ВВЕДЕНИЕ В ЗАЩИТУ ИНФОРМАЦИИ
План лекции
1.1 Защита компьютерной информации: основные понятия и определения
1.2 Классификация угроз безопасности информации
1.3 Формы атак на объекты информационных систем
1.4 Анализ угроз и каналов утечки информации
1.5 Анализ рисков и управление ими
1.1 Защита компьютерной информации: основные понятия и определения
Безопасность информации - степень (мера) защищенности информации, хранимой и обрабатываемой в автоматизированной системе (АС), от негативного воздействия на нее, с точки зрения нарушения ее физической и логической целостности (уничтожения, искажения) или несанкционированного использования.
Автоматизированная система - организованная совокупность средств, методов и мероприятий, используемых для регулярной обработки информации в процессе решения определенного круга прикладных задач.
Защищенность информации - поддержание на заданном уровне тех параметров информации, находящейся в автоматизированной системе, которые обеспечивают установленный статус ее хранения, обработки и использования.
Защита информации (ЗИ) - процесс создания и использования в автоматизированных системах специальных механизмов, поддерживающих установленный статус ее защищенности.
Комплексная защита информации - целенаправленное регулярное применение в автоматизированных системах средств и методов защиты информации, а также осуществление комплекса мероприятий с целью поддержания заданного уровня защищенности информации по всей совокупности показателей и условий, являющихся существенно значимыми с точки зрения обеспечения безопасности информации.
Безопасная информационная система - это система, которая, во-первых, защищает данные от несанкционированного доступа, во-вторых, всегда готова предоставить их своим пользователям, а в-третьих, надежно хранит информацию и гарантирует неизменность данных. Таким образом, безопасная система по определению обладает свойствами конфиденциальности, доступности и целостности.
Конфиденциальность - гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными).
Доступность – гарантия того, что авторизованные пользователи всегда получат доступ к данным.
Целостность – гарантия сохранности данными правильных значений, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.
Требования безопасности могут меняться в зависимости от назначения системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным.
Понятия конфиденциальности, доступности и целостности могут быть определены не только по отношению к информации, но и к другим ресурсам вычислительной сети, например внешним устройствам или приложениям. Существует множество системных ресурсов, возможность “незаконного” использования которых может привести к нарушению безопасности системы. Например, неограниченный доступ к устройству печати позволяет злоумышленнику получать копии распечатываемых документов, изменять параметры настройки, что может привести к изменению очередности работ и даже к выводу устройства из строя. Свойство конфиденциальности, примененное к устройству печати, можно интерпретировать так: доступ к устройству имеют те и только те пользователи, которым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены. Свойство доступности устройства означает его готовность к использованию всякий раз, когда в этом возникает необходимость, а свойство целостности может быть определено как свойство неизменности параметров настройки данного устройства.
Важным для понимания дальнейших определений являются такие понятия, как объект, субъект, доступ.
Объект – пассивный компонент системы, хранящий, принимающий или передающий информацию.
Субъект – активный компонент системы, обычно представленный в виде пользователя, процесса или устройства, которому может потребоваться обращение к объекту или системе.
Доступ – взаимодействие между субъектом и объектом, обеспечивающее передачу информации между ними, или изменение состояния системы.
Доступ к информации – обеспечение субъекту возможности ознакомления с информацией и ее обработки, в частности, копирования, модификации или уничтожения информации.
Идентификация – присвоение субъектам и объектам доступа уникального идентификатора в виде номера, шифра, кода и т.п. с целью получения доступа к информации.
Аутентификация – проверка подлинности субъекта по предъявленному им идентификатору для принятия решения о предоставлении ему доступа к ресурсам системы.
Угроза – любое действие, направленное на нарушение конфиденциальности, целостности и/или доступности информации, а также на нелегальное использование других ресурсов информационной системы (ИС).
Уязвимость информации – возможность возникновения на каком-либо этапе жизненного цикла автоматизированной системы такого ее состояния, при котором создаются условия для реализации угроз безопасности информации. Атака – реализованная угроза.
Риск – это вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки.
Значение риска тем выше, чем более уязвимой является существующая система безопасности и чем выше вероятность реализации атаки.
Изначально защищенная информационная технология – информационная технология, которая изначально содержит все необходимые механизмы для обеспечения требуемого уровня защиты информации.
Качество информации – совокупность свойств, обусловливающих пригодность информации удовлетворять определенные потребности в соответствии с ее назначением.
1.2 Классификация угроз безопасности информации
Известно большое количество разноплановых угроз безопасности информации различного происхождения. В качестве критериев деления множества угроз на классы могут использоваться виды порождаемых опасностей, степень злого умысла, источники проявления угроз и т.д. Все многообразие существующих классификаций может быть сведено к некоторой системной классификации. Дадим краткий комментарий к параметрам классификации, их значениям и содержанию.
Критерии классификации (1):
Виды угроз. Данный критерий является основополагающим, определяющим целевую направленность защиты информации.
Значениями данного параметра являются – физическая целостность, логическая целостность, содержание, конфиденциальность, право собственности.
Критерии классификации (2):
Происхождение угроз. Обычно выделяют два значения данного критерия: случайное и преднамеренное.
Под случайным понимается такое происхождение угроз, которое обусловливается спонтанными и не зависящими от воли людей обстоятельствами, возникающими в автоматизированной системе (АС) в процессе ее функционирования.
Наиболее известными событиями данного плана являются отказы, сбои, ошибки, стихийные бедствия и побочные влияния. Сущность перечисленных событий (кроме стихийных бедствий, сущность которых ясна) определяется следующим образом.
Отказ – нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций.
Сбой – временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции.
Ошибка – неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического (постоянного или временного) его состояния.
Побочное влияние – негативное воздействие на систему в целом или отдельные ее элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.
Преднамеренное происхождение угрозы обусловливается злоумышленными действиями людей.
Критерии классификации (3):
Предпосылки появления угроз. Обычно приводятся две возможные разновидности предпосылок: объективные (количественная или качественная недостаточность элементов системы) и субъективные.
К последним относятся - деятельность разведорганов иностранных государств, промышленный шпионаж, деятельность уголовных элементов, действия недобросовестных сотрудников системы.
Перечисленные разновидности предпосылок интерпретируются следующим образом.
Количественная недостаточность – физическая нехватка одного или нескольких элементов системы, вызывающая нарушения технологического процесса обработки данных и/или перегрузку имеющихся элементов.
Качественная недостаточность – несовершенство конструкции (организации) элементов системы, в силу этого могут появляться возможности случайного или преднамеренного негативного воздействия на обрабатываемую или хранимую информацию.
Деятельность разведорганов иностранных государств – специально организуемая деятельность государственных органов, профессионально ориентированных на добывание необходимой информации любыми способами и средствами.
К основным видам разведки относятся агентурная (несанкционированная деятельность профессиональных разведчиков, завербованных агентов и так называемых доброжелателей) и техническая, включающая радиоразведку (перехват радиоэлектронными средствами информации, циркулирующей в телеком-муникационных каналах), радиотехническую разведку (регистрацию спецсредствами электромагнитных излучений технических систем) и космическую разведку (использование космических кораблей и искусственных спутников Земли для наблюдения за территорией, ее фотографирования, регистрации радиосигналов и получения полезной информации любыми другими доступными способами).
Еще рассматриваются - промышленный шпионаж – негласная деятельность организации (в лице ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или хищения, с целью создания для себя благоприятных условий и получения максимальных выгод (недобросовестная конкуренция); злоумышленные действия уголовных элементов – хищение информации или компьютерных программ в целях наживы;
Действия недобросовестных сотрудников – хищение (копирование) или уничтожение информационных массивов и/или программ по эгоистическим или корыстным мотивам, а также в результате несоблюдения установленного порядка работы с информацией.
Критерии классификации (4):
Источники угроз. Под источником угроз понимается непосредственный их генератор или носитель. Таким источником могут быть люди, технические средства, модели (алгоритмы), а также - программы, технологические схемы обработки, внешняя среда.
Попытаемся теперь, опираясь на приведенную системную классификацию угроз безопасности информации, определить полное множество угроз, потенциально возможных в современных автоматизированных системах. При этом мы должны учесть не только все известные (ранее проявлявшиеся) угрозы, но и такие угрозы, которые ранее не проявлялись, но потенциально могут возникнуть при применении новых концепций архитектурного построения АС и технологических схем обработки информации.
Классифицируем все возможные каналы утечки информации (КУИ) по двум критериям: по необходимости доступа к элементам АС для реализации того или иного КУИ и по зависимости появления КУИ от состояния АС.
По первому критерию КУИ могут быть разделены на не требующие доступа, т.е. позволяющие получать необходимую информацию дистанционно (например, путем визуального наблюдения через окна помещений АС), и требующие доступа в помещения АС. В свою очередь КУИ, воспользоваться которыми можно только получив доступ в помещения АС, делятся на КУИ, не оставляющие следы в АС (например, визуальный просмотр изображений на экранах мониторов или документов на бумажных носителях), и на КУИ, использование которых оставляет те или иные следы (например, хищение документов или машинных носителей информации).
По второму критерию КУИ делятся на потенциально существующие независимо от состояния АС (например, похищать носители информации можно независимо от того, в рабочем состоянии находятся средства АС или нет) и существующие только в рабочем состоянии АС (например, побочные электромагнитные излучения и наводки).
Приведем ориентировочную характеристику каналов несанкционированного получения информации выделенных нами классов.
КУИ 1-го класса – каналы, проявляющиеся безотносительно к обработке информации и без доступа злоумышленника к элементам системы.
Сюда может быть отнесено подслушивание разговоров, а также провоцирование на разговоры лиц, имеющих отношение к АС, и использование злоумышленником визуальных, оптических и акустических средств.
КУИ 2-го класса – каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам АС.
Сюда могут быть отнесены электромагнитные излучения различных устройств ЭВМ, аппаратуры и линий связи, паразитные наводки в цепях питания, телефонных сетях, системах теплоснабжения, вентиляции и т.д.
КУИ 3-го класса – каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС, но без изменения последних.
К ним относятся всевозможные виды копирования носителей информации и документов, а также хищение производственных отходов.
КУИ 4-го класса – каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС, но без изменения последних.
Сюда может быть отнесено запоминание и копирование информации в процессе обработки, использование программных ловушек и т.д.
КУИ 5-го класса – каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС и с изменением программных или аппаратных средств.
Среди этих каналов: подмена и хищение носителей информации и аппаратуры, включение в программы блоков типа троянский конь, компьютерный червь и т.п.
КУИ 6-го класса – каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС и с изменением последних.
Сюда может быть отнесено незаконное подключение к аппаратуре и линиям связи, а также снятие информации на шинах питания различных элементов АС.
1.3 Формы атак на объекты информационных систем
Формы атак.
В общем случае программное обеспечение любой информационной системы состоит из трех основных компонентов: операционной системы, сетевого программного обеспечения (СПО) и системы управления базами данных (СУБД). Поэтому все попытки взлома защиты ИС на уровне программного обеспечения можно разделить на три группы.
Атаки на уровне программного обеспечения:
• атаки на уровне систем управления базами данных;
• атаки на уровне операционной системы;
• атаки на уровне сетевого программного обеспечения.
Рассмотрим их по отдельности.
Атаки на уровне систем управления базами данных
Защита СУБД является одной из самых простых задач. Это связано с тем, что СУБД имеют строго определенную внутреннюю структуру и операции над элементами СУБД заданы довольно четко.
Есть четыре основных действия – поиск, вставка, удаление и замена элемента. Другие операции являются вспомогательными и применяются достаточно редко. Наличие строгой структуры и четко определенных операций упрощает решение задачи защиты СУБД. В большинстве случаев злоумышленники предпочитают взламывать защиту информационной системы на уровне операционной системы и получать доступ к файлам СУБД с помощью средств операционной системы. Однако в случае, если используется СУБД, не имеющая достаточно надежных защитных механизмов, или плохо протестированная версия СУБД, содержащая ошибки, или если при определении политики безопасности администратором СУБД были допущены ошибки, то становится вполне вероятным преодоление защиты, реализуемой на уровне СУБД. Кроме того,
Имеются два специфических сценария атаки на СУБД, для защиты от которых требуется применять специальные методы.
В первом случае результаты арифметических операций над числовыми полями СУБД округляются в меньшую сторону, а разница суммируется в некоторой другой записи СУБД (как правило, эта запись содержит личный счет злоумышленника в банке, а округляемые числовые поля относятся к счетам других клиентов банка). Во втором случае злоумышленник получает доступ к полям записей СУБД, для которых доступной является только статистическая информация Идея атаки на СУБД – так хитро сформулировать запрос, чтобы множество записей, для которого собирается статистика, состояло только из одной записи.
Атаки на уровне операционной системы.
Защищать операционную систему, в отличие от СУБД, гораздо сложнее.
Дело в том, что внутренняя структура современных операционных систем чрезвычайно сложна, и поэтому соблюдение адекватной политики безопасности является значительно более трудной задачей.
Успех реализации того или иного алгоритма атаки на практике в значительной степени зависит от архитектуры и конфигурации конкретной операционной системы, являющейся объектом этой атаки. Однако имеются атаки, которым может быть подвергнута практически любая операционная система.
Атаки на уровне операционных систем - кража пароля (1):
- подглядывание за пользователем, когда тот вводит пароль, дающий право на работу с операционной системой, даже если во время ввода пароль не высвечивается на экране дисплея, злоумышленник может легко узнать пароль, просто следя за перемещением пальцев пользователя по клавиатуре.
Атаки на уровне операционных систем - кража пароля (2):
- получение пароля из файла, в котором этот пароль был сохранен пользователем, не желающим затруднять себя вводом пароля при подключении к сети.
Как правило, такой пароль хранится в файле в незашифрованном виде.
Атаки на уровне операционных систем - кража пароля (3):
- поиск пароля, который пользователи, чтобы не забыть, записывают на календарях, в записных книжках или на оборотной стороне компьютерных клавиатур и т.д.
Особенно часто подобная ситуация встречается, если администраторы заставляют пользователей применять трудно запоминаемые пароли.
Атаки на уровне операционных систем - кража пароля (4):
- кража внешнего носителя парольной информации (дискеты или электронного ключа, на которых хранится пароль пользователя, предназначенный для входа в операционную систему).
А также
- полный перебор всех возможных вариантов пароля;
- подбор пароля по частоте встречаемости символов, с помощью словарей наиболее часто применяемых паролей, с привлечением знаний о конкретном пользователе – его имени, фамилии, номера телефона, даты рождения и т.д., с использованием сведений о существовании эквивалентных паролей, при этом из каждого класса опробуется всего один пароль, что может значительно сократить время перебора.
Атаки на уровне операционных систем (5):
Сканирование жестких дисков компьютера.
Злоумышленник последовательно пытается обратиться к каждому файлу, хранимому на жестких дисках компьютерной системы, если объем дискового пространства достаточно велик, можно быть вполне уверенным, что при описании доступа к файлам и каталогам администратор допустил хотя бы одну ошибку, в результате чего все такие каталоги и файлы будут прочитаны злоумышленником.
Атаки на уровне операционных систем (6):
Сборка “мусора” (если средства операционной системы позволяют восстанавливать ранее удаленные объекты, злоумышленник может воспользоваться этой возможностью).
Атаки на уровне операционных систем (7):
Превышение полномочий (используя ошибки в программном обеспечении или в администрировании операционной системы, злоумышленник получает полномочия администратора).
В их число входят:
- запуск программы от имени пользователя, имеющего необходимые полномочия, или в качестве системной программы (драйвера, сервиса, и т.д.);
- подмена динамически загружаемой библиотеки, используемой системными программами, или изменение переменных среды, описывающих путь к таким библиотекам;
- модификация кода или данных подсистемы защиты самой операционной системы.
Атаки на уровне операционных систем (7):
Отказ в обслуживании (целью этой атаки является частичный или полный вывод из строя операционной системы).
В их число входят:
- захват ресурсов (программа злоумышленника производит захват всех имеющихся в операционной системе ресурсов, а затем входит в бесконечный цикл);
- бомбардировка запросами (программа злоумышленника постоянно направляет операционной системе запросы, реакция на которые требует привлечения значительных ресурсов компьютера);
- использование ошибок в программном обеспечении или администрировании.
Если в программном обеспечении компьютерной системы нет ошибок, и ее администратор строго соблюдает политику безопасности, рекомендованную разработчиками операционной системы, то атаки всех перечисленных типов малоэффективны. Дополнительные меры, которые должны быть предприняты для повышения уровня безопасности, в значительной степени зависят от конкретной операционной системы, под управлением которой работает данная компьютерная система. Тем не менее приходится признать, что вне зависимости от предпринятых мер полностью устранить угрозу взлома компьютерной системы на уровне операционной системы невозможно. Поэтому политика обеспечения безопасности должна проводиться так, чтобы, даже преодолев защиту, создаваемую средствами операционной системы, хакер не смог нанести серьезного ущерба.
Атаки на уровне сетевого программного обеспечения (СПО) – оно является наиболее уязвимым, потому что канал связи, по которому передаются сообщения, чаще всего не защищен, и всякий, кто имеет доступ к этому каналу, может перехватывать сообщения и отправлять свои собственные. Поэтому на уровне СПО возможны следующие атаки.
Атаки на уровне СПО (1):
Прослушивание сегмента локальной сети (в пределах одного и того же сегмента локальной сети любой подключенный к нему компьютер в состоянии принимать сообщения, адресованные другим компьютерам).
Следовательно, если компьютер злоумышленника подсоединен к некоторому сегменту локальной сети, то ему становится доступен весь информационный обмен между компьютерами этого сегмента.
Атаки на уровне СПО (2):
Перехват сообщений на маршрутизаторе (если злоумышленник имеет привилегированный доступ к сетевому маршрутизатору, то он получает возможность перехватывать все сообщения).
Хотя тотальный перехват невозможен из-за слишком большого объема, чрезвычайно привлекательным для злоумышленника является выборочный перехват сообщений, содержащих пароли пользователей и их электронную почту).
А также -
• создание ложного маршрутизатора (путем отправки в сеть сообщений специального вида злоумышленник добивается, чтобы его компьютер стал маршрутизатором сети, после чего получает доступ ко всем проходящим через него сообщениям);
• навязывание сообщений (отправляя в сеть сообщения с ложным обратным сетевым адресом, злоумышленник переключает на свой компьютер уже установленные сетевые соединения и в результате получает права пользователей, чьи соединения обманным путем были переключены на компьютер злоумышленника);
• отказ в обслуживании (злоумышленник отправляет в сеть сообщения специального вида, после чего одна или несколько компьютерных систем, подключенных к сети, полностью или частично выходят из строя).
Программные закладки.
Современная концепция создания компьютерных систем предполагает использование программных средств различного назначения в едином комплексе. Главным условием правильного функционирования такой компьютерной системы является обеспечение защиты от вмешательства в процесс обработки информации тех программ, присутствие которых в компьютерной системе не обязательно. Среди подобных программ, в первую очередь, следует упомянуть компьютерные вирусы. Однако имеются вредоносные программы еще одного класса. От них, как и от вирусов, следует с особой тщательностью очищать свои компьютерные системы. Это программные закладки, которые могут выполнять хотя бы одно из перечисленных ниже действий.
Программные закладки способны (1):
• вносить произвольные искажения в коды программ, находящихся в оперативной памяти компьютера (программная закладка первого типа).
Программные закладки способны (2):
• переносить фрагменты информации из одних областей оперативной или внешней памяти компьютера в другие (программная закладка второго типа).
Программные закладки способны (3):
• искажать выводимую на внешние компьютерные устройства или в канал связи информацию, полученную в результате работы других программ (программная закладка третьего типа).
Программная закладка – несанкционированно внедренная программа, осуществляющая угрозу информации.
Программные закладки можно классифицировать и по методу их внедрения в компьютерную систему.
Разновидности программных закладок (1):
• программно-аппаратные закладки, ассоциированные с аппаратными средствами компьютера.
Их средой обитания, как правило, является BIOS – набор программ, записанных в виде машинного кода в постоянном запоминающем устройстве – ПЗУ.
Разновидности программных закладок (2):
• загрузочные закладки, ассоциированные с программами начальной загрузки, которые располагаются в загрузочных секторах.
Из этих секторов в процессе выполнения начальной загрузки компьютер считывает программу, берущую на себя управление для последующей загрузки самой операционной системы.
Разновидности программных закладок (3):
• драйверные закладки, ассоциированные с драйверами.
Иначе говоря, с файлами, в которых содержится информация, необходимая операционной системе для управления подключенными к компьютеру периферийными устройствами.
Разновидности программных закладок (4):
• прикладные закладки, ассоциированные с прикладным программным обеспечением общего назначения (текстовые редакторы, утилиты, антивирусные мониторы и программные оболочки).
А также -
• исполняемые закладки, ассоциированные с исполняемыми программными модулями, содержащими код этой закладки (чаще всего эти модули представляют собой пакетные файлы, т.е. файлы, которые состоят из команд операционной системы, выполняемых одна за одной, как если бы их набирали на клавиатуре компьютера);
• закладки-имитаторы, интерфейс которых совпадает с интерфейсом некоторых служебных программ, требующих ввода конфиденциальной информации (паролей, криптографических ключей, номеров кредитных карточек);
• замаскированные закладки, которые маскируются под программные средства оптимизации работы компьютера (файловые архиваторы, дисковые дефрагментаторы) или под программы игрового и развлекательного назначения.
Чтобы программная закладка могла произвести какие-либо действия по отношению к другим программам или по отношению к данным, процессор должен приступить к исполнению команд, входящих в состав кода программной закладки. Это возможно только при одновременном соблюдении следующих условий.
Условия срабатывания программных закладок (1):
• программная закладка должна попасть в оперативную память компьютера.
Если закладка относится к первому типу, то она должна быть загружена до начала работы другой программы, которая является целью воздействия закладки, или во время работы этой программы.
Условия срабатывания программных закладок (2):
• работа закладки, находящейся в оперативной памяти, начинается при выполнении ряда условий, которые называются активизирующими.
С учетом замечания о том, что программная закладка должна быть обязательно загружена в оперативную память компьютера, можно выделить резидентные закладки (они находятся в оперативной памяти постоянно, начиная с некоторого момента и до окончания сеанса работы компьютера, т.е. до его перезагрузки или до выключения питания) и нерезидентные (такие закладки попадают в оперативную память компьютера аналогично резидентным, однако, в отличие от последних, выгружаются по истечении некоторого времени или при выполнении особых условий).
У всех программных закладок имеется одна важная общая черта: они обязательно выполняют операцию записи в оперативную или внешнюю память системы.
При отсутствии данной операции никакого негативного влияния программная закладка оказать не может. Для целенаправленного воздействия она должна выполнять и операцию чтения, иначе в ней может быть реализована только функция разрушения (например, удаление или замена информации в определенных секторах жесткого диска).
Выявление внедренного кода программной закладки заключается в обнаружении признаков его присутствия в компьютерной системе. Эти признаки можно разделить на следующие два класса.
Способы обнаружения присутствия программных закладок:
• качественные и визуальные;
• обнаруживаемые средствами тестирования и диагностики.
К качественным и визуальным признакам относятся ощущения и наблюдения пользователя компьютерной системы, который отмечает определенные отклонения в ее работе.
В этих ситуациях изменяется состав и длины файлов, старые файлы куда-то пропадают, а вместо них появляются новые, программы начинают работать медленнее или заканчивают свою работу слишком быстро, или вообще перестают запускаться. Несмотря на то, что суждение о наличии признаков этого класса кажется слишком субъективным, тем не менее, они часто свидетельствуют о наличии неполадок в компьютерной системе и, в частности, о необходимости проведения дополнительных проверок присутствия программных закладок.
Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для программных закладок, так и для компьютерных вирусов.
Например, загрузочные закладки успешно обнаруживаются антивирусными программами, которые сигнализируют о наличии подозрительного кода в загрузочном секторе диска. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor, входящий в распространенный комплект утилит Norton Utilities, а средства проверки целостности данных на диске типа Adinf позволяют успешно выявлять изменения, вносимые в файлы программными закладками.
Конкретный способ удаления внедренной программной закладки зависит от метода ее внедрения в компьютерную систему.
Если это программно-аппаратная закладка, то следует перепрограммировать ПЗУ компьютера. Если это загрузочная, драйверная, прикладная, замаскированная закладка или закладка-имитатор, то можно заменить их на соответствующую загрузочную запись, драйвер, утилиту, прикладную или служебную программу, полученную от источника, заслуживающего доверия. Наконец, если это исполняемый программный модуль, то можно попытаться добыть его исходный текст, убрать из него имеющиеся закладки или подозрительные фрагменты, а затем заново откомпилировать.
Модели воздействия программных закладок на компьютеры
В модели перехват программная закладка внедряется в ПЗУ, системное или прикладное программное обеспечение и сохраняет всю или выбранную информацию.
Эта информация может вводиться с внешних устройств компьютерной системы или выводиться на эти устройства, а также - в скрытой области памяти локальной или удаленной компьютерной системы. Объектом сохранения, например, могут служить символы, введенные с клавиатуры (все повторяемые два раза последовательности символов), или электронные документы, распечатываемые на принтере.
Данная модель может быть двухступенчатой. На первом этапе сохраняются только, например, имена или начала файлов. На втором накопленные данные анализируются злоумышленником с целью принятия решения о конкретных объектах дальнейшей атаки.
Модель типа перехват может быть эффективно использована при атаке на защищенную операционную систему Windows NT/2000/XP. После старта Windows на экране компьютерной системы появляется приглашение нажать клавиши <Ctrl>+<Alt>+<Del>. После их нажатия загружается динамическая библиотека MSGINA.DLL, осуществляющая прием вводимого пароля и выполнение процедуры его проверки (аутентификации). Также существует простой механизм замены исходной библиотеки MSGINA.DLL на пользовательскую (для этого необходимо просто добавить специальную строку в реестр операционной системы Windows и указать местоположение пользовательской библиотеки). В результате злоумышленник может модифицировать процедуру контроля за доступом к компьютерной системе, работающей под управлением Windows NT/2000/XP.
В модели искажение программная закладка изменяет информацию, которая записывается в память компьютерной системы в результате работы программ, либо подавляет,/инициирует возникновение ошибочных ситуаций в компьютерной системе.
Можно выделить статическое и динамическое искажение. Статическое искажение происходит всего один раз.
При этом модифицируются параметры программной среды компьютерной системы, чтобы впоследствии в ней выполнялись нужные злоумышленнику действия. К статическому искажению относится, например, внесение изменений в файл AUTOEXEC.BAT операционной системы Windows 95/98, которые приводят к запуску заданной программы, прежде чем будут запущены все другие, перечисленные в этом файле.
Динамическое искажение заключается в изменении каких-либо параметров системных или прикладных процессов при помощи заранее активизированных закладок.
Динамическое искажение можно условно разделить на искажение на входе (когда на обработку попадает уже искаженный документ) и искажение на выходе (когда искажается информация, отображаемая для восприятия человеком или предназначенная для работы других программ).
В рамках модели “искажение” также реализуются программные закладки, действие которых основывается на инициировании или подавлении сигнала о возникновении ошибочных ситуаций в компьютерной системе, т.е. тех, которые приводят к отличному от нормального завершению исполняемой программы (предписанного соответствующей документацией).
Для инициирования статической ошибки на устройствах хранения информации создается область, при обращении к которой (чтение, запись, форматирование и т.п.) возникает ошибка, что может затруднить или блокировать некоторые нежелательные для злоумышленника действия системных или прикладных программ (например, не позволять корректно уничтожить конфиденциальную информацию на жестком диске).
При инициировании динамической ошибки для некоторой операции генерируется ложная ошибка из числа тех ошибок, которые могут возникать при выполнении данной операции. Например, для блокирования приема или передачи информации в компьютерной системе может постоянно инициироваться ошибочная ситуация “МОДЕМ ЗАНЯТ”.
Чтобы маскировать ошибочные ситуации, злоумышленники обычно используют подавление статической или динамической ошибки. Целью такого подавления часто является стремление блокировать нормальное функционирование компьютерной системы или желание заставить ее неправильно работать. Чрезвычайно важно, чтобы компьютерная система адекватно реагировала на возникновение всех без исключения ошибочных ситуаций, поскольку отсутствие должной реакции на любую ошибку эквивалентно ее подавлению и может быть использовано злоумышленником.
Разновидностью искажения является также модель типа троянский конь. В этом случае программная закладка встраивается в постоянно используемое программное обеспечение и по некоторому активизирующему событию вызывает возникновение сбойной ситуации в компьютерной системе.
Уборка мусора. Как известно, при хранении компьютерных данных на внешних носителях прямого доступа выделяется несколько уровней иерархии сектора, кластеры и файлы. Сектора являются единицами хранения информации на аппаратном уровне.
Кластеры состоят из одного или нескольких подряд идущих секторов. Файл – это множество кластеров, связанных по определенному закону.
Работа с конфиденциальными электронными документами обычно сводится к последовательности следующих манипуляций с файлами:
• создание;
• хранение;
• коррекция;
• уничтожение.
Для защиты конфиденциальной информации обычно используется шифрование. Основная угроза исходит отнюдь не от использования нестойких алгоритмов шифрования и “плохих” криптографических ключей, а от обыкновенных текстовых редакторов и баз данных, применяемых для создания и коррекции конфиденциальных документов. Дело в том, что
Офисные программные средства, как правило, в процессе функционирования создают в оперативной или внешней памяти компьютерной системы временные копии документов, с которыми они работают.
Естественно, все эти временные файлы выпадают из поля зрения любых программ шифрования и могут быть использованы злоумышленником для того, чтобы составить представление о содержании хранимых в зашифрованном виде конфиденциальных документов.
Важно помнить и о том, что при записи отредактированной информации меньшего объема в тот же файл, где хранилась исходная информация до начала сеанса ее редактирования, образуются так называемые “хвостовые” кластеры, в которых эта исходная информация полностью сохраняется. И тогда “хвостовые” кластеры не только не подвергаются воздействию программ шифрования, но и остаются незатронутыми даже средствами гарантированного стирания информации. Конечно, рано или поздно информация из “хвостовых” кластеров затирается данными из других файлов, однако по оценкам специалистов из “хвостовых” кластеров через сутки можно извлечь до 85%, а через десять суток – до 25–40% исходной информации.
Наблюдение и компрометация. Помимо перечисленных, существуют и другие модели воздействия программных закладок на компьютеры. В частности,
При использовании модели типа наблюдение программная закладка встраивается в сетевое или телекоммуникационное программное обеспечение.
Пользуясь тем, что подобное программное обеспечение всегда находится в состоянии активности, внедренная в него программная закладка может следить за всеми процессами обработки информации в компьютерной системе, а также осуществлять установку и удаление других программных закладок.
Модель типа компрометация позволяет получать доступ к информации, перехваченной другими программными закладками.
Например, инициируется постоянное обращение к такой информации, приводящее к росту соотношения сигнал/шум. А это, в свою очередь, значительно облегчает перехват побочных излучений данной компьютерной системы и позволяет эффективно выделять сигналы, сгенерированные закладкой типа компрометация, из общего фона излучения, исходящего от оборудования.
Троянские программы.
Троянской программой (троянцем, или троянским конем) называется программа, которая, являясь частью другой программы, способна втайне от него выполнять дополнительные действия с целью причинения ущерба.
Таким образом, троянская программа – это особая разновидность программной закладки. Она дополнительно наделена функциями, о существовании которых пользователь даже не подозревает. Когда троянская программа выполняет эти функции, компьютерной системе наносится определенный ущерб.
Большинство троянских программ предназначено для сбора конфиденциальной информации.
Их задача чаще всего состоит в выполнении действий, позволяющих получить доступ к данным, которые не подлежат широкой огласке.
К таким данным относятся пользовательские пароли, регистрационные номера программ, сведения о банковских счетах и т.д.
Остальные троянцы создаются для причинения прямого ущерба компьютерной системе, приводя ее в неработоспособное состояние. К последним можно отнести, например, троянскую программу PC CYBORG, которая завлекала ничего не подозревающих пользователей обещаниями предоставить им новейшую информацию о борьбе с вирусом, вызывающим синдром приобретенного иммунодефицита (СПИД). Проникнув в компьютерную систему, PC CYBORG отсчитывала 90 перезагрузок этой системы, а затем прятала все каталоги на ее жестком диске и шифровала находящиеся там файлы.
В настоящее время троянские программы можно отыскать практически где угодно. Они написаны для всех без исключения операционных систем и для любых платформ.
Не считая случаев, когда троянские программы пишутся самими разработчиками программного обеспечения, троянцы распространяются тем же способом, что и компьютерные вирусы. Поэтому самыми подозрительными на предмет присутствия в них троянцев, в первую очередь, являются бесплатные и условно-бесплатные программы, скачанные из Internet, а также программное обеспечение, распространяемое на пиратских компакт-дисках.
В настоящее время существует целый ряд троянских программ, которые можно совершенно свободно скачать, подключившись к сети Internet.
Наибольшую известность среди троянских программ получили Adware.WinTaskAd, Hacktool, Adware.SyncroAd, Download.Trojan.
Средства борьбы с троянцами в операционных системах семейства Windows (95/98/NT/2000/XP) традиционно являются частью их антивирусного программного обеспечения. Поэтому, чтобы отлавливать Back Orifice, Net Bus, SubSeven и другие подобные им троянские программы, необходимо обзавестись самым современным антивирусом (например, программой Norton Antivirus 2005 компании Symantec, позволяющей обнаруживать присутствие в компьютерной системе наиболее распространенных троянцев и избавляться от них). Следует регулярно проверять свой компьютер на присутствие в нем вирусов.
Тем, кто хочет иметь в своем распоряжении утилиту, предназначенную именно для обнаружения троянцев в компьютерах, которые работают под управлением операционных систем семейства Windows, можно посоветовать обратить свои взоры на программу The Cleaner компании MooSoft Development (http://www.homestead.com/moosoft/ cleaner.html). Эта утилита может быть с успехом использована для борьбы с более чем четырьмя десятками разновидностей троянских программ.
Обзор средств борьбы с троянскими программами был бы далеко не полным, если обойти вниманием, недавно появившиеся на рынке программные пакеты, предназначенные для комплексной защиты от угроз, с которыми сталкиваются пользователи настольных компьютеров при работе в Internet. Одним из таких пакетов является eSafe Protect компании Aladdin Knowledge Systems.
Клавиатурные шпионы.
Одна из наиболее распространенных разновидностей программных закладок – клавиатурные шпионы. Такие программные закладки нацелены на перехват паролей пользователей операционной системы, а также на определение их легальных полномочий и прав доступа к компьютерным ресурсам. Типовой клавиатурный шпион обманным путем завладевает пользовательскими паролями, а затем переписывает эти пароли туда, откуда их может без особого труда извлечь злоумышленник. Различия между клавиатурными шпионами касаются только способа, который применяется ими для перехвата пользовательских паролей. Соответственно все клавиатурные шпионы делятся на три типа – имитаторы, фильтры и заместители.
Имитаторы. Клавиатурные шпионы этого типа работают по следующему алгоритму.
Злоумы
Затем внедренный модуль (в принятой терминологии – имитатор) переходит в режим ожидания ввода пользовательского идентификатора и пароля. После того как пользователь идентифицирует себя и введет свой пароль, имитатор сохраняет эти данные там, где они доступны злоумышленнику. Далее имитатор инициирует выход из системы (что в большинстве случаев можно сделать программным путем), и в результате перед глазами у ничего не подозревающего пользователя появляется еще одно, но на этот раз уже настоящее приглашение для входа в систему. Некоторые имитаторы для убедительности выдают на экран монитора правдоподобное сообщение о якобы совершенной пользователем ошибке. Например, такое: “НЕВЕРНЫЙ ПАРОЛЬ. ПОПРОБУЙТЕ ЕЩЕ РАЗ”.
Написание имитатора не требует от его создателя каких-либо особых навыков. Злоумышленнику, умеющему программировать на одном из универсальных языков программирования (к примеру, на языке BASIC), понадобятся на это считанные часы. Единственная трудность, с которой он может столкнуться, состоит в том, чтобы отыскать в документации соответствующую программную функцию, реализующую выход пользователя из системы.
Перехват пароля зачастую облегчают сами разработчики операционных систем, которые не затрудняют себя созданием усложненных по форме приглашений пользователю зарегистрироваться для входа в систему.
Подобное пренебрежительное отношение характерно для большинства версий операционной системы UNIX, в которых регистрационное приглашение состоит из двух текстовых строк, выдаваемых поочередно на экран терминала:
login:
password:
Однако само по себе усложнение внешнего вида приглашения не создает для злоумышленника, задумавшего внедрить в операционную систему имитатор, каких-либо непреодолимых препятствий. Для этого требуется прибегнуть к более сложным и изощренным мерам защиты. В качестве примера операционной системы, в которой такие меры в достаточно полном объеме реализованы на практике, можно привести Windows NT/2000/XP.
Системный процесс WinLogon, отвечающий в операционной системе Windows NT/2000/XP за аутентификацию пользователей, имеет свой собственный рабочий стол – совокупность окон, одновременно видимых на экране дисплея. Этот рабочий стол называется столом аутентификации. Никакой другой процесс, в том числе и имитатор, не имеет доступа к рабочему столу аутентификации и не может расположить на нем свое окно.
После запуска Windows NT/2000/XP на экране компьютера возникает начальное окно рабочего стола аутентификации, содержащее указание нажать на клавиатуре клавиши <Ctrl>+<Alt>+<Del>.
Сообщение о нажатии этих клавиш передается только системному процессу WinLogon, а для остальных процессов, в частности для всех прикладных программ, их нажатие происходит совершенно незаметно. Далее производится переключение на другое, так называемое регистрационное окно рабочего стола аутентификации. В нем-то как раз и размещается приглашение пользователю ввести свое идентификационное имя и пароль, которые будут восприняты и проверены процессом WinLogon.
Для перехвата пользовательского пароля внедренный в Windows NT/2000/XP имитатор обязательно должен уметь обрабатывать нажатие пользователем клавиш <Ctrl>+<Alt>+<Del>. В противном случае произойдет переключение на регистрационное окно рабочего стола аутентификации, имитатор станет неактивным и не сможет ничего перехватить, поскольку все символы пароля, введенные пользователем, минуют имитатор и станут достоянием исключительно системного процесса WinLogon. Как уже говорилось, процедура регистрации в Windows NT устроена таким образом, что нажатие клавиш <Ctrl>+<Alt>+<Del> проходит бесследно для всех процессов, кроме WinLogon, и поэтому пользовательский пароль поступит именно ему.
Конечно, имитатор может попытаться воспроизвести не начальное окно рабочего стола аутентификации (в котором высвечивается указание пользователю одновременно нажать клавиши <Ctrl>+<Alt>+<Del>), а регистрационное (где содержится приглашение ввести идентификационное имя и пароль пользователя). Однако при отсутствии имитаторов в системе регистрационное окно автоматически заменяется на начальное по прошествии короткого промежутка времени (в зависимости от версии Window NT он может продолжаться от 30 с до 1 мин), если в течение этого промежутка пользователь не предпринимает никаких попыток зарегистрироваться в системе. Таким образом, сам факт слишком долгого присутствия на экране регистрационного окна должен насторожить пользователя Windows NT и заставить его тщательно проверить свою компьютерную систему на предмет наличия в ней программных закладок. Подводя итог сказанному,
Можно отметить, что степень защищенности Windows NT/2000/XP от имитаторов достаточно высока.
Рассмотрение защитных механизмов, реализованных в этой операционной системе, позволяет сформулировать два необходимых условия, соблюдение которых является обязательным для обеспечения надежной защиты от имитаторов:
• системный процесс, который при входе пользователя в систему получает от него соответствующие регистрационное имя и пароль, должен иметь свой собственный рабочий стол, недоступный другим процессам;
• переключение на регистрационное окно рабочего стола аутентификации должно происходить абсолютно незаметно для прикладных программ, которые к тому же никак не могут повлиять на это переключение (например, запретить его).
К сожалению, эти два условия ни в одной из операционных систем, за исключением Windows NT/2000/XP, не соблюдаются. Поэтому для повышения их защищенности от имитаторов можно порекомендовать воспользоваться административными мерами. Например, обязать каждого пользователя немедленно сообщать системному администратору о том, что вход в систему оказывается невозможен с первого раза, несмотря на корректно заданное идентификационное имя и правильно набранный пароль.
Фильтры “охотятся” за всеми данными, которые пользователь операционной системы вводит с клавиатуры компьютера.
Самые элементарные фильтры просто сбрасывают перехваченный клавиатурный ввод на жесткий диск или в какое-то другое место, к которому имеет доступ злоумышленник. Более изощренные программные закладки этого типа подвергают перехваченные данные анализу и отфильтровывают информацию, имеющую отношение к пользовательским паролям.
Фильтры являются резидентными программами, перехватывающими одно или несколько прерываний, которые связаны с обработкой сигналов от клавиатуры. Эти прерывания возвращают информацию о нажатой клавише и введенном символе, которая анализируется фильтрами на предмет выявления данных, имеющих отношение к паролю пользователя.
Изготовить подобного рода программную закладку не составляет большого труда. В операционных системах Windows 95/98 предусмотрен специальный программный механизм, с помощью которого в них решается ряд задач, связанных с получением доступа к вводу с клавиатуры, в том числе и проблема поддержки национальных раскладок клавиатур. К примеру, любой клавиатурный русификатор для Windows представляет собой, самый что ни на есть настоящий фильтр, поскольку призван перехватывать все данные, вводимые пользователем с клавиатуры компьютера. Нетрудно “доработать” его таким образом, чтобы вместе со своей основной функцией (поддержка национальной раскладки клавиатуры) он заодно выполнял бы и действия по перехвату паролей. При этом задача создания фильтра становится такой простой, что не требует наличия каких-либо специальных знаний у злоумышленника. Ему остается только незаметно внедрить изготовленную им программную закладку в операционную систему и умело замаскировать ее присутствие.
В общем случае можно утверждать, что если в операционной системе разрешается переключать клавиатурную раскладку во время ввода пароля, то для этой операционной системы возможно создание фильтра. Поэтому, чтобы обезопасить ее от фильтров, необходимо обеспечить выполнение следующих трех условий:
• во время ввода пароля переключение раскладок клавиатуры не разрешается;
• конфигурировать цепочку программных модулей, участвующих в работе с паролем пользователя, может только системный администратор;
• доступ к файлам этих модулей имеет исключительно системный администратор.
Соблюсти первое из этих условий в локализованных для России версиях операционных систем принципиально невозможно. Дело в том, что средства создания учетных пользовательских записей на русском языке являются неотъемлемой частью таких систем. Только в англоязычных версиях систем Windows NT/2000/XP и UNIX предусмотрены возможности, позволяющие поддерживать уровень безопасности, при котором соблюдаются все три перечисленные условия.
Заместители полностью или частично подменяют собой программные модули операционной системы, отвечающие за аутентификацию пользователей.
Подобного рода клавиатурные шпионы могут быть созданы для работы в среде практически любой многопользовательской операционной системы. Трудоемкость написания заместителя определяется сложностью алгоритмов, реализуемых подсистемой аутентификации, и интерфейсов между ее отдельными модулями. Также при оценке трудоемкости следует принимать во внимание степень документированности этой подсистемы. В целом можно сказать, что задача создания заместителя значительно сложнее задачи написания имитатора или фильтра. Поэтому фактов использования подобного рода программных закладок злоумышленниками пока отмечено не было. Однако в связи с тем, что в настоящее время все большее распространение получает операционная система Windows 2000/XP, имеющая мощные средства защиты от имитаторов и фильтров, в самом скором будущем от хакеров следует ожидать более активного использования заместителей в целях получения несанкционированного доступа к компьютерным системам.
Поскольку заместители берут на себя выполнение функций подсистемы аутентификации, перед тем как приступить к перехвату пользовательских паролей они должны выполнить следующие действия.
Для реализации своей деятельности заместители должны (1):
• подобно компьютерному вирусу внедриться в один или несколько системных файлов.
Для реализации своей деятельности заместители должны (2):
• использовать интерфейсные связи между программными модулями подсистемы аутентификации для встраивания себя, в цепочку обработки введенного пользователем пароля.
Для того чтобы защитить систему от внедрения заместителя, ее администраторы должны строго соблюдать адекватную политику безопасности. И что особенно важно, подсистема аутентификации должна быть одним из самых защищенных элементов операционной системы. Однако, как показывает практика, администраторы, подобно всем людям, склонны к совершению ошибок. А, следовательно, соблюдение адекватной политики безопасности в течение неограниченного периода времени является невыполнимой задачей. Кроме того, как только заместитель попал в компьютерную систему, любые меры защиты от внедрения программных закладок перестают быть адекватными, и поэтому необходимо предусмотреть возможность использования эффективных средств обнаружения и удаления внедренных клавиатурных шпионов. Это значит, что администратор должен вести самый тщательный контроль целостности исполняемых системных файлов и интерфейсных функций, используемых подсистемой аутентификации для решения своих задач.
Клавиатурные шпионы представляют реальную угрозу безопасности современных компьютерных систем.
Чтобы отвести эту угрозу, требуется реализовать целый комплекс административных мер и программно-аппаратных средств защиты. Надежная защита от клавиатурных шпионов может быть построена только тогда, когда операционная система обладает определенными возможностями, затрудняющими работу клавиатурных шпионов. Так как они были подробно описаны выше, не имеет смысла снова на них останавливаться. Однако необходимо еще раз отметить, что единственной операционной системой, в которой построение такой защиты, возможно, является Windows NT/2000/XP. Да и то с оговорками, поскольку все равно ее придется снабдить дополнительными программными средствами, повышающими степень ее защищенности. В частности, в Windows NT/2000/XP необходимо ввести контроль целостности системных файлов и интерфейсных связей подсистемы аутентификации.
Кроме того, для надежной защиты от клавиатурных шпионов администратор операционной системы должен соблюдать политику безопасности, при которой только администратор может:
• конфигурировать цепочки программных модулей, участвующих в процессе аутентификации пользователей;
• осуществлять доступ к файлам этих программных модулей;
• конфигурировать саму подсистему аутентификации.
1.4 Анализ угроз и каналов утечки информации
Анализ потенциально возможных угроз информации является одним из первых и обязательным этапом разработки любой защищенной ИС. При этом составляется как можно более полная совокупность угроз, анализируется степень риска при реализации той или иной угрозы, после чего определяются направления защиты информации в конкретной ИС.
Разнообразие потенциальных угроз информации в ИС столь велико, что не позволяет предусмотреть каждую из них, поэтому анализируемые характеристики угроз следует выбирать с позиций здравого смысла, одновременно выявляя не только собственно угрозы, вероятность их осуществления, масштаб потенциального ущерба, но и их источники.
Идентификация угроз предполагает рассмотрение воздействий и последствий реализации угроз. Проблемы, возникшие после реализации угрозы, сводятся к раскрытию источников утечки, модификации защиты, разрушению информации или отказу в обслуживании. Более значительные долговременные последствия реализации угрозы приводят к утрате управления войсками, нарушению тайны, потере адекватности данных, к человеческим жертвам или иным долговременным эффектам.
Лучше всего анализировать последствия реализации угроз еще на стадии проектирования локальной сети, рабочего места или информационной системы, чтобы заранее определить потенциальные потери и установить требования к мерам обеспечения безопасности. Выбор защитных и контрольных мероприятий на ранней стадии проектирования ИС требует гораздо меньших затрат, чем выполнение подобной работы на эксплуатируемой ИС. Но и в последнем случае анализ опасностей помогает выявить уязвимые места в защите системы, которые можно устранить разумными средствами.
В большинстве случаев проведение анализа возможных опасностей позволяет персоналу лучше осознать проблемы, которые могут проявиться во время работы. Прежде за разработку мероприятий по защите информации обычно отвечал менеджер системы информации и управления или автоматизированной обработки данных. Теперь применяется другой подход, при котором в каждой организации ответственность за выполнение анализа опасностей и разработку методики их исключения возлагается на несколько групп служащих.
В рабочую группу, призванную анализировать возможные опасные ситуации, рекомендуется включать следующих специалистов.
В группу анализа опасных ситуаций следует включить (1):
• аналитика по опасным ситуациям (лицо, назначенное для проведения анализа).
Этот специалист является ответственным за сбор исходных данных и за представление руководству информации, способствующей лучшему выбору защитных мероприятий.
В группу анализа опасных ситуаций следует включить (2):
• пользователей, ответственных за предоставление аналитику точной информации о применяемых приложениях.
В группу анализа опасных ситуаций следует включить (3):
• служащих, занимающихся эксплуатацией здания, работников отдела кадров, охрану и других сотрудников, которые могут предоставить информацию о внешних опасностях и проблемах, связанных с окружающей средой.
В группу анализа опасных ситуаций следует включить (4):
• персонал сопровождения сети, на который возлагается ответственность за предоставление информации об аппаратном и программном обеспечении, а также о применяемых процедурах по ограничению прав доступа и замене (смене) паролей.
В группу анализа опасных ситуаций следует включить (5):
• представителей руководства, ответственных за обеспечение защиты ценностей организации.
Неформальная модель нарушителя.
Нарушитель – это лицо, предпринявшее попытку выполнения запрещенных операций (действий) либо по ошибке и незнанию, либо осознанно со злым умыслом (из корыстных интересов) или без такового.
Ради игры или удовольствия, с целью самоутверждения и т.п. с использованием для этого различных возможностей, методов и средств. Злоумышленником будем называть нарушителя, намеренно идущего на нарушение из корыстных побуждений.
Неформальная модель нарушителя отражает его практические и теоретические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на эти причины (если возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлений. В каждом конкретном случае исходя из существующей технологии обработки информации может быть определена модель нарушителя, которая должна быть адекватна реальному нарушителю для данной ИС.
При разработке модели нарушителя формируются:
• предположения о категориях лиц, к которым может принадлежать нарушитель.
А также -
• предположения о мотивах (целях) нарушителя;
• предположения о квалификации нарушителя и его технической оснащенности;
• ограничения и предположения о характере возможных действий нарушителей.
По отношению к ИС нарушители бывают внутренними (из числа персонала) или внешними (посторонние лица).
Внутренними нарушителями могут быть (1):
• пользователи (операторы) системы;
• персонал, обслуживающий технические средства (инженеры, техники).
Внутренними нарушителями могут быть (2):
• сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты).
А также -
• технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты ИС);
• сотрудники службы безопасности ИС;
• руководители различных уровней должностной иерархии.
Посторонними нарушителями могут быть (1):
• клиенты;
• случайные посетители;
• представители предприятий, обеспечивающих энерго-, водо- и теплоснабжение организации.
Посторонними нарушителями могут быть (2):
• представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
• любые лица за пределами контролируемой территории.
Можно выделить три основных мотива нарушений безопасности ИС со стороны пользователей: безответственность, самоутверждение и корыстный интерес.
При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.
Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру “пользователь – против системы” ради самоутверждения либо в собственных глазах, либо в глазах коллег.
Нарушение безопасности ИС может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в ИС информации. Даже если ИС имеет средства, чрезвычайно усложняющие проникновение, полностью защитить ее от этого практически невозможно.
1.5 Анализ рисков и управление ими
Наряду с анализом потенциально возможных угроз на ранних этапах проектирования ИС желательно провести и анализ рисков от реализации этих угроз, так как этот анализ позволяет определить наиболее значимые угрозы из всех возможных угроз и средства защиты от них.
Процесс анализа рисков включает (1):
• оценку возможных потерь из-за успешно проведенных атак на безопасность ИС;
• оценку вероятности обнаружения уязвимых мест системы, влияющей на оценку возможных потерь.
Процесс анализа рисков включает (2):
• выбор оптимальных по затратам мер и средств защиты, которые сокращают риск до приемлемого уровня.
С целью повышения эффективности анализа рисков он проводится по различным направлениям:
• для объектов ИС;
• для процессов, процедур и программ обработки информации;
• для каналов связи;
• для побочных электромагнитных излучений;
• для механизмов управления системой защиты.
Анализ рисков предполагает изучение и систематизацию угроз защиты информации (ЗИ), а также определение требований к средствам защиты.
Изучение и систематизация угроз ЗИ предусматривает следующие этапы:
• выбор объектов ИС и информационных ресурсов, для которых будет проведен анализ;
• разработка методологии оценки риска;
• анализ угроз и определение слабых мест в защите;
• идентификация угроз и формирование списка угроз;
• формирование детального списка угроз и матрицы угрозы/элементы ИС или информационные ресурсы.
Для построения надежной защиты необходимо выявить возможные угрозы безопасности информации, оценить их последствия, определить необходимые меры и средства защиты и оценить их эффективность.
Разнообразие потенциальных угроз столь велико, что все равно не позволяет предусмотреть каждую из них, поэтому анализируемые виды уместно выбирать с позиций здравого смысла, одновременно выявляя не только собственно угрозы, вероятность их осуществления, масштаб потенциального ущерба, но и их источники.
Оценка рисков производится с помощью различных инструментальных средств, а также методов моделирования процессов защиты информации. На основании результатов анализа выявляются наиболее высокие риски, переводящие потенциальную угрозу в разряд реально опасных и, следовательно, требующие принятия дополнительных защитных мер.
Когда намеченные меры приняты, необходимо проверить их действенность, например, произвести автономное и комплексное тестирование программно-технического механизма защиты. Если проверка показывает, что в результате проделанной работы остаточные риски снизились до приемлемого уровня, то можно намечать дату ближайшей переоценки, если нет – следует проанализировать допущенные ошибки и провести повторную оценку рисков.
При разработке методологии оценки риска используются методы системного анализа, в результате получаются оценки предельно допустимого и реального риска осуществления угроз в течение некоторого времени.
В идеале для каждой из угроз должно быть получено значение вероятности ее осуществления в течение некоторого времени. Это поможет соотнести оценку возможного ущерба с затратами на защиту. На практике для большинства угроз невозможно получить достоверные данные о вероятности реализации угрозы и приходится ограничиваться качественными оценками.
Оценка ущерба, который может нанести деятельности организации реализация угроз безопасности, производится с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации.
Расходы на систему защиты информации необходимо соотнести с ценностью защищаемой информации и других информационных ресурсов, которые подвергаются риску, а также с ущербом, который может быть нанесен организации в результате реализации угроз. По завершении анализа уточняются допустимые остаточные риски и расходы по мероприятиям, связанным с защитой информации.
По результатам проведенной работы составляется документ, содержащий:
• перечни угроз ЗИ, оценки рисков и рекомендации по снижению вероятности их возникновения;
• защитные меры, необходимые для нейтрализации угроз;
• анализ стоимость/эффективность, на основании которого делаются выводы о допустимых уровнях остаточного риска и целесообразности применения конкретных вариантов защиты.
Управление риском – процесс, состоящий в последовательном выполнении трех частей: определение риска в незащищенной ИС, применение средств защиты для сокращения риска и оценка остаточного риска.
Управление риском можно детализировать разбиением его на семь этапов.
Этапы управления риском (1):
1. Определение степени детализации, границ анализа и методологии.
2. Идентификация и оценка ценности ресурсов ИС.
Этапы управления риском (2):
3. Идентификация угроз и определение вероятности.
4. Измерение риска.
5. Выбор соответствующих мер и средств защиты.
Этапы управления риском (3):
6. Внедрение и тестирование средств защиты.
7. Одобрение остаточного риска.
Конечной целью управления риском является минимизация риска. Цель минимизации риска состоит в том, чтобы применить эффективные меры защиты таким образом, чтобы остаточный риск в ИС стал приемлем. Минимизация риска состоит из трех частей: определения тех областей, где риск недопустимо велик; выбора наиболее эффективных средств защиты; оценивания мер защиты и определения, приемлем ли остаточный риск в ИС.
Дадим краткую характеристику этапам управления риском.
Этап 1. Определение степени детализации
На этом этапе составляется перечень того, какие информационные и технические ресурсы из состава ИС и с какой детальностью должны рассматриваться в процессе управления риском. Перечень может включать ИС в целом или ее части, такие, как функции коммуникаций данных, функции сервера, приложения и т.д.
Степень детализации можно представлять как сложность созданной логической модели всей ИС или ее частей, отражающую глубину процесса управления риском. Степень детализации будет отличаться для разных областей ИС. Например, некоторые области могут рассматриваться поверхностно, в то время как другие – глубоко и детально.
Этап 2. Идентификация и оценка ценности ресурсов ИС
В ходе оценки ценностей выявляются и назначаются стоимости ресурсов ИС. Этот шаг позволяет выделить ресурсы, приоритетные с точки зрения организации защиты. Ценности могут быть определены на основании воздействий и последствий для организации. Оценка рисков предполагает не только стоимость ресурсов, но и последствия в результате раскрытия, искажения, разрушения или порчи информационных и технических ресурсов ИС.
Стоимость ресурсов может быть представлена в терминах потенциальных потерь. Эти потери могут быть основаны на стоимости восстановления, потерях при непосредственном воздействии и последствий. Одна из простейших методик оценки потерь для ценности состоит в использовании качественного ранжирования на высокие, средние и низкие потери.
Одним из косвенных результатов этого процесса является создание детальной конфигурации ИС и функциональной схемы ее использования. Эта конфигурация должна описывать подключенные аппаратные средства ИС, главные используемые приложения, важную информацию, обрабатываемую в ИС, а также способ передачи этой информации через ИС.
Конфигурация аппаратных средств содержит: серверы, автоматизированные рабочие места, ПК, периферийные устройства, соединения с глобальными сетями, схему кабельной системы, соединения с мостами или шлюзами и т.д.
Конфигурация программного обеспечения включает в себя: операционные системы серверов, операционные системы автоматизированных рабочих мест, главное прикладное программное обеспечение, инструментальное программное обеспечение, средства управления ИС, местоположение программного обеспечения в ИС. После того как описание конфигурации ИС закончено и ценности определены, появится представление о том, из чего состоит ИС и какие ресурсы необходимо защищать в первую очередь.
Этап 3. Идентификация угроз и определение их вероятности
На этом этапе должны быть выявлены угрозы и уязвимые места, определены вероятности реализации угроз. Список угроз следует рассматривать в зависимости от степени детализации описания ИС. Концептуальный анализ может указать на абстрактные угрозы и уязвимые места. Более детальный анализ может связать угрозу с конкретной компонентой ИС.
Существующие средства и меры защиты в ИС должны быть проанализированы, чтобы можно было определить, обеспечивают ли они адекватную защиту от соответствующей угрозы, в противном случае место возникновения угрозы можно рассматриваться как уязвимое место. После того как определенные угрозы и связанные с ними уязвимые места выявлены, с каждой парой угроза/уязвимое место должна быть связана вероятность того, что эта угроза будет реализована.
Этап 4. Измерение риска
В широком смысле мера риска может рассматриваться как описание видов неблагоприятных действий, влиянию которых может подвергнуться система, и вероятностей того, что эти действия могут произойти. Результат этого процесса должен определить степень риска для определенных ценностей. Этот результат важен, поскольку является основой для выбора средств защиты и решений по минимизации риска. Мера риска может быть представлена в качественных, количественных, одномерных или многомерных терминах.
Количественные подходы связаны с измерением риска в терминах денежных потерь.
Качественные – с измерением риска в качественных терминах, заданных с помощью шкалы или ранжирования.
Одномерные – рассматривают только ограниченные компоненты (риск = величина потери Ч частота потери).
Многомерные подходы рассматривают такие дополнительные компоненты в измерении риска, как надежность, безопасность или производительность.
Одним из наиболее важных аспектов меры риска является то, что ее представление должно быть понятным и логичным для тех, кто выбирает средства защиты и решает вопросы минимизации риска.
Этап 5. Выбор соответствующих мер и средств защиты
Цель этого процесса состоит в выборе соответствующих мер и средств защиты. Этот процесс может быть выполнен с использованием проверки приемлемости риска. Взаимосвязь между проверкой приемлемости риска и выбором средств защиты может быть итеративной.
Первоначально организация должна упорядочить уровни рисков, определенные в ходе оценки риска. Наряду с этим организация должна принять решение о количестве остаточного риска, который желательно принять после того, как выбранные меры и средства защиты будут установлены.
Эти начальные решения по принятию риска могут внести поправки в уравнение выбора средств защиты. Когда свойства предлагаемых мер и средств защиты известны, можно повторно провести проверку приемлемости риска и определить, достигнут ли уровень остаточного риска или необходимо изменить решения относительно его приемлемости, чтобы отразить информацию о свойствах предлагаемых средств защиты.
Отбор соответствующих средств защиты для механизмов, входящих в состав ИС, является также субъективным процессом. При рассмотрении меры стоимости механизма важно, чтобы стоимость средства его защиты была связана с мерой риска, при определении рентабельности средства зашиты.
Для вычисления общего отношения риск/стоимость используют меру риска и финансовую меру, связанную с каждым отношением угроза/механизм и рассчитывают отношение риска к стоимости (т.е. риск/стоимость). Значение этого отношения меньше единицы будет указывать, что стоимость средств защиты больше, чем риск, связанный с угрозой.
Этап 6. Внедрение и тестирование средств защиты
Цель процесса внедрения и тестирования средств защиты состоит в том, чтобы гарантировать правильность реализации средств защиты, обеспечить совместимость с другими функциональными возможностями ИС и средствами защиты и получить ожидаемую степень защиты.
Этот процесс начинается разработкой плана внедрения средств защиты, который должен учитывать такие факторы, как доступный объем финансирования, уровень подготовки пользователей и т.д. График испытаний для каждого средства защиты также включается в этот план. План должен показывать, как каждое средство защиты взаимодействует с другими средствами защиты или влияет на них (или функциональные возможности ИС). Важно не только то, что средство защиты исполняет свои функции, как ожидается и обеспечивает требуемую защиту, но и то, что средство защиты не увеличивает риск неправильного функционирования ИС из-за конфликта с другим средством защиты.
Каждое средство должно быть проверено независимо от других средств, чтобы гарантировать обеспечение ожидаемой защиты. Однако это может оказаться неуместным, если средство предназначено для совместной работы с другими средствами.
Этап 7. Одобрение остаточного риска
После того как все средства защиты реализованы, проверены и найдены приемлемыми, результаты проверки приемлемости риска должны быть повторно изучены. Риск, связанный с отношениями угроза/уязвимое место, должен теперь быть сокращен до приемлемого уровня или устранен. Если эти условия не соблюдены, то решения, принятые на предыдущих шагах, должны быть пересмотрены, чтобы определить надлежащие меры защиты.
Посещая семинары и презентации различных систем и продуктов по информационной безопасности, порой можно увидеть следующую картину. Представитель компании, представляющий продукт, расписывает в ярких красках достоинства и особенности своей системы, из которых можно сделать вывод, что данная система — это все что необходимо для обеспечения безопасности организации (пусть даже отдельного направления деятельности или отдельной подсистемы). При этом можно увидеть, как разгораются глаза у участников — посетителей семинара, специалистов, так или иначе обеспечивающих или отвечающих за безопасность конкретных предприятий. Можно с высокой степенью вероятности предположить, что некоторые из них по окончании семинара-презентации направятся к своему руководству с предложениями о приобретении рекламируемой системы, особенно если предприятие государственное или такое, где специалисты напрямую не заинтересованы в рациональном расходовании средств.
Отвлекаясь от достоинств или недостатков любой из систем или продуктов, необходимо осознать то, что защита информационных ресурсов должна быть продумана и эффективна, поскольку она в определенной степени предназначена и для сохранения финансовых ресурсов организации. В этом смысле приобретение дорогого, разрекламированного средства информационной безопасности может идти вразрез с самими целями мероприятий по информационной безопасности.
Часто можно услышать подобную логику рассуждений: на данном компьютере лежит конфиденциальная информация, следовательно, поместить его за межсетевой экран (или установить на нем персональный межсетевой экран), антивирусное (в данном случае анти-троянское) программное обеспечение, сканнер атак на хост, программу контроля целостности системных файлов и вдобавок ко всему оснастить его системой биометрического контроля доступа, скажем, по отпечатку пальца. Суммарные расходы на защиту компьютера начинают превышать стоимость самого компьютера с операционной системой и приложениями. (При этом, правда, иногда упускается из виду, что оператор, работающий на данной станции с указанными секретными данными, готов поделиться этими секретными данными за сумму, сравнимую с его месячной заработной платой, возможно, это несколько десятков, пусть даже сотен долларов.) Если же, как это обычно бывает, информация распределена между станциями сети, стоимость защиты вырастает в существенные суммы. Однако какой конкретный ущерб принесет разглашение этой информации? Очевидно, что это неприятно, особенно если такой инцидент стал достоянием публики. Но каково материальное выражение этого ущерба?
Некоторые руководящие документы по информационной безопасности косвенно или явно формально указывают на основной принцип определения требуемого уровня защиты. Обычно он формулируется так: "Сумма затрат на обеспечение защиты не должна превосходить суммы ущерба от атаки, которую данная защита должна предотвратить". Реже принимается другой принцип: "Суммарные расходы, понесенные злоумышленником на преодоление защиты должны превышать выгоду от результатов атаки". Первый подход обычно характерен для коммерческих организаций, ориентированных на получение прибыли, второй подход — для организаций работающих, например, с государственными секретами, когда построение защиты подразумевает более существенные расходы.
Однако, если измерить произведенные расходы на приобретение и установку систем защиты информации достаточно легко, то оценить, сколько необходимо потратить на обеспечение безопасности, сложнее. В главе 14 будут представлены некоторые методики такой оценки, но следует учитывать, что увязывание числовых метрик с информационными активами вообще специфично для каждой конкретной организации, а на постсоветском пространстве еще и вносит дополнительные особенности. Скажем, если разглашение информации по компрометирующим действиям западного политика может привести к его отставке, то на территории бывшего СССР это может наоборот прибавить политику популярности.
Управлением рисками следует заниматься не только при планировании глобальных модификаций информационного пространства организации, но и в ряде более мелких случаев. Например, организация использует большую автоматизированную систему, приобретенную у стороннего поставщика, но при этом она открыта к модификации (в ней присутствуют детализированные описания API). Одним из элементов обеспечения информационной безопасности является анализ регистрационных журналов системы. Однако стандартная поставка системы такова, что журнал неполон и дополнительную информацию приходится собирать из других подсистем (допустим, из журналов операционной системы), для чего необходима дополнительная работа, которая выливается в одну штатную единицу оператора мониторинга журналов. Возможные альтернативные решения имеющейся проблемы:
□ принять на работу оператора для выполнения необходимых работ;
□ заказать у поставщика обновление системы с расширенным регистрационным журналом;
□ поручить своим программистам разработать дополнительный модуль с помощью имеющихся API;
□ приобрести отдельный продукт, который будет производить анализ разрозненных регистрационных журналов, возможно, как одну из подфункций к другой полезной деятельности.
Выбирать подходящий вариант из имеющихся можно только после оценки потенциального ущерба оттого, что атака будет реализована по причине отсутствия каких-либо работ по анализу регистрационных журналов системы. Ведь возможно, что стоимость реализации любого из четырех приведенных проектов окажется значительно больше вероятных потерь организации в случае атаки.
Оценка рисков как часть направления информационной безопасности — управления рисками, является существенным инструментом в построении защиты. Однако для эффективного использования этого инструмента необходимо выполнить ряд условий, например, перейти от качественных понятий к количественным. Скажем, "получение доступа к данной информации приведет к краху компании" — это качественное описание, а "разглашение данной информации потребует выплаты суммы п клиентам, «2 конкурентам, «з судебные издержки" — это количественное описание. Этот процесс значительно облегчен, если в организации уже произведена классификация информационных активов, о которой рассказывалось в главе 6.
Управление рисками — это процесс определения, анализа и оценки, снижения, устранения или переноса (перенаправления) риска, который (процесс) заключается в ответе на следующие вопросы.
1. Что может произойти?
2. Если это "что-то" произойдет, то каков будет результат или ущерб?
3. Как часто может происходить это событие?
4. Насколько мы уверены в ответах на вышеуказанные вопросы (оценка вероятности)?
5. Что может быть сделано для снижения или устранения вероятности события?
6. Сколько будет стоить то, что может быть сделано?
7. Насколько эффективно то, что может быть сделано?
Сам риск как таковой и состоит из понятия вероятности (четвертый вопрос), т. е. чем больше вероятность первых трех вопросов (событие происходит часто и с большим ущербом), тем больше риск, чем меньше вероятность, тем меньше риск.
Информационный актив — набор информации, который используется организацией в работе и может состоять из более мелких поднаборов. При оценке должно быть проведено отделение собственно информации, как виртуальной составляющей, от ее носителя, как физического объекта. Соответственно стоимость возможного ущерба должна быть оценена как сумма:
□ стоимости замены информации (если была произведена ее утрата в том или ином виде);
□ стоимости замены программного обеспечения поддержки (если оно было повреждено);
□ стоимости нарушения конфиденциальности, целостности, доступности (если таковые имели место).
Отдельно учитываются аппаратное и сетевое обеспечение, поскольку их оценка производится проще (они имеют известную рыночную стоимость).
Стандартная методика организации работ по управлению рисками следующая:
1. Определение политики управления рисками. Построенная на общепринятых принципах обеспечения информационной безопасности (англ. Generally Accepted System Security Principles — GASSP) [GASSP] политикапозволитизбежатьсубъективногоподхода.
2. Определение персонала, который будет заниматься управлением риска ми и обеспечить его финансирование. Помимо оплаты труда, скорее всего придется провести обучение кадров и, возможно, приобрести автоматизированные инструменты или платные методики оценки рисков.
3. Определение методологии и средств, с помощью которых будет производиться оценка риска. Важно быть уверенным в том, что оценка риска проведена правильно до того как будут потрачены средства, необходимые для управления рисками.
4. Идентификация и измерение риска. На первом этапе необходимо определить сферу применения работ, имеющиеся угрозы, информационные активы и их значимость (это, возможно, уже будет сделано при классификации), проанализировать уязвимости активов, которые могут повлиять на частоту появления или размер возможного ущерба. Далее производится сведение полученных данных с установкой метрик. Для качественной оценки это может быть таблица, в колонках которой указаны активы, а в столбцах — уровень риска (высокий, средний, низкий).
Для количественной оценки используется конкретная количественная методика.
Установка критериев приемлемости рисков. На основе полученных данных специалисты по управлению рисками совместно с руководством организации должны определить приемлемость риска на основе принятой методики, например, считать неприемлемым риск, если вероятность потери эквивалента 100 000 долларов США более чем 3/100.
Избежание или уменьшение рисков. Необходимо определить уязвимости, которые становятся неприемлемыми при принятых критериях, и определить меры для их устранения. Этот процесс проходит следующие фазы: выбор средств для снижения/устранения риска оценка эффективности этих средств (в смысле соответствия между ценой средства и его эффективностью), отчет руководству о предлагаемых мероприятиях.
Мониторинг работы управления рисками. Для обеспечения адекватности предпринимаемых мер соответствующим рискам, необходимо периодически производить переоценку рисков при изменении внешних и внутренних обстоятельств, угроз и другие превентивные действия.