Лекція 2 (повторення) - PDF

Summary

Ця лекція (повторення) стосується інцидентів у сфері високих технологій, намагаючись обґрунтувати поняття інцидентів, подій, що представляють загрозу безпеці інформаційно-комунікаційних систем. Лекція описує різні типи інцидентів, зокрема конфіденційності, цілісності та доступності.

Full Transcript

http://sites.google.com/site/cabinetvps
Лекція 2.
(повторення)

Під інцидентами у сфері високих технологій розумітимемо події, що по-
лягатимуть в реалізації певної загрози та порушенні встановленого рівня
безпеки інформаційно-комунікаційних систем.

1. Інциденти, що мають на меті завдати шкоди конфіденційності, ціліс-
ності й доступності комп’ютерних даних та систем і реалізуються через:
несанкціонований доступ в інформаційне середовище;
втручання в дані;
втручання в роботу системи;
незаконне перехоплення;
незаконне використання комп’ютерного й телекомунікаційного облад-
нання.
2. Шахрайство та підробка, пов’язані з використанням комп’ютерів, а
саме:
підробка документів із застосуванням комп’ютерних засобів ;
шахрайство із застосуванням комп’ютерних
3. Інциденти, пов’язані з розміщенням у мережах протиправної інформа-
ції.
4. Інциденти щодо авторських і суміжних прав.
Згідно зі сказаним узагальнена модель системи управління інцидентами
ІБ набирає вигляду:

де INC — управління інцидентами (внутрішніми та зовнішніми); SEC — мета;
CRI — критерії оцінювання стану безпеки; KBS — база знань про внутрішні та
зовнішні інциденти; X — вхідні впливи; Y — реакція на внутрішні та зовнішні
інциденти; S — стан системи; DMF — функція ухвалення (реагування), що
поділяється на два етапи: на першому ухвалюється рішення про включення
елемента ARS до набору TRS, а на другому (згідно з результатом виконан-
ня першого етапу) — рішення про включення елемента ARS до набору IRS;
AGT — множина програмно-реалізованих мобільних інтелектуальних агентів;
ARS — набір ресурсів інформаційної безпеки, які доступні агентам; TRS —
тестовий набір ресурсів інформаційної безпеки; IRS — інцидентно-орієнто-
вані набори ресурсів; MST — стратегія управління інцидентами; T — час;
SYN — самоорганізація.
При цьому під внутрішнім інцидентом розумітимемо такий інцидент,
джерелом якого є порушник, безпосередньо пов’язаний із постраждалою
стороною (рис. 1.14). Серед найпоширеніших системних подій такого типу
можна виокремити витік конфіденційної інформації; неправомірний доступ
до інформації; вилучення інформації; компрометацію інформації; саботаж;
шахрайство за допомогою ІТ; аномальну мережну активність; аномальне
поводження бізнес-додатків; використання активів установи в особистих
цілях або в шахрайських операціях.
Під зовнішнім інцидентом — інцидент, джерелом якого є порушник,
безпосередньо не пов’язаний із постраждалою стороною. До системних подій
такого типу належать шахрайство в системах електронного документообі-
гу; атаки типу «відмова в обслуговуванні» (DoS), у тому числі розподілені
(DDoS); перехоплення й підміна трафіку; неправомірне використання брен-
ду установи в мережі Інтернет; фішинг; розміщення конфіденційної (про-
вокаційної) інформації в мережі Інтернет; злам або спроба зламу мережних
вузлів; сканування порталу установи або мережі, вірусні атаки; неправо-
мірний доступ до конфіденційної інформації; анонімні листи (листи з погро-
зами) тощо.
Інтерпол, має власний ідентифікатор, який починається з літери Q й може бути
використаний для характеристики таких дій:
1) QA— несанкціонований доступ або перехоплення:
QAH— комп’ютерний абордаж;
QAI— перехоплення;
QA1— крадіжка часу;
QAZ— інші види несанкціонованого доступу й перехоплення;

2) QD— зміна комп’ютерних даних:
QDL— логічна бомба;
QDT— троянський кінь;
QDV— комп’ютерний вірус;
QDW— комп’ютерний хробак;
QDZ— інші види зміни даних;
3) QF— комп’ютерне шахрайство (computer fraud):
QFC— шахрайство з банкоматами;
QFF— комп’ютерна підробка;
QFG— шахрайство з ігровими автоматами;
QFM— маніпуляції з програмами вводу/виводу;
QFP— шахрайство з платіжними засобами;
QFT— телефонне шахрайство;
QFZ— інші види комп’ютерного шахрайства;
4) QR— незаконне копіювання («піратство»):
QRG— комп’ютерні ігри;
QRS— інше програмне забезпечення;
QRT— топографія напівпровідникових виробів;
QRZ— інше незаконне копіювання;

5) QS— комп’ютерний саботаж:
QSH— з апаратним забезпеченням;
QSS— із програмним забезпеченням;
QSZ— інші види саботажу;

6) QZ— інші комп’ютерні злочини:
QZB— із використанням комп’ютерних дощок оголошень;
QZE— розкрадання інформації, що становить комерційну таємницю;
QZS— передавання інформації конфіденційного характеру;
QZZ— інші комп’ютерні злочини.
З огляду на неготовність більшості організацій до обробки таких подій,
що потенційно загрожують їхньому бізнесу, а також на ускладненість у від-
новленні нормального функціонування пошкоджених унаслідок атак систем
нагально необхідним стає процес управління інцидентами інформаційної без-
пеки, який включає в себе аналіз рівнів ІБ, оцінювання ефективності заходів
із забезпечення безпеки, упровадження коригувальних, попереджувальних
або інших заходів (рис. 1.15).
До найбільш небезпечних інцидентів належать:
1) пошукова оптимізація (SEO — Search Engine Optimization), яку засто-
совують зловмисники для поширення шкідливих програм
2) експлуатація вразливостей у клієнтському ПЗ, розробленому третьою
стороною, наприклад уразливостей так званої нульової доби, що їх застосо-
вують зловмисники для призупинення виконання певних виробничих про-
цесів. Дедалі частіше з цією метою використовуються вразливості в офісних
програмах (Word, Excel і PowerPoint) і мультимедіа-програвачах (Real Player,
iTunes, QuickTime), а також спеціальні утиліти для перегляду документів
(наприклад, Adobe Reader);
3) цільовий фішинг (Spear Phishing), що його застосовують зловмисники
для того, аби змусити користувача виконати якусь деструктивну дію на кшталт
установлення шкідливого ПЗ на сервері компанії.
4) перехоплення браузера (browser hooking), що його застосовують зловмис-
ники для розміщення на web-сайтах контенту, який містить шкідливі скрипти
(сценарії).
5) масові SQL-ін’єкції, що їх застосовують зловмисники для крадіжки кон-
фіденційних даних з окремих web-додатків і баз даних; зміни вмісту баз даних,
які будуть відображатися на web-сайтах; зміни web-контенту й розміщення на
сайті шкідливих скриптів для атаки на браузери відвідувачів, а також інших
експлойтів, що використовують уразливості ПЗ на боці користувача;
6) атаки на адміністративні web-інтерфейси, що їх застосовують зловмис-
ники для здійснення контролю за певними системами або інфраструктурами
(ERP-системами, системами управління HVAC і електропостачанням тощо)
за рахунок перехоплення браузера або експлуатації вразливостей ПЗ на боці
користувача;
7) атаки на сайти соціальних мереж (Facebook, LinkedIn, Twitter та ін.), що
їх застосовують зловмисники для збору критичної інформації про діяльність
компанії та технології, використовувані її співробітниками; поширення екс-
плойтів і скриптів із метою перехоплення браузера користувача;
8) атаки типу «передача хеша» (pass-the-hash), що їх застосовують зло-
вмисники для одержання доступу в корпоративний домен за рахунок інтегро-
ваних у Windows-системи пакетів для проведення атак (таких, наприклад, як
Metasploit і Nmap). При цьому викрадені хеші використовуються зловмисни-
ками для автентифікації замість паролів;
9) злам устаткування, що за рахунок перехоплення інформації, переданої
по шинах даних (bus sniffing), зламу прошивань, зміни системного часу (clock
glitching) та інших витончених атак на обладнання забезпечує зловмисникам
можливість обійти захисні механізми й одержати ключі шифрування.
Про 20 найбільш критичних заходів, рекомендованих американською IT-
компанією «SANS». Ці заходи за своєю суттю відповідають заходам із захисту
інформації, що в Україні регламентуються системою нормативних документів
із технічного захисту інформації(НД ТЗІ).
Заходи із захисту інформації (мереж і систем) від кіберзагроз характе-
ризує табл. 1.5, з якої випливає, що певні заходи реалізуються через упро-
вадження відповідних функціональних послуг безпеки (ФПБ). Структуру та
семантичне позначення останніх наведено в НД ТЗІ 2.5-005-99. Класифіка-
ція автоматизованих систем і стандартні функціональні профілі захищеності
оброблюваної інформації від несанкціонованого доступу.
Щоб адекватно й швидко реагувати на можливі інциденти у сфері висо-
ких технологій, доцільно застосовувати так звану карту кіберзагроз, що міс-
тить ключові елементи, притаманні будь-якій кібератаці, і дозволяє обрати
раціональні варіанти дій для захисту від неї. Приклад такої карти наведено
в табл. 1.6 на с. 40, яка унаочнює три варіанти атак: 1) викрадення банків-
ських карток та фінансової інформації; 2) АРТ-атака; 3) пошукова оптиміза-
ція (SEO).
Головні передумови успіху при цьому такі:
використання ліцензійного загального і спеціального (наприклад, анти-
вірусного) ПЗ, що постійно (регулярно) оновлюється;
застосування політики паролів, блокування облікових записів, компро-
метації ключів та засобів криптографічного захисту інформації протиборчих
сторін;
«обмеження» прав процесів, ініційованих виконавчими програмами в
системі;
використання можливостей ОС щодо шифрування файлів і папок.
Якщо було зафіксовано порушення кібербезпеки на ОІД, то співробітники
служби безпеки компанії (організації, установи) мають вжити таких заходів
[9; 32]:
1) ідентифікувати інцидент і переконатися, що він насправді відбувався;
2) локалізувати область ІТ-інфраструктури, задіяної в інциденті;
3) обмежити доступ до об’єктів, задіяних в інциденті;
4) повідомити підрозділ інформбезпеки про факт виникнення інциденту;
5) залучити компетентних фахівців для консультування;
6) створити групу з розслідування інциденту, скласти план робіт зі збору
доказів і відновлення систем, а також забезпечити ведення протоколу подій;
7) забезпечити схоронність і належне оформлення доказів, для чого зняти
енергозалежну інформацію із системи, яка працює; зібрати в реальному часі
інформацію про інцидент; відімкнути від мережі живлення;
8) у присутності третьої незалежної сторони вилучити й опечатати носії
інформації з доказовою базою, знявши образи та іншу інформацію для по-
дальшого її аналізу та зберігання. При цьому необхідно:
оформити протоколом всі операції з носіями інформації;
задокументувати процес на фото- або відеокамеру;
подати докладний опис об’єктів, що містять інформацію, даних, які ви-
тягаються, а також місць їх зберігання;
зберегти опечатані об’єкти разом зі складеним протоколом у надійному
місці до передачі носіїв на дослідження;
9) після збереження та оформлення речових доказів відновити роботоздат-
ність ІС;
10) при проведенні дослідження джерел інформації забезпечити незмін-
ність доказів (працювати тільки з копією);
11) у процесі розслідування забезпечити коректну взаємодію із зацікавле-
ними підрозділами та зовнішніми організаціями;
12) закінчивши розслідування, оформити відповідний звіт та скласти ре-
комендації зі зниження ризиків виникнення аналогічних інцидентів у май-
бутньому.
Окрім цього слід своєчасно налаштувати ПЗ АРМ (РСт) та програми міжме-
режного екрана (Firewall) для безпечного доступу до ресурсів мережі Інтернет
і ЛОМ, заборонити копіювання та запуск на виконання невідомих програм або
програм, отриманих із несертифікованих джерел, обмежувати права доступу
користувачів до об’єктів файлової системи та запуску системних програм, ке-
рувати розмежуванням доступу.
Утім чітких правил поводження при атаках кіберзлочинців поки що не
існує. Міжнародна організація зі стандартизації тільки готує новий стан-
дарт ISO 27037. Information technology — Security techniques — Guidelines for
identification, collection, acquisition and preservation of digital evidence, який
стосуватиметься опису й систематизації зібраних доказів під час розслідуван-
ня комп’ютерних інцидентів.