Курс лекций Составитель Соркина В. Е. Введение 12
Вид материала | Курс лекций |
- Курс лекций. Спб, 639.95kb.
- Курс лекций. Спб, 1118.16kb.
- Курс лекций. Спб, 172.51kb.
- Курс лекций введение в профессию "социальный педагог", 4415.45kb.
- Курс лекций Часть 2 Составитель: кандидат экономических наук Г. Н. Кудрявцева Электроизолятор, 1210.68kb.
- Курс лекций Тамбов 2008 Составитель: Шаталова О. А., преподаватель спецдисциплин тогоу, 1556.11kb.
- Курс лекций Барнаул 2001 удк 621. 385 Хмелев В. Н., Обложкина А. Д. Материаловедение, 1417.04kb.
- Г. П. Щедровицкий Методология и философия организационно-управленческой деятельности:, 3029.36kb.
- Темы контрольных работ по дисциплине «Экономическая теория» спо специальность 080110., 17.75kb.
- Введение в курс. Курс лекций Начертательная геометрия в которой рассматриваются следующие, 848.58kb.
Определение угрозы безопасности
Одновременно с развитием IT систем развиваются и угрозы безопасности, с которыми им приходится сталкиваться. Если вы собираетесь эффективно защищать вашу среду от нападения, вы должны четко понимать те опасности, с которыми вы, вероятно, столкнетесь.
При определении угрозы безопасности вы должны обратить внимание на два основных фактора: 1) Типы нападений, с которыми вы, вероятно, столкнетесь, и 2) Где эти нападения могут произойти. Большинство организаций пренебрегают вторым фактором, предполагая что серьезное нападение может происходить только извне (в основном через соединение с Интернет). В исследовании Службы безопасности и компьютерных преступлений, совместно проведенном Институтом компьютерной безопасности (CSI) и Федеральным Бюро Расследований США 31 % респондентов отметили свои внутренние системы как наиболее частый объект нападения. Тем не менее, множество компаний могут просто не осознавать, что нападения изнутри происходят, главным образом потому, что их никто не отслеживает и не контролирует.
В этой главе, мы рассматриваем типы нападений, с которыми вы можете столкнуться. Также будут рассмотрены некоторые шаги, как делового так и технического характера, следуя которым вы сможете минимизировать угрозу вашей среде.
Управление рисками
Не существует такой вещи, как полностью безопасная и одновременно работоспособная IT-среда. Когда вы исследуете вашу среду, вы должны оценить риски, с которыми сталкиваетесь, определить приемлемый уровень риска и сохранить его на этом уровне или ниже. Риски уменьшаются путем увеличения степени безопасности вашей среды.
Общее правило: чем выше уровень безопасности в организации, тем дороже она обходится, и тем более вероятно, что функциональные возможности будут сокращены. Оценив потенциальные угрозы, вам вероятно захочется снизить ваш уровень безопасности в пользу увеличения функциональных возможностей и понижения стоимости.
В качестве примера рассмотрим компанию по обслуживанию кредитных карточек, которая применить систему защиты от мошенничества. Если мошенничество стоит компании 3 миллиона долларов в год, а внедрение и обслуживание системы предотвращения мошенничества стоит 5 миллионов долларов в год, не существует никакой прямой финансовой выгоды в установке системы. Тем не менее, компания может нести косвенные потери, стоящие гораздо больше, чем 3 миллиона, например потеря репутации и доверия клиента. Поэтому, на самом деле, вычисления гораздо более сложные.
Иногда дополнительные уровни безопасности оборачиваются более сложными системами для пользователей. Онлайновый банк может использовать многочисленные уровни идентификации для своих пользователей каждый раз, когда они хотят получить доступ к своему счету. Однако, если идентификационный процесс является слишком сложным, некоторые клиенты не захотят использовать систему, которая потенциально могла стоить больше, чем нападения, которым мог подвергнуться банк.
Чтобы понять принципы управления рисками, вы должны уяснить некоторые ключевые термины, используемые в процессе управления рисками. Они включают в себя: ресурсы, угрозы, уязвимые места, эксплуатации и контрмеры.
Ресурсы.
Ресурс - это любой объект вашей среды, который вы пытаетесь защитить. Это могут быть данные, приложения, серверы, почтовые программы и даже люди. Цель защиты состоит в том, чтобы предотвратить ваши ресурсы от нападения.
Важная часть управления рисками заключается в том, чтобы оценить значимость ваших ресурсов – ведь вы бы не стали использовать стандартные дверные замки и домашнюю сигнализацию, чтобы охранить королевские драгоценности. Точно так же ценность ваших ресурсов может определить соответствующий уровень безопасности.
Угрозы.
Угроза - это человек, место или вещь, которые имеют возможность получить доступ к ресурсам и причинить вред. В таблице показаны различные типы угроз с примерами.
Таблица 7 :Угрозы компьютерной среде
Тип угрозы | Примеры |
Природная и физическая | Огонь, вода, ветер, землетрясение Сбой электропитания |
Непреднамеренные | Неинформированные сотрудники Неинформированные клиенты |
Намеренные | Атакующие Террористы Промышленные шпионы Правительства Злонамеренный код |
Уязвимое место.
Уязвимое место - это место, где ресурс наиболее восприимчив к нападению, слабости определенного рода. Категории уязвимости показаны в следующей таблице
Таблица 8: Уязвимые места в компьютерной среде.
Вид уязвимого места | Примеры |
Физические | Незапертые двери |
Природные | Неисправная система пожаротушения |
Оборудование и программное обеспечение | Устаревшая антивирусная программа |
Носители | Электрическое воздействие |
Связь | Незашифрованные протоколы |
Человек | Незащищенные процедуры службы поддержки |
Примечание: Так как все организации разные, вышеперечисленные примеры угроз и уязвимых мест могут быть неприменимы к вашей организации,.
Эксплойт.
Ресурс, может оказаться доступным для угрозы, использующей уязвимость в вашей окружающей. Данный тип нападения известен как "эксплуатация". Эксплуатация ресурсов может быть достигнута многими способами. Наиболее распространенные примеры приведены в следующей таблице.
Таблица 9: Эксплуатация в компьютерной среде.
Тип эксплойта | Примеры |
Эксплойты технической уязвимости | Нападение при помощи грубой силы Переполнение буфера Заведомо неверная конфигурация Атаки воспроизведения (Replay Attacks) Атака сессии (Session Hijacking) |
Сбор информации | Идентификация адреса Идентификация операционной системы Сканирование портов Зондирование сервиса и приложения Сканирование уязвимых мест Анализ ответа Подсчет пользователей Утечка при беспроводной связи Социотехника (обманное получение паролей) |
Отказ в обслуживании | Физические повреждения Изъятие ресурсов Модификация ресурсов Насыщение ресурса |
Когда потенциальная угроза использует уязвимые места нападения на ресурс, последствия могут быть очень серьезными. Нижеследующая таблица показывает некоторые из результатов эксплуатации, с которыми вы можете столкнуться, и их примеры.
Таблица 10: Результаты эксплойтов.
Результат эксплойтов | Примеры |
Потеря конфиденциальности | Неразрешенный доступ Повышение прав Заимствование прав или кража идентификации |
Потеря целостности | Повреждение данных Дезинформация |
Потеря доступа | Отказ в обслуживании |
Взаимодействие между угрозами, уязвимыми местами и рисками.
Каждая угроза и уязвимое место, обнаруженные в пределах вашей организации, должны быть квалифицированы и ранжированы по типу: низкая, средняя или высокая. Ранжирование может различаться как между организациями, так и в пределах одной организации. Например, угроза землетрясений выше для офисов, находящихся возле эпицентра, чем где-либо в другом месте. Точно так же уязвимость физического повреждения оборудования будет очень высока для организации, производящей высокочувствительную и хрупкую электронику, в то время как строительная компания может иметь более низкий уровень уязвимости.
Примечание: Помощь в работе 1: Таблица анализа угрозы может быть использована, чтобы помочь вам оценить угрозы и степень их возможного воздействия на вашу организацию.
Уровень риска в вашей организации увеличивается с уровнем угрозы и уязвимости. Это показано в следующей диаграмме.
Рис. 17.Матрица риска