В условиях развития рыночных
отношений и всё ужесточающейся
конкуренции успех предприятия, фирмы,
организации всё больше зависит от автоматизации
их деятельности, в том числе грамотного
построения информационных систем и их
защищённости. Сегодня, чтобы узнать секреты
конкурентов, повлиять на их бизнес, совсем
не обязательно физически перелезать
через забор и проникать на их территорию,
в офис.
Устойчивость и доходность деятельности
организаций зависят сегодня от многих
факторов, но прежде всего от информативной
оперативности, от того, насколько эффективно
работают автоматизированные информационные
системы предприятия, компании, холдинга
и пр. и насколько они готовы противостоять
внешним и внутренним угрозам. Важно знать:
каковы эти угрозы; откуда их можно ожидать;
как их предотвратить? Как более грамотно
построить структуру ИС в плане её наилучшей
неуязвимости, информационной безопасности,
правильно организовать её работу?
Эти и многие другие вопросы мы рассмотрим
в серии статей специалистов компании
"ДиалогНаука", уже более 15 лет работающей
на рынке услуг по информационной безопасности.
На сегодняшний день автоматизированные
информационные системы (АИС) играют ключевую
роль в обеспечении эффективного
выполнения бизнес-процессов как
коммерческих, так и государственных
предприятий. Вместе с тем повсеместное
использование АИС для хранения,
обработки и передачи информации
приводит к тому, что более актуальными
становятся проблемы, связанные с
их защитой. Подтверждением этому служит
тот факт, что за последние несколько
лет как в России, так и в ведущих зарубежных
странах имеет место тенденция к увеличению
количества информационных атак, приводящих
к значительным финансовым и материальным
потерям.
Практически любая АИС может выступать
в качестве объекта информационной атаки,
которую можно определить как совокупность
действий злоумышленника, направленную
на нарушение одного из трёх свойств информации
. конфиденциальности, целостности или
доступности.
Рассмотрим эти свойства более подробно.
Свойство конфиденциальности позволяет
не давать прав на доступ к информации
или не раскрывать её неполномочным лицам,
логическим объектам или процессам. Характерным
примером нарушения конфиденциальности
информации является кража из системы
секретных данных с целью их дальнейшей
перепродажи. Целостность информации
подразумевает её способность не подвергаться
изменению или уничтожению в результате
несанкционированного доступа. В качестве
примера нарушения этого свойства можно
привести ситуацию, при которой злоумышленник
преднамеренно искажает содержимое одного
из электронных документов, хранящихся
в системе. И наконец, доступность информации
определяется как её свойство быть доступной
и используемой по запросу со стороны
любого уполномоченного пользователя.
Так, скажем, злоумышленник нарушает доступность
интернет-портала, если ни один из легальных
пользователей не сможет получить доступ
к его содержимому. Таким образом, в результате
нарушения конфиденциальности, целостности
или доступности информации нарушаются
бизнес-процессы компании, базирующиеся
на информационных ресурсах, которые являлись
объектом атаки.
Для реализации информационной атаки
нарушителю необходимо активизировать,
т. е. использовать определённую уязвимость
АИС. Под уязвимостью принято понимать
слабое место АИС, на основе которого возможна
успешная реализация атаки. Примерами
уязвимостей АИС могут являться: некорректная
конфигурация сетевых служб АИС, наличие
ПО без установленных модулей обновления,
использование нестойких к угадыванию
паролей, отсутствие необходимых средств
защиты информации и др.
Ахиллесова пята
автоматизированных систем
Уязвимость является основной причиной
возникновения информационных атак. Наличие
самих слабых мест в АИС может быть обусловлено
самыми разными факторами, начиная с простой
халатности сотрудников и заканчивая
преднамеренными действиями злоумышленников.
Уязвимости могут присутствовать как
в программно-аппаратном, так и организационно-правовом
обеспечении АИС. Основная часть уязвимостей
организационно-правового обеспечения
обусловлена тем, что на предприятиях
не имеется нормативных документов, касающихся
вопросов информационной безопасности.
Примером уязвимости данного типа является
отсутствие в организации утверждённой
концепции или политики информационной
безопасности, которая определяла бы требования
к защите АИС, а также конкретные пути
их реализации. Уязвимости программно-аппаратного
обеспечения могут присутствовать в программных
или аппаратных компонентах рабочих станций
пользователей АИС, серверов, а также коммуникационного
оборудования и каналов связи АИС.
Уязвимости АИС могут быть внесены как
на технологическом, так и на эксплуатационном
этапе жизненного цикла АИС. На технологическом
этапе нарушителями могут быть инженерно-технические
работники, участвующие в процессе проектирования,
разработки, установки и настройки программно-аппаратного
обеспечения АИС.
Внесение эксплуатационных уязвимостей
случается при неправильной настройке
и использовании программно-аппаратного
обеспечения АИС. В отличие от технологических
устранение эксплуатационных уязвимостей
требует меньших усилий, поскольку для
этого достаточно изменить конфигурацию
АИС. Характерными примерами уязвимостей
этого типа являются:
- наличие слабых, не стойких к угадыванию
паролей доступа к ресурсам АИС. При активизации
этой уязвимости нарушитель может получить
несанкционированный доступ к АИС путём
взлома пароля при помощи метода полного
перебора или подбора по словарю;
- наличие в системе незаблокированных
встроенных учётных записей пользователей,
при помощи которых потенциальный нарушитель
может собрать дополнительную информацию,
необходимую для проведения атаки. Примерами
таких учётных записей являются записи:
Guest в операционных системах и Anonymous в FTP-серверах;
- неправильным образом установленные
права доступа пользователей к информационным
ресурсам АИС. В случае если в результате
ошибки администратора пользователи,
работающие с системой, имеют больше прав
доступа, чем это необходимо для выполнения
их функциональных обязанностей, то это
может привести к несанкционированному
использованию дополнительных полномочий
для проведения атак. Например, если пользователи
будут иметь права доступа на чтение содержимого
исходных текстов серверных сценариев,
выполняемых на стороне web-сервера, то
это станет лазейкой для потенциального
нарушителя, позволяющей ему изучить алгоритмы
работы механизмов защиты web-приложений
и найти в них уязвимые места;
- наличие в АИС неиспользуемых, но потенциально
опасных сетевых служб и программных компонентов.
Так, например, б'ольшая часть сетевых
серверных служб, таких как web-серверы
и серверы СУБД, поставляется вместе с
примерами программ, которые демонстрируют
функциональные возможности этих продуктов.
В некоторых случаях эти программы имеют
высокий уровень привилегий в системе
или содержат уязвимости, использование
которых злоумышленником может привести
к нарушению информационной безопасности
системы. Иллюстрациями таких программ
являются образцы CGI-модулей, которые поставляются
вместе с web-приложениями, а также примеры
хранимых процедур в серверах СУБД;
- неправильная конфигурация средств защиты,
приводящая к возможности проведения
сетевых атак. Так, например, ошибки в настройке
межсетевого экрана могут привести к тому,
что злоумышленник сможет передавать
через него пакеты данных.
Информационные
атаки
Уязвимости могут использоваться злоумышленниками
для реализации информационных атак на
ресурсы АИС. Согласно разработанной классификации,
любая атака в общем случае подразделяется
на четыре стадии.
Рекогносцировка. На этом этапе нарушитель осуществляет
сбор данных об объекте атаки, на основе
которых планируются дальнейшие стадии
атаки. Примерами такой информации являются:
тип и версия операционной системы, установленной
на узлах АИС; список пользователей, зарегистрированных
в системе; сведения об используемом прикладном
ПО и др. При этом в качестве объектов атак
могут выступать рабочие станции пользователей,
серверы, а также коммуникационное оборудование
АИС.
1. Вторжение
в АИС. На этом этапе нарушитель получает
несанкционированный доступ к ресурсам
тех узлов АИС, по отношению к которым
совершается атака.
2. Атакующее
воздействие на АИС. Данный этап направлен
на достижение нарушителем тех целей,
ради которых предпринималась атака. Примеры
таких действий: нарушение работоспособности
АИС; кража конфиденциальной информации,
хранимой в системе; удаление или модификация
данных системы и др. При этом атакующий
может также осуществлять действия, направленные
на удаление следов его присутствия в
АИС.
3. Дальнейшее
развитие атаки. На этом этапе выполняются
действия, которые направлены на продолжение
атаки на ресурсы других узлов АИС.
Информационные атаки могут быть классифицированы
как внешние или внутренние. Внешние проводятся
извне АИС, т. е. с тех узлов, которые не
входят в состав системы. Примером внешней
сетевой атаки является вторжение нарушителя
в ЛВС из сети интернет. Внутренние атаки
проводятся изнутри АИС с одного из её
серверов или рабочих станций. В качестве
примера такой атаки можно привести действия
сотрудника компании, направленные на
утечку конфиденциальной информации.
Последствия информационных
атак
Последствия информационных атак можно
рассматривать по-разному . в зависимости
от ситуации. Так, например, одно и то же
последствие атаки для системного администратора
станет лишь искажением системного файла
на сервере, в то время как для руководителя
компании . чревато приостановкой одного
из важнейших бизнес-процессов предприятия.
Последствия информационных атак могут
воздействовать на аппаратное, общесистемное
или прикладное программное обеспечение,
а также на информацию, которая хранится
в АИС. Пример воздействия на аппаратное
обеспечение - несанкционированное изменение
памяти микросхемы BIOS, расположенной на
материнской плате инфицированного компьютера.
В результате такой атаки может быть изменён
пароль доступа к настройкам BIOS или полностью
искажено содержимое памяти BIOS, что приведёт
к блокированию загрузки компьютера. Для
восстановления работоспособности хоста
в этом случае, вполне возможно, потребуется
перепрограммирование памяти BIOS.
Методы и средства
защиты от информационных атак
В настоящее время существует большое
количество организационных и технических
средств, предназначенных для защиты от
информационных атак. Организационные
средства связаны с разработкой и внедрением
на предприятиях нормативно-правовых
документов, определяющих требования
к информационной безопасности АИС. Примерами
таких документов являются политика и
концепция обеспечения информационной
безопасности, должностные инструкции
по работе персонала с АИС и т. д. Технические
же средства защиты АИС реализуются при
помощи соответствующих программных,
аппаратных или программно-аппаратных
комплексов.
На сегодняшний день можно выделить следующие
основные виды технических средств защиты:
- криптографическая защита информации;
- разграничение доступа пользователей
к ресурсам АИС;
- межсетевое экранирование;
- анализ защищённости АИС;
- обнаружение атак;
- антивирусная защита;
- контентный анализ;
- защита от спама.
Средства
криптографической защиты информации (СКЗИ)
представляют собой средства вычислительной
техники, осуществляющие криптографическое
преобразование информации с целью обеспечить
её конфиденциальность и контроль целостности.
Защита информации может осуществляться
в процессе её передачи по каналам связи
или в процессе хранения и обработки на
узлах АИС. Для решения этих задач используются
различные типы СКЗИ, описание которых
приводится ниже.
Средства разграничения
доступа предназначены для защиты от
несанкционированного доступа к информационным
ресурсам системы. Разграничение доступа
реализуется средствами защиты на основе
процедур идентификации, аутентификации
и авторизации пользователей, претендующих
на получение доступа к информационным
ресурсам АИС.
На этапе собственной идентификации пользователь
предоставляет свой идентификатор, в качестве
которого, как правило, используется регистрационное
имя учётной записи пользователя АИС.
Далее проводится проверка, что этот идентификатор
действительно принадлежит пользователю,
претендующему на получение доступа к
информации АИС. Для этого выполняется
процедура аутентификации, в процессе
которой пользователь должен предоставить
аутентификационный параметр, при помощи
которого подтверждается принадлежность
идентификатора пользователю. В качестве
параметров аутентификации могут использоваться
сетевые адреса, пароли, симметричные
секретные ключи, цифровые сертификаты,
биометрические данные (отпечатки пальцев,
голосовая информация) и т. д. Необходимо
отметить, что процедуры идентификации
и аутентификации пользователей в большинстве
случаев проводятся одновременно, т. е.
пользователь сразу предъявляет идентификационные
и аутентификационные параметры доступа.
В случае успешного завершения двух упомянутых
процедур проводится авторизация пользователя,
в процессе которой определяется спектр
информационных ресурсов, с которыми он
может работать, а также операции, которые
могут быть выполнены с этими информационными
ресурсами АИС. Присвоение пользователям
идентификационных и аутентификационных
параметров, а также определение их прав
доступа осуществляется на этапе регистрации
пользователей в АИС.
Межсетевые экраны (МЭ) реализуют методы контроля
за информацией, поступающей в АИС и (или)
выходящей из неё, и обеспечения защиты
АИС при помощи фильтрации информации
на основе критериев, заданных администратором.
Процедура фильтрации включает в себя
анализ заголовков каждого пакета, проходящего
через МЭ, и передачу его дальше по маршруту
следования только в случае, если он удовлетворяет
заданным правилам фильтрации. При помощи
фильтрования МЭ позволяют обеспечить
защиту от сетевых атак путём удаления
из информационного потока тех пакетов
данных, которые представляют потенциальную
опасность для АИС.
Средства анализа
защищённости выделены в представленной
выше классификации в обособленную группу,
поскольку предназначены для выявления
уязвимостей в программно-аппаратном
обеспечении АИС. Системы анализа защищённости
являются превентивным средством защиты,
которое позволяет выявлять уязвимости
при помощи анализа исходных текстов ПО
АИС, анализа исполняемого кода ПО АИС
или анализа настроек программно-аппаратного
обеспечения АИС.
Средства антивирусной
защиты предназначены для обнаружения
и удаления вредоносного ПО, присутствующего
в АИС. К таким вредоносным программам
относятся компьютерные вирусы, а также
ПО типа "троянский конь", spyware и adware.
Средства защиты
от спама обеспечивают выявление и фильтрацию
незапрошенных почтовых сообщений рекламного
характера. В ряде случаев для рассылки
спама применяется вредоносное программное
обеспечение: оно внедряется на хосты
АИС и использует адресные книги, которые
хранятся в почтовых клиентах пользователей.
Наличие спама в АИС может привести к одному
из следующих негативных последствий:
- нарушению работоспособности почтовой
системы вследствие большого потока входящих
сообщений. При этом может быть нарушена
доступность как всего почтового сервера,
так и отдельных почтовых ящиков (они будут
переполнены). В результате пользователи
АИС не смогут отправлять или получать
сообщения при помощи почтовой системы
организации;
- реализации так называемых phishing-атак,
в результате которых пользователю присылается
почтовое сообщение от чужого имени с
предложением выполнить определённые
действия. В таком сообщении пользователя
могут попросить запустить определённую
программу, ввести своё регистрационное
имя и пароль или выполнить какие-либо
другие действия, которые способны помочь
злоумышленнику успешно провести атаку
на информационные ресурсы АИС. Примером
атаки этого типа является посылка пользователю
сообщения от имени известного банка,
в котором содержится запрос о необходимости
смены пароля доступа к ресурсам web-сайта
банка. В случае если пользователь обратится
по интернет-адресу, указанному в таком
почтовом сообщении, то он будет перенаправлен
на сайт злоумышленника, представляющий
собой копию реального сайта банка. В результате
такой атаки вся парольная информация,
введённая пользователем на ложном сайте,
будет автоматически передана нарушителю;
- снижению производительности труда персонала
из-за необходимости ежедневно просматривать
и вручную удалять спамерские сообщения
из почтовых ящиков.
Средства контентного
анализа предназначены для мониторинга
сетевого трафика с целью выявить нарушения
политики безопасности. В настоящее время
можно выделить два основных вида средств
контентного анализа . аудит почтовых
сообщений и мониторинг интернет-трафика.
Системы аудита почтовых сообщений предполагают
сбор информации об SMTP-сообщениях, циркулирующих
в АИС, и её последующий анализ с целью
выявить несанкционированные почтовые
сообщения, нарушающие требования безопасности,
заданные администратором. Так, например,
системы этого типа позволяют выявлять
и блокировать возможные каналы утечки
конфиденциальной информации через почтовую
систему. Системы мониторинга интернет-трафика
предназначены для контроля доступа пользователей
к ресурсам сети интернет. Средства защиты
данного типа позволяют заблокировать
доступ пользователей к запрещённым интернет-ресурсам,
а также выявить попытку передачи конфиденциальной
информации по протоколу HTTP. Системы мониторинга
устанавливаются таким образом, чтобы
через них проходил весь сетевой трафик,
передаваемый в интернет.
Системы обнаружения
атак представляют собой специализированные
программные или программно-аппаратные
комплексы, задача которых . обнаружить
информационные атаки на ресурсы АИС.
Атаки выявляются при помощи сбора и анализа
данных о событиях, регистрируемых в системе.
Желательно, чтобы подобный комплекс обнаружения
атак включал в себя следующие компоненты:
- модули-датчики (сенсоры), предназначенные
для сбора необходимой информации о функционировании
АИС;
- модуль выявления атак, выполняющий анализ
данных, собранных датчиками, с целью обнаружения
информационных атак;
- модуль реагирования на обнаруженные
атаки;
- модуль хранения данных, в котором содержится
вся конфигурационная информация, а также
результаты работы средств обнаружения
атак;
- модуль управления компонентами средств
обнаружения атак.
Комплексный подход
к информационной безопасности
Обеспечить информационную безопасность
можно только при комплексном подходе.
Комплексный подход к защите от информационных
атак предусматривает согласованное применение
правовых, организационных и программно-технических
мер, перекрывающих в совокупности все
основные каналы реализации вирусных
и прочих угроз. В соответствии с этим
подходом в организации должен быть реализован
следующий комплекс мер:
- выявление и устранение уязвимостей,
на основе которых реализуются угрозы.
Это позволит исключить причины возможного
возникновения информационных атак;
- своевременное обнаружение и блокирование
информационных атак;
- выявление и ликвидацию последствий атак.
Данный класс мер защиты направлен на
то, чтобы свести к минимуму ущерб, нанесённый
в результате реализации угроз безопасности.
Важно понимать, что эффективная реализация
вышеперечисленных мер на предприятии
возможна только при условии наличия нормативно-методического,
технологического и кадрового обеспечения
информационной безопасности.
Нормативно-методическое обеспечение
информационной безопасности предполагает
создание сбалансированной правовой базы
в области защиты от угроз. Для этого в
компании должен быть разработан комплекс
внутренних нормативных документов и
процедур, обеспечивающих процесс эксплуатации
системы информационной безопасности.
Состав таких документов во многом зависит
от размеров самой организации, уровня
сложности АИС, количества объектов защиты
и т. д. Например, для крупных организаций
основополагающим нормативным документом
в области защиты информации должна быть
концепция или политика безопасности.
В рамках кадрового обеспечения информационной
безопасности в компании должно быть организовано
обучение сотрудников противодействию
информационным атакам. В процессе обучения
должны рассматриваться как теоретические,
так и практические аспекты информационной
защиты. При этом программа обучения может
составляться в зависимости от должностных
обязанностей сотрудника, а также с учётом
того, к каким информационным ресурсам
он имеет доступ.
***
В настоящее время успешная работа предприятий,
использующих те или иные информационные
системы, зависит от того, насколько хорошо
они защищены от возможных угроз безопасности.
Это позволяет утверждать, что проблема
защиты информации является сегодня одной
из наиболее злободневных и актуальных.
В данной статье были рассмотрены основные
понятия информационной безопасности,
а также приведено общее функциональное
назначение основных типов средств защиты,
представленных на рынке информационной
безопасности. В последующих статьях планируется
более подробно рассмотреть вопросы, связанные
с проведением аудита безопасности, построением
комплексных систем защиты информации,
а также особенностями применения тех
или иных средств защиты. |