Классификация преднамеренных угроз безопасности компьютерной сети

1         По цели реализации:

·          Нарушение целостности информации, что может привести к утрате или обесцениванию информации.

·          Нарушение конфиденциальности информации (использование ценной информации другими лицами наносит значительный ущерб интересам ее владельцев).

·          Частичное или полное нарушение работоспособности (доступности) КС.

2         По принципу воздействия на сеть:

·          С использованием доступа субъекта КС (пользователя, процесса) к объекту (файлу данных, каналу связи).

Доступ - это взаимодействие между субъектом и объектом (выполнение первым некоторой операции над вторым), приводящее к возникновению информационного потока от второго к первому

·          С использованием скрытых каналов, т.е. путей передачи информации, позволяющим взаимодействующим процессам (субъектам) обмениваться информацией таким способом, который нарушает системную политику безопасности.

3         По характеру воздействия на сеть:

·          активное воздействие;

·          пассивное воздействие.

Активное воздействие связано с выполнением нарушителем каких-либо действий: доступ к определенным наборам данных, программам, вскрытие пароля и т.д. Такое воздействие может осуществляться либо с использованием доступа, либо как с использованием доступа, так и с использованием скрытых каналов. Оно ведет к изменению состояния сети.

Активное воздействие может быть:

·          кратковременным

Свидетельствует о случайности или нежелании злоумышленника привлечь к себе внимание (оно менее опасно, но зато имеет больше шансов остаться незамеченным), или долговременным, связанным с устойчивой заинтересованностью в чужом информационном пространстве с целью изучения его структуры и содержания.

·          неразрушающим

Сеть продолжает функционировать нормально, так как в результате такого воздействия не пострадали ни программы, ни данные, зато возможно хищение информации и нарушение ее конфиденциальности. Если оно не случайное, то является весьма опасным и свидетельствует о намерении злоумышленника использовать в дальнейшем найденный канал доступа к чужой информации.

·          разрушающим

В результате воздействия на информационную среду внесены какие-либо изменения в программы и/или данные, что сказывается на работе сети. Его последствия при надлежащем ведении архивов могут быть сравнительно легко устранены.

·          разовым или многократным

Свидетельствует о серьезности намерений злоумышленника и требует решительных ответных действий

·          зарегистрированным администратором сети при проведении периодического анализа регистрационных данных

Свидетельствует о необходимости совершенствования или модификации системы защиты.

·          незарегистрированным администратором сети.

Пассивное воздействие осуществляется путем наблюдения каких-либо побочных эффектов (например, от работы программы) и их анализа. Пассивное воздействие всегда связано только с нарушением конфиденциальности информации в КС, так как при нем никаких действий с субъектами и объектами не производится. Оно не ведет, к изменению состояния системы.

4         По способу активного воздействия на объект атаки

·          Непосредственное воздействие.

Например, непосредственный доступ к файлам данных, программам, каналу связи и т.д. С помощью средств контроля доступа такое действие обычно легко предотвращается.

·          Воздействие на систему разрешений (в том числе захват привилегий).

·          Несанкционированные действия осуществляются относительно прав на объект атаки, а сам доступ к объекту выполняется потом законным образом.

·          Опосредованное воздействие (через других пользователей)

Например, когда злоумышленник каким-то образом присваивает себе полномочия авторизованного пользователя, выдавая себя за него, или путем использования вируса, когда вирус выполняет необходимые действия и сообщает о результате тому, кто его внедрил.

Этот способ особенно опасен. Требуется постоянный контроль как со стороны администраторов и операторов за работой сети в целом, так и со стороны пользователей за своими наборами данных.

5         По используемым средствам атаки

·          С использованием злоумышленником стандартного программного обеспечения.

Результаты воздействия обычно предсказуемы, так как большинство стандартных программ хорошо изучены.

·          С использованием специально разработанных программ.

Связано с большими трудностями, но может быть более опасным для сети.

6         По состоянию объекта атаки

·          Воздействие на объект атаки, когда в момент атаки он находится в состоянии хранения информации (на диске, магнитной ленте, в оперативной памяти). В этом случае воздействие на объект обычно осуществляется с использованием несанкционированного доступа.

·          Воздействие на объект, когда осуществляется передача информации по линии связи между узлами сети или внутри узла. При таком состоянии объекта воздействие на него предполагает либо доступ к фрагментам передаваемой информации, либо прослушивание с использованием скрытых каналов.

·          Воздействие на объект, когда он находится в состоянии обработки информации. Здесь объектом атаки является процесс пользователя.

Приведенная классификация свидетельствует о сложности определения возможных угроз и способах их реализации. Отсюда вывод: не существует универсального способа защиты, который предотвратил бы любую угрозу. Необходимо объединение различных мер защиты для обеспечения информационной безопасности всей сети в целом.

В случае преднамеренного проникновения в сеть различают следующие виды воздействия на информацию:

·          уничтожение

Физическое удаление информации с носителей информации.

Выявляется при первой же попытке обращения к этой информации, а все потери легко восстанавливаются при налаженной системе резервирования и архивации.

·          искажение

Нарушение логики работы программ или связей в структурированных данных, не вызывающих отказа в их работе или использовании.

Это один из опасных видов воздействия, так как его нельзя обнаружить.

·          разрушение

Нарушение целостности программ и структуры данных, вызывающих невозможность их использования: программы не запускаются, а при обращении к структурированным данным нередко происходит сбой.

·          подмена

Замена имеющихся программ или данных другими под тем же именем и так, что внешне это не проявляется. Это также опасный вид воздействия, надежным способом защиты от него является побитовое сравнение с эталонной версией программы.

·          копирование

Получение копии программ или данных на другом компьютере.

Это воздействие наносит наибольший ущерб в случаях промышленного шпионажа, хотя и не угрожает нормальному функционированию сети.

·          добавление новых компонентов

Запись в память компьютера других данных или программ, ранее в ней отсутствовавших. Это опасно, так как функциональное назначение добавляемых компонентов неизвестно.

·          заражение вирусом

Оно приводит к однократное воздействие на программы или данные, при котором они изменяются и, кроме того, при обращении к ним вызываются подобные изменения в других, как правило, аналогичных компонентах: происходит «цепная реакция», распространение вируса в компьютере или локальной сети.

Основные источники преднамеренного проникновения в сеть:

·          хакеры (взломщики сетей)

В их действиях почти всегда есть состав преступления. Наиболее опасны сформировавшиеся и хорошо организованные виртуальные группы хакеров.

·          уволенные или обиженные сотрудники сети

Они представляют особую опасность и способны нанести существенный ущерб (особенно если речь идет об администраторах сети), так как обладают знаниями сети и принципами защиты информации и по долгу службы имеют доступ к программам сниффинга (перехвата паролей и имен пользователей в сети, ключей, пакетов и т.д.).

·          профессионалы-специалисты по сетям, посвятившие себя промышленному шпионажу.

·          конкуренты

Степень их опасности зависит от ценности информации, к которой осуществляется несанкционированный доступ, и от уровня их профессионализма.
Comments