Классификация угроз и уязвимости информационных систем

Классификация угроз и уязвимости информационных систем БЕЗОПАСНОСТЬ

В наше время защита от киберугроз нужна на всех уровнях, начиная с домашнего ПК, заканчивая корпоративными распределенными сетями. К тому же, опасностей сегодня стало больше – об этом говорит и Евгений Касперский, ведь после пандемии активность хакеров выросла почти на 25 %. В связи с такой ситуацией, выросла и востребованность в специалистах по кибербезопасности. Давайте рассмотрим основные угрозы, которые актуальны на сегодняшний день.

Классификация угроз и уязвимости информационных систем

Классификация угроз информационных систем

Организация обеспечения безопасности информации должна носить комплексный характер и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению и, как следствие, определение актуальных угроз безопасности информации.

В ходе анализа угроз информационных систем необходимо убедиться, что все возможные источники угроз идентифицированы, идентифицированы и сопоставлены с источниками угроз все возможные факторы (уязвимости), присущие объекту защиты, всем идентифицированным источникам и факторам сопоставлены угрозы безопасности информации.

Исходя их данного принципа, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки:

Источник угрозы – фактор (уязвимость) – Угроза (действие) – последствия (атака).

Угрозы информационных систем по ИБ делят на несколько групп:

  1. Нежелательный контент — совокупность материалов и инструментов, используемых с целью получения доступа к информации. В качестве инструментов угроз информационных систем здесь могут выступать вредоносное ПО, небезопасные веб-ссылки, запрещенные либо нежелательные веб-сайты.
  2. Несанкционированный доступ к информации — речь идет о взломе, перехвате сообщений и краже конфиденциальной информации, коммерческой тайны. Проводником несанкционированного доступа может быть и мошенник, непосредственно прибегающий ко взлому, и сама жертва, случайно предоставляющая такой доступ к конфиденциальной информации.
  3. Потеря данных по причине повреждения информации либо ее носителя.
  4. Мошенничество. Для присвоения денежных средств и прочих ценных активов используются технологии. На практике это может быть:
  • фишинг — получение логинов, паролей, личных данных;
  • кардинг — крадется информация о пластиковых картах;
  • внутренний фрод — хищение со стороны сотрудников компаний.

В целом внутренний фрод можно разделить на четыре большие категории:

  1. Пользовательский (абонентский). Сюда относят незаконное подключение к услугам операторов связи и их неоплату, звонки за чужой счет, подделку банковских карт и т.п.
  2. Операторский. Это — всевозможные сомнительные действия телекоммуникационных компаний по отношению к клиентам. В эту категорию входят, например, автоматическое подключение платных услуг или установка высокой стоимости отписки от них.
  3. Межоператорский. Под этим понимают попытки операторов обмануть друг друга: всевозможные перенаправления трафика, представление дорогих видов связи как дешевых и т.д.
  4. Внутренний, который мы рассматриваем в настоящее время.

Фишинг — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом.

Что такое фишинг? Говорит Википедия

Мошенничество с платежными картами, кардинг (от англ. carding) — вид мошенничества, при котором производится операция с использованием платежной карты или её реквизитов, не инициированная или не подтверждённая её держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, «трояны», «боты» с функцией формграббера).

Что такое кардинг? Говорит Википедия

Внутренний фрод (инсайд) – это хищение данных или финансовых средств сотрудником (инсайдером) или с его помощью. Внешний фрод наиболее часто совершается в каналах ДБО (интернет-банк, мобильный банк и т.д.), а также в различных карточных платежных системах. В англоязычных странах слово “fraud” означает любое мошенничество; в России термином «фрод» называют более узкую категорию преступлений — мошенничество в сфере информационных технологий. Денежные потоки здесь многочисленны: оплата за переговоры, интернет-трафик, онлайн-покупки и заказы, мобильный банкинг. Неудивительно, что у некоторых людей появляется желание путем мошенничества направить небольшой «ручеек» в свой личный карман.

Что такое внутренний фрод (инсайд)

Что такое уязвимость в защите информации?

Уязвимость – термин «уязвимость» (англ. vulnerability, на сленге — дыра). Это недостаток в программном обеспечении, оборудовании или процедуре, который может предоставить атакующему возможность доступа к компьютеру или сети и получения несанкционированного доступа к информационным ресурсам компании. Уязвимость – это отсутствие или слабость защитных мер. Уязвимостью может являться служба, запущенная на сервере, “непропатченное” приложение или операционная система, неограниченный вход через модемный пул, открытый порт на межсетевом экране, слабая физическая безопасность, позволяющая любому войти в серверную комнату, отсутствие управления паролями на серверах и рабочих станциях.

Что такое угроза в защите информации?

Угроза – это потенциальная опасность для информации или системы. Угрозой является, если кто-то или что-то выявит наличие определенной уязвимости и использует ее против компании или человека. Нечто, дающее возможность использования уязвимости, называется источником угрозы (threat agent). Источником угрозы может быть хакер, получивший доступ к сети через открытый на межсетевом экране порт; процесс, осуществляющий доступ к данным способом, нарушающим политику безопасности; торнадо, разрушившее здание; сотрудник, совершивший ошибку, которая может привести к утечке конфиденциальной информации или нарушению целостности файлов.

Что такое риск в защите информации?

Риск – это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на бизнес. Если межсетевой экран имеет несколько открытых портов, существует высокая вероятность, что злоумышленник воспользуется одним из них для несанкционированного доступа к сети. Если пользователи не обучены правильным процессам и процедурам, существует высокая вероятность совершения ими умышленных и неумышленных ошибок, которые могут привести к уничтожению данных. Если в сети не внедрена система IDS, существует высокая вероятность того, что факт проведенной атаки останется не выявленным, пока уже не будет слишком поздно.

Статистика экономических преступлений
Статистика экономических преступлений в России в сравнении с Европой

Что такое воздействие в защите информации?

Воздействие (exposure)– это нечто, приводящее к потерям в связи с действиями источника угрозы. Уязвимости воздействуют на компанию, приводя к возможности нанесения ей ущерба. Если управление паролями слабое, а требования к паролям не внедрены, компания подвержена возможному воздействию в результате компрометации паролей пользователей и их использования для несанкционированного доступа. Если компания не следит за своей электропроводкой и не предпринимает шагов для предотвращения пожара, она подвержена потенциальному воздействию пожара.

Что такое контрмеры в защите информации?

Контрмеры (или защитные меры в сфере информационной безопасности) – это меры, внедрение которых позволяет снизить уровень потенциального риска. Контрмерами может быть настройка программного обеспечения, оборудования или процедур, устраняющая уязвимости или снижающая вероятность того, что источник угрозы сможет воспользоваться уязвимостью. Примером контрмер является строгое управление паролями, охрана, механизмы контроля доступа операционных систем, установка паролей BIOS, проведение обучения пользователей по вопросам безопасности.

Если компания использует антивирусное программное обеспечение, но не обновляет базы вирусных сигнатур, это уязвимость. Компания уязвима для вирусных атак. Угрозой является то, что вирус проникнет в сеть компании и парализует ее работу. Риск в данном случае – это вероятность проникновения вируса в сеть компании и нанесения ей ущерба. Если вирус проникнет в сеть компании, уязвимость будет использована и компания окажется под воздействием нанесенного им ущерба. Контрмерами в этой ситуации будет установка антивирусного программного обеспечения на все компьютеры компании и поддержка актуальности их баз вирусных сигнатур.

Оценивать угрозы информационной безопасности необходимо комплексно, при этом методы оценки будут различаться в каждом конкретном случае. Так, чтобы исключить потерю данных из-за неисправности оборудования, нужно использовать качественные комплектующие, проводить регулярное техническое обслуживание, устанавливать стабилизаторы напряжения.

Далее следует устанавливать и регулярно обновлять программное обеспечение (ПО). Отдельное внимание нужно уделить защитному ПО, базы которого должны обновляться ежедневно. Обучение сотрудников компании основным понятиям информационной безопасности и принципам работы различных вредоносных программ поможет избежать случайных утечек данных, исключить случайную установку потенциально опасного программного обеспечения на компьютер.

Также в качестве меры предосторожности от потери информации следует делать резервные копии. Для того чтобы следить за деятельностью сотрудников на рабочих местах и иметь возможность обнаружить злоумышленника, следует использовать DLP-системы.

Организовать информационную безопасность помогут специализированные программы, разработанные на основе современных технологий:

  • защита от нежелательного контента (антивирус, антиспам, веб-фильтры, анти-шпионы);
  • сетевые экраны и системы обнаружения вторжений (IPS);
  • управление учетными данными (IDM);
  • контроль привилегированных пользователей (PUM);
  • защита от DDoS; защита веб-приложений (WAF);
  • анализ исходного кода;
  • антифрод;
  • защита от таргетированных атак;
  • управление событиями безопасности (SIEM);
  • системы обнаружения аномального поведения пользователей (UEBA);
  • защита АСУ ТП;
  • защита от утечек данных (DLP);
  • шифрование;
  • защита мобильных устройств;
  • резервное копирование;
  • системы отказоустойчивости.

Оцените статью