации по каналам ПЭМИН.

Основные каналы утечки акустической (речевой) информации

Основными каналами утечки акустической (речевой) информации являются:

•акустическое излучение информативного речевого сигнала;

•виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации помещений, в которых установлено средства обработки защищаемой информации;

•электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет «микрофонного эффекта» в технических средствах обработки защищаемой информации и в средствах относящихся к вспомогательным средствам и системам и распространяющиеся по проводам и линиям, выходящим за пределы служебных помещений (ВЧ-навязывание);

•радиоизлучения, модулированные информативным сигналом, возникающие при непосредственном облучении технических средств обработки информации и ВТСС высокочастотным сигналом (ВЧ-облучение (параметрический));

•оптические излучения, возникающие посредством преобразования информативного сигнала из акустического в оптический за счет акустооптических модуляторов на базе волоконно-оптических линий (светодиодов), находящихся в акустическом поле речевого сигнала («оптические микрофоны»).

Перехват акустической речевой информации осуществляется с использованием:

•микрофонов воздушной проводимости (ненаправленные микрофоны, направленные микрофоны рефлекторного, трубчатого и плоскостного типов);

•вибропреобразователей (вибродатчиков) различного типа («контактные микрофоны»);

•оптико-электронной аппаратуры дистанционного лазерного зондирования отражающих поверхностей, попадающих в поле акустического речевого сигнала (лазерные микрофоны»);

•высокочастотных генераторов облучения технических средств обработки информации и ВТСС, попадающих в поле акустического (речевого) сигнала («средства высокочастотного навязывания и облучения»);

•акустооптических модуляторов на базе волоконно-оптических линий, находящихся в поле акустического (речевого) сигнала («оптические микрофоны»).

Каналы утечки видовой информации

Угрозы утечки видовой информации реализуются за счет просмотра защищаемой информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы.

Перехват (просмотр) защищаемой информации осуществляется посторонними лицами путем их непосредственного наблюдения в служебных помещениях либо на расстоянии прямой видимости из-за пределов информационной системы с использованием оптических (оптикоэлектронных) средств.

В качестве устройств перехвата (просмотра) используется портативная носимой аппаратура, проносимая физическими лицами при их пребывании в служебных помещениях или в непосредственной близости от них. В качестве примера, может отметить перехват (просмотр) с использованием сотового телефона со встроенным фотоаппаратом.

Для наблюдения за объектами на значительном расстоянии (от нескольких сот метров до нескольких километров) используются, как правило, стационарные средства.

Каналы утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН)

Основными каналами утечки информации за счет ПЭМИН являются:

•побочные электромагнитные излучения информативных сигналов от технических средств и линий передачи информации;

•наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы служебных помещений;

•радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств информационной системы, или при наличии паразитной генерации в узлах (элементах) технических средств;

•радиоизлучения, формируемые в результате высокочастотного облучения технических средств, в которых проводится обработка информативных сигналов (параметрические каналы утечки информации).

Для регистрации ПЭМИН используется аппаратура в составе радиоприемных устройств и оконечных устройств восстановления информации.

Кроме этого перехват ПЭМИН возможен с использованием электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации («аппаратурные закладки»).

Угрозы безопасности информации, связанные с перехватом ПЭМИН с использованием специальных электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки определяются в соответствии с нормативными документами Федеральной службы безопасности Российской Федерации в установленном порядке.

Характеристика угроз несанкционированного доступа к информации с применением программных и программно-аппаратных средств

Угрозы несанкционированного доступа с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного доступа, в результате которого осуществляется нарушение конфиденциальности (хищение, утрата), целостности (модификация, отрицание подлинности, навязывание ложной информации) и доступности (блокирование, уничтожение).

Угрозы несанкционированного доступа с применением программных и программно-аппаратных средств включают в себя:

•угрозы доступа (проникновения) в операционную среду информационной системы;

•угрозы, реализуемые с использованием протоколов межсетевого взаимодействия;

•угрозы программно-математических воздействий;

•комбинированные угрозы, представляющие собой сочетание вышеперечисленных угроз.

•

В качестве источников угроз могут выступать:

•нарушитель;

•носитель вредоносной программы;

•аппаратная закладка.

Угрозы безопасности информации, связанные с внедрением аппаратных закладок, определяются в соответствии с нормативными документами Федеральной службы безопасности Российской Федерации в установленном порядке.

Угрозы доступа (проникновения) в операционную среду

К угрозам доступа (проникновения) в операционную среду относят угрозы которые могут иметь место в случае получения локального (непосредственного) доступа к устройствам ввода-вывода непосредственно подключенных к оборудованию компьютерной системы.

Выделяют три группы угроз доступа в операционную среду.

Первая группа включает в себя угрозы, реализуемые в ходе загрузки операционной системы. Данные угрозы направлены на перехват паролей или идентификаторов, модификацию программного обеспечения базовой системы ввода-вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения несанкционированного доступа в операционную среду компьютерной системы. Чаще всего такие угрозы реализуются с использованием отчуждаемых носителей информации.

Вторая группа - угрозы, реализуемые после загрузки операционной среды независимо от того, какая прикладная программа запускается пользователем. Эти угрозы, как правило, направлены на выполнение непосредственно несанкционированного доступа к информации. При получении доступа в операционную среду нарушитель может воспользоваться как стандартными функциями операционной системы или какой-либо прикладной программы общего пользования (например, системы управления базами данных), так и специально созданными для выполнения несанкционированного доступа программами, например:

•программами просмотра и модификации реестра;

•программами поиска текстов в текстовых файлах по ключевым словам и копирования;

•специальными программами просмотра и копирования записей в базах данных;

•программами быстрого просмотра графических файлов, их редактирования или копирования;

•программами поддержки возможностей реконфигурации программной среды (настройки системы в интересах нарушителя) и др.

Наконец, третья группа включает в себя угрозы, реализация которых определяется тем, какая из прикладных программ запускается пользователем, или фактом запуска любой из прикладных программ.

Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия

Если информационная система организации реализована на базе локальной вычислительной сети или представляет собой распределенную информационную системы, то в ней могут быть реализованы угрозы безопасности (атаки) путем использования протоколов межсетевого взаимодействия. Особенно опасны угрозы, когда распределенная информационная система подключена к сетям связи общего пользования и (или) сетям международного информационного обмена.

Реализация угроз с использованием протоколов межсетевого взаимодействия может включать в себя:

•анализ сетевого трафика (перехват пакетов);

•сканирование сети;

•установку вредоносной программы;

•подбор пароля;

•подмену доверенного объекта сети;

•внедрение ложного объекта сети;

•атаку - отказ в обслуживании;

•удаленный запуск приложений.

Процесс реализации угрозы в общем случае состоит из четырех этапов:

•сбора информации;

•вторжения (проникновения в операционную среду);

•осуществление несанкционированного доступа;

•ликвидации следов несанкционированного доступа.

Угрозы программно-математических воздействий

Программно-математическое воздействие - это воздействие на защищаемую информацию с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:

•скрывать признаки своего присутствия в программной среде компьютера;

•обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;

•разрушать (искажать произвольным образом) код программ в оперативной памяти;

•выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирования, уничтожения, блокирования и т.п.);

•сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);

•искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

Основными видами вредоносных программ являются:

•компьютерные вирусы;

•программы типа «троянский конь»;

•сетевые «черви»;

•программные закладки.

Общая характеристика вирусов

Вирус - программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения.

Жизненный цикл вируса

Жизненный цикл вируса как правило определяется тремя стадиями:

•размножение;

•инкубационный период (интервал времени когда активность вируса, связанная с его размножением прекращается);

•выполнение деструктивного воздействия.

Поскольку отличительной особенностью вирусов в традиционном смысле является способность их к размножению остановимся только на процессе размножения.

Процесс размножения вируса может быть условно разделен на следующие этапы:

проникновение на компьютер жертвы;

активация вируса;

поиск объектов для заражения;

подготовка вирусных копий;

внедрение вирусных копий.

Более детально проблематика защиты от компьютерных вирусов представлена в НМД ФСТЭК России «Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных» вопросы защиты от угроз программно-математических воздействий рассматриваются в разделе 5.5.

Общая характеристика троянских программ (типа «троянский конь»)

Троян (троянский конь) - программа, основной целью которой является вредоносное воздействие на компьютерную систему. Отличительной особенностью троянов является то, что в отличии от вирусов трояны не внедряют свой код в другие программы.

Во времена своего появления, как класс вредоносного программного обеспечения, трояны представляли собой программы, маскирующиеся под полезное программное обеспечение, например в виде программы просмотра графических файлов. Размножаться или передавать себя на другие объекты компьютерной сети они не умели.

В настоящее время понятие «троян» - потеряло свой первоначальный смысл. Под трояном понимается любое вредоносное программное обеспечение, которое на этапе внедрения в систему маскируется под что либо полезное, представляющее ценность. Классическим примером современного трояна является вредоносное программное обеспечение, которое распространяется через вложения файлов в письмах электронной почты. После запуска на выполнение, полученного по почте, файла последний инфицирует компьютер – жертву, и далее - распространение по компьютерной сети выполняется, либо используя механизмы распространения сетевых «червей», либо механизмы размножения компьютерных вирусов.

Жизненный цикл классического трояна

В силу отсутствия у троянов функций размножения их жизненный цикл включает стадии:

•проникновение на компьютер жертвы;

•активация;

•выполнение деструктивного воздействия.

Общая характеристика сетевых «червей»

Червь (сетевой червь) - тип вредоносных программ, распространяющихся по каналам передачи данных. Характерной для данного класса вредоносных программ является способность сетевого «червя» автономно (самостоятельно) преодолению системы защиты компьютерных сетей. Проникнув на компьютер жертвы сетевой «червь» создает одно или несколько своих копий и пытается получить удаленный доступ на другие компьютеры подключенные к сети. Отметим, что создаваемые сетевым «червем» копии не всегда совпадают с оригиналом, что существенно затрудняет их поиск и удаление их зараженной системы

Для получения доступа к компьютеру потенциальной жертвы сетевые «черви», как правило используют уязвимости сетевого программного обеспечения.

Классификация компьютерных червей по способам проникновения

По способам проникновения черви делятся на:

•Сетевые черви - черви, использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов TCP/IP.

•Почтовые черви — черви, распространяющиеся в формате сообщений электронной почты.

•IRC-черви — черви, распространяющиеся по каналам IRC (Internet Relay Chat).

•P2P-черви — черви, распространяющиеся при помощи пиринговых (peer-to-peer) файлообменных сетей.

•IM-черви — черви, использующие для распространения системы мгновенного обмена сообщениями (IM, Instant Messenger - ICQ, MSN Messenger, AIM и др.).

Типовой механизм распространения сетевого «червя»

Механизм распространения сетевого «червя» можно представить в виде следующих этапов:

•первичное проникновение в систему, например через спам - рассылку;

•активация на зараженном компьютере, например с использованием системной функции автозагрузки программ при старте операционной системы;

•поиск потенциальной «жертвы» (компьютера, имеющего уязвимости сетевого программного обеспечения);

•получение доступа через обнаруженную уязвимость;

•подготовка и копирования своей копии на зараженный компьютер;

•внесение изменений в настройки зараженного компьютера для реализации функций активизации, ранее размещенной своей копии.

•

Общая характеристика программных закладок

К программным закладкам относятся программы, фрагменты кода, инструкции, формирующие недекларированные возможности программного обеспечения. Вредоносные программы могут переходить из одного вида в другой, например, программная закладка может сгенерировать программный вирус, который, в свою очередь, попав в условия сети, может сформировать сетевого червя или другую вредоносную программу, предназначенную для осуществления несанкционированного доступа.

Определение программной закладки

Программная закладка: Преднамеренно внесенный в программное обеспечение функциональный объект, который при определенных условиях инициирует реализацию недекларированных возможностей программного обеспечения.

(ГОСТ Р 51275-2006 Объект информатизации. Факторы, воздействующие на информацию. Общие положения)

Программная закладка - код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

(НМД ФСТЭК России «Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных»)

Отметим, что программные закладки практически ни чем не отличаются от троянских программ. Отличие между трояном и программной закладкой, лишь в том, что троян, пытается проникнуть в любую компьютерную систему, то есть - управление со стороны злоумышленника сводиться лишь к запуску процесса проникновения из внешней (как правило из сети Интернет) среды. То есть троян, изначально предназначен работать в любой компьютерной системе, использующей технологии под которые троян был создан.

В отличии от трояна, программная закладка устанавливается и инициализируется злоумышленником в конкретной компьютерной системе объект ведения разведки и (или) реализации атаки.

Угрозы , реализуемые с использованием социальной инженерии

Социальная инженерия представляет собой технологию использования человеческого фактора для несанкционированного доступа к защищаемой информации, т.к. именно человек является наиболее слабым звеном в системах защиты. Даже если корпоративная сеть организации оснащена самой совершенной системой защиты, виновником взлома может стать неопытный сотрудник, который поддался на мошеннические действия злоумышленника.

Один из приемов использования социальной инженерии – введения пользователя в заблуждение путем сообщения ему важных для него данных, оказывающихся на самом деле ложными.

Наиболее характерными видами атак, в которых используются методы социальной инженерии, являются фишинг и фарминг - атаки.

8.10.1. Фишинг- атаки

Фишинг – вид онлайнового мошенничества, целью которого является получение идентификационных данных пользователей. Организаторы фишинг-атак рассылают электронные письма от имени популярных брендов и вставляют в них ссылки на фальшивые сайты. Оказавшись на таком сайте, пользователи рискуют сообщить злоумышленникам информацию сугубо конфиденциального характера.

Чаще всего фишинг-атакам подвергаются пользователи различных банковских и платежных систем. Злоумышленники рассылают им письма с троянскими программами, осуществляющими кражу банковских реквизитов, номеров и PIN-кодов банковских карт и другой конфиденциальной информации.

Организация фишинг- атаки

Фишинг-атака начинается с предварительной подготовки злоумышленниками сайта-двойника или специального сайта с вредоносной страницей.

Взламывается, как правило, какой-нибудь относительно популярный веб-сайт. На практике подобные сайты существуют недолго: их закрывают сами хостинг-провайдеры при получении запроса от антивирусных компаний или правоохранительных органов. Дрогой способ создания вредоносного сайта – это заражение сервера владельца сайта или хостинговой компании с последующим доступом к аккаунтам для управления взломанными сайтами. По статистике средняя продолжительность жизни подставного сайта составляет от 6 до 30 суток. После создания специального сайта с вредоносной страницей при помощи так называемых «ботнетов» осуществляется массированная спам-рассылка электронных писем и сообщений для интернет-пейджеров, призывающих получателя зайти на инфицированный сайт.

«Ботнет» («зомби»-сеть) - это сеть из зараженных компьютеров и серверов, централизованно управляемых злоумышленниками. «Ботнеты» используются для рассылки спама, организации DoS-атак, а также распространения вредоносных программ. По некоторым оценкам в настоящее время общее количество компьютеров, входящих в какой-либо «ботнет», составляет несколько миллионов, а их число ежемесячно увеличивается на 300-350 тысяч.

Для привлечения пользователей на зараженный сайт злоумышленники применяют методы социальной инженерии. Текст письма составляется так, чтобы у читающего не возникло сомнений в правдивости написанного и вызвали мотивированную реакцию пользователей, т.е. посещение сайта по указанной в письме ссылке. При этом злоумышленник, как правило, подменяет DNS на целевой сайт (DNS poisoning) или каким-либо другим способом перенаправляет сетевой трафик, чтобы скрыть истинный адрес взломанного сайта. При входе пользователя на инфицированный сайт ему предлагается ввести конфиденциальную информацию (банковские реквизиты, пароли, PIN-коды и т.п.) или изменить пароль для онлайновых операций якобы в целях безопасности. Таким образом, в руках злоумышленников оказываются персональная информация пользователей, имеющая конфиденциальный характер. Дальнейшее применение этой информации с целью, например, кражи финансовых средств со счетов становится «делом техники».

Меры защиты от фишинг- атак

Основой защиты от фишинг-атак является обучение пользователей. Своевременное и полное информирование сотрудников о данной угрозе и о необходимости тщательной проверки источника запроса конфиденциальных данных устранит основное условие существования фишинг-атак.

Для борьбы с фишингом необходимо предотвратить проникновение писем атакующей стороны в КИС Банка с помощью специализированных средств контентной фильтрации, таких как анти-спам-фильтры, системы контроля электронной почты, системы контроля веб-трафика и т.п. Данные системы выделяют из потока фишинг-сообщения, применяя следующие способы:

• блокирование спама, т.к. в большинстве случаев фишинг-сообщения распространяются с помощью массированных спам-атак через каналы электронной почты и интернет-пейджеры;

• проверка содержимого писем на наличие признаков фишинг-сообщений;

• проверка наличия адреса сайта в списках «фальшивых» веб-ресурсов. Данные списки составляются компаниями-производителями средств контентной фильтрации и антивирусов и распространяются по подписке наряду с другими базами данных;

• применение технологии анти-спуфинга (anti-spoofing), то есть создание системы аутентификации интернет-адресов для проверки соответствия введенного пользователем адреса настоящему серверу. Данная технология позволяет бороться с подменой DNS на целевой сайт или другими способами перенаправления сетевого трафика;

• эвристический анализ, который позволяет выявить в поступившем пользователю сообщении признаки, совокупность которых дает возможность установить принадлежность к фишинг-атаке. Например, установить факт того, что сайт является незаконным, возможно по расположению сервера с сайтом, на который указывает ссылка в письме, за пределами зоны Рунета, хотя пользователь и организация, куда он обращается, являются российскими.

Фарминг - атаки

Говоря простыми словами, атака типа "фарминг" имеет дело с инструкциями, с помощью которых компьютер пытается найти запрошенный пользователем веб-сайт, для того чтобы незаметно направить пользователя на «фальшивый» веб-сайт. Самой большой хитростью является то, что с точки зрения пользователя это выглядит так, как будто он попал на нужный ему веб-сайт.

8.10.2.1. Организация фарминг- атаки

И так суть фарминга сводится к автоматическому перенаправлению пользователей на фальшивые сайты с целью хищения конфиденциальной информации, например, паролей и номеров банковских счетов. В отличие от фишинга, фарминг-атаки практически не требуют выполнения каких-либо действий со строны потенциальной жертвы. При проведении фарминг-атак злоумышленники используют уязвимости в браузерах, операционных системах, а также программном обеспечении DNS-серверов.

В последнее время появился новый тип фарминг-атак получивший название Drive-by Pharming. Суть его сводится к тому, что злоумышленники меняют настройки маршрутизаторов или беспроводных точек доступа в интернет, после чего пользователи, сами того не подозревая, перенаправляются на вредоносные сайты. Данный тип атак представляет угрозу, прежде всего, для тех пользователей, которые подключены к Сети посредством широкополосных линий. Сценарий нападения, как правило, предполагает применение JavaScript-кода, который и вносит изменения в настройки оборудования потенциальной жертвы. Согласно исследованию, проведенному специалистами Университета Индианы, порядка 50 процентов пользователей широкополосных каналов теоретически могут стать жертвами атак Drive-by Pharming. Специалисты настоятельно рекомендуют установить на маршрутизаторах пароль или сменить заводской пароль, угадать который для злоумышленников практически не составляет труда. Кроме того, эксперты советуют не пренебрегать брандмауэрами, средствами обнаружения вторжений и стараться не переходить по ссылкам, полученным из неизвестных или ненадежных источников.

Меры защиты от фарминг- атак

Наиболее эффективными средствами борьбы с фармингом являются назвать антивирусные системы, межсетевые экраны, средства контроля содержимого электронной почты и анти-спам-фильтры. Антивирусные системы выполняют главную задачу – осуществляют поиск троянских программ, межсетевые экраны детектируют подозрительную активность, происходящую на компьютерах, средства контроля электронной почты обеспечивают мониторинг подозрительных писем, анти-спам-фильтры предотвращают поступление пользователям спама, в котором содержится вредоносный мобильный код.

Спам- атаки

Спам – атаки, другое название спам - рассылки являются наиболее распространенным способом доставки вредоносных и потенциально опасных программ. Вспомним, что фишинг-атаки также проводятся с использованием спам - рассылок. В настоящее время спам стал одной из значимых угроз при использовании электронной почты и сети Интернет.

Спамеры периодически меняют технологию рассылки спама по мере совершенствования средств фильтрации. Спам-почта, нацеленная на российский рынок имеет ряд технологических особенностей:

•распределенность спам-рассылок. Существенная доля спам-сообщений рассылается через «ботнеты». Как правило, отдельный инфицированный компьютер используется для посылки небольшой доли сообщений, при этом в рассылке участвуют сотни и тысячи пользовательских машин;

• уникальность спам-сообщений. Спам-сообщения, рекламирующие один и тот же товар или услугу, но отправленные разным пользователям, уникальны. Другими словами, в каждое отдельное письмо вносятся случайные последовательности символов (часто невидимые для читателя), персональные обращения, анекдоты, большие куски связного текста и так далее, что делает спам-сообщения невидимыми для фильтров, основанных на технологии проверки сигнатуры или одинакового текста. Случайные последовательности символов добавляются автоматически, с применением специализированных программ (obfuscating text – буквально «текст, сбивающий с толку»);

• маскировка под легальные письма. Спамеры делают техническую информацию в рассылаемых письмах максимально похожей на легальную переписку, в результате чего большая часть спама легко проходит через формальные фильтры.

Меры защиты от спама

Для эффективной борьбы со спамом должен применяться комплексный подход, включающий ряд мер не только технического, но и организационного характера. Т.е. недостаточно использовать лишь одну технологию или метод фильтрации для борьбы со спамом, должна быть система, позволяющая с помощью корпоративной политики информационной безопасности, устанавливать требования и эффективно контролировать их выполнение на всех уровнях корпоративной информационной системы организации банковской системы РФ.

Обнаружить спам помогают знание следующих характеристик:

•спам-сообщение содержит информацию (рекламу) от заказчика рассылки, то есть произвольного текста в нем быть не может, там будет описан рекламируемый продукт или услуга;

•спам-сообщение должно легко читаться. Оно не может быть зашифровано, основной объем содержится в составе сообщения. Количество случайных последовательностей («мусора»), видимых пользователем, должно быть небольшим. При нарушении этих правил снижается читаемость, а следовательно, и отклик на рекламу;

•среди основных технических средств, обеспечивающих фильтрацию спама, наиболее эффективными являются специализированные антиспам-фильтры и системы контроля электронной почты. При этом последние, как правило, имеют в своем составе отдельные модули, позволяющие рассматривать спам как одну из категорий писем, которые необходимо определить и отфильтровать.

Модели угроз и нарушителей

9.1. Значение моделей угроз и нарушителя

Необходимым условием разработки, поддержания в актуальном состоянии и совершенствования системы информационной безопасности является формирование модели угроз и нарушителей. Разработка модели угроз является необходимым условием для определения класса действующей или проектируемой автоматизированной системы.

Модель угроз должна содержит систематизированный перечень угроз безопасности информации при их обработке в информационных системах организации.

«Основная ценность и значимость модели угроз и нарушителей заключается в том, что на ее основе планируются и проводятся мероприятия по минимизации информационных рисков.

Модели угроз и нарушителей формируются и утверждаются в банковской организации в соответствии с требованиями принятой к исполнению политики информационной безопасности, методическими документами ФСБ России, ФСТЭК России. В случае обеспечения информационной безопасности с использованием криптосредств при формировании модели угроз должны учитываться требования методических документов ФСБ РФ.

При разработки моделей угроз и нарушителей для информационных систем в которых обрабатывается информация, содержащая персональные данные, необходимо учитывать требования и рекомендации: НМД ФСТЭК России «Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных», положения «Методических рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» ФСБ РФ, а также другие документы основных регуляторов в сфере информационной безопасности.

Возможности нарушителя, характеризующиеся уровнем его знаний и умений

Уровень знаний и умений нарушителя использовать технические и программно-аппаратные средства преодоления системы защиты характеризуется:

уровнем знания:

методов построения вычислительных систем и сетевых технологий;

протоколов межсетевого взаимодействия;

системного проектирования;

вопросов эксплуатации вычислительных систем;

владением языками программирования;

возможностями в использовании свободно-распространяемого программного обеспечения;

наличием опыт работы со специализированными программными продуктами и утилитами;

возможностями получения сведений о средствах и механизмах защиты объекта нападения;

возможным участием в проектировании и создании информационной системы организации, в том числе и участие в создании системы информационной безопасности.

Возможности нарушителя по использованию методов и средств реализации угроз

В модели нарушителя должны учитываться его возможности по использованию методов и средств реализации угроз, такие как возможности:

сбора информации о объекте атаки в беседах и разговорах с сотрудниками;

использования пассивных средств перехвата сетевого трафика;

использованию активных средств сканирования сетевых ресурсов;

использования штатных средств, входящих в информационную систему или систему ее защиты, а так же имеющихся в них недостатков;

отслеживание модификаций, используемых средств обработки информации, порядка и правил подключения новых средств, использование специализированных утилит, внедрение программных закладок и "черных ходов" в систему, возможности подключения к каналам передачи данных.

Возможности нарушителя в доступе к ресурсам информационной системы

Получение нарушителем доступа к объектам информационной системы характеризуется как возможностью:

удаленного доступа с использованием телекоммуникационных каналов, выходящий за пределы контролируемой зоны;

физического доступа на охраняемую территорию;

физического доступа к оборудованию и к элементам информационной системы;

доступа к управлению:

рабочими станциям пользователей и администраторов;

программными серверами, СУБД, системными и сетевыми службами и сервисами;

средствами администрирования, контроля за информационными ресурсами систем и комплексов обработки, хранения и передачи информации;

средствами защиты информации.

Возможности нарушителя по времени доступа к ресурсам информационной системы

Возможности нарушителя по времени доступа к ресурсы информационной системы характеризуются как доступ:

в момент обработки информации;

в момент передачи данных;

в процессе хранения данных (учитывая рабочее и нерабочее состояния системы).

Возможности внешнего нарушителя

Внешний нарушитель как правило имеет следующие возможности:

•осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;

•осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;

•осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;

•осуществлять несанкционированные доступ через элементы корпоративной информационной системы, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами контролируемой зоны;

•осуществлять несанкционированные доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к корпоративной информационной системе.

Потенциально в группу риска, к которой относятся внешние нарушители, входят:

хакеры (любители);

уголовные элементы, имеющие профессиональные знания и опыт в информационных технологиях;

клиенты организации;

приглашенные посетители;

представители конкурирующих организаций;

сотрудники органов ведомственного надзора и управления;

нарушители пропускного режима;

наблюдатели за пределами охраняемой территории.

Возможности внутреннего нарушителя

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к компонентам корпоративной информационной системы и контролю порядка проведения работ с защищаемой информацией.

Потенциально в группу риска, к которой относятся внутренние нарушители, входят:

сотрудники организации (пользователи, операторы), а также руководители разных уровней;

администраторы вычислительных сетей и администраторы информационной безопасности;

прикладные и системные программисты;

сотрудники подразделений безопасности;

технический персонал обслуживающий здания, имеющий доступ в помещения с вычислительной техникой (от уборщицы до ремонтной бригады);

вспомогательный персонал и временные работники.

Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ресурсам корпоративной информационной системы.

Характеристика внутреннего нарушителя первой категории

К первой категории относятся лица, имеющие санкционированный доступ к оборудованию и другим компонентам информационной системы, но не имеющие доступа к непосредственно к защищаемой информации.

К этому типу нарушителей относятся должностные лица, обеспечивающие функционирование используемых автоматизированных систем .

Лицо этой категории, может:

•иметь доступ к фрагментам информации, содержащей в защищаемых информационных массивах и распространяющейся по внутренним каналам связи (передачи данных) информационной системы;

•располагать фрагментами информации о сетевой топологии (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;

•располагать именами учетных записей пользователей и в выявление их паролей;

•изменять конфигурацию технических средств информационной системы, вносить в них программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам.

9.7.2. Характеристика внутреннего нарушителя второй категории

Ко второй категории относятся зарегистрированные пользователи информационной системы, осуществляющие ограниченный доступ к ресурсам системы со своего рабочего места.

Лицо этой категории:

•обладает всеми возможностями лиц первой категории;

•знает по меньшей мере одно легальное имя доступа;

•обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству информационных ресурсов;

•располагает конфиденциальными данными, к которым имеет доступ.

Его доступ, аутентификация и права по доступу к некоторому подмножеству информационных ресурсов, должны регламентироваться соответствующими правилами разграничения доступа.