Угроза, атака, риск

Угроза — любое действие, которое может быть направлено на нарушение информационной безопасности системы.

Атака — реализованная угроза.

Риск — вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки.

Угрозы могут исходить как от легальных пользователей сети, так и от внешних злоумышленников. В последние два года в статистике нарушений безопасности зафиксирован резкий сдвиг от внешних к внутренним угрозам. Примерно 2/3 от общего числа всех наиболее серьезных инцидентов, связанных с безопасностью, составляют нарушения со стороны легальных пользователей сетей: сотрудников и клиентов предприятий, студентов, имеющих доступ к сети учебного заведения и др. Вместе с тем внутренние атаки обычно наносят меньший ущерб, чем внешние.

Угрозы со стороны легальных пользователей делятся на:

  • умышленные;
  • неумышленные.

К умышленным угрозам относятся, например, мониторинг системы с целью получения персональных данных других сотрудников (идентификаторов, паролей) или конфигурационных параметров оборудования. Это может быть также злонамеренное получение доступа к конфиденциальным данным, хранящимся на серверах и рабочих станциях сети «родного» предприятия с целью их похищения, искажения или уничтожения; прямое «вредительство» — вывод из строя сетевого программного обеспечения и оборудования. Кроме того, к умышленным угрозам относится нарушение персоналом правил, регламентирующих работу пользователей в сети предприятия: посещение запрещенных веб-сайтов, вынос за пределы предприятия съемных носителей, небрежное хранение паролей и другие подобные нарушения режима. Однако не меньший материальный ущерб предприятию может быть нанесен в результате Неумышленных нарушений персонала — ошибок, приводящих к повреждению сетевых устройств, данных, программного обеспечения.

Угрозы внешних злоумышленников, называемых также хакерами, по определению являются умышленными и обычно квалифицируются как преступления. Среди внешних нарушителей безопасности встречаются люди, занимающиеся этой деятельностью профессионально или просто из хулиганских побуждений. Целью, которой руководствуются внешние злоумышленники, всегда является нанесение вреда предприятию. Это может быть, например, получение конфиденциальных данных, которые могут быть использованы для снятия денег с банковских счетов, или установление контроля над программно-аппаратными средствами сети для последующего их использования в атаках на сети других предприятий.

Как правило, атака предваряется сбором информации о системе (mapping), которая помогает не только эффективно спланировать атаку, но и скрыть все следы проникновения в систему. К полезной для хакера информации относятся типы операционных систем и приложений, развернутых в сети, IP-адреса, номера портов клиентских частей приложений, имена и пароли пользователей. Часть информации такого рода может быть получена путем простого общения с персоналом (это называют социальным инжинирингом), а часть — с помощью тех или иных программ. Например, определить IP-адреса можно с помощью утилиты ping, задавая в качестве цели адреса из некоторого множества возможных адресов.

Если при очередном запуске программы ping пришел ответ, значит, произошло совпадение заданного адреса с адресом узла в атакуемой сети.

Для подготовки и проведения атак могут использоваться либо специально разработанные для этих целей программные средства, либо легальные программы «мирного» назначения. Так, последний пример показывает, как легальная программа ping, которая создавалась в качестве инструмента диагностики сети, может быть применена для подготовки атаки. При проведении атак злоумышленнику важно не только добиться своей цели, заключающейся в причинении ущерба атакуемому объекту, но и уничтожить все следы своего участия в этом. Одним из основных приемов, используемых злоумышленниками для «заметания следов», является подмена содержимого пакетов (spoofing). В частности, для сокрытия места нахождения источника вредительских пакетов (например, при атаке отказа в обслуживании) злоумышленник изменяет значение поля адреса отправителя в заголовках пакетов. Поскольку адрес отправителя генерируется автоматически системным программным обеспечением, злоумышленник вносит изменения в соответствующие программные модули так, чтобы они давали ему возможность отправлять со своего компьютера пакеты с любыми IP-адресами.