- •Основы построения защищённых инфокоммуникационных систем
- •Анализ систем обнаружения вторжений, представленных на российском рынке
- •1.1. Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Обзор межсетевых экранов и их дальнейшее развитие
- •Антивирусное ПО
- •Антивирусное ПО
- •Антивирусное ПО
- •Антивирусное ПО
- •Антивирусное ПО
- •Антивирусное ПО
- •Антивирусное ПО
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений Выполнение документирования существующих угроз для сети и систем
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •СОВ - системы обнаружения вторжений
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ) Классы защиты
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ) Классы защиты
- •Средства криптографической защиты информации (СКЗИ) Классы защиты
- •Средства криптографической защиты информации (СКЗИ) Совместимость СКЗИ различных производителей
- •Средства криптографической защиты информации (СКЗИ) Совместимость СКЗИ различных производителей
- •Средства криптографической защиты информации (СКЗИ) Совместимость СКЗИ различных производителей
- •Средства криптографической защиты информации (СКЗИ) Документация сертифицированного продукта
- •Средства криптографической защиты информации (СКЗИ) Документация сертифицированного продукта
- •Средства криптографической защиты информации (СКЗИ) Документация сертифицированного продукта
- •Средства криптографической защиты информации (СКЗИ) Документация сертифицированного продукта
- •Средства криптографической защиты информации (СКЗИ) Документация сертифицированного продукта
- •Средства криптографической защиты информации (СКЗИ) Документация сертифицированного продукта
- •Средства криптографической защиты информации (СКЗИ) Установка
- •Средства криптографической защиты информации (СКЗИ) Установка
- •Средства криптографической защиты информации (СКЗИ) Настройка
- •Средства криптографической защиты информации (СКЗИ) Эксплуатация
- •Средства криптографической защиты информации (СКЗИ) Окончание жизненного цикла
- •Средства криптографической защиты информации (СКЗИ) Окончание жизненного цикла
- •Средства криптографической защиты информации (СКЗИ) Окончание жизненного цикла
- •Средства криптографической защиты информации (СКЗИ) Окончание жизненного цикла
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Средства криптографической защиты информации (СКЗИ)
- •Анализ основных типов угроз информационной безопасности Физическая безопасность
- •Анализ основных типов угроз информационной безопасности Физическая безопасность
- •Анализ основных типов угроз информационной безопасности Внутренние угрозы (инсайдеры)
- •Анализ основных типов угроз информационной безопасности Внутренние угрозы (инсайдеры)
- •Анализ основных типов угроз информационной безопасности Внутренние угрозы (инсайдеры)
- •Анализ основных типов угроз информационной безопасности Внутренние угрозы (инсайдеры)
- •Анализ основных типов угроз информационной безопасности Социальная инженерия
- •Анализ основных типов угроз информационной безопасности Социальная инженерия
- •Анализ основных типов угроз информационной безопасности Социальная инженерия
- •Анализ основных типов угроз информационной безопасности Социальная инженерия
- •Анализ основных типов угроз информационной безопасности Социальная инженерия
- •Анализ основных типов угроз информационной безопасности Социальная инженерия
- •Анализ основных типов угроз информационной безопасности Статистика сетевых атак
- •Анализ основных типов угроз информационной безопасности Статистика сетевых атак
- •Анализ основных типов угроз информационной безопасности Статистика сетевых атак
- •Анализ основных типов угроз информационной безопасности Статистика сетевых атак
- •Анализ основных типов угроз информационной безопасности Статистика сетевых атак
- •Анализ основных типов угроз информационной безопасности Статистика сетевых атак
- •Анализ основных типов угроз информационной безопасности Статистика сетевых атак
- •Анализ основных типов угроз информационной безопасности Статистика сетевых атак
- •Анализ основных типов угроз информационной безопасности Классификация сетевых атак
- •Снифферы пакетов
- •Хакеры прекрасно знают, что пользователи не редко используют одни и те же пароли
- •IP-спуфинг
- •IP-спуфинг
- •Атаки типа Man-in-the-Middle
- •Отказ в обслуживании (Denial of Service — DoS)
- •Отказ в обслуживании (Denial of Service — DoS)
- •Целевой фишинг
- •XSS-атаки
- •Использование социальных сетей для кражи информации и распространения вредоносных программ
- •Сетевая разведка
- •Злоупотребление доверием
- •Разработка политик информационной безопасности для гетерогенной корпоративной сети
- •Информационные активы компании
- •Информационные активы компании
- •Информационные активы компании
- •Разработка правил использования активов компании
- •Разработка политики обеспечения безопасности мобильных устройств
- •Анализ технических требований к обеспечению безопасности мобильных устройств
- •Ответственность
Атаки типа Man-in-the-Middle
Для реализации атаки типа Man-in-the-Middle (дословно, “человек-по-середине”) хакеру нужен доступ к пакетам, передаваемым по сети.
Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера.
Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации.
Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью внедрения криптографической защиты.
При перехвате зашифрованной сессии, будет получено не перехваченное сообщение, а псевдослучайный набор символов, требующий расшифровки.
Однако, если хакер получит ключи к криптографической сессии, атака Man-in-the-Middle будет возможной даже в зашифрованной среде.
Отказ в обслуживании (Denial of Service — DoS)
DoS/DDoS атаки, без всякого сомнения, является наиболее известной формой хакерских атак. Против атак такого типа труднее всего создать стопроцентную защиту.
Среди хакеров атаки DoS считаются тривиальными, а их применение вызывает презрительные усмешки, потому что для организации DoS требуется минимум знаний и умений.
Тем не менее, именно простота реализации и огромный причиняемый вред привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность.
Можно выделить наиболее известные разновидности DoS:TCP SYN Flood
DNS AmplificationPing of Death
Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K)Trinco
StacheldrachtTrinity
Отказ в обслуживании (Denial of Service — DoS)
Атаки DoS отличаются от атак других типов.
Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации.
Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.
Вслучае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей.
Входе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).
Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры.
Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов.
В данный момент самый эффективный способ борьбы с этими атаками реализуется на уровне провайдера или путем перенаправления и контроля трафика через пулы специализированных анти- DDoS провайдеров.
Атака этого типа, проводимая одновременно через множество распределенных устройств, называется DDoS - Distributed DoS.
Целевой фишинг
Злоумышленники направляют сотрудникам компании целевые сообщения, в попытке убедить жертву открыть вредоносное вложение или перейти по ссылке на сайт, содержащий эксплойты для взлома программ на стороне пользователя.
Фишинговые атаки становятся более целевыми, они направлены на представителей конкретной компании, в сообщениях указываются тщательно продуманные реалистичные сценарии.
Атаки на уровне приложений
Атаки на уровне приложений могут проводиться несколькими способами.
Самый распространенный из них состоит в использовании хорошо известных уязвимостей протоколов (SMTP, HTTP, FTP, DNS, NTP и т.д.) и приложений.
Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью патчей.
Особенность атак на уровне приложений состоит в том, что приложения пользуются портами, которым разрешен проход через межсетевой экран.
Нередко злоумышленники используют в своих атаках уязвимости «нулевого дня», для которых разработчик еще не выпустил исправление устраняющее недостатки программного обеспечения или протокола.
Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают, эксплуатируют и публикуют в интернете все новые уязвимости прикладных программ.
XSS-атаки
Эксплуатируя уязвимости, позволяющие осуществлять межсайтовое выполнение сценариев на доверенных веб-сайтах, злоумышленники размещают контент, содержащий вредоносные скрипты.
Когда пользователь открывает такой сайт, браузер на его компьютере выполняет эти скрипты, предоставляя злоумышленнику доступ к информации пользователя.
Перехваченный таким образом контроль над страницей в браузере пользователя, позволяет злоумышленнику использовать его как отправную точку для дальнейших атак на другие системы, в том числе внутренние ресурсы сети и серверы компании.
Атаки на административные интерфейсы
Большинство крупных корпоративных систем, таких как комплексы обеспечения безопасности конечных точек (Endpoint Security Suite), средства сетевого администрирования, ERP-системы, и даже системы управления HVAC и электроснабжением, настраиваются через административные веб-интерфейсы.
Выполняя XSS атаки или эксплуатируя уязвимости программного обеспечения на стороне пользователя, злоумышленники могут получить контроль над инфраструктурой.
Использование социальных сетей для кражи информации и распространения вредоносных программ
Злоумышленники используют популярные социальные сети, такие как Facebook, LinkedIn, Twitter для сбора информации о деятельности компании, ее сотрудниках и технологиях, используемых в компании.
Атаки “передача хэша” (pass-the-hash) в ОС Windows интегрированы в пакеты для проведения атак/
Злоумышленники используют технику “передачи хэша” в отношении Windows-систем, чтобы получить доступ в корпоративный домен, используя для аутентификации украденные хэши вместо паролей.
Возможности проведение атаки “передача хэша” в настоящее время включены в широко используемые инструменты компьютерных атак, такие как Metasploit и Nmap, значительно упрощая проведение широкомасштабных атак.
Взлом оборудования
Поскольку защита программного обеспечения за последние годы значительно улучшилась и одновременно с этим получили широкое распространение различные встраиваемые устройства (embedded device), такие как модули сотовой связи, беспроводные маршрутизаторы, компьютерные модули и т.п.
Посредством перехвата информации, передаваемой по шинам данных (bus sniffing), взлома прошивок, изменения системного времени (clock glitching) и других атак на оборудование, злоумышленники обходят защитные механизмы и получают ключи шифрования, получая доступ к инфраструктуре компании.
Сетевая разведка
Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений.
При подготовке атаки против какой-либо сети, хакер пытается получить о ней как можно больше информации.
Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов.
Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены.
Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить список предоставляемых сервисов, в дальнейшем анализируя характеристики целевых приложений.
Полностью защититься от сетевой разведки невозможно
Если отключить поддержку ICMP-запросов на периферийных маршрутизаторах, это избавит от эхо- тестирования, но усложнит мониторинг сети. При этом сканирование портов возможно и без предварительного эхо-тестирования.
Системы IDS, использующие логи активного сетевого оборудования и хостов, справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет регулировать правила сетевого взаимодействия и оповестить инженеров компании провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.
Злоупотребление доверием
Такой тип действий не является «атакой» или «штурмом», он представляет собой злонамеренное использование отношений доверия, существующих в сети.
Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети.
В этом сегменте часто располагаются сервисы DNS, SMTP, HTTP и д.р.
Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети.
Другим примером является система, установленная c внешней стороны межсетевого экрана, имеющая доверительные отношения с системой, установленной во внутренней сети компании.
В случае взлома внешней системы, хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.
Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети.
Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем.
Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.
Разработка политик информационной безопасности для гетерогенной корпоративной сети
В современных организациях редко представлена инфраструктура, составленная из программных и аппаратных решений, выпускаемых одним производителем.
Нормой являются гетерогенные (неоднородные) сети, которые состоят из различных рабочих станций, операционных систем и приложений, а для реализации взаимодействия между элементами используют большой диапазон протоколов. Разнообразие всех компонентов, из которых строится сеть, порождает еще большее разнообразие инфраструктуры компании.
Такое многообразие элементов может быть обусловлено слиянием различных компаний, индивидуальными потребностями групп пользователей или спецификой бизнес-процессов в компании.
С повсеместным распространением корпоративных мобильных устройств, разнообразие используемых решений увеличивается.
Поэтому появилось множество проблем, связанных с проектированием, администрированием, управлением и обеспечением безопасности такой инфраструктуры.
Более широкое применение мобильных технологий в бизнес-процессах и внедрение концепции BYOD/CYOD, позволяют компаниям повысить эффективность работы и уровень комфорта своих сотрудников, а, так же сократить операционные издержки.
Однако при этом создаются характерные для новых условий проблемы, связанные с организацией безопасности и защиты информационных активов компании, что вызывает необходимость разработки политик информационной безопасности, направленных на защиту информационных активов компании.
Информационные активы компании
Для того чтобы защитить информационные активы компании в современных реалиях сначала необходимо наиболее полно определить, что считать конфиденциальной информацией компании и какие именно аспекты данных, доступных пользователям, являются коммерческой тайной.
Формирование перечня информации, регулируемой политиками безопасности компании, определяется ее внутренними документами, а так же законодательными и нормативными актами той страны, на территории которой ведет свою деятельность компания.
На территории РФ действуют следующие основные законы, регламентирующие защиту информации:Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных";
Федеральный закон от 29.07.2004 N 98-ФЗ (ред. от 12.03.2014) "О коммерческой тайне" (29 июля 2004 г.);
Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 24.11.2014) "Об информации, информационных технологиях и о защите информации" (27 июля 2006 г.);
Указ Президента РФ от 06.03.1997 N 188 (ред. от 23.09.2005) "Об утверждении Перечня сведений конфиденциального характера";
Федеральный закон от 02.12.1990 N 395-1 (ред. от 20.04.2015) "О банках и банковской деятельности". Статья 26. Банковская тайна;