Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение


 


Руслан Рахметов, Security Vision

Рассмотрев в предыдущих публикациях источники возможных угроз и используемые уязвимости, следует перейти к перечислению различных способов реализации угроз, объектов и видов вредоносного воздействия. Совокупность данных компонентов образует угрозу информационной безопасности.

В соответствии с методикой ФСТЭК России, способами (методами) реализации угроз являются:       

  • несанкционированный сбор информации - сбор и кража информации об объекте воздействия;
  • исчерпание ресурсов - намеренное злоупотребление ресурсами системы для нарушения её функционирования;

  • инъекция - установление контроля над атакуемой системой с помощью манипулирования входными данными;

  • подмена при взаимодействии - умышленное искажение представления источника угрозы как доверенного субъекта;

  • манипулирование сроками и состоянием - искажение параллельно выполняющегося потока задач путем нарушения временной синхронизации или информации о состоянии системы;

  • злоупотребление функционалом - деструктивное использование штатных функций системы;

  • вероятностные методы - использование вероятностных методов для изучения и преодоления механизмов безопасности системы;

  • нарушение аутентификации - эксплуатация уязвимостей механизмов идентификации и аутентификации;

  • нарушение авторизации - эксплуатация уязвимостей механизмов управления доступом к ресурсам и функциональным возможностям системы;

  • манипулирование структурами данных - манипулирование характеристиками структур данных для нарушения предполагаемого использования и обхода защиты этих структур;

  • анализ целевого объекта - изучение работы атакуемой системы в целях обхода средств её защиты или для подготовки и проведения других атак;

  • манипулирование ресурсами - злонамеренное использование штатных ресурсов (файлов, приложений, библиотек, инфраструктуры, конфигурации системы);

  • использование технических отказов, ошибок - эксплуатация программных и аппаратных уязвимостей;

  • получение физического доступа - деструктивное воздействие на аппаратные компоненты системы;

  • использование слабостей в организации - эксплуатация недостатков законодательства или организационных мер защиты.

 

Каждый из 14 описанных способов приводит к реализации определенных угроз безопасности информации. Например, с помощью инъекции осуществляются следующие угрозы, описанные в БДУ (Банке данных угроз) ФСТЭК России:  

  • УБИ. 001 Угроза автоматического распространения вредоносного кода в грид-системе;

  • УБИ. 006 Угроза внедрения кода или данных;

  • УБИ. 026 Угроза искажения XML-схемы;

  • УБИ. 041 Угроза межсайтового скриптинга.

Проект MITRE ATT&CK также является базой знаний о способах реализации угроз, расширяя список методов до тактик, техник и процедур (TTPs - Tactics, Techniques, Procedures), применяемых атакующими. MITRE ATT&CK связан с классификатором шаблонов атак MITRE CAPEC, о котором мы говорили в предыдущей публикации. Описанные TTPs применяются для атак на компании и мобильные платформы, а также для сбора первоначальной информации о цели. Для каждой из тактик атак приводится перечень конкретных техник, которые сопровождаются детальным техническим описанием реализации атаки, списком используемого атакующими ПО и идентификаторами конкретных киберпреступных группировок, использующих в соответствии со своим "почерком" те или иные TTPs, по которым атаку можно атрибутировать для успешного противодействия или расследования.

Список из 12 тактик атакующих, используемых при нападении на компании, выглядит следующим образом:

  • первоначальный доступ - техники первичного проникновения в защищаемую сеть;

  • исполнение - техники запуска вредоносного кода на локальной или удаленной системе;

  • закрепление - техники получения злоумышленниками постоянного несанкционированного доступа к системе;

  • повышение привилегий - техники, применяемые атакующими для повышения своих привилегий до системных/административных с целью получения более широких полномочий на скомпрометированной системе;

  • обход средств защиты - техники, с помощью которых злоумышленникам удается избежать обнаружения и противодействия со стороны механизмов защиты;

  • доступ к учетным данным - техники получения валидных учетных данных к атакуемым системам с правами легитимных пользователей и администраторов;

  • исследование - техники получения информации о свойствах атакованной системы/сети;

  • дальнейшее продвижение - техники расширения несанкционированного доступа в атакованной сети с использованием уже захваченных систем;

  • сбор данных - техники получения ценной информации в атакованных системах/сетях;

  • управление и контроль - техники, с помощью которых злоумышленники извне управляют взломанными системами/сетями;

  • вывод данных - перенос собранной ценной информации из взломанных систем/сетей в системы/сети злоумышленников;

  • воздействие - техники негативного воздействия на доступность или целостность атакованных систем, служб или сетей.

Далее, каждая тактика раскрывается в виде набора конкретных техник атакующих. Например, тактика «Дальнейшее продвижение» с идентификатором TA0008 описывает 17 техник атак, среди которых присутствует метод «Эксплуатация административных файловых ресурсов Windows» с идентификатором T1077. Данная техника связана с шаблоном атак «Административные файловые ресурсы Windows с украденными учетными данными» с идентификатором CAPEC-561 из классификатора шаблонов атак MITRE CAPEC. В свою очередь, данный шаблон атак связан с типом ошибки «Недостаточно защищенные учетные данные» с идентификатором CWE-522 из классификатора типов ошибок MITRE CWE, в котором также приведены примеры уязвимостей по классификатору CVE, возникшие из-за данного типа ошибки. Таким образом, набор MITRE-классификаторов (ATT&CK, CAPEC, CWE, CVE) позволяет полностью проанализировать потенциальную угрозу, учесть возможные тактики и техники атакующих, шаблоны атак, избежать соответствующих ошибок программирования, а также устранить связанные с данными типами ошибок уязвимости.

Объектами вредоносного воздействия при атаке могут быть люди, информация, процессы разработки, производства и поставки, каналы передачи данных, программные и аппаратные средства и компоненты систем. Таким образом, все активы компании, как материальные, так и нематериальные, могут являться объектами атаки. При этом следует помнить, что именно люди - сотрудники, руководители, аутсорсеры - являются зачастую самым слабым звеном в системе обеспечения информационной безопасности компании. Если технические средства защиты функционируют в соответствии с заложенными в них правилами и для их эффективной работы достаточно произвести корректную настройку, то для минимизации «человеческого фактора» при кибератаках следует непрерывно вести разъяснительную работу с персоналом и проводить тренировки и обучение, учитывая психологические и социокультурные особенности поведения сотрудников.

Видами вредоносного воздействия, как правило, являются нарушение целостности, конфиденциальности, доступности информационных ресурсов, а также атаки на неотказуемость, подлинность, подотчетность информации.

Интересными примерами нарушения целостности могут являться разнообразные способы манипулирования и мошенничества с данными, такие как «Data Diddling» (скрытное внесение некорректных изменений в систему с целью сохранения искаженных сведений и получения от этого финансовой выгоды в дальнейшем - например, для манипулирования финансовой отчетностью компании и стоимостью акций), «Salami Fraud» (внесение большого количества очень малозаметных изменений на протяжении длительного времени, что в итоге приводит к значительным последствиям - например, списание 10 копеек с каждого банковского счета всех клиентов на протяжении года), «логические бомбы» (внедрение программных закладок, приводящих к искажению хранящихся/обрабатывающихся данных при наступлении определенных условий - например, несанкционированное начисление повышенных процентов по вкладу определенному сотруднику банка после его увольнения).

Нарушение конфиденциальности информации чревато не только очевидными последствиями в краткосрочной перспективе, например, при обнаружении персональных данных клиентов в отрытом доступе, но и тем, что украденная информация может неожиданно «всплыть» через несколько лет после факта компрометации - например, порочащие компанию или руководителя сведения могут быть разглашены накануне IPO или назначения на новую должность. Кража ноу-хау компании конкурентами может привести не только к потере конкурентных преимуществ и доли на рынке, но и к фактам вымогательства со стороны атаковавших конкурентов, угрожающих предать огласке «серые» способы ведения бизнеса компанией.

Атаки, в результате которых нарушается доступность информации, как правило, оказываются самыми легкими для обнаружения, одновременно являясь чрезвычайно разрушительными с точки зрения осуществления операционной деятельности и сохранения репутации. Примерами могут являться как нашумевшие международные эпидемии WannaCry или NotPetya, так и DDoS-атаки на российские платежные системы и банки. Организации и частные лица всё чаще сталкиваются с вирусами-вымогателями, которые становятся опаснее год от года: если 10 лет назад пользователи сталкивались всего лишь с баннерами на рабочем столе с требованием заплатить выкуп под надуманным предлогом (при этом убрать баннер и тем самым вернуть ПК к жизни было несложно), то тренд последних 5 лет - вирусы, требующие выкуп за восстановление доступа к зашифрованной, зачастую необратимо, информации на носителях, а также попутно крадущие пароли и майнящие криптовалюту. Легко представить негативные последствия для организации, подвергшейся атаке, в результате которой был заблокирован доступ к основным техническим средствам производства и оказания услуг, например, к платежному шлюзу или общему сетевому диску со всей рабочей документацией. Немаловажным будет и репутационный ущерб - в наш цифровой век потребители не отличаются лояльностью при наличии доступной альтернативы в лице конкурентов.

Кроме описанных выше свойств целостности, конфиденциальности и доступности, следует рассмотреть и неотказуемость, подлинность, подотчетность информации, которые также зачастую являются объектами атак, например, на критичные бизнес-транзакции.

Неотказуесть (англ. non-repudiation) - свойство информации, подразумевающее невозможность создателя этой информации отказаться от авторства. Данное свойство имеет критическое значение при совершении именных операций, например, при проведении финансовых транзакций и обмене электронными сообщениями.

Подлинность (англ. authenticity) информации позволяет утверждать, что её автор - именно тот, за кого себя выдает. Иными словами, свойство подлинности означает, что получатель данных однозначно может установить их источник. Зачастую сохранение свойства подлинности информации также сочетают с обеспечением целостности. Эти свойства достигаются, например, использованием средств электронной подписи, при использовании которой значение хэш-суммы отправляемого сообщения подписывается доверенным секретным ключом отправителя.

Под подотчетностью (англ. accountability) информации понимают возможность контролирующей сущности прозрачно проследить весь жизненный цикл конкретных данных - от создания, изменения, использования и передачи до архивирования или удаления, с сохранением релевантных мета-данных (автор, дата, метки конфиденциальности и т.д.).