1 / 69

Основы информационной безопасности

Основы информационной безопасности. Лекция 6. Угрозы ИБ . Архитектура и элементы СОИБ. Лектор: A.S. E-mail: accemt@gmail.com http://inforsec.ru/ По материалам лекций Пермякова Р. А. Наиболее часто реализуемые угрозы. Основные элементы атаки.

umika
Download Presentation

Основы информационной безопасности

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Основы информационной безопасности Лекция 6.Угрозы ИБ. Архитектура и элементы СОИБ. Лектор: A.S. E-mail: accemt@gmail.com http://inforsec.ru/ По материалам лекций Пермякова Р. А.

  2. Наиболее часто реализуемые угрозы

  3. Основные элементы атаки источник– субъект, материальный объект или физическое явление, создающие угрозу; среда распространения, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства; Носитель – физическое лицо или материальный объект, в том числе физическое поле, в котором данные находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

  4. Анализ сетевого траффика

  5. Сканирование сети • Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов и анализе ответов от них. • Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.

  6. Угроза выявления пароля • Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. • Злоумышленник может реализовывать угрозу с помощью целого ряда методов, например: • простой перебор, • перебор с использованием специальных словарей, • установка вредоносной программы для перехвата пароля, • подмена доверенного объекта сети (IP-spoofing) и • перехват пакетов (sniffing). • В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

  7. Подмена доверенного объекта сети

  8. Подмена доверенного объекта сети

  9. Навязывание ложного маршрута сети (I)

  10. Навязывание ложного маршрута сети (II)

  11. Внедрение ложного объекта сети(I) • Фаза ожидания ARP-запроса. • Фаза реализации угрозы. • Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном ARP-сервере.

  12. Внедрение ложного объекта сети(II) • Фаза ожидания атакующим DNS-запросаот хоста 1 (атакующий находится либо на хосте нарушителя 1, либо на хосте нарушителя 2). • Фаза передачи атакующим ложного DNS-ответа (атакующий находится либо на хосте нарушителя 1, либо на хосте нарушителя 2). • Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном сервере.

  13. Внедрение ложного объекта сети(III) • Нарушитель передает направленный шторм DNS-ответов на хост 1. • Хост 1 посылает DNS-запрос и немедленно получает ложный DNS-ответ. • Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном сервере.

  14. Внедрение ложного объекта сети(IV) • Нарушитель создает направленный шторм ложных DNS-ответов от имени одного из корневых DNS-серверов и при этом провоцирует этот серверна ответ, посылая на него DNS-запрос. • DNS-сервер передает DNS-запрос на корневой DNS-сервер и немедленно получает ложный DNS-ответ от атакующего. • Хост нарушителяизменяет кэш-таблицу DNS-сервера и обеспечивает прохождение трафика через ложный сервер top.secret.com.

  15. Отказ в обслуживании • Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты. • Могут быть выделены несколько разновидностей таких угроз: • скрытый отказ в обслуживании • явный отказ в обслуживании • вызванный исчерпанием ресурсов ИС; • вызванный нарушением логической связности между техническими средствами; • вызванный передачей злоумышленником пакетов с нестандартными атрибутами.

  16. Удаленный запуск приложений • Угроза заключается в стремлении запустить на хосте различные предварительно внедренные вредоносные программы. • Выделяют три подкласса: • распространение файлов, содержащих несанкционированный исполняемый код; • удаленный запуск приложения путем переполнения буфера приложений-серверов; • удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами.

  17. Удаленный запуск приложений • Основныеэтапы работы этих программ выглядят следующим образом: • инсталляция в памяти; • ожидание запроса с удаленного хоста, на котором запущена клиент-программа, и обмен с ней сообщениями о готовности; • передача перехваченной информации клиенту или предоставление ему контроля над атакуемым компьютером.

  18. Последствия (I)

  19. Последствия (II)

  20. Последствия (III)Отказ в обслуживании

  21. Последствия (VI)Удаленный запуск приложений

  22. Задание №1 • Прочитать следующие РД ФСТЭК (http://www.fstec.ru/_spravs/_spec.htm ): • «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн». • «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн». • Приказ ФСТЭК №58 «О методах и способах защиты ПДн». • Составить модель нарушителя и модель угроз для одной из следующих систем (являются ИСПДн (учесть), но модель общая): • СЭД ВУЗа (локальная система в множественными внешними каналами). • Корпоративная ИС Intel (распределённая ИС). • Корпоративная ИС компании по производству компьютерных игр. • СЭД завода ЖБИ (есть филиалы). • Интернет-магазин с филиалами (складской учёт автоматизирован). • Сеть магазинов электроники «Эльдорадо». • Единая СЭД и распределённая ИС ФСБ РФ.

  23. Принципы построения.Реагирование на риски. Архитектурная безопасность

  24. Причины возникновения проблем • Совершенно сложная система: • Ошибки проектирования • Ошибки настройки и сопровождения • Ошибки персонала. • Машина Тьюринга • Информация может быть как данными, так и программой. • Информация рассматривается как товар. • Ресурсы = товар.

  25. Иерархия

  26. Обеспечение комплексного подхода

  27. Характерные проблемы • Фирма имеет несколько офисов, расположенных на достаточно большом расстоянии друг от друга. При пересылке конфиденциальной информации по общедоступной сети (например, Internet) необходимо быть уверенным, что никто не сможет ни подсмотреть, ни изменить эту информацию. • Сетевой администратор осуществляет удаленное управление компьютером. Пользователь перехватывает управляющее сообщение, изменяет его содержание и отправляет сообщение на данный компьютер. • Фирма открывает Internet-магазин, который принимает оплату в электронном виде. В этом случае продавец должен быть уверен, что он отпускает товар, который действительно оплачен, а покупатель должен иметь гарантии, что он, во-первых, получит оплаченный товар, а во-вторых, номер его кредитной карточки не станет никому известен. • Фирма открывает свой сайт в Internet. В какой-то момент содержимое сайта заменяется новым, либо возникает такой поток и такой способ обращений к сайту, что сервер не справляется с обработкой запросов. В результате обычные посетители сайта либо видят информацию, не имеющую к фирме никакого отношения, либо просто не могут попасть на сайт фирмы.

  28. Принципы архитектурной безопасности • непрерывность защиты в пространстве и времени, невозможность миновать защитные средства; • следование признанным стандартам, использование апробированных решений; • иерархическая организация ИС с небольшим числом сущностей на каждом уровне; • усиление самого слабого звена; • невозможность перехода в небезопасное состояние; • минимизация привилегий; • разделение обязанностей; • эшелонированность обороны; • разнообразие защитных средств; • простота и управляемость информационной системы.

  29. Принципы построения • внесение в конфигурацию той или иной формы избыточности (резервное оборудование, запасные каналы связи и т.п.); • наличие средств обнаружения нештатных ситуаций; • наличие средств реконфигурирования для восстановления, изоляции и/или замены компонентов, отказавших или подвергшихся атаке на доступность; • рассредоточенность сетевого управления, отсутствие единой точки отказа; • выделение подсетей и изоляция групп пользователей друг от друга. Данная мера, являющаяся обобщением разделения процессов на уровне операционной системы, ограничивает зону поражения при возможных нарушениях информационной безопасности.

  30. Состав СОИБ • идентификация и аутентификация; • управление доступом; • протоколирование и аудит; • шифрование; • контроль целостности; • экранирование; • анализ защищенности; • обеспечение отказоустойчивости; • обеспечение безопасного восстановления; • защита коммуникаций; • управление.

  31. Виды мер превентивные, препятствующие нарушениям ИБ; меры обнаружения нарушений; локализующие, сужающие зону воздействия нарушений; меры по выявлению нарушителя; меры восстановления режима безопасности.

  32. Реагирование на нарушения режима безопасности локализация инцидента и уменьшение наносимого вреда; выявление нарушителя предупреждение повторных нарушений •Определение группы реагирования •Определение режима конфиденциальности •Изоляция скомпрометированной системы •Создание резервной копии •Оценка риска и последствий •Смена паролей или перегенерация системы • Начало производства по делу в соответствие с действующим законодательством • Сбор и анализ доказательств • Выявление виновных • Привлечение к ответственности в соответствие с действующим законодательством • •Определение причин и симптомов инцидента • •Усиление защиты • •Обеспечение анализа уязвимостей • •Устранение причин инцидента • •Определение последней «чистой» резервной копии. • Написание отчета об инциденту

  33. Идентификация Локализация Устранение причин Восстановление Внимание! Не следует забывать о подготовке нормативной базы Извлечение уроков Реагирование на инциденты Первые шаги по выявлению инцидента направленные на снятие неопределенности Получение и анализ событий, отчетов об инцидентах и сигналов тревог text. All phrases can be replaced with your own text. Планирование, координация восстановления системы

  34. Идентификация Локализация Устранение причин Восстановление Извлечение уроков Идентификация • Выделите персону, ответственную за инцидент. • Какие события относятся к инциденту. • Будьте осторожны в поддержке доверенной цепочки взаимодействия. • Координация с Интернет-провайдером. • Уведомьте соответствующие структуры (при необходимости).

  35. Идентификация Локализация Устранение причин Восстановление Извлечение уроков Локализация • Разверните командный пункт на месте инцидента. • Не привлекайте к себе внимания. • Обходите потенциально скомпрометированную подсистему. • Сделайте резервную копию. • Оцените риск продолжения работы атакованных систем. • Проконсультируйтесь с владельцем системы. • Смените пароли.

  36. Идентификация Локализация Устранение причин Восстановление Извлечение уроков Устранение причин • Определите причины и симптомы инцидента. • Усильте защиту. • Обеспечьте анализ уязвимостей. • Устраните причину инцидента. • Определите последнюю «чистую» резервную копию.

  37. Идентификация Локализация Устранение причин Восстановление Извлечение уроков Восстановление • Восстановите системы. • Проверка системы. • Решите, когда восстанавливать бизнес-операции. • Обеспечить мониторинг системы.

  38. Идентификация Локализация Устранение причин Восстановление Извлечение уроков Извлечение уроков • Сформировать отчет об инциденте. • Провести ревизию моделей, и инструкций.

  39. ID Средства обеспечения безопасности Филиал Внутренние серверы DMZ-1 МЭ Мобильные сотрудники DMZ-2 Рабочие места Пользователи Internet Ресурсы Internet

  40. Средства анализа защищённости Филиал DMZ-1 МЭ Мобильные сотрудники DMZ-2 Пользователи Internet Ресурсы Internet Сканер безопасности

  41. Средства обнаружения атак Филиал DMZ-1 МЭ Мобильные сотрудники DMZ-2 Пользователи Internet Ресурсы Internet

  42. Сервис безопасности сервис, который обеспечивает задаваемую политикой безопасность систем и/или передаваемых данных, либо определяет осуществление атаки. Сервис использует один или более механизмов безопасности.

  43. Типовые сервисы • Конфиденциальность – предотвращение пассивных атак для передаваемых или хранимых данных. • Аутентификация – подтверждение того, что информация получена из законного источника, и получатель действительно является тем, за кого себя выдает. В случае передачи единственного сообщения аутентификация должна гарантировать, что получателем сообщения является тот, кто нужно, и сообщение получено из заявленного источника. В случае установления соединения имеют место два аспекта. • Во-первых, при инициализации соединения сервис должен гарантировать, что оба участника являются требуемыми. • Во-вторых, сервис должен гарантировать, что на соединение не воздействуют таким образом, что третья сторона сможет маскироваться под одну из легальных сторон уже после установления соединения. • Целостность – сервис, гарантирующий, что информация при хранении или передаче не изменилась. Может применяться к потоку сообщений, единственному сообщению или отдельным полям в сообщении, а также к хранимым файлам и отдельным записям файлов.

  44. Типовые сервисы • Невозможность отказа – невозможность, как для получателя, так и для отправителя, отказаться от факта передачи. Таким образом, когда сообщение отправлено, получатель может убедиться, что это сделал легальный отправитель. Аналогично, когда сообщение пришло, отправитель может убедиться, что оно получено легальным получателем. • Контроль доступа – возможность ограничить и контролировать доступ к системам и приложениям по коммуникационным линиям. • Доступность – результатом атак может быть потеря или снижение доступности того или иного сервиса.

  45. Облака • Не санкционированное или незаконное использование ресурсов облака • Не безопасные программные продукты • Инсайдеры • Распределенные уязвимые технологии • Потеря данных или утечки • Похищение аккаунта, ресурсов • Риски связанные с нарушением местного законодательства • Неопределенные риски

  46. Виртуализация • Обеспечение безопасности гипервизора • Определение зон ответственности и собственника ресурсов • Управление администрированием

  47. Технологии аутентификация и управление доступом

  48. Идентификация • позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя).

  49. Аутентификация • Процедура с помощью которой вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает.

More Related