1.3. Вразливості та методи їх оцінки.
Людський фактор є одним з слабких ланок, тому що піддається емоціям та має багато спокус. Людські джерела загрози відповідно перераховані в таблиці 1.6.[3]:
Таблиця 1.6.
Фактори людських загроз
| Джерело загроз | Мотивація | Можливі наслідки |
| 1. | 2. | 3. |
| Хакер, крекер | Повстання Его Виклик Статус Гроші | Хакерство Соціальна інженерія Вторгнення с систему, порушення Несанкціонований доступ в систему |
| Комп’ютерний злочинець | Порушення інформації Незаконне розкриття інформації Грошово-кредитна вигода Неправомочне чередування да-них | Комп'ютерний злочин Шахрайська дія Інформаційне хабарництво Імітація, вторгнення в систему |
| Терорист | Помста Розвідка Руйнування Шантаж Політичні вигоди Освітлення у пресі | Бомба/Тероризм Інформаційна війна Системна атака (наприклад, розподілѐна відмова в обслуговуванні) Проникнення в систему Втручання в систему |
| Індустріальне шпигунство (компанії, іноземні уряди, інші урядові інтереси) | Конкурентоздатна перевага Економічне шпигунство | Економічна розвідка Інформаційна крадіжка Вторгнення в персональні дані Соціальна розробка Проникнення в систему Несанкціонований доступ в систему (доступ до секретної, приватної, і/або пов'язаній з технологією інформації) |
| Продовження таблиці 1.6. | ||
| 1. | 2. | 3. |
| Інсайдер (погано навчені, розсерджені, зловмисні, недбалі, нечесні або звільнені службовці) | Розвідка Его Цікавість Грошово-кредитна вигода Помста Ненавмисні помилки і упущення (наприклад, помилка введення даних, помилка програмування) | Напад на службовця Шантаж Перегляд секрету фірми Неправильне комп'ютерне поводження Шахрайство і крадіжка Інформаційне хабарництво Введення фальсифікованих даних, руйнування даних Перехоплення Шкідливий код (наприклад, вірус, логічна бомба, троян-ський кінь) Продаж персональної інформації Системні помилки Вторгнення в систему Системний саботаж Несанкціонований доступ в систему |
1.4. Методи для оцінки уразливості
У комп'ютерній безпеці, уразливість (англ. system vulnerability) — нездатність системи протистояти реалізації певної загрози або сукупності загроз [4]. Тобто, це певні недоліки в комп'ютерній системі, завдяки яким можна навмисно порушити її цілісність і викликати невірну роботу.
Уразливість може виникати в результаті допущених помилок програмування, недоліків, допущених при проектуванні системи, ненадійних паролів, вірусів та інших шкідливих програм, скриптових і SQL-ін'єкцій. Деякі уразливості відомі тільки теоретично, інші ж активно використовуються і мають відомі експлойти.
Наведемо приклади вразливості в різних областях безпеки включаючи приклади загроз, які могли б експлуатувати цю уразливість. Перелік може забезпечити довідку під час оцінки загроз і уразливості, визначити відповідні інцидентні сценарії (табл.1.7.). В деяких випадках інші загрози можуть експлуатувати також цю уразливість [3].
Таблиця 1.7.
Приклади вразливості та загроз
| Тип | Приклад вразливості | Приклади загроз |
| 1. | 2. | 3. |
| Апаратні засоби | Недостатнє обслуговування / дефектна інсталяція з носіїв даних | Пролом в ремонтопридатності інформаційної системи |
| Вади схем для періодичних замін | Руйнування устаткування або носіїв | |
| Сприйнятливість до вологості, пилу, забрудненню | Пил, корозія, обмерзання | |
| Чутливість до електромагнітної радіації | Електромагнітна радіація | |
| Вади ефективного контролю внесення змін конфігурації | Помилка у використанні | |
| Сприйнятливість до змін напруги | Втрата джерела живлення | |
| Сприйнятливість до температурних змін | Метеорологічне явище | |
| Апаратні засоби | Незахищіне зберігання | Крадіжка носіїв або документів |
| Недолік в обережності при знищенні | Крадіжка носіїв або документів | |
| Неконтрольоване копіювання | Крадіжка носіїв або документів | |
| Програмне забезпечення | Відсутність або недостатнє програмне тестування | Зловживання правами |
| Відомі недоліки в програмному забезпеченні | Зловживання правами | |
| Немає виходу з системи при залишенні робочої станції | Зловживання правами | |
| Передача або багатократне використання носіїв даних без належного стирання | Зловживання правами | |
| Передача або багатократне використання носіїв даних без належного стирання | Зловживання правами | |
| Мале число ревізій | Зловживання правами | |
| Неправильний розподіл прав доступу | Зловживання правами | |
| Продовження таблиці 1.7. | ||
| 1. | 2. | 3. |
| Програмне забезпечення | Широко розповсюджене програмне забезпечення | Спотворення даних |
| Застосування застосовних програм до фальшивих даних в термінах часу | Спотворення даних | |
| Складний призначений для користувача інтерфейс | Помилка у використанні | |
| Вади в документуванні | Помилка у використанні | |
| Встановлено невірний параметр | Помилка у використанні | |
| Некоректні дати | Помилка у використанні | |
| Широко розповсюджене програмне забезпечення | Спотворення даних | |
| Мережа | Вади ідентифікуючих і розпізнавальних механізмів для призначеної для користувача аутентифікації | Підробка прав |
| Незащищѐнные таблиці паролів | Підробка прав | |
| Поганий менеджмент паролями | Підробка прав | |
| Запущені непотрібні служби | Незаконна обробка даних | |
| Недопрацьоване або нове програмне забезпечення | Програмний збій | |
| Мережа | Неясні або неповні специфікації для розробників | Програмний збій |
| | Вада ефективний контролю внесення зміна | Програмний збій |
| | Неконтрольоване завантаження і використання програмного забезпечення | Підробка програмного забезпечення |
| | Вади в процедурі резервного копіювання | Підробка програмного забезпечення |
| | Вади фізичного захисту будівлі, дверей і вікон | Крадіжка носіїв або документів |
| | Відмова менеджменту від перевірки звітів | Несанкціоноване використання устаткування |
| | Нестача доказу посилки або отримання повідомлення | Заперечення дій |
| Продовження таблиці 1.7. | ||
| 1. | 2. | 3. |
| | Незахищена лінія зв'язку | Підслуховування |
| | Незахищений чутливий трафік | Підслуховування |
| | Погана спільна проводка | Відмова телекомунікаційного устаткування |
| | Єдина точка відмови | Відмова телекомунікаційного устаткування |
| | Вади ідентифікації і аутентифікація відправника і одержувача | Підробка прав |
| | Небезпечна мережева архітектура | Віддалене шпигунство |
| | Передача паролів у відкритому виді | Віддалене шпигунство |
| | Неадекватний менеджмент мережею (здатність системи протистояти помилкам маршрутизації) | Насиченість інформаційної системи |
| | Незащищѐнные підключення загальнодоступної мережі | Несанкціоноване використання устаткування |
| Персонал | Відсутність персоналу | Порушення доступності персоналу |
| Неадекватні процедури вербування | Знищення устаткування або носіїв недостатнє навчання безпеки | |
| Помилка у використанні неправильне використання програмного забезпечення | Помилка у використанні | |
| Персонал | Вади розуміння безпеки | Помилка у використанні |
| Нестача механізмів моніторингу | Незаконна обробка даних | |
| Неконтрольована робота зовнішнім штатом або персоналом що прибирає | Крадіжка носіїв або документів | |
| Вада політики для вірного використання носіїв передачі даних і обміну повідомлень | Несанкціоноване використання устаткування | |
| Сайт організації | Неадекватне і недбале використання фізичного контролю доступу до будівлі і приміщень | Знищення устаткування або носіїв інформації |
| Продовження таблиці 1.7. | ||
| 1. | 2. | 3. |
| Сайт організації | Місце розташування в області, сприйнятливій до затоплення | Нестабільна потужність мережі |
| Повінь | Втрата джерела живлення | |
| Нестача фізичного захисту створення, дверей і вікон | Крадіжка устаткування | |
| Вади формальної процедури для призначений для користувача реєстрації і де-регистрації | Зловживання правом | |
| Вади формального процесу для перегляду права доступу (диспетчерський менеджмент) | Зловживання правом | |
| Дефіцит або недостатні умови (відносно безпеки) в контрактах з клієнтами і/або третіми особами м | Зловживання право | |
| Вади в процедурі для контролю над засобами обробки інформації ом | Зловживання прав | |
| Вади регулярних ревізій (диспетчерський менеджмент) | Зловживання правом | |
| Нестача процедур виявлення ризику і оцінки | Зловживання правом | |
| Недостатність інформації в записі звітів про несправність ужурналі адміністратору і користувача | Зловживання правом | |
| Неадекватна відповідь обслуговуючого сервісу | Порушення ремонтопридатності інформаційної системи | |
| Вади або недостатня угода сервісного обслуговування | Порушення ремонтопридатності інформаційної системи | |
| Вади процедури контролю внесення змін | Порушення ремонтопридатності інформаційної системи | |
| Вади формальної процедури для менеджменту документацією СМІБ | Спотворення даних | |
| Вади формальних процедур записів для СМИБ, які робить диспетчерський менеджмент | Спотворення даних | |
| Вада формального дозволу для процесу загального доступу | Інформація даних з ненадійного джерела | |
| Продовження таблиці 1.7. | ||
| 1. | 2. | 3. |
| | Вада належний розподіл обов'язок інформаційний безпека | Заперечення дій |
| | Вади планів безперервності | Відмова устаткування |
| | Вади політики використання поштової скриньки | Помилка у використанні |
| | Нестача процедур для того, щоб ввести програмне забезпечення в експлуатовані системи | Помилка у використанні |
| | Нестача звітів у файлах реєстрації адміністратора і оператора анні | Помилка у використ |
| | Нестача процедур для обробки секретних даних | Помилка у використанні |
| | Вади обов'язків інформаційної безпеки в описах завдань | Помилка у використанні |
| | Вади або недостатні умови (відносно інформаційній безпеки) в контрактах із службовцями | Незаконна обробка даних |
| | Нестача визначеного дисциплінарного процесу у разі інформаційного інциденту безпеки | Крадіжка устаткування |
| | Нестача формальної політики по використанню мобільної комп'ютерної техніки | Крадіжка устаткування |
| | Нестача менеджменту активів дистанційного резервування | Крадіжка устаткування |
| | Нестача або недостатня політика "чистого столу і чистого екрану" | Крадіжка носіїв або документів |
| | Нестача санкцій на засоби обробки інформації | Крадіжка носіїв або документів |
| | Нестача встановлених контрольних механізмів у разі порушень правил безпеки | Крадіжка носіїв або документів |
| | Нестача регулярних переглядів / контролей | Несанкціоноване використання устаткування |
| | Нестача процедури для того, щоб повідомити про уразливість безпеки | Несанкціонований використання устаткування |
Зазвичай уразливість дозволяє атакуючому «обдурити» додаток — змусити його вчинити дію, на яку у нього не повинно бути прав. Це робиться шляхом впровадження будь-яким чином в програму даних або коду в такі місця, що програма сприймала їх як «свої». Деякі уразливості з'являються через недостатню перевірку даних, що вводяться користувачем і дозволяють вставити в інтерпретований код довільні команди (SQL-ін'єкція, XSS). Інші уразливості з'являються через більш складні проблеми, такі як запис даних в буфер без перевірки його меж (переповнення буфера) [5].
Отже, основними причинамивразливостей є:
Складність: великі, складні системи збільшують ймовірність дефектів і ненавмисних точок доступу [5].
Відомість: використання загального, відомого коду, програмного забезпечення, операційних систем та/або обладнання збільшує ймовірність того, що зловмисник може знайти інформацію та інструменти, щоб використати недолік [6].
Зв'язок: фізичні з'єднання, привілеї, порти, протоколи, служби та час, який вони є доступними, збільшує вразливість.
Недостатній контроль паролів: користувач використовує слабкі паролі, які можуть бути виявлені за допомогою грубої сили; користувач комп'ютера зберігає пароль на комп'ютері, на якому програма може отримати до нього доступ; користувач повторно використовує паролі між багатьма програмами і веб-сайтами [5].
Фундаментальні недоліки дизайну операційної системи: дизайнер операційної системи вибирає для забезпечення роботи неоптимальні політики управління «користувач — програма». Наприклад, операційні системи з політикою щодо дозвілу на отримання повного доступу до всього комп'ютера для будь якої програми чи користувача. Ці недоліки операційної системи дозволяють вірусам і шкідливим програмам виконувати команди від імені адміністратора [6].
Перегляд веб-сайту: Деякі сайти можуть містити шкідливі шпигунські або рекламні програми, які можуть бути автоматично встановлені на комп'ютерних системах. Після відвідування цих сайтів, комп'ютерні системи можуть заразитися і особиста інформація буде збиратися і передаватися до сторонніх осіб [7].
Помилки програмного забезпечення: Програміст залишає помилку в програмі, яка може дозволити зловмиснику зловживати программою [5].
Необмежений вхід користувача: Програма припускає, що все, що вводить користувач безпечно. Програми, які не перевіряють введення користувача, можуть дозволити ненавмисне безпосереднє виконання команд або операторів SQL (відомих як переповнення буфера, ін'єкції SQL та інші неперевірені входи) [5].
1.5 Технічні методи оцінки вразливості
Щоб ідентифікувати уразливості залежно від критичності інформації і інформаційно-комунікаційних технологій (ICT) можуть використовуватися превентивні методи, такі як тестування інформаційної системи, системних і доступних ресурсів (наприклад, розподіленні фонди, доступні технології, проведення тесту людей-експертів). Випробувальні методи включають [3]:
- автоматизований інструмент сканування вразливостей;
- тестування безпеки і оцінку;
- тестування проникнення;
- перегляд коду.
Щоб проглянути групу головних комп'ютерів або мережу на предмет відомих вразливих служб (наприклад, систему, що дозволяє анонімний протокол передачі файлів (FTP), передачу sendmail), використовується автоматизований інструмент сканування вразливості. Проте треба відмітити, що частина потенційних вразливостей, ідентифікованих автоматизованим інструментом сканування, представляє реальну уразливість в контексті системного середовища[3].
Тестування безпеки і оцінка є іншою методикою, яка може використовуватися в ідентифікації уразливості системи ICT під час процесу оцінки ризику. Це включає розробку і виконання плану випробувань (наприклад, випробувальний скрипт, випробувальні процедури і очікувані результати випробувань). Мета системного тестування безпеки полягає в тому, щоб перевірити ефективність контролей безпеки системи ICT, оскільки вони були застосовані в експлуатованому середовищі. Мета полягає в тому, щоб гарантувати, що менеджмент використовує схвалену специфікацію безпеки для прикладного програмного забезпечення і устаткування і здійснюють політику безпеки організації або використовує галузеві стандарти [3].
Може використовуватися тестування проникнення, щоб доповнити перегляд контролей безпеки і гарантувати, що забезпечені різні аспекти системи ICT. Коли застосовується тестування проникнення в процесі оцінки ризику, результати цього можуть використовуватися, щоб оцінити здатність системи ICT протистояти навмисним спробам обійти системну безпеку. Мета полягає в тому, щоб перевірити систему ICT з точки зору джерела загрози і ідентифікувати потенційні відмови в схемах системні захисту IC. [3].
Перегляд коду є найповнішим (але також і найдорожчим) в дорозі оцінки уразливості [3].
Результати цих типів тестування безпеки допоможуть ідентифікувати уразливості системи [3].
Важливо відмітити, що інструментальні засоби проникнення і методики можуть дати неправдиві результати, якщо не успішно експлуатується уразливість. Щоб експлуатувати специфічну уразливість, треба знати точну систему / додаток / і встановлені виправлення на перевіреній системі. Якщо ці дані не відомі під час тестування, то це не може бути можливим для успішної експлуатації специфічної уразливості (наприклад, отримуючи remote reverse shell12); проте, це все ж можливо, щоб зруйнувати або перезапустити процес, що перевіряється або систему. У такому разі перевірений об'єкт треба також вважати уразливим. Методи можуть включати наступні дії [3]:
- інтерв'ювання у людей і користувачів;
- анкетні опитування;
- фізичне обстеження;
- аналіз документу.
1.6. Оцінка інформаційних ризиків
Порушення основних властивостей інформації може стати серйозною загрозою для організацій в даний час. Інформацію важче контролювати і вона піддається зростаючому числу загроз і вразливостей, в тому числі комп'ютерного шахрайства, шпигунству, саботажу, вандалізму, пожежі або повені. Інформаційні ресурси, як і матеріальні, володіють якістю та кількістю, мають собівартість і ціну. Оцінка ризиків є важливою частиною будь-якого процесу інформаційної безпеки. Її використовують для визначення масштабу загроз безпеці інформації та ймовірності реалізації загрози [8].
Процес оцінки ризику оцінює ймовірність і потенційний збиток від виявлених загроз, заходи індивідуального рівня ризику кожного інформаційного активу і як вони ставляться до конфіденційності, цілісності та доступності. Потім вимірюється ефективність існуючих заходів. Результати допомагають організації визначити, які активи є найбільш критичними, служать основою для визначення пріоритетів і рекомендують курс дій для захисту активів [8].
Оцінка вважається досягнутою якщо використовуються рекомендації за оцінкою інформації, які покривають такі проблеми як [3]:
- персональна безпека;
- персональна інформація;
- юридичні і регулюючі зобов'язання;
- приведення законів в життя;
- реклама і економічні інтереси;
- дії фінансових втрат/руйнувань;
- громадський порядок;
- політика бізнесу і експлуатації;
- втрата доброзичливості;
- контракт або угода з клієнтом.
Значення активу, загрози і рівня уразливості, наслідки, що відносяться до кожного типу, погоджені в матриці, ідентифікуючи для кожної комбінації відповідну міру ризику в масштабі від 0 до 8. Значення поміщені в матрицю структурним способом (рис. 1.4) [9].
| | Ймовірність виникнення загрози | Низька (Н) | Середня (С) | Висока (В) | |||||||
| Послаблення в експлуатації | Н | С | В | Н | С | В | Н | С | В | ||
| Значення активу | 0 | 0 | 1 | 2 | 1 | 2 | 3 | 2 | 3 | 4 | |
| 1 | 1 | 2 | 3 | 2 | 3 | 4 | 3 | 4 | 5 | ||
| 2 | 2 | 3 | 4 | 3 | 4 | 5 | 4 | 5 | 6 | ||
| 3 | 3 | 4 | 5 | 4 | 5 | 6 | 5 | 6 | 7 | ||
| 4 | 4 | 5 | 6 | 5 | 6 | 7 | 6 | 7 | 8 | ||
Рис. 1.4. Приклад міри ризику в масштабі від 0 до 8.
Надамо методику оцінки ризиків для активів організації.
Для кожного активу розглядають відповідну уразливість і їх відповідну загрозу. Якщо є уразливість без відповідної загрози або загрози без відповідної уразливості, то немає тепер ніякого ризику (але треба передбачити, що ця ситуація змінюється). Тепер відповідний рядок в матриці ідентифікований значенням активу, і відповідний стовпець ідентифікований вірогідністю появи загрози і вірогідністю експлуатації. Наприклад, якщо у активу є значення 3, загроза"висока" і уразливість "низька", міра ризику 5. Припустіть, що у активу є значення 2, наприклад, для модифікації, рівень загрози "низьких" і вірогідність експлуатації "висока", тоді міра ризику 4. Розмір матриці, в термінах числа категорій вірогідності загрози, вірогідність категорій експлуатації і числа категорій оцінки активу може бути відкоригована до потреб організації. Додаткові стовпці і рядки вимагають додаткових заходів по ризику. Значення цього підходу знаходиться в ранжируванні ризиків, які використовуватимуться [3,9].
Подібна Матриця (табл.1.8.) виходить з розгляду вірогідності інцидентного сценарію, який відображений проти передбачуваної дії на бізнес. Вірогідність інцидентного сценарію дана загрозою, що експлуатує уразливість з визначеною вірогідністю. Таблиця відображає цю вірогідність проти дії на бізнес, пов'язаної з інцидентним сценарієм. Ризик, що виходить, виміряний в масштабі від 0 до 8, який може бути оцінений проти визначених критеріїв ризику. Цей масштаб ризику міг також бути відображений в простій оцінці абсолютного ризику, наприклад як [10]:
- Низький ризик: 0-2
- Середній ризик: 3-5
- Високий ризик: 6-8
Матриця або таблиця (табл. 1.9) можуть використовуватися, щоб зв'язати коефіцієнти наслідків (значення активу) і вірогідність здійснення загрози (уразливості, що бере до уваги аспекти) [11,3].
Таблиця 1.8 [3].
Таблиця ймовірності проти дії впливу пов’язаного з інцидентним сценарієм
| | Ймовірність інцидентного сценарію | Дуже низька | Низька | Середня | Висока | Дуже висока |
| Вплив | Дуже низько | 0 | 1 | 2 | 3 4 5 | 4 5 |
| Низько | 1 | 2 | 3 | |||
| Середнє | 2 | 3 | 4 | 6 7 | ||
| Високо | 3 | 4 | 5 | 6 | ||
| Дуже високо | 4 | 5 | 6 | 7 | 8 |
Перший крок повинен оцінити наслідки (значення активу) в визначеному масштабі, наприклад 1 - 5, кожного активу, якому погрожують (стовпець ―b в таблиці 1.9) [11,3].
Таблиця 1.9.
Зв'язок коефіцієнту наслідків з вірогідністю здійснення загрози
| Дескриптор небезпек | Наслідки (активи) Цінність (b) | Ймовірність розповсюдження загроз (c) | Міра ризику (d) | Ранжирування небезпеки (e) |
| Загроза A | 5 | 2 | 10 | 2 |
| Загроза B | 2 | 4 | 8 | 3 |
| Загроза C | 3 | 5 | 15 | 1 |
| Загроза D | 1 | 3 | 3 | 5 |
| Загроза E | 4 | 1 | 4 | 4 |
| Загроза F | 2 | 4 | 8 | 3 |
Другий крок повинен оцінити вірогідність входження загрози в визначеному масштабі, наприклад 1 - 5, кожної загрози (стовпець ―c в таблиці 1.9).
Третій крок повинен вичислити міру ризику, множенням (b x c). Нарешті загрози можуть бути ранжирувані в порядку що пов'язаний з мірою ризику. Треба відмітити, що в даному прикладі, 1 узята як найнижчий наслідок і найнижча вірогідність здійсненням загрози [11,3].
1.7. Висновки по розділу.
В розділі було надано аналіз та визначення області застосування і межі процесів менеджменту ризиків. Це дозволить створити ефективне функціонування системи менеджменту інформаційної безпеки. Для здійснення комплексу дій, спрямованих на управління СМІБ шляхом уніфікації було надано список обмежень, що зачіпають організацію і визначають орієнтацію її ІБ.
Згідно з темою роботи було ретельно проаналізовано ідентифікацію та оцінку цінності активів. Розглянуто два види активів, надано їх зміст та області застосування. В кінцевому аналізі було визначено, оцінені або призначені значення на актив для визначення ресурсів, які будуть витрачені для захисту активу.
Для оцінки можливих наслідків було визначено критерії оцінки за їх класифікацією.
Інцидент ІБ може впливати на більш ніж один актив, тому на основі системного аналізу було надано визначення впливу та наведені його типи.
Щоб зменшити інциденти впливу було розглянуто технічні методи оцінки вразливості серед яких випробувальний метод, метод перегляду коду, розглядається в атестаційній роботі.
Оцінка ризиків є важливою частиною будь-якого процесу ІБ. ЇЇ використовують для визначення масштабу загроз безпеки інформації та ймовірності реалізації загрози. Процес оцінки ризику оцінює ймовірність і потенційний збиток від виявлених загроз, заходи індивідуального рівня ризику кожного інформаційного активу і як вони ставляться до конфіденційності, цілісності та доступності. Потім вимірюється ефективність існуючих заходів. Результати допомагають організації визначити, які активи є найбільш критичними, служать основою для визначення пріоритетів і рекомендують курс дій для захисту активів.
1 2 3 4 5 6 7 8 9