 |
Неформальная модель нарушителя в АС
|
|
|
|
Злоумышленником будем называть нарушителя, намеренно идущего на нарушение из корыстных побуждений.
Неформальная модель нарушителя отражает его практические и теоретические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (конечно, если это возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлений.
В каждом конкретном случае, исходя из конкретной технологии обработки информации, может быть определена модель нарушителя, которая должна быть адекватна реальному нарушителю для данной АС.
При разработке модели нарушителя определяются:
· предположения о категориях лиц, к которым может принадлежать нарушитель;
· предположения о мотивах действий нарушителя (преследуемых нарушителем целях);
· предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушения методах и средствах);
· ограничения и предположения о характере возможных действий нарушителей.
По отношению к АС нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренним нарушителем может быть лицо из следующих категорий персонала:
· пользователи (операторы) системы;
· персонал, обслуживающий технические средства (инженеры, техники);
· сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);
· технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты АС);
|
|
|
· сотрудники службы безопасности АС;
· руководители различных уровней должностной иерархии.
Посторонними лицами, которые могут быть нарушителями, являются:
· клиенты (представители организаций, граждане);
· посетители (приглашенные по какому-либо поводу);
· представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации
(энерго-, водо-, теплоснабжения и т.п.);
· представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
· лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность АС);
· любые лица за пределами контролируемой территории.
Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес.
При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные тем не менее со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.
Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег.
Нарушение безопасности АС может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АС информации. Даже если АС имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно.
Всех нарушителей можно классифицировать следующим образом.
По уровню знаний об АС:
· знает функциональные особенности АС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;
|
|
|
· обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
· обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
· знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.
По уровню возможностей (используемым методам и средствам):
· применяющий агентурные методы получения сведений;
· применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);
· использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
· применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).
По времени действия:
· в процессе функционирования АС (во время работы компонентов системы);
· в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);
· как в процессе функционирования АС, так и в период неактивности компонентов системы.
По месту действия:
· без доступа на контролируемую территорию организации;
· с контролируемой территории без доступа в здания и сооружения;
· внутри помещений, но без доступа к техническим средствам АС;
· с рабочих мест конечных пользователей (операторов) АС;
· с доступом в зону данных (баз данных, архивов и т.п.);
· с доступом в зону управления средствами обеспечения безопасности АС.
Могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:
· работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;
|
|
|
· нарушитель, планируя попытки НСД, скрывает свои несанкционированные действия от других сотрудников;
· НСД может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки информации и т.д.
Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше.
Причины возникновения угроз АС и последствия
Воздействий
Идентификация угроз предполагает рассмотрение воздействий и последствий реализации угроз. Воздействие угрозы, которое обычно включает в себя проблемы, возникшие непосредственно после реализации угрозы, приводит к раскрытию, модификации, разрушению или отказу в обслуживании. Более значительные долговременные последствия реализации угрозы приводят к потере бизнеса, нарушению тайны, гражданских прав, потере адекватности данных, потере человеческой жизни или иным долговременным эффектам.
· Неавторизованный доступ к ЛВС —происходит в результате получения неавторизованным человеком доступа к ЛВС;
· Несоответствующий доступ к ресурсам ЛВС— происходит в результате получения доступа к ресурсам ЛВС авторизованным или неавторизованным человеком неавторизованным способом;
· Раскрытие данных — происходит в результате получения доступа к информации или ее чтения человеком и возможного раскрытия им информации случайным или неавторизованным намеренным образом;
· Неавторизованная модификация данных и программ — происходит в результате модификации, удаления или разрушения человеком данных и программного обеспечения ЛВС неавторизованным или случайным образом;
|
|
|
· Раскрытие трафика ЛВС — происходит в результате получения доступа к информации или ее чтения человеком и возможного ее разглашения случайным или неавторизованным намеренным образом тогда, когда информация передается через ЛВС;
· Подмена трафика ЛВС — происходит в результате появлений сообщений, которые имеют такой вид, как будто они посланы законным заявленным отправителем, а на самом деле сообщения посланы не им;
· Неработоспособность ЛВС — происходит в результате реализации угроз, которые не позволяют ресурсам ЛВС быть своевременно доступными.
Неавторизованный доступ к ЛВС имеет место, когда кто-то, не уполномоченный на использование ЛВС, получает доступ к ней (действуя обычно как законный пользователь ЛВС). Неавторизованный доступ к ЛВС может происходить с использованием следующих типов уязвимых мест:
· отсутствие или недостаточность схемы идентификации и аутентификации;
· совместно используемые пароли;
· плохое управление паролями или легкие для угадывания пароли;
· использование известных системных брешей и уязвимых мест, которые не были исправлены;
· однопользовательские ПК, не имеющие парольной защиты во время загрузки;
· неполное использование механизмов блокировки ПК;
· хранимые в пакетных файлах на дисках ПК пароли доступа к ЛВС;
· слабый физический контроль за сетевыми устройствами;
· незащищенные модемы;
· отсутствие тайм-аута при установлении сеанса и регистрации неверных попыток;
· отсутствие отключения терминала при многочисленных неудачных попытках установления сеанса и регистрации таких попыток;
· отсутствие сообщений «дата/время последнего удачного сеанса» и "неуспешная попытка установления сеанса" в начале сеанса;
· отсутствие верификации пользователя в реальном времени (для выявления маскарада).
Несоответствующий доступ происходит, когда пользователь, законный или неавторизованный, получает доступ к ресурсу, который не разрешено использовать. Может происходить при использовании следующих типов уязвимых мест:
· использование при назначении прав пользователям по умолчанию таких системных установок, которые являются слишком разрешающими для пользователей;
· неправильное использование привилегий администратора или менеджера ЛВС;
· данных, хранящихся с неадекватным уровнем защиты или вообще без защиты;
· недостаточное или неправильное использование механизма назначения привилегий для пользователей, ПК, на которых не используют никакого контроля доступа на уровне файлов.
Раскрытие данных или программного обеспечения ЛВС происходит, когда к данным или программному обеспечению осуществляется доступ, при котором они читаются и, возможно, разглашаются некоторому лицу, не имеющему доступа к данным. Это может производиться кем-либо путем получения доступа к информации, которая не зашифрована, либо путем просмотра экрана монитора или распечаток информации. Компрометация данных ЛВС может происходить при использовании следующих типов уязвимых мест:
|
|
|
· неправильные установки управления доступом;
· данные, которые считаются достаточно критичными, чтобы нужно было использовать шифрование, но хранятся в незашифрованной форме;
· исходные тексты приложений, хранимые в незашифрованной форме;
· мониторы, находящиеся в помещениях, где много посторонних людей;
· станции печати, находящиеся в помещениях, где много посторонних людей;
· резервные копии данных и программного обеспечения, хранимые в открытых помещениях.
Неавторизованная модификация данных или программного обеспечения происходит, когда в файле или программе производятся неавторизованные изменения (добавление, удаление или модификации). Когда незаметная модификация данных происходит в течение длительного периода времени, измененные данные могут распространиться по ЛВС, возможно искажая базы данных, электронные таблицы и другие прикладные данные. Это может привести к нарушению целостности почти всей прикладной информации.
Неавторизованная модификация данных и программного обеспечения может происходить при использовании следующих типов уязвимых мест:
· разрешение на запись, предоставленное пользователям, которым требуется только разрешение на доступ по чтению;
· необнаруженные изменения в программном обеспечении, включая добавление кода для создания программы «троянского коня»;
· отсутствие криптографической контрольной суммы критических данных;
· механизм привилегий, который позволяет избыточное разрешение записи;
· отсутствие средств выявления и защиты от вирусов.
Раскрытие трафика ЛВС происходит, когда кто-то, кому это не разрешено, читает информацию или получает к ней доступ другим способом в то время, когда она передается через ЛВС. Трафик ЛВС может быть скомпрометирован при прослушивании и перехвате трафика, передаваемого по транспортной среде ЛВС (при подключении к кабелю сети, прослушивании трафика, передаваемого по эфиру, злоупотреблении предоставленным подключением к сети с помощью присоединения сетевого анализатора и т.д.) Компрометация трафика ЛВС может происходить при использовании следующих типов уязвимых мест:
· неадекватная физическая защита устройств ЛВС и среды передачи;
· передача открытых данных с использованием широковещательных протоколов передачи;
· передача открытых данных (незашифрованных) по среде ЛВС.
Подмена трафика ЛВС включает либо способность получать сообщение, маскируясь под легитимное место назначения, либо способность маскироваться под машину-отправитель и посылать сообщения кому-либо. Чтобы маскироваться под машину-получатель, нужно убедить ЛВС в том, что данный адрес машины — легитимный адрес машины-получателя. (Получение трафика ЛВС может быть осуществлено путем прослушивании сообщений, поскольку они в широковещательном режиме передаются всем узлам.) Маскировка под машину-отправитель для убеждения машины-получателя в законности сообщения может быть выполнена заменой своего адреса в сообщении адресом авторизованной машины-отправителя или посредством воспроизведения трафика. Воспроизведение предполагает перехват сеанса между отправителем и получателем и повторную передачу впоследствии этого сеанса (или только заголовков сообщений с новыми содержаниями сообщений). Подмена трафика ЛВС или модификации трафика ЛВС может происходить при использовании следующих типов уязвимых мест:
· передача трафика ЛВС в открытом виде;
· отсутствие отметки даты / времени (показывающей время посылки и время получения);
· отсутствие механизма кода аутентификации сообщения или цифровой подписи;
· отсутствие механизма аутентификации в реальном масштабе времени (для защиты от воспроизведения).
Итак, специфика распределенных АС с точки зрения их уязвимости связана в основном с наличием интенсивного информационного взаимодействия между территориально разнесенными и разнородными (разнотипными) элементами.
Уязвимыми являются буквально все основные структурно-функциональные элементы распределенных АС: рабочие станции, серверы (Host-машины), межсетевые мосты (шлюзы, центры коммутации), каналы связи.
Защищать компоненты АС необходимо от всех видов воздействий: стихийных бедствий и аварий, сбоев и отказов технических средств, ошибок персонала и пользователей, ошибок в программах и от преднамеренных действий злоумышленников.
Имеется широчайший спектр вариантов путей преднамеренного или случайного несанкционированного доступа к данным и вмешательства в процессы обработки и обмена информацией (в том числе управляющей согласованным функционированием различных компонентов сети и разграничением ответственности за преобразование и дальнейшую передачу информации).
Правильно построенная (адекватная реальности) модель нарушителя, в которой отражаются его практические и теоретические возможности, априорные знания, время и место действия и характеристики — важная составляющая успешного проведения анализа риска и определения требований к составу и характеристикам системы защиты.
|
|
|
