SlideShare a Scribd company logo

Информационная безопасность. Лекция 6.

Download as PPTX, PDF
А
Александр Лысяк

Информационная безопасность. Лекция 6.

Technology
1 of 63
Основы информационной безопасности Лекция 6. Угрозы ИБ. Архитектура и элементы СОИБ. Лектор: A.S. E-mail: accemt@gmail.com Лекции: http://www.slideshare.net/Accemt/presentations
Наиболее часто реализуемые угрозы
Основные элементы атаки Источник Среда распространения Носитель угрозы данных  источник– субъект, материальный объект или физическое явление, создающие угрозу;  среда распространения, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства;  Носитель – физическое лицо или материальный объект, в том числе физическое поле, в котором данные находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Сканирование сети  Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов и анализе ответов от них.  Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.
Угроза выявления пароля  Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты.  Злоумышленник может реализовывать угрозу с помощью целого ряда методов, например:  простой перебор,  перебор с использованием специальных словарей,  установка вредоносной программы для перехвата пароля,  подмена доверенного объекта сети (IP-spoofing) и  перехват пакетов (sniffing).  В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.
Подмена доверенного объекта сети 1. Хост Х ведет наблюдение за хостами А и В и определяет нумерацию пакетов сообщений, идущую от хоста В Хост B Хост Х - хост нарушителя Хост А - доверенный хост 2. Хост Х посылает на хост A серию TCP-запросов на создание соединения, заполняя тем самым очередь запросов с целью вывести из строя на некоторое время хост A SYN, ISSx Хост B Хост Х Хост А SYN, ISSx TCP-запрос на открытие соединения от имени хоста А Хост B Хост Х SYN-бит синхронизации номера последовательности ISSx-произвольный номер последовательности хост А выведен из строя Хост А
Подмена доверенного объекта сети Ответ хоста В на TCP-запрос Хост Х SYN, ACK, ISSb Хост B ACK(ISSx+1) SYN-бит синхронизации номера последовательности ISSb-произвольный номер последовательности хоста B Хост А ACK(ISSx+1)-номер подтверждения приема TCP-пакета от хоста A, равный ISSx+1 ASK(ISSb+1)-номер подтверждения приема TCP-пакета от хоста В, в котором атакующий указывает подобранный номер ISSb+1 ACK, ISSx+1 ACK(ISSb+1) Хост Х ASK(ISSx+1)-номер RST Хост B следующего TCP-пакета Отсутствует сообщение о разрыве TCP-соединения от выведенного из строя хоста А (пакет с заполненным служебным заголовком RST) Хост А
Навязывание ложного маршрута сети (I) 1. Передача нарушителем на хост 1 ложного сообщения по протоколу ICMP Redirect от имени маршрутизатора 1 об изменении таблицы ... Интернет Маршрутизатор 1 Маршрутизатор 2 Ложное сообщение Сервер ICMP Redirect top.secret.com Хост 1 Хост 2 Хост нарушителя 2. Пакеты на top.secret.com направляются на несуществующий маршрутизатор (хост 2), а следовательно, связь с top.secret.com нарушается Таблица ... Интернет маршрутизации Маршрутизатор 1 Маршрутизатор 2 top.secret.com: gateway=хост 2 … Хост 1 Хост 2 Сервер top.secret.com
Навязывание ложного маршрута сети (II) 1. Фаза передачи ложного сообщения ICMP Redirect от имени маршрутизатора на хост 1 Ложное сообщение ICMP Redirect Маршрутизатор в наилучшем маршруте к хосту top.secret.com Интернет Хост 1 Хост 2 Хост нарушителя 2. Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном сервере Интернет Маршрутизатор 1 Маршрутизатор 2 Хост 1 передает пакеты, Атакующий от имени предназначенные хоста 1 передает пакеты top.secret.com, на на top.secret.com хост атакующего Хост нарушителя Сервер top.secret.com Хост 1
Внедрение ложного объекта сети(I) Атакующий прослушивает Маршрутизатор канал, ожидая передачу ARP-запроса  Фаза ожидания Интернет ARP-запроса. Хост 1 Хост 2 Хост N Хост нарушителя  Фаза реализации угрозы. Хост передает Перехватив ARP-запрос, Маршрутизатор  Фаза приема, ARP-запрос атакующий передает ложный ARP-ответ Интернет Хост 1 анализа, Хост 2 Хост N Хост нарушителя воздействия и Маршрутизатор передачи Связь хоста 1 с маршрутизатором происходит перехваченной информации на через ложный ARP-сервер Интернет Хост 1 Хост 2 Хост N ложном ARP- Ложный сервере. ARP-сервер
Внедрение ложного объекта сети(II) Сервер top.secret.com ... Маршрутизатор  Фаза ожидания Маршрутизатор Маршрутизатор атакующим DNS- DNS-сервер запроса от хоста 1 (атакующий находится либо на хосте Хост 1 Хост 2 Хост нарушителя 1 Хост нарушителя 2 нарушителя 1, либо на хосте нарушителя 2).  Фаза передачи Маршрутизатор Сервер top.secret.com ... DNS-запрос Ложный Маршрутизатор Маршрутизатор Ложный DNS-ответ атакующим ложного DNS-ответ DNS-сервер DNS-ответа Хост 1 Хост 2 (атакующий находится Хост нарушителя 1 Хост нарушителя 2 либо на хосте нарушителя 1, либо на хосте нарушителя 2).  Фаза приема, анализа, Маршрутизатор Сервер top.secret.com ... Маршрутизатор Маршрутизатор воздействия и передачи DNS-сервер перехваченной Хост 1 Хост 2 информации на ложном Хост нарушителя 1 Хост нарушителя 2 сервере.
Внедрение ложного объекта сети(III) ... Маршрутизатор ...  Нарушитель передает Маршрутизатор Сервер top.secret.com Шторм ложных ... направленный шторм DNS-ответов от имени DNS- D твет N Маршрутизатор Маршрутизатор сервера на хост 1 о S- DNS-ответов на хост DNS-сервер Хост 1 Хост 2 Ложный сервер (хост нарушителя) 1. ... Маршрутизатор  Хост 1 посылает DNS- ... Маршрутизатор Сервер top.secret.com запрос и немедленно ... Шторм ложных DNS-ответов от имени DNS- получает ложный D твет Маршрутизатор N сервера о DNS-ответ. S- DNS-запрос Маршрутизатор DNS-сервер Хост 1 Хост 2 Ложный сервер (хост нарушителя)  Фаза приема, анализа, ... Маршрутизатор воздействия и ... Маршрутизатор Сервер top.secret.com передачи ... перехваченной Маршрутизатор информации на Маршрутизатор DNS-сервер Хост 1 Хост 2 Ложный сервер ложном сервере. (хост нарушителя)
Отказ в обслуживании  Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.  Могут быть выделены несколько разновидностей таких угроз:  скрытый отказ в обслуживании  явный отказ в обслуживании  вызванный исчерпанием ресурсов ИС;  вызванный нарушением логической связности между техническими средствами;  вызванный передачей злоумышленником пакетов с нестандартными атрибутами.
Удаленный запуск приложений  Угроза заключается в стремлении запустить на хосте различные предварительно внедренные вредоносные программы.  Выделяют три подкласса:  распространение файлов, содержащих несанкционированный исполняемый код;  удаленный запуск приложения путем переполнения буфера приложений-серверов;  удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами.
Удаленный запуск приложений  Основные этапы работы этих программ выглядят следующим образом:  инсталляция в памяти;  ожидание запроса с удаленного хоста, на котором запущена клиент- программа, и обмен с ней сообщениями о готовности;  передача перехваченной информации клиенту или предоставление ему контроля над атакуемым компьютером.
Последствия (I) Тип атаки Возможные последствия Анализ Исследование характеристик сетевого трафика, сетевого перехват передаваемых данных, в том числе трафика идентификаторов и паролей пользователей Сканирование Определение протоколов, доступных портов сетевых сети служб, законов формирования идентификаторов соединений, активных сетевых сервисов, идентификаторов и паролей пользователей «Парольная» Выполнение любого деструктивного действия, атака связанного с получением несанкционированного доступа Подмена Изменение трассы прохождения сообщений, доверенного несанкционированное изменение маршрутно- объекта сети адресных данных. Несанкционированный доступ к сетевым ресурсам, навязывание ложной информации
Последствия (II) Тип атаки Возможные последствия Навязывание Несанкционированное изменение маршрутно- ложного адресных данных, анализ и модификация маршрута передаваемых данных, навязывание ложных сообщений Внедрение Перехват и просмотр трафика. Несанкционированный ложного доступ к сетевым ресурсам, навязывание ложной объекта сети информации
Последствия (III) Отказ в обслуживании Тип атаки Возможные последствия Частичное Снижение пропускной способности каналов связи, исчерпание ресурсов производительности сетевых устройств. Снижение производительности серверных приложений Полное исчерпание Невозможность передачи сообщений из-за ресурсов отсутствия доступа к среде передачи, отказ в установлении соединения. Отказ в предоставлении сервиса (электронной почты, файлового и т.д.) Нарушение Невозможность передачи, сообщений из-за логической отсутствия корректных маршрутно-адресных связности между данных. Невозможность получения услуг ввиду атрибутами, несанкционированной модификации данными, объектами идентификаторов, паролей и т.п. Использование Нарушение работоспособности сетевых устройств ошибок в программах
Последствия (VI) Удаленный запуск приложений Тип атаки Возможные последствия Путем рассылки файлов, Нарушение конфиденциальности, содержащих деструктивный целостности, доступности информации исполняемый код, вирусное заражение Путем переполнения буфера Нарушение конфиденциальности, серверного приложения целостности, доступности информации Путем использования Скрытое управление системой возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами
Задание №1  Прочитать следующие РД ФСТЭК (http://www.fstec.ru/_spravs/_spec.htm ):  «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн».  «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн».  Приказ ФСТЭК №58 «О методах и способах защиты ПДн».  Составить модель нарушителя и модель угроз для одной из следующих систем (являются ИСПДн (учесть), но модель общая):  СЭД ВУЗа (локальная система в множественными внешними каналами).  Корпоративная ИС Intel (распределённая ИС).  Корпоративная ИС компании по производству компьютерных игр.  СЭД завода ЖБИ (есть филиалы).  Интернет-магазин с филиалами (складской учёт автоматизирован).  Сеть магазинов электроники «Эльдорадо».  Единая СЭД и распределённая ИС ФСБ РФ.
Архитектурная безопасность Принципы построения. Реагирование на риски.
Причины возникновения проблем  Совершенно сложная система:  Ошибки проектирования  Ошибки настройки и сопровождения  Ошибки персонала.  Машина Тьюринга  Информация может быть как данными, так и программой.  Информация рассматривается как товар.  Ресурсы = товар.
Иерархия
Обеспечение комплексного подхода Организационные меры Программно- аппаратное обеспечение Политика безопасности
Характерные проблемы  Фирма имеет несколько офисов, расположенных на достаточно большом расстоянии друг от друга. При пересылке конфиденциальной информации по общедоступной сети (например, Internet) необходимо быть уверенным, что никто не сможет ни подсмотреть, ни изменить эту информацию.  Сетевой администратор осуществляет удаленное управление компьютером. Пользователь перехватывает управляющее сообщение, изменяет его содержание и отправляет сообщение на данный компьютер.  Пользователь несанкционированно получает доступ к удаленному компьютеру с правами законного пользователя, либо, имея право доступа к компьютеру, получает доступ с гораздо большими правами.  Фирма открывает Internet-магазин, который принимает оплату в электронном виде. В этом случае продавец должен быть уверен, что он отпускает товар, который действительно оплачен, а покупатель должен иметь гарантии, что он, во-первых, получит оплаченный товар, а во-вторых, номер его кредитной карточки не станет никому известен.  Фирма открывает свой сайт в Internet. В какой-то момент содержимое сайта заменяется новым, либо возникает такой поток и такой способ обращений к сайту, что сервер не справляется с обработкой запросов. В результате обычные посетители сайта либо видят информацию, не имеющую к фирме никакого отношения, либо просто не могут попасть на сайт фирмы.
Принципы архитектурной безопасности  непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;  следование признанным стандартам, использование апробированных решений;  иерархическая организация ИС с небольшим числом сущностей на каждом уровне;  усиление самого слабого звена;  невозможность перехода в небезопасное состояние;  минимизация привилегий;  разделение обязанностей;  эшелонированность обороны;  разнообразие защитных средств;  простота и управляемость информационной системы.
Принципы построения  внесение в конфигурацию той или иной формы избыточности (резервное оборудование, запасные каналы связи и т.п.);  наличие средств обнаружения нештатных ситуаций;  наличие средств реконфигурирования для восстановления, изоляции и/или замены компонентов, отказавших или подвергшихся атаке на доступность;  рассредоточенность сетевого управления, отсутствие единой точки отказа;  выделение подсетей и изоляция групп пользователей друг от друга. Данная мера, являющаяся обобщением разделения процессов на уровне операционной системы, ограничивает зону поражения при возможных нарушениях информационной безопасности.
Состав СОИБ  идентификация и аутентификация;  управление доступом;  протоколирование и аудит;  шифрование;  контроль целостности;  экранирование;  анализ защищенности;  обеспечение отказоустойчивости;  обеспечение безопасного восстановления;  защита коммуникаций;  управление.
Виды мер  превентивные, препятствующие нарушениям ИБ;  меры обнаружения нарушений;  локализующие, сужающие зону воздействия нарушений;  меры по выявлению нарушителя;  меры восстановления режима безопасности.
Реагирование на нарушения режима безопасности локализация инцидента и предупреждение уменьшение наносимого выявление нарушителя повторных нарушений вреда; •Определение группы • Начало производства по •Определение причин и реагирования делу в соответствие с симптомов инцидента •Определение режима действующим •Усиление защиты конфиденциальности законодательством •Обеспечение анализа •Изоляция • Сбор и анализ уязвимостей скомпрометированной доказательств •Устранение причин системы • Выявление виновных инцидента •Создание резервной • Привлечение к •Определение последней копии ответственности в «чистой» резервной •Оценка риска и соответствие с копии. последствий действующим  Написание отчета об •Смена паролей или законодательством инциденту перегенерация системы
Реагирование на инциденты Внимание! Не следует забывать о Идентификация подготовке нормативной базы Первые шаги по выявлению инцидента направленные на Локализация снятие Получение и анализ неопределенности событий, отчетов об Устранение причин инцидентах и All phrases can be сигналов тревог replaced with your own text. Восстановление text. Планирование, координация Извлечение восстановления системы уроков
Идентификация  Выделите персону, ответственную за Идентификация инцидент.  Какие события относятся Локализация к инциденту.  Будьте осторожны в Устранение причин поддержке доверенной цепочки взаимодействия. Восстановление  Координация с Интернет- провайдером.  Уведомьте Извлечение соответствующие уроков структуры (при необходимости).
Локализация  Разверните командный пункт на месте инцидента. Идентификация  Не привлекайте к себе внимания. Локализация  Обходите потенциально скомпрометированную Устранение подсистему. причин  Сделайте резервную копию.  Оцените риск продолжения Восстановление работы атакованных систем.  Проконсультируйтесь с Извлечение владельцем системы. уроков  Смените пароли.
Устранение причин  Определите причины и Идентификация симптомы инцидента.  Усильте защиту. Локализация  Обеспечьте анализ Устранение уязвимостей. причин  Устраните причину Восстановление инцидента.  Определите Извлечение последнюю «чистую» уроков резервную копию.
Восстановление  Восстановите системы. Идентификация  Проверка системы.  Решите, когда Локализация восстанавливать Устранение причин бизнес-операции.  Обеспечить Восстановление мониторинг системы. Извлечение уроков
Извлечение уроков  Сформировать отчет об Идентификация инциденте.  Провести ревизию Локализация моделей, и инструкций. Устранение причин Восстановление Извлечение уроков
Сервис безопасности  сервис, который обеспечивает задаваемую политикой безопасность систем и/или передаваемых данных, либо определяет осуществление атаки. Сервис использует один или более механизмов безопасности.
Типовые сервисы  Конфиденциальность – предотвращение пассивных атак для передаваемых или хранимых данных.  Аутентификация – подтверждение того, что информация получена из законного источника, и получатель действительно является тем, за кого себя выдает. В случае передачи единственного сообщения аутентификация должна гарантировать, что получателем сообщения является тот, кто нужно, и сообщение получено из заявленного источника. В случае установления соединения имеют место два аспекта.  Во-первых, при инициализации соединения сервис должен гарантировать, что оба участника являются требуемыми.  Во-вторых, сервис должен гарантировать, что на соединение не воздействуют таким образом, что третья сторона сможет маскироваться под одну из легальных сторон уже после установления соединения.  Целостность – сервис, гарантирующий, что информация при хранении или передаче не изменилась. Может применяться к потоку сообщений, единственному сообщению или отдельным полям в сообщении, а также к хранимым файлам и отдельным записям файлов.
Типовые сервисы  Невозможность отказа – невозможность, как для получателя, так и для отправителя, отказаться от факта передачи. Таким образом, когда сообщение отправлено, получатель может убедиться, что это сделал легальный отправитель. Аналогично, когда сообщение пришло, отправитель может убедиться, что оно получено легальным получателем.  Контроль доступа – возможность ограничить и контролировать доступ к системам и приложениям по коммуникационным линиям.  Доступность – результатом атак может быть потеря или снижение доступности того или иного сервиса.
Облака  Не санкционированное или незаконное использование ресурсов облака  Не безопасные программные продукты  Инсайдеры  Распределенные уязвимые технологии  Потеря данных или утечки  Похищение аккаунта, ресурсов  Риски связанные с нарушением местного законодательства  Неопределенные риски
Виртуализация  Обеспечение безопасности гипервизора  Определение зон ответственности и собственника ресурсов  Управление администрированием
Технологии аутентификация и управление доступом
Идентификация  позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно- программному компоненту) назвать себя (сообщить свое имя).
Аутентификация  Процедура с помощью которой вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает.
Способы подтверждения подлинности  нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);  нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);  нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).
Парольная аутентификация  наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);  управление сроком действия паролей;  Управление количеством запоминаемых системой паролей.  ограничение доступа к файлу паролей;  ограничение числа неудачных попыток входа в систему;  обучение пользователей;  использование программных генераторов паролей (такая программа, основываясь на несложных правилах, может порождать только благозвучные и, следовательно, запоминающиеся пароли).
Хороший пароль Хороший пароль Плохой пароль  vFsKVe (мАма мыЛа  Gfhjkm2010 (пароль раМу) 2010)  X3*;Z.[FcP/EpT  Dfcz Gegrby25(Вася (получено от Пупкин25) генератора)  8-913-913-9131  Ltdnhbgip9  Yjdjcb,bhcr (Новосибирск) (Дев_три_giз9)  Vfvf vskf hfve (мама мыла раму)
Оценка стойкости  P - вероятность подбора пароля в течение его срока действия (подбор осуществляется непрерывно в течение всего срока действия пароля);  V - скорость подбора паролей (скорость обработки одной попытки регистрации проверяющей стороной либо скорость вычисления хэш-значения одного пробного пароля);  T - срок действия пароля (задает промежуток времени, по истечении которого пароль должен быть сменен);
Kerberos  Особенности системы:  В авторизации участвуют три стороны: пользователь, сервер и центр распределения ключей.  Центру распределения ключей должны доверять все участники системы.
Принцип работы  A –> TGS: (A, B)  TGS –> A: (EA(K, L, Tt, B), EB(K, L, Tt, A)) пользователь сервер  A –> B: (EK(A, Tt), EB(K, L, Tt, A))  B –> A: (EK(Tk+1)).  Сеансовый ключ K создан. Сервер авторизации
Принцип работы  Отправка пользователем запроса на билет TGT пользователь сервер  получение пользователем билета на доступ к серверу;  аутентификация пользователя сервером;  аутентификация Сервер авторизации сервера пользователем.
Двухфакторная авторизация  Авторизация по двум параметрам обычно пароль и еще одна сущность:  Отпечаток пальца  Радужная оболочка глаза  Сетчатка глаза  Почерк  Цифровой почерк  Сотовый телефон  Местоположение
Виды биометрической авторизации  Физиологические — относятся к форме тела. В качестве примера можно привести: отпечатки пальцев, распознавание лица, ДНК, ладонь руки, сетчатка глаза, запах/аромат.  Поведенческие связаны с поведением человека. Например, походка и голос, почерк
Сравнение биометрических схем
Качество систем  FAR (False Acceptence Rate) — процентный порог, определяющий вероятность того, что один человек может быть принят за другого (коэффициент ложного доступа)(также именуется «ошибкой 2 рода»).  FRR (False Rejection Rate) — вероятность того, что человек может быть не распознан системой (коэффициент ложного отказа в доступе)(также именуется «ошибкой 1 рода»).
Виды сканеров отпечатков пальцев  Оптические  Бесконтактные  Ёмкостные  Радиочастотные  Чувствительные к давлению  Термосканеры  Ультразвуковые
Методы обхода сканера отпечатков пальца  Регистрация объектов, отличных от пальцев, не приносит результата - ПО не принимает такие образы.  Конденсация. Если на сканер направить струю тёплого воздуха, отпечаток пальца предыдущего пользователя восстанавливается. Для оптических сканеров возможен такой метод обмана. В случае с полупроводниковыми - не проходит.  Снятие отпечатка пальца скотчем сравнима с предыдущим методом: для оптических есть вероятность обмана, для полупроводниковых - нет.  Муляж, изготовленный из жвачки не проходит, т.к. получается зеркальное отражение. Возможно, профессионалы и могут изготовить обманку из пластичного материала таким способом.  Метод отрезанного пальца скорее всего он не сработает, так как мертвые ткани быстро теряют свои свойства (меняется рисунок). Также для борьбы с этим используются сканеры, реагирующие на дополнительные признаки "живого пальца"(температура, пульс и т.п.).  Муляж из желатина. Существует возможность обмана сканеров отпечатков пальцев, имея на руках предмет, на котором остался нужный отпечаток, клей и желатин. Вероятность ложного допуска с подобным муляжом составляла от 70 до 95%.
Цифровой почерк  Время между нажатиями клавиш на клавиатуре при вводе пароля.  Для человека впервые увидевшего пароль это время будет существенно отличаться от эталонного.
Сотовый телефон  Подтверждает факт обладание заранее определенным телефонным аппаратом.  В качестве расширения предлагается использовать координаты местонахождения аппарата.
Защита программного обеспечения
Защита от копирования  Защита при помощи отчуждаемого носителя;  Электронный ключ;  Привязка к серийным номерам компонентов компьютера;  Внешний модуль против API.
Правовые особенности  Решением магаданского  Вредоносная программа, согласно её юридическому городского суда (26.11) был определению, нарушает вынесен беспрецедентный в работу информационной России (и, скорее всего, в системы, блокирует инфор мире) приговор. Техническое мацию или ухудшает средство защиты авторских работу иных программ. прав (ТСЗАП, DRM) было Кряк же исполняет прямо признано вредоносной противоположное программой (ст.273 УК). действие: разблокирует ра Жуков Вячеслав Васильевич, боту иных программ, автор бухгалтерской превращает программы "СЛВ-Зарплата" неработоспособную осуждён за то, что вставил в систему в своё творение ограничение работоспособную. функциональности для тех пользователей, которые не купили лицензию.
Спасибо за внимание!

Recommended

Антон Тюрин "Распределённая система near-realtime агрегации больших объёмов д...
Антон Тюрин "Распределённая система near-realtime агрегации больших объёмов д...Антон Тюрин "Распределённая система near-realtime агрегации больших объёмов д...
Антон Тюрин "Распределённая система near-realtime агрегации больших объёмов д...
Yandex
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
Александр Лысяк
 
Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.
Александр Лысяк
 
Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.
Александр Лысяк
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасности
Александр Лысяк
 
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Александр Лысяк
 
Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.
Александр Лысяк
 

Recommended

Антон Тюрин "Распределённая система near-realtime агрегации больших объёмов д...
Антон Тюрин "Распределённая система near-realtime агрегации больших объёмов д...Антон Тюрин "Распределённая система near-realtime агрегации больших объёмов д...
Антон Тюрин "Распределённая система near-realtime агрегации больших объёмов д...
Yandex
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
Александр Лысяк
 
Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.
Александр Лысяк
 
Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.
Александр Лысяк
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасности
Александр Лысяк
 
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Александр Лысяк
 
Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.
Александр Лысяк
 
пивной путч гитлера
пивной путч гитлерапивной путч гитлера
пивной путч гитлера
opitnaa
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
Viktoria_Nevash
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
psemitkin
 
Как создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 деньКак создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 день
Александр Лысяк
 
Ordinador personal
Ordinador personalOrdinador personal
Ordinador personal
enricsoriano
 
Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.
Александр Лысяк
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?
Александр Лысяк
 
Mapping
MappingMapping
Mapping
Jane Weakley
 
Volcano
VolcanoVolcano
Volcano
Jane Weakley
 
Volcano
VolcanoVolcano
Volcano
Jane Weakley
 
Mobile trends
Mobile trendsMobile trends
Mobile trends
Kirill Shikhanov
 
Галопом по Апптопам: обзор мобильных игр @ Завтрак для геймера #levelappme
Галопом по Апптопам: обзор мобильных игр @ Завтрак для геймера #levelappmeГалопом по Апптопам: обзор мобильных игр @ Завтрак для геймера #levelappme
Галопом по Апптопам: обзор мобильных игр @ Завтрак для геймера #levelappme
Kirill Shikhanov
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
Александр Лысяк
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
tanya197517
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
 
Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.
Александр Лысяк
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
Александр Лысяк
 
дз№5 информационная безопасность
дз№5 информационная безопасностьдз№5 информационная безопасность
дз№5 информационная безопасность
fdtvfhbz
 

More Related Content

Viewers also liked

пивной путч гитлера
пивной путч гитлерапивной путч гитлера
пивной путч гитлера
opitnaa
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
Viktoria_Nevash
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
psemitkin
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?
Александр Лысяк
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
Александр Лысяк
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
tanya197517
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
Александр Лысяк
 
дз№5 информационная безопасность
дз№5 информационная безопасностьдз№5 информационная безопасность
дз№5 информационная безопасность
fdtvfhbz
 

Viewers also liked (18)

пивной путч гитлера
пивной путч гитлерапивной путч гитлера
пивной путч гитлера
 
Информационная безопасность
Информационная безопасностьИнформационная безопасность
Информационная безопасность
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
 
Как создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 деньКак создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 день
 
Ordinador personal
Ordinador personalOrdinador personal
Ordinador personal
 
Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.
 
Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?Жизненный цикл СЗИ или с чего начать?
Жизненный цикл СЗИ или с чего начать?
 
Mapping
MappingMapping
Mapping
 
Volcano
VolcanoVolcano
Volcano
 
Volcano
VolcanoVolcano
Volcano
 
Mobile trends
Mobile trendsMobile trends
Mobile trends
 
Галопом по Апптопам: обзор мобильных игр @ Завтрак для геймера #levelappme
Галопом по Апптопам: обзор мобильных игр @ Завтрак для геймера #levelappmeГалопом по Апптопам: обзор мобильных игр @ Завтрак для геймера #levelappme
Галопом по Апптопам: обзор мобильных игр @ Завтрак для геймера #levelappme
 
Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рисками
 
информационная безопасность
информационная безопасностьинформационная безопасность
информационная безопасность
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
 
Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?
 
дз№5 информационная безопасность
дз№5 информационная безопасностьдз№5 информационная безопасность
дз№5 информационная безопасность
 

Информационная безопасность. Лекция 6.

  • 1. Основы информационной безопасности Лекция 6. Угрозы ИБ. Архитектура и элементы СОИБ. Лектор: A.S. E-mail: accemt@gmail.com Лекции: http://www.slideshare.net/Accemt/presentations
  • 3. Основные элементы атаки Источник Среда распространения Носитель угрозы данных  источник– субъект, материальный объект или физическое явление, создающие угрозу;  среда распространения, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства;  Носитель – физическое лицо или материальный объект, в том числе физическое поле, в котором данные находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
  • 4. Сканирование сети  Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов и анализе ответов от них.  Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.
  • 5. Угроза выявления пароля  Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты.  Злоумышленник может реализовывать угрозу с помощью целого ряда методов, например:  простой перебор,  перебор с использованием специальных словарей,  установка вредоносной программы для перехвата пароля,  подмена доверенного объекта сети (IP-spoofing) и  перехват пакетов (sniffing).  В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.
  • 6. Подмена доверенного объекта сети 1. Хост Х ведет наблюдение за хостами А и В и определяет нумерацию пакетов сообщений, идущую от хоста В Хост B Хост Х - хост нарушителя Хост А - доверенный хост 2. Хост Х посылает на хост A серию TCP-запросов на создание соединения, заполняя тем самым очередь запросов с целью вывести из строя на некоторое время хост A SYN, ISSx Хост B Хост Х Хост А SYN, ISSx TCP-запрос на открытие соединения от имени хоста А Хост B Хост Х SYN-бит синхронизации номера последовательности ISSx-произвольный номер последовательности хост А выведен из строя Хост А
  • 7. Подмена доверенного объекта сети Ответ хоста В на TCP-запрос Хост Х SYN, ACK, ISSb Хост B ACK(ISSx+1) SYN-бит синхронизации номера последовательности ISSb-произвольный номер последовательности хоста B Хост А ACK(ISSx+1)-номер подтверждения приема TCP-пакета от хоста A, равный ISSx+1 ASK(ISSb+1)-номер подтверждения приема TCP-пакета от хоста В, в котором атакующий указывает подобранный номер ISSb+1 ACK, ISSx+1 ACK(ISSb+1) Хост Х ASK(ISSx+1)-номер RST Хост B следующего TCP-пакета Отсутствует сообщение о разрыве TCP-соединения от выведенного из строя хоста А (пакет с заполненным служебным заголовком RST) Хост А
  • 8. Навязывание ложного маршрута сети (I) 1. Передача нарушителем на хост 1 ложного сообщения по протоколу ICMP Redirect от имени маршрутизатора 1 об изменении таблицы ... Интернет Маршрутизатор 1 Маршрутизатор 2 Ложное сообщение Сервер ICMP Redirect top.secret.com Хост 1 Хост 2 Хост нарушителя 2. Пакеты на top.secret.com направляются на несуществующий маршрутизатор (хост 2), а следовательно, связь с top.secret.com нарушается Таблица ... Интернет маршрутизации Маршрутизатор 1 Маршрутизатор 2 top.secret.com: gateway=хост 2 … Хост 1 Хост 2 Сервер top.secret.com
  • 9. Навязывание ложного маршрута сети (II) 1. Фаза передачи ложного сообщения ICMP Redirect от имени маршрутизатора на хост 1 Ложное сообщение ICMP Redirect Маршрутизатор в наилучшем маршруте к хосту top.secret.com Интернет Хост 1 Хост 2 Хост нарушителя 2. Фаза приема, анализа, воздействия и передачи перехваченной информации на ложном сервере Интернет Маршрутизатор 1 Маршрутизатор 2 Хост 1 передает пакеты, Атакующий от имени предназначенные хоста 1 передает пакеты top.secret.com, на на top.secret.com хост атакующего Хост нарушителя Сервер top.secret.com Хост 1
  • 10. Внедрение ложного объекта сети(I) Атакующий прослушивает Маршрутизатор канал, ожидая передачу ARP-запроса  Фаза ожидания Интернет ARP-запроса. Хост 1 Хост 2 Хост N Хост нарушителя  Фаза реализации угрозы. Хост передает Перехватив ARP-запрос, Маршрутизатор  Фаза приема, ARP-запрос атакующий передает ложный ARP-ответ Интернет Хост 1 анализа, Хост 2 Хост N Хост нарушителя воздействия и Маршрутизатор передачи Связь хоста 1 с маршрутизатором происходит перехваченной информации на через ложный ARP-сервер Интернет Хост 1 Хост 2 Хост N ложном ARP- Ложный сервере. ARP-сервер
  • 11. Внедрение ложного объекта сети(II) Сервер top.secret.com ... Маршрутизатор  Фаза ожидания Маршрутизатор Маршрутизатор атакующим DNS- DNS-сервер запроса от хоста 1 (атакующий находится либо на хосте Хост 1 Хост 2 Хост нарушителя 1 Хост нарушителя 2 нарушителя 1, либо на хосте нарушителя 2).  Фаза передачи Маршрутизатор Сервер top.secret.com ... DNS-запрос Ложный Маршрутизатор Маршрутизатор Ложный DNS-ответ атакующим ложного DNS-ответ DNS-сервер DNS-ответа Хост 1 Хост 2 (атакующий находится Хост нарушителя 1 Хост нарушителя 2 либо на хосте нарушителя 1, либо на хосте нарушителя 2).  Фаза приема, анализа, Маршрутизатор Сервер top.secret.com ... Маршрутизатор Маршрутизатор воздействия и передачи DNS-сервер перехваченной Хост 1 Хост 2 информации на ложном Хост нарушителя 1 Хост нарушителя 2 сервере.
  • 12. Внедрение ложного объекта сети(III) ... Маршрутизатор ...  Нарушитель передает Маршрутизатор Сервер top.secret.com Шторм ложных ... направленный шторм DNS-ответов от имени DNS- D твет N Маршрутизатор Маршрутизатор сервера на хост 1 о S- DNS-ответов на хост DNS-сервер Хост 1 Хост 2 Ложный сервер (хост нарушителя) 1. ... Маршрутизатор  Хост 1 посылает DNS- ... Маршрутизатор Сервер top.secret.com запрос и немедленно ... Шторм ложных DNS-ответов от имени DNS- получает ложный D твет Маршрутизатор N сервера о DNS-ответ. S- DNS-запрос Маршрутизатор DNS-сервер Хост 1 Хост 2 Ложный сервер (хост нарушителя)  Фаза приема, анализа, ... Маршрутизатор воздействия и ... Маршрутизатор Сервер top.secret.com передачи ... перехваченной Маршрутизатор информации на Маршрутизатор DNS-сервер Хост 1 Хост 2 Ложный сервер ложном сервере. (хост нарушителя)
  • 13. Отказ в обслуживании  Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.  Могут быть выделены несколько разновидностей таких угроз:  скрытый отказ в обслуживании  явный отказ в обслуживании  вызванный исчерпанием ресурсов ИС;  вызванный нарушением логической связности между техническими средствами;  вызванный передачей злоумышленником пакетов с нестандартными атрибутами.
  • 14. Удаленный запуск приложений  Угроза заключается в стремлении запустить на хосте различные предварительно внедренные вредоносные программы.  Выделяют три подкласса:  распространение файлов, содержащих несанкционированный исполняемый код;  удаленный запуск приложения путем переполнения буфера приложений-серверов;  удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами.
  • 15. Удаленный запуск приложений  Основные этапы работы этих программ выглядят следующим образом:  инсталляция в памяти;  ожидание запроса с удаленного хоста, на котором запущена клиент- программа, и обмен с ней сообщениями о готовности;  передача перехваченной информации клиенту или предоставление ему контроля над атакуемым компьютером.
  • 16. Последствия (I) Тип атаки Возможные последствия Анализ Исследование характеристик сетевого трафика, сетевого перехват передаваемых данных, в том числе трафика идентификаторов и паролей пользователей Сканирование Определение протоколов, доступных портов сетевых сети служб, законов формирования идентификаторов соединений, активных сетевых сервисов, идентификаторов и паролей пользователей «Парольная» Выполнение любого деструктивного действия, атака связанного с получением несанкционированного доступа Подмена Изменение трассы прохождения сообщений, доверенного несанкционированное изменение маршрутно- объекта сети адресных данных. Несанкционированный доступ к сетевым ресурсам, навязывание ложной информации
  • 17. Последствия (II) Тип атаки Возможные последствия Навязывание Несанкционированное изменение маршрутно- ложного адресных данных, анализ и модификация маршрута передаваемых данных, навязывание ложных сообщений Внедрение Перехват и просмотр трафика. Несанкционированный ложного доступ к сетевым ресурсам, навязывание ложной объекта сети информации
  • 18. Последствия (III) Отказ в обслуживании Тип атаки Возможные последствия Частичное Снижение пропускной способности каналов связи, исчерпание ресурсов производительности сетевых устройств. Снижение производительности серверных приложений Полное исчерпание Невозможность передачи сообщений из-за ресурсов отсутствия доступа к среде передачи, отказ в установлении соединения. Отказ в предоставлении сервиса (электронной почты, файлового и т.д.) Нарушение Невозможность передачи, сообщений из-за логической отсутствия корректных маршрутно-адресных связности между данных. Невозможность получения услуг ввиду атрибутами, несанкционированной модификации данными, объектами идентификаторов, паролей и т.п. Использование Нарушение работоспособности сетевых устройств ошибок в программах
  • 19. Последствия (VI) Удаленный запуск приложений Тип атаки Возможные последствия Путем рассылки файлов, Нарушение конфиденциальности, содержащих деструктивный целостности, доступности информации исполняемый код, вирусное заражение Путем переполнения буфера Нарушение конфиденциальности, серверного приложения целостности, доступности информации Путем использования Скрытое управление системой возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами
  • 20. Задание №1  Прочитать следующие РД ФСТЭК (http://www.fstec.ru/_spravs/_spec.htm ):  «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн».  «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн».  Приказ ФСТЭК №58 «О методах и способах защиты ПДн».  Составить модель нарушителя и модель угроз для одной из следующих систем (являются ИСПДн (учесть), но модель общая):  СЭД ВУЗа (локальная система в множественными внешними каналами).  Корпоративная ИС Intel (распределённая ИС).  Корпоративная ИС компании по производству компьютерных игр.  СЭД завода ЖБИ (есть филиалы).  Интернет-магазин с филиалами (складской учёт автоматизирован).  Сеть магазинов электроники «Эльдорадо».  Единая СЭД и распределённая ИС ФСБ РФ.
  • 22. Причины возникновения проблем  Совершенно сложная система:  Ошибки проектирования  Ошибки настройки и сопровождения  Ошибки персонала.  Машина Тьюринга  Информация может быть как данными, так и программой.  Информация рассматривается как товар.  Ресурсы = товар.
  • 24. Обеспечение комплексного подхода Организационные меры Программно- аппаратное обеспечение Политика безопасности
  • 25. Характерные проблемы  Фирма имеет несколько офисов, расположенных на достаточно большом расстоянии друг от друга. При пересылке конфиденциальной информации по общедоступной сети (например, Internet) необходимо быть уверенным, что никто не сможет ни подсмотреть, ни изменить эту информацию.  Сетевой администратор осуществляет удаленное управление компьютером. Пользователь перехватывает управляющее сообщение, изменяет его содержание и отправляет сообщение на данный компьютер.  Пользователь несанкционированно получает доступ к удаленному компьютеру с правами законного пользователя, либо, имея право доступа к компьютеру, получает доступ с гораздо большими правами.  Фирма открывает Internet-магазин, который принимает оплату в электронном виде. В этом случае продавец должен быть уверен, что он отпускает товар, который действительно оплачен, а покупатель должен иметь гарантии, что он, во-первых, получит оплаченный товар, а во-вторых, номер его кредитной карточки не станет никому известен.  Фирма открывает свой сайт в Internet. В какой-то момент содержимое сайта заменяется новым, либо возникает такой поток и такой способ обращений к сайту, что сервер не справляется с обработкой запросов. В результате обычные посетители сайта либо видят информацию, не имеющую к фирме никакого отношения, либо просто не могут попасть на сайт фирмы.
  • 26. Принципы архитектурной безопасности  непрерывность защиты в пространстве и времени, невозможность миновать защитные средства;  следование признанным стандартам, использование апробированных решений;  иерархическая организация ИС с небольшим числом сущностей на каждом уровне;  усиление самого слабого звена;  невозможность перехода в небезопасное состояние;  минимизация привилегий;  разделение обязанностей;  эшелонированность обороны;  разнообразие защитных средств;  простота и управляемость информационной системы.
  • 27. Принципы построения  внесение в конфигурацию той или иной формы избыточности (резервное оборудование, запасные каналы связи и т.п.);  наличие средств обнаружения нештатных ситуаций;  наличие средств реконфигурирования для восстановления, изоляции и/или замены компонентов, отказавших или подвергшихся атаке на доступность;  рассредоточенность сетевого управления, отсутствие единой точки отказа;  выделение подсетей и изоляция групп пользователей друг от друга. Данная мера, являющаяся обобщением разделения процессов на уровне операционной системы, ограничивает зону поражения при возможных нарушениях информационной безопасности.
  • 28. Состав СОИБ  идентификация и аутентификация;  управление доступом;  протоколирование и аудит;  шифрование;  контроль целостности;  экранирование;  анализ защищенности;  обеспечение отказоустойчивости;  обеспечение безопасного восстановления;  защита коммуникаций;  управление.
  • 29. Виды мер  превентивные, препятствующие нарушениям ИБ;  меры обнаружения нарушений;  локализующие, сужающие зону воздействия нарушений;  меры по выявлению нарушителя;  меры восстановления режима безопасности.
  • 30. Реагирование на нарушения режима безопасности локализация инцидента и предупреждение уменьшение наносимого выявление нарушителя повторных нарушений вреда; •Определение группы • Начало производства по •Определение причин и реагирования делу в соответствие с симптомов инцидента •Определение режима действующим •Усиление защиты конфиденциальности законодательством •Обеспечение анализа •Изоляция • Сбор и анализ уязвимостей скомпрометированной доказательств •Устранение причин системы • Выявление виновных инцидента •Создание резервной • Привлечение к •Определение последней копии ответственности в «чистой» резервной •Оценка риска и соответствие с копии. последствий действующим  Написание отчета об •Смена паролей или законодательством инциденту перегенерация системы
  • 31. Реагирование на инциденты Внимание! Не следует забывать о Идентификация подготовке нормативной базы Первые шаги по выявлению инцидента направленные на Локализация снятие Получение и анализ неопределенности событий, отчетов об Устранение причин инцидентах и All phrases can be сигналов тревог replaced with your own text. Восстановление text. Планирование, координация Извлечение восстановления системы уроков
  • 32. Идентификация  Выделите персону, ответственную за Идентификация инцидент.  Какие события относятся Локализация к инциденту.  Будьте осторожны в Устранение причин поддержке доверенной цепочки взаимодействия. Восстановление  Координация с Интернет- провайдером.  Уведомьте Извлечение соответствующие уроков структуры (при необходимости).
  • 33. Локализация  Разверните командный пункт на месте инцидента. Идентификация  Не привлекайте к себе внимания. Локализация  Обходите потенциально скомпрометированную Устранение подсистему. причин  Сделайте резервную копию.  Оцените риск продолжения Восстановление работы атакованных систем.  Проконсультируйтесь с Извлечение владельцем системы. уроков  Смените пароли.
  • 34. Устранение причин  Определите причины и Идентификация симптомы инцидента.  Усильте защиту. Локализация  Обеспечьте анализ Устранение уязвимостей. причин  Устраните причину Восстановление инцидента.  Определите Извлечение последнюю «чистую» уроков резервную копию.
  • 35. Восстановление  Восстановите системы. Идентификация  Проверка системы.  Решите, когда Локализация восстанавливать Устранение причин бизнес-операции.  Обеспечить Восстановление мониторинг системы. Извлечение уроков
  • 36. Извлечение уроков  Сформировать отчет об Идентификация инциденте.  Провести ревизию Локализация моделей, и инструкций. Устранение причин Восстановление Извлечение уроков
  • 37. Сервис безопасности  сервис, который обеспечивает задаваемую политикой безопасность систем и/или передаваемых данных, либо определяет осуществление атаки. Сервис использует один или более механизмов безопасности.
  • 38. Типовые сервисы  Конфиденциальность – предотвращение пассивных атак для передаваемых или хранимых данных.  Аутентификация – подтверждение того, что информация получена из законного источника, и получатель действительно является тем, за кого себя выдает. В случае передачи единственного сообщения аутентификация должна гарантировать, что получателем сообщения является тот, кто нужно, и сообщение получено из заявленного источника. В случае установления соединения имеют место два аспекта.  Во-первых, при инициализации соединения сервис должен гарантировать, что оба участника являются требуемыми.  Во-вторых, сервис должен гарантировать, что на соединение не воздействуют таким образом, что третья сторона сможет маскироваться под одну из легальных сторон уже после установления соединения.  Целостность – сервис, гарантирующий, что информация при хранении или передаче не изменилась. Может применяться к потоку сообщений, единственному сообщению или отдельным полям в сообщении, а также к хранимым файлам и отдельным записям файлов.
  • 39. Типовые сервисы  Невозможность отказа – невозможность, как для получателя, так и для отправителя, отказаться от факта передачи. Таким образом, когда сообщение отправлено, получатель может убедиться, что это сделал легальный отправитель. Аналогично, когда сообщение пришло, отправитель может убедиться, что оно получено легальным получателем.  Контроль доступа – возможность ограничить и контролировать доступ к системам и приложениям по коммуникационным линиям.  Доступность – результатом атак может быть потеря или снижение доступности того или иного сервиса.
  • 40. Облака  Не санкционированное или незаконное использование ресурсов облака  Не безопасные программные продукты  Инсайдеры  Распределенные уязвимые технологии  Потеря данных или утечки  Похищение аккаунта, ресурсов  Риски связанные с нарушением местного законодательства  Неопределенные риски
  • 41. Виртуализация  Обеспечение безопасности гипервизора  Определение зон ответственности и собственника ресурсов  Управление администрированием
  • 43. Идентификация  позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно- программному компоненту) назвать себя (сообщить свое имя).
  • 44. Аутентификация  Процедура с помощью которой вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает.
  • 45. Способы подтверждения подлинности  нечто, что он знает (пароль, личный идентификационный номер, криптографический ключ и т.п.);  нечто, чем он владеет (личную карточку или иное устройство аналогичного назначения);  нечто, что есть часть его самого (голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики).
  • 46. Парольная аутентификация  наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);  управление сроком действия паролей;  Управление количеством запоминаемых системой паролей.  ограничение доступа к файлу паролей;  ограничение числа неудачных попыток входа в систему;  обучение пользователей;  использование программных генераторов паролей (такая программа, основываясь на несложных правилах, может порождать только благозвучные и, следовательно, запоминающиеся пароли).
  • 47. Хороший пароль Хороший пароль Плохой пароль  vFsKVe (мАма мыЛа  Gfhjkm2010 (пароль раМу) 2010)  X3*;Z.[FcP/EpT  Dfcz Gegrby25(Вася (получено от Пупкин25) генератора)  8-913-913-9131  Ltdnhbgip9  Yjdjcb,bhcr (Новосибирск) (Дев_три_giз9)  Vfvf vskf hfve (мама мыла раму)
  • 48. Оценка стойкости  P - вероятность подбора пароля в течение его срока действия (подбор осуществляется непрерывно в течение всего срока действия пароля);  V - скорость подбора паролей (скорость обработки одной попытки регистрации проверяющей стороной либо скорость вычисления хэш-значения одного пробного пароля);  T - срок действия пароля (задает промежуток времени, по истечении которого пароль должен быть сменен);
  • 49. Kerberos  Особенности системы:  В авторизации участвуют три стороны: пользователь, сервер и центр распределения ключей.  Центру распределения ключей должны доверять все участники системы.
  • 50. Принцип работы  A –> TGS: (A, B)  TGS –> A: (EA(K, L, Tt, B), EB(K, L, Tt, A)) пользователь сервер  A –> B: (EK(A, Tt), EB(K, L, Tt, A))  B –> A: (EK(Tk+1)).  Сеансовый ключ K создан. Сервер авторизации
  • 51. Принцип работы  Отправка пользователем запроса на билет TGT пользователь сервер  получение пользователем билета на доступ к серверу;  аутентификация пользователя сервером;  аутентификация Сервер авторизации сервера пользователем.
  • 52. Двухфакторная авторизация  Авторизация по двум параметрам обычно пароль и еще одна сущность:  Отпечаток пальца  Радужная оболочка глаза  Сетчатка глаза  Почерк  Цифровой почерк  Сотовый телефон  Местоположение
  • 53. Виды биометрической авторизации  Физиологические — относятся к форме тела. В качестве примера можно привести: отпечатки пальцев, распознавание лица, ДНК, ладонь руки, сетчатка глаза, запах/аромат.  Поведенческие связаны с поведением человека. Например, походка и голос, почерк
  • 55. Качество систем  FAR (False Acceptence Rate) — процентный порог, определяющий вероятность того, что один человек может быть принят за другого (коэффициент ложного доступа)(также именуется «ошибкой 2 рода»).  FRR (False Rejection Rate) — вероятность того, что человек может быть не распознан системой (коэффициент ложного отказа в доступе)(также именуется «ошибкой 1 рода»).
  • 56. Виды сканеров отпечатков пальцев  Оптические  Бесконтактные  Ёмкостные  Радиочастотные  Чувствительные к давлению  Термосканеры  Ультразвуковые
  • 57. Методы обхода сканера отпечатков пальца  Регистрация объектов, отличных от пальцев, не приносит результата - ПО не принимает такие образы.  Конденсация. Если на сканер направить струю тёплого воздуха, отпечаток пальца предыдущего пользователя восстанавливается. Для оптических сканеров возможен такой метод обмана. В случае с полупроводниковыми - не проходит.  Снятие отпечатка пальца скотчем сравнима с предыдущим методом: для оптических есть вероятность обмана, для полупроводниковых - нет.  Муляж, изготовленный из жвачки не проходит, т.к. получается зеркальное отражение. Возможно, профессионалы и могут изготовить обманку из пластичного материала таким способом.  Метод отрезанного пальца скорее всего он не сработает, так как мертвые ткани быстро теряют свои свойства (меняется рисунок). Также для борьбы с этим используются сканеры, реагирующие на дополнительные признаки "живого пальца"(температура, пульс и т.п.).  Муляж из желатина. Существует возможность обмана сканеров отпечатков пальцев, имея на руках предмет, на котором остался нужный отпечаток, клей и желатин. Вероятность ложного допуска с подобным муляжом составляла от 70 до 95%.
  • 58. Цифровой почерк  Время между нажатиями клавиш на клавиатуре при вводе пароля.  Для человека впервые увидевшего пароль это время будет существенно отличаться от эталонного.
  • 59. Сотовый телефон  Подтверждает факт обладание заранее определенным телефонным аппаратом.  В качестве расширения предлагается использовать координаты местонахождения аппарата.
  • 61. Защита от копирования  Защита при помощи отчуждаемого носителя;  Электронный ключ;  Привязка к серийным номерам компонентов компьютера;  Внешний модуль против API.
  • 62. Правовые особенности  Решением магаданского  Вредоносная программа, согласно её юридическому городского суда (26.11) был определению, нарушает вынесен беспрецедентный в работу информационной России (и, скорее всего, в системы, блокирует инфор мире) приговор. Техническое мацию или ухудшает средство защиты авторских работу иных программ. прав (ТСЗАП, DRM) было Кряк же исполняет прямо признано вредоносной противоположное программой (ст.273 УК). действие: разблокирует ра Жуков Вячеслав Васильевич, боту иных программ, автор бухгалтерской превращает программы "СЛВ-Зарплата" неработоспособную осуждён за то, что вставил в систему в своё творение ограничение работоспособную. функциональности для тех пользователей, которые не купили лицензию.