В определенные моменты времени, количество людей, использующих интернет пространство, способно увеличиваться или уменьшаться. Моменты наибольшей активности часто называют «Пик активности». Японским университетам удалось, по аналогии с землетрясениями, вывести пик трафика в сети интернет, «интернеттрясения» — что означало периодические заторы в глобальной сети интернет, которые возможно было разъяснить с помощью теорий сложных систем.
Следовательно, из данной теории, происходит образование групп субъектов, вызванные конкуренцией за конечный ресурс, которые рассчитаны на перераспределение для дальнейшего контроля над ними. Стоит затронуть основные анализы защищенности данной модели с учетом сети интернет. Это обуславливается тем, что сеть интернет как часть киберпространства становится одной из первых сфер конфликтов взаимодействия различных объединений субъектов.
Методика анализа защищенности в Интернете
Теоретически, эффективная система защиты обладает комплексом средств защиты информации, способны как отражать, так и предугадывать угрозы, для принятия упреждающих мер. Но фактически, более распространенный и применимый подход — это применение разрозненных или комплексных средств защиты, дабы предотвратить текущую угрозу. Мы можем выразить, формально, понятие системы защиты в виде параметров (S, P, F), которые являются основными для «стратегической» системы. Представим реализованные механизмы защиты в виде S = (s1,s2…,sn), а F — это некоторая функция от S и P, которая будет определять механизмы защиты, P в свою очередь будем рассматривать как противостояние к угрозе. Подсистема прогнозирования угрозы должна предупреждать о возникновение возможных опасностей, на заданном периоде где t1 — это реальное время периода, а t2 — финальный момент времени, когда угроза уже распространяется внутри. В случае принятия функции вида F(S,P)>0 по отношению к V t Є [t1,t2] система представленная в виде (S,P,F) является. То есть способна выполнять определение и сдерживание угрозы на определенный момент времени. Из этого мы можем сделать вывод, что требуется провести комплексный анализ для изучения всех требуемых мер и средств, для конфигурации «стратегической» защиты в Интернете.
Рисунок 1. Аналитические средства стратегического анализа угроз
Первым этапом в анализе будет определение источника угрозы. В данный момент информационно телекоммуникационные технологии имеют обширные возможности для удаленных и анонимных атак. Требуется изучить и понять, наиболее возможный источник атаки. Вторым этапом необходимо произвести разведывательные взыскания по отношению к источнику атаки, для определения ответных мер. В рамках данных действий мы сможем понять слабые места атакующей стороны, а также огрехи в имеющейся защите. Получив всю необходимую информацию, можно приступить к третьему этапу — активному ответу. Активный ответ является приостановкой вредоносных деятельностей системе.
Использование данной методики эффективно как против случившегося нарушения безопасности, так и в качестве предотвращения возможной угрозы.
Исследование и анализ источников атак
Уровень развития систем информационной защиты растет с каждым годом. Нынешние системы сетевой защиты и защиты информации способны не только отражать фактические атаки, но и определять их источники и слабые места. Проактивные и превентивные виды защиты способны не только блокировать или обезвреживать сами угрозы, но и обнаруживать в любой момент времени состоявшеюся атаку, анализировать ее и принимать упреждающие меры. В части превентивных систем имеется возможность обрывать все сетевые активности с источником угрозы, для более эффективной борьбы с ним. В рамках атаки системы так же должны уметь определять источник атаки, в случае его неверного определения атакующая сторона может применить ответные меры к системе защиты и тем самым нейтрализовать ее, либо помешать устранению угрозы. При определении точки атаки стоит понимать, что атакующая сторона так же будет создавать «помехи» для ее определения. Достоверно определенный источник атаки. Следует подвергнуть рекогносцировке, которая проводиться скрытно, то есть пассивно, либо частично скрытно, то есть активно. В виде источника атаки может быть представлен любой сетевой узел, что связанно с обширным распространением технологии WEB, которая в свою очередь увеличила количество сетевого ПО с малой защищенностью. Огромное количество угроз присутствуют на веб сайтах под разными ссылками. Такие программы как «Троянский конь» или «Программа шпион».
В связи с подобным обстоятельством дел, корпорация Microsoft производила запуск проекта Strider Honey Monkeys Exploit Detection Systems, который позволил установить сотни очагов атак и потенциальных угроз. Они использовали методику приманок, для путешествия по WEB пространству и поиска подобных ресурсов. Данная «операция» длилась около года, и самым важным открытием для корпорации, был «0-day» эксплойты, использование уязвимости системы, которые не были представлены широкой общественности.
На настоящий момент, корпорация Microsoft периодически проводит подобные «операции» с целью повторения полученного ранее опыта и разведки новых возможных методов атаки.
Методы активного ответа
Под активным ответом мы понимаем целенаправленные действия по отношению к источнику атаки с целью прекращения вредоносного воздействия с его стороны. В зависимости от ситуации могут быть приняты индивидуальные или распределённые меры ответного воздействия, в том числе с участием других субъектов. В отличие от ранее описанного этапа, здесь важна скорость действий.
Аналитические средства стратегического анализа угрозы
Применение нынешних средств защиты информации носит индивидуальный, а зачастую и фрагментальный характер. Типовая схема защиты включает в себя стандартный набор процедур, проводимый каждым сетевым или простым администратором: установка антивируса, настройка сетевого экрана, блокировка не желательных ресурсов и устройств и т.д. Данная схема направлена на защиту от конкретных угроз и атак, а требуется настраивать прогнозируемые системы защиты от стратегических атак и угроз.
Так как погрешности и ошибки в работе программного обеспечения встречаются постоянно, появляется угроза того что этим воспользуются. Все программное обеспечение разрабатывается и устанавливается людьми. Нельзя устранить человеческий фактор и не стоит его не до оценивать. Рабочие станции, маршрутизаторы, серверы и все методы защиты построены людьми. Чем выше сложность конфигурируемой системы защиты, тем больше возможность совершить ошибку или допустить уязвимость, которая создаст брешь в защите и информационной безопасности.
Чтобы избежать критических угроз и обеспечить безопасность информации, требуется своевременно проводить обновления ПО. Корпорация Microsoft с периодичной регулярностью выпускает обновления для исправления критических ошибок своего программного обеспечения. Не стоит забывать, что пользователи так же являются частью угрозы, так как они не осознано могут создать брешь в защите. Стоит предусмотреть пассивные методы защиты рабочих станций от самих пользователей в виде динамически меняющихся паролей, IP адресов и прочих функций, на локальном уровне.
Так же стоит провести смоделированные действия злоумышленника, для того, чтобы заранее, особенно если знать его цель и мотивы поступков, предотвратить акт атаки или вреда системе. К примеру:
- Человек владеет информацией о функционировании системы, ее данных и параметрах — требуется разграничение прав пользователей для более эффективной защиты.
- Мастерство и знания мошенника позволяют ему действовать на уровне разработчика — требуется ограничить доступ к программному коду системы в целом.
- Заинтересованным лицом может быть любой человек, как свой сотрудник, так и посторонний злоумышленник — требуется тщательно проверять нанимаемый персонал на работу.
Для каждой сферы деятельности может быть свой набор возможных ситуаций, которые необходима проанализировать прежде чем конфигурировать прогнозируемые системы.
С точки зрения информационной безопасности рассмотренной в данной статье, подход к анализу защищенности интернет соединения и самой сети в целом с использованием идеологической корпоративной теорий, позволяет нам понять, что из года в год происходит модернизация как самого программного обеспечения, так и методов защиты, как и противодействия им с дальнейшим развитием методов угрозы и вреда корпоративным системам. Следует учесть тот факт, что 100% сетевой безопасности, как и информационной, не существует по причине человеческого фактора и не совершенства информационных технологий.
Что защищать и от чего?
Начнем с вопроса терминологии. Персональные данные представляют собой любую информацию, относящуюся прямо или косвенно к физическому лицу, который в законе прописан как субъект персональных данных. Наиболее распространенные разновидности такой информации:
точное место жительства;
адрес электронной почты.
Фамилия, имя и отчество сами по себе тоже могут являться персональными данными. Попадание этой информации к любым третьим лицам должно быть исключено.
Кроме того, необходимо понимать, что оператор имеет право на обработку данных лишь в некоторых случаях:
если им получено согласие на обработку (необязательно письменное);
планируется заключение договора с субъектом (даже в случае оферты на веб-сайте);
обрабатываются персональные данные своих сотрудников;
в особых случаях, когда обработка нужна для защиты жизни, здоровья и прочих важных интересов человека.
Если компания-оператор не смогла доказать ни одно из перечисленных оснований обработки, на нее также налагается штраф и сбор данных считается незаконным.
Самый важный пункт здесь — само согласие на обработку. Простейший способ, которым пользуются большинство компаний — реализованная тем или иным образом форма быстрого выражения согласия. Обычно это знакомая многим «галочка» под сопровождающим ее текстом о собственно согласии.
Еще один параметр, который нужно учитывать — не стоит обрабатывать персональную информацию, не имеющую непосредственного отношения к предмету договора (скажем, для классического договора купли-продажи не имеют значения профессия, уровень образования или воинская обязанность покупателя). Излишний интерес может быть истолкован надзорными органами как нарушение.
Поскольку время от времени Роскомнадзор проводит внеплановые проверки (чаще всего, если есть жалобы конкретного лица — бывшего сотрудника, конкурирующей компании или клиента, считающего, что его права нарушены), во избежание претензий компании-оператору нужно удостовериться, что:
Политика в отношении персональных данных задокументирована и находится в публичном доступе.
Форма сбора персональных содержит разъясняющую информацию о том для чего они собираются (когда ввод персональных данных необходим для заключения договора, его текст также обязательно должен быть опубликован).
Уже собранные специальные данные человека, включая биометрические (те сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых может быть установлена его личность) не могут быть переданы заграничным компаниям.
Запросы и требования субъектов персональных данных (в том числе об уточнении, удалении, блокировании) всегда удовлетворяются.
Чаще всего проверки Роскомнадзора выявляет нарушения из этого списка. Другая распространенная претензия — недостаточный внутренний контроль за осуществлением обработки и слабая осведомленность сотрудников, которые за нее отвечают о правилах и требованиях ее проведения.
Когда обработка происходит с использованием информационных систем (а значит, и электронных устройств), появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Рассмотрим их.
Угрозой информации считают возможное влияние или воздействие на автоматизированную систему обработки изнутри или извне, которое влечет за собой любые негативные последствия для субъектов этой информации. Обычно информационные системы становятся особо уязвимыми, когда:
программное обеспечение компании несовершенно, давно не обновлялось и содержит уязвимости;
некоторые процессы системы (в частности, защитные) функционируют не в полную силу;
усложнены условия эксплуатации и хранения информации.
Угрозы принято делить на несколько групп (в основе классификации лежит природа угрозы):
Объективная. Она напрямую зависит от того, насколько грамотно подобрано оборудование для хранения и обработки, работает ли должным образом защитное ПО.
неисправность технических средств,
слабые антивирусы, отсутствие шлюзов безопасности,
невозможность зрительного контроля за серверами и доступом к ним.
Предусмотреть все возможные сбои и неполадки невозможно, но важно знать где и почему они могут потенциально произойти — и подстраховаться.
Случайная. Эта группа включает в себя непредвиденные обстоятельства, различные ЧП и системные сбои. В данном случае важно быть готовыми оперативно их устранить (любые неисправности технических средств на всевозможных уровнях системы, в том числе тех, которые отвечают за контроль доступа, устаревание и износ отдельных микросхем, носителей данных, линейных соединений, неисправность в работе антивирусных, сервисных и прикладных программ).
Субъективная. Как правило, под такими угрозами понимают неправильные действия сотрудников, осуществляющих техническую обработку, хранение и защиту информации. Они могут ошибаться в соблюдении правил безопасности и допускать утечки при загрузке программного обеспечения или в момент активного использования системы, при различных манипуляциях с базами данных, при включении и выключении аппаратуры. Также к этой группе относятся неправомерные действия бывших сотрудников, у которых остался несанкционированный доступ к данным.
Специалисты компании-оператора должны учитывать все типы угроз. Во внимание следует принять критерии, которые помогут понять, какова реальная возможность угрозы того или иного типа (а также вероятность поломки или успешного обхода защитных алгоритмов):
Доступность. Этот критерий демонстрирует, насколько просто злоумышленник может получить доступ к нужной ему информации или к инфраструктуре организации, где хранятся эти данные.
Фатальность. Эта характеристика предполагает оценку степени глубины влияния угрозы на общее функционирование системы и способность специального персонала компании справиться с последствиями от влияния этого фактора.
Количество. Это параметр, подразумевающий собой определение количества потенциально уязвимых деталей системы хранения и обработки данных.
Точный расчет вероятности воздействия той или иной угрозы производится математически — это могут сделать аналитические эксперты компании. Такой самоанализ позволяет объективно оценить риски и предпринять дополнительные меры защиты: закупить более совершенное оборудование, провести дополнительное обучение работников, перераспределить права доступа и т. д.
Существует несколько других, более подробных классификаций внутренних и внешних угроз, которые будут полезны для систематизации всех факторов. Рассмотрим и их.
угроза, вызванная небрежностью сотрудников, работающих с информационной системой;
угроза, инициируемая субъектами извне с целью получения личной выгоды.
искусственная угроза, созданная при участии человека;
природная, неподконтрольная человеку (чаще всего — стихийные бедствия).
Непосредственная причина угрозы:
человек, разглашающий строго конфиденциальные сведения;
природный фактор (вне зависимости от масштаба);
специализированное вредоносное программное обеспечение, нарушающее работу системы;
удаление данных случайным путем из-за отказа техники.
Момент воздействия угрозы на информационные ресурсы:
в момент обработки информации (обычно это происходит из-за рассылок вирусных утилит);
при получении системой новой информации;
независимо от степени активности работы системы (например, при направленном взломе шифров или криптозащиты).
Существуют и другие классификации, учитывающие среди параметров возможность доступа работников к самой системе или ее элементам, способ доступа к основным частям системы и конкретные способы размещения информации.
Значительную часть всех угроз эксперты связывают с объективными внешними факторами и информационным вторжением со стороны конкурентов, злоумышленников и бывших сотрудников. Особую опасность представляют те из них, кто знаком с правилами функционирования конкретной системы, обладает знаниями на уровне разработчика программ и имеет сведения о том или ином уязвимом месте в системе.
Leave a Reply