Succursale de GOU VPO "MEI (TU)"
dans la ville de Smolensk,
Étudiant de 6e année
MÉTHODES DE VIOLATION DE LA SÉCURITÉ DU SYSTÈME D'INFORMATION
De nos jours, les ordinateurs sont partout fermement entrés dans le monde moderne, dans toutes les sphères de l'activité humaine et de la science, créant ainsi le besoin de leur fournir divers logiciels. Bien sûr, cela est principalement associé au développement de la technologie informatique électronique et à son amélioration rapide et à sa mise en œuvre dans diverses sphères de l'activité humaine.
La raison d'un développement aussi intensif des technologies de l'information est le besoin toujours croissant d'un traitement rapide et de haute qualité de l'information, dont les flux ne cessent de croître avec le développement de la société.
La connexion d'ordinateurs dans un réseau a considérablement augmenté la productivité. Réseaux informatiques sont utilisés à la fois pour les besoins de production (ou de bureau), et pour la formation, la communication, etc.
L'utilisation généralisée des technologies informatiques dans les systèmes de traitement et de contrôle automatisés de l'information a conduit à une aggravation du problème de la protection des informations circulant dans systèmes informatiques... Il y avait un besoin de créer système complexe détection d'intrusion.
Les systèmes de détection d'intrusion sont utilisés pour détecter certains types de activité malveillantequi peut violer sécurité des informations du système informatique... Ces activités comprennent les attaques réseau contre les services vulnérables, les attaques par élévation de privilèges, l'accès non autorisé à des fichiers importants et les activités malveillantes. logiciel (virus informatiques, chevaux de Troie et vers).
Sous violation de la sécurité du système d'informationnous comprendrons une des situations qui peuvent être organisées par le délinquant. Ceux-ci inclus :
· Interrompre ou déconnecter.
Les informations sont détruites ou deviennent inaccessibles ou inutilisables. Dans ce cas la disponibilité des informations est perturbée... Un exemple de telles violations peut être l'impact d'un intrus sur les éléments du réseau (lignes de communication (LAN), nœuds de commutation (MC), dispositifs de contrôle, OBD, etc.) afin de les détruire ou de les rendre inopérants.
· Interception.
Un accès non autorisé ouvre aux informations. La confidentialité est violée informations transmises ... Un exemple de ce type de violation est la connexion non autorisée à un canal de communication.
· Modification (Distorsion).
Un accès non autorisé est ouvert aux informations afin de modifier les informations. Où la confidentialité des informations transmises et leur intégrité sont violées... Le but de ce type de violation est de modifier les informations transmises sur le réseau.
· Falsification.
L'intrus prétend être une source d'informations. Où l'authenticité des informations est violée(une propriété qui garantit que le sujet ou la ressource est identique à celui déclaré). Un exemple de ce type de violation est l'envoi de faux messages sur le réseau.
Les types de violations ci-dessus peuvent être divisés en deux groupes:
· Actif;
· Passif.
Un impact actif sur un système informatique distribué est compris comme un impact qui a un impact direct sur le fonctionnement du système (modification de la configuration d'un système informatique, dysfonctionnement, etc.) et viole sa politique de sécurité. Presque tous les types d'attaques à distance sont des influences actives. Une caractéristique évidente de l'influence active, par rapport au passif, est la possibilité fondamentale de sa détection, car à la suite de sa mise en œuvre, certains changements se produisent dans le système. Ce groupe comprend:
Interruption - violation de l'accessibilité et de la confidentialité;
· Modification - violation de l'intégrité;
· Falsification - violation de l'authenticité.
Un impact passif sur un système informatique distribué est un impact qui n'affecte pas directement le fonctionnement du système, mais peut violer sa politique de sécurité.
C'est l'absence d'impact direct sur le fonctionnement d'un système informatique distribué qui rend quasiment impossible la détection d'une intervention à distance passive. Un exemple d'une action à distance typique passive dans un système informatique distribué est l'écoute d'un canal de communication dans un réseau. Avec une action passive, contrairement à une action active, aucune trace n'est laissée (rien ne changera du fait que l'attaquant regarde le message de quelqu'un d'autre dans le système). On peut affirmer avec certitude que les violations passives fixent leur objectif ultime dans la transition vers le groupe des violations actives.
Les principaux objectifs de l'impact:
· Violation de la confidentialité des informations ou des ressources du système;
· Violation de l'intégrité des informations;
· Dysfonctionnement (disponibilité) du système.
La plupart des attaques visent à obtenir un accès non autorisé aux informations. Il existe deux principales possibilités d'accès à l'information: l'interception et la distorsion. Dans le premier cas, il y a accès non autorisé à l'information sans possibilité de déformation (influence passive).
La distorsion des informations signifie un contrôle complet sur flux d'information entre les objets système ou la possibilité de transférer des messages pour le compte d'un autre objet. Il est évident que la distorsion de l’information conduit à une violation de son intégrité, c’est-à-dire qu’elle exerce une influence active.
Un objectif fondamentalement différent de l'attaque est de perturber les performances du système. Dans ce cas, l'objectif principal de l'attaquant est de s'assurer que le système d'exploitation sur l'objet attaqué échoue et, par conséquent, pour tous les autres objets du système, l'accès aux ressources de cet objet serait impossible. Une attaque par déni de service typique est un exemple d'attaque à distance visant à perturber le système.
Les attaques peuvent également être classées en fonction de la condition du début de l'impact. L'exposition à distance, comme toute autre, ne peut commencer que sous certaines conditions. Dans les systèmes informatiques distribués, il existe trois types de conditions pour lancer une attaque à distance:
· Attaque à la demande de l'objet attaqué;
· Attaque sur l'occurrence de l'événement attendu sur l'objet attaqué;
· Attaque inconditionnelle.
Dans le premier cas, l'attaquant attend la transmission d'une requête d'un certain type de la part de la cible potentielle de l'attaque, qui sera la condition pour déclencher l'impact. Il est important de noter que ce type les attaques à distance sont les plus courantes pour les systèmes informatiques distribués.
Dans le second cas, l'attaquant surveille en permanence l'état système opérateur cible distante de l'attaque, et lorsqu'un certain événement se produit dans ce système, l'impact commence. Comme dans le cas précédent, l'objet attaqué lui-même agit en tant qu'initiateur de l'attaque.
Dans le troisième cas, le début de l'attaque est inconditionnel par rapport à la cible de l'attaque, c'est-à-dire que l'attaque est effectuée immédiatement et quel que soit l'état du système et de l'objet attaqué. Par conséquent, dans ce cas, l'attaquant est l'initiateur du début de l'attaque.
LITTÉRATURE
1. Novikov, S. N... Protection de l'information dans les réseaux de communication avec une qualité de service garantie: manuel /. - Novossibirsk, 20 ans: malade.
2. Howard, M. Code protégé / M. Howard, D. Leblanc. - par. de l'anglais, - 2e éd., isp. M.: Maison d'édition et de négoce "Russian Edition", 20s.
3. Shangin, V.F. Sécurité de l'information des systèmes et réseaux informatiques: manuel. Manuel /. - M.: Maison d'édition "Forum": Infa-M, 20s.
Violations de la sécurité de l'information. Internet et sécurité de l'espace d'information de l'entreprise
Résultats du sondage
M.S.Saveliev
Directeur adjoint du marketing
Société "Informzashita"
Une stratégie efficace de protection de l'environnement d'information (SI) de l'entreprise nécessite non seulement la volonté d'assurer une sécurité globale du réseau de l'entreprise, mais aussi une analyse de l'état actuel des choses dans ce domaine et une évaluation des actions entreprises pour analyser les risques existants et prévenir les violations. Les résultats de la recherche sur la sécurité de l'information peuvent être utiles pour étudier les problèmes sécurité de l'information (IB) entreprises.
Les résultats de cette enquête indiquent avec éloquence que la principale menace pour la sécurité des entreprises espace d'information vient de l'intérieur de l'entreprise.
«Hygiène» du système d'information de l'entreprise
Pratiquement aucun des répondants n'a fait face à des violations importantes de la sécurité des informations de l'entreprise par des intrus externes (Fig. 1). La moitié des répondants affirment n'avoir jamais fait l'expérience de tentatives de pénétration de la propriété intellectuelle d'entreprise de l'extérieur. Certes, pour une conclusion absolument exacte, il serait intéressant de prendre en compte un autre fait: les entreprises participant à l'enquête ont-elles les moyens de détecter et de prévenir les attaques externes, mais une telle question n'a pas été posée.
Dans la pratique quotidienne, il faut souvent faire face au fait que, malgré la présence de moyens de protection dans leur arsenal, les services de sécurité de l'information des entreprises et des organisations ne sont pas en mesure de les exploiter avec succès. Une confirmation indirecte de ceci est l'image des réponses à la question "Dans quelle mesure la gestion du système de sécurité de l'information est-elle développée?" (Fig. 2): Même un outil de protection "hygiénique" tel qu'un antivirus est utilisé de manière inefficace. Près d'un cinquième des entreprises ne configure pas d'options mise à jour automatique bases de données antivirus - cette question est laissée à la merci des utilisateurs. Par conséquent, ce qui suit est assez évident: la direction et les spécialistes en informatique des entreprises interrogées peuvent tout simplement ne pas être au courant des événements qui se déroulent dans leurs systèmes. À propos, les menaces modernes, telles que, par exemple, les virus bot, ne peuvent être détectées que par des signes subtils, ou plutôt, uniquement en analysant des outils de protection soigneusement configurés.
L'intrus le plus dangereux est l'utilisateur
Contrairement aux affirmations très répandues en 2006 sur l'énorme danger posé par les menaces internes, une enquête du magazine a montré que la plupart des incidents dans l'expérience réelle des spécialistes de la sécurité de l'information sont des actions non intentionnelles et non intentionnelles des utilisateurs (Fig.3). En fait, les utilisateurs enfreignent les règles d'utilisation de la propriété intellectuelle d'entreprise établies dans l'organisation en commettant involontairement l'une ou l'autre action (Fig. 4). De plus, il est caractéristique que les règles de conduite dans le domaine de la sécurité de l'information des salariés de l'entreprise soient décrites avec prudence (Fig.2) dans la politique de sécurité de l'information, dans les devoirs des salariés et dans d'autres documents. Malgré la présence d'instructions et de documents spéciaux sur la sécurité de l'information dans leurs entreprises, comme en témoignent les participants à l'enquête, il existe de nombreuses failles de sécurité dues à l'ignorance des utilisateurs.
Cela ne se produit-il pas parce que les exigences des documents de sécurité de l'information ne sont pas communiquées aux employés? Dans la réponse à la question "Comment les employés de votre entreprise apprennent-ils leurs obligations dans le domaine de la sécurité de l'information?" (Fig. 5), 15% des personnes interrogées déclarent que de telles exigences n'existent que sur papier et que les employés des organisations n'en sont en aucun cas informés. Des formations régulières dans le domaine de la sécurité de l'information sont organisées dans seulement un cinquième des entreprises interrogées. Dans la très grande majorité des cas, les spécialistes de la sécurité de l'information estiment avec une certaine arrogance que les employés doivent en quelque sorte maîtriser indépendamment le contenu des réglementations de sécurité. J'ose dire que même la familiarisation «sous la signature» ne donne aucun effet: nous sommes tous habitués à signer formellement sous les consignes de sécurité, sans entrer dans leur essence. Très souvent, il s'en passe du tout.
Chassant trois oiseaux avec une pierre
Qu'est-ce qui représente pour nous 10% des violations révélées? À en juger par la répartition uniforme des réponses à la question "Décrivez l'importance de information d'entreprise"(Fig. 6), peu de spécialistes de la sécurité de l'information comprennent vraiment l'essence de l'entreprise protégée. Bien sûr, la question elle-même est posée assez directement, mais dans la pratique, bien souvent, vous devez faire face au fait qu'à la poursuite de trois oiseaux avec une pierre (intégrité, confidentialité et disponibilité ) beaucoup sont prêts à saisir non pas ce qui est critique, mais ce qui est «plus facile à saisir». Parfois, de telles tentatives commencent à perdre le sens du bon sens: à un moment donné, toutes les forces du service de sécurité sont consacrées à limiter la capacité d'utiliser des clés USB, et en même temps pas contrôlé en aucune façon email, télécopies, imprimantes et autres moyens d'envoyer des informations en dehors de l'organisation. Les problèmes de restauration des informations et des performances du système en cas de panne sont généralement ignorés. Et au fait, c'est l'une des principales menaces, si vous faites confiance aux résultats des réponses à la question: «Précisez les types d'utilisation ressources d'information entreprises par des salariés en violation des régimes établis l'année dernière? »(Fig. 4).
N'est-ce pas un tel malentendu qui explique la contradiction révélée par l'enquête: malgré la grande importance que la direction de l'entreprise attache aux questions de sécurité (Fig.7), les dirigeants ne sont pas pressés d'augmenter le financement de la sécurité de l'information et d'améliorer les systèmes de protection (Fig.8).
Spécialistes de la sécurité "dans leur jus"
Il ressort clairement de l’étude que de nombreux spécialistes de la sécurité «mijotent dans leur jus»: ils répondent à la question «Quelles mesures de gestion et d’examen de la sécurité de l’information votre entreprise s’est-elle tournée au cours de l’année écoulée?». (Fig. 9), seuls 12,5% des personnes interrogées déclarent utiliser les services et les conseils de consultants professionnels en sécurité. Un peu plus de 6% se tournent vers les normes et pratiques internationales. D'autres préfèrent vérifier la réalité uniquement avec leur propre expérience et celle de leurs collègues. Il faut surtout noter qu'une part importante des répondants en est sûre: le nombre d'incidents liés à la sécurité de l'information ne fera qu'augmenter dans le futur, et il deviendra plus difficile de les identifier (Fig. 10). Cependant, la plupart des répondants espèrent une sorte de panacée, une baguette magique sous la forme d'une sorte de solution de haute technologie qui les sauvera du danger imminent. Il est gratifiant de dire que les principaux espoirs reposent précisément sur la formation et la gestion correctes des processus de protection. Et cela est confirmé par l'intérêt croissant porté aujourd'hui aux normes de sécurité internationales adoptées. Les spécialistes modernes s'efforcent délibérément d'utiliser les recommandations des normes dans leurs activités quotidiennes.
Cet article tente d'examiner les menaces réelles à la sécurité de l'information qui peuvent survenir dans les conditions modernes. Il convient de noter que l'article ne prétend pas être un "manuel sur la sécurité de l'information" et que tout ce qui y est dit n'est que l'opinion de l'auteur.
L'erreur traditionnelle de nombreux dirigeants entreprises russes est une sous-estimation ou une surestimation des menaces pesant sur la sécurité des informations d'une entreprise. Souvent, la sécurité informatique est au mieux perçue par eux comme l'une des mesures de soutien pour assurer la sécurité en général, parfois elle ne joue aucun rôle significatif - disent-ils, c'est toute la préoccupation des administrateurs système. Cette option est typique principalement pour les petites et partiellement pour les entreprises de taille moyenne. Le deuxième extrême - la surestimation de l'importance de la sécurité informatique - se retrouve principalement dans les grandes entreprises et se caractérise par l'élévation d'un ensemble de mesures visant à assurer la sécurité informatique au rang d '«hyperstratégie», par rapport auquel se construit la principale stratégie d'activité.
Ce n'est un secret pour personne que dans le monde moderne, les entreprises dépendent plus ou moins des technologies de l'information. Les avantages de l'utilisation de l'informatique pour les entreprises sont évidents: la rapidité et la simplicité de générer, distribuer, manipuler et rechercher des informations hétérogènes, les organiser selon différents critères, la simplicité du stockage, la possibilité d'accéder à partir de presque n'importe où dans le monde ... Tous ces avantages nécessitent un support et une maintenance bien huilés, qui, à son tour, fait certaines exigences pour l'infrastructure informatique sous-jacente. En revanche, les systèmes d'information contiennent souvent des informations dont la divulgation est hautement indésirable (par exemple, des informations confidentielles ou des informations constituant un secret commercial). La violation du fonctionnement normal de l'infrastructure ou l'accès à des informations situées dans le SI sont des menaces pour la sécurité de l'information.
Ainsi, les menaces à la sécurité des informations d'une entreprise peuvent être conditionnellement divisées en plusieurs classes:
- Menaces d'accessibilité
- Menaces d'intégrité
- Menaces à la vie privée
Les menaces d'accessibilité sont des menaces associées à une augmentation du temps nécessaire pour obtenir l'une ou l'autre des informations ou service d'information... La violation de l'accessibilité est la création de telles conditions dans lesquelles l'accès à un service ou à une information sera soit bloqué, soit possible pendant une période qui ne garantit pas la réalisation de certains objectifs commerciaux. Prenons un exemple: en cas de défaillance d'un serveur sur lequel se trouvent les informations nécessaires à la prise d'une décision stratégique, la propriété de disponibilité de l'information est violée. Un exemple similaire: en cas d'isolement pour quelque raison que ce soit (défaillance du serveur, défaillance du canal de communication, etc.) serveur de courrier on peut parler d'une violation de la disponibilité des services informatiques "e-mail". Il convient de noter en particulier que la raison de la violation de la disponibilité des informations ou du service d'information ne doit pas nécessairement relever de la responsabilité du propriétaire du service ou de l'information. Par exemple, dans l'exemple ci-dessus avec une violation de la disponibilité du serveur de messagerie, la cause (défaillance des canaux de communication) peut se situer en dehors de la zone de responsabilité des administrateurs de serveur (par exemple, défaillance des canaux de communication interurbains). Il convient également de noter que la notion de «disponibilité» est subjective à chaque instant pour chacun des sujets consommant un service ou une information en ce moment temps. En particulier, une interruption de la disponibilité du serveur de messagerie pour un employé peut signifier l'échec de plans individuels et la perte d'un contrat, et pour un autre employé de la même organisation - l'incapacité de recevoir le dernier communiqué de presse.
Les menaces d'intégrité sont des menaces associées à la probabilité de modification de l'une ou l'autre des informations stockées dans le SI. La violation de l'intégrité peut être causée par divers facteurs - des actions délibérées du personnel à la défaillance de l'équipement. La violation d'intégrité peut être à la fois intentionnelle et non intentionnelle (la cause d'une violation non intentionnelle de l'intégrité peut être, par exemple, un équipement défectueux).
Les menaces de confidentialité sont des menaces associées à l'accès à des informations en dehors des privilèges d'accès disponibles pour un sujet donné. De telles menaces peuvent survenir en raison du «facteur humain» (par exemple, délégation accidentelle à l'un ou l'autre utilisateur des privilèges d'un autre utilisateur), des défaillances de logiciels et de matériel.
La mise en œuvre de chacune de ces menaces individuellement ou en combinaison conduit à une violation de la sécurité de l'information de l'entreprise.
En fait, toutes les mesures visant à garantir la sécurité des informations devraient être fondées sur le principe de minimisation de ces menaces.
Toutes les mesures visant à garantir la sécurité de l'information peuvent être considérées conditionnellement à deux niveaux principaux: au niveau de l'accès physique aux données et au niveau de l'accès logique aux données, qui sont une conséquence de décisions administratives (politiques).
Au niveau de l'accès physique aux données, des mécanismes de protection des données contre les accès non autorisés et des mécanismes de protection contre les dommages causés aux supports de données physiques sont envisagés. La protection contre les accès non autorisés implique le placement d'un équipement serveur avec des données dans une pièce séparée, à laquelle seul le personnel autorisé a accès. Au même niveau, comme moyen de protection, il est possible de créer un système de serveurs répartis géographiquement. Le niveau de protection contre les dommages physiques implique l'organisation de divers types de systèmes spécialisés pour empêcher de tels processus. Ceux-ci incluent: les clusters de serveurs et la sauvegarde ( copie de réserve) serveur. Lorsque vous travaillez dans un cluster (par exemple, deux serveurs), en cas de panne physique de l'un d'entre eux, le second continuera à fonctionner, les performances du système informatique et des données ne seront donc pas perturbées. Avec une organisation supplémentaire de sauvegarde (serveur de sauvegarde), il est possible de restaurer rapidement le système informatique et les données même en cas de panne du deuxième serveur du cluster.
Le niveau de protection contre l'accès logique aux données suppose une protection contre l'accès non autorisé au système (ci-après, un système est entendu comme un système informatique conçu pour générer, stocker et traiter des données de toute classe - des simples systèmes comptables aux solutions de la classe ERP) comme au niveau de la base de données données, et au niveau du noyau système et des formulaires utilisateur. La protection à ce niveau implique de prendre des mesures pour empêcher l'accès à la base de données depuis Internet et réseau local organisations (le dernier aspect de la sécurité reçoit traditionnellement peu d'attention, bien que cet aspect soit directement lié à un phénomène tel que l'espionnage industriel). La protection du cœur du système implique, parallèlement aux mesures indiquées ci-dessus, le calcul des sommes de contrôle des parties critiques du code exécutable et un audit périodique de ces sommes de contrôle. Cette approche améliore la sécurité globale du système. (Notez que cette activité n'est pas la seule, elle est citée comme un bon exemple). La sécurité au niveau des formulaires utilisateur déclare le cryptage obligatoire du trafic transmis sur le réseau local (ou sur Internet) entre le client (formulaire utilisateur) et l'application (cœur du système). Aussi, la sécurité à ce niveau peut être assurée en calculant les sommes de contrôle de ces formulaires, avec leur vérification ultérieure, en adoptant l'idéologie de la «séparation des données et du code». Par exemple, un système construit en utilisant la technologie «client léger» dans l'optique d'assurer la sécurité à ce niveau a un avantage sur un système construit avec la technologie «client lourd», car au niveau des formulaires utilisateurs il ne donne pas accès au code de logique métier (par exemple, en désassemblant l'exécutable fichier). Le même niveau de protection comprend le mécanisme de certification, lors de l'échange entre le formulaire utilisateur et le serveur, ainsi que l'authenticité du formulaire utilisateur lui-même est confirmée par le tiers participant à l'échange - l'autorité de certification.
De même, au niveau de la protection contre l'accès logique au niveau des bases de données d'accès, il convient de calculer sommes de contrôle les tables critiques et conservez un journal des accès des objets à la base de données. Idéalement (" client léger") Seulement application serveur (serveur de logique métier) et toutes les autres requêtes de base de données (tierces) sont bloquées. Cette approche éliminera plusieurs types d'attaques et concentrera la politique de protection de la base de données sur la garantie de la sécurité «aux points critiques».
La protection au niveau des décisions administratives comprend des mesures administratives visant à créer une politique claire et compréhensible en matière d'informatique, de propriété intellectuelle, de sécurité de l'information, etc. On peut dire que ce niveau est primordial par rapport à l'utilisateur, puisque c'est la protection au niveau des décisions administratives qui permet d'éviter les situations les plus critiques liées à la sécurité de l'information.
Il est nécessaire de prendre en compte deux questions plus importantes liées à la sécurité: les méthodes et les moyens d'authentification des utilisateurs et la journalisation des événements survenant dans le SI.
L'authentification des utilisateurs fait référence au niveau logique de sécurité des informations. Le but de cette procédure est, dans un premier temps, d'informer l'IP quel utilisateur travaille avec lui afin de lui fournir les droits et interfaces appropriés; deuxièmement, pour confirmer les droits de cet utilisateur particulier en matière de propriété intellectuelle. Traditionnellement, la procédure d'authentification est réduite à la saisie par l'utilisateur d'un nom d'utilisateur (login) et d'un mot de passe.
Très souvent, dans les applications critiques, le formulaire de saisie du nom d'utilisateur / mot de passe est une application exécutée dans un tunnel logiciel sécurisé (moins souvent matériel), chiffrant sans condition toutes les informations transmises sur le réseau. Malheureusement, la situation la plus courante est lorsque le nom d'utilisateur et le mot de passe sont transmis sur le réseau en texte clair (par exemple, la plupart des systèmes de messagerie sur Internet). Outre le logiciel (saisie d'une combinaison nom d'utilisateur / mot de passe), il existe également des solutions matérielles-logicielles et matérielles pour l'authentification des utilisateurs. Il s'agit notamment des disquettes et des clés USB avec fichier clé (assez souvent - en combinaison avec la saisie d'un nom d'utilisateur / mot de passe régulier, pour confirmer l'autorité pour les actions critiques), protégé de la copie; support USB à écriture unique avec fichier clé; scanners d'iris; scanners d'empreintes digitales; systèmes d'anthropologie. L'une des options pour augmenter le degré de protection IP est de limiter la durée de validité du mot de passe et de limiter la durée d'inactivité de l'utilisateur dans l'IP. La limitation de la validité d'un mot de passe est l'émission d'un mot de passe qui n'est valable que pendant un certain nombre de jours - 30, 60, etc. En conséquence, avec le changement périodique des mots de passe, le degré de sécurité du SI dans son ensemble augmente. La limitation du temps d'inactivité de l'utilisateur implique la fermeture automatique de la session de l'utilisateur si aucune activité de l'utilisateur n'a été enregistrée dans cette session dans un certain laps de temps.
La journalisation de tous les événements survenant dans le SI est nécessaire pour obtenir une image claire des tentatives d'accès non autorisé ou des actions du personnel non qualifié en relation avec le SI. Une situation fréquente est l'introduction dans le SI de modules spécialisés qui analysent les événements du système et empêchent les actions destructrices par rapport au SI. Des modules comme ceux-ci peuvent fonctionner dans deux conditions: la détection d'intrusion et la prévention de la surexposition. Dans le premier cas, les modules analysent statistiquement le comportement typique de l'utilisateur, et émettent une «alarme» en cas d'écarts notables (par exemple, le travail d'un opérateur à 22-30 pour la première fois en deux ans est certainement suspect); dans le second cas, sur la base de l'analyse de la session utilisateur en cours, ils essaient d'empêcher des actions potentiellement destructrices (par exemple, une tentative de suppression de certaines informations).
Remarque:
Sécurité de l'information - sécurité de l'information
TI - technologie de l'information
SI - systèmes d'information ou système d'information (par contexte)
Une menace pour la sécurité de l'information est comprise comme l'activité accidentelle ou délibérée de personnes ou un phénomène physique pouvant conduire à une violation de la sécurité de l'information. En outre, les principaux types et aspects des menaces à la sécurité de l'information sont pris en compte.
2.2.1 Classification des menaces de sécurité de l'information
L'ensemble des menaces potentielles à la sécurité de l'information de par la nature de leur occurrence peut être divisé en deux classes (Figure 7): naturelles (objectives) et artificielles (subjectives).
Figure 7 - Menaces de sécurité
Les menaces naturelles sont des menaces causées par des impacts sur un système automatisé et ses éléments de processus physiques objectifs ou de phénomènes naturels indépendants de l'homme.
Les menaces d'origine humaine sont des menaces pour la sécurité de l'information causées par l'activité humaine. Parmi eux, en fonction de la motivation des actions, on peut distinguer:
1. Menaces non intentionnelles (non intentionnelles, accidentelles) causées par des erreurs dans la conception d'un système automatisé et de ses éléments, des erreurs dans le logiciel, des erreurs dans les actions du personnel, etc.
2. Menaces délibérées (intentionnelles) associées aux aspirations égoïstes des personnes (intrus).
Les sources de menaces pour le système automatisé peuvent être externes ou internes. Les menaces internes sont mises en œuvre par des composants du système d'information lui-même - matériel et logiciel ou personnel.
Les principales menaces artificielles non intentionnelles à la sécurité de l'information comprennent les actions effectuées par des personnes accidentellement, par ignorance, inattention ou négligence, par curiosité, mais sans intention malveillante:
1. Actions non intentionnelles conduisant à une défaillance partielle ou complète du système ou à la destruction du matériel, des logiciels, des ressources informationnelles du système (dommages non intentionnels à l'équipement, suppression, corruption de fichiers contenant des informations ou programmes importants, y compris le système, etc.).
2. Arrêt incorrect de l'équipement ou changement des modes de fonctionnement des appareils et des programmes.
3. Dommages involontaires aux supports d'informations.
4. Lancer des programmes technologiques qui, s'ils sont utilisés de manière incompétente, peuvent entraîner une perte de performances du système (gel ou bouclage) ou apporter des modifications irréversibles au système (formatage ou restructuration des supports de stockage, suppression de données, etc.).
5. Introduction et utilisation illégales de programmes non comptabilisés (jeu, éducation, technologie, etc., qui ne sont pas nécessaires pour que le contrevenant exerce ses fonctions officielles) avec le gaspillage déraisonnable des ressources (charge CPU, capture de RAM et de mémoire sur support externe).
6. Infection informatique par des virus.
7. Actions imprudentes menant à la divulgation information confidentielle, ou le rendre public.
8. Divulgation, transfert ou perte des attributs de contrôle d'accès (mots de passe, clés de cryptage, cartes d'identité, laissez-passer).
9. Conception de l'architecture du système, de la technologie de traitement des données, du développement de programmes d'application, avec des capacités qui constituent une menace pour la santé du système et la sécurité de l'information.
10. Ignorer les restrictions organisationnelles (règles établies) lorsque vous travaillez dans le système.
11. Connexion au système en contournant les mesures de sécurité (chargement d'un système d'exploitation étranger à partir d'un support magnétique amovible, etc.).
12. Utilisation incompétente, réglage ou désactivation illégale des équipements de protection par le personnel de sécurité.
13. Envoi de données à la mauvaise adresse d'abonné (appareil).
14. Saisie de données erronées.
15. Dommages accidentels aux canaux de communication.
Les principales menaces délibérées d'origine humaine sont les suivantes:
1. Destruction physique du système (par explosion, incendie criminel, etc.) ou désactivation de tout ou partie des composants les plus importants du système informatique (appareils, supports d'informations système importantes, personnel, etc.).
2. Déconnexion ou désactivation des sous-systèmes assurant le fonctionnement des systèmes informatiques (alimentation électrique, refroidissement et ventilation, lignes de communication, etc.).
3. Actions de désorganisation du fonctionnement du système (changement des modes de fonctionnement des appareils ou programmes, grève, sabotage du personnel, mise en place de puissantes interférences radio actives aux fréquences des appareils du système, etc.).
4. L'introduction d'agents dans l'effectif du personnel du système (y compris, éventuellement, dans le groupe administratif chargé de la sécurité).
5. Recrutement (par corruption, chantage, etc.) de personnel ou d'utilisateurs individuels avec certains pouvoirs.
6. L'utilisation de dispositifs d'écoute, de photographie et de tournage vidéo à distance, etc.
7. Interception des rayonnements électromagnétiques, acoustiques et autres latéraux des appareils et des lignes de communication, ainsi que induction de rayonnement actif sur des moyens techniques auxiliaires qui ne sont pas directement impliqués dans le traitement de l'information (lignes téléphoniques, réseaux électriques, chauffage, etc.).
8. Interception des données transmises par les canaux de communication, et leur analyse afin de clarifier les protocoles d'échange, les règles d'entrée de communication et d'autorisation de l'utilisateur et les tentatives ultérieures de les simuler pour pénétrer dans le système.
9. Vol de supports d'informations (disques magnétiques, bandes, puces de mémoire, périphériques de stockage et ordinateurs entiers).
10. Copie non autorisée de supports d'informations.
11. Vol de déchets industriels (imprimés, registres, supports jetés, etc.).
12. Lire les informations résiduelles de la RAM et des périphériques de stockage externes.
13. Lire des informations à partir de zones de RAM utilisées par le système d'exploitation (y compris le sous-système de protection) ou d'autres utilisateurs, en mode asynchrone, en utilisant les lacunes des systèmes d'exploitation et de programmation multitâches.
14. Réception illégale de mots de passe et autres détails de contrôle d'accès (par des moyens clandestins, en utilisant la négligence des utilisateurs, par la force brute, en imitant l'interface du système, etc.), suivie d'un déguisement en utilisateur enregistré ("mascarade").
15. Utilisation non autorisée de terminaux d'utilisateurs présentant des caractéristiques physiques uniques telles qu'un numéro poste de travail dans le réseau, adresse physique, adresse dans le système de communication, unité de codage matériel, etc.
16. Ouverture de chiffrements de cryptage des informations.
17. Mise en œuvre de pièces jointes matérielles spéciales, de signets logiciels et de virus, c'est-à-dire les sections de programmes qui ne sont pas nécessaires à la mise en œuvre des fonctions déclarées, mais qui permettent de surmonter le système de sécurité, d'accéder secrètement et illégalement aux ressources du système afin d'enregistrer et de transférer des informations critiques ou de perturber le fonctionnement du système.
18. Connexion illégale aux lignes de communication dans le but de travailler «entre les lignes», en utilisant des pauses dans les actions d'un utilisateur légitime en son nom, suivies de l'introduction de faux messages ou de la modification des messages transmis.
19. Connexion illégale à des lignes de communication dans le but de remplacer directement un utilisateur légitime en le déconnectant physiquement après la connexion et l'authentification réussie, suivie de l'introduction de fausses informations et de l'imposition de faux messages.
Le plus souvent, pour atteindre l'objectif fixé, l'attaquant utilise non pas un, mais une combinaison des chemins ci-dessus.
L'article analyse les menaces de violation de la sécurité de l'information des systèmes d'information et les modèles et méthodes existants de lutte contre les attaques informatiques. L'article traite également des problèmes liés à la sécurité de l'information.
Mots clés: système d'information, sécurité de l'information, modèles, méthodes, menaces d'information
À ce jour, les problèmes de sécurité de l'information (SI) tant à l'échelle nationale
une attention suffisante est accordée à l'échelle d'une entreprise individuelle, malgré cela, le nombre de menaces potentielles ne diminue pas.
La variété des menaces à la violation de la sécurité de l'information est si grande qu'il est assez difficile de prévoir chacune d'elles, mais la tâche est réalisable.
Afin d'assurer un niveau donné de protection des informations, il est nécessaire, dans un premier temps, d'identifier les principaux
menace de violation de la sécurité de l'information pour un objet spécifique d'informatisation, deuxièmement, concevoir un modèle adéquat pour les contrer et le mettre en œuvre davantage.
Une menace d'information est généralement comprise comme un danger potentiellement existant de violation délibérée ou non intentionnelle (accidentelle) de la procédure de stockage et de traitement des informations.
Les processus de collecte, de stockage, de traitement et de diffusion des informations intervenant dans le système d'information (SI) provoquent l'émergence de menaces informationnelles.
Les menaces de sécurité de l'information peuvent être classées selon plusieurs critères principaux:
Par la nature de l'événement (naturel, artificiel);
Par l'aspect de la sécurité de l'information (disponibilité, confidentialité, intégrité);
Par le degré d'impact sur le SI (passif, actif);
Par les composants du SI vers lesquels les menaces sont dirigées (infrastructure, canaux de communication, matériel, logiciel);
Par la localisation de la source des menaces (internes, externes);
Par voie de mise en œuvre (accidentelle, intentionnelle).
Au stade actuel de développement des outils de sécurité de l'information, les menaces possibles pour la sécurité de l'information d'une entreprise sont connues, quelle que soit la forme de propriété. Ceux-ci comprennent principalement:
- actions délibérées des employés;
- actions accidentelles des employés;
- les attaques de pirates informatiques afin d'obtenir des informations confidentielles ou de nuire aux activités de l'entreprise.
Selon les experts dans le domaine de la sécurité de l'information, plus de 90% de tous les crimes dans le domaine des technologies de l'information sont commis par des employés d'organisations (utilisateurs internes).
Dans la pratique, les menaces d'information sont plus souvent classées en fonction de leur impact sur les propriétés de base de l'information. Considérant ce problème, comme les principales propriétés de l'information peuvent être distinguées:
· L'intégrité de l'information - la propriété de l'information pour maintenir la pertinence et la cohérence dans le processus de sa collecte, accumulation, stockage, recherche et distribution; résistance des informations à la destruction et aux modifications non autorisées.
· Disponibilité de l'information - la capacité de conserver sa valeur en fonction de la rapidité de son utilisation et de la capacité d'être fournie à un utilisateur autorisé dans un certain laps de temps.
· La confidentialité des informations est la propriété des informations qui ne doivent être connues que des entités autorisées et vérifiées (autorisées) de l'entreprise (direction, employés responsables, utilisateurs du réseau d'information de l'entreprise, etc.) et perdent leur valeur lorsqu'elles sont divulguées à un utilisateur non autorisé.
En plus des propriétés d'information ci-dessus, il est également nécessaire d'ajouter l'importance et la vulnérabilité de l'information.
L'importance de l'information est un indicateur intégré pour évaluer la qualité de l'information utilisée dans la gestion d'un type d'activité spécifique, sa caractéristique de généralisation, reflétant l'importance pour la prise de décisions de gestion, la signification pratique pour obtenir des résultats spécifiques ou la mise en œuvre de fonctions spécifiques.La vulnérabilité de l'information est la capacité de subir des fuites potentielles, une destruction physique et utilisation dans les processus d'information.
Il résulte de ce qui précède que le problème de la sécurité du SI devient de plus en plus urgent. Il est évident que sa solution doit être menée systématiquement, sur la base d'une étude approfondie des technologies de sécurité. sphère d'information, modèles et méthodes de lutte contre les attaques informatiques.
Sur la base de l'analyse de la littérature sur les systèmes de détection et d'analyse des attaques informatiques, les méthodes ci-dessus n'ont généralement pas une description mathématique suffisante. Fondamentalement, ils sont formalisés sous la forme de méthodes et de fonctions d'outils de détection d'attaques informatiques utilisés dans des outils d'alerte et de détection d'attaques informatiques. Les problèmes de lutte contre les attaques informatiques n'ont pas été reflétés de manière indépendante dans la littérature moderne, par conséquent, l'analyse des méthodes envisagées est effectuée pour les méthodes connues de détection et d'analyse des attaques. Les méthodes de détection et d'analyse des impacts non autorisés sur une ressource du système d'information peuvent être divisées en:
- méthodes d'analyse des signatures,
- méthodes de détection des écarts anormaux.
Les méthodes d'analyse des signatures sont conçues pour détecter les attaques connues et sont basées sur la surveillance des programmes et des données dans le SI et l'analyse comparative de la séquence de symboles et d'événements dans le réseau avec une base de données de signatures d'attaque. Les données initiales pour l'application des méthodes sont des informations provenant de journaux système de logiciels généraux et spéciaux, de bases de données et de mots-clés. trafic réseau IP. L'avantage de ces méthodes est l'exigence insignifiante des ressources de calcul du SI, la préservation d'un haut rendement dans l'exécution du cycle de contrôle technologique (TCU) dans le SI et la fiabilité de la détection et de l'analyse des attaques. L'inconvénient des méthodes d'analyse de signature est l'impossibilité de détecter de nouvelles attaques (modifiées) sans formalisation stricte mots clés trafic réseau et mises à jour de la base de données des signatures d'attaque.
Les méthodes de détection d'anomalies sont conçues pour détecter les attaques inconnues. Le principe de leur fonctionnement est que l'on détecte un comportement anormal du SI différent du comportement typique, et sur la base de ce fait, une décision est prise quant à la présence éventuelle d'une attaque. La détection des écarts anormaux dans le réseau est effectuée en fonction des signes d'attaques informatiques, tels que des types rares de piles de protocoles (interfaces) pour demander des informations, des paquets de données longs, des paquets avec des distributions de caractères rares, une forme non standard de demande d'un tableau de données.
Appliquer des méthodes pour détecter les écarts anormaux et réduire le nombre de faux positifs une connaissance claire de la réglementation du traitement des données et des exigences pour assurer la sécurité de l'information (la procédure établie pour l'administration), des mises à jour des programmes contrôlés, des informations sur les modèles technologiques pour la mise en œuvre de TC dans les SI sont nécessaires. Les méthodes d'application des méthodes de détection des écarts anormaux diffèrent selon les modèles mathématiques :
· Modèles statistiques:
- modèles probabilistes;
- modèles d'analyse de grappes.
· Modèles de machines à états finis.
· Modèles de Markov.
· Modèles basés sur des réseaux de neurones.
· Modèles basés sur le génie génétique.
Dans la méthode de détection des écarts anormaux, qui utilise des modèles statistiques, la détection d'activité anormale est effectuée en comparant l'activité actuelle du trafic du réseau SI avec les exigences spécifiées pour le modèle technologique (profil de comportement normal) de l'implémentation IS TCU.
Ce qui suit est utilisé comme indicateur principal dans les modèles probabilistes pour détecter les attaques informatiques:
- la probabilité d'une nouvelle forme d'un paquet de transmission de données différent de celui de référence;
- espérance mathématique et variance des variables aléatoires caractérisant le changement des adresses IP de la source et du consommateur d'informations, du nombre de ports AWS des sources et des consommateurs d'informations.
Les méthodes statistiques donnent de bons résultats sur un petit sous-ensemble d'attaques informatiques parmi toutes les attaques possibles. L'inconvénient des modèles statistiques de détection des écarts anormaux est qu'ils ne permettent pas d'estimer le volume de données transmises et ne sont pas capables de détecter des intrusions d'attaques avec des données corrompues. Le goulot d'étranglement des méthodes est la possibilité de déborder du tampon de seuil de spam pour les faux messages.
Pour une utilisation efficace des modèles statistiques dans la méthode de détection des écarts anormaux, des règles de décision strictement définies et la vérification des mots-clés (seuils de réponse) à différents niveaux des protocoles de transmission de données sont nécessaires. Sinon, la part des faux positifs, selon certaines estimations, est d'environ 40% du nombre total d'attaques détectées.
Les modèles d'analyse de cluster sont basés sur la construction d'un profil d'activités normales (par exemple, un cluster de trafic normal) et l'évaluation des écarts par rapport à ce profil au moyen de critères sélectionnés, des caractéristiques (classificateur des principaux composants) des attaques informatiques et le calcul des distances entre les clusters en fonction d'un ensemble de caractéristiques d'attaque. Les modèles d'analyse de cluster utilisent un algorithme de détection d'attaque en deux étapes. Dans un premier temps, des informations sont collectées pour la formation d'un ensemble de grappes de données de comportement anormal du SI aux niveaux inférieurs des protocoles de transfert de données. Dans un deuxième temps, une analyse comparative des clusters obtenus de comportement anormal du SI avec des clusters décrivant le comportement standard du système est effectuée. La probabilité de reconnaître des attaques par les modèles d'analyse de cluster est, en moyenne, de 0,9 lorsque les intrusions ne sont détectées que par les en-têtes de paquets de transmission de données sans analyse sémantique de la composante informationnelle des paquets. Pour obtenir des données fiables à l'aide de modèles d'analyse de cluster, il est nécessaire d'analyser l'ordre d'identification et d'authentification, l'enregistrement des abonnés, les interruptions du système, l'accès aux ressources informatiques dans plusieurs journaux du système SI: audit, enregistrement, ressources, ce qui entraîne un retard dans le temps de prise de décision. Ce retard rend souvent impossible l'application des modèles d'analyse de cluster dans des systèmes quasi-temps réel.
La détection d'attaque utilisant le modèle de machine à états finis est basée sur une modélisation par machine à états finis de l'interaction d'informations entre les abonnés du SI utilisant des protocoles de transfert de données. Une machine à états est décrite par des ensembles d'entrées, de sorties et d'états internes. Les attaques sont détectées par des transitions "anormales" du SI d'un état à l'autre. On suppose que dans le SI, des transitions "régulières" du système d'un état à l'autre sont définies, et les états inconnus et les transitions vers ces états sont enregistrés comme anormaux. L'avantage de ce modèle est une sélection simplifiée des caractéristiques de classification pour le SI et la prise en compte d'un petit nombre de transitions d'un état à l'autre. Le modèle permet de détecter les attaques dans le flux de traitement des données des protocoles réseau en temps quasi réel. Les inconvénients du modèle incluent la nécessité de développer un grand nombre de règles expertes complexes pour l'analyse comparative des états requis et anormaux et des transitions du système. Les règles expertes pour évaluer les états du SI sont interconnectées avec les caractéristiques protocoles réseau transmission de données.
Les méthodes de détection des écarts anormaux basées sur les modèles de Markov sont basées sur la formation d'une chaîne de Markov d'un système fonctionnant normalement et la fonction de distribution des probabilités de transition d'un état à un autre. Ces informations sont utilisées comme données d'entraînement. Les anomalies sont détectées en comparant les chaînes de Markov et les fonctions de distribution de probabilité correspondantes pour un fonctionnement anormal et normal du SI en fonction des valeurs du seuil de probabilité d'occurrence des événements. En pratique, ce modèle est le plus efficace pour détecter les attaques informatiques basées sur les appels du système d'exploitation et nécessite des métriques d'entropie conditionnelle supplémentaires à utiliser dans des systèmes quasi-temps réel.
Des méthodes de détection d'attaques informatiques basées sur des réseaux de neurones sont utilisées pour la classification préliminaire des anomalies dans le SI. Ils sont basés sur l'identification du comportement normal du système en fonction de la fonction de distribution de réception de paquets de données (exécution de commandes d'opérateurs données), formation réseau neuronal et une analyse comparative des événements pour l'échantillon de formation.
Une déviation anormale du SI est détectée lorsque le degré de confiance du réseau de neurones dans sa décision est inférieur à un seuil donné. On suppose que l'utilisation d'un modèle de réseau de neurones pour la mise en œuvre de mécanismes de protection des informations dans un SI contre les attaques informatiques est précédée par l'apprentissage de ces réseaux dans des algorithmes spécifiés pour un fonctionnement normal. Les inconvénients des méthodes de détection d'attaques informatiques utilisant un réseau neuronal sont un appareil mathématique complexe qui ne fonctionne pas efficacement dans des systèmes quasi-temps réel, et la complexité de l'apprentissage du réseau pour détecter des attaques inconnues.
Les modèles de détection d'attaques informatiques basés sur le génie génétique sont basés sur l'application des acquis de la génétique et des modèles du système immunitaire humain dans le domaine des technologies de l'information. L'approche de ce modèle repose sur la modélisation des éléments du système immunitaire humain dans les moyens de détecter les anomalies en présentant des données sur les processus technologiques dans le SI avec une chaîne (vecteur) de caractéristiques, puis sur le calcul d'une mesure de similitude entre la chaîne d'apprentissage des caractéristiques caractérisant le «comportement» normal du SI et la chaîne de test caractérisant l'anormal fonctionnement. Si aucun accord n'est trouvé entre les données des chaînes d'apprentissage et de test, alors le processus est interprété comme anormal. L'une des principales difficultés dans l'application de ce modèle est le choix du seuil de correspondance des données, la formation de la quantité de données requise pour la formation et l'échantillon de test, et la sensibilité aux faux positifs.
Le modèle basé sur le génie génétique (système immunitaire naturel) est utilisé pour détecter les connexions TCP / IP anormales à partir des données sur les adresses IP: source d'informations, consommateur d'informations et les moyens de communicationpar lequel les abonnés sont connectés au réseau. L'inconvénient de ces modèles est qu'une procédure complexe est nécessaire pour la mise en place d'échantillons de formation et de test ou de données sur le comportement d'un individu dans un SI avec la participation d'un opérateur hautement qualifié.
Ainsi, l'avantage des méthodes de détection des écarts anormaux est la capacité à analyser les processus dynamiques du fonctionnement du SI et à y identifier de nouveaux types d'attaques informatiques. Les méthodes permettent une reconnaissance a priori des anomalies par un scan systématique des vulnérabilités.
Les inconvénients de ces méthodes incluent la nécessité d'augmenter la charge sur le trafic dans le réseau, la complexité de la mise en œuvre et la moindre fiabilité de la détection des attaques informatiques par rapport à l'analyse des signatures.
Une limitation des méthodes de détection et d'analyse des attaques informatiques est le besoin d'informations détaillées sur l'utilisation des protocoles (piles de protocoles) de transmission de données en SI à tous les niveaux. modèle de référence interaction des systèmes ouverts.
Une analyse comparative des méthodes existantes de détection des attaques informatiques par l'analyse des signatures et des écarts anormaux dans le SI a montré que l'approche la plus universelle pour identifier les attaques connues et inconnues est la méthode de détection des anomalies. Pour augmenter la stabilité du fonctionnement du SI, une méthode combinée de lutte contre les attaques informatiques est nécessaire, qui utilise de manière flexible les éléments d'analyse de signature, de détection d'anomalies et d'analyse fonctionnelle des fonctions SI exécutées dynamiquement.
Liste de références
1. Betelin V.B., Galatenko V.A. Fondamentaux de la sécurité de l'information: un cours de conférences: manuel Troisième édition, 2006, 208 p.
2. Burkov V.N., Gratsianskiy E.V., Dzyubko S.I., Schepkin A.V. Modèles et mécanismes de gestion de la sécurité. Série "Sécurité". - SINTEG, 2001, 160 p.
3.GOST R ISO / CEI 27033-3 - 2014 Informatique Méthodes et moyens de sécurité. Sécurité Internet. Partie 3 Scénarios de réseau de référence. Menaces, méthodes de conception et problèmes de gestion.
4. Devyanin P.N. Modèles de sécurité des systèmes informatiques. Centre d'édition "Academy", 2005, 144 p.
5. Klimov S.M., Sychev M.P., Astrakhov A.V. Lutte contre les attaques informatiques. Fondements méthodologiques. Publication éducative électronique. - M .: MSTU nommé d'après N.E. Bauman, 2013, 108 p.
6. Shangin V.F. Protection des informations dans les systèmes et réseaux informatiques. DMK Press, 2012, 591 p.
7.http: //sagmu.ru/nauka/images/stories/vestnik/full_text/2013_2/balanovskaya_7-17 - "Analyse des menaces à la sécurité de l'information des entreprises industrielles", Balanovskaya A.V., 2013
