08.11.2021
Специальная публикация NIST (Национального института стандартов и технологий США) 800-12 «Введение в информационную безопасность» (часть 4)

4 Угрозы и уязвимости: краткий обзор

Уязвимость - это слабое место в системе, процедуре безопасности системы, внутреннем контроле или реализации, которое может быть использовано источником угрозы. Уязвимости делают системы доступными для множества действий, которые могут привести к значительным, а иногда и необратимым потерям для отдельного лица, группы или организации.

Эти потери могут варьироваться от одного поврежденного файла на портативном компьютере или мобильном устройстве до целых баз данных в операционном центре, который подвергается взлому. Обладая соответствующими инструментами и знаниями, злоумышленник может использовать уязвимости системы и получить доступ ко всей хранящейся информации.

Ущерб, нанесенный скомпрометированным системам, может варьироваться в зависимости от источника угрозы. Источник угрозы может быть враждебным или невраждебным. Источниками враждебных угроз являются отдельные лица, группы, организации или компании, которые стремятся использовать зависимость другой компании от киберресурсов.

Известно, что даже сотрудники и привилегированные пользователи могут обманывать системы организации. Источники невраждебной угрозы относятся к стихийным бедствиям или ошибочным действиям, предпринимаемым отдельными лицами при выполнении своих повседневных обязанностей.

Если система уязвима, источники угроз могут привести к событиям угроз. Угроза - это инцидент или ситуация, которые потенциально могут вызвать нежелательные последствия или воздействия. Примером источника угрозы, ведущего к событию угрозы, является хакер, устанавливающий программу, следящую за нажатием клавиш в системе организации. Ущерб, который события угрозы могут причинить системам, значительно различается. Некоторые из них влияют на конфиденциальность и целостность информации, хранящейся в системе, в то время как другие влияют только на доступность самой системы. Для получения дополнительной информации об источниках угроз и событиях угроз смотрите NIST SP 800-30.

В этой главе представлен широкий обзор среды, в которой сегодня работают системы, данный текст может оказаться полезным для организаций, стремящихся лучше понять конкретную среду угроз.

Приведенный здесь список не является исчерпывающим. Объем представленной здесь информации может быть слишком широким, а угрозы для конкретных систем могут сильно отличаться от того, что обсуждается в этой главе. Чтобы защитить систему от рисков и реализовать наиболее рентабельные меры безопасности, владельцы, менеджеры и пользователи системы должны знать и понимать уязвимости системы, а также источники угроз и события, которые могут использовать уязвимости.

При определении соответствующего ответа на обнаруженную уязвимость следует позаботиться о том, чтобы минимизировать расход ресурсов на уязвимости, где угроза незначительна или совсем отсутствует. Смотрите главу 6 «Управление рисками информационной безопасности» для получения более подробной информации о том, как связаны между собой угрозы, уязвимости, выбор средств защиты и реагирование на риски.

4.1 Примеры источников и событий состязательных угроз

В предыдущем разделе определены источники угроз и события угроз. В этом разделе приведены несколько примеров каждого из них, за которыми следует описание.

4.1.1 Мошенничество и кража

Системы могут использоваться для мошенничества и краж, «автоматизируя» традиционные методы мошенничества или используя новые методы. Системное мошенничество и кража могут быть совершены как инсайдерами (т. Е. Авторизованными пользователями), так и посторонними. Уполномоченные системные администраторы и пользователи, имеющие доступ к системе и знакомые с ней (например, ресурсы, которые она контролирует, недостатки), часто несут ответственность за мошенничество. Бывшие сотрудники организации также представляют угрозу, учитывая их осведомленность о деятельности организации, особенно если доступ не прекращается в кратчайшие сроки.

Финансовая выгода - один из главных мотиваторов мошенничества и краж, но финансовые системы - не единственные системы, подверженные риску. Есть несколько методов, которые человек может использовать для сбора информации, к которой он иначе не имел бы доступа. Некоторые из этих методов включают:

• Социальные медиа 

Повсеместное распространение социальных сетей (таких как Facebook, Twitter, LinkedIn) позволило киберпреступникам использовать платформы для проведения целевых атак. Используя легко создаваемые, поддельные и непроверенные учетные записи в социальных сетях, киберпреступники могут выдавать себя за ваших коллег, представителей службы поддержки или других доверенных лиц, чтобы отправлять ссылки на вредоносный код, который крадет личную или конфиденциальную информацию организации. Социальные сети усугубляют проблему мошенничества, и организациям следует рассматривать это как серьезную проблему при внедрении систем. Учетные записи в социальных сетях предоставляют средства для сбора контактной информации, интересов и личных связей целевого лица, которые, в свою очередь, могут быть использованы для проведения атаки социальной инженерии.

• Социальная инженерия 

Социальная инженерия в контексте информационной безопасности - это метод, который в значительной степени полагается на человеческое взаимодействие, чтобы повлиять на человека с целью нарушения протокола безопасности, и побуждает человека разглашать конфиденциальную информацию. Эти типы атак обычно совершаются по телефону или через Интернет. Атаки, совершаемые по телефону, представляют собой самые простые атаки социальной инженерии. Например, злоумышленник может ввести компанию в заблуждение, притворившись, что он является действующим клиентом, и заставить эту компанию раскрыть информацию о клиенте. 

В сети этот метод называется фишингом - атакой по электронной почте, предназначенной для того, чтобы обманом заставить людей выполнить действие, полезное для злоумышленника (например, щелкнуть ссылку или разгласить личную информацию). Сетевые атаки социальной инженерии также могут быть выполнены с помощью вложений, содержащих вредоносный код, которые нацелены на адресную книгу человека. Полученная информация позволяет злоумышленнику отправить вредоносный код всем контактам в адресной книге жертвы, распространяя ущерб от первоначальной атаки.

• Целенаправленная устойчивая угроза (APT) 

Целенаправленная устойчивая угроза - это долговременное вторжение, которое пытается получить доступ к определенным данным и информации. Вместо того, чтобы пытаться нанести ущерб, APT-атаки предназначены для сбора информации из сети или цели. Некоторые APT-атаки могут быть настолько сложными, что, чтобы оставаться незамеченными системами обнаружения вторжений (IDS) в сети, они требуют круглосуточного переписывания кода администратором. Как только будет собрано достаточно информации о сети, злоумышленник может создать черный ход, который является способом обхода механизмов безопасности в системах и получения необнаруженного доступа к сети. Затем злоумышленник использует внешнюю систему управления и контроля для непрерывного мониторинга системы с целью извлечения информации.

4.1.2 Внутренняя угроза

Сотрудники могут представлять инсайдерскую угрозу для организации, поскольку они знакомы с системами и приложениями работодателя, а также с тем, какие действия могут причинить наибольший ущерб, вред или беспорядки. Саботаж сотрудников, часто спровоцированный знаниями или угрозой увольнения, является критической проблемой для организаций и их систем. Чтобы уменьшить потенциальный ущерб, причиненный саботажем сотрудника, необходимо немедленно отключить доступ уволенного сотрудника к ИТ-инфраструктуре, а этого человека следует вывести из помещения компании. Примеры саботажа сотрудников, связанного с системой, включают, но не ограничиваются:

• Уничтожение оборудования или сооружений;

• Размещение вредоносного кода, уничтожающего программы или данные;

• Неправильный ввод данных, хранение или удаление данных;

• Системы аварийного сбоя; а также

• Изменение административных паролей для предотвращения доступа к системе.

4.1.3 Вредоносный хакер

Вредоносный хакер - это термин, используемый для описания человека или группы людей, которые используют понимание систем, сетей и программирования для незаконного доступа к системам, причинения ущерба или кражи информации. Понимание мотивации злонамеренного хакера может помочь организации внедрить надлежащие меры безопасности, чтобы предотвратить вероятность взлома системы. Вредоносный хакер - это широкая категория состязательных угроз, которые можно разбить на более мелкие категории в зависимости от конкретных действий или намерений злоумышленника. Некоторые из подкатегорий, адаптированных из NIST SP 800-82, Guide to Industrial Control Systems (ICS) Security, включают:

• Злоумышленники 

Злоумышленники проникают в сети, чтобы получить удовольствие и бросить вызов, или чтобы похвастаться своим правом в сообществе злоумышленников. Хотя когда-то для удаленного взлома требовались значительные навыки или компьютерные знания, теперь злоумышленники могут загружать сценарии и протоколы атак из Интернета и запускать их на сайтах жертв. Эти инструменты атаки стали более сложными и простыми в использовании. В некоторых случаях злоумышленники не обладают необходимым опытом, чтобы угрожать таким сложным целям, как критически важные правительственные сети. Тем не менее, мировая популяция злоумышленников представляет относительно высокую угрозу отдельных или кратковременных сбоев, которые могут нанести серьезный ущерб бизнесу или инфраструктуре.

• Операторы бот-сети

Операторы бот-сетей берут на себя управление несколькими системами для координации атак и распространения схем фишинга, спама и вредоносного кода. Услуги скомпрометированных систем и сетей можно найти на подпольных рынках в Интернете (например, приобрести атаку отказа в обслуживании, использовать серверы для ретрансляции спама или фишинговых атак).

• Преступные группы

Преступные группы стремятся атаковать системы ради денежной выгоды. В частности, организованные преступные группы используют спам, фишинг и шпионское/вредоносное ПО для совершения кражи личных данных и онлайн-мошенничества. Международные корпоративные шпионы и организации организованной преступности также представляют угрозу для нации из-за их способности вести промышленный шпионаж, крупномасштабные денежные кражи и вербовку новых злоумышленников. Некоторые преступные группы могут пытаться вымогать деньги у организации, угрожая кибератакой или шифруя и разрушая ее системы с целью получения выкупа. Атаки с вымогательством или выкупом нарушили работу многих предприятий и требуют значительных ресурсов и планирования мер по их устранению. Без эффективных планов резервного копирования и процедур восстановления многие компании вынуждены платить дорогостоящий выкуп за восстановление своих зашифрованных систем.

• Службы внешней разведки

Службы внешней разведки используют кибер-инструменты в рамках своей деятельности по сбору информации и шпионажу. Кроме того, несколько стран активно работают над разработкой доктрин, программ и возможностей информационной войны. Такие возможности позволяют одной организации оказывать значительное и серьезное влияние, нарушая снабжение, связь и экономическую инфраструктуру, поддерживающую военную мощь, - воздействия, которые могут повлиять на повседневную жизнь граждан США. 

В некоторых случаях могут присутствовать угрозы со стороны иностранных правительственных спецслужб. Помимо возможного экономического шпионажа, иностранные разведывательные службы могут нацеливаться на несекретные системы для выполнения своих разведывательных задач. Некоторая несекретная информация, которая может представлять интерес, включает планы поездок высокопоставленных должностных лиц, гражданскую оборону и готовность к чрезвычайным ситуациям, производственные технологии, спутниковые данные, данные о персонале и заработной плате, а также файлы правоохранительных органов, расследований и безопасности.

• Фишеры

Фишеры - это отдельные лица или небольшие группы, которые используют фишинговые схемы для кражи личных данных или информации с целью получения денежной выгоды. Фишеры также могут использовать спам и шпионское / вредоносное ПО для достижения своих целей.

• Спамеры

Спамеры - это отдельные лица или организации, которые распространяют нежелательную электронную почту со скрытой или ложной информацией для продажи продуктов, проведения фишинговых схем, распространения шпионского/вредоносного кода или атак на организации (например, DoS).

• Авторы шпионского/вредоносного кода

Физические лица или организации, которые злонамеренно атакуют пользователей, создавая и распространяя шпионское ПО и вредоносный код. К числу деструктивных компьютерных вирусов и червей, которые повредили файлы и жесткие диски, относятся Melissa Macro Virus, червь Explore.Zip, CIH (Chernobyl) Virus, Nimda, Code Red, Slammer и Blaster.

• Террористы

Террористы стремятся уничтожить, вывести из строя или использовать критически важные инфраструктуры, чтобы создать угрозу национальной безопасности, вызвать массовые жертвы, ослабить экономику США и подорвать общественный дух и доверие. Террористы могут использовать схемы фишинга или шпионское / вредоносное ПО для получения средств или сбора конфиденциальной информации. Они также могут атаковать одну цель, чтобы отвлечь внимание или ресурсы от других целей.

• Промышленные шпионы

Промышленный шпионаж направлен на получение интеллектуальной собственности и ноу-хау с использованием тайных методов.

4.1.4 Вредоносный код

Под вредоносным кодом понимаются вирусы, троянские кони, черви, логические бомбы и любое другое программное обеспечение, созданное с целью атаки на платформу.

• Вирус

Сегмент кода, который реплицируется путем присоединения своих копий к существующим исполняемым файлам. Новая копия вируса запускается, когда пользователь запускает новую хост-программу. Вирус может включать дополнительную «полезную нагрузку», которая срабатывает при выполнении определенных условий.

• Троянский конь

Программа, которая выполняет желаемую задачу, но также включает неожиданные и нежелательные функции. Например, рассмотрим программу редактирования для многопользовательской системы. Эту программу можно изменить так, чтобы она произвольно и неожиданно удаляла файлы пользователя каждый раз, когда они выполняют полезную функцию (например, редактирование).

• Червь

Самовоспроизводящаяся программа, которая является самодостаточной и не требует хост-программы или вмешательства пользователя. Черви обычно используют сетевые службы для распространения на другие хост-системы.

• Логическая бомба

Этот тип вредоносного кода представляет собой набор инструкций, тайно и намеренно вставленных в программу или программную систему для выполнения вредоносной функции в заранее заданное время и дату или при выполнении определенного условия.

• Программы-вымогатели

Это тип вредоносного кода, который блокирует или ограничивает доступ к системе, блокируя весь экран или блокируя или шифруя определенные файлы до уплаты выкупа. Существует два разных типа атак программ-вымогателей - шифровальщики и шкафчики. Шифровальщики блокируют (шифруют) системные файлы и требуют оплаты, чтобы разблокировать (или расшифровать) эти файлы. Шифровальщики или программы-вымогатели - самые распространенные и вызывающие наибольшее беспокойство (например, WannaCry). 

Локеры предназначены для блокировки доступа пользователей к операционным системам. У пользователя по-прежнему есть доступ к устройству и другим файлам, но для того, чтобы разблокировать зараженный компьютер, пользователя просят заплатить выкуп. Что еще хуже, даже если пользователь платит выкуп, нет никакой гарантии, что злоумышленник действительно предоставит ключ дешифрования или разблокирует зараженную систему.

4.2 Примеры источников и событий несостязательных угроз

4.2.1 Ошибки и пропуски

Ошибки и упущения могут быть непреднамеренно вызваны системными операторами, которые ежедневно обрабатывают сотни транзакций, или пользователями, которые создают и редактируют данные в организационных системах. Эти ошибки и упущения могут ухудшить целостность данных и системы. Программные приложения, независимо от уровня сложности, не способны обнаруживать все типы ошибок и пропусков ввода. Следовательно, организация несет ответственность за создание надежной программы повышения осведомленности и обучения, чтобы уменьшить количество и серьезность ошибок и упущений. Ошибки пользователей, системных операторов или программистов могут возникать на протяжении всего жизненного цикла системы и могут прямо или косвенно способствовать возникновению проблем безопасности. В некоторых случаях ошибка представляет собой угрозу, например ошибку ввода данных или ошибку программирования, которая приводит к сбою системы. В других случаях ошибки вызывают уязвимости. Ошибки программирования и разработки, часто называемые «ошибками», могут варьироваться от незначительных до катастрофических.

4.2.2 Потеря физической и инфраструктурной поддержки

Потеря поддерживающей инфраструктуры включает в себя сбои в подаче электроэнергии (например, перебои в работе, всплески, отключения), потерю связи, перебои в подаче воды и утечки, сбои в работе канализации, нарушение транспортных услуг, пожар, наводнение, гражданские беспорядки и забастовки. Потеря поддерживающей инфраструктуры часто приводит к простою системы неожиданным образом. Например, сотрудники могут не выходить на работу во время зимнего шторма, хотя системы на рабочем месте могут работать в обычном режиме. Дополнительную информацию можно найти в разделе 10.11, Физическая защита и защита окружающей среды.

4.2.3 Влияние обмена информацией на личную конфиденциальность

Накопление огромного количества информации, позволяющей установить личность, государственными и частными организациями создало для людей множество возможностей столкнуться с проблемами конфиденциальности как побочным продуктом или непреднамеренным последствием нарушения безопасности. Например, перенос информации к поставщику облачных услуг стал жизнеспособным вариантом, который используют многие люди и организации. Простота доступа к данным из облака сделала его более привлекательным решением для долгосрочного хранения.

Все, что написано, выгружено или опубликовано, хранится в облачной системе, которую люди не контролируют. Однако без ведома пользователя облачной службы доступ к личной информации может получить посторонний человек с правильными инструментами и набором технических навыков. Добровольный обмен личными данными через социальные сети также способствовал возникновению новых угроз, которые позволяют злоумышленникам использовать эту информацию для социальной инженерии или обходить стандартные меры аутентификации. Связывая всю эту информацию и технологии вместе, злоумышленники имеют возможность создавать учетные записи, используя чужую информацию, или получать доступ к сетям. Организации могут делиться информацией о киберугрозах, включая PII. Такое раскрытие информации может привести к непредвиденному использованию такой информации, включая наблюдение или другие действия правоохранительных органов.


Читайте также


Комментарии 0