Тема 19. Основы информационной и компьютерной безопасности.

Цель: Получить представление об основах информационной и компьютерной безопасности.

Информационная безопасность – это состояние информационных систем, полученное вследствие выполненных работ, направленных на обеспечение безопасности информации. Это состояние продолжается до того момента, пока ваши системы не будут скомпрометированы. Следует понимать, что не существует такого понятия, как «абсолютная безопасность», так как любые средства защиты можно обойти тем или иным способом.

Зачем нужна информационная безопасность?

Прежде чем что-либо защищать, необходимо понимать, что именно мы будем защищать и от чего. Если в вашей компании есть несколько компьютеров, которые используются исключительно для чтения анекдотов, просмотра погоды на неделю и игры в косынку, тогда вам безопасность совершенно не нужна. Т.к. неработоспособность или взлом ваших систем никаким образом не повлияет на ведение вашего бизнеса. Вы можете время от времени приглашать все того-же «компьютерщика» для установки бесплатного антивируса или переустановки операционной системы.+ Но если ваши сотрудники используют компьютеры для доступа к платежным online системам/системам управления банковским счетом, хранения базы ваших клиентов и другой ценной информации, злоумышленник может потенциально похитить важные данные и воспользоваться ими в личных целях или уничтожить их. В этом случае, для вас будет выгоднее потратить определенные средства на обеспечение безопасности, чтобы максимально защититься от злоумышленника и не дать ему возможность получить контроль над вашими счетами и своровать у вас деньги/информацию.

Угрозы для бизнеса

Прежде чем рассказывать о различных угрозах для гипотетической компании я попрошу читателя представить себе, что может произойти, если злоумышленник получит полный доступ ко всем компьютерам в вашей компании и сможет незаметно для вас выполнять те же действия с данными, которые хранятся на этих компьютерах, что и обычные сотрудники. Если вам стало страшно, тогда читаем дальше. Согласно исследованию компании Perimetrix, специализирующейся на расследованиях инцидентов безопасности, самыми опасными угрозами ИБ в 2009 году были:

Утечка данных

Халатность служащих

Вирусы

Хакеры

Кража оборудования

Спам

Аппаратные и программные сбои

Саботаж

Правильным решением по борьбе с инцидентами безопасности является их предотвращение. Для того, чтобы иметь возможность предотвратить потенциальные утечки данных, защитится от вирусов и хакеров необходимо понимать, откуда исходят угрозы и что они из себя представляют.

Источники угроз

Условно все источники угроз можно разделить на следующие типы: атаки общей направленности и целенаправленные атаки. Атаки общей направленности Если ваши компьютеры подключены к сети Интернет, они постоянно подвергаются различным автоматизированным атакам. Цель этих атак – получить максимальный доступ к компьютерам компании, найти на них потенциально важные данные (пароли к различным сервисам в Интернет, социальным сетям, банковским счетам и пр.) и подключить компьютеры к своей бот-сети. Бот-сеть – это сеть, состоящая из зараженных компьютеров, контролируемых злоумышленниками. Зараженные системы могут использоваться для проведения атак на другие компании, рассылки спама и прочего. Этому типу атак подвергаются абсолютно все пользователи сети Интернет. Для защиты от этого типа атак в большинстве случаев помогают общие рекомендации, описанные ниже в этой статье. Источником утечек ценной информации могут стать также похищенные ноутбуки, телефоны, накопители информации, документы и прочее. Список основных угроз ИБ, которым ежедневно может подвергаться компания: • Вредоносное ПО Это самая распространенная угроза. Вредоносные приложения проникают на компьютеры компании, используя существующие бреши безопасности в используемом программном обеспечении или используя недостаточную осведомленность сотрудников компании, которые устанавливают вредоносное ПО самостоятельно. Основные источники проникновения вредоносного ПО на компьютеры: o Web сайты Многие пользователи считают, что вредоносное ПО может распространяться только через сайты порнографической направленности и другие сомнительные ресурсы. Это не так. Источником заражения компьютера может стать любой Web сайт. В последние годы злоумышленники используют уязвимости на вполне легитимных сайтах для распространения вредоносного ПО. В качестве примера можно привести инциденты, связанные с взломом сайта антивирусной компании Trend Micro, взломом сайта проекта Microsoft DreamSpark. Использование браузера, отличного от Internet Explorer на компьютерах компании не повысит уровень защищенности от этой угрозы, т.к. большинство атак нацелены не на уязвимости в браузерах, а на уязвимости в используемых браузерами компонентах. Например, Java, Adobe Flash Player, Adobe Reader, различные мультимедийные плееры, которые устанавливают на систему плагины для отображения видео непосредственно в браузере. o Flash накопители, сетевые папки Огромное количество вредоносного ПО распространяется через внешние накопители. Как правило, эти приложения используют функционал автозапуска и начинают свое проникновение на систему, как только пользователь откроет Flash накопитель у себя на компьютере. Точно таким же образом вредоносное ПО может попасть на компьютер через общедоступные сетевые папки. o Уязвимости операционных систем, сетевых приложений Существует множество сетевых червей, которые используют уязвимости сетевых компонентов операционных систем для проникновения на системы пользователей. Для того, чтобы вредоносное ПО проникло на компьютер достаточно просто подключить этот компьютер к общедоступной сети. o Социальная инженерия Рассылка писем, сообщений по ICQ и в социальных сетях, ссылки на сайтах, призывающие установить то или другое ПО, просмотреть видеоролик, для которого необходимо установить специальный проигрыватель – все это способы обманом заставить пользователя посетить потенциально опасный сайт или скачать и установить вредоносное ПО. o Email рассылки вредоносного ПО Этот тип угроз уходит в прошлое, в настоящий момент очень редко email письма используются для распространения вредоносного кода, т.к. большинство почтовых серверов оснащены фильтрами, блокирующими исполняемые файлы, да и почтовые приложения уже давно и успешно помогают пользователям справляться с подобной угрозой. Тем не менее, необходимо понимать, что файлы, отправленные неизвестным отправителем, являются опасными и их не следует запускать на системе. • Спам Сложно представить пользователей, которые никогда не получали по электронной почте рекламных сообщений. Подобные сообщения называются спамом. Большое количество таких сообщений мешает сотрудникам компании качественно выполнять свою работу. • Фишинг атаки Это атаки с использованием элементов социальной инженерии, с помощью которых злоумышленники могут заполучить доступ к банковским счетам жертвы, к паролям для доступа к почтовым учетным записям, социальным сетям и пр. Например, пользователю приходит письмо с уведомлением о том, что его счет в Webmoney был заблокирован и, чтобы разблокировать его, необходимо посетить ссылку в письме и изменить свои логин и пароль. Ссылка заведомо указывает на сайт, контролируемый атакующим, который может выглядеть в точности как настоящий сайт. После того, как пользователь вводит свои старые учетные данные, программное обеспечение может автоматически воспользоваться имя для получения доступа к кошелькам, и, например, осуществить денежные транзакции. Пример фишинг атаки:

Фишинг атака с элементами социальной инженерии Внимание, не посещайте ссылку, указанную в письме! Это письмо было получено на почтовый ящик, защищенный спам-фильтром от Лаборатории Касперского. Как видно по результату, злоумышленникам удалось обойти спам-фильтр. При наведении курсора мыши на ссылку, присутствующую в письме, мы можем увидеть путь к сайту. Поскольку я никогда не был на этом сайте, моей учетной записи на нем также нет. При нажатии на ссылку мы попадем на скомпрометированный сайт, который запросит у нас учетные данные. После ввода учетных данных, эти данные будут сохранены злоумышленником, а нас перенаправят на сайт email.com. Это стандартный метод сбора учетных данных для проведения последующих атак.

Целенаправленные атаки

Это атаки, направленные непосредственно на системы или сотрудников вашей компании. В большинстве случаев целью подобных атак является доступ к данным и частичное или полное нарушение нормальной работы компании. Не зависимо от мотивов атакующего, успешные атаки приводят, как правило, к финансовым потерям компании. Защититься от подобных атак довольно сложно и зачастую они оканчиваются успехом для опытного хакера. Для целенаправленных атак характеры те же угрозы, что и для атак общей направленности, но в этом случае злоумышленник владеет некоторой информацией о компании, которая может увеличить вероятность успешного взлома. Существенную угрозу для безопасности бизнеса представляют также недобросовестные сотрудники. Согласно отчету E-Crime за 2007 год 37% успешных атак было осуществлено сотрудниками компаний (далее, инсайдеры). В исследовании за 2010 год 64% компаний опасались кражи важных данных инсайдерами или бывшими сотрудниками. Рейтинг угроз безопасности от инсайдеров в 2008 году (по данным компании Perimetrix): • Утечка данных – 55% • Искажение информации (включая несанкционированные бухгалтерские операции) - 54% • Кража оборудования – 25% • Саботаж – 21% • Утрата информации – 19% • Сбои в работе компьютерных систем – 12%

Утечка данных

Утечка данных (преднамеренная и случайная) исходит, как правило, от сотрудников компании. Существуют средства противодействия утечкам информации или DLP (Data Leakage Prevention) системы. Ниже приведена обзорная таблица подобных решений от разных производителей.

Приложение Производитель Стоимость Примечание McAfee Host DLP McAfee 5400$ стоимость 100 рабочих мест без интеграции Trend Micro DLP for Endpoint Trend Micro 4700$ стоимость 100 рабочих мест без интеграции Symantec DLP Symantec от 25000$ Дозор-Джет от 25$/почтовый ящик Check Point DLP Check Point от $3000 встраиваемое лезвие в устройства Check Point SearchInform SearchInform от 13000$ Стоимость для 100 хостов В случае корректно внедрения, эти приложения способны обнаружить и предотвратить утечку данных. В качестве обязательного превентивного средства является подписание соглашения о неразглашении конфиденциальной информации с сотрудниками компании.

 

  Контрольные вопросы

1. Назвать возможные источники угроз, степени их опасности, возможные источники возникновения.

2. Основные способы защиты ИТ.

3. Основные критерии Информационной безопасности.