29 января 2017г.
Определение уязвимостей информационной системы (ИС) — это один из основных этапов оценки рисков в информационной системе. Уязвимость - это какая-либо характеристика или свойство ИС, использование которой злоумышленником может привести к реализации угрозы. Угроза представляет собой вероятностное событие или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба активам организации, в частности нарушению конфиденциальности информации ограниченного доступа.
Производя атаку, злоумышленник использует уязвимости информационной системы. Иначе говоря, если нет уязвимости, то отсутствует и угроза атаки, её использующая. Поэтому одним из важнейших механизмов защиты информации ограниченного доступа организации и является процесс поиска, оценки и устранения уязвимостей ИС. Оценка уязвимостей формируется на основе совокупности сведений о наличии, качестве и количестве известных технических ошибок и недостатков в защищаемой информационной системе.
Классификация уязвимостей по источникам возникновения.
1. Уязвимости микропрограмм, прошивок, а также драйверов аппаратных средств могут представлять собой:
· Недекларированные возможности (НДВ)различных программ.
· Отсутствие необходимых средств защиты информации (СЗИ) (аутентификации, проверки целостности, проверки форматов сообщений)
· Ошибки в программах, которые при определенных условиях приводят к сбоям.
Указанный пункт имеет средний уровень вероятности реализации, потому что производители такого ПО, как прошивки и драйверы, либо зачастую не включают в свой продукт необходимые СЗИ и любой желающий может изменить его по своему усмотрению, что не требует огромных знаний, либо допускают ошибки во время создания программного обеспечения (ПО), которые выявляются через значительное количество времени, но не устраняются патчами. Как результат злоумышленник сможет собрать различную информацию о ИС или получить доступ с правами администратора.
2. Уязвимости в процессе инициализации операционной системы:
· Перехват паролей или идентификаторов, модификация программного обеспечения базовой системы ввода – вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для несанкционированного доступа (НСД).
Уязвимости данного пункта имеют низкий уровень вероятности, так как реализация требует высокий уровень знаний в программировании, устройстве BIOS. К тому же обновление или использование BIOS осуществляется крайне редко в организациях. Нарушитель сможет войти в систему с административными правами.
3. Уязвимости прикладного или специального программного обеспечения (ПО) могут возникать:
· При несовместимости программ, связанных с распределением ресурсов ИС.
· при изменении прикладных программ определенным образом или использовании ошибок в них для НСД в ИС.
· НДВ прикладного ПО.
· Отсутствие необходимых средств защиты информации.
Здесь преобладает высокий уровень вероятности, потому что не требуются углубленные знания программирования, многие прикладные программы имеют ошибки, которые длительное время не исправляются и использование которых дает высокий уровень полномочий в информационной системе.
4. Уязвимости на сетевом уровне модели OSI:
· аутентификация протокола ARP осуществляется на базе открытого текста, то есть передается в незашифрованном виде, следовательно, имеется возможность перехвата трафика злоумышленником.
Из-за того, что уязвимости на сетевом уровне широко известны, но либо теоретически не устранимы, либо им не уделяется должное внимание обслуживающим персоналом, присутствует средняя вероятность реализации. Для них требуются достаточные знания в области построения информационных сетей. Злоумышленник может осуществить сбор необходимой информации об учетной записи пользователя ИС или получить к ней доступ.
5. Уязвимости на транспортном уровне модели OSI:
· в связи с отсутствием механизма предотвращения перегрузок буфера в протоколе UDP присутствует возможность реализации UDP шторма, в результате которого происходит существенное снижение производительности сервера.
· отсутствие аутентификации управляющих сообщений протокола RIP об изменении маршрута дает возможность перенаправления трафика.
· В протоколе TCP имеется следующая уязвимость: не проводится проверка корректности заполнения служебных заголовков пакета и как результат происходит значительное снижение скорости обмена и даже полный разрыв произвольных соединений TCP.
Для осуществления указанных уязвимостей необходимы углубленные знания и специализированное ПО.И как следствие, они имеют средний уровень вероятности реализации. Как следствие, нарушитель существенно снизит производительность информационной системы.
6. Уязвимости на сеансовом уровне модели OSI:
· из–за отсутствия поддержки аутентификации заголовков сообщений может быть превышена пропускная способность сети в протоколе SNMP.
· В протоколе SMTP отсутствие поддержки аутентификации заголовков сообщений может привести к подделыванию сообщений электронной почты, а также адреса отправителя.
· В протоколе FTP пароли пересылаются в открытом виде, поэтому злоумышленник может перехватить данные учетной записи, а также имеются в наличии два открытые порта, что дает возможность получения удаленного доступа к хостам.
· В системе доменных имен (DNS) уязвимость заключается в следующем: отсутствуют проверка аутентификации полученных данных от источника, которая приводит к фальсификации ответа DNS – сервера.
Так же, как и в 5 пункте, необходимы солидный уровень подготовки и наличие специального программного обеспечения, поэтому уязвимости на сеансовом уровне имеют средний уровень вероятности. После их реализации злоумышленник может нарушить работу ИС, получить доступ к учетной записи пользователя. Данные утверждения относятся и к пунктам 7-8.
7. Уязвимости на уровне представления модели OSI:
Уязвимости, которые выявляются на уровне представления модели OSI, описаны в пункте 6.
8. Уязвимости на прикладном уровне модели OSI:
· В качестве примера можно привести сервис Telnet, в котором логин и пароль передаются в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Или уязвимости программного обеспечения WEB.
9. Уязвимости СЗИ представляют собой:
· Функции и процедуры, относящиеся к различным программным средствам защиты информации и несовместимые между собой.
· Функции и процедуры, модификация которых позволяет использовать их для проникновения в информационную систему.
· Ошибки в СЗИ, которые при определенных условиях приводят к неработоспособности.
Уязвимости СЗИ имеют минимальный уровень вероятности, так как злоумышленник должен знать исходный код и каким образом устроено средство защиты информации. И в итоге он получает доступ в информационную систему в обход СЗИ.
Институты, производители ПО в области информационной безопасности составляют обширные базы данных, в которые включают известные уязвимости, для ускорения процесса их исправления, а также защиты от этих уязвимостей. В результате работы по составлению таких баз данных появился список стандартных названий для уязвимостей Common Vulnerabilities and Exposures ( CVE).
Список литературы
1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год.
2. Курс «Безопасность Информационных Технологий» [Электронный ресурс].- Режим доступа: http://asher.ru/security/book/its, свободный (дата обращения: 03.12.2016).
