Антиплагиат (1209242), страница 3
Текст из файла (страница 3)
Все организационные и технические меры ЗИ, которыереализуются в рамках СЗИ ИС, должны быть на обеспечениеконфиденциальности, целостности и доступности информации. И дляобеспечения защиты этой информации, проводятся мероприятия:формирование требований к ЗИ ИС;разработка СЗИ ИС;внедрение СЗИ ИС;аттестация ИС по требованиям и ввод ее в действие; 56обеспечение 5 ЗИ в ходе эксплуатации аттестованной 5 ИС;обеспечение ЗИ при выводе из эксплуатации аттестованной 5 ИС илипосле принятия решения об окончании обработки информации. 5Таким образом, исходя из данного приказа, можно сказать, чтозащищенность ИС является важным этапом всего цикла жизни ИС, котораядолжна обеспечиваться на каждом мероприятий начиная от формированиятребований к ЗИ ИС и до самого вывода из эксплуатации ИС.Защищенность информации достигается при помощи системы защиты 14информации ИС, нейтрализующей актуальные угрозы.
14 Сама система защитыинформации объединяет в себе технические и организационные меры,которые определены по актуальным угрозам безопасности информации в ИС.Защищенность ИС обеспечивает оператор ИС, для которого определенконтроль по выполнению требований по защите информации (определениетипа ИС, актуальных угроз, уровня защищенности ИС).После выполнения всех этих требований идет проверка правильнойработы механизмов защиты информации по существующим уязвимостям,угрозам и рискам – анализ защищенности ИС.
Проведение анализазащищенности ИС позволит узнать актуальную информацию поиспользуемым техническим мерам и средствам защиты информации, а такжепо итогам выяснить недостатки и повысить уровень безопасности ИС. Но длятого, чтобы это сделать, необходимо начать с анализа ИС на уязвимости,которые могут привести к различным угрозам.1.2. Уязвимости в информационной системеОсновными показателями защищённости являются уязвимости, то естьсистема будет считаться защищённой в том случае, когда в ней нет известныхуязвимостей.Изучая государственные стандарты, было найдено определениеуязвимости – это свойство информационной системы, обусловливающее 587возможность реализации угроз безопасности обрабатываемой в нейинформации. 58 Таким образом, уязвимость – это основная критерийИС, из-закоторой проводится анализ защищённости.Согласно анализу компании PositiveTechnologiesза 2015 год в 76%исследованных систем найдены уязвимости при эксплуатации коих возможнополучить доступ к системе или даже полный контроль над ней.
Исходя изэтого, любая ИС подвержена опасности, которые могут повлечь за собойнежелательные последствия.Существуют множество классификаций уязвимостей. Но наиболее точнаяи подробная из них указана в ГОСТ Р 56546-2015 “Защита информации.Уязвимости информационных систем. Классификация уязвимостейинформационных систем”, 24 но так как развитие ИС происходит с каждымднем, то соответственно список уязвимостей нужно дополнять постоянно.8Рис 1.2.1. Классификация уязвимостей в ИСКаждая уязвимостьфиксируетсяи систематизируется в банкахуязвимостей, таких как:NVD (National Vulnerability Database)NVD – это наиболее старый англоязычный банк уязвимостей, который9имеет уязвимости с 1988 года и имеет ссылки на CVE.(http://nvd.nist.gov )Рис 1.2.2.
Пример описания уязвимостей (NVD)CVE (Common Vulnerabilities and Exposures)CVE - это список стандартных названий для общеизвестныхуязвимостей. Основное назначение CVE - это согласование различных базданных уязвимостей и инструментов, использующих такие базы данных.( 90 http://cve.mitre.org)Рис 1.2.3. Пример описания уязвимостей (СVE)Банк данных угроз безопасности информации ФСТЭК10Банк данных угроз безопасности информации –это банк данных угрози уязвимостей, регулярно обновляемый и взаимодействующий с другимибанками уязвимостей и имеющий отметку о классе уязвимости.(http://bdu.fstec.ru)На сегодняшний день на сайте представлено более 16000 уязвимостей,а также существует инфографика, которая показывает количествоуязвимостей производителей, распределение уязвимостей по типам ПО,распределение уязвимостей по уровням опасности и распределениеуязвимостей по типам ошибок.Рис 1.2.4. Пример описания уязвимостей (ФСТЭК)Большинство уязвимостей находят эксперты в области тестированияинформационных систем и информационной безопасности либоинструментальные средства.1.3.
Методы поиска уязвимостейЭксперты в области тестирования информационных систем иинформационной безопасности для обеспечения защищённости ИС11пользуются следующими основными методами поиска уязвимостей:1. Ручной поискО том как происходит первое двумя словами не скажешь. Исследователиопираются на свой опыт и, с каждой работой становятся еще опытнее.Полезно знать шаблонные уязвимости, уметь читать 7 дизассемлированныйкод, писать код, для проверки предположений.Существуют ключевые места,присутствие уязвимостей в которых болеевероятно, чем в остальном коде.
К таким местам относится, например вызовнебезопасных функций работы со строками.Но даже если найдено подобное ключевое место, то нет гарантии, чтоудаться произвести на него атаку через внешние данные. Для нахожденияпути, через которые вредоносные данные могут достичь уязвимого местаможет быть использованы методы обратной трассировки. 7Если исследование ключевого места показало, что 1 она подверженоуязвимости, то первым делом следует выяснить, какие данные приводят к еевозникновению. 1 Так же на этом этапе следует получить как можно большийдиапазон таких данных.
Эта информация понадобится на следующем этапе.Далее следует несколько отдалиться от места уязвимости и 1 попытатьсявнедрить уязвимые данные в исследуемом месте (с помощью изменениясодержимого памяти или регистров). Такой эксперимент покажет, есть ливозможность распространить данные из текущего места к уязвимому.У эксперимента может быть два исхода: данные удалось переместить внеобходимый раздел или же нет. Так определяется 1 проходимость раздела.124Рис 1.3.1. Перемещение вредоносных данных по разделам программыДалее движение продолжается итеративно от уязвимого места к функции,принимающей пользовательский ввод, например WSARecv. Если найденанужная цепочка разделов, то это гарантирует, 1 что удастся организовать атаку.Так же ручной поиск проводится при помощи банков угроз и уязвимостей.Исследователь учитывая свой опыт может сделать предположение осуществование уязвимости в том или ином ПО и сверить его с банком угроз иуязвимостей.2.
Поиск по шаблонамПоиск уязвимости по шаблону – автоматизированный метод, основанныйна сравнении некоторых характеристик исследуемого ПО с заранееподготовленными описаниями (сигнатурами) уязвимых мест. Данный методэффективен при поиске несложных уязвимостей и 47 немаскируемых закладок,таких как переполнение буфера, парольные константы и т.д.Поиск уязвимостей по шаблонам проводится статически. При статическом 113анализе исследуется код программы без его запуска.
Код программногообеспечения (в большинстве случаев исходный) сравнивается с сигнатурамииз базы методом побайтового сравнения или по более сложному алгоритму.При обнаружении сходств, сообщается о найденной уязвимости. Иногдасигнатура дополняется некоторым набором эвристических правил.Современные сканеры кода позволяют хорошо стравляются савтоматизацией шаблонного поиска следующих типов уязвимостей:внедрение произвольных команд;SQL-инъекции;XSS- 1 запрсоы (межсайтовый скриптинг);ошибоки входных и выходных значений;уязвимости переполнения буфера.Поиску шаблонов уязвимого кода посвящены множество разработок:PREfast, lint, Parasoft, Coverity, FlawFinder, ITS4, RATS а 1 так же продуктыроссийского производства АК-ВС, и АИСТ-С. Все они поддерживают поискошибок в модулях исходного кода, написанных на одном из поддерживаемыхязыков.Реже статический анализ проводится по исполняемому коду. К примеру,свободно распространяемая утилита FxCop от Microsoft проводит анализобъектного кода сборок .NET.
С помощью анализа кода IL анализируетсясоответствие разработки стандартам кодирования, принятым Microsoft (SDL).3. 1 Чёрный ящик (Blackbox)BlackBox – это поиск уязвимостей и векторов атак методоммоделирования хакерской атаки. Аналитик, не имея никакой информации осистеме, начинает эту информацию собирать.Это, теоретически, может сделать любой пользователь сети интернет. Всборе информации аналитику интересно абсолютно всё: файлы настроек,открытые каталоги, версии программного обеспечения, обновления,14комментарии и т.д.
– всё, что можно достать из открытых источников.И на основе всей собранной информации аналитик начинает искатьуязвимости. Это очень трудоёмкий и долгий процесс, в котором выполняютсяразличные инструментальные и ручные проверки.И в результате мы получаем информацию о том, что же может сделать снашей системой любой пользователь Интернета, обладающий нужнойквалификацией.Регулярные BlackBox-тестирования позволяют держать внешнийпериметр информационной системы в тонусе.Нужно обратить внимание на регулярность! Это действительнонеобходимо, потому что все информационные системы – живые организмы.Софт постоянно обновляется, администраторы постоянно что-то меняют,программисты выкатывают новые версии сайтов. И в дополнение ко всему –постоянно находятся новые уязвимости.4.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
