Модель вторжений в информационную систему

DOI:

В последнее время вопросы защиты информации стоят наиболее остро. Так, по данным компании InfoWatch, количество утечек конфиденциальной информации в первом полугодии 2018 г. на 12 % больше, чем за аналогичный период 2017 г., и равно 1 039 случаям [2]. При этом из 925 случаев утечки 73 % были реализованы при помощи вторжений в информационную систему.

Понятие вторжения тесно связано с понятиями «атака» и «инцидент» информационной безопасности (ИБ).

Под атакой понимают «действия, направленные на реализацию угроз несанкционированного доступа к информации, воздействия на нее или на ресурсы автомати- зированный информационной системы с применением программных и (или) технических средств» [3]; «вредоносное воздействие, направленное на нарушение информационной безопасности и использующее уязвимости системы» [4]; «практическая реализация угрозы или попытка ее реализации с использованием той или иной уязвимости» [9]. Под инцидентом ИБ – «любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность» [3]; «появление одного или нескольких нежелательных, или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации биз-нес-операций и создания угрозы ИБ» [4].

Информационная система – это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств [5].

Сложность нахождения проведенного вторжения и относительно легкая реализация последнего делает этот вид неправомерных действий очень опасным и усложняет процесс быстрого реагирования на атаку. Результатом такого воздействия является то, что у нарушителя появляется больше времени для атаки, вследствие чего у злоумышленника увеличиваются шансы успешной реализации задуманного [1].

Вторжения можно разделить по характеру воздействия на информационную систему. Они подразделяются на пассивные и активные. К пассивным можно отнести атаки, представляющие собой некоторое влияние, не оказывающее целенаправленного воздействия на работу системы, способное дезорганизовать ее политику безопасности. Отсутствие постоянного воздействия на функционирование информационной системы приводит именно к тому, что пассивное удаленное влияния трудно заметить. Одним из примеров такой атаки служит прослушивание канала связи в сети [8]. Активное воздействие на информационную систе-му– влияние, которое прямо воздействует на функционирование самой системы и подвергает опасности политику безопасности, принятую в ней. Активными влиянием являются почти все типы вторжений, которые происходят извне. Отличие активного влияния от пассивного – принципиальная возможность его выявления, так как в итоге его осуществления в системе случаются изменения, которые легко обнаружить. При пассивном же влиянии очень сложно обнаружить какие-либо следы воздействия на информационную систему [5].

Вторжения подразделяются по цели воздействия: нарушение работы системы (доступа к системе); нарушение целостности информационных ресурсов; нарушение конфиденциальности информационных ресурсов. Данная классификация соответствует трем основным видам вторжений – отказ в обслуживании , раскрытие и нарушение целостности.

Целью любого вторжения является получение несанкционированного доступа (НСД) к информации [8]. Существуют два способа получения информации: искажение и перехват. Перехват информации означает получение к ней доступа без возможности ее изменения. При перехвате информации появляется возможность ее копировать, что является примером нарушения конфиденциальности информации. В таком случае имеется неправомерный доступ, но отсутствуют варианты подмены информации. Нарушение конфиденциальности относиться к пассивным воздействиям [7].

Фальсификацию (искажение, подмену) информации можно классифицировать как полный контроль над потоками информации между объектами или передачу сообщений от пользователя системы, которая была взломана. Подмена информации приводит к нарушению целостности и является примером активного воздействия на информационную систему. Ложный объект информационной системы является примером вторжения для нарушения целостности информации.

Вторжения классифицируют по наличию связи с атакуемым объектом. Их подразделяют на два класса: с обратной связью и без обратной связи [8]. Если атака осуществляется с обратной связью , то злоумышленник отправляет некоторые пакеты на атакуемый объект, на которые ожидает получить ответ. Из-за этого между хакером и машиной, которая должна быть взломана, появляется обратная связь, позволяющая злоумышленнику реагировать на все перемены на атакуемом объекте. В случае, когда атака осуществляется без обратной связи , злоумышленнику нет необходимости реагировать на изменения на атакуемой машине. Эти вторжения реализуются при помощи передачи на атакуемый объект одиночных запросов. Злоумышленник не ждет ответы на эти запросы [6].

Вторжения делятся на вторжения по запросу от атакуемого объекта, вторжения по наступлении ожидаемого события на атакуемом объекте и безусловное.

При вторжении по запросу от атакуемого объекта действие со стороны злоумышленника осуществляется при условии, что атакуемая машина отправит запрос определенного типа.

При вторжении по наступлении ожидаемого события на атакуемом объекте злоумышленник постоянно проводит мониторинг состояния операционной системы удаленной машины и начинает действие при возникновении конкретного события в этой системе.

Безусловное вторжение осуществляется сразу после того, как атакующий выбрал цель и независимо от состояния операционной системы и атакуемого объекта предпринимает атаку.

По расположению субъекта вторжения относительно атакуемого объекта подразделяют на межсегментное и внутрисегментное вторжение.

Модель вторжений в ИС представлена на рисунке.

Знание исследованных классов вторжений наиболее эффективно на этапе проектирования системы защиты информации [7; 8]. Кроме того, использование данной модели при расследовании инцидентов ИБ позволит повысить эффективность работы и снизить риски ИБ [6].

Использование предложенной модели связано с решением конкретных практических задач в области информационной безопасности, в том числе с определением уязвимостей ИС. Последнее, в свою очередь, необходимо для определения элементов системы защиты. Например, на стадии проектирования СЗИ при выборе программных средств защиты нужно учитывать расположение субъекта вторжения относительно атакуемого объекта.

При работе с функционирующей на предприятии СЗИ, то есть при решении вопросов ее модернизации или оптимизации, вопросы внесения изменений в состав СЗИ решаются в соответствии: 1) со статистическими дан- ными по вторжениям в ИС; 2) с имеющимися результатами инцидентов информационной безопасности; 3) с прогнозными данными.

Таким образом, предложенная модель вторжений в ИС является одним из внешних условий при работе с системой защиты информационной системы организации (предприятия) и вполне может определять (задавать) уровень риска информационной безопасности предприятия.