Пояснительная записка. Никифоров В.Н., 24Б. (1205536), страница 2
Текст из файла (страница 2)
Выборочная и бессистемная реализация мероприятий, направленных на повышение уровня IT-безопасности, не сможет обеспечить необходимого уровня защиты. Чтобы сформировать понимание приоритетности мероприятий по повышению уровня безопасности, необходимо разработать механизм управления IT-безопасности, что позволит направить все усилия на защиту от наиболее опасных угроз и минимизацию затрат.
Проблема современных информационных систем при ведении бизнеса является обеспечение соответствующей безопасности передаваемой информации в пределах компьютерной системы от подмены, изменения или утраты, как между сотрудниками, так и между средствами обработки. В случае предприятия – это как конфиденциальная, персональная и коммерческая тайна.
1.1 Инциденты информационной безопасности
В настоящие время возрастает количество инцидентов, связанных с информационной безопасностью и нарушением ее требований. Инцидент информационной безопасности (information security incident): Появление одного или нескольких нежелательных, или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ. Инциденты ИБ могут быть преднамеренными или случайными (например, являться следствием какой-либо человеческой ошибки или природных явлений) и вызваны как техническими, так и нетехническими средствами. Их последствиями могут быть такие события, как несанкционированные раскрытие или изменение информации, ее уничтожение или другие события, которые делают ее недоступной, а также нанесение ущерба активам организации или их хищение. Наиболее характерными инцидентами информационной безопасности являются такие, как отказ в обслуживании, сбор информации, несанкционированный доступ.
Отказ в обслуживании
Отказ в обслуживании является обширной категорией инцидентов ИБ, имеющих одну общую черту. Подобные инциденты ИБ приводят к неспособности систем, сервисов или сетей продолжать функционирование с прежней производительностью, чаще всего при полном отказе в доступе авторизованным пользователям. Некоторыми типичными примерами таких преднамеренных технических инцидентов ИБ "отказ в обслуживании" являются:
– зондирование сетевых широковещательных адресов с целью полного заполнения полосы пропускания сети трафиком ответных сообщений;
– передача данных в непредусмотренном формате в систему, сервис или сеть в попытке разрушить или нарушить их нормальную работу;
– одновременное открытие нескольких сеансов с конкретной системой, сервисом или сетью в попытке исчерпать их ресурсы (то есть замедление их работы, блокирование или разрушение).
Одни технические инциденты ИБ "отказ в обслуживании" могут возникать случайно, например, в результате ошибки в конфигурации, допущенной оператором, или из-за несовместимости прикладного программного обеспечения, а другие преднамеренными. Одни технические инциденты ИБ "отказ в обслуживании" инициируются намеренно с целью разрушения системы, сервиса и снижения производительности сети, тогда как другие всего лишь побочными продуктами иной вредоносной деятельности. Например, некоторые наиболее распространенные методы скрытого сканирования и идентификации могут приводить к полному разрушению старых или ошибочно сконфигурированных систем или сервисов при их сканировании. Следует заметить, что многие преднамеренные технические инциденты типа "отказ в обслуживании" часто инициируются анонимно (то есть источник атаки неизвестен), поскольку злоумышленник обычно не получает информации об атакуемой сети или системе.
Сбор информации
В общих чертах инциденты ИБ "сбор информации" подразумевают действия, связанные с определением потенциальных целей атаки и получением представления о сервисах, работающих на идентифицированных целях атаки. Подобные инциденты ИБ предполагают проведение разведки с целью определения:
– наличия цели, получения представления об окружающей ее сетевой топологии и о том, с кем обычно эта цель связана обменом информации;
– потенциальных уязвимостей цели или непосредственно окружающей ее сетевой среды, которые можно использовать для атаки.
Типичными примерами атак, направленных на сбор информации техническими средствами, являются:
– сбрасывание записей DNS (системы доменных имен) для целевого домена Интернета (передача зоны DNS);
– отправка тестовых запросов по случайным сетевым адресам с целью найти работающие системы;
– зондирование системы с целью идентификации (например, по контрольной сумме файлов) операционной системы хоста;
– сканирование доступных сетевых портов на протокол передачи файлов системе с целью идентификации соответствующих сервисов (например, электронная почта, протокол FTP, сеть и т.д.) и версий программного обеспечения этих сервисов;
– сканирование одного или нескольких сервисов с известными уязвимостями по диапазону сетевых адресов (горизонтальное сканирование).
Несанкционированный доступ
Несанкционированный доступ как тип инцидента включает в себя инциденты, не вошедшие в первые два типа. Главным образом этот тип инцидентов состоит из несанкционированных попыток доступа в систему или неправильного использования системы, сервиса или сети. Некоторые примеры несанкционированного доступа с помощью технических средств включают в себя:
– попытки извлечь файлы с паролями;
– атаки переполнения буфера с целью получения привилегированного (например, на уровне системного администратора) доступа к сети;
– использование уязвимостей протокола для перехвата соединения или ложного направления легитимных сетевых соединений;
– попытки расширить привилегии доступа к ресурсам или информации по сравнению с легитимно имеющимися у пользователя или администратора.
1.2 Исследование информационных утечек
В 2015 году в мире было зарегистрировано 1505 случаев утечки конфиденциальной информации – на 7,8% больше, чем в предыдущем году. Количество «российских» инцидентов по сравнению с 2014 г. сократилось на 28%, однако Россия по-прежнему занимает второе место по числу утечек. Наиболее частыми причинами утечек в 2015 г. названы неосторожность персонала и внешние кибератаки. Аналитики отмечают, что доля утечек вследствие внешних атак выросла на семь п.п. по сравнению с аналогичным показателем 2014 г. и составила 32,2%. Этот довольно ощутимый рост, вызван недостаточностью мер защиты, используемых компаниями. Если говорить об общем числе инцидентов, то наиболее уязвимой сферой оказались транспортные компании в 2015г. пришлось 20,2% всех утечек. Однако по объему скомпрометированных записей, первенства безраздельно принадлежит компаниям высокотехнологичного сегмента крупным интернет-сервисам, торговым онлайн-площадкам и пр. На их долю приходится почти треть (29,2%) от всего объема скомпрометированных данных.
Количественный рост утечек информации в 2015 году представлен на рисунке 1.2.1.
Рисунок 1.2.1 – Число зарегистрированных утечек информации, 2007–2015 гг
В 2015 году в 51,2% случаев виновниками утечек информации были настоящие или бывшие сотрудники – 48,9% и 2,3% соответственно (доля сотрудников снизилась на 4 п. п. к данным 2014 года, доля бывших сотрудников выросла на 1,4 п. п.). Более чем в один процент случаев зафиксирована вина руководителей организаций. Доля утечек, случившихся на стороне подрядчиков, чей персонал имел легитимный доступ к охраняемой информации, выросла на три процента, составив семь процентов.
Распределение утечек по источнику (виновнику) 2015 год, смотри рисунок 1.2.2.
Рисунок 1.2.2 – Распределение утечек по источнику (виновнику), 2015 год
Доля утечек персональных и платежных данных в распределении утечек по типу информации осталась на уровне прежних лет, составив 90,8%. Незначительно (менее одного п. п.) подросли утечки информации, составляющей государственную тайну.
Распределение утечек по типу данных 2015 год, смотри рисунок 1.2.3.
Рисунок 1.2.3 – Распределение утечек по типу данных, 2015 год
Самые заметные инциденты 2015 года связаны с неправомерной деятельностью хакеров, проникновением в инфраструктуру компаний, извлечением агрегированной информации о сотрудниках и клиентах. Растет «квалификация» внутреннего нарушителя, который отказывается от использования электронной почты, сервисов мгновенных сообщений, съемных носителей. «Продвинутый» нарушитель осведомлен, что современные средства контроля позволяют успешно перехватывать передачу конфиденциальной информации по перечисленным каналам, и не рискует понапрасну. Его выбор – закрытые, неконтролируемые каналы, на которых средства защиты данных по тем или иным причинам не работают либо неэффективны. Следует уже сейчас серьезно задуматься о смене подходов к защите информации. Применение методов поведенческого анализа в сочетании с фокусированием на контроле конкретных, наиболее критичных каналах коммуникации, прежде всего сеть, способно дать дополнительный синергетический эффект, повысив в целом уровень защиты данных. Самыми «привлекательными» для злоумышленников и, как следствие, уязвимыми отраслями оказались сегмент высоких технологий, торговля, транспорт. Наибольший объем скомпрометированных данных пришелся на высокотехнологичные компании и организации в сфере образования. Данные торговых, транспортных, высокотехнологичных компаний чаще всего атакуют извне. Тема утечек данных становится все более прозрачной, и это нельзя не приветствовать. Сейчас можем говорить не только о самих утечках, типах данных, особенностях каналов, но и об оценке объектов защиты, скомпрометированных в результате инцидентов, о реальных финансовых потерях конкретных компаний вследствие утечек тех или иных типов данных.
Таким образом, несмотря на огромное количество антивирусов, экранов и других активных средств защиты информации, нет единой картины происходящего в инфраструктуре. Все элементы защиты по отдельности настроены и работают, но между ними нет единого связующего звена, которое бы позволило эффективно использовать комплекс средств защиты, максимально быстро выявлять инциденты и учиться действовать проактивно.
1.3 Выявление проактивной защиты
Проактивная защита – это средство противодействия еще не внесенным в базы вредоносным программам. Механизм действия Проактивной Защиты опирается на анализ последовательности действий, выполняемых приложениями и процессами. По каждому выполняемому действию, на основе разрешающих и запрещающих правил, принимается решение о том, является ли действие приложения опасным. Опасные действия в соответствии с настройками Проактивной защиты могут быть заблокированы или предоставлены на рассмотрение IT специалисту. Введя новый термин (проактивные технологии), разработчики хотели подчеркнуть, что теперь ситуация изменилась и право первого хода перешло к антивирусным экспертам. Другими словами, проактивный подход противопоставляется классическому сигнатурному сканированию. При этом каждый поставщик имеет собственное понятие о проактивности и зачастую вкладывает в него совершенно оригинальный смысл. Рассмотрим подробнее антивирусные технологии, которые сегодня позиционируются как проактивные.
Эвристический анализатор
Слово "эвристика" происходит от греческого глагола "находить". Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок. Когда количество вирусов превысило несколько сотен, антивирусные эксперты задумались над идеей детектирования вредоносных программ, о существовании которых антивирусная программа еще не знает – нет соответствующих сигнатур. В результате были созданы так называемые эвристические анализаторы. Эвристическим анализатором называется набор подпрограмм, которые анализируют код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов для обнаружения в нем разных типов вредоносных компьютерных программ, не определяемых обычными (сигнатурными) методами. Другими словами – эвристические анализаторы предназначены для поиска неизвестного вредоносного ПО. Уровень детектирования у эвристических анализаторов не очень высок, так как существуют десятки различных методов их «обмана», которыми пользуются авторы вирусов. Кроме этого, для эвристических анализаторов с высоким уровнем обнаружения характерен высокий уровень ложных срабатываний, что делает их использование неприемлемым. Даже у самых лучших антивирусов уровень обнаружения новых вредоносных программ не превышает 25–30%. Несмотря на невысокий уровень обнаружения, эвристические методы остаются востребованными в современных антивирусах. Причина проста – комбинация различных методов превентивного обнаружения приводит к повышению качества обнаружения.
Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Постфактум такое предположение оправдывается наличием в антивирусных базах сигнатур для определения не одного, а сразу нескольких вирусов. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов. Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры. Отрицательные стороны:
Вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист – такие события называются ложными срабатываниями
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
