在本出版物中,邀请读者熟悉信息安全领域的基本术语和定义,并考虑信息安全的概念和范例。 本出版物及后续出版物中的信息均基于俄罗斯和世界范围内公认的信息安全方法。
随着信息技术的发展并将其全面渗透到现代国家和公司的几乎所有活动领域中,信息保护问题成为关键:如果不使用高科技信息技术,那么所谓的第四次科学革命是不可想象的,因为伴随着渗透的同时,所有这些优势都会带来与之相关的风险在州,公司和普通市民的生活中,IT不断增长,并日益威胁着信息安全。
信息技术和信息保护领域以及攻击者自身都在不断发展:如果早在20世纪末,黑客计算机系统通常是由学术环境中的热心爱好者处理的,这些爱好者并非旨在获取非法利润,由于欺骗公司和公民,出于经济动机的攻击者的数量每年都在增长。 此外,在现代网络空间中,真正的黑客大军由不同国家的政府运作,支持和赞助。 他们对其他州和大公司的资源和基础设施进行攻击,以获取情报信息,并经常使关键的基础设施甚至整个行业瘫痪。 同时,州的监管压力也在增加:意识到保护信息和信息基础设施的重要性,几乎所有发达国家都采用了应对现代挑战的立法规范。 因此,现代信息安全是高技能攻击者,企业和国家的IT需求以及法律法规的“交火”。 为了在这些条件下取胜,首先需要扎实的基础,即对主要现象,术语以及信息安全的概念有清晰的了解。
传统意义上
的信息
保护意味着确保信息资源的完整性,机密性和可访问性。 此外,处于安全状态的信息的其他属性是不可抵赖性,真实性和责任感。
对信息安全的
威胁被认为是造成不良信息安全事件的潜在原因,该事件可能损坏资产并违反信息安全状态; 事件发生之前,可能会发生未经授权的资产状态更改(称为信息安全事件)。
威胁建模是对可能破坏资产的所有威胁和威胁源可用来造成破坏的攻击媒介的识别。
信息安全风险被理解为将资产的漏洞用作对组织造成损害的特定威胁的潜在可能性。 与传统的风险管理一样,有以下方法来处理网络风险:忽略,接受,避免,转移,最小化。 在许多情况下,最后一种最佳风险处理方法的选择是在信息安全系统和工具的开发和实施之前进行的。 同时,在选择和实施确保资产信息安全的特定措施时,应以在要解决的业务任务,资产的价值和预计损害的程度以及攻击者的潜在成本的背景下应用这些措施的适当性为指导。 根据普遍接受的方法,保护措施的成本不应超过资产的价值或预计损害的金额,并且对于攻击者而言,攻击的估计合理成本应小于实施该攻击的预期收益。
实施攻击所
造成的损害可以是直接的或间接的。 直接损害是公司的直接,显而易见且易于预测的损失,例如知识产权损失,生产秘密披露,资产价值降低或部分或全部销毁,法律费用以及罚款和赔偿金的支付等。 间接损坏可能意味着质量或间接损失。 质量损失可能是公司效力的中止或下降,客户的流失,制成品或服务质量的下降。 间接损失是,例如,利润损失,商业信誉损失和产生的额外费用。
当存在以下相互关联的组件时,会对信息安全造成威胁:威胁的来源,资产的脆弱性,威胁的实现方式,暴露的目标以及有害影响本身。 让我们举个例子:黑客(威胁源)通过向服务于该Web服务器(目标)的DBMS中注入SQL注入(一种实施威胁的方法)来攻击未打补丁的公司的Web服务器(资产漏洞),并非法接收机密信息(恶意影响)。
此外,将更详细地考虑信息安全威胁的这些组成部分。
1.威胁的
来源可以是外部的或内部的(就所考虑的保护对象而言)违反者,第三方,自然力量。
外部违规者不是公司员工,内部信息系统的合法用户,外包商,承包商,供应商,客户以及与所涉组织有法律关系的其他人员。 此类违规者无法合法访问保护对象(信息资产),并根据其技能,能力和动机进行分类。 局外人的例子包括有政府财政支持的亲政府专家黑客或竞争对手雇用的网络犯罪分子,黑客主义者,专业的网络欺诈者,甚至是拥有广泛使用的黑客程序的青少年。 应对外部入侵者的对策包括确保信息安全的几乎所有“经典”方法:内部法规文件的开发和实施,信息保护工具,积极的对策,网络事件的响应和调查等。 组织应定期评估自身遭受外部攻击者攻击的风险,并应考虑其活动范围,对信息技术的依赖,宣传,对攻击者的吸引力以及潜在攻击的广度。 通常,外部入侵者是网络风险中最不可预测和不可控制的因素,需要实施最现代的保护措施和方法。
内部违规者可以被视为个人-员工和公司高管,以及与公司有合同关系的法人实体。 内部违规者根据其行为的重点和恶意程度进行分类,并且为了进行针对性的未经授权的访问,恶意内部人员必须有动机,途径和适当的攻击机会。 服务,设备或人员的提供商也承担信息安全风险-在某些情况下,IT服务提供商,辅助设备的制造商和承包公司的员工成为泄漏的原因。 云服务提供商也属于潜在的内部入侵者类别,这可能由配置不正确的云存储引起的大量数据泄漏证明。 应当指出,评估和管理吸引第三方组织的风险的方法标准化的最新趋势:CBR发布了标准STO BR IBBS-1.4-2018“外包中的信息安全风险管理”,并且国际标准ISO 27036可用于管理交互中的信息安全服务提供商,包括云服务提供商(由ISO 27036-4:2016指导)。
除了外部和内部违规者之外,您也不应忘记其他威胁来源:
第三方和自然力量会对公司的活动产生重大负面影响。 因此,可以将第三方视为公共机构,其干预的后果在公司的工作中可能与自然灾害的影响相称。 调查措施的消息可能会对公司的形象和声誉产生不利影响,而书面命令甚至在相对较短的时间内暂停运营实际上可能意味着该公司退出了市场。 扣押设备,封闭服务器机房以及逮捕公司的主要主管人员也可能导致同样的后果。 最小化第三方影响所产生的风险的措施应既严格执行当前法规的所有要求,又要进行持续的内部合规性检查。 最后,将威胁源分类的自然力量是自然灾害,例如自然和技术灾害,以及社会灾难:流行病,军事行动,恐怖袭击,革命,罢工和其他不可抗力。 为了最大程度地降低这些事件的风险,在确保业务连续性和恢复工作能力以及在公司发展的初始阶段将这些风险考虑在内的系统中,通常需要进行大量的财务投资:您应该仔细选择办公室的位置,同时要考虑到位置,其他机构和基础设施的距离,天气条件,状况国家和社会,请考虑对特定存在区域的经济和社会发展的预测。 除了以上述方式最大程度地减少自然灾害的风险外,公司还可以选择另一种处理这些风险的方式-保险。 使用经过深思熟虑且经过精心挑选的保险支付计划,您可以减轻因不可抗力对企业造成的影响而造成的损失。 但是,任何经理和员工都应始终记住,与最赚钱的业务相比,一个人的生命是无价的,因此,在任何情况下,挽救生命和健康应是第一要务。
2.
漏洞是指缺乏信息系统保护工具,入侵者(外部和内部)都可以使用该工具来实施对信息安全的威胁。 信息系统中的漏洞可能是由系统的创建,实施或操作中的错误引起的,也可能是由防护设备和所采用措施的弱点引起的。
从逻辑角度来看,理想的受保护和安全的信息系统不可能不存在于孤立的空间中,而是要执行其业务功能,因此漏洞甚至可能出现在最可靠且经过测试的系统中。 俄罗斯标准GOST R 56546-2015标识了几种可能的漏洞类型:代码漏洞,配置,体系结构,组织漏洞,多因素漏洞。 该标准还指出了潜在的漏洞位置:系统范围,应用程序,特殊软件,硬件,网络设备和安全工具。 漏洞的危险程度由GOST R 56546-2015定义,它是一种比较值,用于描述信息系统的漏洞以及此漏洞对违反信息安全性(机密性,完整性,可访问性)的影响。
从数量上计算漏洞危害的公认方法是使用美国国家标准与技术研究院(NIST)的通用漏洞评分系统(CVSS)度量。 利用此度量标准,您可以描述漏洞的主要特征,并根据操作的复杂性,对资产安全性的影响,现成的利用漏洞的可用性及其对攻击者的可用性,修复漏洞的能力以及有关存在的消息的可靠性级别(从0到10)量化其危险。漏洞以及与漏洞系统的特定操作环境有关的漏洞。
集中注册和分类漏洞的想法已在多个官方漏洞寄存器中实现,例如MITER CVE(常见漏洞和披露),FSTEC俄罗斯国家安全局(信息安全威胁数据库),NIST NVD(国家漏洞数据库),CERT / CC VND(漏洞说明数据库)。
自1999年以来,一直在维护MITER CVE注册中心,在此期间,已存储了超过11.5万个漏洞的数据。 该注册表中的信息由CNA(CVE编号颁发机构)-注册组织(例如州CERT),软件公司以及有权分配所检测到的漏洞类型CVE-YYYY-NNNN的标识符的独立安全研究人员输入,其中YYYY -发现漏洞的年份,以及NNNN-其序列号。 目前,在CNA名单上有98个组织和个人,其中有两家俄罗斯公司-Yandex和Kaspersky Lab。
俄罗斯BDU的注册机构由俄罗斯FSTEC和PTZI国家研究所管理。 自2015年以来,该漏洞已更新,包含有关BDU类型标识符YYYY-IUUUU的2万1千多个漏洞的信息,其中YYYY是检测年份,而IUUUI是漏洞序列号。 该注册表的特征在于它包含有关在俄罗斯开发的软件中的漏洞的唯一信息,而其他注册表中未提供该信息,并且还允许国内信息保护工具的开发者从可靠的状态源获取最新的漏洞数据。 发现漏洞的任何公民或组织都可以通过Web表单或通过电子邮件直接将有关其的信息发送给俄罗斯FSTEC。
除了官方的之外,软件开发人员(例如,Microsoft,Cisco,Oracle,IBM,Red Hat,Ubuntu,VMware等)以及各个组织和发烧友还维护了大量的漏洞和漏洞利用的替代注册表。
漏洞的原因可能是在软件开发或配置过程中犯的错误。 美国国家标准技术研究院在其CWE(通用弱点枚举)列表中分类了124种错误。 此外,对于MITER组织网站上列出的每个错误,将在详细说明中提供易受攻击的代码示例,参考软件开发阶段检测和消除此类错误的说明以及由该错误引起的已注册CVE漏洞的链接,和CAPEC(通用攻击模式枚举和分类)攻击模式,将错误和可能的攻击联系在一起。
俄罗斯的FSTEC已创建了一个信息安全威胁注册簿,以替代MITER CAPEC分类器。 当天,该注册表包含213种威胁,每种威胁都有其自己的唯一标识符(UBI。***类型),并描述了威胁,威胁的来源,目标及其实施的后果。 可以按名称,来源或威胁后果进行搜索。 同时,注册管理机构不仅包含纯粹的技术威胁,还包含组织威胁,例如,UBI.040(各国司法管辖区之间的冲突的威胁),UBI.056(不良的基础架构转移到云的威胁)或UBI.134(信任丢失的风险)到您的云服务提供商)。
为了识别漏洞,可以同时使用自动化系统(漏洞扫描程序,配置和版本管理系统),并进行安全评估和渗透测试,从而组织可以接收有关存在潜在利用漏洞的信息。 但是,您需要记住,平均每天会出现数十个新漏洞,因此您不应该进行情景分析,而应该建立一个持续的漏洞管理流程。
在其框架内,组织可以根据其关键程度循环进行资产的清单,资产分类和优先级排序,当前安全性分析,漏洞查找和漏洞处理(消除/最小化/隔离/接受),后续验证和评估所采取步骤的有效性。3. 实施方法威胁也可以分类。例如,俄罗斯的FSTEC提供以下类别的威胁实施方法:未经授权的信息收集,资源耗尽,注入,交互过程中的替换,条款和条件的操纵,功能的滥用,概率方法,违反认证,违反授权,操纵数据结构,目标分析,操纵资源,技术故障和错误的使用,获得物理访问权,组织弱点的使用。MITRE ATT&CK项目是一个有关如何实施威胁的知识基础,将方法列表扩展到攻击者使用的战术,技术和程序(TTP-战术,技术,程序)。 MITER ATT&CK与我们前面提到的MITER CAPEC攻击模式分类器相关。对于每种攻击策略,都提供了一系列特定技术,并附有详细的攻击实施技术说明,攻击者使用的软件列表以及根据其“笔迹”使用某些TTP的特定网络犯罪集团的标识符,据此,可以将攻击归因于成功对策或调查。4. 对象公司的所有有形和无形资产在攻击期间都可能有害:人员,信息,开发,生产和供应过程,数据传输通道,软件和硬件以及系统组件。应当记住,在确保公司信息安全的系统中,通常是最弱的一环是人员-员工,经理,外包商。如果保护技术手段能够按照其规定的规则发挥作用并对其有效运行足以正确配置它们,那么,为了最大程度地减少网络攻击中的“人为因素”,您应继续对人员进行说明性工作并进行培训和教育,同时考虑到行为的心理和社会文化特征员工。5,通常,恶意影响的类型是对信息资源的完整性,机密性,可访问性的侵犯,以及对信息的不可否认性,真实性和责任性的攻击。有趣的完整性违规示例可以是多种数据操纵和欺诈方法,例如Data Diddling(对系统进行不正确的更改以保留失真的信息并在将来从中获得财务收益-例如,操纵公司的财务报表和股票价格) ,萨拉米欺诈(Salami Fraud)(长期以来进行了大量非常微妙的更改,最终会导致重大后果-例如,清单全年从所有客户的每个银行帐户中提取10戈比,“逻辑炸弹”(引入软件书签,在某些情况下会导致存储/处理的数据失真),例如,被解雇后对某银行雇员的供款在未经授权的情况下应计利息增加)。违反信息保密权不仅会在短期内造成明显后果,例如,如果在开放访问中发现客户的个人数据,还会导致事实,即在受到损害之后几年,被盗信息会意外地“出现”,例如,诽谤公司或公司负责人的信息可能在首次公开募股或任命前夕披露。竞争对手盗窃公司的专有技术不仅会导致竞争优势和市场份额的丧失,而且还会攻击竞争对手,威胁要宣传公司的“灰色”经营方式,从而导致勒索。通常,破坏信息可用性的攻击最容易发现,同时在运营活动和维护声誉方面具有极大的破坏性。例如,令人震惊的国际流行病WannaCry或NotPetya,以及对俄罗斯支付系统和银行的DDoS攻击。组织和个人也越来越面临勒索软件病毒,勒索软件病毒逐年变得越来越危险,并且能够中止整个企业的运行。可以通过保护措施来消除上述信息安全威胁的总体组成部分(源,漏洞以及实现威胁,目标和有害影响的类型的方法),传统上分为组织,技术,物理,并适用于员工,流程和技术。根据所采取措施的目标,可分为预防,政策,预防,威慑,纠正,补救,调查和补偿性措施。信息安全实际实施的主要国际标准是ISO / IEC 27001:2013信息安全管理系统-要求以及NIST SP 800-53信息系统和组织的安全和隐私控制。以及信息系统和组织的机密性”),其中包括对开发用于确保和管理信息安全的整体系统的组织和技术要求的描述。应该注意的是,NIST SP 800-53标准中描述的所有保护措施还包括实施相应措施的特定步骤,这使该文档比标准ISO / IEC 27001:2013更详细。只有在经历了构建集成信息安全管理系统的主要阶段之后才建议采用各种保护技术手段:在风险管理和网络安全,资产清单和资产分类,风险评估和分析,制定特定类型的保护设备的可行性研究等方面制定内部监管文件。 。还应注意,即使是最现代,最“先进”的工具也需要进行微调才能在特定公司中执行保护性业务功能,因此,为了具有成本效益的使用,您首先需要确切了解此技术或网络防御系统将涵盖的风险,然后进行相应的设置并不断更新。最后,我要再次指出,使用现代信息技术的发展和利益与与之相关的风险和威胁是齐头并进的。因此,信息技术的引入,就像任何带有某些未知数的新项目一样,应与风险分析和处理相结合。但是,通常有一种过时的方法,其中将信息安全问题与业务环境隔离考虑,并且不与风险管理结合在一起。仅全面了解当前信息安全威胁的组成部分,并结合使用风险评估技术来实施和运行各种信息系统,以及对采用防护措施消除威胁的现代方法的了解,将有助于您选择用于公司发展及其数字化转型的IT战略,以及某些信息技术,产品和服务的实施和使用。