Прежде чем обсуждать классификацию угроз информационной безопасности, необходимо дать определения ряду понятий, которые будут использоваться в дальнейшем. Большинство из них определены в Доктрине информационной безопасности Российской Федерации, утвержденной Президентом Российской Федерации и Федеральном законе «Об информации, информационных технологиях и о защите информации» № 149-ФЗ. Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. Она развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере.
В соответствии с Доктриной, основными принципами государственной политики в области информационной безопасности являются:
• Соблюдение Конституции РФ, законодательства РФ, общепризнанных принципов и норм международного права.
• Открытое информирование общества о деятельности органов государственной власти и общественных объединений с учетом ограничений, установленных законодательством РФ.
• Правовое равенство всех участников процесса информационного взаимодействия.
• Приоритетное развитие отечественных современных информационных и телекоммуникационных технологий.
Доктриной определены функции, выполнение которых обеспечивает государство:
• сертификация и лицензирование деятельности в области защиты информации;
• защита производителей средств информатизации и защиты информации на территории РФ и защита внутреннего рынка от проникновения на него некачественных информационных продуктов;
• помощь физическим и юридически лицам в доступе к мировым информационным ресурсам, глобальным информационным сетям.
Большое внимание уделено мероприятиям по реализации государственной политики обеспечения информационной безопасности РФ. Среди прочих важное место в этом перечне занимает совершенствование и развитие законодательства в области информационной безопасности, комплексное противодействие угрозам информационной безопасности и повышение правовой культуры и компьютерной грамотности граждан.
Федеральный закон «Об информации, информационных технологиях и защите информации» регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий и обеспечении защиты информации.
В современном компьютеризированном, объединенном компьютерными сетями мире проблема борьбы с компьютерными преступлениями становится все более важной. В нашей стране решением этой проблемы на государственном уровне занялись только после ряда уголовных дел, самым громким из которых было дело программистов Волжского автомобильного завода, умышленно внесших деструктивные изменения в программу управления технологическим процессом, что нанесло заводу значительный ущерб. Введенный в действие новый Уголовный кодекс уже содержал главу, посвященную преступлениям в сфере компьютерной информации.
В ней предусматривались наказания за следующие преступления:
• Неправомерный доступ к компьютерной информации (ст. 272).
• Создание, использование и распространение вредоносных компьютерных программ (ст. 273).
• Нарушение правил эксплуатации компьютеров, компьютерных систем и сетей (ст. 274).
Для правомерного применения указанных статей необходимо, чтобы информация, находящаяся в информационной системе, была уничтожена, блокирована, модифицирована или скопирована. Простое проникновение в систему без неприятных последствий не наказывалось.
В настоящее время в нашей стране нормативно-правовая база обеспечения информационной безопасности еще далека от совершенства и нуждается в развитии. Работа в этом направлении постоянно ведется законодательными органами РФ.
Особенностью компьютерных преступлений является их низкая раскрываемость. Причиной этого служит нежелание фирм — жертв компьютерных преступлений признавать сам факт преступления и контактировать с правоохранительными органами, поскольку распространение информации о собственной халатности и ненадежности систем защиты информации может отпугнуть вкладчиков и акционеров. Кроме того, хищение информации может долгое время оставаться незамеченным, поскольку обнаружить факт копирования данных очень сложно, если для этого заблаговременно не приняты специальные меры. В результате официальная статистика компьютерных преступлений оказывается сильно заниженной.
Однако даже на основе этой неполной информации можно сделать ряд выводов об основных тенденциях развития компьютерной преступности:
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
Во-первых, в настоящее время компьютерные преступления совершаются группами, оснащенными самым современным компьютерным и телекоммуникационным оборудованием.
Во-вторых, подавляющее большинство компьютерных преступлений совершается с привлечением сотрудников атакуемых фирм.
В-третьих, развитие сети Интернет, появление новых сетевых сервисов и широкополосных каналов связи наряду с отсутствием централизованного управления и цензуры дает массу возможностей для информационно-психологического воздействия на людей, обмена криминальной информацией, создания специальных распределенных систем для атак на намеченные заранее цели. Подключение к сети Интернет домашнего компьютера стало повсеместным явлением. Отсутствие навыков защиты информации на своем компьютере у большинства простых пользователей приводит к тому, что их домашние компьютеры становятся легкой добычей преступников, похищающих личные конфиденциальные данные: номера кредитных карточек, номера счетов, компрометирующую информацию и т.д. Анализ журнала межсетевого экрана домашнего компьютера, подключенного к сети Интернет, покажет вам, что каждые несколько минут происходят попытки удаленного получения информации о компьютере и подключения к его сервисам.
Существует много различных определений понятия информационной безопасности. В частности, в Доктрине информационной безопасности под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. Мы ограничимся более узкими рамками и будем использовать следующее определение.
Информационная безопасность — защищенность информации, обрабатываемой в информационно-вычислительной системе, от случайных или намеренных воздействий внутреннего или внешнего характера, чреватых нанесением ущерба владельцам информационных ресурсов или пользователям информации.
Обеспечение информационной безопасности — очень сложная и многогранная задача, которая, как это следует из приведенного выше определения, не сводится только к защите информационной системы от посягательств злоумышленников. Очень важной является защита от воздействий естественных случайных и стихийных факторов, таких как сбои оборудования, аварии систем жизнеобеспечения зданий, стихийные бедствия, случайные ошибки людей, работающих в системе.
Комплекс мероприятий по поддержанию информационной безопасности на любом из указанных на рисунке уровней должен решать задачи обеспечения конфиденциальности, целостности и доступности для всей информации, находящейся в информационной системе.
Конфиденциальность означает, что возможность ознакомления с информацией (со смыслом данных или сведений) должны иметь только уполномоченные на это лица.
Целостность означает, что возможность внесения изменений в информацию должны иметь только уполномоченные на это лица.
Доступность означает, что уполномоченные лица обязательно имеют возможность авторизованного доступа к информации в санкционированный период времени.
Иногда к списку задач информационной безопасности добавляют еще две:
Учет — обязательную фиксацию и анализ всех значимых действий всех работающих с информацией лиц.
Неотрекаемость и неапеллируемость — обеспечение невозможности для отправителя информации отречься от факта отправки и невозможности для получателя отказаться от факта ее получения.
Последнее особенно важно в организациях с электронным документооборотом, включающем документы с юридической или финансовой значимостью. Очень важной вехой на пути официального использования электронного документооборота стало подписание Президентом Российской Федерации Федерального закона «О цифровой электронной подписи», направленного на «обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе».
В качестве основных направлений информационной безопасности можно выделить физическую и компьютерную безопасность.
Физическая безопасность включает в себя обеспечение безопасности самого оборудования информационной системы и контроль доступа пользователей к этому оборудованию. Сюда же можно отнести физическую защиту пользователей от злонамеренных действий и защиту информации невиртуального характера: распечаток, служебных справочников, внешних носителей информации и т.д.
Компьютерная (сетевая, телекоммуникационная, безопасность данных) безопасность — обеспечение безопасности информации, находящейся в виртуальном виде на всех этапах ее жизненного цикла в информационной системе: при создании, хранении, обработке и пересылке по Сети.
Исходя из общего определения угрозы, как возможного события, воздействия или явления, могущего нанести ущерб интересам каких либо лиц, можно дать следующее определение угрозы информационной безопасности.
Угрозой информационной безопасности будем называть возможное событие, процесс или явление, которое при воздействии на информационную систему в целом или на отдельные ее компоненты может нанести ущерб интересам ее пользователей.
Различные авторы используют различные системы классификации угроз компьютерной безопасности, основанных на различных признаках. Перечислим некоторые из них. Самая общая классификация основана на природе их возникновения.
Естественные угрозы — угрозы, вызванные объективными физическими процессами и природными явлениями, независящими от деятельности человека.
К естественным угрозам относятся стихийные бедствия (пожары, наводнения, землетрясения, взрывы газа, ураганы и т.д.) и неконтролируемые физические явления типа молнии.
Искусственные угрозы — угрозы, вызванные деятельностью человека. Их можно разделить на непреднамеренные, вызванные ошибками в проектировании и обслуживании информационной системы и обслуживающих ее систем (энергоснабжения, обеспечения климатических параметров и т.д.), ошибками в программном обеспечении. Сюда же относят угрозы от запуска технологических программ и несанкционированного использования игровых, обучающих и других программ, не являющихся необходимыми для выполнения сотрудниками служебных обязанностей, несанкционированное использование модемов, точек беспроводного доступа и других коммуникационных устройств. Ввод ошибочных данных, случайное отключение систем защиты, заражение компьютерными вирусами и утрата паролей или ключей шифрования также относятся к этой категории. В отличие от непреднамеренных угроз, преднамеренные угрозы связаны с преступными целями злоумышленников, пытающихся использовать результаты реализации этих угроз в корыстных целях. Сюда можно отнести физическое разрушение всей информационной системы или отдельных ее компонентов, нарушение функционирования системы, внедрение своих агентов или вербовка агентов среди обслуживающего персонала информационной системы, перехват (тем или иным способом) информации, передаваемой по каналам связи, взлом криптозащиты и т.п.
Угрозы информационной безопасности очень часто классифицируют по месту расположения источника угрозы.
Внутренние угрозы — это угрозы информационной безопасности со стороны персонала организации. По статистике от 70 до 80% всех компьютерных преступлений осуществляются при помощи сотрудников компаний, работающих или уволенных. Они хорошо понимают реальную цену информации, обрабатываемой информационной системой компании, и иногда имеют к ней доступ с правами, достаточными для хищения.
Внешние угрозы — связаны с участием лиц, не принадлежащих к персоналу атакуемой организации. Они, в свою очередь, делятся на локальные и удаленные.
Локальные угрозы — связаны с проникновением злоумышленника на территорию организации и непосредственным использованием для атаки одного из компьютеров информационной системы или прямым подключением к локальной компьютерной сети фирмы изнутри.
Удаленные угрозы — это угрозы, реализуемые издалека по каналам связи. Порой злоумышленники находятся на очень большом расстоянии от атакуемой системы, используя для атаки компьютерную сеть или телефонные соединения. Развитие сети Интернет и повсеместное использование распределенных (порой глобально распределенных) информационных систем выводит этот тип атак на лидирующие позиции.
Угрозы потокам данных — это угрозы передаваемой по Сети информации. В современных информационных системах практически каждый из составляющих их компьютеров вовлечен в процесс активного обмена данными. В этом случае целью атаки может быть сегмент Сети или конкретный ее узел, поскольку даже простой анализ проходящей по Сети информации может дать злоумышленнику достаточно данных для проникновения в информационную систему.
На практике чаще всего атаки носят смешанный характер. При этом используется вся доступная злоумышленникам информация, как полученная непосредственно от внутренних источников, так и в результате удаленного изучения атакуемой системы.
Продолжая перечисление различных способов классификации угроз информационной безопасности, необходимо упомянуть следующие:
• по степени зависимости от активности атакуемой информационной системы: независящие от нее и проявляющиеся в процессе работы системы;
• по степени воздействия на систему: пассивные, ничего не меняющие в системе, и активные, изменяющие структуру и содержание системы;
• по этапам доступа к информации: на этапе доступа к ресурсам и после получения пользователем доступа к ресурсам;
• по способу доступа к ресурсам информационной системы: прямой стандартный путь доступа и скрытый, нестандартный;
• по месту расположения информации в системе: доступ к внешним запоминающим устройствам, доступ к оперативной памяти, доступ к линиям связи, доступ к информации, отображаемой на экране монитора или на принтере.
Этот список можно продолжать. Ввиду ограниченного объема книги детальное перечисление различных способов классификации угроз здесь не приводится. Эту информацию легко можно найти в любой книге по информационной безопасности.
Другим подходом к классификации угроз является подход, основанный на понимании основных функций информационной системы, призванной обеспечить конфиденциальность, целостность и доступность информации для пользователей.
Таким образом, можно выделить три типа угроз:
• нарушение конфиденциальности;
• нарушение целостности;
• отказ служб.
Иногда к ним добавляют угрозу раскрытия параметров информационной системы, включающих в себя систему защиты. Это опосредованная угроза, поскольку ее реализация не несет прямой угрозы информации, обрабатываемой системой, но увеличивает вероятность реализации трех первых типов угроз.
Специалисты по информационной безопасности уделяют такое большое внимание классификации угроз, поскольку правильным способом построения защиты является защита от типов угроз, а не от их конкретных реализаций, список которых меняется практически ежедневно. Следует отметить, что защита должна носить комплексный характер. Например, заражение компьютерным вирусом или троянской программой может быть достигнуто разными способами. Можно удаленно взломать компьютер и активировать на нем вирус. Можно заразить вирусом дискету, CD или любое другое съемное запоминающее устройство и, подойдя к компьютеру, заразить его, обратившись к зараженному носителю. Можно послать работающему за ним сотруднику письмо «соблазнительного» содержания, открыв которое, он сам активирует вредоносную программу или посетит зараженный сайт. Все эти действия приведут к одному и тому же результату — удачной атаке на систему. Предотвратить это можно создав многоуровневую комплексную защиту не только от компьютерных вирусов и троянских программ, но и от способов их «доставки» на атакуемую систему.
Основное внимание в дальнейшем изложении будет уделено анализу внутренних и внешних локальных и удаленных угроз, а также угроз информационным потокам.
Внутренняя и внешняя безопасность
Способы построения защищенных информационных систем исследованы в работах многих авторов. Существует разработанная теория, накоплен большой практический опыт.
Все это позволяет сформулировать основные принципы обеспечения информационной безопасности:
• Основой для построения системы информационной безопасности служат положения и требования существующих законов, стандартов и нормативно-методических документов.
• Информационная безопасность должна обеспечиваться на всех технологических этапах обработки информации в системе, а также во всех режимах, включая регламентные и ремонтные работы.
• Оценка эффективности и периодический контроль системы защиты информации являются строго обязательными.
Это достигается при выполнении следующих основных правил построения системы информационной безопасности:
• Системность. Это означает необходимость учета всех взаимосвязанных, изменяющихся во времени факторов.
• Комплексность. Использование и согласование разнородных средств при построении системы защиты.
• Непрерывность. Защита информации — это непрерывный процесс. Система защиты должна изменяться с изменением самой информационной системы и совершенствованием угроз информационной безопасности.
• Разумная достаточность. Необходимо выбрать правильный уровень защиты информации, исходя из затрат на построение системы защиты, возможного ущерба от потери информации, времени, в течение которого информация остается актуальной, неудобства работы пользователей при соблюдении правил безопасности и других факторов.
• Гибкость. Со временем меняется информационная система, совершенствуются средства нападения, обеспечения безопасности и управления как системой безопасности, так и всей информационной системой. Система безопасности должна строиться с учетом возможности развития в соответствии с меняющимися задачами.
• Открытость. Знание алгоритмов и механизмов защиты не должно давать никому, даже разработчику системы защиты, возможности ее преодоления.
• Простота. Система защиты должна быть простой и интуитивно понятной пользователю. Сложные и неудобные в использовании защитные меры применяются пользователями крайне неохотно, что приводит к пренебрежению правилами безопасности.
Противостояние систем защиты и угроз информации является современным аналогом вечного противостояния замка и отмычки. Существование какого-либо вида угроз связано с наличием определенных недостатков в системе защиты сетевой или локальной операционной системы (ОС). Угрозы возникают только тогда, когда появляется шанс достичь успеха, применяя определенный алгоритм, использующий несовершенство систем защиты. Новые угрозы порождают новые средства защиты, обладающие новыми недостатками, что в свою очередь приводит к появлению новых угроз. Это бесконечный процесс. Создать универсальное средство от всех угроз невозможно, поскольку, согласно существующей статистике, их количество растет экспоненциально, причем имеет место не только количественный, но и качественный рост. Постоянно появляются новые угрозы, не укладывающиеся в рамки существующей классификации, поскольку в этом случае реализация угрозы имеет большие шансы на успех. Защиты от таких угроз нет. Разработка новой защиты инициирует создание новых угроз и т.д. Поэтому современные разработчики идут по пути планомерного устранения недостатков существующих ОС и сетевых протоколов, анализируя известные угрозы информационной безопасности с целью выявления общих черт для разработки средств защиты от целых классов угроз. В этом случае возможно создание защиты от еще не существующих угроз, основанных на уже известных принципах.
Наличие безопасной ОС служит всего лишь предпосылкой создания безопасной информационной системы.
Создание надежной защиты от угроз информационной безопасности — комплексная задача, для решения которой необходимо:
1. Выбрать модель безопасности, соответствующую назначению и архитектуре информационной системы. Это невозможно без привлечения специалистов по безопасности и секретности. К сожалению, очень часто используемые в работе предприятия приложения не поддерживают заложенные в используемую на предприятии модель безопасности механизмы, что приводит к ее некорректной реализации.
2. Правильно внедрить выбранную модель. Практика показывает, что основные сложности при внедрении возникают со служебными объектами системы, поскольку необходимо обеспечить доступ пользователей с разными правами к различным частям таких объектов. Это могут быть конфигурационные файлы, системные утилиты и т.д. Например, при обращении к базе данных учетных записей пользователей каждый из них должен получить полные права на свою запись, но не должен иметь возможности извлечь информацию о других пользователях. Таким образом, правильный подход к внедрению модели безопасности подразумевает выделение системной и пользовательской частей информационной системы с последующим применением модели к пользовательской части и детальным анализом системной составляющей для разработки регламента доступа каждого пользователя к своей части системной информации.
3. Обеспечить надежную идентификацию и аутентификацию. В настоящее время для этого необходимо лишь выбрать одну из уже созданных специалистами по безопасности систем, обеспечивающих идентификацию и аутентификацию с заданной степенью надежности. Спектр существующих решений очень широк и простирается от классических парольных систем до использования биометрических параметров и электронной подписи.
4. Использовать наиболее надежные программные средства обеспечения безопасности. Программная составляющая систем безопасности является наименее надежной частью системы из-за неизбежных ошибок программирования. Проблема надежности программного обеспечения носит общий характер, и ее решение лежит на пути развития технологий программирования. Если безопасность имеет решающее значение в вашей информационной системе, необходимо использовать для обработки информации только те программные продукты, в которых существуют встроенные средства отладки и тестирования.
5. Контролировать состояние механизмов защиты. Для этого можно использовать разнообразные стандартные средства, разработанные в настоящее время специалистами по информационной безопасности.
6. Свести к минимуму ошибки администрирования. Это очень сложная задача. Для ее решения необходимо шире внедрять автоматизированные системы управления и использовать эргономичные средства управления безопасностью. Большое значение имеют постоянное повышение квалификации администраторов и обучение их правильным приемам работы в различных условиях. Например, при обнаружении несанкционированного доступа к информации в системе. Если невозможно избежать ошибок администрирования, необходимо хотя бы обеспечить протоколирование всех действий администраторов и периодические проверки действующей конфигурации системы.
Для построения хорошей модели безопасности необходимо ясно представлять себе, от каких угроз необходимо защищать информационную систему.
Контроль информационных потоков
Одним из самых важных процессов в любой современной информационной системе является обмен данными между составляющими ее частями и другими информационными системами, участие которых в обработке информации диктуется логикой протекающих в системе бизнес-процессов. Поэтому при разработке модели информационной безопасности очень важно включать в рассмотрение обмен данными между системами, рассматривая среду передачи информации как полноценную информационную систему со своими свойствами и уязвимостями. Пренебрежение этим правилом может привести к ситуации, когда тщательно защищенные компьютеры, входящие в состав информационной системы, обмениваются данными в виде абсолютно незащищенных текстовых файлов. Необходимо отслеживать все возможные ответвления информационных потоков, учитывая неочевидные с первого взгляда места, где информация может проявляться в виде распечаток и копий на дискетах и других носителях.
Информация возникает в системе либо в виде информационного потока, пришедшего из другой системы, либо рождается в результате работы пользователей или программ данной системы (это могут быть документы, аудио-видеофайлы, базы данных и т.д.). Дальнейшая ее судьба определяется бизнес-процессами, которые протекают в системе. Переходя от одной части системы к другой, исходная информация может преобразовываться, порождать новые информационные потоки, менять форму представления. В конце концов она теряет актуальность и перестает существовать, в лучшем случае будучи помещенной в архив.
При передаче информации по компьютерным сетям в настоящее время чаще всего используется стек протоколов TCP/IP. При этом внутренняя сеть предприятия строится на тех же принципах, что и сеть Интернет. За такими сетями закрепилось название интранет. Используя протокол TCP/IP, следует помнить о том, что при его создании практически не уделялось внимания вопросам безопасности передаваемой по сети информации. Повсеместное использование интернет-технологий заставило разработчиков и специалистов по безопасности создать средства защиты информации, совместимые с этим протоколом, основанные на использовании современных криптографических средств (протоколы IPSec, ISAKMP, IKE, SSL и др.). Их использование делает обмен данными безопасным, независимо оттого, где проходят информационные потоки: внутри сети предприятия или через Интернет.
Независимо от того, какой сетевой протокол используется для обмена данными, необходимо помнить о многоуровневом характере этого процесса, который очень наглядно демонстрирует известная семиуровневая модель взаимодействия открытых систем. В соответствии с этой моделью информация, которую необходимо передать по сети от одной системы (компьютера) к другой, проходит последовательно через семь уровней обработки (сверху вниз в системе, передающей информацию, и снизу вверх в принимающей системе): Приложения, Представления, Сеансный, Транспортный, Сетевой, Канальный, Физический. Защита информации и целостности данных в приложениях обеспечивается на верхних уровнях — приложения и представления. За надежность доставки отвечает транспортный уровень. На сетевом уровне можно скрыть внутреннюю сетевую структуру информационной системы. На канальном уровне можно защититься от угроз, связанных с несанкционированным использованием широковещательных сообщений. Защита от использования побочных излучений аппаратуры и физического внедрения в сеть связана с физическим уровнем. Все эти соображения необходимо учитывать при создании модели безопасности системы.
Недостаточное внимание к межсистемной передаче информации может пагубно сказаться на безопасности передаваемой информации. Если обе системы используют в своей работе одинаковые протоколы безопасности, то при некоторой настройке можно организовать безопасную передачу данных от одной системы к другой. Если же механизмы обеспечения безопасности хотя бы одной из систем неизвестны разработчикам, задача становится очень сложной. Возможно, в этом случае придется пожертвовать некоторыми аспектами безопасности или использовать альтернативные способы защиты данных.
К сожалению, сейчас не существует универсальных инструментов для создания модели информационных потоков конкретного предприятия ввиду специфики бизнес-процессов и отвечающих им информационных потоков. Однако без использования такой модели сложно создать качественную модель безопасности информационной системы. Прежде чем приступить к построению модели безопасности на основе модели информационных потоков, необходимо убедиться в правильности последней, поскольку наличие ошибок в этом случае может привести к образованию уязвимостей в системе информационной безопасности. Работа по проверке модели информационных потоков сравнима по объему с созданием самой модели и чаще всего требует тщательного анализа технической документации к системам и конфигураций работающих компьютеров, сетеобразующего и другого оборудования.
Рассмотрим типичные атаки на потоки данных. Среди них можно выделить пассивные атаки, целью которых является копирование данных (прослушивание), и активные, направленные на изменение или полную подмену данных. К активным можно отнести также блокировку данных путем физического отсоединения системы от сети или переполнения сети посторонними пакетами.
Современные сети построены из сегментов, которые с помощью программных или аппаратных шлюзов и промежуточного сетеобразующего оборудования соединены между собой. Компьютерные сети транснациональных корпораций достигли планетарного размера и порой охватывают несколько континентов. Трафик в таких сетях можно разделить на два типа: межсегментный и внутрисегментный. При межсегментной передаче данных трафик проходит от компьютера-отправителя через шлюз его сети, далее — по каналам связи через промежуточное сетеобразующее оборудование к шлюзу системы-получателя и, наконец, достигает адресата. Внутрисегментная пересылка осуществляется от компьютера-источника к компьютеру получателю через сетеобразующее оборудование данного сегмента. Соответственно, злоумышленники используют различные методы для прослушивания трафика разного типа.
Для перехвата межсегментного трафика прослушивающее устройство размещают в таком месте, где есть гарантированная возможность копирования данных. Это могут быть: выход сегмента, где расположен компьютер — источник данных, вход сегмента, в котором расположен компьютер-адресат и промежуточное сетеобразующее оборудование, если есть уверенность, что именно через него пройдет канал связи.
Для перехвата внутрисегментного трафика злоумышленник подключается к оборудованию, формирующему данный сегмент сети.
Рассмотрим наиболее распространенный в настоящее время тип компьютерных сетей — сеть Ethernet. В качестве сетеобразующего оборудования в таких сетях используют два типа устройств: коммутаторы и концентраторы. Независимо от типа сетеобразующего оборудования сеть Ethernet представляет собой шину, к которой подключены все компьютеры сети. Таким образом, все устройства сегмента получают все пакеты, проходящие по сети. Адресация в этом случае осуществляется при помощи так называемого MAC (Media Acces) адреса, физического адреса сетевого адаптера, присваиваемого ему фирмой-производителем при изготовлении. MAC-адрес является уникальным идентификатором сетевого адаптера, содержащим информацию о фирме-производителе и номере устройства. При получении пакета данных сетевой адаптер сравнивает MAC-адрес адресата со своим. Если они совпадают, пакет принимается для дальнейшей обработки. В противном случае пакет отбрасывается.
С помощью изменения настройки сетевой адаптер можно перевести в режим, в котором он принимает все приходящие сетевые пакеты. В сочетании со специальной программой — сниффером, предназначенной для анализа сетевых пакетов, получаем идеальный инструмент для прослушивания сетевого трафика. Такая технология очень хорошо работает в сетях Ethernet, построенных на основе концентраторов, устройств, копирующих каждый входящий в них пакет во все остальные свои порты.
Большая часть современных сетей Ethernet построена на основе сетевых коммутаторов. Эти устройства после подключения компьютера к одному из его портов заносят в свои внутренние таблицы соответствие между номером порта и адресом подключенного устройства. Знание этой информации позволяет им в отличие от концентраторов направлять сетевой пакет сразу в тот порт, к которому подключен его адресат. Исключение составляют пакеты, адрес получателя которых не значится в таблице соответствия. В этом случае коммутатор работает так же, как концентратор, копируя пакет во все порты. Такой алгоритм работы существенно снижает нагрузку на сеть и повышает ее быстродействие. Обычное прослушивание сети, как в случае с использованием концентраторов, становится невозможным.
«Интеллектуальность» коммутаторов оказалась их слабым местом. Коммутатор, как правило, может запомнить и поставить в соответствие данному порту довольно большое, но конечное число МАС адресов. Если этот список переполняется, коммутатор, чтобы не блокировать работу сети, временно начинает работать в режиме концентратора, копируя приходящие пакеты во все порты. Подключив к порту коммутатора компьютер, оснащенный помимо сниффера генератором сетевых пакетов со случайными MAC-адресами и периодически устраивая MAC-шторм, злоумышленник получает возможность прослушивать весь сетевой трафик.
В сложных сетях, образованных несколькими коммутаторами, в ситуации, когда существуют несколько альтернативных путей доставки пакета адресату, возможно образование «петель». Для предотвращения этого явления и снижения нагрузки на сеть используется специальный протокол — Spanning Tree Protocol (STP). Его недостатком является возможность перевода коммутатора на несколько секунд в режим концентратора путем отправки в его адрес сфальсифицированного служебного ТР-пакета. Периодически посылая такие пакеты в адрес коммутатора, злоумышленник может прослушивать сеть.
Какую информацию можно извлечь из перехваченных сетевых пакетов? Как правило, злоумышленник может анализировать данные на любом из уровней модели OSI. Если в сети используется Telnet протокол или другие приложения, передающие аутентификационные данные пользователей в открытом виде, злоумышленник обязательно их получит. Анализ проходящих по сети пакетов предоставит информацию об адресном пространстве прослушиваемого сегмента и функционирующих в нем сетевых сервисах. Даже в случае использования криптографических средств защиты информации, прослушивание дает большой объем данных для анализа. Можно пытаться дешифровать полученные пакеты или извлекать из полученных данных статистическую информацию о работе сети, анализировать корреляции между различными компонентами трафика. В любом случае творческий подход к анализу полученных данных позволит получить полезную для последующих атак информацию.
Для проведения активных атак злоумышленник должен иметь возможность обработки полученной информации. Проще всего это осуществить, получив контроль над узлом сетевой инфраструктуры, либо заставив других поверить в то, что его компьютер (хост) является таким узлом. Рассмотрим несколько типичных активных атак на потоки данных.
Атака повтором заключается в повторной отправке перехваченного злоумышленником запроса на выполнение каких-либо действий в системе. При этом запрос не видоизменяется, а просто еще раз (а, возможно, и более) отправляется адресату. Целью такой атаки является повторное выполнение необходимых злоумышленнику действий. Это может быть перечисление денег на его счет, запуск процессов, требующих значительных вычислительных или других ресурсов, для достижения перегрузки системы или многократный запрос платных услуг от имени хозяина системы и т.д.
Классическая атака типа «Мапinthemiddle» (посредник) заключается в том, что управляемый злоумышленником шлюз, расположенный между системами, обменивающимися сообщениями (в том числе и зашифрованными), становится прозрачным посредником между ними. При этом оба корреспондента уверены в том, что общаются друг с другом напрямую. Такая ситуация становится возможной, когда криптографические ключи при инициации процесса обмена сообщениями отправляются адресату без доверенного контроля пути следования. Контролируя шлюз, злоумышленник имеет возможность перехватить отправленные одному из корреспондентов криптографические ключи и в дальнейшем отвечать от его имени системе, инициировавшей сеанс связи. При этом он отправляет второй системе свои криптографические ключи и в дальнейшем поддерживает два сеанса связи — по одному с каждым из корреспондентов. Он получает сообщения от одного из них, расшифровывает и перекодирует их, имея возможность вносить изменения, и отправляет адресату от имени отправителя. Аналогичную обработку проходят сообщения, посылаемые в обратном направлении.
Атака путем перехвата сессии позволяет получить доступ к данным на одном из компьютеров системы (например, на одном из серверов) даже в том случае, когда для этого требуется авторизация пользователя. Для ее организации используются особенности протокола TCP, отвечающего в стеке протоколов TCP/IP за гарантированную доставку сообщений. Это один из протоколов, ориентированных на соединение. Прежде чем начать передачу данных, устанавливается соединение с сервером, которое может включать предварительную идентификацию и аутентификацию хоста — клиента. Если злоумышленник может произвольно менять адрес отправителя в посылаемых в сеть пакетах, он может организовать перехват сессии между одним из компьютеров — клиентов и сервером. Для этого ему необходимо подключиться к сегменту сети, в котором находятся клиент и сервер. Прослушивая сеть, можно получить информацию о начале сеанса связи между клиентом и сервером. После ее начала отправляемые пакеты маркируются последовательными номерами, значения которых возрастают на величину, равную количеству байтов информации в пакете. Начальный номер генерируется генератором случайных чисел. К сожалению, программные генераторы случайных чисел генерируют не настоящие, а так называемые псевдослучайные числа, последовательность которых всегда повторяется, но их распределение на интервале от 0 до 1 очень близко к равномерному. Зная все это, злоумышленник может после удачной идентификации клиента послать ему от имени сервера сообщение о конце сессии или блокировать его работу любым другим способом (например, с помощью атаки «отказ в обслуживании»). Получив изданных прослушивания трафика информацию о параметрах сессии, он может продолжать работать с сервером от имени уже прошедшего идентификацию клиента, посылая серверу следующие по очереди пакеты.
Атаки на маршрутизаторы возможны в сложных сетях, где используется динамическая маршрутизация пакетов. Движением пакетов здесь управляют специальные протоколы маршрутизации, с помощью которых маршрутизаторы обмениваются информацией о путях передачи информации от одной части системы к другой. Умея фальсифицировать служебные пакеты протокола маршрутизации, злоумышленник может изменить штатные маршруты следования информации таким образом, чтобы иметь возможность ее копирования или изменения.
Выше перечислены наиболее известные типы атак на потоки данных, которые, конечно, дают лишь общее представление о возможных способах получения несанкционированного доступа к информации, пересылаемой информационной системой. При построении модели информационной безопасности необходимо быть готовым к тому, что любой участок информационного потока может быть подвергнут атаке.
В связи с атаками на межсегментные потоки данных следует уделить особое внимание межсетевым экранам — специальным программным или аппаратно-программным средствам для блокирования угроз, исходящих из внешней сети. Межсетевой экран позволяет контролировать информацию, поступающую и исходящую из защищенной сети.
Основными функциями межсетевого экрана являются:
1. Фильтрация данных. В зависимости от требуемого уровня защиты она может осуществляться на канальном, сетевом, транспортном и прикладном уровнях. При защите информации высокой степени важности, необходимо обеспечивать возможность фильтрации последующим параметрам:
• по адресам отправителя и получателя (или по другим эквивалентным атрибутам);
• по любым значимым полям сетевых пакетов;
• пакетам служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
• с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
• на транспортном уровне запросов на установление виртуальных соединений;
• на прикладном уровне запросов к сервисам;
• по дате и времени.
2. Работа в качестве прокси-сервера, позволяющего управлять интернет-трафиком находящихся в защищаемом сегменте компьютеров и скрывать информацию о них;
3. Трансляция адресов, позволяющая скрыть топологию и истинные адреса внутренней сети от внешних абонентов и использовать в ней практически любое количество немаршрутизируемых адресов;
4. Регистрация с различной степенью полноты событий, связанных с прохождением сетевого трафика через его интерфейсы. Анализ записей позволяет выявить попытки нарушения правил обмена информацией в сети и определить злоумышленника.
Межсетевой экран, как правило, имеет несколько сетевых интерфейсов, каждому из которых (а, следовательно, и сети, к которой он подключен) ставится в соответствие требуемый уровень безопасности. Права на использование в различных сетях тех или иных видов сетевого трафика задаются правилами фильтрации и перенаправления потоков информации. Основной целью является разграничение доступа к сетевым сервисам более опасной (как правило, внешней) сети из безопасных сетей и обеспечение безопасного доступа извне к внутренним сервисам защищаемого сегмента. При обнаружении запрещенного трафика он блокируется, и вся информация об инциденте записывается в журнал.
Межсетевые экраны используются внутри корпоративных сетей для отделения сегментов с различной степенью конфиденциальности информации. Очень часто фрагменты защищенной (например корпоративной) сети связываются между собой через общедоступную сеть. В этом случае они подключаются к общедоступной сети через межсетевые экраны. Как правило, межсетевой экран способен создавать защищенное соединение (соединение) с другим межсетевым экраном. Использование таких соединений позволяет существенно уменьшить риск несанкционированного доступа к информации, передаваемой между фрагментами защищенной сети.
В зависимости от степени конфиденциальности и важности информации установлены 5 классов защищенности межсетевых экранов. Каждый класс характеризуется минимальными требованиями к уровню защиты информации. Межсетевые экраны первого класса (самый высокий класс защищенности) устанавливаются при обработке информации с грифом «особой важности». Как правило, межсетевые экраны представляют собой отдельные специализированные устройства или компьютеры со специальным программным обеспечением. Производительность таких систем должна быть достаточно высокой, поскольку весь внешний трафик защищаемых сегментов анализируется экраном. Поскольку межсетевой экран является важным элементом системы информационной безопасности, к нему предъявляются высокие требования по разграничению доступа, обеспечению целостности информации, скорости восстановления при сбоях, тестированию и т.д. Часто межсетевые экраны дополнительно выполняют функции шлюза, а также ряда инфраструктурных серверов (DHCP, DNS и др.) для защищаемого сегмента сети.
К недостаткам межсетевых экранов при использовании в сетях TCP/IP можно отнести сложность организации доступа к внешним сетевым сервисам, которые используют для ответа клиенту на тот порт, который был использован при формировании запроса. Примером такого сервиса может служить широко распространенная информационно-справочная система «Гарант». Источник проблемы — в алгоритме работы экрана. Когда один из компьютеров защищаемой сети обращается к такому внешнему сервису, экран запоминает параметры этого запроса: адрес и порт отправителя и адрес и порт получателя запроса. Экран пропустит ответ на запрос только в том случае, если он содержит те же самые параметры, что и запрос. Если сервис использует для ответа другой порт, экран его проигнорирует.
Разграничение доступа к информации
Целью разграничения доступа к информации в первую очередь является предотвращение реализации угрозы нарушения конфиденциальности или несанкционированного доступа к информации.
Можно выделить следующие виды несанкционированного доступа:
• доступ к носителям информации;
• локальный доступ к отдельным персональным компьютерам;
• локальный доступ к ресурсам сети;
• удаленный доступ к отдельным компьютерам или ресурсам сети.
В двух первых случаях огромное значение имеют организационно-режимные меры ограничения физического доступа к машинным носителям информации (пропускной режим, охрана, замки на дверях и т.д.). Однако нельзя пренебрегать и программно-техническими мерами безопасности. Некоторые из них мы рассмотрим в ходе дальнейшего изложения.
Чтобы почувствовать всю сложность и многогранность задачи защиты системы от реализации угрозы нарушения конфиденциальности, рассмотрим ряд примеров таких атак. Практически все они относятся к локальным атакам, это, однако, не означает, что не существует удаленных атак, позволяющих злоумышленнику получить возможность несанкционированного доступа к ресурсам системы. Далее будет показано, что атака может быть проведена на любом этапе работы компьютера и пользователя в системе.
Социальная инженерия. Атаки этого типа не связаны напрямую с подробностями технической реализации информационной системы. Основной инструмент таких атак — воздействие на персонал и пользователей системы с целью получения разного рода информации на основе психологических методов с использованием таких человеческих качеств, как необоснованное доверие к ненадежно идентифицированному человеку, лень, невнимательность и других слабостей. Это не что иное, как использование так называемого человеческого фактора. Классическим примером такой атаки служит ситуация, когда злоумышленник представляется пользователю уполномоченным ответственным лицом и вынуждает его сообщить свой пароль для входа в систему. Беспечность пользователей и их пренебрежение к правилам информационной безопасности безграничны. Пароли произносятся вслух в присутствии незнакомых людей, записываются на бумажках, которые затем приклеиваются к монитору, и т.д. В этих случаях действенными являются только административные меры, предусматривающие строгие (например материальные) наказания за известные случаи разглашения паролей вне зависимости от последствий с оповещением об этом всех сотрудников предприятия.
Потенциально опасной является ситуация, когда пользователи и администраторы сети вынуждены в силу определенных причин общаться по телефону. В этом случае вполне вероятен звонок злоумышленника администратору от имени одного из пользователей с просьбой восстановить утраченный пароль для входа в систему. Если администратор не может уверенно идентифицировать пользователя по голосу, то такая атака может быть успешной.
Повсеместное применение интернет-технологий позволило использовать методы социальной инженерии для атак как на информационные системы, так и на их отдельных пользователей. Практически каждый день тысячи пользователей электронной почты во всем мире получают письма якобы от своих знакомых с «интересными» предложениями посмотреть вложенную в письмо фотографию или перейти по указанной в письме ссылке на «замечательный» сайт. Попытка последовать совету, возможно, даже даст обещанный результат, но прежде сработает программный модуль, который заразит компьютер доверчивого пользователя троянской программой, предназначенной для сбора информации о пользователе и его компьютере и отправки ее через Интернет хозяину. Понятно, что вариантов деструктивных действий может быть гораздо больше, но в данном разделе мы рассматриваем только угрозу конфиденциальности. Тысячи клиентов известных банков получают электронные письма якобы из банка с просьбой пройти перерегистрацию на специальной страничке банка в Интернете, ссылка на которую приводится в письме. В этом случае даже интернет-адрес страницы очень похож на адрес банковского сайта, отличаясь, как правило, одной буквой очень сходного начертания (например, цифра 1 используется вместо литеры I). Поверив приглашению, клиент банка попадет на веб-страницу, очень похожую на привычную ему страницу банковского сайта, где ему будет предложено авторизоваться. Сделав это, он сообщит злоумышленникам свою идентификационную информацию для доступа к банковскому счету через Интернет.
Особенностью таких атак является абсолютная добровольность (вольная или невольная), с которой пользователь делится со злоумышленником конфиденциальной информацией, необходимой для входа в систему. Бороться с такими атаками очень сложно, поскольку они используют самые разные слабости людей и могут быть нацелены на особенности характера и спонтанные реакции конкретного сотрудника предприятия.
Аппаратные закладки. Аппаратной закладкой называют устройство, выполняющее недокументированные действия, как правило, в ущерб пользователю информационной системы. Проверки оборудования на наличие аппаратных закладок производятся только в системах, работающих с информацией повышенного уровня секретности. Большинство пользователей (и специалистов по информационной безопасности) даже не задумываются о возможности существования таких устройств, которые могут накапливать и передавать своему хозяину информацию о системе и ее пользователях.
В настоящее время пользователи банкоматов имеют реальные шансы испытать на себе работу таких закладок. Недавно в Интернете появился обзор способов, с помощью которых злоумышленники получают доступ к данным кредитных карточек. Среди них — использование дополнительных считывателей магнитных карт, которые устанавливались поверх входной щели штатного считывателя, и дополнительных клавиатур, регистрирующих нажатие клавиш при вводе пин-кода. С этой же целью использовались миниатюрные видеокамеры, «подсматривающие» за процессом ввода пин-кода. Полученная информация использовалась для изготовления фальшивых кредитных карт и получения по ним денег со счета потерпевшего.
Атака на этапе загрузки компьютера. Как известно, при включении компьютера в его память загружается и начинает работать программа, записанная в постоянном запоминающем устройстве, предназначенная для диагностики аппаратного обеспечения, изменения настроек и загрузки в оперативную память внесистемного загрузчика. Как правило, эта программа предоставляет возможность защиты процесса загрузки паролем. Это первая линия обороны персонального компьютера. Если не установлен, злоумышленник может, изменив настройки, разрешить загрузку со съемного диска и загрузить компьютер, используя принесенный с собой носитель. В этом случае он получит доступ ко всем данным на локальном диске компьютера, а в дальнейшем — к идентификационной информации работающих на данном ПК пользователях. Поскольку современные компьютеры позволяют проводить загрузку с самых разных носителей и физических портов, вопрос о возможности их использования пользователями становится весьма важным при определении уровня безопасности системы.
Недостатком использования пароля BIOS является возможность его сброса при выключении батареи на материнской плате. Кроме того алгоритмы хранения паролей BIOS обладают рядом существенных недостатков, облегчающих их подбор, а в некоторых случаях обнаружено существование универсальных технологических паролей, установленных производителем BIOS, позволяющих получить доступ к любому ПК, использующему BIOS этой фирмы.
Атаки на средства аутентификации. Создание безопасной информационной системы невозможно без использования средств идентификации и аутентификации пользователей.
Идентификация пользователя представляет собой сравнение предъявляемого пользователем идентификатора с имеющимися в базе ранее выданных системой.
Аутентификация — проверка принадлежности предъявленного пользователем идентификатора именно этому пользователю. Это проверка подлинности пользователя.
Очень часто используется понятие учетной записи, представляющее собой объединение идентификатора и пароля пользователя.
Продолжение работы пользователя после загрузки компьютера в защищенной системе возможно только после удачного прохождения им процедур идентификации и аутентификации. Доказательством правомерности использования данного идентификатора пользователя могут служить различные признаки.
Система может затребовать у пользователя:
• индивидуальный объект заданного типа (удостоверение, пропуск, магнитную карту и т.д.), называемый токеном;
• биометрические характеристики (голосовые характеристики, отпечатки пальцев, рисунок сетчатки глаза и т.д.);
• знание некоторой информации (пароль).
Различают прямую аутентификацию и аутентификацию с участием третьей стороны. В первом случае в процессе участвуют только две стороны: пользователь и система, ресурсами которой он хочет воспользоваться. Второй вариант подразумевает участие третьей доверенной стороны. В случае автоматизированной информационной системы в этом качестве может выступать сервер аутентификации.
Наиболее распространены в настоящее время парольные системы. Пароль представляет собой известную только данному пользователю последовательность символов.
Способы парольной аутентификации могут быть различными:
• по хранимой в системе копии пароля или его свертке;
• по некоторому проверочному значению;
• без передачи информации о пароле проверяющей стороне, так называемое доказательство с нулевым разглашением. Эти методы появились в середине 1980 — начале 1990-х гг. Основная идея метода состоит в том, что существует возможность доказательства знания правильного пароля без передачи самого пароля. После нескольких циклов информационного обмена проверяющая сторона с заданной вероятностью делает вывод о том, что пользователю пароль известен;
• с использованием пароля для получения крипто-ключа.
Основными типами угроз безопасности парольных систем являются:
1. Разглашение параметров учетной записи через:
• интерактивный подбор;
• подсматривание;
• преднамеренную передачу другому лицу;
• захват базы данных парольной системы;
• перехват информации при передаче по сети;
• хранение пароля в доступном месте.
2. Вмешательство в функционирование парольной системы через:
• программные закладки;
• использование ошибок разработчиков;
• вывод из строя парольной системы;
• типичные ошибки пользователя:
— выбор «легкого» пароля,
— использование доступной посторонним шпаргалки с записанным на ней «сложным» паролем,
— ввод пароля при посторонних,
— передача пароля другому лицу.
Способы реализации этих угроз также могут быть различными. Выделяют следующие возможности для атак:
• на пароль в процессе доставки от пользователя к месту его проверки в системе;
• на способ хранения пароля в системе;
• с использованием уязвимостей в политике паролей в системе;
• на «слабые пароли».
Как правило, в современных вычислительных системах используется аутентификация пользователей с участием третьей стороны. Все данные об их правах в системе хранятся на выделенном сервере, а то и на двух. Примером таких систем могут служить широко распространенный единый каталог в Microsoft Active Directory и единый каталог сетевой операционной системы NovelI Netware.
В этом случае информация о введенном пользователем пароле передается в систему аутентификации по сети одним из следующих способов:
• открытым. Так работают известные протоколы Telnet и FTP;
• после шифрования;
• в виде свертки со специальной хеш-функцией (хеширование);
• без непосредственной передачи информации о пароле.
Поэтому при создании модели информационной безопасности необходимо учитывать возможность перехвата злоумышленником передаваемого по сети пароля пользователя. Тот факт, что правительство США сняло ограничения на экспорт сильных криптографических систем, может означать, что в его (и, возможно, не только в его) распоряжении в настоящее время находятся вычислительные мощности, позволяющие взламывать широко распространенный протокол шифрования SSL с длиной ключа 128 бит за разумный промежуток времени. Таким образом, нельзя говорить о полной безопасности таких систем.
Особое внимание разработчики уделяют способам хранения паролей. Наиболее часто используются следующие:
• в отрытом виде;
• в виде свертки;
• в зашифрованном виде.
Способ хранения паролей в системе изменить невозможно, поэтому необходимо очень тщательно проследить все ответвления информационных потоков, связанные с содержащими пароли файлами или базами данных. Во многих системах для обеспечения отказоустойчивости создается резервная копия этих данных. Если злоумышленник сможет получить в свое распоряжение файл с паролями или его копию, у него будет достаточно времени, чтобы попробовать его проанализировать и получить дополнительную информацию, которую можно использовать при взломе системы.
Политика паролей, как правило, предлагает широкий набор средств, основной целью которых является затруднение работы парольного взломщика — программы подбора пароля по тем или иным алгоритмам. Она включает в себя установку минимального времени ожидания между последовательными попытками входа, ограничение по количеству попыток входа в систему с последующей блокировкой учетной записи пользователя и посылкой сообщения администратору системы или администратору безопасности. Большое внимание уделяется работе с пользователем. Можно установить автоматические ограничения на минимальную длину пароля и обязательность смены пароля через определенный интервал времени. При этом использованные ранее указанным пользователем пароли хранятся в базе данных, и система следит за тем, чтобы он каждый раз использовал новые пароли. Можно определить минимальное качество пароля, заставив пользователя применять при изменении пароля символы на различных регистрах и спецсимволы, отбраковывать легко подбираемые пароли. Недостатком применения очень строгой политики может быть сложность запоминания непроизносимых паролей пользователями, поскольку любое осмысленное сочетание букв в этом случае автоматически считается слабым паролем. В результате пароли будут записываться на бумажках и наклеиваться на монитор, что, очевидно, сведет на нет все меры безопасности. В этом случае особую важность приобретают административные меры со стороны руководства.
Одной из целей применения политики паролей является борьба с так называемыми «слабыми» паролями. Как правило, пользователи, будучи предоставленными сами себе, не очень затрудняются при выборе пароля для входа в систему. Чаще всего в качестве пароля выбирают год рождения, собственное имя или фамилию, телефон (рабочий или домашний), имя любимого человека, кличку собаки и т.п. Верхом секретности в этом случае будет ввод русского слова с использованием английской раскладки клавиатуры или замена некоторых букв сходными по начертанию спецсимволами. Все эти особенности человеческой психики давно учтены создателями специальных программ для подбора паролей — парольных взломщиков. Известно, что прямой перебор комбинаций при подборе достаточно длинного пароля, созданного на базе обширного алфавита, который в случае компьютерной клавиатуры включает в себя буквы всех используемых на данной машине раскладок клавиатуры и спецсимволы, является длительной процедурой. Поэтому большинство парольных взломщиков работают со словарями часто используемых типовых паролей, учитывающих особенности языковой среды, менталитета и других особенностей атакуемого пользователя. Данный метод в сочетании с предварительной разведкой дает неплохие результаты, если в организации не используются программы — генераторы хороших паролей.
Классической атакой на парольную систему является фальсификация приглашения ввода имени и пароля при входе в систему. Этого можно достичь путем внедрения (чаще всего методами социальной инженерии) в компьютер пользователя специального программного обеспечения, имитирующего диалог, приглашающий ввести имя и пароль, соответствующие установленной на компьютере операционной системе. Если пользователь будет недостаточно внимателен к деталям поведения системы и внешнему виду окна — приглашения, он не сможет отличить подделку, и его идентификационная информация может стать известна злоумышленнику. Необходимо обращать внимание на последовательность, количество запросов и интервалы между ними, форму и цветовое решение диалогов и т.д. Если имеют место какие-то изменения в привычной процедуре, велика вероятность того, что вы стали объектом атаки. Возможно, успешной.
Как уже отмечалось выше, токеном называют устройство, содержащее уникальный параметр. Пропуск на бумажном носителе можно тоже назвать токеном, только содержащаяся в нем информация считывается и обрабатывается сотрудником охраны. В простейшем случае при подключении токена к системе последняя считывает значение ключевого параметра и сравнивает его с тем образцом, что хранится в ее базе данных (см. выше способы хранения паролей). При совпадении пользователь может продолжить работу в системе. Возможны и другие способы реализации работы с токеном.
Если система и токен имеют одинаковые синхронизированные системы генерирования одноразовых паролей, то при подключении токена стартуют процессы генерации в системе и в токене. Если результаты их совпадают, пользователь получает доступ к работе. Существуют и другие, более сложные способы работы с токеном, использующие криптографические методы типа электронной подписи или требующие дополнительной аутентификации пользователя путем введения так называемого пин-кода.
Внутренние механизмы работы токена скрыты от пользователя, и чаще всего он не должен запоминать никакой дополнительной информации для получения доступа к системе. Это удобно, но возникает необходимость в течение рабочего времени иметь токен при себе. К счастью, современные технологии позволяют изготавливать токены в виде компактных устройств, размером не более брелока для ключей.
Атаки на использующие токены системы базируются на индивидуальных особенностях работающих в них алгоритмов обмена информацией. Например, при передаче содержащегося в токене параметра по сети существует вероятность его перехвата. Однако, малые размеры и вес токенов делают куда более вероятными их потерю или хищение.
Использование биометрических характеристик человека для аутентификации считается в настоящее время очень перспективным направлением. Биометрические признаки — это тоже своего рода токен, естественно присутствующий в организме человека.
Такие системы аутентификации характеризуются следующими параметрами:
1. Уровень ошибочного отказа. Это процент отказов в доступе при предъявлении заведомо корректного аутентификатора.
2. Уровень ошибочного подтверждения. Это процент принятия некорректного аутентификатора.
3. Скорость обработки аутентификатора.
4. Устойчивость к подмене.
5. Требования к хранению данных.
6. Дополнительные условия.
Необходимо отметить, что задача использования биометрических параметров при аутентификации очень сложна с алгоритмической точки зрения и требует значительных ресурсов для хранения и обработки аутентификационных данных, поскольку последние чаще всего представляют собой изображения или многомерные векторы. Кроме того, пользователи предъявляют очень жесткие требования к скорости обработки аутентификационной информации. Дополнительные проблемы могут возникнуть из-за культурных или физиологических особенностей пользователей. Например, прикосновение многих людей к одному и тому же устройству может оказаться неприемлемым для людей с другими культурными традициями.
Атаки на системы с аутентификацией по биометрическим параметрам фактически сводятся к атакам (иногда физическим) на их авторизованных пользователей и попыткам перехвата передаваемой по сети аутентификационной информации.
При создании модели информационной безопасности необходимо учитывать, что, получив доступ к системе, пользователь (а возможно, и злоумышленник, сумевший проникнуть в систему от имени данного пользователя) может выполнять различные несанкционированные действия. Примером таких действий может служить поиск дополнительной информации в системе, например, путем анализа системного «мусора» или попытки доступа к базам данных вне системы разграничения прав, не используя штатные приложения. Таким образом, он может получить доступ к информации, для него не предназначенной. Такие атаки называются «повышением прав».
Значительно большие возможности для «повышения прав» дает несанкционированная установка пользователем на своем компьютере постороннего программного обеспечения. Это может быть сделано неосознанно в ходе удаленной атаки на его компьютер или осознанно для исследования и взлома системы (в случае если действует злоумышленник или просто чрезмерно любопытный сотрудник).
Примерами таких программ могут служить:
• программы повышения прав пользователя;
• снифферы;
• программы подбора паролей;
• взломщики шифров;
• дизассемблеры;
• программы создания вирусов;
• конструкторы и генераторы сетевых пакетов;
• программы автоматического поиска уязвимостей операционной системы.
Приведенный список далеко не полон, он постоянно изменяется, поскольку все время появляются новые программы и сетевые сервисы, и зависит от специфики работы предприятия. В принципе, любую игровую или обучающую программу можно рассматривать как зловредную, поскольку она отвлекает пользователя от работы и расходует ресурсы его компьютера.
Приведенные выше примеры атак на систему разграничения доступа к информации показывают разнообразие возможных локальных уязвимостей информационной системы. Хотелось бы еще раз подчеркнуть очень большую важность человеческого фактора. Часто именно конкретный пользователь является объектом атаки и источником получения необходимой для проникновения в систему информации.
Сетевая безопасность
Большинство современных сетей используют в своей работе стек протоколов TCP/IP, поэтому, говоря о сетевой безопасности, мы будем иметь в виду безопасность именно таких сетей. Под угрозами сетевой безопасности будем понимать не только угрозы безопасности самих компьютерных сетей, но и угрозы безопасности подключенных к сети компьютеров, обусловленные этим подключением, то есть угрозы удаленных атак. Частично вопросы сетевой безопасности рассматривались в разделе, посвященном безопасности информационных потоков.
Для проведения удаленной атаки на сеть и подключенные к ней компьютеры злоумышленнику не нужно физически находиться на атакуемом объекте. Взаимодействие происходит только через коммуникационные каналы. Все удаленные атаки можно разделить на внутрисегментные и межсегментные в зависимости от взаимного расположения источника атаки и атакуемого объекта. Внутрисегментные атаки проще по исполнению, однако в этом случае службе информационной безопасности легче принять меры по локализации и устранению источника угрозы. В случае межсегментных атак обнаружить источник опасности и воздействовать на него гораздо сложнее, поскольку он может находиться за тысячи километров от атакуемой системы, в другой стране.
Простейший сценарий удаленной атаки состоит в том, что злоумышленник готовит программный модуль, способный распространяться по сети, не имея в виду никакой конкретной цели атаки. Данный модуль, внедрившись на компьютер случайной жертвы, выполняет действия, для которых он предназначен, и, возможно, сообщает создателю о результатах своей работы. Так распространяются компьютерные вирусы и троянские программы. В настоящее время происходит некоторое смещение акцентов в деятельности авторов подобных программ. Все чаще и чаще целью злоумышленников становится поиск на компьютере жертвы информации, использование которой могло бы принести вполне материальную выгоду: конфиденциальной информации о хозяине компьютера, пригодной для шантажа, номеров кредитных карт, информация о банковском счете и т.д. Например, такой вирус может зашифровать часть жесткого диска компьютера-жертвы, и потребовать плату за его расшифровку.
Если объект атаки определен заранее, возможны несколько вариантов развития событий в зависимости от степени самоуверенности и богатства арсенала злоумышленника. На практике они могут перетекать друг в друга. Различия основаны на степени подготовленности к атаке. В простейшем случае злоумышленник последовательно применяет все имеющиеся в его распоряжении средства, направленные на использование определенных уязвимостей в операционной системе, в надежде, что какое-нибудь из них сработает.
Более обстоятельный подход предполагает предварительный сбор сведений об атакуемой системе. Прежде всего необходимо определить сетевой адрес компьютера-жертвы. Для этого можно использовать и вполне открытые источники. Например службу WHOIS, которая может дать информацию о владельце доменного имени, сотрудниках, отвечающих за работу службы доменных имен, месте расположения фирмы, адресах ДМУ-серверов и т.д. Дальнейшую информацию можно получить от самого DNS-сервера, в базе данных которого могут быть зафиксированы основные сетевые сервисы (веб-серверы, серверы электронной почты и т.п.). При удачном стечении обстоятельств возможно и получение более детальной информации. Следующим шагом будет получение информации о работающих в системе сетевых сервисах. Для этого существует большое количество программ, доступных через сеть Интернет. Самые простые из них (сканеры портов) последовательно посылают запросы всем возможным сервисам по данному сетевому адресу и фиксируют в журнале положительные ответы исследуемой системы. Далее необходимо лишь определить, в какой из работающих на компьютере-жертве служб существует уязвимость, позволяющая получить над ним контроль. Очень ценной может быть и информация об установленной на атакуемой машине операционной системе, поскольку входящие в нее службы также обладают уязвимостями и могут быть использованы для взлома системы. Например, различные операционные системы по-разному реагируют на некорректные сетевые пакеты, приходящие в их адрес. Анализируя ответ системы на получение таких пакетов, можно определить, под управлением какой операционной системы работает атакуемый компьютер.
Существуют сложные программные комплексы, способные самостоятельно не только определить, какие службы работают на компьютере-жертве, но и обнаружить неустраненные уязвимости, провести на них атаку до ее полного успешного завершения.
Сообщения об обнаруженных уязвимостях сервисов и операционных систем регулярно публикуются на сайтах уполномоченных организаций.
Перейдем к описанию наиболее известных классов удаленных атак.
Компьютерные вирусы. Компьютерные вирусы и троянские программы имеют много общих свойств, поэтому имеет смысл рассмотреть их совместно. Компьютерные вирусы — это специальные вредоносные программы, которые могут внедряться в некоторые файлы на компьютере и выполнять на нем нежелательные для пользователя действия. В отличие от вируса троянская программа имеет своей основной целью взаимодействие со своим создателем. Она отправляет ему информацию о компьютере-жертве и его пользователях или предоставляет ему доступ к зараженной машине. Следует отметить, что в настоящее время не существует четких границ между этими понятиями. Троянские программы могут также выполнять деструктивные действия, а вирусы — докладывать своему автору о результатах работы.
Как правило, внедрение таких программ в систему требует некоторых действий пользователя. Атаки, совершенно не требующие участия пользователя, возможны, но они очень сложны и встречаются редко. Очень часто для доставки вирусов и троянских программ на атакуемую систему используются рассмотренные выше методы социальной инженерии.
Основными причинами заражения компьютеров вирусами являются:
• ошибки в работе сервисов;
• несвоевременное обновление программного обеспечения;
• ошибки в конфигурации системы;
• установка пользователем постороннего программного обеспечения.
Часто злоумышленник имеет своей целью не получение контроля над атакуемой системой, а нарушение ее функционирования. Примером такой атаки на доступность информации может служить атака типа «отказ в обслуживании».
Атака «отказ в обслуживании». Сформулированная выше цель такой атаки может быть достигнута различными путями. В получении запроса от клиента и отправке ему ответа задействовано большое количество систем: сетеобразующее оборудование и линии связи, компьютер, работающий под управлением той или иной операционной системы, запущенные на нем сервисы, ожидающие запросов от клиентов по сети. Атаке может подвергнуться любая из них. Результат будет одинаков. Простейшим вариантом такой атаки может служить локальная атака. Достаточно просто выключить сервер или отсоединить его от компьютерной сети.
Удаленные атаки этого типа чаще всего направлены на:
• создание аномально большого сетевого трафика, превышающего пропускную способность сети, в том сегменте, к которому подключен атакуемый сервер;
• обеспечение аномально большой загрузки процессора атакуемого сервера путем предоставления ему большого числа вычислительных заданий;
• установку такого большого числа сетевых соединений с атакуемым сервером, чтобы занять все открытые порты и все допустимые для каждого из них соединения;
• создание условий для перерасхода системных ресурсов, например, путем генерации огромного количества данных, которые необходимо сохранять в памяти сервера. При этом совершенно неважно, какой из работающих на компьютере сервисов создает эти данные. Недоступной становится вся система.
Добиться указанных выше целей можно двумя способами: либо сформировав специальный, не всегда правильный запрос к серверу, либо отправив в его адрес большое количество совершенно правильных запросов, для обработки которых необходимы мощности, превышающие возможности системы или каналов связи.
Первый способ требует хорошего знания деталей работы сетевых сервисов. Это предъявляет высокие требования к квалификации злоумышленника, создающего фактически новый вариант атаки на сервис. Такая атака неотразима в силу своей неожиданности, но работает этот метод считанное число раз, пока фирма — производитель программного обеспечения не выпустит соответствующее обновление для атакуемого сервиса.
Второй способ проще в исполнении. Например, пользователи иногда неумышленно организуют такую атаку на почтовый сервер своих корреспондентов, посылая им электронное письмо очень большого объема. Эта атака даже имеет свое название «mailbomb». Спамовые рассылки по электронной почте тоже можно отнести к категории таких атак. Однако по-настоящему неотразимой эти атаки стали после появления атак «распределенный отказ в обслуживании».
Распределенный отказ в обслуживании. Если трафик в направлении атакуемого сервера создается одним компьютером, от такой атаки сравнительно легко защититься, запретив системе обрабатывать запросы, идущие с данного сетевого адреса. Атакуемая фирма может даже договориться со своим интернет-провайдером о соответствующей фильтрации такого трафика. Поскольку для достижения поставленной злоумышленником цели совершенно безразлично, откуда приходит лавина пакетов, блокирующих сервер, возникла идея использовать для генерации зловредного трафика компьютеры ничего не подозревающих пользователей сети Интернет по всему миру.
Такая атака проходит едва этапа. На первом, подготовительном, этапе злоумышленник заражает специальной троянской программой как можно больше компьютеров в сети Интернет, используя для этого любые доступные ему способы. Единственное, что умеет делать эта программа, — это в заранее установленное время, или по команде злоумышленника, посылать поток запросов на атакуемый сервер. Такие компьютеры называют зомби-системами. С начала генерации запросов начинается второй этап — собственно атака.
С точки зрения атакуемого все приходящие на сервер запросы вполне корректны и посланы большим количеством разных клиентов. Просто их очень много и система не в состоянии все их обработать. Мощь такой атаки неизмеримо выше, чем в случае примитивной реализации, поскольку теоретически можно создать очень большое число зомби-систем, что многократно увеличивает создаваемый трафик.
Атаки типа «маскировка». В этот класс атак включают все удаленные атаки, в ходе проведения которых злоумышленник выдает себя не за того, кем он является на самом деле. Спектр таких атак довольно широк и простирается от атак, связанных с овладением учетными данными авторизованного пользователя системы, до манипуляций с таблицами адресов системы доменных имен и различных протоколов стека TCP/IP.
В случае если в системе идентификация и аутентификация производятся только на основе сетевого адреса, злоумышленник при помощи генератора сетевых пакетов имеет возможность получить к ней доступ с самыми широкими правами, вплоть до администраторских.
Получив доступ к серверу доменных имен, злоумышленник может изменить его базу данных таким образом, чтобы все запросы, посылаемые, например, на веб-сервер атакуемой компании попадали на его собственный сервер. Дальнейшие действия ограничиваются только его фантазией и теми целями, которые он ставит перед собой. Например, имитация приглашения ввода учетных данных позволит ему собирать идентификаторы и пароли пользователей системы, чтобы в дальнейшем использовать их для доступа к ее ресурсам.
Подмена самого сервера доменных имен на заранее подготовленный злоумышленником также вызовет перенаправление запросов пользователей системы в нужное ему место. Для этого необходимо лишь в нужный момент ответить на запрос клиента от имени DNS сервера. Если в компьютеры системы получают сетевые адреса автоматически от DHCP-сервера, то, получив к нему доступ, можно соответствующим образом изменить информацию об адресах различных сетевых служб, передаваемую этим сервером своим клиентам.
Это приведет к перенаправлению запросов на созданные злоумышленником ложные серверы.
В широко распространенных сетях Ethernet для правильной адресации на канальном уровне модели OS1 необходимо знать физический адрес своего корреспондента. Для его определения по сетевому адресу служит протокол ARP (Address Resolution Protocol). В принципе, его также можно использовать для перенаправления запросов пользователей и ответов серверов на ложные адреса.
Другим способом изменения пути следования пакетов по сети являются уже упоминавшиеся в разделе, посвященном атакам на потоки данных, атаки на маршрутизаторы.
Атаки на веб-сервисы. Одним из самых распространенных в настоящее время является протокол http, служащий основой для создания вебсайтов. Современные его модификации позволяют создавать сложные системы, включающие различные сервисы. Для подключения к такому сервису не нужны клиентские программы, достаточно использовать интернет-обозреватель, который сейчас поставляется с любой операционной системой. Широта использования протокола и тот факт, что веб-страница фактически представляет собой программу, исполняемую на клиентском компьютере, естественно, привлекает злоумышленников.
Клиент-серверная технология предполагает обмен запросами и ответами между двумя участниками процесса, клиентом и сервером. В обработке клиентских запросов на веб-сервере участвуют специальные программы (скрипты, интерпретаторы и т.д.). Они выполняют на серверной стороне задания клиента для придания большей динамичности взаимодействию клиента и сервера. Злоумышленник может попытаться найти возможные уязвимости этих программ. Прежде всего это связано с ошибками разработчиков, которые не всегда обладают достаточным опытом и профессионализмом для создания сложных веб-порталов. Основные уязвимости связаны с проверкой корректности получаемых сервером запросов. Очень часто специально подобранные запросы приводят к неожиданному для разработчиков эффекту от зависания операционной системы до предоставления злоумышленнику возможности выполнения любой программы на сервере.
Не осталась без внимания и клиентская часть системы. Современные реализации протокола предполагают возможность выполнения на клиентской стороне программного кода, загружаемого с сервера. Потенциально это открывает для злоумышленников возможность загрузки и выполнения на клиентском компьютере вредоносных программ.
Вопрос о проверке корректности получаемых сервером данных становится очень важным при разработке программ большим коллективом программистов. В этом случае возможны ошибки подобного рода, поскольку при стыковке разработанных различными людьми частей программы таким моментам не всегда уделяется должное внимание. В результате злоумышленник может получить возможность реализации атаки на переполнение буфера. Посылая в качестве запроса строку очень большой длины, превышающей максимальную длину, предусмотренную создателем программы, можно надеяться, что в отсутствие должного контроля она будет записана в память компьютера и изменит содержимое ячеек памяти, расположенных после ячеек, отведенных под параметры. Результат работы программы в этом случае непредсказуем. Хорошо зная последовательность размещения данных в оперативной памяти компьютера, злоумышленник может попытаться подобрать специальную последовательность битов в запросе, чтобы заставить сервер произвести нужные ему действия.
Все описанные выше способы атак (локальных, удаленных, атак на информационные потоки) имеют своей целью показать многообразие факторов, влияющих на информационную безопасность системы. Развитие информационных технологий идет чрезвычайно быстрыми темпами. Чуть ли не ежедневно мы становимся свидетелями появления новых программных продуктов, предлагающих пользователям информационных систем новые возможности для бизнеса и отдыха. Также быстро меняются и угрозы информационной безопасности. Поэтому модель информационной безопасности должна базироваться на глубоком анализе стоящих перед информационной системой задач, возможных угроз информационной безопасности и современных тенденций в развитии информационных технологий.
Любая эффективная защита начинается со стратегии. Правильно описанная процедура управления, перемещения и доступа к данным создает фундамент информационной безопасности предприятия. Согласно такой стратегии могут быть эффективно подобраны программно-аппаратные и административные меры контроля ее реализации и исполнения.
Защита внешних ресурсов
Практически все современные информационные системы используют сети общего пользования для получения доступа к внешним ресурсам и предоставления собственных ресурсов внешним пользователям. Предприятия, имеющие филиальную сеть, часто используют Интернет в качестве среды для организации единой распределенной корпоративной сети.
Типичной является ситуация, в которой необходимо обеспечить доступность части корпоративных информационных ресурсов извне, а внутренним пользователям разрешить доступ к ресурсам внешних открытых сетей. В этих условиях служба информационной безопасности должна контролировать информационные потоки на границе с внешним миром и обеспечивать защиту информационной системы от внешних угроз информационной безопасности.
Стандартным решением является использование специальных средств защиты — межсетевых экранов, которые уже упоминались в несколько ином контексте в связи с атаками на потоки данных. Наличие у межсетевого экрана нескольких сетевых интерфейсов позволяет поддерживать несколько сетевых сегментов с различными уровнями безопасности. Обычно выделяют внешнюю сеть (как правило, это сеть Интернет), демилитаризованную зону — сегмент сети, в котором расположены корпоративные серверы, доступные из внешней сети, и внутреннюю сеть предприятия. Наиболее безопасной считается, естественно, внутренняя сеть предприятия. Соответственно, наименее безопасной — внешняя сеть. Уровень безопасности демилитаризованной зоны определяется существующей на предприятии политикой информационной безопасности.
Межсетевой экран может быть реализован как на программном, так и аппаратном уровне. В качестве примеров аппаратной реализации можно привести приборы производства ведущих мировых производителей: Cisco ASA 5500 и Firebox XEdge различных серий. Наиболее известными программными реализациями можно считать Checkpoint FirewalI компании Check Point Software Technologies и Microsoft ISA Server.
Как правило, межсетевые экраны осуществляют трансляцию сетевых адресов для внутренней сети и демилитаризованной зоны. Во внешней сети всем серверам демилитаризованной зоны может соответствовать один единственный сетевой адрес. При этом перенаправление запросов к ним может производиться по номерам портов, указанных в запросах. Серверы демилитаризованной зоны доступны и из внутренней сети, однако права внутренних пользователей существенно шире, чем пользователей из внешнего мира. Администраторы из внутренней сети могут управлять серверами в демилитаризованной зоне. Доступ из демилитаризованной зоны и внешней сети во внутреннюю строго ограничен в соответствии с политикой информационной безопасности.
Технологии защиты
Прежде чем переходить непосредственно к технологиям защиты от перечисленных выше классов угроз информационной безопасности, необходимо остановиться более детально на вопросе о создании основного документа, посвященного защите информации. Это политика информационной безопасности. Существует большое количество работ, посвященных разработке такой политики.
Политика информационной безопасности определяет пути обеспечения безопасности информационных активов, поскольку информация является активами компании. Она описывает цели и задачи мероприятий в сфере информационной безопасности в обобщенных терминах без специфических деталей и обеспечивает планирование всей программы безопасности. Политика не обязательно должна представлять собой один документ. Информационная система изменяется. Соответственно должна изменяться политика безопасности. Изменения гораздо проще вносить, если политика состоит из нескольких документов, посвященных различным аспектам безопасности. Обеспечение информационной безопасности невозможно без четкого описания правил, внедрение которых также невозможно без доведения их до сведения всех служащих. Тщательно разработанные правила помогают не только бороться с угрозами информационной безопасности, но и являются основой для решения споров (подчас в суде) с конкурентами и недобросовестными сотрудниками. Включение в общий свод правил методики разработки программного обеспечения стимулирует разработку более защищенных систем, заставляет разработчика работать согласно установленным нормативам, указывает тестерам, какие результаты должны быть получены, а администраторам — требования конкретного технологического процесса. Следование нормативам разработки позволяет существенно уменьшить риски реализации угроз информационной безопасности.
Каждая организация независимо от ее функций имеет интеллектуальную собственность, которую необходимо защищать. Это очень сложная задача даже для профессионалов в области информационной безопасности. Защита от угроз интеллектуальной собственности предприятия также регламентируется политикой информационной безопасности.
Очень важной частью политики является описание того, как правильно реагировать на инциденты при обнаружении несанкционированного доступа в сеть, или проблем в операционной системе или другом программном обеспечении. Необходимо строго регламентировать полномочия ответственных за ликвидацию последствий инцидентов и отчетность о происшедшем.
Остановимся кратко на основных разделах политики. Естественно, содержание политики зависит в первую очередь от специфики бизнес-процессов на предприятии. Предлагаемая схема предполагает, что фирме есть, что защищать, и ее служба безопасности серьезно относится к своим функциям.
Прежде всего необходимо позаботиться о физической безопасности. Это первая линия обороны предприятия. Соблюдение правил физической безопасности служит хорошей защитой от большинства локальных угроз. Она начинается с правильного размещения и монтажа компьютерного и сетевого оборудования.
Как правило, размещение оборудования в здании рассматривается скорее с точки зрения удобства пользователей, а не безопасности. Важные информационные системы необходимо размещать так, чтобы защитить их от физических атак и аварийных ситуаций.
Правила монтажа оборудования должны быть простыми и общедоступными, основанными на анализе существующего оборудования. При этом необходимо формулировать общие правила в неспецифических терминах, поскольку со временем может измениться как состав оборудования, так и место его размещения. Для упрощения монтажа и обслуживания оборудования проектируют оптимальную схему коммуникаций и электропитания, оснащение помещений для серверов и сетеобразующего оборудования. Необходимо также сформулировать требования к поддержанию оптимальной температуры и влажности воздуха в помещениях, где размещаются серверы. Очень важно обеспечить их стабилизированным электропитанием.
Оптимальная схема размещения оборудования предполагает наличие точных правил и схем его инвентаризации и маркировки.
Физическая безопасность включает в себя и средства управления доступом в здания и помещения. Необходимо четко определить, кому и куда разрешено входить. Правила безопасности должны включать в себя положения, касающиеся управления физическим доступом, и регистрации тех, кто фактически имел доступ к информационной системе. Возможность физического доступа посторонних людей к коммуникационному и серверному оборудованию делает возможным реализацию описанных выше локальных угроз. Поэтому основная цель таких правил состоит в том, чтобы физически не допустить злоумышленников к информационным активам. Персонал, обеспечивающий безопасность компании, должен знать, кому и куда разрешен доступ.
Коротко эти правила можно сформулировать так:
1. Запретить общий доступ к компьютерному оборудованию.
2. Регламентировать доступ к хранилищам носителей информации и важной документации.
3. Установить для мест размещения компьютеров и серверов статус помещений особого режима и ограничить доступ в них посетителей, поскольку даже визуальный осмотр может выявить потенциальные слабости конфигурации.
Очень важно разработать правила, регламентирующие поведение посетителей. Обязательным моментом является точная идентификация и регистрация посетителя, при этом его необходимо ознакомить с правилами и положениями предприятия. Нельзя позволять посетителю свободно перемещаться по территории и зданиям. Список этих ограничений можно изменять в зависимости от степени конфиденциальности информации, обрабатываемой информационной системой.
Политика информационной безопасности должна содержать инструкции по аварийной обработке данных, способам завершения работы систем и мерам сохранения их жизнеспособности и возможности восстановления в случае разного рода стихийных бедствий. Необходим также план действий после аварии.
Основой любой информационной системы служит компьютерное и сетеобразующее оборудование, работа которого невозможна без качественного обслуживания. Своевременное и правильное профилактическое обслуживание служит гарантией долговременной бесперебойной работы системы. Поэтому необходимо внести его в политику безопасности в качестве обязательной меры обеспечения безопасности и предусмотреть возможность планового отключения систем на это время. В то же время нужно ограничивать возможности пользователей задерживать или прерывать работу оборудования. Необходимо также определить в политике порядок действий при замене ресурсов на резервные для обеспечения непрерывности важных деловых операций.
Чтобы избежать несанкционированного изменения конфигурации системы, в политику включают положение о регулярных проверках конфигурации системы и сети, частота которых определяется спецификой предприятия. Для ограничения возможности сокрытия собственных нарушений правил безопасности проверки системы должен проводить «независимый» сотрудник, не связанный с обеспечением ее работы.
Обеспечив физическую безопасность системы, перейдем к вопросам аутентификации и безопасности сети. Необходимо обеспечить безопасность всех сетевых подключений в системе. Программа безопасности сети охватывает вопросы адресации, устройства подсетей и средств управления подключениями. Нужно четко определить, какую информацию, через какие соединения можно передавать. Политика может быть построена так, чтобы превратить архитектуру сети в механизм ее защиты.
Правила управления доступом используются только там, где это необходимо. Здесь же нужно сформулировать политику паролей организации.
В современном мире все больше компаний предоставляют своим сотрудникам возможность работать вне офиса, используя удаленный доступ к корпоративным информационным ресурсам. Такая работа несет в себе потенциальную угрозу информационной безопасности предприятия и требует выработки четкой стратегии, гарантирующей безопасность и продуктивность работы сотрудника вне офиса. Политика должна содержать правила удаленного доступа, обеспечивающие доступ к сети через публичные сети или по телефонным каналам связи.
Прежде всего сотрудники, использующие в своей работе удаленный доступ к сети предприятия, должны соблюдать общие правила и инструкции защиты оборудования, данных и сетевого доступа так же, как если бы они работали в офисе. Политика должна устанавливать правила удаленного использования компьютерного оборудования, предоставленного компанией, в том виде, в каком оно дано сотруднику, запрещающие вносить изменения в программы или конфигурацию оборудования.
Если доступ в сеть предприятия осуществляется через работающий с модемным пулом сервер доступа, телефоны входящих модемных линий должны быть известны только тем, кто реально использует эти соединения для работы. Использование средств аутентификации при таком соединении может быть расширено за счет использования дополнительных одноразовых паролей или системы шифрования.
Использование сетей общего пользования, и в первую очередь сети Интернет для удаленного доступа, требует включения в политику требований безопасности таких подключений. Как и все требования политики, они должны оставлять возможность использования новых безопасных протоколов связи через Интернет без изменения самой политики.
Практически все современные компании имеют в той или иной форме подключение к сети Интернет. Безопасная работа с этим соединением должна обязательно найти отражение в политике. Необходимо помнить, что этим не исчерпываются правила безопасности всей сети. Возможно, имеет смысл разбить правила безопасности работы с Интернетом на несколько логических групп в соответствии с используемыми технологиями. В этом случае легко будет вносить в политику изменения, связанные с появлением и использованием новых технологий. Архитектура подключения к сети Интернет также отражается в политике безопасности. Формулировка этих правил не должна быть связана с конкретными аппаратными средствами. Необходимо указать только требуемую функциональность. Например, использование трансляции сетевых адресов и предоставление дополнительных сервисов типа услуг DNS и DHCP серверов для внутренней сети.
После этого нужно определить, каким службам будет разрешена работа с внешней сетью, и сформулировать правила работы и обязанности пользователей при взаимодействии с интернет-сервисами. Политика должна указать пользователям на необходимость быть осторожным при распространении в Интернете даже личной информации. Помимо того что будет нанесен вред самому пользователю, это может раскрыть параметры сети фирмы и сведения о ее деловой активности. Все сведения такого рода пересылаются в зашифрованном виде и только при наличии разрешений от ответственных лиц.
Интернет содержит на своих серверах большое количество различных программных продуктов, порой достаточно привлекательных для пользователей. Однако бесконтрольная загрузка такого программного обеспечения и несанкционированная его установка могут привести к большим проблемам. Все используемые в компании приложения необходимо оценивать с точки зрения их участия в процессе пересылки данных и загрузки программного обеспечения. В то же время нельзя полностью запретить загрузку ПО из сети, поскольку одним из залогов информационной безопасности служит своевременное получение и установка обновлений программных продуктов, выпускаемых их производителями. Необходимо также получать обновления антивирусных программ. Политика информационной безопасности должна содержать соответствующую формулировку, предотвращающую появление этих проблем.
В политику безопасности включаются требования, запрещающие пользователям посещение сайтов, которые компания считает незаконными или аморальными, связанными с нарушениями закона или содержащими оскорбительную информацию. Пользователей необходимо уведомить о политике фирмы в области фильтрации интернет-трафика.
Подключение к сети Интернет делает возможным предоставление внутрисетевых сервисов и баз данных предприятия внешним партнерам. Политика безопасности должна определять правила безопасности таких подключений. С этой целью обычно используются различные протоколы создания защищенных туннелей через публичные сети. Безопасность подключений дополняется правилами, учитывающими все транзакции через Интернет, подключения к базам данных и терминальным службам.
Большим соблазном для пользователя является возможность установки модема на своем (или одном из доступных) компьютере для обеспечения удаленного подключения к своему компьютеру, сети предприятия и сети Интернет. Как правило, пользователь при этом не в состоянии обеспечить должный уровень безопасности такого соединения. Если установка модема не оправдана производственной необходимостью, в правила необходимо включить запрет на самовольную установку и соответствующие санкции за его нарушение.
Электронная почта стала повсеместно доступным средством общения и передачи информации. Многие угрозы информационной безопасности реализуются с ее применением. Поэтому ее использование на предприятии должно быть строго регламентировано в политике безопасности.
В работе С. Бармена в качестве примера приведены следующие «заповеди» пользователя электронной почты:
1. Вы должны оказывать то же уважение, что и при устном общении.
2. Вы должны проверять правописание, грамматику и трижды перечитывать свое сообщение перед отправлением.
3. Вы не должны участвовать в рассылке посланий, пересылаемых по цепочке (чаще всего это письма религиозно-мистического содержания).
4. Вы не должны по собственной инициативе пересылать по произвольным адресам незатребованную информацию.
5. Вы не должны рассылать сообщения, которые являются зловредными, раздражающими или содержащими угрозы.
6. Вы не должны отправлять никаких сообщений противозаконного или неэтичного содержания.
7. Вы должны помнить, что электронное послание является эквивалентом почтовой открытки и не должно использоваться для пересылки секретной информации.
8. Вы не должны использовать широковещательные возможности электронной почты за исключением выпуска уместных объявлений.
9. Вы должны свести к минимуму количество электронных посланий личного характера.
10. Вы должны неукоснительно соблюдать правила и инструкции и помогать администраторам бороться с нарушителями правил.
Полное устранение угроз, связанных с электронной почтой, возможно только при полном контроле трафика электронной почты и содержимого посланий. Архивация сообщений поможет разобраться в проблеме, если она возникнет. Правила хранения архивов должны исключать возможность их несанкционированного использования. Еще раз подчеркнем, что все эти правила должны быть обязательно доведены до сведения сотрудников. Как правило, такие меры не находят одобрения у сотрудников, но воспринимаются как необходимое зло. Сканирование почтовых сообщений антивирусными программами на почтовом шлюзе также должно быть отражено в политике безопасности.
Правила пересылки по электронной почте конфиденциальной информации (отправлять или нет, шифровать или нет, использовать цифровую подпись или нет) целиком зависят от позиции администрации компании, но они обязательно должны найти свое отражение в политике безопасности.
Особого внимания заслуживает раздел политики, посвященный защите от компьютерных вирусов и троянских программ. В нем необходимо указать на обязательность такой защиты и право компании выбирать антивирусное программное обеспечение. Правилами определяется порядок антивирусных проверок компьютеров, внешних носителей, загружаемых программ и всех сообщений электронной почты. Если руководство компании считает необходимым, можно предусмотреть наказания для сотрудников, преднамеренно использующих и разрабатывающих вредоносные программы, вплоть до передачи дел соответствующим государственным органам.
Регламентируя использование шифрования, необходимо помнить, что оно предполагает использование ключей, которыми нужно управлять и где-то хранить для возможного аварийного восстановления информации (особенно архивной).
Если в организации ведется разработка программного обеспечения, необходимо позаботиться о его безопасности на всех стадиях разработки: собственно разработки, тестирования, установки и конфигурирования.
Покупаемое и разрабатываемое на заказ программное обеспечение необходимо проверять на наличие недокументированных свойств, позволяющих получить несанкционированный доступ к данным.
К сожалению, нарушения правил информационной безопасности все же происходят. Политика информационной безопасности должна определять порядок действий персонала в этих случаях и необходимую отчетную документацию. Сообщения об инцидентах, связанных с вашим предприятием, могут приходить и от сторонних организаций, занимающихся обеспечением информационной безопасности в сети провайдера и всей сети Интернет. Поэтому необходимо предусмотреть правила реагирования и на такие запросы.
Таким образом, все аспекты защиты информации на предприятии должны найти отражение в политике информационной безопасности. Существует большое количество международных и российских нормативных документов по обеспечению информационной безопасности, определяющих критерии ее оценки и методы защиты
информации. Политика информационной безопасности должна разрабатываться на их основе в соответствии с национальными и международными стандартами, учитывая тенденции развития отечественной нормативной базы.
Как указывалось выше, политика должна содержать только функциональные требования к средствам защиты информации. Выбор конкретных решений по защите остается за специалистами, работающими на предприятии. Остановимся кратко на способах защиты от перечисленных выше классов атак.
Основной защитой от пассивных атак на потоки данных, от прослушивания служит шифрование предаваемых данных. Архитектура сети и способ взаимодействия компьютеров в ней определяют, на каком из уровней модели OSI необходимо применять шифрование. В случае межсегментного взаимодействия с использованием межсетевых экранов и трансляции сетевых адресов шифрование можно применять только на уровне приложений.
Важным вопросом является обнаружение самого факта прослушивания сети. Способ определения зависит от архитектуры сети. Если сеть построена на основе сетевых концентраторов, можно воспользоваться сниффердетектором, специальной программой, работа которой основана на единственном отличии сниффера от обыкновенного компьютера. Если в сеть направить требующие реакции запросы с несуществующим адресом адресата, то единственным, кто отзовется, будет компьютер со сниффером. Именно на этом свойстве основаны методы обнаружения прослушивания в такой сети. Если таких запросов будет много, то необходимость их обработки вызовет замедление работы прослушивающего сеть компьютера. Это можно использовать для его обнаружения.
В сети, построенной на коммутаторах, сниффер, как указывалось выше, должен для достижения успеха производить активные действия (М4Сшторм), по которым можно определить его присутствие в сети. Действенным методом будет постоянный мониторинг сети на наличие штормов, ограничение количества регистрируемых адресов на портах коммутаторов или закрепление определенного адреса за каждым портом коммутатора.
Спектр активных атак на потоки данных гораздо шире, поэтому и методы противодействия гораздо разнообразнее. Упоминавшаяся выше атака повтором становится невозможной, если в сетевые пакеты добавляются так называемые метки времени и последовательные номера. Кроме того, банки обмениваются подтверждениями при проведении денежных переводов.
Для предотвращения атак класса «Маninthemiddle» достаточно обеспечить доверенную доставку ключей компьютерам, участвующим в сеансе связи. Для этого необходимо наличие сертификационного агентства, которое генерирует ключи для сеанса связи и по альтернативным каналам связи проводит аутентификацию пользователя. Только после того, как личность пользователя установлена, он получает ключи для сеанса.
Атаки на маршрутизаторы легко предотвратить, используя шифрование при авторизации служебных пакетов и правильно настраивая межсетевые экраны, стоящие на входе в сеть и работающие между внутренними ее сегментами. Маршрутизатор должен получать только ту информацию, которая необходима ему для работы.
Наиболее опасной из атак, упомянутых в разделе, посвященном атакам на потоки данных, является перехват авторизованной сессии. Чтобы не дать злоумышленнику возможности предугадать номера сетевых пакетов, необходимо совершенствовать способы их генерации.
Основными методами предотвращения локальных атак служат методы физической защиты, описанные в начале этого раздела, предотвращающие физический доступ злоумышленника к элементам информационной системы предприятия. Наиболее эффективными атаками, безусловно, являются атаки типа «Социальная инженерия», направленные на использование человеческих слабостей. Основными средствами защиты здесь являются внимание и бдительность, неукоснительное следование инструкциям и правилам безопасности. Общими рекомендациями в данном случае являются использование дополнительных средств аутентификации пользователя (например, секретные вопросы, на которые только он знает ответ), использование средств аудита для протоколирования всех потенциально опасных действий пользователя, использование «правильных» паролей, использование разных каналов связи для получения запроса (например, на смену пароля) и ответа на него. Возможен вариант вовлечения третьих лиц (например руководителя) в процесс внесения изменений в идентификационные параметры пользователя. Применяя все эти меры, нужно понимать, что они не дают стопроцентной гарантии защиты. Основным методом защиты от таких угроз должно стать обучение пользователей и административные меры, направленные на выполнение соответствующих инструкций.
Выявление аппаратных закладок требует наличия у службы информационной безопасности специализированного оборудования и квалифицированных специалистов по электронике. Большинство предприятий вынуждены полагаться на сертификаты производителя оборудования и периодические проверки оборудования. Действенными будут меры, направленные на фиксацию состояния как самого оборудования, так и его комплектующих. Для этого применяется периодическая инвентаризация элементов аппаратного обеспечения (автоматическая или ручная), опечатывание разборных частей оборудования с периодической проверкой целостности печатей. Очень важным элементом является обучение пользователей, которые должны информировать службу безопасности о любых подозрительных событиях и изменениях в аппаратном обеспечении.
Атаки на встроенные программы (BIOS) предотвращаются методами физической защиты. Использование паролей на 50% является вспомогательным средством защиты. Усилить его можно, устанавливая разные пароли доступа к настройкам для администратора и пользователей.
Для предотвращения возможности несанкционированного доступа к компьютеру на этапе его загрузки необходимо отказаться от использования внешних носителей информации для загрузки. При наличии на предприятии компьютерной сети возможно даже физическое отключение или удаление внешних устройств. В этом случае рекомендуется не ограничиваться полумерами и отключить указанные устройства у всех пользователей. Хорошим решением будет выделить специальных сотрудников, отвечающих за работу со съемными носителями, в обязанности которых входит проверка всех попадающих на предприятие носителей.
Рассмотрим возможности противодействия атакам на средства аутентификации пользователя. Как уже указывалось выше, защита от атак на средства доставки пароля к аутентифицирующей системе заключается в своевременной установке выпускаемых производителем операционной системы обновлений, устраняющих уязвимости в средствах аутентификации. Для построения эффективной защиты хранящихся в системе паролей пользователей необходимо изучить возможные варианты атак на хранилище паролей, реализуемые в используемой вами операционной системе, и способы противодействия им. Очень важен учет всех ответвлений информационных потоков, связанных с хранением паролей. Например, пароли можно восстановить из резервных копий системы или образов жестких дисков, хранящихся недостаточно надежно.
Мощным инструментом обеспечения безопасности является политика паролей, принятая в организации. Политика паролей является составной частью политики безопасности, существующей на программном уровне практически в любой локальной или сетевой операционной системе. С ее помощью возможно заставить пользователей использовать пароли большой длины, отвечающие требованиям безопасности («хорошие» пароли). Типичные настройки предполагают использование паролей, состоящих не менее чем из 8—10 символов, требуют использования при установке пароля букв и цифр на разных регистрах и спецсимволов. Чем длиннее пароль и чем шире набор используемых символов, тем больше времени потребуется злоумышленнику на его подбор.
Кроме требований к качеству паролей, политика паролей включает в себя средства противодействия подбору паролей. Для этого она вводит правила, ограничивающие количество неудачных попыток авторизации до 35. По достижении этого количества учетная запись пользователя блокируется, и администратор получает соответствующее предупреждение. Для торможения процесса подбора паролей необходимо установить паузу после неверного ввода пароля в 35 с.
Политика паролей может установить время использования пароля, например, в один месяц. В сочетании с поддержанием достаточно длительной истории паролей эта мера запрещает использование старых паролей и, следовательно, затрудняет процесс определения пароля пользователя злоумышленником. При анализе журналов аудита администратору следует обратить внимание на часто повторяющиеся случаи неверного ввода пароля пользователем и блокировать учетные записи пользователей, находящихся в отпуске и отсутствующих продолжительное время (например более 2 недель). Правильная политика паролей служит хорошей защитой от атаки на слабые пароли.
Предотвращение попыток повышения привилегий пользователя связано с ограничением прав пользователя на поиск информации в системе. Это не всегда возможно. Такие меры необходимо подкреплять административными запретами и активацией системы аудита для контроля активности пользователя в системе. Они ложатся дополнительной нагрузкой на администраторов, в обязанность которых входит регулярная проверка регистрационных журналов системы.
Установка постороннего программного обеспечения должна быть запрещена, и этот запрет должен быть доведен до сведения всех пользователей, так же как и все остальные правила информационной безопасности. С одной стороны, пользователь может установить зловредные программы по незнанию, а с другой — сознательно установить программы для исследования и взлома сети. Определение того, что называть вредоносной программой, полностью лежит на совести руководства предприятия. Строго говоря, все игры должны быть отнесены к вредоносным программам, поскольку они отвлекают персонал от работы, понижают производительность труда и расходуют ресурсы компьютеров. Кардинальным решением вопроса является однозначный запрет на установку таких программ. Для полного предотвращения установки посторонних программ необходимо перекрыть все пути их появления на компьютере пользователя. В первую очередь это упоминавшийся выше запрет на использование внешних носителей и фильтрация входящего интернет-трафика. Далее необходимо ограничить права пользователей таким образом, чтобы они не могли устанавливать программы на компьютерах системы. Кроме того, необходим постоянный контроль за установленным на компьютерах программным обеспечением. Для достижения этой цели применяют регулярную автоматическую проверку программного обеспечения, установленного на компьютерах пользователей. Для этого существует широкий спектр специального программного обеспечения (например, Microsoft SMS-сервер).
Говоря о защите от удаленных атак, в первую очередь остановимся на защите от компьютерных вирусов и троянских программ. Эти атаки очень тесно связаны с описанными выше методами социальной инженерии. Очень часто заражение вирусом происходит после определенных действий пользователя, на которые его вынудили методами социальной инженерии. Использование антивирусного программного обеспечения на всех компьютерах и серверах информационной системы является обязательным. Современные антивирусные программные комплексы позволяют управлять всей системой антивирусной защиты из единого центра, своевременно обновляя антивирусные базы на клиентских компьютерах. Выбор конкретного антивирусного программного обеспечения целиком зависит от личных предпочтений руководства предприятия и администраторов системы. Использование антивирусного ПО любого из ведущих мировых производителей при условии его правильной настройки приводит практически к одним и тем же результатам. Необходимо защитить антивирусными фильтрами интернет-соединение и почтовый сервер организации.
Если невозможно полностью запретить загрузку программного обеспечения из Интернета, необходимо организовать проверку скачанных программ на специальном «полигоне» или воспользоваться встроенными в систему (например Microsoft .NET) возможностями ограничения прав подозрительных программ.
Если все же злоумышленники воспользовались уязвимостями в одном из функционирующих на компьютере сервисов, необходимо ограничить их возможности в системе. Для этого необходимо ограничить права сервиса необходимым минимумом. Нельзя давать ему больше прав, чем нужно для работы.
Защита от атак типа «отказ в обслуживании» сложна в первую очередь потому, что средством для такой атаки подчас служит большое число совершенно корректных сетевых пакетов, направленных к серверу из разных точек сети (распределенная атака типа «отказ в обслуживании). Основным методом противодействия такой атаке является увеличение производительности атакуемого сервера, поскольку вредоносные пакеты невозможно отличить от реальных запросов. Иногда может помочь анализ участвующих в атаке пакетов. Если удается выделить в них общие признаки, пригодные для их идентификации, возможно построение фильтра, не пропускающего их в сеть. Если злоумышленник использует специальный (возможно, некорректный) запрос к серверу, то вряд ли можно противостоять такой атаке, если она проводится в первый раз. Возможность повторов такой атаки, как правило, минимальна, поскольку изготовители ПО оперативно реагируют на новые типы подобных атак выпуском соответствующих обновлений для своего программного обеспечения.
Удаленные атаки на маршрутизацию пакетов и атаки типа «маскировка» связаны прежде всего с неправильной настройкой системы аутентификации, что позволяет атакующему получить информацию об учетной записи одного из пользователей системы или администратора системы маршрутизации. Необходимо избегать идентификации пользователя по адресу его компьютера.
Успех атаки на веб-сервисы основан чаще всего на уязвимостях, связанных с ошибками программирования на этапе разработки. Мы не рассматриваем сейчас случаи, когда злоумышленник получил доступ к учетным данным пользователя или администратора системы. Чаще всего такие ошибки связаны с пренебрежением проверкой данных, вводимых пользователем. Полагая, что пользователь будет использовать создаваемую им программу только по прямому назначению и вводить только корректные данные, программист делает большую ошибку. Пользователь может случайно ошибиться при вводе или намеренно ввести некорректные данные (например, чересчур длинную строку или спецсимволы). Известны случаи, когда использование специальных символов в написании адреса службы приводило к неожиданным для разработчиков последствиям. Целый класс атак на веб-сервисы основан на посылке ему специально сформированной адресной строки для получения недокументированной реакции. Защитой от такого рода атак может стать использование межсетевых экранов, работающих на всех уровнях модели OSI, способных анализировать получаемые сервером данные и отфильтровывать некорректные.
При загрузке активного содержимого веб-страниц необходимо ясно представлять себе цель использования этого потенциально опасного исполняемого кода. Как правило, это средства анимации и декоративные элементы веб-страницы. С точки зрения информационной безопасности правильным решением будет запрет их использования. Однако такое решение не всегда оправдано. Не исключено, что бизнес-процессы в организации реализованы на основе интернет-технологий, включающих распределенные приложения, построенные на использовании тонких клиентов, когда вся функциональность приложения загружается на клиентскую машину с сервера, например, при работе с банковскими счетами. В этом случае приходится использовать активные элементы веб-страниц. Такой вариант возможен только при соблюдении строгих мер безопасности, включающих в себя передачу данных по защищенному каналу, обязательную идентификацию клиента и сервера, использование специальных механизмов типа электронной подписи для проверки целостности загружаемых активных компонентов. Следует также до необходимого минимума ограничить права учетной записи, в контексте которой будет выполняться активное содержимое.
Для организации удаленных атак на серверы часто используют некорректные данные, вызывающие ошибку приложения. Если разработчики не предусмотрели аккуратную обработку так называемых исключительных ситуаций, ошибка приложения может вызвать непредсказуемые последствия от сбоя в работе сервера до получения злоумышленником возможности выполнения посторонней программы. Избежать этого можно, своевременно устанавливая обновления, выпущенные производителем программного обеспечения, и отфильтровывая некорректные данные, направляющиеся к серверам.
Подводя итоги, следует еще раз подчеркнуть, что все существующие и будущие угрозы информационной безопасности связаны в первую очередь с уязвимостями в системе защиты и используемом программном обеспечении. Другим уязвимым элементом системы является человек. Как неоднократно указывалось ранее, использование методов «социальной инженерии» является одним из основных методов проведения удачных атак на информационную систему.