Invest-currency.ru

Как обезопасить себя в кризис?
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Уязвимости информационной безопасности

Уровни уязвимостей информационной безопасности

Связано это с тем, что в системе управления информационной безопасностью плохо разработаны, а порой и вообще отсутствуют процессы, охватывающие фундаментальные уровни уязвимостей. Под этими уровнями я подразумеваю, категории процессов или фундамент, на котором держится и функционирует система ИБ. Как только на каком либо из уровней возникает брешь, тут же появляется лазейка для злоумышленника.

— Физический
— Технологический
— Логический
— Человеческий
— Законодательный
— Организационный

Физический – отвечает за физическую безопасность и доступ. Это двери, замки, окна, методы доступа к источникам информации, сотрудники охраны.

Технологический – отвечает за технические средства защиты. Это сигнализация, видеокамеры, системы обнаружения вторжения, брандмауэры, средства обнаружения закладок, генераторы помех и т.д.

Логический – отвечает за логику или всё ли функционирует логично?
Правильно ли созданы листы доступа на брандмауэре, правильно ли расставлены посты охраны на объекте, правильно ли расставлены датчики и камеры. Здесь очень часто встречаются спорные вопросы, и порой те или иные правила зависят от объекта и окружающей среды.

Человеческий – отвечает за человеческий фактор. Это уровень бдительности и осведомленности персонала. Это то насколько дисциплинирована охрана. Человеческий фактор является одним из самых уязвимых уровней, ведь именно через человека очень часто утекало и утекает хорошо защищаемая информация зарубежным спецслужбам и именно этому фактору, во многих компаниях уделяется очень мало внимания.

Законодательный – этот уровень отвечает за законодательную базу. Это то, насколько всё законно устроено и функционирует в рамках закона. Соответствует ли хранение информации, к примеру, которая составляет гос. тайну, закону и требованиям установленными государством.

Организационный – отвечает за организацию всех процессов и документации. Это регламенты, политики, инструкции, положения, планы реагирований на инциденты, протоколы и т.д. Этот уровень по своей сущности близок к законодательному.

Эти пять направлений взаимосвязаны друг с другом, они дополняют друг друга и должны быть под контролем, в противном случае, инфраструктура будет плохо защищена от современных угроз.

В реальной ситуации нацеленный злоумышленник обычно атакуя и проникая в сеть компании, действует по принципу от самого легкого к самому сложному. Если ему не удастся пробить периметр сети, он попробует выманить пароли у сотрудников, сыграв на человеческом факторе, если и это не удастся, он попробует получить физический доступ к источникам информации и так далее. В данном случае злоумышленник действует по принципу гибкости и рано или поздно находит лазейку. То же законодательный уровень, если конкурент прознает, что в компании не соблюдаются какие то требования, то конкурент может пожаловаться в органы и компанию оштрафуют и приостановят деятельность.

Лично, по моему мнению, у большинства плохо защищенных компаний в РФ присутствует только три уровня, из них:
Первый – физический, который на деле, оказывается, уязвим за счет отсутствия остальных.
Второй – технический, который несовершенен и требует доработок, в связи с отсутствием остальных.
Третий – логический, который несовершенен.

Анализ уязвимостей

Анализ уязвимостей — это организованный процесс поиска уязвимых мест, угроз, потенциальных способов их осуществления и моделей работы злоумышленников, вовлеченных в эти процессы.

Уязвимость представляет собой слабый компонент в информационной системе (ИС) предприятия. Под угрозой понимают возможное событие, действие, явление или процесс, которые могут скомпрометировать информацию. Третье действующее лицо — злоумышленник, который использует найденные уязвимости для реализации угроз.

Наличие уязвимостей негативно влияет на бизнес: делает его менее защищенным перед конкурентами, упрощает нанесение материального вреда, раскрытие конфиденциальной информации (например, персональных данных клиентов или контрагентов). Источники угрозы бывают преднамеренными или случайными, а также вызванными природными или техногенными факторами. Для каждой угрозы существует перечень уязвимостей, которые позволяют ее реализовать.

Анализ уязвимостей в разрезе ИБ

Информационная безопасность (ИБ) определяет защищенность бизнес-среды и экономическую эффективность деятельности организации. Компании, которые заинтересованы в ИБ, ведут работу по предотвращению утечки конфиденциальной информации, ее несанкционированному изменению и защите от угроз, которые могут нарушить работу, повлиять на взаимоотношения с контрагентами, государственными контролирующими органами, потенциальными инвесторами, поставщиками.

Есть несколько источников угроз, потому необходимо их систематизировать и составить план анализа, чтобы охватить как можно больше потенциально уязвимых бизнес-процессов. В информационной безопасности важно придерживаться четырех основополагающих принципов: целостность, конфиденциальность, доступность и достоверность данных.

Виды угроз для анализа

Анализ уязвимостей информационной системы возможен только при понимании типов угроз, которые возникают в информационном поле предприятия. Существует несколько способов их классификации.

По состоянию источника угрозы:

  • непосредственно в ИС;
  • в пределах видимости ИС (например, подслушивающие устройства);
  • вне зоны действия/видимости ИС (перехват данных во время прохождения каналами связи).

По степени воздействия:

  • несут активную угрозу (вирусы, троянские программы);
  • несут пассивную угрозу (кража информации копированием).

По способу доступа:

  • через нестандартные каналы связи (например, уязвимости ОС);
  • напрямую (через кражу паролей).

Главные цели атаки на IT-инфраструктуру предприятия — контроль над ценными информационными ресурсами, доступными в корпоративной сети, и ограничение деятельности организации. Второй способ выбирают недобросовестные конкуренты или политические оппоненты.

Читать еще:  Финансово экономическая безопасность это

Информационной безопасности угрожают:

  • вредоносное программное обеспечение и хакеры/мошенники;
  • сотрудники-инсайдеры (злонамеренные или незлонамеренные);
  • стихийные бедствия (пожары, наводнения, аварии на энергосистемах).

Угрозы реализуют различными способами: перехватывают данные и сигналы связи, оставляют аппаратные и программные «закладки», нарушают работу корпоративных локальных и беспроводных Wi-Fi сетей, создают условия для доступа инсайдеров.

Оценка вероятности угроз

Чтобы оценить вероятность наступления угроз, используют трехуровневую качественную шкалу:

Первый уровень — Н, или «низкая вероятность». У нее минимальная вероятность наступления и нет предпосылок (мотивов, инцидентов в прошлом) для того, чтобы реализовать угрозу на практике. Угрозы с низкой вероятностью приводят к реальным инцидентам не чаще одного раза в 5—10 лет.

Второй уровень — С, или «средняя вероятность». Вероятность осуществления такой угрозы выше, чем в предыдущем случае, так как в прошлом имели место аналогичные инциденты, есть информация, что атакующая сторона имеет намерения и/или возможности реализовать их в отношении объекта. Угрозы со средней вероятностью приводят к реальным инцидентам в среднем раз в году.

Третий уровень — В, или «высокая вероятность». Угроза с самыми высокими шансами осуществления. Их подтверждают статистические данные, произошедшие ранее инциденты, серьезные мотивы со стороны атакующей стороны. Ожидать реализацию этой угрозы можно раз в неделю или чаще.

Методы анализа уязвимостей

Есть несколько методик, которые позволяют выполнить анализ уязвимостей системы. Одна из них базируется на вероятностном подходе и учитывает факторы:

  1. Потенциал нарушителя: определяется на основе экспертных оценок.
  2. Источник угрозы: атака возможна в контролируемой зоне или за ее пределами.
  3. Способ воздействия: технический, сетевой или социальный канал.
  4. Объект угроз: конфиденциальная информация, средства ее доставки/обработки/хранения, или штатные сотрудники компании.

При анализе уязвимостей ИС важно учесть возможные места дислокации. Для этого выявляют и устраняют ошибки в ОС и прикладном программном обеспечении, а в будущем регулярно и оперативно устанавливать патчи от разработчиков ПО. Для тех уязвимостей, которые связаны с некорректной настройкой средств защиты, регулярно проверяют и выполняют ИТ-аудит систем защиты информации, а в идеале настраивают непрерывный мониторинг. Отдельно проводится работа с сотрудниками предприятия: раздают права доступа, используют ограничения на установку специального ПО, копирование данных, использование внешних носителей информации.

У вас похожая задача? Оставьте заявку, и наши специалисты свяжутся с вами в ближайшее время и подробно проконсультируют.

Уязвимости: рекомендации по выработке и проведению мер по исправлению ситуации

Антон Свинцицкий,
руководитель отдела консалтинга
АО ДиалогНаука

При проведении анализа состояния информационной безопасности ИТ-инфраструктуры очень часто обнаруживаются множественные уязвимости, устранение которых существенно не отражается на общем уровне защищенности информации, так как недостаточно устранить выявленные уязвимости, необходимо скорректировать существующие процессы обеспечения информационной безопасности и внедрить эффективные механизмы контроля.

Классификация уязвимостей

Говоря об уязвимостях в ИТ-инфраструктуре компании, обычно рассматривают следующие виды уязвимостей:

  • технологические или архитектурные — отсутствие определенных механизмов, технологий обеспечения информационной безопасности;
  • организационные — отсутствие документированных требований, процессов обеспечения информационной безопасности;
  • эксплуатационные — уязвимости, связанные с недостатками в существующих компонентах ИТ-инфраструктуры.

Любой выбранный подход к классификации обнаруженных уязвимостей должен быть формализован во внутренних документах компании, например, можно взять за основу подход, описанные в российском стандарте ГОСТ P 56546—2015 «Защита информации. Уязвимости информационных систем». Можно также использоваться следующие параметры для классификации уязвимостей с целью приоритезации задач по их устранению:

  • критичность компоненты ИТ-инфраструктуры, на которых присутствует данная уязвимость;
  • критичность уязвимости;
  • потенциальные последствия;
  • наличие технологий, позволяющих эксплуатировать выявленную уязвимость.

Типовые уязвимости 2014-2015

В рамках работ по анализу ИТ-инфраструктуры, проведению тестирований на проникновение и аудитов информационной безопасности можно выделить следующие наиболее часто встречающиеся уязвимости:

эксплуатационные уязвимости:

1) Неподдерживаемые версии операционных систем и системного программного обеспечения (MS Windows XP, MS Windows Server 2003, PHP). Уязвимости данного типа могут привести к отказу в обслуживании, выполнению произвольного кода и/или раскрытию защищаемой информации.
2) Уязвимости веб-серверов (например, Apache HTTP Server), позволяющие атакующему провести атаку на отказ в обслуживании или выполнить произвольный код в уязвимой системе.
3) Использование небезопасных протоколов управления (например, telnet). Данный класс уязвимостей в большинстве случаев позволяет потенциальному злоумышленнику перехватить передаваемую аутентификационную информацию и получить доступ к уязвимому хосту. Для перехвата аутентификационной информации необходимо либо находиться на пути прохождения передаваемой аутентификационной информации, например, иметь доступ к оборудованию провайдера или каналу связи, или перенаправить траффик на себя, например, с помощью атак класса ARP Spoofing (локально) атак на сетевые протоколы маршрутизации или DNS (удаленно).
4) Использование небезопасных протоколов SSL и TLS может привести к перехвату передаваемой аутентификационной информации.
5) Слабые пароли WPA/WPA2-PSK. Данные уязвимости могут привести к получению несанкционированного доступа к беспроводной сети, а также к перехвату информации, передаваемой по незащищенным протоколам внутри беспроводной сети.
6) Использование протокола разрешения имен NetBIOS по TCP/IP (NBNS) и LLMNR может привести к перехвату передаваемой аутентификационной информации (паролей, хешей паролей и т. д.) между Windows хостами.
7) Межсайтовый скриптинг (XSS). Уязвимость класса Cross Site Scripting существует из-за недостаточного экранирования спецсимволов, выводимых веб-приложением. Удаленный злоумышленник может выполнить враждебный JavaScript код в контексте уязвимого домена и обойти существующие ограничения и перехватить сессионную информацию легитимного пользователя сервисов, расположенных в данном домене. Внедрение JavaScript кода возможно любым доступным в конкретном случае способом: на сетевом уровне или с помощью атак социальной инженерии.

Читать еще:  Современные угрозы национальной безопасности россии

организационные уязвимости:

1) Отсутствие контроля за процессами «Управление конфигурациями», «Управление изменениями», «Управление обновлениями». Отсутствие контроля над этими процессами обеспечения информационной безопасности может привести к возникновению новых эксплуатационных уязвимостей в ИТ-инфраструктуре.
2) Атаки через контрагентов и подрядных организаций. Очень часто компании отдают на аутсорсинг отдельные сервисы, такие как поддержка информационных систем или администрирование сетевой части ИТ-инфраструктуры. В таких случаях, получая несанкционированных доступ к корпоративных информационным системам подрядчиков, потенциальный злоумышленник может через такого подрядчика установить программы удаленного управления в защищаемую сеть, а в дальнейшем использовать технологии скрытых каналов (например, DNS covert channel) для управления и передачи информации конфиденциального характера на контролируемые им сервера.

технологические уязвимости:

1) Возможность подключения корпоративных устройств к незащищенным гостевых сегментам беспроводных сетей компании. При использовании корпоративных устройств в гостевых сегментах беспроводных сетей атакующий может перехватить аутентификационную информацию и получить несанкционированный доступ к защищаемой инфраструктуре и информации конфиденциального характера.
2) Неконтролируемые информационные потоки. Основной канал утечки защищаемой информации легитимными пользователями – использование внешних запоминающих устройств и внешних сервисов обмена информацией (почта, файловые хранилища). Также принося внешние накопители и подключая их к корпоративной информационной системе повышается риск заражения вредоносным программным обеспечением.

Устранение выявленных уязвимостей

При реализации мероприятий по устранению выявленных уязвимостей в первую очередь необходимо рассматривать возможность установки обновлений от производителей программного обеспечения, устраняющих обнаруженные эксплуатационные уязвимости.

Если отсутствует возможность обновления или обновление программного обеспечения не устраняет выявленную уязвимость, то в зависимости от выбранных параметров классификации уязвимостей (критичности уязвимости, потенциальным последствиям от ее реализации) должны быть выбраны дополнительные меры обеспечения информационной безопасности.

При выборе дополнительных мер обеспечения информационной безопасности нужно исходить из следующих основных предпосылок:

  • дополнительные меры должны в первую очередь относиться к процессам обеспечения информационной безопасности, а не к устранению конкретной проблемы;
  • дополнительные меры должны в первую очередь быть направлены на контроль состояния информационной безопасности;
  • средства защиты информации, реализующие дополнительные меры, должны быть направлены не только на автоматизацию процессов обеспечения информационной безопасности, но должны осуществлять функции контроля;
  • реализация дополнительных мер не должна привносить в защищаемую систему дополнительных уязвимостей.

Порядок выбора дополнительных мер отражен на рисунке

Устранение типовых выявленных уязвимостей

Для устранения типовых уязвимостей в большинстве случаев необходимо реализовать следующий комплекс мероприятий:

1) Управление конфигурациями. Конфигурация компонентов ИТ-инфраструктуры, в том числе средств защиты информации, должны отвечать требованиям корпоративной политики информационной безопасности. Со стороны ответственных за обеспечение информационной безопасности должны осуществляться мероприятия по контролю конфигураций компонентов на периодической основе.
2) Управление обновлениями. Ответственные за обеспечение информационной безопасности должны отслеживать и контролировать необходимость установки обновлений как общесистемного программного обеспечения, так и прикладного программного обеспечения.
3) Управление изменениями. Внесение существенных изменений в информационные системы должно сопровождается тестированием реализованных механизмов информационной безопасности. Существенными изменениями могут считаться: изменения мажорной версии системы или ее компоненты, изменения, касающиеся архитектуры системы, изменения состава или функционала средств защиты информации и другие.
4) Управление уязвимостями (в том числе отслеживание новых уязвимостей и оценка применимости атак, направленных на эксплуатацию такой уязвимости в существующей ИТ-инфраструктуре). Необходимо определить причины неэффективности существующего в настоящий момент в компании процесса управления уязвимостями. Внести соответствующие изменения в документы, формализующие порядок реализации и контроля процесса. Применение подхода, связанного с оценкой рисков, связанных с воздействием на ИТ-инфраструктуры через выявленные уязвимости и последствиями от таких воздействий.

Заключение

Выявление уязвимостей – периодический процесс, частота повторения которого должна зависеть как от критичности обрабатываемой в ИТ-инфраструктуре информации, так и от особенностей самой инфраструктуры. Устранение выявленных уязвимостей – это процесс постоянного совершенствования системы обеспечения информационной безопасности, реализация которого позволит как устранить существующие уязвимости, так и снизить вероятность возникновения новых.

Уязвимость (компьютерная безопасность)

В компьютерной безопасности, термин уязвимость (англ. vulnerability ) используется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых, а также SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

Обычно уязвимость позволяет атакующему «обмануть» приложение — заставить его совершить действие, на которое у того не должно быть прав. Это делается путем внедрения каким-либо образом в программу данных или кода в такие места, что программа воспримет их как «свои». Некоторые уязвимости появляются из-за недостаточной проверки данных, вводимых пользователем, и позволяют вставить в интерпретируемый код произвольные команды (SQL-инъекция, XSS). Другие уязвимости появляются из-за более сложных проблем, таких как запись данных в буфер без проверки его границ (переполнение буфера).

Читать еще:  Угрозы национальной безопасности

Метод информирования об уязвимостях является одним из пунктов спора в сообществе компьютерной безопасности. Некоторые специалисты отстаивают немедленное полное раскрытие информации об уязвимостях, как только они найдены. Другие советуют сообщать об уязвимостях только тем пользователям, которые подвергаются наибольшему риску, а полную информацию публиковать лишь после задержки или не публиковать совсем. Такие задержки могут позволить тем, кто был извещён, исправить ошибку при помощи разработки и применения патчей, но также могут и увеличивать риск для тех, кто не посвящён в детали.

Существуют инструментальные средства, которые могут помочь в обнаружении уязвимостей в системе. Хотя эти инструменты могут обеспечить аудитору хороший обзор возможных уязвимостей, существующих в системе, они не могут заменить участие человека в их оценке.

Для обеспечения защищённости и целостности системы необходимо постоянно следить за ней: устанавливать обновления, и использовать инструменты, которые помогают противодействовать возможным атакам. Уязвимости обнаруживались во всех основных операционных системах, включая Microsoft Windows, Mac OS, различные варианты UNIX (в том числе GNU/Linux) и OpenVMS. Так как новые уязвимости находят непрерывно, единственный путь уменьшить вероятность их использования против системы — постоянная бдительность.

Примеры уязвимостей

Распространённые типы уязвимостей включают в себя:

  • Нарушения безопасности доступа к памяти, такие как:
    • Переполнения буфера
    • Висящие указатели
  • Ошибки проверки вводимых данных, такие как:
    • ошибки форматирующей строки
    • Неверная поддержка интерпретации метасимволов командной оболочки
    • SQL-инъекция
    • Инъекция кода
    • E-mail инъекция
    • Обход каталогов
    • Межсайтовый скриптинг в веб-приложениях
  • Состояния гонки, такие как:
    • Ошибки времени-проверки-ко-времени-использования
    • Гонки символьных ссылок
  • Ошибки путаницы привилегий, такие как:
    • Подделка межсайтовых запросов в веб-приложениях
  • Эскалация привилегий, такие как:
    • Shatter attack

ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

Текст ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ

Классификация уязвимостей информационных систем

Стандарте иформ 2015

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью «Центр безопасности информации» (ООО «ЦБИ»)

2 ВНЕСЕН Технический комитетом по стандартизации ТК 362 «Защита информации»

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому ре-гулировадою и метрологии от 19 августа 2015 г. N9 1181-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется е ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты». а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя •Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет ()

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

Введение

Настоящий стандарт входит в комплекс стандартов, устанавливающих классификацию уязвимостей, правила описания уязвимостей, содержание и порядок выполнения работ по выявлен**) и оцеисе уязвимостей информационных систем (ИС).

Настоящий стандарт распространяется на деятельность по защите информации, связанную с выявлением и устранением уязвимостей ИС при создании и эксплуатации ИС.

8 настоящем стандарте принята классификация уязвимостей ИС. исходя из области происхождения уязвимостей, типов недостатков ИС и мест возникновения (проявления) уязвимостей ИС.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ Классификация уязвимостей информационных систем Information protection. Vulnerabilities in information systems The classification of vulnerabilities in information systems

Дата введения — 2016—04—01

1 Область применения

Настоящий стандарт устанавливает классификацию уязвимостей информационных систем (ИС). Настоящий стандарт направлен на совершенствование методического обеспечения определения и описания угроз безопасности информации при проведении работ по защите информации в ИС.

Настоящий стандарт не распространяется на уязвимости информационных систем, связанные с утечкой информации по техническим каналам, в том числе уязвимостями электронных компонентов технических (аппаратных и аппаратно-программных) средств информационных систем.

2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий стандарт:

ГОСТ Р 50922-2006 Защита информации. Основные термины и определения

Примечание — При пользована настоящим стандартом целесообразно проверить действие ссыпо*«ьсх стандартов в информационной системе общего пользования — на официальном сайте национального органа Российской Федерации по стандарткэащы в сети Интернет или по ежегодному информационному указэтего «Нацио-иагьные стандарты», который олублюоеан по состоя»**) на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесе»*ых в да»чую версию изменений. Если заменен ссылочный стандарт, на который дана датм-роеаиная ссылка, то рекомендуется нспопьдоеатъ вероео этого документа с ука»»чьи

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector