5.2. Общая характеристика уязвимостей информационной системы персональных данных
Уязвимость информационной системы персональных данных — недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности персональных данным.
Причинами возникновения уязвимостей являются:
ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения;
преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения;
неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ;
несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;
несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;
сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).
Классификация основных уязвимостей ИСПДн приведена на рисунке 4.
│По типу ПО│ │По этапу жизненного│ │По причине │ │По характеру │
└┬─────────┘ │цикла программного │ │возникновения │ │последствий от │
│ ┌───────────┐│обеспечения, на │ │уязвимости │ │реализации атак│
└>│Прикладное │ ├>│Уязвимости, │ │ │аутентифи- │ │ │для │
│программное│ │ │возникающие на │ │ │кации │ │ │переполнения │
│обеспечение│ │ │этапе │ │ └───────────┘ │ │буфера │
│ │обеспечения ├─┐ │ │защиты │ ├>│Уязвимости, │
│ │реализации │ │ │записей │ │ │для подбора │
├───>│программного │ │ └───────────┘ │ │пароля или │
│программного │ │ │выполнять │ ├>│Уязвимости, │
│обеспечения │ │ │деструктив-│ │ │используемые │
│ │действия │ │ │прав доступа │
│корректнос-│ │для реализа- │
│ти входных │ │ции атаки │
│данных │ │»Отказ в │
Рисунок 4. Классификация уязвимостей
Ниже представлена общая характеристика основных групп уязвимостей ИСПДн, включающих:
уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия);
уязвимости прикладного программного обеспечения (в том числе средств защиты информации).
- 5.2.1. Общая характеристика уязвимостей системного программного обеспечения
- 5.2.2. Общая характеристика уязвимостей прикладного программного обеспечения
ОПРЕДЕЛЕНИЕ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННЫХ СИСТЕМ КАК СПОСОБ СНИЖЕНИЯ УГРОЗЫ
Определение уязвимостей информационной системы (ИС) — это один из основных этапов оценки рисков в информационной системе. Уязвимость — это какая-либо характеристика или свойство ИС, использование которой злоумышленником может привести к реализации угрозы. Угроза представляет собой вероятностное событие или процесс, которое посредством воздействия на компоненты информационной системы может привести к нанесению ущерба активам организации, в частности нарушению конфиденциальности информации ограниченного доступа.
Производя атаку, злоумышленник использует уязвимости информационной системы. Иначе говоря, если нет уязвимости, то отсутствует и угроза атаки, её использующая. Поэтому одним из важнейших механизмов защиты информации ограниченного доступа организации и является процесс поиска, оценки и устранения уязвимостей ИС. Оценка уязвимостей формируется на основе совокупности сведений о наличии, качестве и количестве известных технических ошибок и недостатков в защищаемой информационной системе.
Классификация уязвимостей по источникам возникновения.
1. Уязвимости микропрограмм, прошивок, а также драйверов аппаратных средств могут представлять собой:
· Недекларированные возможности (НДВ)различных программ.
· Отсутствие необходимых средств защиты информации (СЗИ) (аутентификации, проверки целостности, проверки форматов сообщений)
· Ошибки в программах, которые при определенных условиях приводят к сбоям.
Указанный пункт имеет средний уровень вероятности реализации, потому что производители такого ПО, как прошивки и драйверы, либо зачастую не включают в свой продукт необходимые СЗИ и любой желающий может изменить его по своему усмотрению, что не требует огромных знаний, либо допускают ошибки во время создания программного обеспечения (ПО), которые выявляются через значительное количество времени, но не устраняются патчами. Как результат злоумышленник сможет собрать различную информацию о ИС или получить доступ с правами администратора.
2. Уязвимости в процессе инициализации операционной системы:
· Перехват паролей или идентификаторов, модификация программного обеспечения базовой системы ввода – вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для несанкционированного доступа (НСД).
Уязвимости данного пункта имеют низкий уровень вероятности, так как реализация требует высокий уровень знаний в программировании, устройстве BIOS. К тому же обновление или использование BIOS осуществляется крайне редко в организациях. Нарушитель сможет войти в систему с административными правами.
3. Уязвимости прикладного или специального программного обеспечения (ПО) могут возникать:
· При несовместимости программ, связанных с распределением ресурсов ИС.
· при изменении прикладных программ определенным образом или использовании ошибок в них для НСД в ИС.
· НДВ прикладного ПО.
· Отсутствие необходимых средств защиты информации.
Здесь преобладает высокий уровень вероятности, потому что не требуются углубленные знания программирования, многие прикладные программы имеют ошибки, которые длительное время не исправляются и использование которых дает высокий уровень полномочий в информационной системе.
4. Уязвимости на сетевом уровне модели OSI:
· аутентификация протокола ARP осуществляется на базе открытого текста, то есть передается в незашифрованном виде, следовательно, имеется возможность перехвата трафика злоумышленником.
Из-за того, что уязвимости на сетевом уровне широко известны, но либо теоретически не устранимы, либо им не уделяется должное внимание обслуживающим персоналом, присутствует средняя вероятность реализации. Для них требуются достаточные знания в области построения информационных сетей. Злоумышленник может осуществить сбор необходимой информации об учетной записи пользователя ИС или получить к ней доступ.
5. Уязвимости на транспортном уровне модели OSI:
· в связи с отсутствием механизма предотвращения перегрузок буфера в протоколе UDP присутствует возможность реализации UDP шторма, в результате которого происходит существенное снижение производительности сервера.
· отсутствие аутентификации управляющих сообщений протокола RIP об изменении маршрута дает возможность перенаправления трафика.
· В протоколе TCP имеется следующая уязвимость: не проводится проверка корректности заполнения служебных заголовков пакета и как результат происходит значительное снижение скорости обмена и даже полный разрыв произвольных соединений TCP.
Для осуществления указанных уязвимостей необходимы углубленные знания и специализированное ПО.И как следствие, они имеют средний уровень вероятности реализации. Как следствие, нарушитель существенно снизит производительность информационной системы.
6. Уязвимости на сеансовом уровне модели OSI:
· из–за отсутствия поддержки аутентификации заголовков сообщений может быть превышена пропускная способность сети в протоколе SNMP.
· В протоколе SMTP отсутствие поддержки аутентификации заголовков сообщений может привести к подделыванию сообщений электронной почты, а также адреса отправителя.
· В протоколе FTP пароли пересылаются в открытом виде, поэтому злоумышленник может перехватить данные учетной записи, а также имеются в наличии два открытые порта, что дает возможность получения удаленного доступа к хостам.
· В системе доменных имен (DNS) уязвимость заключается в следующем: отсутствуют проверка аутентификации полученных данных от источника, которая приводит к фальсификации ответа DNS – сервера.
Так же, как и в 5 пункте, необходимы солидный уровень подготовки и наличие специального программного обеспечения, поэтому уязвимости на сеансовом уровне имеют средний уровень вероятности. После их реализации злоумышленник может нарушить работу ИС, получить доступ к учетной записи пользователя. Данные утверждения относятся и к пунктам 7-8.
7. Уязвимости на уровне представления модели OSI:
Уязвимости, которые выявляются на уровне представления модели OSI, описаны в пункте 6.
8. Уязвимости на прикладном уровне модели OSI:
· В качестве примера можно привести сервис Telnet, в котором логин и пароль передаются в открытом виде. Это явный недостаток, заложенный на этапе проектирования. Или уязвимости программного обеспечения WEB.
9. Уязвимости СЗИ представляют собой:
· Функции и процедуры, относящиеся к различным программным средствам защиты информации и несовместимые между собой.
· Функции и процедуры, модификация которых позволяет использовать их для проникновения в информационную систему.
· Ошибки в СЗИ, которые при определенных условиях приводят к неработоспособности.
Уязвимости СЗИ имеют минимальный уровень вероятности, так как злоумышленник должен знать исходный код и каким образом устроено средство защиты информации. И в итоге он получает доступ в информационную систему в обход СЗИ.
Институты, производители ПО в области информационной безопасности составляют обширные базы данных, в которые включают известные уязвимости, для ускорения процесса их исправления, а также защиты от этих уязвимостей. В результате работы по составлению таких баз данных появился список стандартных названий для уязвимостей Common Vulnerabilities and Exposures ( CVE).
1. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год.
Что такое уязвимость в ИБ и как их классифицируют ?
Уязвимость в информационной безопасности (ИБ) — это слабость в информационной системе, программном обеспечении или процедуре, которую злоумышленник может использовать для проникновения в систему, нарушения ее работы или доступа к ней.
78 показов
1.7K открытий
Уязвимости классифицируются по различным параметрам, включая:
- Источник уязвимости: Уязвимости могут быть связаны с программным обеспечением (например, ошибками кода, неправильной настройкой), оборудованием (например, физические слабые места), человеческими факторами (например, ошибки пользователей, небрежность) и организационными процессами (например, устаревшие процедуры безопасности).
- Тип уязвимости: Включает уязвимости, связанные с нарушением доступа (например, эскалация привилегий, перебор учетных данных), переполнением буфера, инъекциями (например, SQL-инъекция), утечкой информации и т. д.
- Воздействие уязвимости: Указывает на последствия эксплуатации уязвимости. Это может варьироваться от незначительного влияния (например, временная недоступность веб-сайта) до значительного воздействия (например, кража конфиденциальных данных, полное нарушение работы системы).
- Степень сложности эксплуатации: Относится к тому, насколько легко злоумышленнику использовать уязвимость. Некоторые уязвимости могут быть эксплуатированы автоматически с помощью вредоносного программного обеспечения, в то время как другие требуют значительных технических знаний и ресурсов.
Важным инструментом для классификации уязвимостей является база данных Common Vulnerabilities and Exposures (CVE), которая содержит идентификаторы для известных уязвимостей. Кроме того, используется система Common Vulnerability Scoring System (CVSS), которая предоставляет стандартизированный метод для оценки серьезности уязвимости.
Вот несколько примеров критических уязвимостей, которые были обнаружены в прошлом:
- Heartbleed (CVE-2014-0160): Уязвимость в библиотеке OpenSSL, широко используемой для обеспечения безопасности передачи данных в интернете. Эта уязвимость позволяла злоумышленникам читать информацию, которая обычно защищена SSL/TLS шифрованием.
- EternalBlue (CVE-2017-0144): Уязвимость также была в Windows и использовалась для распространения вредоносного ПО WannaCry. Уязвимость позволяла злоумышленникам исполнять код на целевой системе без каких-либо пользовательских взаимодействий.
- Shellshock (CVE-2014-6271): Уязвимость в программе Bash, обычно используемой на Unix и Linux системах. Уязвимость позволяла злоумышленникам выполнять произвольные команды на уязвимой системе.
- Meltdown и Spectre (CVE-2017-5754, CVE-2017-5753, CVE-2017-5715): Уязвимости в микропроцессорах, которые позволяли злоумышленникам читать чувствительную информацию из памяти других программ и даже из виртуальных машин. Номера в уязвимостях, которые вы видите, такие как CVE-2017-0144, являются частью системы идентификации уязвимостей, известной как Common Vulnerabilities and Exposures (CVE). В названии уязвимости это обозначение состоит из трех частей:
- «CVE« это аббревиатура, которая означает »Common Vulnerabilities and Exposures». Это система идентификации, разработанная для обеспечения глобальной стандартизации при именовании и описании уязвимости безопасности.
- Четырехзначное число после CVE- это год, когда уязвимость была зарегистрирована или обнаружена. В случае с CVE-2017-0144, уязвимость была зарегистрирована в 2017 году.
- Последнее число (в данном случае 0144) является уникальным идентификатором уязвимости, присвоенным в рамках того года.
Важно отметить, что порядок номеров не всегда отражает порядок обнаружения уязвимости, так как процесс занесения уязвимости в базу данных может занять некоторое время и зависит от различных факторов.
Мониторинг и управление уязвимостями — это ключевой процесс для обеспечения безопасности информационных систем. Вот несколько рекомендаций, которые помогут в этом процессе:
- Использование сканеров уязвимостей: Это программное обеспечение, которое автоматически сканирует системы и сети на наличие известных уязвимостей.
- Подписка на службы предупреждений о безопасности: Многие производители программного обеспечения и организации, такие как национальные CERTы, выпускают регулярные уведомления о новых уязвимостях.
- Проверка базы данных Common Vulnerabilities and Exposures (CVE): Это общедоступный список известных уязвимостей безопасности, каждая из которых имеет уникальный идентификатор CVE.
- Регулярное обновление и патчинг: По мере того, как обнаруживаются уязвимости, производители программного обеспечения обычно выпускают обновления или исправления для их устранения. Важно регулярно применять эти обновления в своих системах.
- Применение принципа наименьших привилегий: Это означает, что пользователям и системам должны быть предоставлены только те привилегии, которые им действительно нужны для выполнения их задач. Это может помочь снизить риск эксплуатации уязвимостей.
- Использование межсетевых экранов и систем обнаружения вторжений: Это могут быть полезные инструменты для предотвращения эксплуатации уязвимостей.
- Обучение персонала: Важно обучать персонал пониманию рисков, связанных с уязвимостями, и следовать лучшим практикам безопасности.
- Реагирование на инциденты: Подготовьте план действий на случай успешной эксплуатации уязвимости, чтобы минимизировать ущерб и восстановить систему.
Уязвимости ИБ
Уязвимость информационной безопасности — это слабое место, ошибка, недостаток или уязвимое звено в системе, которое может быть использовано злоумышленниками для несанкционированного доступа, разрушения или кражи данных. Уязвимости могут возникнуть в программном обеспечении, аппаратных средствах или человеческом факторе. Они представляют угрозу конфиденциальности, целостности и доступности информации.
Виды уязвимостей информационной безопасности:
Уязвимости программного обеспечения: Эти уязвимости возникают в коде программ, как правило, из-за ошибок программистов. Некорректная обработка пользовательского ввода, отсутствие проверки подлинности или недостаточные права доступа к файлам — всё это может стать точкой входа для злоумышленников.
Уязвимости сети: Ошибки конфигурации сетевых устройств, открытые порты, нешифрованный трафик — всё это может способствовать несанкционированному доступу к данным, а также к перехвату их передачи.
Уязвимости веб-приложений: Веб-приложения, используемые повсеместно, часто становятся объектом атак. Отсутствие обновлений, слабые пароли, недостаточная проверка ввода — всё это открывает дверь для злоумышленников.
Физические уязвимости: Даже самая надежная система может стать уязвимой, если злоумышленники имеют физический доступ к аппаратному оборудованию или хранилищу данных.
Социальные уязвимости: Злоумышленники могут использовать социальную инженерию, чтобы обмануть сотрудников и получить доступ к системам, взломав человеческий фактор.
Защита от уязвимостей информационной безопасности:
Регулярные аудиты безопасности: Проводите аудиты для выявления уязвимостей и регулярно обновляйте программное обеспечение.
Сетевая безопасность: Защитите свою сеть с помощью брандмауэров, шифрования данных и контроля доступа.
Защита веб-приложений: Используйте надежные фреймворки, обновляйте приложения, и регулярно проверяйте их на уязвимости.
Физическая безопасность: Ограничьте физический доступ к серверам и другому оборудованию, используйте системы контроля доступа.
Обучение персонала: Проводите тренинги сотрудников по социальной инженерии и общим правилам безопасности информации.