Вы находитесь на странице: 1из 339

Глава 1. Кибербезопасность.

Мир мастеров, специалистов и преступников


В 60-е годы, когда в мире появились первые хакеры, большинство из них
были любителями компьютеров, программистами и студентами.
Первоначально термин хакер использовался в отношении людей с хорошими
навыками программирования. Хакеры использовали навыки
программирования для проверки ограничений и возможностей
существовавших тогда систем. Ранние хакеры также участвовали в
разработке ранних компьютерных игр. Многие из этих игр включали тему
магии и волшебства.
По мере развития хакерская культура вбирала в себя лексикон этих игр. В
связи с неправильным пониманием хакерской культуры люди, не
принадлежащие к ней, начали приписывать хакерам способности могучих
волшебников. Книги, такие как опубликованная в 1996 году «Там, где
волшебники ложатся спать поздно: происхождение Интернета» (Where
Wizards Stay up Late: The Origins of The Internet), добавляли загадочности
таинственной хакерской культуре. Образы и лексикон укоренились. Многие
сегодняшние хакерские группы используют эти образы. Одна из самых
знаменитых хакерских групп называла себя «Легион судьбы» (Legion of
Doom). Знание и понимание киберкультуры важны для понимания
киберпреступников и их мотивации.
В шестом веке до нашей эры жил известный китайский философ и воин
Сунь-Цзы. Сунь-Цзы написал книгу под названием «Искусство
войны»,которая считается классическим трудом о стратегиях победы над
врагом. Указания, изложенные в книге, тактики и стратеги использовали на
протяжении веков. Знание врага было одним из основных принципов Сунь-
Цзы. Хотя книга была посвящена войнам, большая часть его советов
применима и к другим аспектам жизни, включая проблемы
кибербезопасности. Эта глава начинается с описания структуры мира
кибербезопасности и объяснения причин, по которым он продолжает расти.
Далее в этой главе обсуждается роль киберпреступников и их мотивация.
Наконец, глава объясняет, как стать специалистом по кибербезопасности.
Специалисты кибербезопасности помогают победить киберпреступников,
которые представляют собой угрозу стабильности кибермира.
Обзор уровней обеспечения кибербезопасности
Существует множество групп данных, которые составляют различные
домены кибермира. Когда группы имеют возможность собирать и
использовать большие объемы данных, они начинают приобретать власть и
влияние. Данные могут быть в виде чисел, изображений, видео, аудио или
представлять собой данные любого типа, которые могут быть оцифрованы.
Группы могут стать настолько влиятельными, что становятся силой сами по
себе и создают отдельные уровни обеспечения кибербезопасности.
Такие компании, как Google, Facebook и LinkedIn, могут считаться доменами
данных в кибермире. Если продолжить развивать аналогию, люди,
работающие в этих компаниях, могут считаться экспертами по
кибербезопасности.
Слово «домен» имеет много значений. Любую область, в которой
присутствует контроль, полномочия или защита, можно рассматривать как
домен. Представьте, как дикое животное защищает свой территорию (или
домен в данном контексте). В этом курсе мы рассматриваем домены как
территорию, которую следует защищать. Она может иметь логические или
физические границы. Это зависит от размера системы. Эксперты по
кибербезопасности должны защищать свои домены согласно законам своей
страны.
Примеры уровней обеспечения кибербезопасности
Специалисты Google создали один из первых и самых мощных доменов в
рамках кибермира Интернета. Миллиарды людей каждый день используют
Google для поиска информации в Интернете. Вероятно, Google создала
крупнейшую в мире инфраструктуру по сбору данных. Google разработала
Android, операционную систему, которая установлена на более чем 80 %
мобильных устройств, подключенных к Интернету. Для использования
устройства пользователю необходимо создать учетную запись Google, в
которой сохраняются закладки и данные учетной записи, результаты поиска
и с помощью которой можно даже определять местонахождение устройства.
Щелкните здесь, чтобы увидеть некоторые из многочисленных сервисов,
которые в настоящее время предлагает Google.
Facebook — еще один мощный домен в обширном пространстве Интернета.
Специалисты Facebook выяснили, что люди создают персональные учетные
записи для того, чтобы каждый день общаться с семьей и друзьями. Поступая
таким образом, вы добровольно предоставляете большое количество личных
данных. Специалисты Facebook построили крупный домен данных,
позволяющий людям общаться такими способами, которые были просто
немыслимы в прошлом. Ежедневно Facebook оказывает воздействие на
миллионы жизней и дает возможность организациям и компаниям
взаимодействовать с людьми более персональным и целенаправленным
образом.
LinkedIn — это еще один домен данных в Интернете. Специалисты LinkedIn
установили, что ее участники будут обмениваться информацией в
стремлении создать сеть профессиональных контактов. Пользователи
LinkedIn предоставляют информацию для создания онлайн-профилей и
общения с другими участниками социальной сети. LinkedIn дает
возможность сотрудникам находить работодателей, а компаниям —
партнеров в разных точках мира. Между LinkedIn и Facebook есть большое
сходство.
Если взглянуть на эти домены изнутри, можно увидеть, как они построены.
На фундаментальном уровне домены приобретают свою силу благодаря
способности собирать пользовательские данные, предоставляемые самими
пользователями. Данные часто включают в себя биографические данные
пользователей, дискуссии, предпочтения, посещенные места, путешествия,
интересы, друзей и членов семьи, профессию, хобби и рабочий график. Для
организаций, заинтересованных в том, чтобы более эффективно
взаимодействовать с заказчиками и сотрудниками, такая информация имеет
большую ценность.
Рост кибердоменов
Данные из Интернета включают в себя значительно больше сведений, чем
только те, которые пользователи предоставляют добровольно. По мере
развития науки и технологий кибердомены продолжают расти, что позволяет
специалистам и их работодателям (Google, Facebook, LinkedIn и т. д.)
собирать множество других видов данных. В настоящее время
киберэксперты имеют технологии для прогнозирования погоды во всем мире,
мониторинга океанов, а также отслеживания движения и поведения людей,
животных и объектов в режиме реального времени.
Появились новые технологии, такие как геопространственные
информационные системы (ГИС) и Интернет вещей (IoT). Эти новые
технологии могут отслеживать, насколько хорошо растут деревья в районе.
Они могут предоставить данные о текущем местоположении транспортных
средств, устройств, людей и материалов. Информация такого типа может
экономить энергию, повысить эффективность и уменьшить риски в сфере
обеспечения безопасности. Каждая из этих технологий также ведет к
экспоненциальному росту объема данных, которые собираются,
анализируются и используются для расширения знаний об окружающем
мире. Данные, собираемые ГИС и Всеобъемлющим Интернетом (IoE), несут
в себе огромную проблему для специалистов по кибербезопасности в
будущем. Потенциально типы данных, генерируемых этими устройствами,
могут позволить киберпреступникам получить доступ к очень интимным
аспектам повседневной жизни.
Кто такие киберпреступники?
В начале возникновения мира кибербезопасности типичными
киберпреступниками были подростки или любители, использующие
домашний ПК, чьи атаки ограничивались главным образом шалостями и
вандализмом. Сегодняшний мир киберпреступников более опасен. Сети
атакуют отдельные хакеры или группы, которые пытаются использовать
уязвимости для личной или финансовой выгоды. Киберпреступники
заинтересованы во всем, что имеет ценность: от кредитных карт до образцов
продукции.
Непрофессионалы
Непрофессионалы или «скрипт-кидди» имеют мало навыков или не имеют их
вообще и для атак часто используют существующие инструменты или
инструкции, найденные в Интернете. Некоторые из них делают это из
любопытства, другие пытаются продемонстрировать свои навыки и нанести
вред. Несмотря на то что они используют базовые инструменты, результат
все равно может быть опустошительным.
Хакеры
Эта группа преступников проникает в компьютеры или сетевые
инфраструктуры по разным причинам. Согласно причинам взлома хакеры
классифицируются как «белые», «серые» или «черные». «Белые» хакеры
проникают в сетевую инфраструктуру или компьютерные системы с целью
обнаружения уязвимостей и повышения безопасности этих систем. Взлом
осуществляется с разрешения владельцев системы, а затем владельцы
системы получают результаты теста. «Черные» хакеры используют
уязвимости для незаконного получения личной, финансовой или
политической выгоды. «Серые» хакеры находятся где-то посередине между
«белыми» и «черными» хакерами. «Серые» хакеры могут находить
уязвимости и сообщать о них владельцам системы, если подобное действие
согласуется с их планами. Некоторые «серые» хакеры публикуют
информацию об уязвимостях в Интернете, чтобы другие злоумышленники
могли использовать ее.
Этот рисунок описывает термины: «белые», «черные» и «серые» хакеры.
Организованные хакеры
Включают организации киберпреступников, хактивистов, террористов и
хакеров, спонсируемых государством. Киберпреступники, как правило,
представляют собой группы профессиональных преступников, нацеленных
на власть и богатство. Преступники изощрены и хорошо организованы и
могут даже предлагать совершение киберпреступлений в качестве услуги.
Хактивисты делают политические заявления по вопросам, которые важны
для них, чтобы привлечь к ним внимание. Хактивисты делают публично
доступной компрометирующую информацию о своих жертвах.
Спонсируемые государством хакеры собирают разведывательные данные
или совершают акты саботажа от имени своего правительства. Такие
киберпреступники, как правило, хорошо обучены и хорошо финансируются.
Их атаки направлены на конкретные цели, которые выгодны для их
правительства. Некоторые хакеры, спонсируемые государством, даже служат
в вооруженных силах своей страны.
Мотивы киберпреступников
С течением времени профили и мотивы киберпреступников изменились.
Хакерство началось в 60-е годы со взлома телефонных аппаратов (или
фрикинга), который заключался в использовании различных звуковых частот
для манипулирования телефонными системами. В середине 80-х преступники
использовали компьютерные коммутируемые модемы для подключения
компьютеров к сетям и программы для взлома паролей для получения
доступа к данным. В настоящее время преступники не просто крадут
информацию. Они используют вредоносные программы и вирусы как
высокотехнологичное оружие. Однако самой сильной мотивацией для
большинства киберпреступников является финансовая выгода.
Киберпреступления стали более прибыльными, чем незаконная торговля
наркотиками.
Общие профили и мотивы хакеров в достаточной степени изменились.
Рисунок показывает современные хакерские термины и краткое описание
каждого из них.
Зачем становиться специалистом по кибербезопасности?
Спрос на специалистов по кибербезопасности вырос больше, чем спрос на
других ИТ-специалистов. Все технологии, которые преобразуют мир и
улучшают жизни людей, также повышают уязвимость пользователей для
атак. Технология сама по себе не может предотвратить, выявить, принять
меры и восстановить систему после инцидента информационной
безопасности. Примите во внимание следующие тенденции.
 Уровень навыков, необходимых специалисту по кибербезопасности для
эффективной работы, и нехватка квалифицированных специалистов по
кибербезопасности свидетельствуют о потенциально высоких доходах.
 Информационные технологии непрерывно изменяются. Это также
относится и к кибербезопасности. Высокодинамичный характер сферы
кибербезопасности делает ее как сложной, так и увлекательной
областью.
 Специалист по кибербезопасности также должен быть очень
мобильным. Рабочие места существуют почти в каждом
географическом регионе.
 Специалисты по кибербезопасности предлагают услуги, необходимые
для организаций, стран и учреждений, таких как правоохранительные
органы или аварийные службы.
Карьера специалиста по кибербезопасности очень перспективна.
Противодействие киберпреступникам
Расстроить планы киберпреступников — трудная задача, и здесь нет
простого решения. Компании, правительства и международные организации
начали принимать скоординированные меры по сдерживанию
киберпреступников. Скоординированные действия:
 Создание всеобъемлющих баз данных известных уязвимостей систем и
сигнатур атак (уникальное расположение информации, применяемое
для идентификации попытки злоумышленника использовать известные
уязвимости). Организации обмениваются такими базами данных на
международном уровне для помощи в подготовке ко многим
распространенным атаками и сдерживании их.
 Создание системы раннего предупреждения и оповещения сетевых
инфраструктур. Вследствие высокой стоимости и невозможности
проводить мониторинг каждой сети, организации отслеживают очень
ценные цели или создают «подсадных уток», которые выглядят очень
ценными. Поскольку вероятность атаки на такие очень ценные цели
является самой высокой, с их помощью можно получать
предупреждения о других потенциальных атаках.
 Обмен результатами аналитики киберугроз Компании,
правительственные агентства и страны теперь обмениваются
важнейшей информацией о серьезных атаках на критические цели с
целью предотвращения подобных атак в других местах. Многие страны
создали агентства киберразведки в целях борьбы с серьезными
кибератаками на международном уровне.
 Установление стандартов управления безопасностью среди
национальных и международных организаций. ISO 27000 является
хорошим примером таких международных действий.
 Принятие новых законов для предотвращения кибератак и утечек
данных. Такие законы предусматривают суровые наказания для
киберпреступников, уличенных в совершении незаконных действий.
На рисунке показаны меры для предотвращения кибератак и приведено их
краткое описание.
Типовые угрозы для конечных пользователей
Как описывалось ранее, некоторые эксперты являются дальновидными
новаторами. Они создают в Интернете различные кибердомены. Они умеют
видеть власть данных и использовать ее. Затем они создают организации и
предоставляют услуги, а также защищают людей от кибератак. В идеале
специалисты по кибербезопасности должны определять угрозы, которые
несут в себе данные, будучи использованными против людей.
Угрозы и уязвимости являются главной заботой профессионалов в области
кибербезопасности. Две ситуации являются особенно важными.
 Когда угроза открывает возможность возникновения вредоносного
события, такого как атака.
 Когда уязвимость делает цель восприимчивой к атаке.
Например, попадание данных в чужие руки может привести к вмешательству
в частную жизнь владельцев данных, повлиять на их репутацию или
поставить под угрозу их карьеру или личные отношения. Кражи
идентификационных данных — это большой бизнес. Однако наибольшие
риски не обязательно связаны с такими компаниями, как Google и Facebook.
Еще большие риски несут в себе школы, больницы, финансовые учреждения,
правительственные агентства, электронная коммерция и рабочее место.
Такие организации, как Google и Facebook, имеют ресурсы, чтобы нанять для
защиты своих доменов самых лучших специалистов по кибербезопасности.
По мере того как все больше организаций создают крупные базы данных,
содержащие наши личные данные, увеличивается потребность в
специалистах по кибербезопасности. Таким образом меньшим предприятиям
и организациям приходится конкурировать за оставшийся резерв
специалистов по кибербезопасности. Киберугрозы особенно опасны для
некоторых отраслей промышленности и данных, которые они используют.
Типы персональных данных
В следующих примерах приведены лишь некоторые типы данных, которые
могут поступать из существующих организаций.
Медицинские записи
В результате посещения врача в электронную медицинскую карту (ЭМК)
было добавлено больше информации. Рецепт, выписанный врачом,
становится частью ЭМК. ЭМК включает данные о физическом здоровье,
психическом здоровье и другие личные сведения, которые могут быть не
связаны с медициной. Например, в детстве человек проходил
консультирование из-за существенных изменений в семье. Это будет
занесено в его или ее медицинскую карту. Помимо медицинской истории и
личной информации, ЭМК может также включать информацию о семье
пациента. Существуют законы, защищающие медицинскую карту пациента.
Медицинские устройства, такие как фитнес-браслеты, используют облачную
платформу для беспроводной передачи, хранения и отображения
медицинских данных, таких как частота сердцебиения, давление и уровень
сахара в крови. Такие устройства могут генерировать большое количество
медицинских данных, которые могут быть включены в медицинскую карту.
Записи об образовании
Данные об образовании включают информацию о законченных классах,
результаты тестов, посещаемость, курсы, награды, дипломы и
дисциплинарные отчеты. Они также могут включать контактную
информацию, медицинские данные и данные о вакцинации, данные о
специальном образовании, включая программы индивидуального обучения.
Записи в трудовой книжке и финансовые записи
Сведения о трудоустройстве могут включать данные о последнем месте
работы и производительности. Сведения о трудоустройстве могут также
включать информацию о зарплате и страховании. Финансовые данные могут
включать информацию о доходах и расходах. Налоговые данные могут
включать квитанции о начислении заработной платы, выписки по кредитной
карте, кредитный рейтинг и банковскую информацию.
Угрозы Интернет-сервисам
Для работы сетевой инфраструктуры, а также Интернета необходимо много
базовых технических сервисов. Эти сервисы охватывают маршрутизацию,
адресацию, систему доменных имен и управление базами данных. Эти
сервисы также служат главной мишенью для киберпреступников.
Преступники используют анализаторы пакетов для захвата потоков данных в
сетевой инфраструктуре. Это означает, что все конфиденциальные данные,
такие как имена пользователей, пароли и номера кредитных карт,
подвергаются риску. Анализаторы пакетов отслеживают и записывают всю
информацию, передаваемую по сети. Преступники могут также использовать
неавторизованные точки доступа, например незащищенные точки доступа
Wi-Fi. Если преступник устанавливает ее возле общественного места,
например кофейни, ничего не подозревающие люди могут подключиться к
ней и анализатор пакета скопирует их личную информацию.
Служба доменных имен (DNS) переводит имя домена, например
www.facebook.com, в числовой IP-адрес. Если DNS-сервер не знает IP-адрес,
он отправит запрос другому DNS-серверу. Посредством имитации доменного
имени (DNS-подмены или отравления кэша DNS) преступник вводит ложные
данные в кэш распознавателя DNS. Такие атаки используют уязвимости в
программном обеспечении DNS и заставляют DNS-серверы перенаправлять
трафик определенного домена на компьютер преступника вместо
направления его законному владельцу домена.
Пакеты передают данные по сети или через Интернет. Подделка пакетов (или
инъекция пакетов) влияет на установленные сетевые коммуникации, создавая
пакеты, похожие на части сообщений. Подделка пакетов позволяет
преступнику разрушать или перехватывать пакеты. Таким образом
преступник может взломать авторизованное подключение или лишить
пользователя доступа к определенным сетевым службам. Специалисты по
кибербезопасности называют такую атаку атакой посредника или атакой
через посредника.
Эти примеры только поверхностно охватывают типы угроз, которые
преступники могут использовать против сетевых сервисов и сервисов
Интернета.
Угрозы ключевым отраслям промышленности
Ключевые отрасли предлагают системы сетевой инфраструктуры, такие как
производство, энергетика, связь и транспорт. Например, smart grid
(интеллектуальная энергосеть) — усовершенствованная система
производства и распределения электричества. Электросеть передает
электричество от центральных генераторов большому числу потребителей.
Интеллектуальная энергосеть использует данные для создания
автоматизированной сети доставки энергии. Мировые лидеры признают, что
защита их инфраструктуры имеет решающее значение для защиты их
благополучия.
За последнее десятилетие такие кибератаки, как Stuxnet, доказали, что
способны уничтожить или прервать работу критически важных
инфраструктур. Конкретно атака Stuxnet была направлена на систему
диспетчерского управления и сбора данных (SCADA), используемую для
контроля и мониторинга промышленных процессов. SCADA может быть
частью различных промышленных процессов в системах производства,
производства, энергетики и коммуникации. Щелкните здесь, чтобы
просмотреть дополнительную информацию об атаке Stuxnet.
Кибератака может подорвать или прервать работу таких промышленных
секторов, как телекоммуникации, транспорт или производство и
распределение электроэнергии. Она также может прервать работу сектора
финансовых услуг. Одна из проблем для сред, которые включают SCADA,
заключается в том, что разработчики не подключают SCADA к
традиционной ИТ-среде и Интернету. Таким образом на этапе разработки
этих систем кибербезопасности не уделяется должного внимания. Как и
компании других отраслей промышленности, организации, использующие
системы SCADA, признают пользу сбора данных в контексте улучшения
операций и снижения расходов. В результате появляется тенденция
подключения систем SCADA к традиционным ИТ-системам. Однако при
этом возрастает уязвимость отраслей промышленности, использующих
системы SCADA.
Для устранения сложных угроз, потенциал для появления которых
существует сегодня, требуются эксперты по кибербезопасности со
специальными навыками.

Угрозы образу жизни людей


Целью кибербезопасности является непрерывная защита сетевых систем и
данных от несанкционированного доступа. Каждый человек должен
защищать свою личность, данные и вычислительные устройства. На
корпоративном уровне сотрудники отвечают за защиту репутации, данных и
заказчиков. На государственном уровне на карту поставлена национальная
безопасность, защита и благополучие граждан.
В целях идентификации и сбора данных специалисты по кибербезопасности
часто сотрудничают с правительственными агентствами.
Агентство национальной безопасности США (NSA) отвечает за наблюдение
и сбор разведывательных данных. Оно построило новый центр обработки
данных только для того, чтобы обрабатывать растущие объемы информации.
В 2015 году Конгресс США принял Закон о свободе (полное название — «Об
объединении и укреплении государства путем соблюдения прав человека,
прекращения сбора персональных данных, передаваемых по сетям
электросвязи, запрета на отслеживание перемещения граждан и отмены
упрощенного порядка получения ордеров на сбор такой информации
органами национальной безопасности США»), положивший конец практики
массовой записи телефонных разговоров граждан США. Программа
предоставляет метаданные, с помощью которых NSA получает информацию
об отправленных и полученных сообщениях.
Усилия, направленные на обеспечение определенного уровня жизни людей,
часто противоречат их праву на неприкосновенность частной жизни. Будет
интересно посмотреть, как будет поддерживаться баланс между этими
правами и безопасностью пользователей Интернета.
Внутренние и внешние угрозы
Внутренние угрозы безопасности
Атаки могут происходить как изнутри, так и снаружи организации, как
показано на рисунке. Внутренние пользователи, такие как сотрудники или
партнеры, могут случайно или преднамеренно:
 неправильно обращаться с конфиденциальными данными;
 поставить под угрозу работу внутренних серверов и сетевых устройств
инфраструктуры;
 облегчить проведение внешних атак путем подключения зараженных
USB-устройств к корпоративной компьютерной системе;
 случайно открыть доступ вредоносным программ в сеть посредством
открытия вредоносного сообщения электронной почты или веб-сайта.
Повреждения, вызванные действиями внутренних пользователей,
обладающих прямым доступом к зданию и его инфраструктуре, могут
оказаться значительно выше, чем от внешних угроз. Внутренние
киберпреступники, как правило, обладают сведениями о корпоративной сети,
ее ресурсах и конфиденциальных данных. Они также могут знать о средствах
противодействия угрозам безопасности, политиках и обладать высоким
уровнем административных прав.
Внешние угрозы безопасности
Внешние угрозы от любителей или опытных киберпреступников могут
использовать уязвимости в сетевых устройствах или социальную
инженерию, например обман, чтобы получить доступ. Для доступа к
внутренним ресурсам используются уязвимости.
Традиционные данные
Корпоративные данные включают кадровую информацию,
интеллектуальную собственность и финансовые данные. Кадровая
информация включает в себя заявки о приеме на работу, фонд заработной
платы, письма с предложениями, трудовые договоры и любую информацию,
используемую при принятия решений о найме сотрудников.
Интеллектуальная собственность, такая как патенты, товарные знаки и планы
о разработке новой продукции, дает компании экономическое преимущество
над конкурентами. Интеллектуальную собственность можно рассматривать
как коммерческую тайну; потеря этой информации может иметь
катастрофические последствия для будущего компании. Финансовые данные,
например декларации о доходах, балансы и отчеты о денежных потоках,
дают представление о благосостоянии компании.

Уязвимости мобильных устройств


В прошлом сотрудники обычно пользовались компьютерами компании,
подключенными к корпоративной локальной сети. Системные
администраторы постоянно следили за работой этих компьютеров и
обновляли их в рамках соблюдения требований безопасности. Сегодня
мобильные устройства, такие как планшеты, iPhone и другие смартфоны и
мобильные устройства, все чаще заменяют собой традиционные ПК или
дополняют их. Все больше людей используют эти устройства для доступа к
корпоративной информации. Широко распространяется модель BYOD.
Организации, которые не могут централизованно управлять мобильными
устройствами, использующимися сотрудниками для входа в корпоративную
сетевую инфраструктуру, и обновлять ПО на них, подвергают себя растущей
опасности.
Появление Интернета вещей
Интернет вещей (IoT) — набор технологий, которые позволяют подключать к
Интернету различные устройства. Технологическая эволюция, связанная с
появлением Интернета вещей, вносит изменения в коммерческую и
потребительскую среды. Технологии Интернета вещей обеспечивают
возможность подключения к Интернету миллиардов устройств. Среди них —
программно-аппаратные комплексы, замки, двигатели, развлекательные
устройства и так далее. Растут объемы данных, требующих защиты.
Удаленный доступ к устройствам увеличивает количество сетевых
инфраструктур, которые необходимо защищать.
С развитием Интернета вещей управление и защита требуются растущему
объему данных. Различные подключения в сочетании с расширенными
размерами дискового пространства и сервисами хранения данных, которые
стали доступны благодаря облаку и виртуализации, привели к
экспоненциальному росту объемов данных. Такой рост данных создал новую
область интереса к технологиям и бизнесу под названием «большой объем
данных».
Влияние больших данных
Большие данные являются результатом больших и сложных наборов данных,
для обработки которых возможностей традиционных приложений для
обработки данных становится недостаточно. Связанные с большими
данными возможности и проблемы основываются на трех факторах:
 Объем данных
 Скорость прироста и обработки данных
 Разнообразие типов и источников данных
Новости наводнены многочисленными примерами хакерских атак на
крупные корпорации. Такие компании, как Target, Home Depot и PayPal,
являются объектами атак, получающих наибольшую огласку. В результате
требуется значительно менять структуру решений в области безопасности и
усовершенствовать технологии и методы защиты корпоративных систем.
Кроме того, появляются новые государственные и отраслевые правила и
нормы в отношении больших данных, требующие улучшения защиты данных
и средств контроля безопасности.
Использование передового оружия
Источником уязвимостей программного обеспечения сегодня являются
ошибки программирования, уязвимости протоколов или некорректная
конфигурация системы. Киберпреступники просто используют одну из них.
Например, типичная атака включает в себя создание определенного потока
данных на вход в программу для того, чтобы повредить ее и сделать
неисправной. Эта неисправность является ключом для взлома программы или
приводит к утечке информации из программы.
Сегодняшние кибератаки становятся все более изощренными. Сложная
целенаправленная угроза (APT) является продолжительной компьютерной
атакой на конкретный объект, которая осуществляется незаметно.
Преступники обычно выбирают цели для атаки по коммерческим или
политическим мотивам. APT проводится в течение длительного периода с
использованием продвинутых вредоносных программ и имеет высокую
степень секретности.
Алгоритмические атаки могут отслеживать данные, автоматически
сообщаемые системой, например о потребляемой компьютером энергии, и
использовать их для выбора целей или запуска ложных оповещений.
Алгоритмические атаки также могут отключить компьютер посредством
интенсивного использования его памяти или перегрузки его центрального
процессора. Алгоритмические атаки считаются более изощренными, так как
используют эксплойты, применяемые для экономии энергии, повышения
отказоустойчивости системы и ее эффективности.
Наконец, в атаках нового поколения используется интеллектуальный выбор
жертв. В прошлом злоумышленники выбирали для атаки самые
легкодоступные или наиболее уязвимые части системы. Однако сейчас, когда
выявлению и изолированию кибератак уделяется больше внимания,
киберпреступники должны быть более осторожными. При раннем
обнаружении атаки специалисты по кибербезопасности закроют доступ в
систему. В результате многие продвинутые атаки можно провести, только
если киберпреступник имеет сигнатуру целевого объекта.
Более широкий охват и каскадный эффект
Федеративное управление идентификационными данными позволяет
пользователям из нескольких предприятий использовать единые учетные
данные для доступа к сетевой инфраструктуре любого из предприятий
группы. В случае атаки это расширяет охват и увеличивает вероятность
каскадного эффекта.
Федеративное управление идентификационными данными связывает
электронные идентификационные данные субъектов отдельных систем.
Например, субъект может войти на Yahoo! с учетными данными Google или
Facebook. Это пример социальной идентификации.
Целью федеративного управления идентификационными данными является
автоматический обмен идентификационной информацией в границах
защищенной группы. С точки зрения отдельного пользователя это означает
единый идентификационный вход в Интернет.
Организации совместно с партнерами должны обязательно проводить анализ
идентификационной информации. Злоумышленник имеет возможность
украсть из сети партнера такую информацию, как номера социального
страхования, имена и адреса, и использовать ее для совершения
мошенничества. Наиболее распространенный способ защиты федеративной
идентификационной информации — привязка входа в систему к
авторизованному устройству.
Предпосылки безопасности
Кол-центры служб экстренной помощи в США являются уязвимыми для
кибератак, которые могут прервать работу сетей экстренных служб и
поставить под угрозу общественную безопасность. Телефонная атака типа
«отказ в обслуживании» (TDoS) использует звонки в целевую телефонную
сеть, блокируя систему и препятствуя получению желательных звонков.
Следующее поколение кол-центров служб экстренной помощи является
уязвимым, поскольку они используют системы Voice-over-IP (VoIP) вместо
традиционных линий проводной телефонной связи. Помимо атак TDoS, кол-
центры могут также подвергаться распределенным атакам типа «отказ в
обслуживании» (DDoS), которые выполняются с большого числа
компьютеров и перегружают ресурсы целевого объекта. Таким образом
целевой объект становится недоступным для легитимных пользователей. В
настоящее время существует множество способов обратиться за помощью в
экстренные службы, используя приложения для смартфонов или системы
домашней безопасности.
Повышенное распознавание угроз кибербезопасности
В начале киберэры защита от кибератак была слабой. Даже сообразительный
ученик средней школы или хакер-дилетант мог получить доступ к системам.
Со временем страны по всему миру стали лучше понимать опасность
кибератак. Кибератаки теперь возглавляют список самых серьезных угроз
национальной и экономической безопасности в большинстве стран.
Решение проблемы нехватки специалистов по кибербезопасности
Национальный институт по стандартам и технологиям (NIST) в США создал
архитектуру для компаний и организаций, нуждающихся в специалистах по
кибербезопасности. Эта архитектура позволяет компаниям определять
основные типы обязанностей, должностей и требуемых навыков.
Национальная концепция профессиональной подготовки сотрудников в
сфере кибербезопасности (The National Cybersecurity Workforce Framework)
категоризирует и описывает работу специалистов в области
кибербезопасности. Она обеспечивает универсальный язык для определения
характера работы, общего набора задач и навыков, необходимых
специалисту по кибербезопасности. Концепция также помогает определить
профессиональные требования в области кибербезопасности.
Национальная концепция профессиональной подготовки сотрудников в
сфере кибербезопасности (The National Cybersecurity Workforce Framework)
Структура работ по обеспечению безопасности (Workforce Framework)
выделяет семь категорий задач в области кибербезопасности.
Эксплуатация и обслуживание включают в себя техническую поддержку,
администрирование и обслуживание, необходимые для обеспечения
производительности и безопасности ИТ-системы.
Защита включает идентификацию, анализ и устранение угроз для
внутренних систем и сетевых инфраструктур.
Расследование включает в себя расследование кибернарушений и/или
киберпреступлений, связанных с ИТ-ресурсами.
Сбор и управление включают в себя специализированные операции по
сокрытию данных и дезинформации и сбор информации для обеспечения
кибербезопасности.
Анализ включает в себя высококвалифицированный обзор и оценку
поступающей информации по кибербезопасности, чтобы определить,
является ли она полезной.
Контроль и развитие предлагают инструкции, указания и руководство для
эффективной работы в сфере кибербезопасности.
Безопасность и выделение ресурсов включают в себя разработку
концепций, проектирование и внедрение безопасных ИТ-систем.
В каждой категории есть несколько областей специализации. Области
специализации определяют стандартные типы работ по кибербезопасности.
На рисунке показаны все категории и приведено их краткое описание.
Профессиональные организации
Работа специалистов по кибербезопасности предполагает сотрудничество.
Международные технологические организации часто финансируют семинары
и конференции для них. В этих организациях специалисты по
кибербезопасности часто хорошо мотивированы.
Студенческие организации и конкурсы по кибербезопасности
Чтобы обеспечить защиту от атак, специалисты по кибербезопасности
должны обладать теми же навыками, что и хакеры (особенно «черные»
хакеры). Как формировать и практиковать навыки, необходимые специалисту
по кибербезопасности? Профессиональные студенческие конкурсы —
отличный способ формирования навыков и умений в области
кибербезопасности. Для студентов, изучающих кибербезопасность, доступно
множество национальных конкурсов.
Отраслевые сертификации
В мире, полном киберугроз, велика потребность в квалифицированных
специалистах по информационной безопасности. В ИТ-отрасли для знаний и
навыков специалистов по кибербезопасности установлены стандарты,
соответствие которым подтверждается профессиональными сертификатами.
CompTIA Security+
Security+ является программой тестирования, спонсируемой CompTIA,
которая удостоверяет компетентность ИТ-администраторов в области
информационной безопасности. Тест Security+ охватывает наиболее важные
принципы обеспечения безопасности сетевой инфраструктуры и управления
рисками, включая проблемы, связанные с облачными вычислениями.
EC-Council Certified Ethical Hacker (CEH)
Этот сертификат среднего уровня подтверждает, что специалист по
кибербезопасности обладает навыками и знаниями, связанными с
различными хакерскими методами. Такие специалисты по
кибербезопасности используют те же навыки и методы для выявления
уязвимостей и слабых мест системы, что и киберпреступники.
SANS GIAC Security Essentials (GSEC)
Сертификат GSEC подтверждает, что его владелец понимает терминологию и
концепции информационной безопасности и имеет навыки и знания,
необходимые для «практического» обеспечения безопасности, и подходит в
первую очередь для начинающих специалистов по кибербезопасности.
Программа SANS GIAC предлагает ряд дополнительных сертификатов в
области администрирования безопасности, технической экспертизы и аудита.
(ISC)^2 Certified Information Systems Security Professional (CISSP)
Сертификация CISSP является независимой сертификацией для специалистов
по кибербезопасности с большим техническим и управленческим опытом.
Она также официально одобрена Министерством обороны США и является
общепризнанной отраслевой сертификацией в области безопасности.
ISACA Certified Information Security Manager (CISM)
На CISM могут претендовать специалисты высокого класса, ответственные
за разработку, контроль систем информационной безопасности и управление
ими на уровне предприятий, или разработчики самых эффективных методов
обеспечения безопасности. Сертификат подтверждает высокую
квалификацию в области управления рисками безопасности.
Сертификации, спонсируемые компаниями
Сертификации, спонсируемые компаниями, являются еще одним важным
подтверждением квалификации для специалистов по кибербезопасности. Они
определяют знания и компетентность в области установки, настройки и
обслуживания продукции данных производителей. Например, у компаний
Cisco и Microsoft есть системы сертификации, подтверждающие знания их
продуктов.
Cisco Certified Network Associate Security (CCNA Security)
Сертификация CCNA Security удостоверяет, что специалист по
кибербезопасности имеет знания и навыки, необходимые для обеспечения
безопасности сетевых инфраструктур Cisco.
Как стать экспертом по кибербезопасности
Чтобы стать хорошим специалистом по кибербезопасности, потенциальный
кандидат должен удовлетворять уникальным требованиям. Специалисты
должны уметь реагировать на угрозы немедленно после их возникновения.
Это означает, что рабочий график может оказаться непредсказуемым.
Специалисты по кибербезопасности также занимаются анализом данных,
политик и тенденций в стремлении понять, как думают киберпреступники.
Часто работа включает значительную долю детективной деятельности.
Следующие рекомендации помогут начинающим специалистам по
кибербезопасности в достижении их целей.
Учиться: научиться основам, закончив курсы по ИТ. Учитесь постоянно.
Кибербезопасность — это постоянно меняющаяся область, и специалисты в
ней должны идти в ногу со временем.
Получить сертификаты. Отраслевые сертификации и сертификации от
производителей, в том числе от таких компаний, как Microsoft и Cisco,
доказывают владение знаниями, необходимыми для специалиста по
кибербезопасности.
Проходить стажировки: стажировки в области безопасности могут открыть
перед студентом больше возможностей.
Вступить в профессиональные организации: вступление в организации, чья
деятельность посвящена компьютерной безопасности, участие во встречах и
конференциях, использование форумов и блогов дают возможность получить
знания от экспертов.
Глава 2. Куб кибербезопасности
Экспертов по кибербезопасности лучше всего можно описать как экспертов,
которым поручена защита киберпространства. Джон Мак-Камбер — один из
первых экспертов по кибербезопасности, разработавший часто используемую
архитектуру под названием «куб Мак-Камбера», или «куб
кибербезопасности». Он часто используется в качестве инструмента для
защиты сетевой инфраструктуры, доменов и Интернета. Куб
кибербезопасности выглядит похожим на кубик Рубика.
Первая грань куба кибербезопасности включает в себя три принципа
информационной безопасности. Специалисты по кибербезопасности
называют три принципа триадой «конфиденциальность, целостность,
доступность». Вторая грань определяет три состояния данных или
информации. Третья грань куба — знания, необходимые для обеспечения
должного уровня защиты. Их часто называют тремя категориями
мер кибербезопасности.
В этой главе также обсуждается модель кибербезопасности ISO. Модель
представляет собой международную архитектуру для стандартизации
управления информационными системами.
Принципы информационной безопасности
Первая грань куба кибербезопасности определяет цели защиты
киберпространства. Цели, определенные в первой грани, являются
основополагающими принципами. Три принципа информационной
безопасности — конфиденциальность, целостность, доступность. Принципы
позволяют экспертам по кибербезопасности определить приоритетность
действий для защиты сетевых систем.
Конфиденциальность препятствует передаче информации неавторизованным
лицам, ресурсам или процессам. Целостность — это точность,
согласованность и достоверность данных. Наконец, доступность гарантирует,
что информация доступна авторизованным пользователям. Чтобы запомнить
эти принципы, используйте аббревиатуру КЦД (CIA).

Состояния данных
Киберпространство — это домен, содержащий значительное количество
критически важных данных. Таким образом, главной задачей экспертов по
кибербезопасности является защита данных. Вторая грань куба
кибербезопасности фокусируется на проблемах защиты данных, которые
находятся в киберпространстве в разных состояниях. Есть три возможных
состояния данных:
 Передаваемые данные
 Неактивные или хранящиеся данные
 Обрабатываемые данные
Защита киберпространства требует от специалистов по кибербезопасности
обеспечения сохранности данных во всех трех состояниях.
Меры кибербезопасности
Третья грань куба кибербезопасности определяет навыки и знания, которые
требуются специалисту по кибербезопасности для защиты
киберпространства. Для защиты данных в киберпространстве специалистам
по кибербезопасности необходимо использовать разные навыки и знания,
имеющиеся в их распоряжении. Они должны делать это, оставаясь на
стороне закона.
Куб кибербезопасности выделяет три вида навыков и знаний, необходимых
для обеспечения должного уровня защиты. Первый навык включает в себя
использование технологий, устройств и продуктов для защиты
информационных систем, и сдерживания киберпреступников. Специалисты
по кибербезопасности известны отличным владением техническими
средствами, имеющимися в их распоряжении. Однако Мак-Камбер
напоминает им, что одних технических средств недостаточно, чтобы
победить киберпреступников. Специалисты по кибербезопасности должны
также построить сильную оборону путем создания политик, процедур и
рекомендаций, которые позволяют пользователям киберпространства
применять эффективные методы защиты и оставаться в безопасности.
Наконец, пользователи киберпространства должны стремиться быть более
информированными об угрозах киберпространства и формировать культуру,
которая позволяет учиться и получать новую информацию.
Принцип конфиденциальности
Конфиденциальность препятствует передаче информации неавторизованным
лицам, ресурсам и процессам. Синоним конфиденциальности — личные
данные. Организации ограничивают доступ к данным или другим сетевым
ресурсам, чтобы гарантировать их использование только авторизованными
операторами. Например, программист не должен иметь доступ к
персональным данным всех сотрудников.
Организации должны ознакомить сотрудников с лучшими практиками для
защиты конфиденциальной информации, чтобы они могли обезопасить себя
и свою организацию от атак. Для обеспечения конфиденциальности
используются такие методы, как шифрование данных, аутентификация и
разграничение доступа.
Защита конфиденциальных данных
Организации собирают большой объем данных. Большинство этих данных не
являются конфиденциальными, потому что они публично доступны,
например, имена и телефонные номера. Однако другие собираемые данные
являются конфиденциальными. Конфиденциальная информация — это
данные отдельных лиц и организаций, защищаемые от
несанкционированного доступа. Существует три типа конфиденциальной
информации.
 Персональная информация является информацией, соотносимой с
конкретной личностью (PII), по которой можно идентифицировать
отдельное лицо. На рис. 2 приведена эта категория данных.
 Коммерческая информация — это информация, которая включает в
себя любые сведения, которые несут в себе риск для деятельности
организации при условии, если станут доступными общественности
или конкурентам. На рис. 3 приведена эта категория данных.
 Секретная информация — информация, принадлежащая
правительственным органам и классифицируемая по уровню
конфиденциальности. На рис. 4 приведена эта категория данных.
Контроль доступа
Разграничение доступа определяет ряд схем защиты, которые
предотвращают несанкционированный доступ к компьютеру, сетевой
инфраструктуре, базе данных или другим информационным ресурсам.
Концепция AAA включает три сервиса обеспечения безопасности:
аутентификацию, авторизацию и учет (Authentication, Authorization,
Accounting). Эти сервисы представляют собой основу для управления
доступом.
Первая A в концепции AAA означает
аутентификацию. Аутентификация проверяет подлинность пользователя
для предотвращения несанкционированного доступа. Пользователи должны
подтвердить свою личность с помощью имени пользователя или
идентификатора. Кроме того, пользователи должны подтвердить свою
личность, предоставив одно из нижеперечисленного, как показано на рис. 1.
 То, что они знают (например, пароль).
 То, что они имеют (например, токен или карта).
 То, чем они являются (например, отпечатки пальцев).
Например, если вы идете в банкомат за наличными деньгами, вам нужна
банковская карта (то, что вы имеете) и нужно знать PIN-код. Это также
является примером многофакторной аутентификации. Многофакторная
аутентификация требует использования более одного типа проверки
подлинности. Наиболее распространенной формой аутентификации является
использование паролей.
Авторизация определяет, к каким ресурсам пользователи могут получить
доступ, а также операции, которые могут выполнять пользователи, как
показано на рис. 2. Некоторые системы для авторизации используют список
контроля доступа, или ACL. После того как пользователь прошел проверку
подлинности, ACL устанавливает, какие права доступа имеет пользователь.
Например, возможность выполнить вход в корпоративную сеть еще не
означает, что у вас есть разрешение на использование высокоскоростного
цветного принтера. Авторизация также позволяет контролировать доступ
пользователя к определенному ресурсу. Например, сотрудники могут иметь
доступ к базе данных продаж во время рабочего дня, но во внеурочное время
система блокирует доступ.
Учет — отслеживание того, что делают пользователи, включая ресурсы, к
которым они осуществляют доступ, количество времени, в течение которого
они осуществляют доступ, и любые внесенные ими изменения. Например,
банк отслеживает все учетные записи клиентов. Аудит системы дает
возможность выявить время и количество всех транзакций и сотрудника или
систему, выполнивших транзакции. Службы учета кибербезопасности
работают таким же образом. Система отслеживает каждую транзакцию с
данными и предоставляет результаты аудита. Администратор может
настроить политики для включения системной проверки, как показано на
рис. 3.
Концепция AAA аналогична использованию кредитной карты, как показано
на рис. 4. Кредитная карта определяет, кто может ею пользоваться, какую
сумму может потратить пользователь, а также ведет учет товаров и услуг,
которые приобретает пользователь.
Киберучет отслеживает и выполняет мониторинг в режиме реального
времени. Некоторые веб-сайты, например, Norse, показывают атаки в режиме
реального времени на основе данных, собранных системой киберучета или
отслеживания. Щелкните здесь, чтобы посетить веб-сайт Norse,
отслеживающий атаки в режиме реального времени.
Законы и ответственность
Понятия конфиденциальных и личных данных кажутся взаимозаменяемыми,
но с юридической точки зрения они означают разные вещи. Большинство
личных данных являются конфиденциальными, но не все конфиденциальные
данные относятся к личным. Доступ к конфиденциальной информации
предоставляется после подтверждения авторизации. Финансовые
учреждения, больницы, медицинские работники, юридические фирмы и
предприятия обрабатывают конфиденциальную информацию.
Конфиденциальная информация имеет статус закрытой. Сохранение
конфиденциальности в большей степени является нравственным долгом.
Личные данные должны обрабатываться надлежащим образом. Информация,
предоставляемая заказчиками или сотрудниками организации, может быть
использована только по прямому назначению. Большинство организаций
требуют от заказчиков или сотрудников подписания формы, дающей
организации разрешение на использование данных.
Все законы, перечисленные на рисунке, содержат положение о
конфиденциальности, начиная с законов США на рис. 1. На рис. 2
перечислено несколько примеров международных инициатив. Большинство
этих законов отвечают на стремительный рост объемов собираемых данных.
Растущее число связанных с вопросами конфиденциальности законов кладут
на плечи организаций, которые осуществляют сбор и анализ данных,
огромное бремя. Политики являются лучшим способом отвечать
требованиям растущего числа связанных с вопросами конфиденциальности
законов. Политики позволяют организациям устанавливать специальные
правила, процедуры и процессы в отношении сбора, хранения и совместного
использования данных.
Принцип целостности данных
Целостность — это точность, согласованность и достоверность данных в
течение всего срока эксплуатации. Синонимом целостности данных является
их качество. Данные подвергаются таким операциям, как получение,
хранение, извлечение, обновление и передача. Во время всех этих операций
данные должны оставаться защищенными от несанкционированного доступа.
Для обеспечения целостности данных используются такие методы, как
хеширование, проверка достоверности и согласованности данных и средства
разграничения доступа. В системах для обеспечения целостности данных
могут применяться один или несколько методов, перечисленных выше.
Требования к целостности данных
Целостность данных является фундаментальным компонентом
информационной безопасности. Требования к целостности данных зависят от
того, как организация использует данные. Например, Facebook не проверяет
данные в профилях пользователей. Банки и финансовые организации
придают целостности данных большее значение, чем Facebook. Данные о
транзакциях и счетах заказчиков должны быть точными. В организации,
занятой в сфере здравоохранения, целостность данных может быть вопросом
жизни или смерти. Информация в рецепте должна быть точной.
Защита целостности данных является постоянной задачей для большинства
организаций. Нарушение целостности данных может привести к тому, что
все информационные ресурсы станут недостоверными или непригодными
для использования.
Проверки целостности
Проверка целостности позволяет измерить согласованность набора данных
(файла, изображения или записи). В ходе проверки целостности выполняется
процесс, называемый хеш-функцией, который создает моментальный снимок
данных. Моментальный снимок позволяет убедиться, что данные остаются
неизменными.
Контрольная сумма является одним из примеров хеш-функции. Контрольная
сумма проверяет целостность файлов или строки символов, до и после их
передачи с одного устройства на другое через локальную сеть или Интернет.
Контрольные суммы получаются путем преобразования каждого фрагмента
информации в значение и вычислением общей суммы. Для проверки
целостности данных система-получатель просто повторяет процесс. Если две
суммы равны, данные являются действительными (рис. 1). Если они не
равны, где-то в ходе передачи их целостность была нарушена (рис. 2).
Наиболее распространенные хеш-функции включают MD5, SHA-1, SHA-256
и SHA-512. В этих хеш-функциях используются сложные математические
алгоритмы. Хеш-значение служит для сравнения. Например, после загрузки
файла пользователь может проверить его целостность путем сравнения хеш-
значений из источника с хеш-значением, полученным с помощью любого
калькулятора хеша.
Организации используют систему управления версиями для предотвращения
внесения случайных изменений авторизованными пользователями. Два
пользователи не могут обновлять один и тот же объект. Объектами могут
быть файлы, записи базы данных или транзакции. Например, первый
пользователь, открывающий документ, имеет разрешение на изменение этого
документа; второй пользователь имеет разрешение только на чтение.
Точные резервные копии помогают сохранить целостность данных в случае
повреждения данных. Организациям следует контролировать процесс
резервного копирования, чтобы гарантировать целостность резервных копий
и предотвращение потери данных.
Авторизация определяет, кто имеет доступ к ресурсам организации на основе
выполняемых в организации обязанностей. Например, с помощью прав
доступа к файлам и средств разграничения доступа обеспечивается гарантия
того, что только определенные пользователи могут изменять данные.
Администратор может установить права доступа к файлу только на чтение. В
результате пользователь, который получает доступ к этому файлу, не может
внести в файл никаких изменений.
Принцип доступности
Под принципом доступности данных понимается необходимость
поддерживать постоянную доступность информационных систем и сервисов.
Кибератаки и сбои системы могут препятствовать доступу к
информационным системам и сервисам. Например, прерывая доступность
веб-сайта конкурента путем остановки его работы, другая компания может
обеспечить себе преимущество. Такие DoS-атаки ставят под угрозу
доступность системы и предотвращают доступ и использование
информационной системы легитимными пользователями.
Для обеспечения доступности применяются такие методы, как
резервирование системы, резервное копирование и повышение
отказоустойчивости систем, техническое обслуживание оборудования,
актуальные операционные системы и программное обеспечение, а также
готовые планы быстрого восстановления в случае непредвиденных сбоев.

Пять девяток
В повседневной жизни люди используют различные информационные
системы. Компьютеры и информационные системы управляют связью,
транспортом и производством продукции. Непрерывная доступность
информационных систем необходима для современной жизни. Термин
«высокая доступность» описывает системы, спроектированные так, чтобы
избежать простоев. Высокая доступность гарантирует более высокий уровень
производительности в течение более продолжительного времени, чем
нормальный период. Системы с высокой доступностью, как правило,
спроектированы на основе трех принципов (рис. 1):
 исключить единые точки отказа;
 обеспечить надежный механизм переключения на резервные ресурсы;
 выявлять отказы по мере их возникновения.
Цель заключается в возможности продолжения работы в экстремальных
условиях, например, во время атаки. Один из самых популярных методов
высокой доступности — «пять девяток». «Пять девяток» происходит от
99,999 %. Это означает, что продолжительность простоя составляет менее
5,26 минуты в год. Рис. 2 предлагает три подхода к методу «пяти девяток».
Обеспечение доступности
Организации могут обеспечить доступность следующими способами:
 Обслуживание оборудования
 Обновление ОС и систем
 Резервное тестирование
 Планирование аварийных ситуаций
 Внедрение новых технологий
 Мониторинг необычной активности
 Проверка доступности
Варианты хранения данных
Термин «хранящиеся данные» относится к неактивным данным. Неактивные
данные располагаются на определенном типе устройства хранения данных,
когда они не используются пользователями или процессами. Данные могут
храниться локально (на вычислительном устройстве) или централизованно
(доступны по сети). Существует множество вариантов хранения данных.
Система хранения данных с прямым подключением (DAS) — это устройство,
которое подключается к компьютеру напрямую. Примеры таких устройств —
жесткий диск или USB-накопитель. По умолчанию в системах не установлен
совместный доступ к системе хранения данных с прямым подключением.
Резервный массив независимых жестких дисков (RAID) объединяет
несколько жестких дисков в массив таким образом, чтобы операционная
система рассматривала их как один диск. RAID-массив обеспечивает
повышенную производительность и отказоустойчивость.
Сетевое устройство хранения данных (NAS) подключается к сетевой
инфраструктуре и дает авторизованным пользователям возможность
сохранять и извлекать данные централизованно. Устройства NAS отличаются
гибкостью и масштабируемостью. Администраторы могут увеличивать их
емкость по мере необходимости.
Архитектура сети хранения данных (SAN) — это сетевая система хранения
данных. Системы SAN подключаются к сетевой инфраструктуре через
высокоскоростные интерфейсы. Это позволяет увеличить
производительность и подключать несколько серверов к централизованной
дисковой СХД.
Облачное хранение данных — это вариант внешнего СХД, который
использует пространство ЦОД поставщика и доступно с любого компьютера
с доступом к Интернету. Примерами облачных систем хранения данных
являются Google Drive, iCloud и Dropbox.
Задачи защиты хранящихся данных
В стремлении защитить хранящиеся данных организации сталкиваются со
сложностями. В целях повышения безопасности хранения данных
организации могут автоматизировать и централизовать процесс резервного
копирования данных.
Управление и контроль над системой хранения данных с прямым
подключением может быть одним из самых сложных по сравнению с
другими видами СХД. Система хранения данных с прямым подключением
уязвима к атакам на локальный хост. Сохраненные данные могут также
включать резервные копии данных. Резервные копии могут быть созданными
вручную или автоматически. Организациям следует ограничить типы
данных, хранящихся в системе хранения данных с прямым подключением. В
частности, организациям не следует хранить критически важные данные на
устройствах хранения с прямым подключением.
Сетевые системы хранения данных являются более безопасным вариантом.
Сетевые системы хранения, включая RAID, SAN и NAS, обеспечивают
резервирование и более высокую производительность. Однако сетевые
системы хранения данных более сложны в настройке и управлении. Они
также обрабатывают больше данных, что несет в себе больший риск для
организации в случае отказа устройства. Задачи, связанные с сетевыми
системами хранения, включают в себя настройку, тестирование и
мониторинг системы.
Методы передачи данных
Передача данных включает отправку информации с одного устройства на
другое. Есть множество способов передачи информации между
устройствами, в том числе следующие:
 Перенос данных вручную. Использует съемные носители для
физического перемещения данных с одного компьютера на другой.
 Проводные сети. Для передачи данных используются кабели.
 Беспроводные сети. Для передачи данных используются радиоволны.
Организации никогда не смогут полностью отказаться от использования
метода переноса данных вручную.
Проводные сети включают в себя медные и оптоволоконные носители.
Проводные сети могут обслуживать локальную географическую зону
(локальная сеть) или могут простираться на большие расстояния (глобальные
сети).
Проводные сети постепенно заменяются беспроводными. Беспроводные сети
быстрее и имеют большую пропускной способностью. Беспроводные сети
увеличивают количество использующих мобильные устройства гостевых
пользователей, подключающихся к небольшим офисным сетям, домашним
офисам (SOHO) и корпоративным сетям.
Как проводные, так и беспроводные сети для передачи данных используют
пакеты или единицы данных. Термин «пакет» обозначает единицу данных,
которая путешествует между источником и получателем в сетевой
инфраструктуре. Стандартные протоколы, такие как интернет-протокол (IP)
и протокол передачи гипертекста (HTTP), определяют структуру и
формирование пакетов данных. Эти стандарты имеют открытый исходный
код и общедоступны. Защита конфиденциальности, целостности и
доступности передаваемых данных является одной из самых важных задач
специалистов по кибербезопасности.
Задачи защиты передаваемых данных
Защита передаваемых данных является одной из самых сложных задач
специалиста по кибербезопасности. С ростом числа мобильных и
беспроводных устройств специалисты по кибербезопасности несут
ответственность за защиту огромного объема данных, ежедневно
проходящих через их сетевую инфраструктуру. В деле защиты этих данных
специалисты по кибербезопасности сталкиваются с рядом серьезных задач.
 Защита конфиденциальности данных. Киберпреступники могут
захватить, сохранить и украсть передаваемые данные. Специалисты по
кибербезопасности должны принять меры для предотвращения этих
действий.
 Защита целостности данных. Киберпреступники могут перехватить и
изменить передаваемые данные. Для борьбы с этим специалисты по
кибербезопасности развертывают системы проверки целостности
данных, которые тестируют целостность и подлинность передаваемых
данных.
 Защита доступности данных. Киберпреступники могут использовать
неавторизованные или несанкционированные устройства, чтобы
закрыть доступ к данным. Простое мобильное устройство может
выступать локальной точкой беспроводного доступа и обманом
вынудить доверчивых пользователей подключиться к
неавторизованной точке доступа. Киберпреступник может взломать
авторизованное подключение к защищенному сервису или устройству.
Для противодействия этому специалисты по сетевой безопасности
могут использовать системы взаимной аутентификации. Системы
взаимной аутентификации требуют от пользователя пройти
аутентификацию на сервере и запрашивают сервер пройти
аутентификацию на стороне пользователя.
Виды обработки данных
Третье состояние данных — это обрабатываемые данные. Это те данные,
которые находятся в процессе первоначального ввода, изменений,
вычислений и вывода.
Защита целостности данных начинается с первоначального ввода данных.
Организации используют несколько методов сбора данных, таких как ручной
ввод данных, сканирование форм, выгрузка файлов и сбор данных с
сенсоров. Каждый из этих методов создает потенциальную угрозу
целостности данных. Примерами повреждения данных во время процесса
ввода являются ошибки ввода или отключенные, неисправные или
неработающие системные датчики. Другие примеры могут включать
неправильную маркировку и неправильные или несоответствующие форматы
данных.
Модификация — это любые изменения исходных данных, такие как
редактирование данных вручную пользователями, обработка и изменение
данных программами, а также отказ оборудования, приводящий к изменению
данных. Примерами модификации данных служат такие процессы, как
кодирование/декодирование, сжатие/восстановление и
шифрование/дешифрование. Вредоносный код также ведет к повреждению
данных.
Повреждение данных происходит также в ходе процесса вывода данных.
Вывод данных подразумевает вывод данных на принтеры, электронные
дисплеи или другие устройства. Точность выходных данных имеет
решающее значение, потому что вывод данных предоставляет информацию и
влияет на процесс принятия решений. Примеры повреждения выходных
данных включают неправильное использование разделителей данных,
неправильную настройку передачи и неправильно сконфигурированные
принтеры.
Задачи защиты обрабатываемым данных
Защита от неправильного изменения данных во время обработки может
иметь и неблагоприятные последствия. Ошибки программного обеспечения
являются причиной многих неполадок и сбоев. Например, всего за две
недели до Рождества некоторые розничные продавцы на Amazon увидели,
что рекламируемая цена на их товары изменилась всего на один цент. Сбой
длился один час. Ошибка привела к тому, что тысячи покупателей купили
товары по выгодной цене, а компания потеряла доходы. В 2016 году сбой
термостата Nest оставил пользователей без тепла. Термостат Nest является
смарт-технологией, принадлежащей Google. Сбой программного обеспечения
вынудил пользователей мерзнуть от холода в самом буквальном смысле.
Обновление программного обеспечения привело к быстрой разрядке
аккумулятора, и устройство оказалось не в состоянии контролировать
температуру. В результате в самое холодное время года заказчики потеряли
возможность обогревать свои дома и использовать горячую воду.
Защита данных во время обработки требует хорошо спроектированной
системы. Специалисты по кибербезопасности разрабатывают политики и
процедуры, которые обеспечивают наименьшее количество ошибок в ходе
работы системы посредством тестирования, обслуживания и обновления
системы.
Технологические программные меры защиты
Программные меры защиты включают программы и сервисы, которые
защищают операционные системы, базы данных и другие сервисы на
рабочих станциях, портативных устройствах и серверах. Администраторы
устанавливают программные меры защиты или контрмеры на отдельных
хостах или серверах. Существует несколько программных технологий,
используемых для защиты активов организации.
 Программные межсетевые экраны контролируют удаленный доступ к
системе. Операционные системы, как правило, имеют встроенный
межсетевой экран. В качестве альтернативы пользователь может
приобрести или загрузить программное обеспечение от сторонних
производителей.
 Сканеры сетевой инфраструктуры и портов обнаруживают и
контролируют открытые порты на хосте или сервере.
 Анализаторы протоколов или сигнатурные анализаторы являются
устройствами, которые собирают и анализируют сетевой трафик. Они
выявляют проблемы производительности, некорректные настройки,
сбои приложений, устанавливают базовые и нормальные показатели
трафика и позволяют отладить проблемы связи.
 Сканеры уязвимостей — это компьютерные программы,
предназначенные для оценки слабых мест компьютеров или сетевых
инфраструктур.
 Системы обнаружения вторжений (IDS) на основе хоста ведут
мониторинг событий только на хостах. При выявлении необычных
событий IDS генерирует файлы журналов и уведомления. Система,
которая хранит конфиденциальные данные или предоставляет
критически важные сервисы, является кандидатом для систем
обнаружения вторжений на основе хоста.
Технологические аппаратные меры защиты
Существует несколько аппаратных технологий, используемых для защиты
активов организации.
 Аппаратный межсетевой экран блокирует нежелательный трафик.
Межсетевые экраны содержат правила, определяющие трафик,
которому разрешено входить в сеть и выходить из нее.
 Система обнаружения вторжений (IDS) выявляет признаки атаки или
необычный трафик в сети и отправляет оповещение.
 Системы предотвращения вторжений (IPS) выявляют признаки атаки
или необычный трафик в сети, генерируют оповещения и принимают
коррекционные меры.
 Сервисы фильтрации контента контролируют доступ и передачу
нежелательного или некорректного контента.
Технологические сетевые меры защиты
Существует несколько сетевых технологий, используемых для защиты
ресурсов организации.
 Виртуальные частные сети (VPN) являются защищенными
виртуальными сетями, созданными на основе общедоступной сети
(например, Интернет). Безопасность VPN обеспечивается
шифрованием содержимого пакетов, передаваемых между оконечными
устройствами, входящими в эту виртуальную частную сеть.
 Контроль доступа к сети (NAC) выполняет ряд проверок, прежде чем
разрешить устройству подключение к сетевой инфраструктуре.
Стандартные проверки включают установку обновлений
антивирусного ПО и обновлений операционной системы.
 Обеспечение безопасности точки беспроводного доступа включает в
себя процессы аутентификации и шифрования.
Технологические средства защиты на базе облака
Благодаря облаку задача обеспечения технологических средств перешла от
организаций к поставщикам облачных сервисов. Три основные модели
облачного обслуживания включают следующие:
 Программное обеспечение как услуга (SaaS) позволяет
пользователям получить доступ к прикладному программному
обеспечению и базам данных. Именно они теперь управляют
инфраструктурой. Пользователи хранят данные на серверах
поставщика облачных сервисов.
 Инфраструктура как услуга (IaaS) обеспечивает доступ к
виртуализированным вычислительным ресурсам через Интернет.
Поставщик размещает на своих хостах аппаратное и программное
обеспечение, серверы и компоненты СХД.
 Платформа как услуга (PaaS) обеспечивает доступ к средствам
разработки и сервисам, используемым для доставки приложений.
Поставщики облачных сервисов расширили этот список, включив в него
модель «ИТ-ресурсы как услуга» (ITaaS), которая обеспечивает ИТ-
поддержку для моделей обслуживания IaaS, PaaS и SaaS. В модели ITaaS
организация договаривается с поставщиком облачных услуг по
индивидуальным или пакетным услугам.
Поставщики облачных услуг используют виртуальные устройства
безопасности, которые работают внутри виртуальной среды,
виртуализированное аппаратное обеспечение которой имеет операционную
систему с повышенной безопасностью.
Образовательные и учебные мероприятия по кибербезопасности
Большие инвестиции в технологии не принесут большой пользы, если люди
внутри организации будут оставаться слабым звеном в вопросе обеспечения
кибербезопасности. Программа обучения сотрудников основам
информационной безопасности чрезвычайно важна для организации. Даже не
имея злого умысла, сотрудник может нанести вред, если он не осведомлен о
надлежащих процедурах. Официальную учебную программу можно
организовать несколькими способами.
 Обеспечить обучение по информационной безопасности при приеме
сотрудников на работу.
 Связать знание мер безопасности с рабочими требованиями или
оценкой производительности.
 Проводить личные тренинги.
 Проходить онлайн-курсы.
Обучение по вопросам безопасности должно проводиться регулярно,
поскольку всегда появляются новые угрозы и методы борьбы с ними.
Формирование культуры кибербезопасности
Члены организации должны быть осведомлены о политиках безопасности и
обладать знаниями, позволяющими применять политики безопасности в их
повседневной деятельности.
Программа активного повышения информированности в области
информационной безопасности зависит от следующих факторов:
 среды организации;
 уровня угроз;
Создание культуры кибербезопасности является непрерывной инициативой,
которая требует участия руководителей высшего звена управления и
ответственного отношения со стороны пользователей и сотрудников.
Формирование культуры кибербезопасности организации начинается с
создания политик и процедур руководителями организации. Например,
многие организации проводят дни повышения информированности в
вопросах кибербезопасности. Организации могут также размещать баннеры и
плакаты для повышения общих знаний о кибербезопасности. Проведение
ознакомительных семинаров и мастер-классов по кибербезопасности
помогает повысить информированность.
Политики
Политика безопасности представляет собой набор целей для повышения
информационной безопасности в компании, который включает в себя
правила поведения для пользователей и администраторов и требования к
системе. Эти цели, правила и требования в совокупности обеспечивают
безопасность сетевой инфраструктуры, данных и компьютерных систем в
организации.
Всесторонняя политика безопасности выполняет несколько задач.
 Демонстрирует ответственное отношение организации к вопросам
безопасности.
 Устанавливает правила поведения.
 Обеспечивает согласованность системных операций и согласованное
приобретение, использование и обслуживание программного и
аппаратного обеспечения.
 Определяет правовые последствия нарушений.
 Предоставляет сотрудникам, занимающимся обеспечением
безопасности, поддержку руководства.
Политики безопасности информируют пользователей, сотрудников и
руководителей о требованиях организации к защите технических средств и
информационных ресурсов. Политика безопасности также определяет
механизмы, использование которых обусловлено требованиями
безопасности.
Как показано на рисунке, политики безопасности обычно включают в себя
следующие:
 Политики идентификации и аутентификации определяют круг
уполномоченных лиц, которым предоставлен доступ к ресурсам
сетевой инфраструктуры, и описывают процедуры проверки.
 Политики паролей обеспечивают соответствие паролей минимальным
требованиям и их регулярное изменение.
 Политики приемлемого использования определяют сетевые ресурсы
организации и их приемлемое использование. Они также могут
определять последствия в случае нарушения политик.
 Политики удаленного доступа указывают, как удаленные
пользователи могут получить доступ к сетевой инфраструктуре и
сетевые ресурсы, доступные удаленно.
 Политики сетевого обслуживания определяют процедуры
обновления операционных систем сетевых устройств и приложений
конечных пользователей.
 Политики действий при инцидентах описывают порядок действий
при инцидентах информационной безопасности.
Одним из наиболее распространенных компонентов политики безопасности
является политика приемлемого использования (AUP). Этот компонент
определяет, какие действия в различных элементах системы пользователи
могут или не могут выполнять. Во избежание недоразумений политика
приемлемого использования должна быть настолько ясной и понятной,
насколько это возможно. Например, в ней могут быть перечислены
конкретные веб-сайты, новостные группы или приложения с высокими
требованиями к пропускной способности, которые пользователи не могут
использовать с компьютеров или из сетевой инфраструктуры компании.

Стандарты
Стандарты помогают ИТ-специалистам согласованно управлять сетевой
инфраструктурой. Документированные стандарты содержат технологии,
дополняющие требования или критерии, которым должна соответствовать
организация. Они помогают ИТ-специалистам повысить эффективность и
упростить процессы проектирования, обслуживания, поиска и устранения
неполадок.
Одним из наиболее важных принципов безопасности является
согласованность. По этой причине установление стандартов необходимо
организациям. Каждая организация разрабатывает стандарты с учетом своей
уникальной эксплуатационной среды. Например, организация устанавливает
политику паролей. Стандарт определяет, что в пароле должно использоваться
минимум восемь буквенно-цифровых символов верхнего и нижнего регистра,
включая по крайней мере один специальный символ. Пользователь должен
изменять пароль каждые 30 дней, а журнал с 12 предыдущими паролями
гарантирует, что в течение года пользователь создает уникальные пароли.
Рекомендации
Рекомендации представляют собой список указаний о том, как выполнять
работу более эффективно и безопасно. Они похожи на стандарты, но
являются более гибкими и не всегда обязательны. Рекомендации помогают
разрабатывать стандарты и гарантируют соблюдение общих политик
безопасности.
Некоторые из самых полезных рекомендаций составляют лучшие практики
для организации. В дополнение к лучшим практикам организациям доступны
также следующие рекомендации:
 Центр ресурсов по компьютерной безопасности Национального
института по стандартам и технологиям (NIST) (рис. 1).
 Руководства по конфигурации систем безопасности Агентства
национальной безопасности (NSA) (рис. 2).
 Общие критерии оценки защищенности информационных технологий
(рис. 3)
На примере политики паролей, рекомендацией будет являться указание
пользователю взять фразу, например, «У меня есть мечта» (Мне снится сон),
и преобразовать ее в надежный пароль, Ihv@dr3@m. Пользователь может
создавать из этой фразы другие пароли, меняя число, перемещая символ @
или изменяя знак препинания.
Процедуры
Процедуры являются более длинными и более подробными, чем стандарты и
рекомендации. Процедуры содержат подробные сведения о внедрении
стандартов и обычно включают пошаговые инструкции и графики.
На рисунке показан пример процедуры, используемой для изменения пароля.
Крупные организации должны использовать процедуры для согласованности
развертываний, что необходимо для обеспечения безопасной среды.
Обзор модели
Специалистам по безопасности необходимо обеспечить комплексную защиту
информации в организации. Это чрезвычайно объемная задача, не следует
ожидать, что всеми необходимыми знаниями будет обладать один человек.
Международная организация по стандартизации (ISO) / Международная
электротехническая комиссия (IEC) разработали комплексную структуру для
управления информационной безопасностью. Для специалистов по
кибербезопасности модель кибербезопасности ISO/IEC является тем же
самым, чем сетевая модель OSI для сетевых инженеров. Обе обеспечивают
основу для понимания сложных задач и подход к их решению.
Уровни обеспечения кибербезопасности
ISO/IEC 27000 — это стандарт информационной безопасности,
опубликованный в 2005 году и пересмотренный в 2013 году. Международная
организация по стандартизации публикует стандарты ISO 27000 Эти
стандарты не являются обязательными, но большинство стран используют их
в качестве фактической основы для обеспечения информационной
безопасности.
Стандарты ISO 27000 описывают внедрение комплексной системы
управления информационной безопасностью (ISMS). ISMS состоит из
административных, технических и оперативных элементов управления,
необходимых для защиты информации внутри организации. Двенадцать
независимых доменов представляют собой компоненты стандарта ISO 27000.
Эти двенадцать доменов служат для организации информационной
безопасности крупных массивов информации на высоком уровне.
Структура модели кибербезопасности ISO отличается от модели OSI тем, что
для описания категорий безопасности она использует домены вместо
уровней. Причина заключается в том, что модель кибербезопасности ISO не
является иерархической. Это одноранговая модель, в которой каждый домен
напрямую связан с другими доменами. Общее для моделей
кибербезопасности ISO 27000 и OSI — то, что специалистам по
кибербезопасности для успешной работы очень важно понимать обе эти
модели.
Щелкните каждый домен на рисунке, чтобы просмотреть его краткое
описание.
Двенадцать доменов служат основой для разработки стандартов
безопасности организации и эффективных методов управления
безопасностью. Они также помогают облегчить взаимодействие между
организациями.
Контрольные цели
Двенадцать доменов содержат контрольные цели, определенные в части
27001 стандарта. Контрольные цели определяют общие требования к
внедрению комплексной ISM. Руководители организации используют
контрольные цели ISO 27001 для определения и публикации политик
безопасности организации. Контрольные цели предоставляют контрольный
список для аудита средств управления безопасностью. Прохождение
аудиторской проверки ISMS и получение сертификата соответствия
нормативным требованиям ISO 27001 являются полезными для многих
организаций.
Сертификация и соблюдение нормативных требований являются залогом
уверенности для двух организаций, которые должны доверять друг другу
конфиденциальные данные и операции. Соблюдение нормативных
требований и аудиты информационной безопасности подтверждают, что
организации постоянно совершенствуют свою систему управления
информационной безопасностью.
Ниже приведен пример контрольной цели.
Управление доступом к сетевой инфраструктуре осуществляется с
помощью соответствующих механизмов аутентификации пользователей и
оборудования.

Средства управления
Стандарт ISO/IEC 27002 определяет средства управления системой
информационной безопасности. Средства управления являются более
подробными, чем цели. Контрольные цели указывают организации, что
нужно делать. Средства управления определяют способы достижения цели.
Основываясь на контрольной цели, средствами управления доступом к сети с
помощью соответствующих механизмов аутентификации пользователей и
оборудования будут следующие:
Использование надежных паролей. Надежный пароль состоит как минимум
из 8 символов, которые представляют собой сочетание букв, цифр и
символов (@, #, $, % и т. д.), если допустимо. Пароли чувствительны к
регистру, поэтому надежный пароль содержит буквы в верхнем и нижнем
регистре.
Специалисты по кибербезопасности должны знать следующее:
 Средства управления не обязательны, но широко используются.
 Средства управления не должны быть привязаны к одному
поставщику, чтобы избежать впечатления, будто предпочтение
отдается какому-нибудь конкретному продукту или компании.
 Средства управления похожи на рекомендации. Это означает, что для
достижения цели может существовать несколько способов.
Модель кибербезопасности ISO и триада «КЦД»
ISO 27000 — универсальная архитектура для всех типов организаций. Чтобы
эффективно использовать эту архитектуру, организация должна определить
конкретные домены, цели и требования, применимые к ее среде и операциям.
Указанные в ISO 27001 контрольные цели с соответствующими им
требованиями могут использоваться как контрольный список. В первую
очередь необходимо определить, применимы ли эти цели и требования в
данной организации. Большинство организаций используют документ под
названием «Положение о применимости» (SOA). Положение о применимости
определяет контрольные цели, которые организации необходимо учитывать.
В зависимости от отрасли организации могут отводить больший приоритет
конфиденциальности, целостности или доступности. Например, Google
делает акцент на конфиденциальности данных пользователя и доступности и
уделяет меньше внимания целостности. Google не проверяет данные
пользователя. Amazon уделяет большое внимание доступности. Если сайт
недоступен, Amazon не может продавать товары. Это не означает, что
Amazon игнорирует конфиденциальность в пользу доступности. Просто
Amazon отдает более высокий приоритет доступности. Таким образом,
Amazon может выделить больше ресурсов на увеличение количества
серверов, доступных для обработки заказов клиентов.
Организация адаптирует использование контрольных целей под свои
приоритеты в отношении конфиденциальности, целостности и доступности.
Использование модели кибербезопасности ISO и состояния данных
Нести ответственность за данные в разных состояниях могут различные
группы в организации. Например, группа безопасности сети отвечает за
данные во время передачи. Программисты и специалисты по вводу данных
отвечают за данные во время обработки. Специалисты по поддержке
аппаратного обеспечения и серверов отвечают за хранящиеся данные.
Требования Международной организации по стандартизации относятся к
определенным целям в области безопасности данных в каждом из трех
состояний.
В этом примере представители каждой из трех групп помогают
идентифицировать актуальные средства управления и приоритизировать
каждое средство управления на основе их задач. Представитель группы,
отвечающей за безопасность сети, определяет средства управления,
обеспечивающие конфиденциальность, целостность и доступность всех
передаваемых данных.
Модель кибербезопасности ISO и меры защиты
Контрольные цели и соответствующие им требования в ISO 27001 напрямую
связаны с политиками, процедурами и рекомендациями по
кибербезопасности, которые определяются вышестоящим руководством
организации. Требования ISO 27002 предоставляют технические
рекомендации. Например, высшее руководство устанавливает политику
защиты всех данных, поступающих в организацию или исходящих из нее.
Однако высшее руководство не будет участвовать во внедрении технологии
для достижения целей этой политики. За правильное внедрение и настройку
оборудования, используемого для выполнения положений политики,
установленной высшим руководством, отвечают ИТ-специалисты.

Глава 3. Угрозы кибербезопасности, уязвимости и атаки


Основное внимание специалистов по кибербезопасности уделяется угрозам
кибербезопасности, уязвимостям системы кибербезопасности и атакам на
нее. Угроза — это возможность возникновения события, ведущего к ущербу,
например, атаки. Уязвимость — слабое место, из-за которого цель становится
восприимчивой к атаке. Атака — преднамеренная эксплуатация
обнаруженных уязвимостей компьютерных информационных систем с
конкретной целью или при случайной возможности. При выборе объекта
нападения киберпреступники руководствуются различными мотивами. Они
постоянно ищут уязвимые системы. Обычно жертвами злоумышленников
становятся системы, в которых не выполнено обновление или не
установлены средства обнаружения вирусов и спама.
В этой главе рассматриваются наиболее распространенные виды кибератак.
Специалисты по кибербезопасности должны знать принципы проведения
различных видов атак, какие уязвимости они используют и какое воздействие
оказывают на зараженную систему. Глава начинается с объяснений, какую
угрозу представляют вредоносные программы и код, далее рассказывается о
видах мошенничества, связанных с социальной инженерией. Кибератака —
это враждебные действия, совершаемые киберпреступниками в отношении
компьютерных информационных систем, сетевых инфраструктур или других
компьютерных устройств. Киберпреступники проводят атаки как через
проводные, так и беспроводные сети.
Что такое вредоносная программа?
Термин «вредоносное ПО» или «вредоносный код» означает программное
обеспечение, созданное с целью срыва работы компьютера или получения
доступа к компьютерным системам без ведома или разрешения пользователя.
Это обобщающее название используется для обозначения любых
вредоносных или мешающих работе пользователя программ. К вредоносному
ПО относят вирусы, интернет-черви, трояны, программы-вымогатели,
шпионское ПО, рекламное ПО, поддельные антивирусные программы и т. д.
Некоторые вредоносные программы можно легко выявить, действие других
практически невозможно отследить.
Вирусы, интернет-черви и «троянские кони»
Киберпреступники поражают оконечные устройства пользователей,
устанавливая на них вредоносное ПО. Щелкните «Воспроизведение» на
рисунке, чтобы посмотреть анимацию, иллюстрирующую три наиболее
распространенных типа вредоносных кодов.

Вирусы
Вирус — это вредоносный код, вложенный в исполняемый файл, например,
легитимную программу. Для большинства вирусов требуется запуск
конечным пользователем, и затем они смогут активироваться в определенное
время или дату. Компьютерные вирусы обычно распространяются одним из
следующих способов: через съемные носители, в результате загрузки из
Интернета, через вложения электронной почты. Вирусы могут быть
безвредными, например, просто выводить на экран изображение. Другие
наносят значительный вред, например, изменяют или удаляют данные. Чтобы
избежать обнаружения вирусов, их создатели постоянно изменяют код.
Компьютер может быть заражен вирусом просто в результате того, что
пользователь открыл файл. Некоторые вирусы поражают загрузочный сектор
или файловую систему USB-накопителей, а с них распространяются на
жесткий диск компьютера. Также заражение вирусами может происходить
при запуске определенных программ. После установки на компьютер вирус
обычно заражает другие программы или распространяется на другие
устройства в сетевой инфраструктуре. Вирус Melissa — пример вируса,
распространяемого через электронную почту. От него пострадали десятки
тысяч пользователей, ущерб составил примерно 1,2 миллиарда долларов.
Щелкните здесь, чтобы узнать больше о вирусах.
Интернет-черви
Интернет-черви представляют собой вредоносный код, который
самостоятельно создает свои копии, используя уязвимости сетевой
инфраструктуры. Интернет-черви обычно замедляют работу сетевой
инфраструктуры. Для работы вируса требуются программы на хосте, а
интернет-черви могут функционировать самостоятельно. Кроме первичного
инфицирования, интернет-червям не требуется участие пользователей. После
заражения хоста интернет-червь быстро распространяется по сети. Интернет-
черви действуют по единому принципу. Все они используют уязвимости,
имеют общий способ распространения и создают нагрузку на сеть.
Интернет-черви становились причиной самых масштабных атак в Интернете.
Например, в 2001 году 658 серверов были заражены интернет-червем под
названием Code Red. Через 19 часов им были заражены свыше 300 000
серверов.
Троян
Троянский конь (троян) — вредоносная программа, который выполняет
вредоносную операцию под видом желаемой, например, сетевой игры. Этот
вредоносный код использует привилегии пользователя, который его
запускает. Троян отличается от вируса тем, что привязывается к
неисполняемым файлам, таким как файлы изображений, аудиофайлы или
игры.
Логические бомбы
Логическая бомба — вредоносная программа, в которой для запуска
вредоносного кода используется триггер. Например, триггером может стать
дата, время, другая запущенная программа или удаление учетной записи
пользователя. Логическая бомба остается неактивной, пока не произойдет
событие-триггер. После активации логическая бомба запускает вредоносный
код, который наносит вред компьютеру. Этот тип вредоносного ПО
используется для саботажа записей в базах данных, удаления файлов, а также
атак на операционные системы или приложения. Специалисты по
кибербезопасности недавно обнаружили новый вид логических бомб,
который используется для уничтожения аппаратных компонентов рабочих
станций и серверов, в том числе вентиляторов, ЦП, памяти, жестких дисков и
блоков питания. Логическая бомба создает нагрузку на эти устройства до тех
пор, пока они не перегреются или не выйдут из строя.
Программы-вымогатели
Программы-вымогатели блокируют компьютерную систему или хранящиеся
в ней данные до тех пор, пока жертва не произведет оплату. Программа-
вымогатель обычно шифрует данные на компьютере, используя неизвестный
пользователю ключ. Чтобы снять блокировку, требуется заплатить
преступникам выкуп.
Некоторые версии программ-вымогателей используют уязвимости
конкретной системы для ее блокировки. Программы-вымогатели
распространяются как троян — заражение происходит при загрузке файлов
или через уязвимости программного обеспечения.
Целью преступников является получение оплаты через платежные системы,
не позволяющие отследить получателя. После оплаты преступник высылает
жертве программу для расшифровки файлов или код разблокировки.
Щелкните здесь, чтобы узнать больше о программах-вымогателях.
Бэкдоры и руткиты
Бэкдор — это программа или код, устанавливаемая на компьютер
преступником. Бэкдор помогает обойти обычную аутентификацию,
используемую для доступа к системе. Примерами таких программ являются
Netbus и Back Orifice, которые позволяют неавторизированным
пользователям получить удаленный доступ к системе. С помощью бэкдора
киберпреступники получают доступ к системе даже после устранения
уязвимости, которая позволила получить доступ изначально. Обычно
бэкдоры устанавливаются с помощью троянских программ, которые
авторизованный пользователь по неосведомленности устанавливает на своем
компьютере.
Руткит изменяет операционную систему, создавая лазейку для создания
бэкдора. Затем хакеры используют бэкдор для удаленного доступа к
компьютеру. Большинство руткитов используют уязвимости в программном
обеспечении для эскалации прав доступа и изменения системных файлов.
Для эскалации прав используются ошибки программирования или
уязвимости инфраструктуры, позволяющие киберпреступникам получить
расширенный доступ к сетевым ресурсам и данным. Также руткиты могут
вносить изменения в инструменты проверки состояния и мониторинга
системы, что существенно затрудняет выявление вредоносных программ
этого типа. На компьютерах, зараженных руткитом, обычно приходится
удалять и переустанавливать операционную систему.
Защита от вредоносных программ
Эти простые меры помогут вам защититься от всех видов вредоносных
программ.
 Антивирусная программа. Большинство антивирусных пакетов
успешно противостоят распространенным вредоносным программам.
Однако в сети ежедневно появляются новые угрозы. Поэтому, чтобы
антивирусное решение эффективно справлялось со своей задачей,
необходимо регулярно выполнять обновление сигнатур. Сигнатура для
вируса как отпечатки пальцев для человека. Это характерные элементы
вредоносного кода, по которым его можно опознать.
 Актуальное программное обеспечение. Многие вредоносные
программы используют в своих целях уязвимости программного
обеспечения, операционной системы и приложений. Раньше основным
источником проблем были уязвимости операционной системы, сегодня
наибольшую опасность представляют уязвимости приложений.
Поставщики операционных систем стараются вносить в них
исправления как можно быстрее, но, к сожалению, большинство
поставщиков приложений не торопятся следовать их примеру.

Спам
Электронная почта — универсальный сервис, используемый миллиардами
людей во всем мире. Электронная почта, как один из самых популярных
сервисов, стала крупной уязвимостью для пользователей и организаций.
Спам, также называемый нежелательной или мусорной почтой, — это
несанкционированные сообщения электронной почты. В большинстве
случаев спам является одним из вариантов рекламы. Однако в спаме могут
содержаться небезопасные ссылки, вредоносное ПО или мошеннический
контент. Цель такого спама — получить конфиденциальную информацию,
например номер социального страхования или сведения о банковском счете.
Большая часть спама приходит от групп подключенных к сети компьютеров,
зараженных вирусом или интернет-червем. Эти зараженные компьютеры
отправляют максимально возможное число сообщений электронной почты.
Даже если вы используете функции защиты от спама, полностью исключить
нежелательную почту все же не удастся. Ниже приведены некоторые
наиболее распространенные признаки спама.
 В сообщении электронной почты отсутствует строка темы.
 Сообщение электронной почты запрашивает обновление учетной
записи.
 В тексте есть слова, написанные с ошибками, или необычная
пунктуация.
 Ссылки в сообщении электронной почты слишком длинные и/или
непонятные.
 Электронное сообщение похоже на письмо от реально существующей
организации.
 Сообщение электронной почты запрашивает открытие вложения.
Щелкните здесь, чтобы узнать больше о спаме.
Если вы получили электронное сообщение, которое соответствует одному
или нескольким из перечисленных признаков, не открывайте такое
сообщение или его вложения. В большинстве организаций действуют
правила, по которым получатель подобного сообщения должен сообщить о
нем специалистам по кибербезопасности. Почти все поставщики электронной
почты предоставляют средства для фильтрации спама. И все же он все равно
создает нагрузку на сеть и сервер получателя.
Шпионское, рекламное ПО и поддельные антивирусные программы
Шпионское ПО — это программное обеспечение, которое позволяет
преступникам получать информацию о действиях пользователя за
компьютером. Шпионское ПО часто включает средства отслеживания
активности, нажатий клавиш и данных. Для преодоления мер безопасности
шпионское ПО часто изменяет настройки безопасности. Шпионское ПО
часто встраиваются в легитимное программное обеспечение или трояны.
Условно-бесплатное ПО также часто содержит шпионское ПО.
Рекламное ПО обычно отображает надоедливые всплывающие окна и
используется для получения прибыли от рекламы. Вредоносная программа
может анализировать интересы пользователей, отслеживая посещаемые веб-
сайты. Затем оно может показывать всплывающие рекламные объявления по
теме этих веб-сайтов. Некоторые версии программного обеспечения
автоматически устанавливают рекламное ПО. Иногда рекламное ПО
используется только для показа рекламы, но нередко вместе с ним
устанавливается и шпионское ПО.
Поддельные антивирусные программы используются для того, чтобы
напугать пользователя и вынудить его совершить определенные действия.
Поддельная антивирусная программа создает всплывающие окна, которые
напоминают диалоговые окна операционной системы. В этих окнах
выводятся сообщения об опасности для системы или необходимости
запустить конкретную программу для возобновления нормальной работы. В
действительности система работает нормально, но, если пользователь
запустит упомянутую программу, она установит на компьютер вредоносный
код.
Фишинг
Фишинг является одной из разновидностей мошенничества.
Киберпреступники используют электронную почту, мгновенный обмен
сообщениями или социальные сети для сбора информации, такой как
учетные данные для входа или данные учетной записи, маскируясь под уже
известную организацию или человека. При фишинге киберпреступник
отправляет мошенническое электронное сообщение, замаскированное под
сообщение из доверенного, надежного источника. Это сообщение должно
убедить получателя установить вредоносное ПО на свое устройство или
сообщить личную или финансовую информацию. Примером фишинга
являются поддельные электронные сообщения от магазина, в которых
пользователю предлагают нажать ссылку, чтобы получить приз. При нажатии
ссылки выполняется переход на поддельную веб-страницу с запросом личной
информации или производится установка вируса.
Направленный фишинг — это направленная фишинговая атака. Хотя и в
фишинге, и в целевом фишинге жертвам отправляются электронные
сообщения, целевой фишинг направлен на конкретного человека. Прежде
чем отправить электронное сообщение своей цели, преступник изучает его
или ее интересы. Например, преступник узнает, что цель интересуется
автомобилями и хочет купить конкретную модель. Преступник
присоединяется к обсуждению на форуме автолюбителей, в котором
участвует цель, создает поддельное объявление о продаже автомобиля и
отправляет цели предложение по электронной почте. Электронное
сообщение содержит ссылку на фотографии автомобиля. Когда цель
нажимает ссылку, на компьютер устанавливается вредоносное ПО.
Щелкните здесь, чтобы получить дополнительную о мошенничестве по
электронной почте.
Вишинг, смишинг, фарминг и уэйлинг
Вишинг — это фишинг, осуществляемых с помощью технологий голосовой
связи. Преступники могут звонить, представляясь доверенными
организациями, используя технологию передачи голоса по протоколу IP
(VoIP). Жертвы могут также получить записанное сообщение, похожее на
надежное. Таким образом преступники пытаются получить номера
кредитных карт или другую информацию, чтобы украсть личные данные
жертвы. Вишинг использует тот факт, что люди склонны доверять
информации, полученной по телефону.
Смишинг (фишинг по СМС) — это фишинг по мобильному телефону,
осуществляемый с помощью текстовых сообщений. Преступник пытается
выдать себя за надежное лицо, чтобы завоевать доверие жертвы. Например,
жертва смишинг-атаки может получить ссылку на веб-сайт. Когда жертва
посещает веб-сайт, на мобильный телефон устанавливается вредоносная
программа.
Фарминг — это создание поддельной копии реально существующего веб-
сайта с целью обманом заставить пользователей ввести свои учетные данные.
При фарминге пользователей перенаправляют на поддельный веб-сайт,
имитирующий настоящий. Жертвам вводят личную информацию, думая, что
находятся на настоящем сайте.
Уэйлинг — это фишинговые атаки на высокопоставленных сотрудников
организации, например, высшее руководство. Также жертвами уэйлинга
могут становиться политики или знаменитости.
Щелкните здесь, чтобы прочитать статью RSA о фишинге, смишинге,
вишинге и уэйлинге.
Заражение браузера и подключаемых модулей
Злоумышленники заражают веб-обозреватели, чтобы использовать их для
показа всплывающих рекламных объявлений, сбора личной информации или
установки рекламного ПО, вирусов или шпионских программ. Вредоносный
код может быть установлен в исполняемый файл или компоненты браузера
либо подключаемые модули.
Подключаемые модули
Подключаемые модули Adobe Flash и Adobe Shockwave позволяют создавать
интересные рисунки и анимации, которые значительно улучшают внешний
вид веб-страницы. Подключаемые модули отображают содержимое,
разработанное с использованием соответствующего программного
обеспечения.
До недавнего времени они не представляли проблем с точки зрения
безопасности. Однако с ростом популярности Flash-содержимого
преступники изучили подключаемые модули и программное обеспечение
Flash Player, определили уязвимости и начали их использовать. Успешная
атака может вызвать сбой системы или позволить преступникам взять ее под
контроль. Специалисты по кибербезопасности прогнозируют учащение
случаев потери данных по мере того, как преступники будут обнаруживать
новые уязвимости в самых распространенных подключаемых модулях и
протоколах.
Злоупотребление поисковой оптимизацией
Поисковые системы, например Google, ранжируют веб-страницы с
результатами поисковых запросов пользователей. Положение веб-сайта в
списке результатов поиска зависит от релевантности его содержимого.
Оптимизация для поисковых систем (SEO, сокращение от Search Engine
Optimization) представляет собой набор методов, используемых для
повышения позиции веб-сайта в поисковой системе. Многие надежные
компании специализируются на оптимизации веб-сайтов для улучшения их
позиционирования, однако методы злоупотребления SEO используются и для
компрометации выдачи поисковых систем с целью повышения места
вредоносного веб-сайта в результатах поиска.
Обычно целью злоупотребления SEO является привлечение посетителей на
сайты, где размещаются вредоносные программы или используются методы
социальной инженерии. Чтобы обеспечить таким вредоносным сайтам более
высокое положение в результатах поиска, киберпреступники используют
ключевые слова из популярных поисковых запросов.
Угонщик браузеров
Угонщик браузеров — вредоносная программа, которая изменяет настройки
браузера для переадресации пользователя на определенные веб-сайты. За это
киберпреступники получают оплату от владельцев таких сайтов. Угонщики
браузера обычно устанавливаются без разрешения пользователя во время
скрытой загрузки. Скрытая загрузка — это программа, которая
автоматически загружается на компьютер при посещении определенных веб-
сайтов или просмотре электронных сообщений в формате HTML. Всегда
внимательно читайте пользовательское соглашение при загрузке программ,
чтобы уберечься от этого типа вредоносного ПО.
Защита от атак через браузер и электронную почту
Методы борьбы со спамом состоят в фильтрации электронной почты,
обучении пользователей работе с подозрительными электронными
сообщениями и использовании фильтров на хостах/серверах.
От спама сложно избавиться полностью, но можно смягчить его последствия.
Например, большинство интернет-провайдеров блокируют спам до того, как
он попадет в почтовый ящик пользователя. Многие антивирусы и почтовые
клиенты автоматически выполняют фильтрацию электронных сообщений.
Это означают, что они обнаруживают и удаляют спам из папки входящих
писем.
Организациям также следует предупреждать сотрудников об опасности
открытия почтовых вложений, которые могут содержать вирусы или черви.
Не предполагайте, что почтовые вложения безопасны, даже если они
отправлены от надежного контактного лица. Компьютер отправителя может
без его ведома использоваться для распространения вируса. Перед
открытием почтовых вложений всегда проверяйте их.
APWG (Anti-Phishing Working Group) — это ассоциация по противодействию
краже личных данных и мошенничеству, осуществляемых с помощью
фишинга и подмены электронной почты.
Регулярно обновляйте программное обеспечение, чтобы установить
последние исправления безопасности для известных уязвимостей.
Щелкните здесь, чтобы получить дополнительную информацию о защите от
атак через браузер.

Социальная инженерия
Социальная инженерия не подразумевает использования технических
средств для сбора информации о цели. Социальная инженерия — это атака,
которая пытается манипулировать отдельными людьми, чтобы заставить их
совершить определенные действия или разгласить конфиденциальную
информацию.
Социальные инженеры часто полагаются на готовность людей помочь, а
также используют человеческие слабости. Например, киберпреступник
может обратиться к уполномоченному сотруднику с неотложной проблемой,
при которой требуется немедленный сетевой доступ. Киберпреступник
может сыграть на тщеславии или жадности сотрудника или запугать
руководителем.
Вот некоторые типы атак с использованием социальной инженерии.
Претекстинг. Киберпреступник звонит жертве, чтобы обманом получить
доступ к конфиденциальным данным. Хакер сообщает, что ему необходимы
личные или финансовые данные пользователя для подтверждения
подлинности получателя.
«Ты мне — я тебе». Киберпреступник запрашивает личную информацию в
обмен на что-то, например подарок.

Тактики социальной инженерии


Социальные инженеры используют несколько тактик. К ним относятся
следующие тактики.
 Полномочия — жертва с большей вероятностью выполнит нужные
действия по приказу лиц, наделенных властью.
 Принуждение — преступники запугивают жертву, чтобы заставить
совершить нужные действия.
 Консенсус или социальная приемлемость — жертва выполнит
нужные действия, если будет считать, что другие поступили бы таким
же образом.
 Дефицит — жертва выполнит нужные действия, если речь идет о чем-
то редком/малодоступном.
 Срочность — жертва выполнит нужные действия, если время для
принятия решения ограниченно.
 Близкие отношения / симпатия — преступник выстраивает хорошие
отношения с жертвой.
 Доверие — преступник выстраивает хорошие отношения с жертвой на
протяжении более длительного времени.
Щелкните каждую тактику на рисунке, чтобы посмотреть пример
использования.
Специалисты по кибербезопасности отвечают за обучение других
сотрудников организации методам противостояния социальной инженерии.
Щелкните здесь, чтобы получить дополнительную информацию о тактиках
социальной инженерии.
Взгляд через плечо и поиск в мусоре
Преступник следит за жертвой или буквально подглядывает через плечо,
чтобы узнать PIN-код, код доступа или номер кредитной карты. Хакер может
находиться в непосредственной близости от своей жертвы, использовать
бинокль или камеры замкнутого контура для подсматривания. Это одна из
причин, почему данные на экранах банкоматов видны только под
определенным углом. Такие меры затрудняют подглядывание для
преступников.
«Что для одного мусор, то для другого сокровище». Эта поговорка особенно
верна для преступников, использующих поиск в мусоре, чтобы узнать, какую
информацию выбрасывает организация. Рекомендуется ограничить доступ к
мусоросборникам. Вся конфиденциальная информация должна надлежащим
образом уничтожаться с помощью измельчителей или посредством сжигания
в специальных пакетах.
Имперсонификация и розыгрыш
Имперсонификация означает, что преступник выдает себя за другое лицо.
Примером может служить недавнее телефонное мошенничество,
направленное на налогоплательщиков. Преступник, представлявшийся
сотрудником IRS, говорил жертвам, что у них имеется долг перед IRS.
Жертвы должны были немедленно произвести оплату банковским
переводом. Самозванец заявлял, что отказ от оплаты приведет к аресту.
Преступники также используют имперсонификацию для атак на других
людей. Они могут подорвать доверие к публичным лицам, размещая ложные
сообщения на веб-сайтах или в соцсетях.
Целью розыгрышей является введение в заблуждение или обман.
Киберрозыгрыши могут иметь не менее серьезные последствия, чем
реальные нарушения безопасности. Цель розыгрыша — вызвать реакцию
жертвы. Реакция иногда может подразумевать необоснованный страх и
иррациональное поведение. Розыгрыши обычно распространяются по
электронной почте и через соцсети. Щелкните здесь, чтобы посетить веб-
сайт, на котором содержится информация о розыгрышах.
Несанкционированное проникновение
Несанкционированное проникновение на территорию (Piggybacking)
означает, что преступник проходит в зону ограниченного доступа вместе с
уполномоченным лицом. Для этого преступники используют несколько
способов.
 Делают вид, что сопровождают уполномоченное лицо.
 Присоединяются к большой группе сотрудников, делая вид, что тоже
работают в организации.
 Выбирают жертву, небрежно относящуюся к правилам безопасности на
объекте.
Несанкционированное проникновение вслед за зарегистрированным
пользователем (Tailgating), — это еще один термин, описывающий ту же
тактику.
Использование тамбур-шлюзов предотвращает несанкционированное
проникновение за счет использования двух дверей. После того как сотрудник
вошел через наружную дверь, ее необходимо закрыть, чтобы пройти через
внутреннюю дверь.
Мошенничество в Интернете и по электронной почте
Отправка электронных сообщений с целью розыгрыша, шуток, смешных
фильмов и не относящихся к деловой переписке сообщений во время работы
может нарушать политику компании в отношении допустимого
использования ИТ-инфраструктуры и привести к дисциплинарным мерам.
Щелкните здесь, чтобы посетить веб-сайт, где публикуются слухи и
результаты их проверки.
Защита от обмана
Организациям необходимо повышать информированность о тактиках
социальной инженерии и обучать сотрудников мерам противодействия, в том
числе следующим.
 Никогда не предоставлять конфиденциальной информации или
учетных данных неизвестным лицам посредством электронной почты,
чатов, при личном общении или по телефону.
 Не нажимать заманчиво выглядящие ссылки в электронных
сообщениях и на веб-сайтах.
 Обращать внимание на неразрешенные или автоматические загрузки.
 Разрабатывать политики безопасности и обучать сотрудников их
применению.
 Сотрудники должны знать, что безопасность зависит от них.
 Не поддаваться давлению со стороны неизвестных лиц.
Щелкните здесь, чтобы получить дополнительную информацию об
осведомленности в области кибербезопасности.

Отказ в обслуживании
Атаки типа «Отказ в обслуживании» (DoS) представляют собой
разновидность сетевой атаки. DoS-атака влечет перебои в сетевых сервисах
для пользователей, устройств или приложений. Существует два типа DoS-
атак.
 Огромные объемы трафика. Киберпреступник отправляет огромное
количество данных с такой скоростью, что сеть, хост или приложение
не успевает их обрабатывать. Это приводит к замедлению передачи или
реагирования, а иногда к сбою устройства или сервиса.
 Пакеты с неправильным форматированием. Киберпреступник
посылает пакет данных с неправильным форматированием на хост или
в приложение. Если приложение не может идентифицировать пакеты,
содержащие ошибки или неправильное форматирование, это замедлит
его работу или приведет к сбою.
DoS-атаки представляют высокий риск, поскольку могут легко прерывать
обмен информацией и вести к крупным потерям времени и средств. Эти
атаки относительно просты и под силу даже неопытным киберпреступникам.
Цель атаки типа «Отказ в обслуживании» — приостановка доступа для
авторизованных пользователей из-за недоступности сетевой инфраструктуры
(вспомните три основополагающих принципа безопасности:
конфиденциальность, целостность и доступность). Щелкните
«Воспроизведение» на рис. 1, чтобы посмотреть анимацию,
иллюстрирующую DoS-атаку.
Распределенные атаки типа «Отказ в обслуживании» (DDoS) похожи на DoS-
атаки, но проводятся скоординированно из нескольких источников.
Например, атака может проходить следующим образом.
Киберпреступник создает сеть «устройств-зомби», так называемый ботнет.
Зомби — это зараженные хосты. Для управления ими киберпреступник
использует специальные системы. Компьютеры-зомби постоянно сканируют
сеть и заражают другие хосты, создавая новых зомби. Когда все готово, хакер
через систему управления отдает приказ начать DDoS-атаку.
Щелкните «Воспроизведение» на рис. 2, чтобы посмотреть анимацию,
иллюстрирующую DDoS-атаку. Для проведения DDoS-атаки требуется много
устройств-зомби, чтобы создать большую нагрузку на цель.
Прослушивание
Прослушивание в сети похоже на подглядывание за человеком в реальном
мире. Киберпреступники изучают весь сетевой трафик, проходящий через их
сетевую интерфейсную плату, независимо от того, кому он адресован.
Преступники анализируют сетевую инфраструктуру, используя программные
приложения, аппаратное обеспечение или их сочетание. Как показано на
рисунке, при прослушивании проверяется весь сетевой трафик или
выполняется фильтрация по конкретным протоколу, сервису или даже
набору символов, таким как идентификатор пользователя или пароль.
Некоторые сетевые анализаторы трафика могут проверять весь трафик и
даже изменять его частично или полностью.
У прослушивания есть положительные стороны. Сетевые администраторы
могут использовать подобные устройства для анализа сетевого трафика,
выявления проблем с пропускной способностью, поиска и устранения других
неполадок сетевой инфраструктуры.
Физическая безопасность играет большую роль для предотвращения
установки анализаторов трафика во внутренней сети организации.
Подмена
Подмена (Spoofing) — это атака путем имперсонификации, при которой
злоумышленники используют доверительные отношения между двумя
системами. Если две системы поддерживают единую аутентификацию,
пользователь, зарегистрированный в одной системе, может не проходить
повторно аутентификацию для доступа к другой системе. Киберпреступник
может воспользоваться этим и отправить одной из доверенных систем пакет,
похожий на пакеты, отправляемые другой. Поскольку между системами
действуют доверительные отношения, целевая система выполняет запрос, не
проводя аутентификации.
Существует несколько типов атак с использованием подмены.
 Подмена MAC-адреса происходит, когда один компьютер принимает
пакеты данных по MAC-адресу другого компьютера.
 При IP-подмене злоумышленник производит рассылку пакетов с IP-
адресом поддельного источника, чтобы замаскировать свой адрес.
 Протокол разрешения адресов (ARP) — это протокол, который
преобразует IP-адреса в MAC-адреса для передачи данных. При ARP-
подмене злоумышленник рассылает поддельные ARP-сообщения по
локальной сети, чтобы связать свой MAC-адрес с IP-адресом
доверенного пользователя сетевой инфраструктуры.
 Система доменных имен (DNS) используется для связывания доменных
имен с IP-адресами. При подмене DNS происходит изменение DNS-
сервера, чтобы переприсвоить определенное доменное имя ложному
IP-адресу, находящемуся под контролем преступника.
Атака через посредника
Злоумышленник ведет атаку через посредника, перехватывая сообщения
между компьютерами для хищения информации, передаваемой по сети.
Преступник также может манипулировать сообщениями и передавать
ложную информацию между хостами, поскольку хосты не знают, что
произошла модификация сообщений. Используя MitM, преступник может
взять под контроль устройство без ведома пользователя.
Щелкните кнопку действия на рисунке, чтобы получить базовую
информацию об атаках MitM.
Атака через мобильное устройство (MitMo) — разновидность атаки через
посредника. Злоумышленник заражает мобильное устройство, и оно
начинает пересылать конфиденциальную информацию пользователя
киберпреступнику. Примером MitMo является ZeuS, эксплойт, который
позволяет киберпреступникам незаметно перехватывать СМС для
двухэтапной авторизации, отправляемые пользователям. Например, при
создании учетной записи Apple пользователь в целях подтверждения
личности должен предоставить номер телефона для получения СМС.
Вредоносная программа отслеживает эти сообщения и передает информацию
преступникам.
При атаке с повтором киберпреступник перехватывает часть данных,
пересылаемых между двумя хостами, а затем повторно отправляет эти
данные. Такой способ позволяет обойти механизмы аутентификации.
Атаки нулевого дня
Атака нулевого дня (zero-day), которую иногда называют угрозой
неизвестного типа, — это атака на компьютер с использованием уязвимостей
в программном обеспечении, о которых не знает разработчик такого ПО или
которые он намеренно скрывает. Термином zero hour описывают момент,
когда кто-то обнаруживает эксплойт. В течение времени, когда разработчик
ПО создает исправление и готовит его к выпуску, сеть остается уязвимой к
таким эксплойтам, как показано на рисунке. Для защиты от стремительных
атак на сеть специалистам по безопасности необходимо тщательно
продумывать архитектуру сети. В наше время невозможно перехватить
попытки вторжения в нескольких определенных местах в сети.

Клавиатурные шпионы (кейлогеры)


Клавиатурные шпионы (кейлогеры) — это программы, которые записывают
или вносят в специальный журнал нажатия клавиш. Преступники могут
внедрять кейлогеры нажатия клавиш с помощью программного обеспечения,
установленного в компьютерной системе, или через аппаратное обеспечение,
физически подключенное к компьютеру. Преступник настраивает кейлоггер
для отправки собранной информации по электронной почте. С помощью
записанных в файл журнала нажатий клавиш злоумышленники могут узнать
имена пользователей, пароли, посещенные веб-сайты и другую
конфиденциальную информацию.
Клавиатурные шпионы могут быть легальными, коммерческими
программами. Родители часто покупают подобное программное обеспечение,
чтобы следить за поведением детей в Интернете и выяснить, какие веб-сайты
они посещают. Большинство антишпионских приложений способны
выявлять и удалять несанкционированные клавиатурные шпионы. Хотя
клавиатурные шпионы не относятся к числу незаконных программ,
преступники используют их в противоправных целях.
Защита от атак
Организации могут принять ряд мер для защиты от различных атак.
Настройка межсетевых экранов позволяет отсеивать любые пакеты с
внутренними сетевыми адресами, поступающие извне сетевой
инфраструктуры. Такое случается редко и обычно означает атаку с подменой
адреса.
Для предотвращения DoS- и DDoS-атак установите все обновления и
исправления, распределите рабочую нагрузку между серверными системами
и блокируйте внешние пакеты протокола управляющих сообщений
Интернета (ICMP) на границе сети. Сетевые устройства используют ICMP-
пакеты для отправки сообщений об ошибках. Например, команда ping
использует ICMP-пакеты для проверки связи между устройствами в сетевой
инфраструктуре.
Чтобы предотвратить атаки с повторением, используйте шифрование
трафика, криптографическую аутентификацию и временные отметки для
каждой части сообщения. Щелкните здесь, чтобы получить дополнительную
информацию о способах предотвращения кибератак.
Условно вредоносное ПО и смишинг
С ростом популярности смартфонов условно вредоносное ПО становится
проблемной областью в обеспечении безопасности мобильного доступа.
Условно вредоносное ПО включает раздражающие или нежелательные
приложения. Такие приложения могут не содержать вредоносного кода, но
все же представлять опасность для пользователя. Например, они могут
отслеживать его местоположение. Создатели условно вредоносного ПО
обычно поддерживают видимость законности и включают описание функций
приложения, набранное мелким шрифтом, в лицензионное соглашение.
Многие пользователи устанавливают мобильные приложения, не
ознакомившись с их функциями.
Смишинг — сокращение от фишинга по СМС. Для отправки и приема
текстовых сообщений в нем используется служба коротких сообщений
(SMS). Преступники обманным путем заставляют пользователя посетить веб-
сайт или позвонить по номеру телефона. Ничего не подозревающие жертвы
могут предоставить конфиденциальную информацию, например о кредитной
карте. Посещение веб-сайта может привести к тому, что пользователь, не
осознавая того, загрузит на свое устройство вредоносное ПО.
Вредоносные точки доступа
Неавторизованная точка доступа — это точка беспроводного доступа,
установленная в защищенной сетевой инфраструктуре без разрешения.
Неавторизованная точка доступа может быть настроена двумя способами. В
первом случае сотрудник организации, руководствуясь благими
намерениями, хочет упростить подключение мобильных устройств. Во
втором случае преступник незаметно получает физический доступ на
территорию организации и устанавливает неавторизованную точку доступа.
Поскольку в обоих случаях речь идет о несанкционированном доступе, и тот
и другой способ представляют опасность для организации.
Неавторизованная точка доступа может также означать точку доступа,
используемую в преступных целях. В этом случае преступник настраивает
точку доступа для атак через посредника (MitM) и использует ее для кражи
учетных данных пользователей.
Для атак типа «злой двойник» (Evil Twin) преступник создает точку доступа
с хорошим сигналом и большой пропускной способностью, чтобы привлечь
пользователей. После того как пользователи подключатся к точке доступа,
преступники могут анализировать трафик и проводить MitM-атаки.
Глушение радиочастот
Беспроводные сигналы чувствительны к электромагнитным и
радиочастотным помехам, а также разрядам молнии и шуму от
флуоресцентных ламп. На беспроводные сигналы также можно повлиять
путем преднамеренных помех. Глушение радиочастот нарушает передачу
сигнала с радиостанции или спутниковой станции, чтобы сигнал не доходил
до приемной станции.
Частота, модуляции и мощность передатчика радиочастотных помех должны
соответствовать параметрам устройства, работу которого преступник хочет
саботировать.
Bluejacking и Bluesnarfing
Bluetooth — маломощный протокол с небольшой дальностью действия. Он
используется для передачи данных в личных сетях между такими
устройствами, как мобильные телефоны, ноутбуки и принтеры. Bluetooth
имеет несколько версий. Отличительной особенностью Bluetooth является
простота настройки без необходимости использовать сетевые адреса.
Bluetooth использует сопряжение устройств для установления связи между
ними. После сопряжения оба устройства используют общий ключ доступа.
Об уязвимостях Bluetooth давно известно, но из-за ограниченной зоны
действия протокола жертва и киберпреступник должны находиться в
пределах досягаемости друг от друга.
 Bluejacking — термин, означающий передачу неразрешенных
сообщений на другое устройство через Bluetooth. В том числе этот
способ используется для рассылки шокирующих изображений.
 Во время атаки типа Bluesnarfing (подключение к устройству Bluetooth
для кражи данных) киберпреступник копирует информацию жертвы с
ее устройства, данная информация может включать в себя электронные
сообщения и списки контактов.
Атаки на WEP и WPA
Протокол безопасности, аналогичный защите проводной сети (Wired
Equivalent Privacy, WEP), — это протокол безопасности, с помощью которого
разработчики пытались обеспечить в беспроводных локальных сетях тот же
уровень безопасности, что и в проводных. Для защиты проводной локальной
сети применяются меры физической безопасности. Чтобы обеспечить
аналогичную защиту данных, передаваемых по беспроводной локальной
сети, в WEP применяется шифрование.
В WEP используется ключ шифрования. В WEP управление ключами
отсутствует, поэтому количество лиц, которым известен один и тот же ключ,
будет постоянно расти. Поскольку все используют один и тот же ключ,
преступник получает доступ к большому объему трафика для аналитических
атак.
Вектор инициализации WEP, который является одним из компонентов
криптографической системы, также небезупречен с точки зрения
безопасности.
 Он представляет собой 24-битовое поле, что слишком мало.
 Это открытый текст, т. е. он может быть легко прочитан.
 Он статичен, поэтому в загруженной сети ключевые потоки будут
повторяться.
Технология WPA (Wi-Fi Protected Access, защищенный доступ Wi-Fi), а затем
WPA2 сменили стандарт WEP в компьютерной индустрии из-за его слабых
мест. В WPA2 подобные проблемы с шифрованием отсутствуют, так как
киберпреступник не может восстановить ключ, наблюдая за трафиком.
Протокол WPA2 чувствителен к атакам, поскольку киберпреступники могут
анализировать пакеты, передаваемые между точкой доступа и легитимным
пользователем. Киберпреступники используют анализатор пакетов, а затем
запускают атаки в автономном режиме для подбора фразы-пароля.
Защита от атак на беспроводные сети и мобильные устройства
Для защиты от атак на беспроводные сети и мобильные устройства
необходимо предпринять несколько шагов. В большинстве продуктов для
беспроводных локальных сетей (WLAN) используются параметры настройки
по умолчанию. Воспользуйтесь базовыми функциями защиты беспроводных
сетей, такими как аутентификация и шифрование, изменив параметры
конфигурации по умолчанию.
Ограничьте размещение точек доступа в сетевой инфраструктуре, разместив
эти устройства за пределами межсетевого экрана или в демилитаризованной
зоне (DMZ), которая содержит другие устройства без доверия, такие как
почтовые и веб-серверы.
Инструменты WLAN, такие как NetStumbler, могут обнаруживать
неавторизованные точки доступа или рабочие станции. Разработайте
гостевую политику для решения задач подключения легитимных
пользователей с правами гостя к Интернету во время посещения. Для
удаленного доступа авторизованных сотрудников к WLAN используйте сеть
VPN.
Межсайтовый скриптинг
Межсайтовый скриптинг (XSS) — это уязвимость в веб-приложениях.
Используя XSS, преступники могут внедрять сценарии на интернет-
страницы, просматриваемые пользователями. Эти сценарии могут содержать
вредоносный код.
Межсайтовый скриптинг включает трех участников: преступника, жертву и
веб-сайт. Киберпреступник не нацеливается на жертву напрямую. Он
использует уязвимость веб-сайта или веб-приложения. Преступники
внедряют клиентские сценарии на интернет-страницы, просматриваемые
пользователями-жертвами. Вредоносный сценарий передается в браузер
пользователя без его ведома. Вредоносный сценарий этого типа может
использоваться для получения доступа к cookie-файлам, идентификаторам
сеансов или другой конфиденциальной информации. Получив cookie-файл
сеанса, преступники могут выдавать себя за доверенного пользователя.
Внедрение кода
Один из способов хранения данных веб-сайта является использование базы
данных. Есть несколько различных типов баз данных, например база данных
SQL или база данных XML. Атаки с внедрением XML- или SQL-кода
используют уязвимости в программе, например неправильную проверку
запросов к базе данных.
Внедрение XML-кода
Внедрение XML-кода может использоваться для повреждения данных в
XML-базах. После того как пользователь предоставит входные данные,
система отправляет запрос для получения доступа к необходимой
информации в базе. Проблема возникает, если входные данные, указанные
пользователем, не подвергаются достаточной проверке. Преступники могут
манипулировать запросами, изменяя их в соответствии со своими
потребностями, и получать доступ к информации в базе данных.
Получив доступ к конфиденциальным данным, хранящимся в базе,
преступники могут вносить любые изменения на веб-сайт. Внедрение XML-
кода ставит под угрозу безопасность веб-сайта.
Внедрение SQL-кода
Киберпреступники эксплуатируют уязвимости систем путем добавления
вредоносных SQL-выражений в поля форм ввода. Как и в примере с XML-
кодом, проверка введенных данных на предмет SQL-выражений не всегда
выполняется достаточно тщательно. Внедрение SQL-выражений
используется на веб-сайтах и базах данных SQL.
Таким образом, преступники могут совершать подмену идентификационных
данных пользователей, изменять или уничтожать существующие данные в
базе или становятся администраторами сервера.
Переполнение буфера
Переполнение буфера происходит, когда объем данных превышает объем
буфера. Буфер — это область памяти, выделенная для приложения. Изменяя
данные за пределами буфера, приложение обращается к памяти, выделенной
для других процессов. Это может привести к сбою системы,
несанкционированному доступу к данным или эскалации прав пользователя.
По оценкам специалистов координационного центра CERT университета
Карнеги-Меллона, почти половина всех уязвимостей компьютерных
программ в той или иной форме обусловлена переполнением буфера.
Существует множество вариантов переполнения буфера, включая
переполнение статического буфера, ошибки индексации, ошибки в формате
строки, несоответствие размеров буфера Unicode and ANSI и переполнение
динамической области памяти.
Удаленный запуск программ
Уязвимости позволяют киберпреступникам запускать вредоносный код и
получать контроль над системой с правами пользователя, запустившего
приложение. Удаленное выполнение кода позволяет преступнику выполнить
на целевой машине любую команду.
Рассмотрим, например, Metasploit. Metasploit — инструмент для разработки и
выполнения вредоносного кода на удаленном объекте. Meterpreter — модуль
Metasploit, который обеспечивает доступ к расширенным функциям. С
помощью Meterpreter злоумышленники добавляют собственные расширения
как общий объект. Преступники выгружают и внедряют эти файлы в
запущенный процесс на целевой машине. Meterpreter загружает и запускает
все расширения из памяти, поэтому они не задействуют ресурсы жесткого
диска. Это также означает, что антивирусные программы не могут их
обнаружить. Meterpreter располагает модулем для удаленного управления
веб-камерой. После его установки преступник может вести наблюдение и
делать снимки с помощью веб-камеры на устройстве жертвы.
Элементы управления ActiveX и Java
Некоторые веб-страницы правильно работают только при установке элемента
управления ActiveX. Элементы управления ActiveX используются для
создания дополнительных модулей Internet Explorer. Элементы управления
ActiveX — устанавливаемые пользователем программные компоненты,
предоставляющие расширенные возможности. Некоторые элементы
управления ActiveX создаются третьими лицами и могут быть
вредоносными. Они могут отслеживать историю просмотров, устанавливать
вредоносное ПО или записывать нажатия клавиш. Элементы управления
ActiveX также используются в приложениях Microsoft.
Программа на Java работает через интерпретатор — виртуальную машину
Java (JVM). JVM позволяет использовать функциональность программы,
написанной на Java. JVM изолирует от остальной части операционной
системы или помещает в песочницу ненадежный код. Существуют
уязвимости, которые позволяют ненадежному коду обойти ограничения,
наложенные песочницей. В библиотеке классов Java, которые приложения
используют для своей защиты, также имеются уязвимости. Java является
второй по значению уязвимостью безопасности после модулей Adobe Flash.
Защита от атак на приложения
Первая линия защиты от атак на приложения — создание надежного кода.
Независимо от используемого языка или источника внешних входных
данных, целесообразно рассматривать все входные данные вне функции как
вредоносные. Проверяйте все входные данные, как будто они являются
вредоносными.
Обновляйте все программное обеспечение, включая операционные системы и
приложения, и не игнорируйте напоминания об обновлении. Не все
программы устанавливают обновления автоматически. По крайней мере
выберите в настройках вариант «Обновление вручную». При обновлении
вручную пользователи могут проверять, какие обновления устанавливаются.
Глава 4. Искусство защиты секретов
Принципы криптологии определяют, как современные алгоритмы и
протоколы обеспечивают защиту при обмене информацией. Криптология —
это наука о создании и раскрытии секретных кодов. Разработка и
использование кодов — это криптография. Изучение и взлом кодов — это
криптоанализ. Человечество веками использовало криптографию для защиты
секретных документов. Например, Юлий Цезарь применял простой
алфавитный шифр при отправке сообщений своим генералам. Чтобы
расшифровать сообщения, они использовали известный только им ключ. В
наши дни безопасный обмен информацией обеспечивается современными
криптографическими методами.
Контроль и разграничение доступа, как ясно из названия, предполагает
управление доступом к зданию, комнате, системе, базе данных, файлу и
информации. Организации используют различные методы контроля и
разграничения доступа для защиты конфиденциальности. В этой главе
рассматриваются четыре шага в процессе разграничения доступа: 1)
идентификация, 2) аутентификация, 3) авторизация и 4) отчетность. Кроме
того, в главе описаны различные модели и типы средств разграничения
доступа.
В заключительной части главы рассказывается о разнообразных способах
сокрытия данных пользователем. Обфускация данных и стеганография
являются двумя способами маскирования данных.
Что такое криптография?
Криптология — это наука о создании и раскрытии секретных кодов.
Криптография — это способ хранения и передачи данных таким образом,
чтобы только предполагаемый получатель мог их читать или обрабатывать.
Современная криптография использует вычислительно криптостойкие
алгоритмы, чтобы затруднить несанкционированный доступ
киберпреступников к защищенной информации.
Необходимо обеспечить секретность и конфиденциальность данных, чтобы
только предполагаемый получатель мог прочитать сообщение. Стороны
достигают этого с помощью шифрования. Шифрование — процесс
кодирования данных таким образом, чтобы неавторизованная третья сторона
не смогла их прочитать.
При этом читаемые данные представляют собой обычный или открытый
текст, а зашифрованная версия — кодированный или криптограмму. В
процессе шифрования читаемое сообщение с обычным текстом
преобразуется в нечитаемое, скрытое сообщение с криптограммой. При
расшифровке происходит обратный процесс. Для шифрования также
требуется ключ, который играет главную роль в шифровании и расшифровке
сообщения. Обладатель ключа может преобразовать криптограмму в
обычный.
В истории есть примеры использования различных алгоритмов и методов
шифрования. Алгоритм — это процесс или формула для решения задачи. Для
защиты своих сообщений Юлий Цезарь ставил рядом два набора алфавита, а
затем сдвигал один из них на определенное число позиций. Число позиций
при сдвиге служило ключом. С помощью этого ключа он преобразовывал
обычный текст в криптограмму, и только его генералы, у которых тоже был
ключ, могли расшифровать сообщения. Этот метод называется шифром
Цезаря. На рисунке показано сообщение, засекреченное с помощью шифра
Цезаря.

История криптографии
Криптография зародилась в дипломатических кругах тысячи лет назад.
Посланники королевского двора передавали зашифрованные сообщения в
другие дворы. Иногда другие стороны, не участвующие в обмене
сообщениями, пытались перехватить послания, отправленные во враждебное
королевство. Вскоре военные командиры начали использовать шифрование
для защиты сообщений.
На протяжении веков для зашифровки и расшифровки текста применялись
различные методы шифрования, а также физические приспособления и
устройства:
 Скитала (рис. 1)
 Шифр Цезаря (рис. 2)
 Шифр Виженера (рис. 3)
 Шифровальная машина Энигма (рис. 4)
Во всех методах для зашифровки или расшифровки сообщения используется
ключ. Ключ является важнейшим компонентом в алгоритме шифрования.
Надежность алгоритма шифрования напрямую зависит от используемого
ключа. Чем сложнее процесс, тем надежнее алгоритм. Важной частью этого
процесса является управление ключами.
Создание криптограммы
В каждом методе шифрования используется специальный алгоритм,
называемый шифром, для шифрования и расшифровки сообщений. Шифр
представляет собой последовательность четко определенных шагов,
используемых для шифрования и расшифровки сообщений. Существует
несколько способов создания криптограммы:
 перестановка — буквы меняются местами (рис. 1);
 подстановка — буквы заменяются (рис. 2);
 одноразовый блокнот — обычный текст в сочетании с секретным
ключом образует новый символ, который затем объединяется с
обычным текстом для получения криптограммы (рис. 3).
В старых алгоритмах шифрования, таких как шифр Цезаря или Энигма,
конфиденциальность обеспечивалась секретностью самого алгоритма. С
современными технологиями обратная разработка часто не представляет
сложности, поэтому используются общедоступные алгоритмы. В
большинстве современных алгоритмов для успешной расшифровки
необходимо знать соответствующие криптографические ключи. Это
означает, что безопасность шифрования зависит от секретности ключей, а не
алгоритма.
В некоторых современных алгоритмах шифрования по-прежнему частично
используется перестановка.
Управление ключами является самым сложным аспектом проектирования
криптографической системы. Многие криптосистемы были взломаны из-за
ошибок в управлении ключами. Все современные криптографические
алгоритмы содержат обязательные процедуры управления ключами. На
практике большинство атак на криптографические системы направлено на
систему управления ключами, а не сам алгоритм шифрования.
Два типа шифрования
Криптографическое шифрование может обеспечивать конфиденциальность
сочетанием различных инструментов и протоколов.
Существует два подхода к обеспечению безопасности данных при
использовании шифрования. Первый заключается в том, чтобы защитить
алгоритм. Если надежность системы шифрования зависит от секретности
самого алгоритма, то важнее всего любой ценой сохранять тайну алгоритма.
В случае если кому-либо станут известны подробности работы алгоритма,
всем участникам необходимо будет сменить алгоритм. Такой подход
выглядит плохо управляемым и не слишком безопасным. Второй подход
заключается в том, чтобы защитить ключи. В современной криптографии
алгоритмы открыты. Секретность данных обеспечивают криптографические
ключи. Криптографические ключи — это пароли, которые являются частью
входных данных для алгоритма шифрования вместе с данными, требующими
зашифровки.
Алгоритмы шифрования подразделяются на два класса.
Симметричные алгоритмы используют один и тот же общий ключ для
зашифровки и расшифровки данных. Перед началом передачи любого
зашифрованного сообщения отправитель и получатель заранее определяют
ключ. На рис. 1 показано, как симметричные алгоритмы используют один и
тот же ключ для зашифровки и расшифровки обычного текста. Алгоритмы
шифрования с общим ключом более простые и требуют меньше
вычислительной мощности.
Асимметричные алгоритмы шифрования используют разные ключи для
зашифровки и расшифровки данных. Один ключ является открытым, другой
— закрытым. В системе шифрования с открытым ключом любой человек
может зашифровать сообщение, используя открытый ключ получателя, и
только этот получатель сможет расшифровать сообщение с помощью своего
закрытого ключа. Стороны обмениваются защищенными сообщениями без
необходимости предварительно согласовывать общий ключ, как показано на
рис. 2. Асимметричные алгоритмы более сложны. Эти алгоритмы являются
ресурсоемкими и выполняются медленно.

Процесс симметричного шифрования


В симметричных алгоритмах используется один и тот же общий ключ для
шифрования и расшифровки данных. Этот метод также известен как
шифрование с закрытым ключом.
Например, Алиса и Боб живут в разных местах и хотят обмениваться друг с
другом секретными сообщениями по почте. Алиса хочет отправить секретное
сообщение Бобу.
При шифровании с закрытым ключом используется симметричный алгоритм.
Как показано на рисунке, у Алисы и Боба есть одинаковые ключи от одного
замка. Обмен ключами произошел до отправки секретных сообщений. Алиса
пишет секретное письмо, кладет его в коробку и запирает на замок. Затем она
отправляет коробку Бобу. Письмо надежно скрыто внутри, пока коробка идет
по почте. Когда Боб получает коробку, он открывает замок своим ключом и
достает письмо. Боб может воспользоваться этой же коробкой с замком,
чтобы отправить секретный ответ Алисе.
Если же Боб хочет написать Кэрол, то ему нужны новые общие ключи, чтобы
сохранить эту переписку в тайне от Алисы. Чем больше людей, с которыми
Боб хочет общаться приватно, тем больше ему потребуется ключей.

Типы криптографических преобразований


Наиболее распространенные типы криптографических преобразований — это
блочное шифрование и поточные шифры. Эти методы различаются способом
группировки битов данных при шифровании.
Блочное шифрование
С помощью блочного шифрования блок обычного текста фиксированной
длины преобразуется в блок криптограммы размером 64 или 128 бит. Размер
блока представляет объем данных, шифруемых за один раз. Для
расшифровки следует применить к блоку криптограммы обратное
преобразование, используя тот же секретный ключ.
При блочном шифровании выходных данных обычно получается больше,
чем входных, поскольку размер криптограммы должен быть кратным
размеру блока. Например, стандарт шифрования данных DES представляет
собой симметричный алгоритм, который шифрует блоки порциями по
64 бита с помощью ключа длиной 56 бит. Для этого блочный алгоритм берет
по одной порции данных, например, по 8 байт за раз, пока весь блок не будет
заполнен. Если входных данных не хватает для заполнения блока, алгоритм
добавляет искусственные данные или пробелы, пока не будут использованы
все 64 бита, как показано на рис. 1 для 64 бит слева.
Поточные шифры
В отличие от блочного шифрования, поточные шифры обрабатывают
обычный текст по одному байту или биту, как показано на рис. 2. Можно
сказать, что поточные шифры представляют собой блочные с размером блока
в один бит. В поточных шифрах преобразование мелких единиц обычного
текста выполняется по-разному в зависимости от их расположения в потоке
шифруемого текста. Поточные шифры могут работать гораздо быстрее
блочного шифрования и, как правило, не увеличивают размер сообщения,
поскольку шифруют произвольное число битов.
A5 — это поточный шифр, который обеспечивает конфиденциальность
голосовых данных и шифрует общение по сотовому телефону. DES также
можно использовать в поточном режиме шифрования.
Сложные криптографические системы могут объединять блочную и
потоковую обработку в одном процессе.
Симметричные алгоритмы шифрования
Во многих криптографических системах применяется симметричное
шифрование. Ниже перечислены некоторые распространенные
криптографические стандарты, использующие симметричное шифрование.
3DES (Triple DES) — симметричный блочный шифр на основе алгоритма
DES с размером блока 64 бита и длиной ключа 56 бит. В качестве входных
данных используется блок обычного текста размером 64 бита, а на выходе
получается блок криптограммы размером 64 бита. Алгоритм всегда работает
с блоками одинакового размера и использует как перестановку, так и
подстановку данных. Перестановка — это реорганизации всех элементов в
наборе.
При использовании 3DES данные шифруются трижды и хотя бы в одном из
трех проходов используется другой ключ. Таким образом, суммарный размер
ключа составляет 112–168 бит. Алгоритм 3DES более устойчив к атакам, но
работает гораздо медленнее DES.
Цикл шифрования 3DES
1. Данные шифруются первым проходом DES.
2. Данные дешифруются вторым проходом DES.
3. Данные повторно шифруются третьим проходом DES.
Для расшифровки криптограммы выполняется обратный процесс.
IDEA — международный алгоритм шифрования данных с размером блоков
64 бита и длиной ключа 128 бит. IDEA выполняет восемь раундов
преобразований каждого из 16 блоков, которые появляются при делении
каждого 64-битного блока. Алгоритм IDEA пришел на замену DES и теперь
используется в PGP (Pretty Good Privacy). PGP — программа, которая
обеспечивает конфиденциальность и аутентификацию при передаче данных.
GNU Privacy Guard (GPG) — бесплатная версия PGP со свободной
лицензией.
AES — симметричный алгоритм блочного шифрования с фиксированным
размером блока 128 бит и длиной ключа 128, 192 или 256 бит. Национальный
институт по стандартам и технологиям (NIST) в США утвердил алгоритм
AES в декабре 2001 г. Правительство США применяет AES для защиты
секретных сведений.
AES — стойкий алгоритм, в котором используются более длинные ключи.
AES работает быстрее, чем DES и 3DES, поэтому он применяется в решениях
для программных приложений, а также в аппаратных межсетевых экранах и
маршрутизаторах.
Среди других блочных шифров можно отметить Skipjack (разработанный
Агентством национальной безопасности США), Blowfish и Twofish.

Процесс асимметричного шифрования


В асимметричном шифровании, которое также называется шифрованием с
открытым ключом, для зашифровки и расшифровки сообщения
используются разные ключи. Преступник не может в разумные сроки
вычислить ключ дешифрования, зная ключ шифрования, и наоборот.
Если Алиса и Боб обмениваются секретными сообщениями при помощи
шифрования с открытым ключом, они используют асимметричный алгоритм.
На этот раз Боб и Алиса не обмениваются ключами перед отправкой
секретных сообщений. Вместо этого у Алисы и Боба есть отдельные замки с
соответствующими ключами. Чтобы отправить секретное сообщение Бобу,
Алисе нужно сначала связаться с ним и попросить прислать свой открытый
замок. Боб отправляет замок, но ключ оставляет у себя. Когда Алиса
получает замок, то пишет секретное сообщение и кладет его в коробку. Она
также кладет туда свой открытый замок, но оставляет себе ключ. Затем она
запирает коробку на замок Боба. Когда Алиса закроет замок, она больше не
сможет открыть коробку, поскольку у нее нет ключа от этого замка. Она
отправляет коробку Бобу, и, пока коробка идет по почте, никто не может ее
открыть. Когда Боб получит коробку, он сможет открыть ее своим ключом и
прочитать сообщение от Алисы. Чтобы отправить секретный ответ, Боб
кладет сообщение в коробку вместе со своим открытым замком и запирает на
замок Алисы. Боб отправляет запертую коробку обратно Алисе.
Например, на рис. 1 Алиса запрашивает и получает открытый ключ Боба. На
рис. 2 Алиса использует открытый ключ Боба, чтобы зашифровать
сообщение с помощью предварительно согласованного алгоритма. Алиса
отправляет зашифрованное сообщение Бобу, а затем Боб использует свой
закрытый ключ для расшифровки сообщения, как показано на рис. 3.
Алгоритмы асимметричного шифрования
В асимметричных алгоритмах используются общедоступные формулы.
Защиту в этих алгоритмах обеспечивает пара несвязанных ключей. Ниже
перечислены асимметричные алгоритмы.
Система RSA (Ривеста-Шамира-Адлемана) использует произведение двух
очень больших простых чисел с равной длиной от 100 до 200 цифр. RSA
применяется в браузерах для создания безопасного подключения.
Протокол Диффи-Хеллмана предоставляет электронный метод получения
секретного ключа. В защищенных протоколах, таких как Secure Sockets Layer
(SSL), Transport Layer Security (TLS), Secure Shell (SSH) и Internet Protocol
Security (IPsec), используется алгоритм Диффи-Хеллмана.
Алгоритм ElGamal. Использует стандарт правительства США для цифровых
подписей. Этот алгоритм можно использовать бесплатно, поскольку он не
был запатентован.
Эллиптическая криптография (ECC) использует в рамках алгоритма
эллиптические кривые. Агентство национальной безопасности США
использует ECC для создания цифровых подписей и обмена ключами.
Управление ключами
Управление ключами подразумевает создание, обмен, хранение,
использование и замену ключей, применяемых в алгоритме шифрования.
Управление ключами является самым сложным аспектом проектирования
криптографической системы. Многие криптосистемы были взломаны из-за
ошибок в управлении ключами. На практике большинство атак на
криптографические системы направлено на уровень управления ключами, а
не на сам алгоритм шифрования.
На рисунке показано несколько базовых характеристик управления ключами,
которые следует учитывать.
Для описания ключей используются два термина:
 длина ключа, или размер ключа, — это величина в битах;
 пространство ключей — это количество возможных вариантов,
которые может создать ключ определенной длины.
При увеличении длины ключа пространство ключей увеличивается
экспоненциально. Ключевое пространство алгоритма — это набор всех
возможных значений ключа. Длинные ключи надежнее, однако требуют
больше ресурсов. В пространстве ключей практически каждого алгоритма
есть слабые ключи, которые позволяют злоумышленнику взломать шифр
ускоренным методом.
Сравнение типов шифрования
Важно понимать различия между методами симметричного и
асимметричного шифрования. Системы симметричного шифрования более
эффективны и могут обрабатывать больше данных. Однако ключами таких
систем сложнее управлять. Асимметричная криптография более эффективна
для защиты конфиденциальности небольших объемов данных, например, при
обмене электронными ключами, в отличие от шифрования больших блоков
данных.
Важно обеспечивать конфиденциальность данных как при хранении, так и
при передаче. В обоих случаях предпочтение отдается симметричному
шифрованию из-за скорости и простоты алгоритма. Некоторые
асимметричные алгоритмы могут значительно увеличивать размер
зашифрованного объекта. Таким образом, в случае с перемещением данных
следует использовать шифрование с открытым ключом для передачи
секретного ключа, а затем симметричное шифрования для защиты
конфиденциальности отправленных данных.

Приложения
Существует множество вариантов применения как симметричных, так и
асимметричных алгоритмов.
Токен, генерирующий одноразовые пароли, — это аппаратное устройство, в
котором для генерации одноразового пароля применяется криптография.
Одноразовый пароль представляет собой автоматически генерируемую
цифровую или буквенно-цифровую строку символов, которая выполняет
аутентификацию пользователя для одной транзакции в одном сеансе. Число
меняется примерно каждые 30 секунд. На экране отображается пароль
сеанса. Пользователь вводит этот пароль.
В области электронных платежей используется алгоритм 3DES. В
операционных системах для защиты пользовательских файлов и системных
данных с помощью паролей применяется DES. В большинстве шифрующих
файловых систем, таких как NTFS, используется стандарт AES.
Алгоритмы с асимметричным ключом используются в четырех протоколах:
 Internet Key Exchange (IKE), который является основным компонентом
сетей VPN, использующих протокол IPsec;
 Secure Socket Layer (SSL), который реализует криптографию в веб-
обозревателе;
 Secure Shell (SSH), который обеспечивает удаленный защищенный
доступ к сетевым устройствам;
 Pretty Good Privacy (PGP) — компьютерная программа,
обеспечивающая криптографическую конфиденциальность и
аутентификацию для повышения безопасности электронной почты.
VPN — частная сеть, которая использует общедоступную сеть, обычно
Интернет, для создания безопасного канала связи. Для формирования
соединения сеть VPN соединяет два оконечных устройства как два
удаленных офиса через Интернет.
В сетях VPN используется IPsec. IPsec — набор протоколов, разработанных
для обеспечения безопасности сетевых сервисов. Сервисы IPsec
обеспечивают аутентификацию, целостность, разграничение доступа и
конфиденциальность. С помощью IPsec удаленные узлы могут обмениваться
зашифрованной и проверенной информацией.
Во многих организациях возникает все больше проблем с используемыми
данными. Во время использования данные не защищены, так как
пользователю необходимо открывать и изменять их. В системной памяти
могут храниться конфиденциальные данные, например, ключ шифрования.
Вскрывая используемые данные, преступники получают
несанкционированный доступ к хранящимся и перемещаемым данным.
Системы разграничения физического доступа
Средства разграничения физического доступа — это фактические барьеры,
предназначенные для предотвращения прямого контакта с системами. Цель
состоит в предотвращении физического доступа неавторизованных
пользователей к объектам, оборудованию и другим ресурсам организации.
Разграничение физического доступа определяет, кто, в какие помещения и
когда может войти (или выйти).
Примеры разграничения физического доступа:
 охрана для мониторинга территории;
 заборы для защиты периметра;
 датчики движения для выявления движущихся объектов;
 замки ноутбуков для защиты портативного оборудования;
 запирающиеся двери для предотвращения несанкционированного
доступа;
 магнитные карты для доступа к закрытым зонам;
 сторожевые собаки для охраны территории;
 видеокамеры для мониторинга территории и записи изображения;
 тамбуры-шлюзы для доступа к защищенной зоне после закрытия двери
1;
 аварийные сигналы для обнаружения вторжений.
Системы разграничения логического доступа
Разграничение логического доступа обеспечивают аппаратные и
программные решения для управления доступом к ресурсам и системам. Эти
технологические решения включают инструменты и протоколы,
используемые компьютерными системами для идентификации,
аутентификации, авторизации и отчетности.
К средствам логического разграничения доступа относятся следующие:
 шифрование — процесс преобразования обычного текста в
криптограмму;
 смарт-карты оснащены встроенной микросхемой;
 пароли — защищенные строки символов;
 биометрия — физические характеристики пользователей;
 списки контроля доступа (ACL) определяют тип разрешенного трафика
в сети;
 протоколы — наборы правил, которые регулируют обмен данными
между устройствами;
 межсетевые экраны блокируют нежелательный сетевой трафик;
 маршрутизаторы соединяют как минимум две сетевые
инфраструктуры;
 системы обнаружения вторжений выполняют мониторинг сетевой
инфраструктуры на предмет подозрительных действий;
 уровни отсечения — разрешенные пороговые значения ошибок до
срабатывания сигнала тревоги.
Для просмотра подробных сведений щелкните каждый тип разграничения
логического доступа на рисунке.
Средства административного контроля доступа
Средства контроля административного доступа — это политики и
процедуры, определенные организацией для внедрения и укрепления всех
аспектов контроля несанкционированного доступа. Средства
административного контроля сосредоточены на персонале и деловых
практиках. К средствам административного контроля относятся следующие.
 Политики — заявления о намерениях.
 Процедуры — подробные инструкции по выполнению определенных
действий.
 Практика найма сотрудников состоит из шагов, которые организация
предпринимает для поиска квалифицированных сотрудников.
 Проверка биографии — отборочная проверка информации о
сотрудниках, в том числе сведений с прошлых мест работы, кредитной
истории и наличия судимостей.
 Категоризация данных распределяет сведения по категориям в
зависимости от секретности.
 Обучение по вопросам безопасности информирует сотрудников о
политиках безопасности, принятых в организации.
 Проверки и ревизии позволяют оценить эффективность работы
сотрудника.

Обязательное разграничение доступа


Обязательное разграничение доступа (MAC) ограничивает действия, которые
субъект может выполнить с объектом. Субъектом может быть пользователь
или процесс. Объектом может быть файл, порт или устройство ввода-вывода.
Правило авторизации указывает, может ли субъект получить доступ к
объекту.
Организации используют MAC при наличии разных уровней секретности. У
каждого объекта есть метка, а у каждого субъекта — допуск. Система MAC
ограничивает доступ субъекта в соответствии с уровнем секретности объекта
и меткой пользователя.
Например, возьмем военную классификацию с уровнями «секретно» и
«совершенно секретно». Если какой-либо файл (объект) считается строго
засекреченным, он помечается соответствующим образом. Этот файл
(объект) могут просматривать только сотрудники (субъекты) с допуском
уровня «совершенно секретно». Механизм разграничения доступа должен
гарантировать, что сотрудник (субъект) с допуском только к секретной
информации никогда не получит доступа к файлу с меткой «совершенно
секретно». Также пользователь (субъект) с доступом к совершенно секретной
информации не может изменить классификацию файла (объекта) с
«совершенно секретно» на «секретно». Кроме того, пользователь с допуском
к совершенно секретной информации не может отправить файл с меткой
«совершенно секретно» пользователю с доступом только к секретной
информации.
Дискреционное разграничение доступа
Владелец объекта определяет, следует ли разрешить доступ к объекту с
дискреционным разграничением доступа (DAC). DAC открывает или
ограничивает доступ к объекту на основании решения владельца. Этот тип
контроля называется избирательным, поскольку владелец, обладающий
определенными разрешениями на доступ, может предоставлять эти права
другому субъекту по собственному усмотрению.
В системах с дискреционным разграничением доступа владелец объекта
может сам решать, какие субъекты будут иметь доступ к объекту и на каком
уровне. Как показано на рисунке, одним из распространенных методов
являются разрешения. Владелец файла может указать конкретные
разрешения (чтение/запись/выполнение) для других пользователей.
Списки контроля доступа — это еще один распространенный механизм для
реализации дискреционного разграничения доступа. В списках контроля
доступа используются правила, которые определяют разрешенный входной и
выходной трафик в сети.
Контроль доступа на основе ролей
Контроль доступа на основе ролей (Role-based access control, RBAC) работает
в зависимости от роли субъекта. Роли — это должностные обязанности в
организации. Для выполнения определенных операций в данной роли
требуется разрешение. Пользователи получают разрешения в рамках своей
роли.
Контроль доступа на основе ролей может работать в сочетании с DAC или
MAC с применением соответствующих политик. RBAC помогает
администрировать системы безопасности в крупных организациях с сотнями
пользователей и тысячами возможных разрешений. Организации широко
используют RBAC для управления разрешениями компьютеров внутри
системы или приложения.
Разграничение доступа на основе правил
При контроле доступа на основе правил используются списки контроля
доступа (ACL), которые определяют, следует ли предоставить доступ
пользователю. В списке контроля доступа (ACL) содержится ряд правил, как
показано на рисунке. Возможность предоставления доступа зависит от этих
правил. Например, одно из правил заключается в том, что ни один сотрудник
не может получить доступ к файлу платежной ведомости после окончания
рабочего дня или в выходные.
Как и в случае с MAC, пользователи не могут изменять правила доступа.
Организации могут объединять разграничение доступа на основе правил с
другими стратегиями для ограничения доступа. Например, при внедрении
методов MAC может использоваться подход на основе правил.
Что такое идентификация?
В процессе идентификации применяются правила, установленные политикой
авторизации. Субъект запрашивает доступ к системному ресурсу. Каждый
раз, когда субъект запрашивает доступ к ресурсу, решение о предоставлении
или запрещении доступа принимается средствами контроля. Например,
политика авторизации определяет, какие действия пользователь может
выполнять с ресурсом.
Связь между разрешенными действиями и субъектами обеспечивает
уникальный идентификатор. Имя пользователя — наиболее
распространенный метод идентификации пользователя. Имя пользователя
может представлять собой буквенно-цифровую комбинацию, персональный
идентификационный номер (PIN-код), смарт карту или биометрические
данные, такие как отпечатки пальцев, сканирование сетчатки или
распознавание голоса.
Уникальный идентификатор гарантирует, что система может
идентифицировать каждого отдельного пользователя, что позволяет
авторизованному пользователю выполнять нужные действия с конкретным
ресурсом.
Средства контроля идентификации
Используемые средства контроля идентификации определяются с помощью
политик обеспечения кибербезопасности. На основании степени
конфиденциальности информации и информационных систем определяется,
насколько строго должен контролироваться доступ. Участившиеся случаи
утечки данных принуждают организации усилить управление
идентификацией. Например, индустрия кредитных карт в США требует от
всех поставщиков перейти на системы идентификации по смарт-картам.
Что-то, что мы знаем (фактор знания)
Пароли, парольные фразы или PIN-коды — примеры того, что знает
пользователь. Наиболее популярным способом аутентификации являются
пароли. Фраза-пароль, код доступа, ключ доступа и PIN-код также часто
называют паролями. Пароль — последовательность символов, используемая
для подтверждения личности пользователя. Если эти символы как-то связаны
с пользователем (например, содержат имя, дату рождения или место
проживания), то киберпреступникам проще подобрать пароль.
Ряд публикаций рекомендует использовать пароль как минимум из восьми
символов. Не следует создавать слишком длинные пароли, которые трудно
запомнить, или наоборот, настолько короткие, что они становятся уязвимыми
для подбора. Пароль должен представлять собой сочетание строчных и
прописных букв, цифр и специальных символов. Щелкните здесь, чтобы
проверить текущие пароли.
Пользователям следует использовать разные пароли для разных систем,
иначе преступник, взломавший один пароль, получит доступ ко всем
учетным записям пользователя. Менеджер паролей помогает создавать и
запоминать надежные пароли. Щелкните здесь, чтобы открыть генератор
надежных паролей.
Что-то, что мы имеем (фактор владения)
Смарт-карты, ключи и брелоки безопасности — примеры того, что
пользователь имеет при себе.
Обеспечение безопасности с использованием смарт-карт. Смарт-карта
представляет собой пластиковую карту размером с кредитную, в которую
встроена небольшая микросхема. Эта микросхема позволяет не только
хранить данные, но и обрабатывать их, а также обеспечивает защиту
хранимых данных. На смарт-картах хранится личная информация, такая как
номера банковских счетов, информация, удостоверяющая личность,
медицинская документация и цифровые подписи. Смарт-карты обеспечивают
проверку подлинности и шифрование для защиты данных.
Ключ-брелок безопасности — небольшое устройство, которое можно
прикрепить к связке ключей. Такое устройство применяет процесс,
называемый двухфакторной аутентификацией, который намного безопасней
процесса с использованием сочетания имени пользователя и пароля. Сначала
пользователь вводит свой персональный идентификационный номер (PIN-
код). В случае ввода правильного кода на дисплее ключа-брелока
безопасности отображается номер. Это второй этап аутентификации, на
котором пользователю необходимо ввести этот номер для входа на
устройство или в сетевую инфраструктуру.
Что-то, что является частью нас (фактор свойства)
Уникальные физические характеристики, такие как отпечатки пальцев,
радужная оболочка глаза или голос, которые идентифицируют конкретного
пользователя, называются биометрическими данными. В системах
биометрической безопасности при проверке подлинности пользователей
сравниваются физические характеристики и сохраненные профили.
Профиль — это файл данных, содержащий известные характеристики
пользователя. Система предоставляет пользователям доступ, если их
характеристики соответствуют сохраненным параметрам. Примером
распространенного биометрического устройства является устройство
считывания отпечатков пальцев.
Существует два типа биометрических параметров:
 физиологические характеристики — сюда относятся отпечатки
пальцев, ДНК, лицо, кисти рук, радужная оболочка глаза и форма
ушной раковины;
 поведенческие характеристики включают модели поведения,
например, жесты, голос, характер набора текста или походку
пользователя.
Биометрические технологии приобретают все большую популярность в
системах общественной безопасности, потребительской электронике и
торговых терминалах. В биометрических системах используется
считывающее или сканирующее устройство, программное обеспечение,
которое преобразует полученную информацию в цифровой формат, и база
данных, в которой хранятся биометрические данные для сравнения.
Многофакторная аутентификация
Многофакторная аутентификация включает как минимум два метода
проверки. Хорошим примером будет ключ-брелок безопасности. Двумя
факторами являются то, что вам известно, например, пароль, и то, что у вас
имеется, например, ключ-брелок безопасности. Можно повысить
безопасность, добавив биометрию, например, сканирование отпечатка
пальца.
Многофакторная аутентификация может снизить частоту случаев кражи
личной информации, поскольку знание пароля не даст киберпреступнику
доступ к информации о пользователе. Например, на сайте онлайн-банкинга
может требоваться пароль и PIN-код, который пользователь получает на свой
смартфон. Как показано на рисунке, снятие наличных в банкомате является
еще одним примером многофакторной аутентификации. Пользователь
должен предъявить банковскую карту и PIN-код, прежде чем банкомат
выдаст наличные.

Что такое авторизация?


Средства контроля авторизации определяют, что пользователь может и чего
не может делать в сети после успешной аутентификации. После
подтверждения личности система проверяет, к каким сетевым ресурсам у
пользователя есть доступ и какие действия он может выполнять с этими
ресурсами. Как показано на рисунке, авторизация отвечает на вопрос, какие
права на чтение, копирование, создание и удаление есть у пользователя.
При авторизации используется набор атрибутов, описывающий доступ
пользователя к сетевой инфраструктуре. Система сравнивает эти атрибуты с
информацией, содержащейся в базе данных аутентификации, определяет
набор ограничений для этого пользователя и передает его на локальный
маршрутизатор, к которому подключен пользователь.
Авторизация выполняется автоматически и не требует от пользователей
дополнительных действий после аутентификации. Авторизация должна быть
выполнена сразу после успешной аутентификации пользователя.
Использование авторизации
Первым этапом в управлении доступом является определение правил
авторизации. Эти правила задаются политикой авторизации.
Групповая политика определяет параметры авторизации на основе
принадлежности пользователя к определенной группе. Например, у всех
сотрудников организации есть магнитная карта для доступа в здание. Если
должность сотрудника не требует доступа к серверной, то его карта
безопасности не позволит туда войти.
Политика уровня полномочий определяет права доступа на основе
положения сотрудника в организации. Например, только старшие
сотрудники ИТ-отдела могут заходить в серверную.
Что такое отчетность?
Средства отчетности отслеживают действия пользователей и процессов по
внесению изменений в систему, собирают эту информацию и сообщают
данные об использовании. Организация может использовать такие данные,
например, в целях аудита или выставления счетов. Собираются такие
данные, как время входа того или иного пользователя в систему, сведения об
удачных и неудачных попытках входа в систему, а также данные о сетевых
ресурсах, к которым пользователь обращался. Таким образом организация
может отслеживать действия, ошибки и отклонения во время аудита или
расследования.
Внедрение отчетности
Отчетность обеспечивается за счет соответствующих технологий, политик,
процедур и обучения. Из файлов журнала можно получить подробную
информацию в соответствии с выбранными параметрами. Например, в
организации могут просматривать журнал на предмет удачных и неудачных
попыток входа. Неудачные попытки входа могут указывать на то, что
преступник пытался взломать учетную запись. Успешный вход показывает
организации, какие пользователи, когда и к каким ресурсам обращались.
Нормально ли для авторизованного пользователя входить в корпоративную
сеть в 3:00 утра? Политики и процедуры организации указывают, какие
действия следует регистрировать и каким образом создаются, проверяются и
хранятся файлы журнала.
Соблюдение сроков хранения данных, правил утилизации носителей и
других нормативных требований способствует надлежащей отчетности.
Многие законы требуют реализации специальных мер для защиты различных
типов данных. Эти законы показывают организациям, как правильно
обрабатывать, хранить и удалять данные. Соответствующее обучение и
осведомленность сотрудников о корпоративных политиках, процедурах и
связанных с ними законах также улучшают отчетность.
Превентивные средства контроля
Превентивные средства означают предупредительные. Превентивные
средства разграничения доступа предотвращают нежелательные или
несанкционированные действия. Для авторизованного пользователя
превентивное разграничение доступа означает ограничения. Назначение
конкретных прав пользователя в системе является примером превентивного
контроля. Несмотря на то что пользователь является авторизованным,
система ограничивает его права доступа для предотвращения
несанкционированных действий. Межсетевой экран, блокирующий доступ к
порту или сервису, которыми могут воспользоваться киберпреступники,
также является средством превентивного контроля.
Сдерживающие средства контроля
Сдерживающий фактор является противоположностью поощрению.
Поощрения призваны стимулировать отдельных лиц на совершение
правильных действий, а сдерживающие факторы препятствуют совершению
ими неправильных действий. Специалисты и организации по вопросам
кибербезопасности используют сдерживающие факторы, чтобы ограничить
или минимизировать определенные действия или поведение, но их
недостаточно для полного предотвращения. Сдерживающие средства
разграничения препятствуют получению несанкционированного доступа к
информационным системам и конфиденциальным данным. Сдерживающие
средства разграничения препятствуют атакам на системы, краже данных и
распространению вредоносного кода. Организации используют
сдерживающие средства разграничения доступа для усиления политик
кибербезопасности.
Сдерживающие факторы предостерегают потенциальных киберпреступников
против совершения преступления. На рисунке представлены
распространенные сдерживающие средства разграничения доступа в сфере
кибербезопасности.

Распознавательные средства контроля


Обнаружение — это действие или процесс выявления чего-либо.
Распознавательные средства разграничения доступа позволяют обнаружить
различные несанкционированные действия. Системы обнаружения могут
быть реализованы в очень простом виде, например, в виде датчика движения
или в лице сотрудника службы охраны. Они могут быть и более сложными,
например, система обнаружения вторжений (IDS). У всех систем
обнаружения есть общие черты: они отслеживают необычные или
запрещенные действия. Они также предоставляют методы регистрации
событий и операторов системы оповещения при потенциальном
несанкционированном доступе. Распознавательные средства контроля ничего
не предотвращают, а работают больше по факту события.
Корректирующие средства контроля
Корректирующие меры препятствуют нежелательным действиям.
Организации внедряют корректирующие средства разграничения доступа,
после того как система подверглась угрозе. Корректирующие меры
позволяют восстановить конфиденциальность, целостность и доступность
системы. С их помощью также можно вернуть системы в нормальное
состояние после несанкционированных действий.
Средства восстановления
Восстановление — это возвращение в нормальное состояние.
Восстановительные средства разграничения доступа предназначены для
восстановления ресурсов, функций и возможностей после нарушения
политики безопасности. Средства восстановления могут устранить
повреждения и предотвратить дальнейший ущерб. Возможности этих средств
шире, чем возможности корректирующих средств контроля и разграничения
доступа.

Компенсирующие средства контроля


Компенсировать — это значит возместить недостаток. Компенсирующие
средства разграничения доступа расширяют возможности других средств для
более строгого контроля за соблюдением политики безопасности.
Компенсирующее средство может применяться вместо другого средства,
которое невозможно использовать в данных условиях. Например,
организация не имеет возможности завести сторожевую собаку, поэтому
устанавливает датчик движения с прожектором и звуком собачьего лая.
Что такое маскирование данных?
Технология маскирования данных защищает данные, заменяя
конфиденциальную информацию на ее неконфиденциальную версию.
Вариант, не носящий конфиденциального характера, выглядит как оригинал
и выполняет его функции. То есть в бизнес-процессах могут использоваться
неконфиденциальные данные и не требуется изменять вспомогательные
приложения или системы хранения данных. В большинстве сценариев
использования маскирование позволяет ограничить распространение
конфиденциальных данных внутри информационных систем, заменяя их на
суррогатные для тестирования и анализа. Информация может маскироваться
динамически, если система или приложение определяет запрос пользователя
на получение конфиденциальной информации как рискованный.
Методы маскирования данных
Маскирование данных может заменять конфиденциальные данные в
непроизводственной среде для защиты базовой информации.
Существует несколько методов маскирования данных, которые гарантируют,
что данные сохраняют значение, но изменяются достаточно для защиты
конфиденциальности.
 Подстановка заменяет данные достоверно выглядящими значениями
для сохранения анонимности записей.
 Перетасовка создает замещающий набор из данных того же набора
данных, который пользователь хочет замаскировать Этот способ
подходит, например, для маскировки финансовой информации в
тестовой базе данных.
 Обнуление применяет нулевое значение к выбранному полю, что
полностью предотвращает мониторинг данных.
Что такое стеганография?
Стеганография позволяет скрыть данные (сообщение) в другом файле, таком
как графическое изображение, аудиозапись или другой текстовой файл.
Преимущество стеганографии над криптографией состоит в том, что скрытое
сообщение не привлекает к себе внимания. При просмотре файла
электронным способом или в физическом виде понять, что изображение
содержит скрытое послание, невозможно.
В сокрытии данных участвует несколько компонентов. Во-первых, есть
внедренные данные, то есть скрытое сообщение. Текстовый контейнер (или
изображение-контейнер, или аудиоконтейнер) скрывает внедренные данные,
образуя стеготекст (или стегоизображение, или стегоаудио). Стегоключ
определяет процесс сокрытия.
Методы стеганографии
Для внедрения данных в изображение-контейнер применяется метод замены
младших битов (LSB). В этом методе используются биты каждого пикселя в
изображении. Пиксель является основной единицей программирования цвета
в компьютерном изображении. Цвет конкретного пикселя представляет
собой смесь трех цветов: красного, зеленого и синего (RGB). Три байта
данных определяют цвет пикселя (один байт для каждого цвета). Восемь бит
составляют байт. 24-битная цветовая система использует все три байта.
Метод LSB использует один бит каждого из компонентов красного, зеленого
и синего цвета. Каждый пиксель может хранить 3 бита.
На рисунке показаны три пикселя 24-битного цветного изображения. Одна из
букв в скрытом сообщении — буква T, и вставка этого символа изменяет
только два бита цвета. Человеческий глаз не способен распознать изменения,
внесенные в младшие биты. В результате получается скрытый символ.
В среднем требуется изменить не более половины битов в изображении,
чтобы эффективно скрыть сообщение.

Социальная стеганография
Социальная стеганография скрывает информацию, находящуюся на виду.
Для этого создаются сообщения, скрытую часть которых могут понять
только посвященные. Те, кто просто прочитает сообщение, не увидят
скрытого послания. Подростки в социальных сетях пользуются этой тактикой
для общения с близкими друзьями, при этом остальные, в том числе
родители, не знают истинного смысла сообщений. Например, фраза «идем в
кино» может означать «идем на пляж».
В странах, где распространена цензура СМИ, люди также используют
социальную стеганографию, публикуя сообщения, с нарочно неправильной
орфографией или скрытыми отсылками. По сути они одновременно
общаются с разными аудиториями.
Обнаружение
Стегоанализ — это обнаружение скрытой информации. Цель стегоанализа
заключается в том, чтобы обнаружить скрытые сведения.
Повторяющиеся структуры в стегоизображении вызывают подозрения.
Например, на диске могут быть неиспользуемые области, в которых скрыта
информация. Утилиты для анализа дисков могут выдавать отчет о скрытой
информации в неиспользованных кластерах устройств хранения данных.
Фильтры могут перехватывать пакеты данных, которые содержат скрытую
информацию в заголовках. Оба этих метода используют стеганографические
сигнатуры.
Сравнивая исходное изображение со стегоизображением, аналитик может
различить повторяющиеся структуры на глаз.
Обфускация
Обфускация данных — практическое использование методов маскирования
данных и стеганографии в сферах кибербезопасности и электронной
разведки. В результате обфускации смысл сообщения становится неясным
или неоднозначным, или понять это сообщение становится сложнее. Система
может намеренно кодировать сообщения для предотвращения
несанкционированного доступа к конфиденциальной информации.
Приложения
Технология цифровых водяных знаков защищает программное обеспечение
от несанкционированного доступа или модификации. Технология защиты
программного обеспечения с помощью цифровых водяных знаков
предполагает вложение в исполняемый код скрытого сообщения, которое
служит доказательством права собственности. Скрытое сообщение является
цифровым водяным знаком, с помощью которого защищается программное
обеспечение. При попытке удаления цифрового водяного знака код станет
неработоспособным.
Обфускация программного обеспечения преобразует его в версию,
эквивалентную исходной, но более сложную для анализа. Программа по-
прежнему будет работать, но при попытке декомпиляции будет выдавать
нечитаемые результаты.
Глава 5. Искусство обеспечения целостности данных
Средства обеспечения целостности гарантируют неизменность и
достоверность данных на всем протяжении жизненного цикла. Проверке
целостности принадлежит важнейшая роль в эксплуатации любой системы
хранения, обработки и передачи данных. При проектировании и реализации
таких систем обязательно учитываются требования к целостности. Глава
начинается с описания различных средств контроля целостности данных,
включая добавление соли, алгоритмы хеширования и код аутентификации
сообщений с использованием ключа и хеш-суммы (HMAC). Далее
рассматриваются цифровые подписи и сертификаты, с помощью которых
проверяется подлинность сообщений и документов. В последней части главы
речь идет об обеспечении целостности баз данных. Наличие строго
контролируемой и структурированной системы обеспечения целостности
данных — это залог повышенной устойчивости, производительности и
удобства в обслуживании баз данных.
Что понимается под хешированием?
Во многих случаях требуется механизм, гарантирующий неизменность
данных при их передаче и хранении. Именно эту функцию выполняют
системы хеширования. На вход такой системы подаются двоичные данные
(сообщение). В результате обработки этих данных формируется выходное
значение фиксированной длины — так называемую хеш-сумму или дайджест
сообщения, по которой можно проверить целостность данных (см. рисунок).
В системах хеширования применяются криптографически стойкие хеш-
функции, которые, собственно, и обеспечивают проверку и гарантию
целостности данных. Эти функции также подходят для целей
аутентификации. Незашифрованные пароли и ключи шифрования можно
заменить соответствующими хеш-функциями. Ведь при хешировании одного
и того же пароля с помощью конкретного алгоритма хеширования всегда
получается одна и та же хеш-сумма. Вероятность совпадения хеш-сумм двух
различных входных значений ничтожно мала. Кроме того, хеш-функции
являются необратимыми — восстановить входные данные по хеш-сумме
крайне сложно.
Хеш-сумма меняется при любом изменении входных данных. В связи с этим
криптографические хеш-суммы часто называют цифровыми отпечатками.
Хеш-суммы используются для решения таких задач, как поиск дубликатов
файлов, контроль изменения версий и др. Хеширование помогает исключить
случайное и намеренное изменение или повреждение данных. Кроме того,
хеширование отличается высокой эффективностью. Хеш-сумма как
большого файла, так и содержимого целого дискового накопителя будет
иметь одинаковую длину.
Свойства хеш-функций
Хеширование реализуется односторонней математической функцией,
которая относительно легко вычисляется, но найти аргумент по ее значению
гораздо труднее. Необратимость функции можно проиллюстрировать на
примере молотого кофе. Размолоть кофейные зерна легко, но практически
невозможно восстановить исходные зерна из получившихся кусочков.
Криптографическая хеш-функция обладает следующими свойствами:
 длина входных данных произвольна;
 длина выходных данных фиксирована;
 хеш-функция является односторонней и необратимой;
 вероятность совпадения хеш-сумм двух различных входных значений
крайне мала.
Алгоритмы хеширования
С помощью хеш-функций можно выявить случайное изменение данных,
возникшее из-за ошибочных действий пользователей или ошибок в процессе
передачи. Например, отправитель может убедиться в том, что отправленное
сообщение дошло до получателя в неизменном виде. Для этого
отправляющее устройство рассчитывает хеш-сумму сообщения (отпечаток
фиксированной длины).
Простой алгоритм хеширования (8-разрядная контрольная сумма)
Одним из первых алгоритмов хеширования стал алгоритм расчета 8-
разрядной контрольной суммы, который представляет собой простейшую
хеш-функцию. При расчете хеш-суммы по этому алгоритму сообщение
преобразуется в двоичные числа. Полученная последовательность двоичных
чисел делится на группы длиной в 8 бит. Далее 8-разрядные значения
суммируются. После этого результат преобразуется во второй
дополнительный код. Преобразование во второй дополнительный код
выполняется следующим образом: разряды двоичного числа инвертируются,
после чего к числу прибавляется единица. То есть единицы преобразуются в
нули, а нули — в единицы. В самом конце к числу прибавляется единица.
Полученный результат — это и есть 8-разрядная хеш-сумма.
Нажмите здесь, чтобы рассчитать 8-разрядную хеш-сумму сообщения БОБ.
1. Преобразуйте сообщение БОБ в двоичный формат, пользуясь таблицей
ASCII, как показано на рис. 1.
2. Преобразуйте двоичные числа в шестнадцатеричный формат, как показано
на рис. 2.
3. Введите шестнадцатеричные числа в калькулятор (42 4F 42).
4. Нажмите кнопку Calculate (Рассчитать). В результате получается хеш-
сумма 2D.
Также выполните расчеты для следующих примеров:
SECRET = “S”=53 “E”=45 “C”=43 “R”=52 “E”=45 “T”=54
ХЕШ-СУММА = 3A
MESSAGE = “M”=4D “E”=45 “S”=53 “S”=53 “A”=41 “G”=47 “E”=45
ХЕШ-СУММА = FB
Современные алгоритмы хеширования
В настоящее время широко используется множество современных
алгоритмов хеширования. MD5 и SHA являются двумя наиболее
популярными алгоритмами.
Алгоритм MD5
Автором алгоритма хеширования MD5 является Рон Ривест. Этот алгоритм
применяется в Интернете для решения определенного круга задач. Алгоритм
MD5 представляет собой необратимую хеш-функцию — хеш-сумма входных
данных любого объема рассчитывается легко, при этом восстановить
входные данные по хеш-сумме, напротив, сложно.
Хеш-функция MD5 формирует 128-разрядную хеш-сумму. В 2012 г. была
реализована атака вирусом Flame, построенная на уязвимостях MD5. Создав
коллизию MD5, авторы вируса Flame подделали сертификат подписи кода
Windows. Нажмите здесь, чтобы просмотреть описание коллизионной атаки
вирусом Flame.
Алгоритм безопасного хеширования (Secure Hash Algorithm, SHA)
Алгоритм SHA разработан в Национальном институте по стандартам и
технологиям США (NIST) и включен в стандарт безопасного хеширования
(SHS). Алгоритм SHA-1 был опубликован институтом NIST в 1994 г.
На смену алгоритму SHA-1 пришло семейство алгоритмов SHA-2 с четырьмя
дополнительными хеш-функциями:
 SHA-224 (224 бита)
 SHA-256 (256 бит)
 SHA-384 (384 бита)
 SHA-512 (512 бит)
Алгоритмы семейства SHA-2 обладают более высокой стойкостью и
применяются вместо MD5. SHA-256, SHA-384 и SHA-512 — это алгоритмы
следующего поколения.

Хеширование файлов и цифровых носителей


С помощью механизма проверки целостности можно убедиться, что данные
не претерпели никаких изменений на пути от отправителя к получателю.
Уверенность в целостности данных важна при загрузке файлов из Интернета
или, например, при криминалистическом исследовании цифровых носителей.
На веб-сайте программного обеспечения Cisco указаны контрольные хеш-
суммы MD5 и SHA, с помощью которых можно проверить целостность
любого загруженного образа IOS. Достаточно сравнить хеш-сумму MD5,
указанную на веб-сайте, с хеш-суммой образа IOS, который установлен в
устройстве (см. рисунок). Если хеш-суммы совпадают, то пользователь
может быть уверен в том, что файл образа IOS был загружен и установлен в
неизменном виде.
Примечание. На рисунке показан результат выполнения команды verify
/md5, которая не рассматривается в этом курсе.
В сфере цифровой криминалистики хеширование применяется для проверки
цифровых носителей с файлами. Например, исследователь рассчитывает
хеш-сумму и создает побитовую копию носителя с файлами, формируя таким
образом цифровой клон. Затем исследователь сравнивает хеш-сумму
исходного носителя с хеш-суммой копии. Если эти хеш-суммы совпадают, то
копия полностью идентична оригиналу. Полная идентичность битов копии
битам оригинала доказывает неизменяемость. Опираясь на эту
неизменяемость, можно ответить на следующие вопросы.
 Действительно ли в распоряжении исследователя находятся файлы с
исходного носителя?
 Можно ли утверждать, что данные не были изменены или повреждены?
 Может ли исследователь доказать, что файлы не были повреждены?
Таким образом, криминалисты могут исследовать копии цифровых улик, не
рискуя исходным носителем.

Хеширование паролей
Алгоритмы хеширования формируют хеш-сумму (цифровой отпечаток)
фиксированной длины на основе входных данных любого объема.
Злоумышленник не может восстановить исходные данные по хеш-сумме.
Любые изменения входных данных влекут за собой изменение хеш-суммы.
Такой набор свойств хорошо подходит для защиты паролей. Пароли,
хранящиеся в системе, должны быть надежно защищены, но при этом
система должна иметь возможность сравнить вводимый при входе пароль с
паролем, хранящимся в системе.
На рисунке показан рабочий процесс регистрации учетной записи
пользователя и аутентификации с применением хеширования. Система
никогда не записывает сам пароль на жесткий диск. Вместо пароля
сохраняется цифровая хеш-сумма.

Приложения
Криптографические хеш-функции применяются в следующих целях.
 Доказательство подлинности. В этом случае хеш-функция применяется
совместно с симметричным секретным ключом аутентификации.
Например, так работают протоколы IPsec и протоколы аутентификации
маршрутизаторов.
 Аутентификация путем формирования одноразовых и односторонних
ответов на запросы протокола аутентификации.
 Доказательство проверки целостности сообщения, в частности при
обработке контрактов с цифровой подписью и сертификатов
инфраструктуры общих ключей (PKI) (такие сертификаты
применяются, например, при переходе на защищенный веб-сайт с
помощью браузера).
В качестве алгоритма хеширования рекомендуется использовать наиболее
надежные алгоритмы — как минимум SHA-256. SHA-1 и MD5 имеют
серьезные уязвимости, поэтому от этих алгоритмов следует отказаться.
В производственных сетевых инфраструктурах следует применять алгоритм
SHA-256 или более стойкие алгоритмы.
Хеширование позволяет выявить случайные изменения, но не защищает от
намеренного изменения данных. Результат хеширования не содержит
информации, по которой можно было бы однозначно определить
отправителя. Соответственно, любой, кто имеет доступ к соответствующей
хеш-функции, может рассчитать с ее помощью корректную хеш-сумму для
любых данных. Например, хакер сможет перехватывать передаваемые по
сети сообщения, подменять их, пересчитывать хеш-сумму и прикреплять эту
сумму к новому (поддельному) сообщению. Принимающее устройство
проверяет только ту хеш-сумму, которая непосредственно приложена к
сообщению. Таким образом, метод хеширования уязвим к атаке через
посредника и не защищает передаваемые данные.

Взлом хешей
Чтобы получить хеш-код для входа в систему, необходимо угадать пароль.
Пароли чаще всего взламывают двумя методами: методом грубой силы и
методом перебора по словарю.
В атаках методом перебора по словарю применяется файл с наиболее
распространенными словами, фразами и паролями. В файле содержатся
заранее вычисленные хеш-суммы. Перебор по словарю сводится к сравнению
хеш-сумм, содержащихся в этом файле, с хеш-суммами фактических
паролей. Обнаружив совпадение хеш-сумм, хакер определяет группу
потенциально верных паролей.
Атака методом грубой силы — это перебор всех возможных сочетаний
символов при заданной максимальной длине пароля. Такие атаки требуют
мощных вычислительных ресурсов, но при наличии достаточного запаса
времени позволяют определить пароль со стопроцентной точностью. При
большой длине пароля атака методом грубой силы требует огромных затрат
времени и поэтому не имеет смысла. В результате хеширования паролей для
злоумышленника усложняется задача угадывания.

Что понимается под добавлением соли?


При добавлении соли хеширование обеспечивает более надежную защиту
пароля. Если два пользователя используют одинаковый пароль, то у них
будут одинаковые хеши паролей. Соль, представляющая собой строку из
случайных символов, добавляется к паролю перед хешированием. Благодаря
этому хеширование двух паролей дает разные результаты, как показано на
рисунке. В базе данных сохраняются как хеш, так и соль.
На рисунке показан пример, в котором хеш-суммы одинаковых паролей
различаются, поскольку в каждом случае используется своя соль. В качестве
соли применяется случайное число, поэтому соль не обязательно держать в
секрете.
Предотвращение атак
Добавление соли не позволяет отгадать пароль методом перебора по
словарю. Кроме того, при наличии соли невозможен взлом паролей с
помощью радужных таблиц и таблиц поиска.
Таблицы поиска
В таблицах поиска содержатся заранее рассчитанные хеш-суммы паролей,
взятых из соответствующих словарей, а также сами эти пароли. С помощью
таблицы поиска можно проверять сотни хеш-сумм в секунду.
Нажмите здесь, чтобы увидеть, насколько быстро можно взломать хеш с
помощью таблицы поиска.
Реверсивные таблицы поиска
С помощью таких таблиц киберпреступники реализуют атаку методом
грубой силы или перебором по словарю с проверкой множества хеш-сумм
без предварительно построенной таблицы поиска. Пользуясь похищенной
базой данных учетных записей, киберпреступник составляет таблицу поиска,
которая содержит список хеш-сумм всех верных паролей и список
пользователей. Киберпреступник хеширует каждый предполагаемый пароль
и с помощью таблицы поиска отбирает пользователей, чьи пароли совпали с
предполагаемыми (см. рисунок). Такая атака эффективна, поскольку многие
пользователи имеют одинаковые пароли.
Радужные таблицы
По сравнению с обычными таблицами поиска радужные таблицы имеют
меньший объем. Сокращение объема достигается ценой снижения скорости
взлома. Сократив объем таблицы, злоумышленник может проверить больше
хеш-сумм при том же объеме памяти.

Реализация механизма добавления соли


Криптографически стойкий генератор псевдослучайных чисел (КСГПСЧ)
является наилучшим средством для генерирования соли. Такой генератор
выдает числа высокой степени случайности, которые невозможно
предсказать, что обеспечивает криптографическую стойкость.
Внедряя механизм добавления соли, необходимо соблюдать следующие
рекомендации.
 Формировать уникальную соль для каждого пароля пользователя.
 Не использовать одну и ту же соль многократно.
 Длина соли должна быть равна длине выходного значения хеш-
функции.
 Выполнять хеширование на сервере в веб-приложении.
Защиту можно также усилить с помощью растяжения ключа. Растяжение
ключа существенно замедляет хеш-функцию, что снижает эффективность
атак на основе мощного аппаратного обеспечения, рассчитывающего
миллиарды хеш-сумм в секунду.
На рисунке показаны действия, выполняемые приложением базы данных при
сохранении и проверке пароля с добавлением соли.
Для чего применяется механизм HMAC?
Следующий уровень защиты от атак методом грубой силы или перебора по
словарю обеспечивается за счет сочетания секретного ключа и хеш-суммы.
При такой схеме пароль может проверить только тот, кто знает хеш-сумму.
Например, можно включить секретный ключ в хеш-сумму с помощью
специального алгоритма хеширования, именуемого кодом аутентификации
сообщений с использованием хеш-функции (hash message authentication
code — HMAC). В HMAC используется дополнительный секретный ключ,
который принимает хеш-функция. Код HMAC не только позволяет проверить
целостность информации, но и обеспечивает аутентификацию. Механизм
HMAC использует специальный алгоритм, объединяющий
криптографическую хеш-функцию с секретным ключом, как показано на
рисунке.
Секретный ключ известен только отправителю и получателю, при этом
результат хеш-функции зависит как от входных данных, так и от секретного
ключа. Таким образом, вычислить корректную хеш-сумму HMAC может
только обладатель секретного ключа. Это свойство позволяет исключить
атаку через посредника и аутентифицировать источник данных.
Принцип действия механизма HMAC
Рассмотрим следующий пример: отправитель желает гарантировать
неизменность передаваемых сообщений и предоставить получателю
возможность аутентификации источника данных.
Как показано на рис. 1, передающее устройство подает данные (в частности,
информацию о выплате 100 долл. США для сотрудника Terry Smith и
секретный ключ) на вход алгоритма хеширования и рассчитывает
отпечаток или хеш-сумму HMAC фиксированной длины. Получатель
принимает аутентифицированный, приложенный к сообщению.
На рис. 2 принимающее устройство отделяет отпечаток от сообщения и
подает обычный текст сообщения в сочетании с секретным ключом на вход
той же функции хеширования. Если отпечаток, рассчитанный на
принимающем устройстве, совпадает с отпечатком, который приложен к
сообщению, то сообщение принято в неизменном виде. При этом получатель
может быть уверен, что сообщение действительно поступило от данного
отправителя, поскольку только этому отправителю известен общий
секретный ключ. Подлинность сообщения доказана с помощью функции
HMAC.
Применение механизма HMAC
Механизм HMAC можно также использовать для аутентификации интернет-
пользователей. На многих веб-сервисах применяется базовая
аутентификация, при которой имя пользователя и пароль передаются в
незашифрованном виде. Если же аутентификация проводится с помощью
механизма HMAC, то пользователь обязан передать идентификатор частного
ключа и хеш-сумму HMAC. Сервер находит частный ключ пользователя и
рассчитывает хеш-сумму HMAC. Рассчитанная сервером хеш-сумма должна
совпасть с хеш-суммой HMAC, которая была получена от пользователя.
С помощью функций HMAC производится аутентификация источника
каждого пакета и проверка целостности данных в сетях VPN на основе
протоколов IPsec.
Как показано на рисунке, в продуктах Cisco хеширование применяется при
аутентификации объектов, проверке целостности данных и проверке
подлинности данных.
 Маршрутизаторы Cisco IOS работают по схеме, аналогичной HMAC: в
сообщения об обновлении протокола маршрутизации добавляется
аутентификационная информация посредством хеширования с
секретным ключом.
 Шлюзы и клиенты IPsec проверяют целостность и подлинность пакетов
с помощью алгоритмов хеширования, в частности MD5 и SHA-1 в
режиме HMAC.
 Образы программного обеспечения Cisco, представленные на веб-сайте
Cisco.com, снабжены контрольными суммами MD5, с помощью
которых заказчики могут проверить целостность загруженных образов.
Примечание. Термин «объект» означает устройство или систему внутри
организации.
Что собой представляет цифровая подпись?
Рукописные подписи и печати на документах служат доказательством
авторства. Ту же функцию выполняют и цифровые подписи.
Внести изменения в незащищенный цифровой документ очень легко. Это
может сделать кто угодно. Если же документ содержит цифровую подпись,
то любые изменения, внесенные в документ после его подписания, будут
обнаружены. Цифровая подпись — это математический способ проверки
подлинности и ценности сообщения, цифрового документа или
программного обеспечения.
Во многих странах цифровые подписи имеют ту же юридическую силу, что и
рукописные. Электронная подпись, стоящая под электронным контрактом,
договором или любым другим документом, который в бумажном виде
требует рукописной подписи, имеет полную юридическую силу. Для
решения задач, связанных с юридической защитой и регулированием,
предусмотрены и ведутся соответствующие журналы событий, по которым
можно проследить историю изменений электронных документов.
Цифровая подпись позволяет гарантировать подлинность, целостность и
невозможность отказа. Цифровые подписи обладают характерными
свойствами, на которых строится механизм аутентификации объектов и
проверки целостности данных (см. рисунок).
Цифровая подпись является альтернативой механизму HMAC.
Невозможность отказа
Под отказом понимается отрицание авторства или принадлежности. Суть
термина «невозможность отказа» можно сформулировать так: отправитель не
сможет заявить, что не посылал сообщение или документ, а получатель не
сможет отрицать факт получения.
Наличие цифровой подписи доказывает, что сообщение или документ
подписаны именно отправителем. Каждый пользователь имеет уникальную
цифровую подпись, поэтому тот, кто создал подпись под документом, не
может впоследствии заявить, что документ был подписан кем-то другим.
Процессы, применяемые при создании цифровой подписи
В основе цифровых подписей лежит асимметричная криптография. Алгоритм
общего ключа, такой как RSA, позволяет получить два ключа: частный и
общий. Эти ключи математически связаны между собой.
Пользователь Алиса собирается отправить пользователю Боб электронное
сообщение с важной информацией о выводе нового продукта на рынок. При
этом пользователь Боб должен быть абсолютно уверен в том, что сообщение
пришло именно от пользователя Алиса и доставлено в неизменном виде.
Пользователь Алиса формирует сообщение и хеш-сумму сообщения. Затем
пользователь Алиса шифрует хеш-сумму своим частным ключом (см. рис. 1).
Пользователь Алиса объединяет сообщение, зашифрованную хеш-сумму
сообщения и собственный общий ключ и таким образом формирует
подписанный цифровой подписью документ. Полученный результат
пользователь Алиса посылает пользователю Боб (см. рис. 2).
Пользователь Боб получает сообщение и читает его. Желая удостовериться в
том, что сообщение действительно отправлено пользователем Алиса,
пользователь Боб рассчитывает хеш-сумму сообщения. Затем, пользуясь
общим ключом пользователя Алиса, пользователь Боб расшифровывает хеш-
сумму сообщения, которую пользователь Алиса зашифровала и прислала
вместе с самим сообщением. Пользователь Боб сравнивает хеш-сумму
сообщения, пришедшую от пользователя Алиса, с хеш-суммой сообщения,
которую рассчитал сам пользователь Боб. Если хеш-суммы совпадают,
пользователь Боб может быть уверен в том, что сообщение доставлено в
неизменном виде (см. рис. 3).
Нажмите здесь, чтобы просмотреть видеоролик, где показана процедура
создания цифрового сертификата.
Использование цифровых подписей
Вместо самого документа можно подписать его хеш-сумму. Такая схема
повышает эффективность и упрощает задачи, связанные с проверкой
целостности и обеспечением совместимости. Внедрив в организации систему
электронного документооборота, соответствующую всем юридическим
требованиям, можно полностью отказаться от бумажных документов и
традиционных печатей.
Ниже приведены два примера применения цифровых подписей.
 Подписывание кода. Позволяет проверить целостность исполняемых
файлов, загружаемых с веб-сайтов поставщиков. При подписывании
кода также применяются подписанные цифровые сертификаты для
аутентификации и проверки веб-сайта (см. рис. 1).
 Цифровые сертификаты. Используются для проверки организаций и
пользователей, а также для аутентификации веб-сайтов поставщиков и
установки зашифрованных соединений при обмене
конфиденциальными данными (см. рис. 2).
Сравнение алгоритмов цифровой подписи
Наибольшее распространение получили алгоритмы DSA, RSA и ECDSA. Все
три алгоритма содержат механизмы создания и проверки цифровых
подписей. Эти алгоритмы функционируют на основе асимметричного
шифрования с использованием общих ключей. Работа с цифровыми
подписями подразумевает две необходимые операции.
1. Генерация ключа
2. Проверка ключа
При обеих операциях необходимо зашифровать и расшифровать ключ.
Алгоритм цифровой подписи DSA строится на сложности вычисления
дискретных логарифмов. В ряде стран алгоритм DSA применяется для
создания цифровых подписей в государственных организациях.
Возможности алгоритма DSA ограничиваются формированием и проверкой
цифровых подписей.
Наиболее распространенным криптографическим алгоритмом с общим
ключом является алгоритм RSA. Алгоритм был разработан в 1977 г.
Название RSA составлено из первых букв фамилий авторов алгоритма (Ron
Rivest, Adi Shamir, Leonard Adleman). В основе RSA лежит асимметричное
шифрование. Алгоритм RSA можно использовать не только для работы с
цифровыми подписями, но и для шифрования сообщений.
Скорость вычислений RSA при работе с цифровыми подписями ниже, чем в
случае с DSA. Алгоритм RSA лучше подходит для ситуаций, когда, помимо
электронной подписи и проверки электронных документов, требуется
шифрование сообщений.
Как и большинство криптографических систем, алгоритм RSA строится на
двух математических компонентах: модульной арифметике и задаче
факторизации больших целых чисел. Нажмите здесь, чтобы больше узнать о
том, каким образом в алгоритме RSA применяются модульная арифметика и
задача факторизации больших целых чисел.
Вместо алгоритма RSA на практике все чаще применяется новейший
алгоритм ECDSA. Новый алгоритм обеспечивает ту же степень защиты при
меньшей длине ключа и меньшем объеме вычислений, что является важным
преимуществом перед RSA.
Что собой представляет цифровой сертификат?
Цифровой сертификат — это аналог электронного паспорта. Цифровые
сертификаты обеспечивают безопасный обмен данными через Интернет
между пользователями, хостами и организациями. Цифровой сертификат
подтверждает подлинность пользователя, отправляющего сообщение. С
помощью цифровых сертификатов обеспечивается конфиденциальность
получателя за счет средств шифрования ответа.
Цифровые сертификаты аналогичны физическим сертификатам. Например,
бумажный сертификат Cisco CCNA-S, показанный на рис. 1, содержит
сведения о том, кому, кем (источник сертификатов) и на какой срок выдан
этот сертификат. Обратите внимание, что цифровой сертификат,
представленный на рис. 2, содержит такие же сведения.
Использование цифровых сертификатов
Рассмотрим пример использования цифрового сертификата, представленный
на рис. 1. Пользователь Боб подтверждает заказ у пользователя Алиса.
На веб-сервере пользователя Алиса применяется цифровой сертификат для
защиты транзакций.
Шаг 1. Пользователь Боб переходит на веб-сайт пользователя Алиса.
Успешно установив защищенное соединение, браузеры обычно отображают
значок замка в строке состояния безопасности.
Шаг 2. Веб-сервер пользователя Алиса посылает цифровой сертификат в
браузер пользователя Боб.
Шаг 3. Браузер пользователя Боб проверяет сертификат, сохраненный в базе
данных браузера. Транзакция может быть продолжена только при наличии
доверенного сертификата.
Шаг 4. Веб-браузер пользователя Боб создает уникальный одноразовый
ключ сеанса.
Шаг 5. Браузер пользователя Боб шифрует сеанс общим ключом,
соответствующим сертификату веб-сервера.
Шаг 6. Теперь данные транзакций, поступающие из браузера пользователя
Боб, доступны только веб-серверу пользователя Алиса.
Что собой представляет источник сертификатов?
Подход, требующий многократной взаимной идентификации всех сторон в
Интернете, неудобен. Поэтому стороны соглашаются верить на слово
третьей, нейтральной стороне. Предполагается, что третья сторона проводит
тщательную проверку участников, желающих получить удостоверение.
Выполнив такую проверку, третья сторона выдает удостоверение, которое
сложно подделать. С этого момента все участники, доверяющие этой третьей
стороне, просто принимают удостоверения, выданные этой третьей стороной.
В примере на рисунке пользователь Алиса подает заявку на выдачу
водительского удостоверения. Подавая заявку, пользователь Алиса
предоставляет документы, удостоверяющие личность (например,
свидетельство о рождении, удостоверение личности с фотографией и др.), в
соответствующий государственный орган. Государственный орган проверяет
личность пользователя Алиса и допускает пользователя Алиса к экзамену для
получения водительского удостоверения. После успешной сдачи экзамена
государственный орган выдает пользователю Алиса водительское
удостоверение. Позднее пользователь Алиса желает обналичить чек в банке.
Принимая чек от пользователя Алиса, банковский служащий просит ее
предоставить документ, удостоверяющий личность. Банк доверяет
государственному органу, выдавшему документ, и потому принимает этот
документ в качестве удостоверения личности при обналичивании чека.
Центр сертификации (CA) выполняет ту же функцию, что и государственный
орган в предыдущем примере. Центр сертификации выдает цифровые
сертификаты для аутентификации организаций и пользователей. Эти же
сертификаты используются для подписания и проверки целостности
сообщений.

Что содержит в себе цифровой сертификат?


Если цифровой сертификат имеет стандартную структуру, то его может
считать и понять любая система, независимо от того, кем выдан этот
сертификат. X.509 — стандарт инфраструктуры общих ключей для
управления цифровыми сертификатами. Инфраструктура открытых
ключей — это политики, роли и процедуры, необходимые для создания,
распространения, использования, хранения и отзыва цифровых
сертификатов, а также управления ими. Согласно стандарту X.509 цифровой
сертификат должен содержать сведения, представленные на рисунке.
Процесс проверки
Браузеры и приложения производят обязательную проверку сертификата,
чтобы удостовериться в том, что сертификат действителен. Проверка
включает следующие три процесса.
 Поиск сертификата — прослеживание пути сертификации с проверкой
каждого сертификата, начиная с сертификата корневого источника
сертификатов (CA).
 Проверка пути — выбор сертификата издателя (центра сертификации)
для каждого сертификата в цепочке.
 Проверка отзыва — позволяет убедиться в том, что сертификат не был
отозван; если сертификат отозван, то в ходе этой проверки
устанавливается причина отзыва.
Путь сертификата
Субъект получает сертификат на общий ключ от коммерческого центра
сертификации (CA). Сертификат является частью цепочки сертификатов,
которая также называется цепочкой доверия. Количество сертификатов в
цепочке зависит от иерархической структуры центра сертификации (CA).
На рисунке показана цепочка сертификатов двухуровневого центра
сертификации. Имеется автономный корневой центр и подчиненный центр
сертификации в сети. Двухуровневая структура применяется в связи с тем,
что механизм подписывания по стандарту X.509 облегчает устранение
последствий несанкционированного доступа. Если существует автономный
центр сертификации (CA), то этот источник может подписать новый
сертификат для источника в сети. В отсутствие автономного центра придется
устанавливать новый сертификат корневого источника сертификатов на
каждый клиентский компьютер, телефон и планшет.
Целостность данных
Базы данных — это эффективное средство хранения, извлечения и анализа
данных. Объемы собираемых данных растут, как и степень их
конфиденциальности, число баз данных увеличивается, и специалисты по
обеспечению кибербезопасности играют значительную роль в их защите.
Базу данных можно рассматривать как электронный картотечный шкаф. Под
термином «целостность данных» понимается точность, согласованность и
надежность данных, хранящихся в базе данных. Ответственность за
обеспечение целостности данных возлагается на тех, кто проектирует,
разрабатывает и руководит эксплуатацией базы данных.
Имеется четыре правила или ограничения целостности данных.
 Целостность объекта. Каждая строка должна иметь уникальный
идентификатор, именуемый первичным ключом (см. рис. 1).
 Целостность данных. Все данные, хранящиеся в столбце, должны
иметь один и тот же формат и соответствовать единому общему
определению (см. рис. 2).
 Ссылочная целостность. Связи между таблицами должны оставаться
неизменными. Соответственно, пользователь не может удалить запись,
которая связана с другой записью (см. рис. 3).
 Определяемая пользователем целостность. Это набор правил,
определенных пользователем, которые не относятся ни к одной из
других категорий. Предположим, заказчик размещает заказ (см. рис. 4).
Сначала пользователь проверяет, является ли заказчик новым
клиентом. Если это так, заказчик добавляет его в соответствующую
таблицу.
Средства контроля ввода данных
Ввод данных в систему чаще всего выполняют пользователи.
Соответствующие средства контроля помогают обеспечить корректность
вводимых данных.
Раскрывающиеся списки для ввода основных данных
Ввод данных в основные таблицы с помощью раскрывающихся списков
вместо ручного ввода. Например, можно стандартизировать ввод
местоположения, применив раскрывающийся список местоположений,
извлекаемых из базы данных системы почтовой адресации США.
Средства контроля проверки значений в полях
Установка правил базовой проверки. Ниже перечислены примеры таких
правил:
 обязательность ввода (ввод невозможно завершить, если в
обязательных полях отсутствуют данные);
 маска ввода (позволяет исключить ввод некорректных данных и
обеспечить единый формат, например для телефонных номеров);
 положительные значения денежных сумм;
 диапазоны данных (пользователи не могут ввести значения вне
заданных пределов, например ввести 01-18-1820 в качестве даты
рождения);
 обязательное утверждение вторым лицом (например, обязательное
согласование со вторым или третьим лицом в случаях, когда
банковский сотрудник получает запрос на зачисление или списание
суммы, превышающей заданный предел);
 лимит на количество изменяемых записей (например, если количество
измененных сотрудником записей за указанный промежуток времени
достигнет заданного предела, учетная запись этого пользователя будет
заблокирована до тех пор, пока руководитель не удостоверится в том,
что выполненные транзакции правомерны);
 распознавание необычного поведения (блокировка системы при
выявлении аномальной активности).
Правило проверки
Правило проверки — это ограничение, используемое для проверки данных на
соответствие параметрам, определенным конструктором базы данных. С
помощью правила проверки можно убедиться в полноте, верности и
согласованности данных. В правиле проверки используются следующие
критерии:
 размер — проверка количества символов в элементе данных;
 формат — проверка соответствия данных заданному формату;
 согласованность — проверка согласованности кодов в связанных
элементах данных;
 диапазон — проверка принадлежности данных диапазону между
минимальным и максимальным значением;
 контрольная цифра — использование дополнительных вычислений для
создания контрольной цифры, предназначенной для обнаружения
ошибок.
Нажмите на каждый из шагов на рисунке, чтобы увидеть результат расчета
контрольной цифры.
Проверка типа данных
Проверка типа относится к числу простейших методов проверки
правильности данных и позволяет убедиться в том, что пользователь вводит
данные нужного типа. Например, номер телефона не может содержать букв.
В базах данных предусмотрены три типа данных: целое число, строка и
десятичная дробь.

Проверка входных данных


Контроль над процессом ввода данных относится к числу важнейших
аспектов обеспечения целостности баз данных. Отсутствие такого контроля
становится причиной серьезных уязвимостей. Многие известные атаки
реализуются за счет некорректного ввода в базу данных. Такие атаки
приводят к зависаниям и другим нарушениям в работе приложений, а также к
утечке конфиденциальной информации. Киберпреступники могут применять
автоматизированные атаки с помощью некорректного ввода.
Предположим, пользователи подписываются на рассылку, заполняя форму в
веб-приложении. Приложение базы данных автоматически генерирует и
посылает подтверждения по электронной почте. Получив электронное
сообщение со ссылкой для подтверждения подписки, киберпреступники
модифицируют URL-адрес этой ссылки. Например, меняют имя
пользователя, адрес электронной почты или состояние подписки.
Электронное сообщение возвращается на сервер, где работает приложение
базы данных. Если веб-сервер не проверяет соответствие адреса электронной
почты или другой учетной информации тем данным, которые были введены в
форму, то в базу данных попадает некорректная информация. Хакер может
автоматизировать эту атаку и таким образом внести тысячи некорректных
записей в базу данных с информацией о подписчиках.
Проверка аномалий
Под обнаружением аномалий понимается выявление неожиданных
признаков в данных. К таким признакам относятся резко выделяющиеся
значения, исключения, отклонения и другие аномальные проявления в
различных приложениях баз данных. Обнаружение и проверка аномалий
относятся к числу важнейших мер по выявлению мошенничества.
По аномалиям в базах данных можно распознать мошеннические операции с
кредитными картами и страховыми полисами. Средства обнаружения
аномалий в базе данных также помогают предотвратить массовое
уничтожение или изменение данных.
Проверка аномалий подразумевает проверочные запросы данных или
изменения при выявлении необычных признаков. Примером аномалии могут
быть запросы транзакций по одной и той же кредитной карте из удаленных
друг от друга регионов за короткий период времени. Если в 10:30 транзакция
запрашивается из Нью-Йорка, а в 10:35 — уже из Чикаго, то система
инициирует проверку второй транзакции.
Второй пример — изменение адресов электронной почты в необычно
большом количестве записей базы данных. Адреса электронной почты
применяются при организации DoS-атак, поэтому замена адресов
электронной почты в сотнях записей базы данных может свидетельствовать о
том, что киберпреступник использует корпоративную базу данных для
организации DoS-атаки.
Целостность объекта
Базу данных можно рассматривать как электронный картотечный шкаф.
Надлежащая поддержка файловой системы имеет первостепенное значение
для обеспечения достоверности и практической ценности данных в базе
данных. База данных состоит из таблиц, записей, полей и данных в каждом
поле. Для обеспечения целостности файловой системы базы данных
пользователи должны следовать определенным правилам. Целостность
объекта — это правило целостности, согласно которому в каждой таблице
должен быть первичный ключ и столбец или столбцы, выбранные в качестве
первичного ключа, должны быть уникальными и не должны содержать
пустых (NULL) значений. Пустое значение в базе данных означает, что
значение не введено или неизвестно. Целостность объекта позволяет
надлежащим образом организовать данные в записи (см. рисунок).
Ссылочная целостность
Также важную роль играет взаимосвязь между различными «картотечными
шкафами» или таблицами. Механизм обеспечения ссылочной целостности
строится на внешних ключах. Внешний ключ в одной таблице ссылается на
первичный ключ в другой. Первичный ключ уникальным образом
идентифицирует сущности (строки) в таблице. Ссылочная целостность — это
правило, с помощью которого поддерживается целостность внешних ключей.
Целостность домена
Целостность данных — это требование принадлежности всех элементов
данных в столбце определенному множеству действительных значений.
Каждый столбец в таблице содержит определенное множество значений,
например, множество всех чисел, соответствующих номерам кредитных карт,
номерам социального страхования (SSN) или адресам электронной почты.
Ограничение на значения каждого такого столбца (атрибута) реализует
целостность данных. Обеспечение целостности данных может сводиться к
выбору правильного типа, длины и (или) формата данных для столбца.

Глава 6. Концепция «пять девяток»


В организациях, стремящихся повысить доступность их данных и систем,
иногда применяются исключительные меры по снижению потерь данных.
Цель состоит в том, чтобы свести к минимуму время простоя систем,
отвечающих за критически важные процессы. Если сотрудники не могут
выполнять свои повседневные обязанности, компания несет убытки.
Доступность оценивается как процент времени, в течение которого системы
и данные доступны. Эта глава начинается с описания концепции «пять
девяток». Существуют сферы, где от доступности систем и
данных буквально зависит жизнь и смерть, поэтому в таких сферах
применяются самые высокие стандарты доступности.
В этой главе описаны различные способы достижения целевых показателей
доступности в организациях. Например, резервное копирование позволяет
сохранить доступность за счет резервных и дополнительных компонентов
компьютерных и сетевых систем. Резервирование охватывает как аппаратные
(дисковые накопители, серверы, коммутаторы, маршрутизаторы и др.), так и
программные (операционные системы, приложения, базы данных и др.)
компоненты. Также рассматривается понятие отказоустойчивости системы,
т. е. способности сервера, сетевой инфраструктуры или центра обработки
данных в кратчайшие сроки возобновить работу после сбоя.
Меры реагирования на инциденты безопасности должны быть проработаны в
каждой организации. Заключительная часть главы посвящена двум
важнейшим аспектам доступности ресурсов организации, а именно
аварийному восстановлению и планированию мер по обеспечению
непрерывности бизнес-процессов.
Что означает термин «пять девяток»?
Согласно концепции «пяти девяток» системы и сервисы должны быть
доступны в течение 99,999 % времени. Это означает, что продолжительность
как запланированного, так и незапланированного простоя не может
превышать 5,26 минуты в год. С помощью представленной на рисунке схемы
можно сравнить продолжительность простоя при различных уровнях
доступности.
Высокая доступность означает, что система или компонент непрерывно
эксплуатируется в течение заданного промежутка времени. Для обеспечения
высокой доступности необходимо:
 исключить единые точки отказа;
 учитывать требования к надежности при проектировании;
 выявлять сбои по мере их возникновения.
Переход на уровень доступности «пять девяток» обычно требует большого
объема ресурсов и значительных денежных затрат. В первую очередь,
требуются расходы на покупку дополнительного аппаратного обеспечения
(серверы и др.). Наращивая парк оборудования, организация усложняет
процессы настройки. К сожалению, усложнение настройки влечет за собой
усиление рисков. Чем больше «движущихся компонентов», тем выше
вероятность неполадок.
Сферы, в которых реализация концепции «пять девяток» обязательна
Хотя в некоторых отраслях расходы на поддержание высокой доступности
могут быть слишком высоки, существуют условия, в которых реализация
концепции «пять девяток» обязательна.
 В финансовом секторе высокая доступность предусмотрена
нормативными требованиями и необходима для непрерывного
выполнения торговых операций. Снижение доступности приведет к
утрате доверия заказчиков. Нажмите здесь, чтобы прочесть о
четырехчасовой приостановке торговли на Нью-Йоркской фондовой
бирже в 2015 г.
 Высокая доступность необходима в учреждениях здравоохранения,
чтобы уход за пациентами осуществлялся круглосуточно.
Нажмите здесь, чтобы просмотреть данные о средней величине
расходов вследствие простоя центров обработки данных в сфере
здравоохранения.
 К сфере общественной безопасности относятся учреждения,
обеспечивающие безопасность общества, государства или нации и
оказывающие соответствующие услуги. Нажмите здесь, чтобы
прочесть об остановке работы сети в штаб-квартире полициейского
агентства Пентагона.
 Сфера розничной торговли полагается на эффективные цепочки
поставок и доставку продукции заказчикам. Нарушение графика может
иметь катастрофические последствия, особенно в ситуациях пикового
спроса, например во время праздников.
 От средств массовой информации ожидают непрерывного потока
новостей в режиме реального времени. Современный новостной цикл
стал круглосуточным, работающем в режиме «24/7».
Угрозы доступности
Ниже перечислены наиболее значимые угрозы с точки зрения доступности
информации и данных.
 Несанкционированный доступ к базе данных и ее компрометация.
 Серьезный ущерб для рабочих процессов вследствие успешной DoS-
атаки.
 Крупная утечка конфиденциальных данных.
 Выход из строя критически важного приложения.
 Компрометация учетной записи администратора или
суперпользователя.
 Обнаружение межсайтового сценария, выявление неразрешенного
общего ресурса на файловом сервере.
 Ущерб для отношений с общественностью вследствие искажения
содержимого веб-сайта организации.
 Мощный ураган или торнадо.
 Катастрофа, например, террористический акт, взрыв или пожар в
здании.
 Длительные перебои в поставке коммунальных услуг.
 Повреждение водой в результате наводнения или выхода из строя
системы пожаротушения.
Разделение угроз на категории по уровням потенциального ущерба помогает
осознать реальную величину ущерба для организации в денежном
выражении. Чтобы отобразить примеры угроз той или иной категории,
нажмите на соответствующую категорию.
Проектирование систем высокой доступности
В основе высокой доступности лежат три основных принципа, которым
нужно следовать для обеспечения непрерывного доступа к данным и
сервисам:
1. исключение или сокращение количества единых точек отказа;
2. отказоустойчивость системы.
3. Отказоустойчивость
Чтобы открыть краткое описание интересующего принципа, щелкните
соответствующее название на рисунке.
Необходимо знать и понимать способы устранения единых точек отказа.
Единой точкой отказа может быть центральный маршрутизатор или
коммутатор, сетевой сервис или незаменимый ИТ-специалист.
Недоступность важного устройства, процесса или сотрудника может иметь
катастрофические последствия для системы в целом. Соответственно,
количество единых точек отказа нужно сократить, внедрив для этого
соответствующие процессы, ресурсы и компоненты. Например, можно
обеспечить резервирование с помощью высокодоступных кластеров.
Высокодоступный кластер состоит из группы компьютеров с общей
системой хранения данных и одинаковыми сетевыми параметрами. Все
серверы участвуют в работе сервиса одновременно. Снаружи группа
серверов выглядит как единое устройство. При отказе одного из серверов
кластера работу сервиса обеспечивают остальные серверы.
Отказоустойчивость системы — это способность системы сохранять
доступность данных и процессов несмотря на атаку или аварийную
ситуацию. Чаще всего высокая стойкость достигается за счет резервирования
систем питания и вычислительных ресурсов, при котором отказ одной из
систем не приводит к прерыванию обслуживания, поскольку функции
отказавшей системы берет на себя исправная резервная система. Набор мер
по обеспечению отказоустойчивости системы не ограничивается одним лишь
повышением надежности аппаратной части. Высокая стойкость
подразумевает доступность данных и сервисов в любое время, в том числе во
время атаки.
Отказоустойчивость системы — это способность системы исправно
продолжать работу при отказе одного или нескольких компонентов.
Например, отказоустойчивость можно обеспечить за счет зеркалирования
данных. В случае отказа, нарушающего работу того или иного устройства
(например, дискового контроллера), система выдает запрошенные данные
благодаря механизму зеркалирования, при этом пользователь не замечает
каких-либо перебоев в обслуживании.
Идентификация ресурсов
Организации необходимо знать, какое аппаратное обеспечение и какие
программы имеются в наличии, чтобы знать, какими должны быть
параметры конфигурации. Управление ресурсами охватывает все имеющееся
аппаратное и программное обеспечение.
То есть организации необходимо знать обо всех компонентах, подверженных
рискам нарушения безопасности, в том числе:
 о каждой аппаратной системе;
 о каждой операционной системе;
 о каждом аппаратном устройстве, подключенном к сети;
 об операционной системе каждого сетевого устройства;
 о каждом программном приложении;
 обо всем микропрограммном обеспечении;
 о средах выполнения для всех языков программирования;
 обо всех отдельных библиотеках.
Организация может внедрить специальное автоматизированное решение для
ведения учета ресурсов в организации. Администраторы должны обращать
внимание на любые изменения конфигураций, поскольку такие изменения
могут свидетельствовать о том, что конфигурация неактуальна. Кроме того,
эти изменения могут быть признаком неавторизованного вмешательства.
Классификация ресурсов
Классификация ресурсов подразумевает разделение всех ресурсов
организации по группам в соответствии с определенными характеристиками.
Организация должна применять систему классификации ресурсов к
документам, записям данных, файлам данных и дискам. Наиболее важной
информации требуется самая надежная защита и (в некоторых случаях)
особый режим обработки.
Например, в организации можно внедрить систему маркировки с указанием
степени ценности, конфиденциальности и важности информации. Чтобы
идентифицировать и классифицировать ресурсы организации, необходимо
выполнить следующие шаги.
1. Определить соответствующие категории идентификации ресурсов.
2. Определить принадлежность ресурсов, т. е. установить, кто является
владельцем всех информационных ресурсов и программного обеспечения.
3. Определить критерии классификации.
4. Внедрить схему классификации.
На рисунке приведена дополнительная информация об этих шагах.
Например, в государственных органах США применяется следующая
классификация секретности данных: совершенно секретно; секретно;
конфиденциально; допускается к публикации; несекретно.
Стандартизация ресурсов
Управление ресурсами подразумевает управление жизненным циклом и
составом всей совокупности технологических ресурсов организации,
включая устройства и программное обеспечение. Одним из компонентов
системы управления ИТ-ресурсами является перечень допустимых ИТ-
ресурсов, которые соответствуют задачам организации. Внедрение такого
перечня позволяет существенно сократить количество различных типов
ресурсов. Например, можно разрешить устанавливать только приложения,
которые соответствуют определенным внутренним рекомендациям.
Избавляясь от приложений, не соответствующих этим рекомендациям,
администраторы повышают безопасность, поскольку все оставшиеся
приложения отвечают заданным требованиям.
В стандартах ресурсов определены все отдельные продукты аппаратного и
программного обеспечения, которые использует и поддерживает
организация. В случае сбоя оперативные действия помогут сохранить
доступность и безопасность. Если процедура подбора аппаратного
обеспечения в организации не стандартизирована, то процесс поиска замены
для неисправного компонента нередко носит беспорядочный характер.
Управление ресурсами в нестандартных условиях требует более высокой
квалификации. Стоимость компонентов и обслуживания в таких случаях
обычно выше. Нажмите здесь, чтобы прочесть о стандартизации аппаратного
обеспечения систем связи в вооруженных силах.
Идентификация угроз
Американская группа US-CERT и Министерство внутренней безопасности
США поддерживают базу данных общих уязвимостей и рисков (CVE). Для
каждой уязвимости в базе данных CVE создается стандартный
идентификатор уязвимости с номером уязвимости, ее кратким описанием и
ссылками на отчеты и рекомендации, связанные с данной уязвимостью.
За обслуживание базы данных CVE и соответствующего веб-сайта отвечает
компания MITRE Corporation.
Процесс идентификации угрозы начинается с создания соответствующего
идентификатора известной уязвимости кибербезопасности, именуемого
идентификатором CVE. Каждый идентификатор CVE содержит следующие
сведения.
 Номер-идентификатор CVE.
 Краткое описание уязвимости безопасности.
 Ссылки на важную информацию.
Нажмите здесь, чтобы больше узнать об идентификаторе CVE.
Анализ рисков
Анализ рисков — это анализ опасности, которой подвергаются ресурсы
организации при наступлении тех или иных природных или вызванных
человеком событий.
Пользователь проводит идентификацию ресурсов, чтобы понять, какие
ресурсы следует защищать. При анализе рисков решаются четыре задачи:
 Идентификация ресурсов и определение их ценности.
 Выявление уязвимостей и угроз.
 Количественная оценка вероятности и последствий реализации
выявленных угроз.
 Сопоставление потенциального ущерба от реализации угроз со
стоимостью контрмер.
Существует два подхода к анализу рисков.
Количественный анализ рисков
Количественный анализ рисков строится на числовых данных (рисунок 1).
Ценность ресурса равна стоимости его замены. Ценность ресурса можно
также выразить через прибыль, создаваемую за счет использования этого
ресурса. Степень уязвимости (exposure factor, EF) — это субъективная
оценка, выражаемая в виде процента потери ресурса при реализации той или
иной угрозы. Степень уязвимости 1,0 (100 %) соответствует полной потере
ресурса. В примере количественного анализа сервер как ресурс имеет
ценность в 15 000 долл. США. При выходе сервера из строя происходит
полная потеря ресурса (степень уязвимости равна 1,0). Ценность ресурса в
15 000 долл. США умножается на степень уязвимости 1, что дает ожидаемую
сумму ущерба при однократной реализации угрозы — 15 000 долл. США.
Вероятность реализации угрозы за год (annualized rate of occurrence, ARO) —
это вероятность того, что в течение года организация понесет ущерб от
реализации соответствующей угрозы (также выражается в процентах). Если
показатель ARO превышает 100 %, это означает, что угроза может быть
реализована более одного раза в год.
Рассчитав ожидаемый годовой объем убытков (annual loss expectancy, ALE),
руководство получает представление об оправданной сумме затрат на защиту
данного ресурса.
Качественный анализ рисков
Качественный анализ рисков строится на мнениях и сценариях. На рисунке 2
показан пример таблицы качественного анализа рисков с информацией о
вероятности реализации угроз и потенциальной величине ущерба. Например,
вероятность выхода сервера из строя довольно высока, однако ущерб
вследствие отказа сервера невелик.
Группа специалистов анализирует каждую угрозу для ресурса и помещает
соответствующие данные в таблицу. Специалисты оценивают результат и на
его основании принимают дальнейшие решения. Пример дальнейшего
решения: внедрить контрмеры лишь для тех угроз, которые оказались в
красной зоне таблицы.
Числа, указанные в таблице, не имеют прямого отношения к какому-либо
аспекту анализа. Например, катастрофические последствия и
незначительный ущерб обозначены соответственно числами 4 и 2. Однако
это не означает, что первое ровно вдвое хуже второго. Качественный анализ
носит субъективный характер.
Устранение
Устранение угроз подразумевает уменьшение ущерба или снижение его
вероятности. Минимизация рисков достигается за счет множества
технических средств контроля, в том числе систем аутентификации,
разрешений для файлов и межсетевых экранов. Руководители и специалисты
по безопасности должны понимать, что меры по снижению рисков могут
иметь как положительные, так и отрицательные последствия для
организации. Эффективные меры по устранению рисков подразумевают
баланс между негативным влиянием контрмер и выгодой от снижения
рисков. Существует четыре основных метода снижения риска:
 принятие риска и периодическая переоценка;
 снижение риска путем внедрения средств контроля;
 исключение риска за счет полной перемены подхода;
 передача риска третьей стороне.
В качестве кратковременной стратегии можно использовать метод принятия
риска с обязательной разработкой плана действий на случай реализации
соответствующей угрозы. Люди и организации ежедневно принимают на
себя те или иные риски. Современные технологии позволяют снизить риск за
счет инкрементной разработки и регулярного выпуска исправлений и
обновлений, устраняющих уязвимости и ошибки настройки.
Передача риска третьей стороне обычно реализуется путем приобретения
услуг страхования и обслуживания. Привлечение квалифицированных
специалистов для решения критически важных задач — это вполне
оправданный способ снижения рисков, при котором отличные результаты
достигаются без долгосрочных инвестиций. Эффективный план по снижению
рисков обычно включает в себя как минимум две стратегии.
Многоуровневый подход
Многоуровневая защита не делает организацию неуязвимой. Однако с
помощью такой системы организация сможет находиться на шаг впереди
киберпреступников и таким образом минимизировать риски.
Если защиту данных и информации обеспечивает всего один механизм, то
этот механизм является единственным препятствием на пути
киберпреступника. Гарантированную доступность данных и информации
можно обеспечить только при наличии нескольких уровней защиты.
Многоуровневый подход обеспечивает наиболее полную безопасность.
Преодолев один из уровней, киберпреступник столкнется с еще более
серьезными препятствиями — с каждым уровнем задача злоумышленника
заметно усложняется.
Многоуровневая защита обеспечивается путем создания барьера из
множества средств защиты, работающих согласованно для предотвращения
атак. Например, наиболее секретные документы можно хранить на сервере в
здании, которое окружено электрозабором.
Ограничение
Вероятность реализации угрозы можно снизить путем ограничения доступа к
данным и информации. Организация должна ограничить доступ таким
образом, чтобы уровень доступа для пользователей соответствовал их
потребностям для выполнения задач. Например, для выполнения служебных
обязанностей сотрудникам отдела маркетинга не нужна информация о
заработной плате.
Доступ можно ограничить, назначив соответствующие разрешения на доступ
к файлам, однако помимо технологических средств следует также применять
меры процедурного характера. Необходимо внедрить процедуру, при
которой сотрудники не смогут вынести конфиденциальные документы за
пределы объекта.
Разнообразие
Если все уровни защиты одинаковы, их легко преодолеть. Соответственно, на
различных уровнях следует внедрить различные механизмы защиты.
Преодолев один из уровней с помощью того или иного метода,
киберпреступники не смогут применить тот же метод на других уровнях.
Преодоление одного уровня безопасности не ставит под угрозу
функционирование всей системы. Организация может использовать разные
алгоритмы шифрования или системы аутентификации для защиты данных в
разных состояниях.
Задача разнообразия решается различными способами. Один из
них — многофакторная аутентификация с применением продукции
нескольких производителей. Например, можно разместить сервер с
секретными документами в закрытом помещении и контролировать доступ в
это помещение с помощью смарт-карт (от одного производителя) и системы
биометрической аутентификации (от другого производителя).
Сокрытие информации
Защиту информации и данных можно усилить за счет сокрытия информации.
Организация не должна раскрывать какую-либо информацию, с помощью
которой киберпреступники могут узнать версию операционной системы, на
которой работает сервер, или вид используемого оборудования. Например, в
сообщениях об ошибках не должно быть информации, по которой
киберпреступник сможет определить круг потенциальных уязвимостей.
Сокрытие определенных видов информации усложняет задачу
киберпреступника.
Простота
Сложность не гарантирует информационную безопасность. Сложные
системы, которые трудно освоить и обслуживать, могут стать оружием в
руках злоумышленников. Если сотрудники организации не в состоянии
правильно настроить сложную систему, то эта система, скорее всего, станет
легкой добычей для киберпреступников. Высокая доступность возможна
лишь тогда, когда система безопасности проста изнутри и в то же время
сложна снаружи.
Единая точка отказа
Единая точка отказа — это критически важный компонент системы.
От исправности этого компонента зависит работа других компонентов. Отказ
этого компонента приводит к отказу всей системы. Единой точкой отказа
может стать устройство, процесс, набор данных или важная коммунальная
услуга. Единые точки отказа — это слабые звенья в цепи, которые могут
стать причиной сбоев в работе организации. В целом для устранения единой
точки отказа необходимо изменить особо важный процесс так, чтобы его
работа не полагалась на один элемент. Организация также может встроить
резервные компоненты в особо важный процесс, чтобы продолжить его
выполнение в случае отказа одной из этих точек.
Резервирование по схеме "N+1"
Резервирование по схеме "N+1" позволяет обеспечить доступность системы в
случае отказа компонента. У компонентов (N) должен быть как минимум
один резервный компонент (+1). Например, у автомобиля четыре шины (N) и
запасная шина в багажнике на случай прокола (+1).
Применительно к центрам обработки данных термин «резервирование по
схеме "N+1"» подразумевает сохранение работоспособности системы при
выходе из строя одного из ее компонентов. Буквой "N" обозначают
различные компоненты центра обработки данных, включая серверы, блоки
питания, коммутаторы и маршрутизаторы. Обозначение "+1" подразумевает
наличие дополнительного компонента или системы, которые постоянно
находятся в состоянии полной эксплуатационной готовности.
Например, резервирование энергоснабжения центра обработки данных по
схеме "N+1" может быть реализовано с помощью электрогенератора,
который включается при отсутствии питания от основного источника.
При резервировании по схеме "N+1" в систему включается резервное
оборудование, однако эта схема все же не обеспечивает полного
резервирования.
RAID
Резервный массив независимых жестких дисков (RAID) — это массив из
нескольких физических жестких дисков, объединенных в единое логическое
устройство. С помощью таких массивов решаются задачи резервирования
данных и повышения производительности. Технология RAID предполагает
распределение данных, обычно хранящихся на одном диске, между
несколькими дисками. При утрате какого-либо отдельного диска
пользователь может восстановить данные с других дисков, на которых также
размещены данные.
Технология RAID также позволяет увеличить скорость считывания данных.
Это достигается за счет одновременного чтения данных с нескольких
накопителей.
Для реализации RAID можно применять как аппаратные средства, так и
программные компоненты. Основой аппаратного решения является
специальный контроллер, который должен обязательно присутствовать в
системе, где строится массив RAID. Приведенные ниже термины описывают,
как RAID хранит данные на различных дисках.
 Четность — выявление ошибок в данных.
 Чередование данных (запись страйпами) — запись данных на
нескольких дисках.
 Зеркалирование — хранение копий данных на втором диске.
Имеется несколько уровней RAID (см. рисунок).
Нажмите здесь, чтобы просмотреть учебный материал с описанием
различных уровней RAID.
STP
Резервирование позволяет повысить доступность инфраструктуры за счет
исключения ситуаций, при которых отказ единичного компонента (например,
сетевого кабеля или коммутатора) приводит к выходу из строя всей сети.
Встраивание физических средств резервирования в сетевую инфраструктуру
имеет нежелательные побочные эффекты в виде петель и дублированных
кадров. Петли и дублированные кадры являются причиной серьезных
неполадок в коммутируемой сети.
Эти проблемы решаются с помощью протокола STP. Базовой задачей STP
является устранение петель в топологии сетевой инфраструктуры, в которой
присутствуют коммутаторы с множественными связями. STP устраняет
петли на резервных физических соединениях. Этот протокол обеспечивает
наличие только одного логического пути между всеми пунктами назначения
в сетевой инфраструктуре. STP намеренно блокирует резервные пути, на
которых могут возникнуть петли.
Для предотвращения петель в сети чрезвычайно важно блокировать
избыточные пути. Физически резервные пути существуют, однако во
избежание образования петли трафика эти пути блокируются с помощью
протокола STP. В случае отказа сетевого кабеля или коммутатора
протокол STP обеспечивает перерасчет путей с разблокировкой
необходимых портов для активации соответствующего резервного пути.
Чтобы запустить анимированную модель работы протокола STP при отказах,
нажмите Play (Воспроизведение) на рисунке.
 PC1 отправляет широковещательную рассылку в сеть.
 Магистральный канал между S2 и S1 выходит из строя, что нарушает
исходный путь.
 S2 снимает блокировку с предварительно заблокированного порта для
Магистраль 2 и разрешает передачу трафика широковещательной сети
по альтернативному пути, обеспечивая дальнейший обмен данными.
 Если соединение между S2 и S1 восстановится, то соединение между
S2 и S3 будет вновь заблокировано с помощью протокола STP.
Резервирование маршрутизаторов
В качестве шлюза по умолчанию, как правило, выступает маршрутизатор,
через который устройства получают доступ к остальной части сетевой
инфраструктуры или Интернету. Если в качестве шлюза по умолчанию
выступает только один маршрутизатор, он является единой точкой отказа.
В таком случае можно установить дополнительный резервный
маршрутизатор.
На Рисунке 1 показаны активный (пересылающий) и резервный
маршрутизаторы. С помощью протокола резервирования маршрутизаторы
определяют, на какое устройство возлагается функция пересылки трафика.
Каждому маршрутизатору назначен физический IP-адрес и виртуальный IP-
адрес маршрутизатора. Оконечные устройства будут использовать
виртуальный IP-адрес в качестве адреса шлюза по умолчанию. Активный
(пересылающий) маршрутизатор обрабатывает трафик, который
направляется по адресу 192.0.2.100. Активный (пересылающий) и резервный
маршрутизаторы периодически отправляют друг другу сообщения, используя
свои физические IP-адреса. С помощью этих сообщений маршрутизаторы
проверяют доступность друг друга. Если на резервный маршрутизатор не
поступают периодические сообщения от активного (пересылающего)
маршрутизатора, резервный маршрутизатор берет на себя роль активного
(пересылающего) маршрутизатора (см. Рисунок 2).
Способность сетевой инфраструктуры динамически восстанавливаться после
сбоя маршрутизатора, выполняющего функцию шлюза по умолчанию,
называется резервированием первого перехода.
Способы резервирования маршрутизаторов
В следующем списке перечислены возможные способы резервирования
маршрутизаторов с помощью сетевых устройств.
 Протокол HSRP. Поддерживает высокую доступность сети,
обеспечивая резервирование маршрутизации на первом переходе.
С помощью протокола HSRP из группы маршрутизаторов выбираются
активный и резервный маршрутизаторы. Активное устройство
выполняет маршрутизацию пакетов. Резервное устройство принимает
на себя функцию маршрутизации в случае отказа активного
устройства. Задача резервного маршрутизатора HSRP заключается в
мониторинге рабочего состояния группы HSRP и быстром переходе к
выполнению функций пересылки пакетов в случае сбоя активного
(пересылающего) маршрутизатора.
 Протокол резервирования виртуального маршрутизатора
(VRRP). В маршрутизаторе применяется протокол VRRP в сочетании с
одним или несколькими другими маршрутизаторами, подключенными
к локальной сети. В конфигурации VRRP выбранный маршрутизатор
является основным виртуальным маршрутизатором, а другие
выступают в роли резервных на случай сбоя основного виртуального
маршрутизатора.
 Протокол распределения нагрузки для шлюзов
(GLBP). Обеспечивает защиту трафика данных от неисправности
маршрутизатора или сети (так же, как HSRP и VRRP), одновременно
обеспечивая распределение нагрузки по группе резервных
маршрутизаторов.
Размещение резервных копий данных на удаленном объекте
В некоторых случаях применяется метод резервирования путем размещения
резервных копий данных на удаленных объектах. Ниже перечислены три
схемы такого резервирования.
Синхронный
 Синхронизация копий на обоих объектах в режиме реального времени
 Требуется высокая пропускная способность
 Объекты должны быть расположены близко друг к другу, что
необходимо для уменьшения времени задержки
Асинхронная репликация
 Скорость синхронизации несколько ниже по сравнению со скоростью в
режиме реального времени, но близка к ней
 Требуется меньшая пропускная способность
 Объекты могут быть расположены на большем расстоянии друг от
друга, поскольку время задержки имеет меньшее значение
Репликация в определенный момент времени
 Периодическое обновление резервных копий данных на удаленном
объекте
 Максимально экономичный вариант с точки зрения потребляемой
пропускной способности — постоянное соединение не требуется
Наиболее подходящим будет вариант, при котором достигается оптимальное
соотношение стоимости и конечной степени доступности.
Проектирование с учетом требований к способности системы к
восстановлению
Отказоустойчивость достигается за счет методов и настроек для обеспечения
восстановления систем и сетевой инфраструктуры. Например, в сетевой
инфраструктуре могут быть предусмотрены резервные соединения между
коммутаторами, на которых применяется протокол STP. В случае отказа
протокол STP обеспечит альтернативный путь, но при неоптимальной
конфигурации переключение, скорее всего, произойдет с ощутимой
задержкой.
Протоколы динамической маршрутизации также усиливают
отказоустойчивость системы, однако незаметное переключение на резервный
ресурс возможно лишь после соответствующей точной настройки.
Рекомендуется испытать различные значения параметров в тестовой сетевой
инфраструктуре, чтобы по возможности сократить время восстановления
работоспособности сетевой инфраструктуры в случае отказа.
Отказоустойчивое проектирование не ограничивается добавлением
резервных элементов. Необходимо определить бизнес-потребности
организации и с учетом этих потребностей выбрать механизмы
резервирования для построения отказоустойчивой сетевой инфраструктуры.
Отказоустойчивость приложений
Отказоустойчивость приложения — это способность приложения
реагировать на неполадки собственных компонентов, оставаясь при этом в
работоспособном состоянии. Простои возникают из-за сбоев, вызванных
программными ошибками или неполадками в инфраструктуре. Время от
времени администратор системы вынужден отключать приложения, чтобы
применить исправления, установить новые версии или добавить новые
функции. Простои также могут быть вызваны повреждением данных,
неисправностью оборудования, программными и человеческими ошибками.
Во многих организациях стараются найти оптимальное соотношение между
расходами на обеспечение отказоустойчивости программной
инфраструктуры и стоимостью потери заказчиков или бизнес-возможностей
из-за неработоспособности приложений. Поддержание высокой доступности
приложений представляет собой сложную задачу и требует больших затрат.
На рисунке показаны три решения, с помощью которых можно поддерживать
доступность и отказоустойчивость приложений. Каждое последующее
решение обеспечивает более высокую степень доступности и,
соответственно, сложнее и дороже предыдущего.
Отказоустойчивость IOS
В операционную систему IOS для маршрутизаторов и коммутаторов Cisco
встроена функция обеспечения отказоустойчивости конфигурации. Эта
функция ускоряет восстановление в случае случайного или намеренного
форматирования флеш-памяти или удаления файла загрузочной
конфигурации. С помощью этой функции создается защищенная рабочая
копия текущего образа IOS маршрутизатора и копия файла текущей
конфигурации. Пользователь не может удалить эти файлы (файл образа IOS и
файл загрузочной конфигурации составляют так называемый primary bootset).
Показанные на рисунке команды активируют защиту образа IOS и файла
текущей конфигурации.
Подготовка
План реагирования на инциденты в организации определяет порядок
действий в нестандартных ситуациях. Утечка данных — это выход
информации за пределы доверенной среды. Причиной утечки данных могут
быть случайные или намеренные действия. Под утечкой данных чаще всего
понимают копирование, передачу или просмотр конфиденциальной
информации, несанкционированный доступ к такой информации или ее
кражу.
Организация должна знать, как реагировать на произошедший инцидент.
В каждой организации должен быть разработан и внедрен план реагирования
на инциденты. Помимо плана необходимо также сформировать группу
реагирования на инциденты компьютерной безопасности (CSIRT). Группа
CSIRT имеет следующие функции:
 Актуализация плана реагирования на инциденты
 Обеспечение ясного понимания плана членами группы
 Тестирование плана
 Согласование плана с руководством
Группа CSIRT может иметь постоянный (например, специальное
подразделение организации) или несистематический формат. В своих
действиях группа руководствуется планом и выполняет заранее
определенную последовательность шагов, что гарантирует единообразие и
полноту реагирования. Национальные группы CSIRT отвечают за
реагирование на инциденты безопасности на уровне государства.
Обнаружение и анализ
Обнаружение начинается в момент выявления инцидента безопасности как
факта. Если администратор не просматривает системные журналы и
оповещения, то даже самые высокотехнологичные системы обнаружения не
принесут никакого результата. Обнаружение должно показать, как именно
произошел инцидент безопасности, какие данные затрагивает этот инцидент,
а также какие системы затрагивает этот инцидент. Уведомление о нарушении
безопасности направляется руководителям, ответственным за системы и
данные, а также высшему руководству, с тем чтобы привлечь руководителей
к процессу ликвидации последствий вторжения. Процесс обнаружения и
анализа состоит из следующих компонентов.
 Оповещения и уведомления
 Мониторинг и подведение итогов
В процессе анализа инцидента безопасности специалисты пытаются
определить источник, масштабы и последствия утечки данных, а также
собрать подробную информацию о событии. При необходимости в
организацию приглашают группу экспертов-криминалистов.
Изоляция, ликвидация и восстановление
Меры по изоляции — неотложные контрмеры, например, отключение
системы от сетевой инфраструктуры или пресечение утечки информации.
Обнаружив нарушение безопасности, необходимо изолировать и
ликвидировать соответствующую угрозу. В некоторых случаях с этой целью
приходится полностью отключать те или иные системы. На этапе
восстановления принимаются действия к тому, чтобы устранить последствия
нарушения безопасности и восстановить работу затронутых систем.
Устранив последствия нарушения безопасности, необходимо вернуть
системы в нормальное состояние.
Подведение итогов по инцидентам информационной безопасности
После возобновления нормальной работы систем, необходимо
проанализировать причину инцидента безопасности и задать следующие
вопросы.
 Что можно сделать, чтобы исключить подобные инциденты в
будущем?
 Какие превентивные меры нужно усилить?
 Каким образом можно улучшить мониторинг систем?
 Каким образом можно минимизировать время простоя в процессе
изоляции, ликвидации и восстановления?
 Какие меры должно принять руководство, чтобы свести к минимуму
ущерб для бизнеса?
План реагирования на инциденты следует пересмотреть с учетом
полученного опыта.

Сетевой модуль Cisco NAC


Система контроля доступа на основе технологии Network Admission Control
(NAC) допускает в сетевую инфраструктуру только те системы, которые
соответствуют заданным требованиям. Соответствующая система отвечает
всем требованиям политики организации. Например, если ноутбук находится
в домашней беспроводной сети, то удаленный доступ с этого ноутбука в
корпоративную сеть будет невозможен. Посредством технологии NAC
производится проверка подключаемого устройства на соответствие
действующим в сетевой инфраструктуре политикам. Кроме того, технология
NAC позволяет изолировать системы, не отвечающие требованиям, и
автоматически устранить угрозы, присутствующие в этих системах.
Средства NAC можно использовать для принудительного обеспечения
соответствия политике безопасности на всех оконечных устройствах с
помощью имеющейся сетевой инфраструктуры и сторонних приложений.
Второй вариант — специальное устройство NAC, отвечающее за контроль
сетевого доступа, оценку соблюдения нормативных требований и
применение политики безопасности. При проверке систем с помощью
технологии NAC, в числе прочего, задействуются следующие функции:
1. Обновление антивирусного ПО.
2. Установка обновлений и исправлений для операционных систем.
3. Принуждение к использованию сложных паролей.

Системы обнаружения вторжений


Системы обнаружения вторжений (IDS) отслеживают трафик в сетевой
инфраструктуре в пассивном режиме. Как видно из рисунка, система
обнаружения вторжений копирует поток трафика и анализирует копии
пересылаемых пакетов, а не сами пакеты. Работая в автономном режиме,
система сравнивает поток захваченного трафика с известными вредоносными
сигнатурами аналогично программному обеспечению, которое проверяет
наличие вирусов. Работа с копиями пакетов подразумевает следующие
особенности.
 Система обнаружения вторжений работает в пассивном режиме.
 Аппаратная система обнаружения вторжений физически находится в
сетевой инфраструктуре. Чтобы направить пакеты в эту систему,
трафик необходимо зеркалировать.
 Если зеркалирование трафика не обеспечено, то сетевой трафик не
попадает в систему обнаружения вторжений.
В пассивном режиме система обнаружения вторжений отслеживает трафик и
при необходимости генерирует соответствующие сообщения. Т. е. сама
система никак не вмешивается в процесс передачи трафика. Иными словами,
система работает в неизбирательном режиме.
Работая с копией трафика, система обнаружения вторжений не оказывает
негативного влияния на поток пересылаемых пакетов. В этом заключается
преимущества данного подхода. Недостаток же состоит в том, что система
обнаружения вторжений не может предотвратить однопакетные атаки
(вредоносные пакеты беспрепятственно достигают цели) и лишь сообщает о
факте их выявления. Системы обнаружения вторжений чаще всего
нуждаются в поддержке со стороны других сетевых устройств, например
маршрутизаторов и межсетевых экранов. Без такой поддержки надлежащее
реагирование на атаку зачастую невозможно.
В качестве более эффективного решения можно применить устройство,
способное мгновенно выявить и пресечь атаку. Такими возможностями
обладают системы предотвращения вторжений (IPS).
Система предотвращения вторжений
Система IPS создана на базе технологии IDS. Однако в отличие от систем
обнаружения вторжений, системы предотвращения вторжений работают в
транзитном режиме. Это означает, что через систему проходит весь
исходящий и входящий трафик. Как видно из рисунка, система
предотвращения вторжений пропускает в доверенную часть сетевой
инфраструктуры только проверенные пакеты. Она может обнаруживать и
незамедлительно устранять проблемы в сети.
Система предотвращения вторжений отслеживает сетевой трафик,
анализируя содержимое пакетов на наличие вредоносных данных, которые
могут быть использованы для реализации продвинутых атак. В некоторых
системах сочетается несколько технологий обнаружения вторжения, в том
числе сигнатурный анализ, обнаружение на основе профилей поведения и
анализ протоколов. Применяя подобные сложные методы анализа, система
предотвращения вторжений выявляет и блокирует атаки, с которыми бы не
справился традиционный межсетевой экран. Пакет, поступивший на
интерфейс системы предотвращения вторжений, попадет на исходящий
интерфейс (находящийся в доверенной части сети) лишь после того, как
система предотвращения вторжений проанализирует содержимое этого
пакета.
Система предотвращения вторжений способна пресечь однопакетные атаки,
не допустив попадания вредоносных пакетов в целевую систему. Это
преимущество транзитного режима. Недостаток же состоит в том, что
некорректно настроенная система предотвращения вторжений может
оказывать негативное влияние на поток пересылаемых пакетов.
Главное отличие систем предотвращения вторжений (IPS) от систем
обнаружения вторжений (IDS) заключается в том, что системы
предотвращения вторжений реагируют мгновенно и не пропускают в сеть
вредоносный трафик, тогда как системы обнаружения вторжений
пропускают трафик в сеть и лишь сообщают о факте его выявления.

NetFlow и IPFIX
NetFlow — это технология Cisco IOS, предоставляющая статистические
данные о пакетах, проходящих через маршрутизатор или многоуровневый
коммутатор Cisco. NetFlow представляет собой стандарт сбора операционных
данных в сетях. На основе NetFlow версии 9 Рабочая группа инженеров по
Интернет-технологиям (IETF) разработала протокол IPFIX (IP Flow
Information Export, экспорт информации об IP-потоках).
IPFIX — стандартный протокол для экспорта информации о потоках сетевого
трафика. Обычно такая информация экспортируется маршрутизаторами и
поступает на устройства сбора данных. IPFIX можно применять в
маршрутизаторах и приложениях, поддерживающих этот протокол.
Извлекаемую из маршрутизаторов информацию о сетевом трафике можно
использовать для оптимизации производительности сети.
В приложении с поддержкой IPFIX можно просматривать статистику с
любого маршрутизатора, поддерживающего этот протокол. Благодаря сбору,
хранению и анализу сводной информации с устройств, совместимых с IPFIX,
решаются следующие задачи:
 Защита сетевой инфраструктуры от внутренних и внешних угроз
 Поиск и устранение неполадок в сетевой инфраструктуре с высокой
точностью и скоростью
 Анализ потоков трафика в сетевой инфраструктуре при планировании
пропускной способности
Нажмите здесь, чтобы просмотреть видеоролик об обнаружении угроз
безопасности с помощью технологии NetFlow от Cisco.

Продвинутые средства анализа угроз


Продвинутые средства анализа угроз помогают выявить атаки на различных
этапах реализации, а в некоторых случаях (при наличии нужной
информации) — заблаговременно нейтрализовать зреющую угрозу еще до
начала кибератаки.
Признаки атак можно распознать по оповещениям о следующих событиях
информационной безопасности в системных журналах и отчетах.
 Блокировка учетных записей
 События, связанные с базами данных
 Создание и удаление ресурсов
 Изменение конфигурации систем
Продвинутые средства анализа угроз позволяют использовать данные о
событиях и профилях для решения задач мониторинга безопасности и
реагирования. Киберпреступники применяют все более и более продвинутые
методы атак, о которых необходимо иметь ясное представление. Чем лучше в
организации понимают методологию атаки, тем быстрее будут приняты меры
реагирования на соответствующий инцидент информационной безопасности.

Виды аварий
Огромное значение имеет способность организации стабильно
функционировать при авариях. Понятие «авария» включает любое природное
или антропогенное явление, в результате которого происходит повреждение
ресурсов или имущества, и организация утрачивает возможность продолжать
работу.
Стихийные бедствия
Вероятность стихийных бедствий зависит от географического положения.
К сожалению, не все стихийные бедствия можно предсказать. Стихийные
бедствия подразделяются на следующие категории:
 Геологические: землетрясения, оползни, извержения вулканов, цунами
 Метеорологические: ураганы, торнадо, метели, молнии, град
 Биологические: быстро распространяющиеся заболевания, карантины,
пандемии
 Прочие: пожары, наводнения, солнечные бури, лавины
Антропогенные аварии
Антропогенные аварии вызваны людьми и организациями и подразделяются
на следующие категории.
 Сфера трудовых отношений: забастовки, акции протеста, замедление
развития
 Социально-политическая сфера: вандализм, блокады, протесты,
саботаж, терроризм, войны
 Объекты человеческой деятельности: утечка опасных материалов,
пожары
 Коммунальные услуги и ресурсы: перебои в электроснабжении, выход
из строя систем связи, дефицит топлива, радиоактивные осадки
Нажмите здесь, чтобы сравнить спутниковые фотографии территории
Японии до и после землетрясения и цунами 2011 года.
План аварийного восстановления
План аварийного восстановления (data recovery plan, DRP) помогает
сохранить работоспособность критически важных систем во время аварий,
избежав суеты и неразберихи. В план аварийного восстановления
включаются меры, которые необходимо принять для оценки, защиты,
ремонта и восстановления поврежденных объектов и ресурсов.
При создании плана аварийного восстановления необходимо ответить на
следующие вопросы.
 Кто несет ответственность за этот процесс?
 Какие действия должны быть выполнены ответственным лицом в ходе
этого процесса?
 Где именно ответственное лицо реализует этот процесс?
 Опишите процесс.
 Почему этот процесс имеет критически важное значение?
Из плана аварийного восстановления должно быть ясно, какие процессы
внутри организации имеют наибольшее значение. В ходе восстановления
необходимо в первую очередь наладить работу критически важных систем.
Внедрение мер аварийного восстановления
Меры аварийного восстановления помогают уменьшить ущерб от аварии и в
кратчайшие сроки восстановить доступность ресурсов и бизнес-процессов.
Существует три вида мер аварийного восстановления в сфере ИТ.
 Превентивные меры помогают предотвратить аварии, т. е. распознать
риски
 Распознавательные меры направлены на обнаружение нежелательных
событий, т. е. выявление новых потенциальных угроз
 Корректирующие меры обеспечивают восстановление системы после
аварии или иного подобного события
Чтобы отобразить примеры методов и средств той или иной категории,
нажмите на соответствующую категорию.
Необходимость в непрерывности бизнес-процессов
Непрерывность бизнес-процессов относится к числу важнейших концепций
компьютерной безопасности. Несмотря на все усилия, приложенные к тому,
чтобы предотвратить аварии и потерю данных, полностью исключить эти
риски не удастся, поскольку невозможно предусмотреть все. Компаниям
важно иметь в распоряжении планы, обеспечивающие непрерывность
бизнес-процессов независимо от того, что может произойти. По сравнению с
планом аварийного восстановления, план обеспечения непрерывности
бизнес-процессов охватывает более широкий круг задач, поскольку в этот
план включаются меры по перемещению критически важных систем на
другие объекты до окончания восстановительных работ. Сотрудники
выполняют свои обязанности в новом режиме до тех пор, пока не будут
восстановлены стандартные рабочие процессы.
Посредством соответствующих мер организация сохраняет доступность
критически важных ресурсов для сотрудников и систем.
Аспекты непрерывности бизнес-процессов
Круг мер по обеспечению непрерывности бизнес-процессов не
ограничивается резервным копированием данных и резервированием
аппаратного обеспечения. Например, необходимо правильно настроить и
эксплуатировать системы. Для этого нужны соответствующие сотрудники.
Данные, из которых невозможно извлечь информацию, могут оказаться
бесполезными. Необходимо уделить внимание следующим аспектам.
 Размещение нужных людей в нужных местах
 Документирование настроек
 Создание альтернативных каналов для голосовой связи и передачи
данных
 Обеспечение электроснабжения
 Выявление и полное понимание всех взаимосвязей между
приложениями и процессами
 Понимание способов выполнения автоматизированных задач вручную
Лучшие практики обеспечения непрерывности бизнес-процессов
На рисунке представлены лучшие практики, разработанные в Национальном
институте по стандартам и технологиям США (NIST).
1. Разработка политики, которая берется за основу при создании плана
обеспечения непрерывности бизнес-процессов и определяет роли при
решении соответствующих задач.
2. Выявление критически важных систем и процессов. Расстановка
соответствующих приоритетов с учетом степени важности.
3. Определение уязвимостей, угроз и расчет риска.
4. Определение и внедрение средства контроля и противодействия для
снижения риска.
5. Разработка методов быстрого восстановления критически важных систем.
6. Разработка процедур, обеспечивающих работоспособность организации в
условиях хаоса.
7. Проведение проверки плана.
8. Регулярное обновление плана.

Глава 7. Защита уровней обеспечения кибербезопасности


Защита вашего домена — это постоянный процесс, охватывающий сетевую
инфраструктуру организации. Он требует постоянного отслеживания
потенциальных угроз и принятия мер по предотвращению любых нарушений
периметра безопасности. В этой главе рассматриваются технологии,
процессы и процедуры, которые применяются специалистами по
кибербезопасности для защиты систем, устройств и данных, составляющих
сетевую инфраструктуру.
Сетевая инфраструктура защищена настолько, насколько защищено ее
наиболее уязвимое звено. Важно обеспечить безопасность оконечных
устройств в сетевой инфраструктуре, в число которых входят устройства
сетевой инфраструктуры в локальной сети (LAN) и оконечные системы,
такие как рабочие станции, серверы, IP-телефоны и точки доступа.
Повышение надежности устройств — важнейшая задача при обеспечении
безопасности сетевой инфраструктуры. Она включает использование
проверенных способов физической защиты сетевых устройств. Применяются
такие способы, как защита административного доступа и паролей, внедрение
безопасной системы коммуникаций.
Безопасность операционной системы
Операционная система играет ключевую роль в работе компьютерной
системы и является объектом множества атак. Безопасность операционной
системы определяет безопасность компьютерной системы в целом.
Для повышения надежности операционной системы администратор изменяет
конфигурацию по умолчанию так, чтобы она была более защищена от
внешних угроз. Процесс подразумевает в том числе удаление ненужных
программ и сервисов. Другим обязательным этапом повышения надежности
операционных систем является внедрение исправлений уязвимости и
установка обновлений для системы безопасности. Исправления и обновления
предназначены для минимизации числа уязвимостей и исправления ошибок в
продуктах.
В организации необходим системный подход к внедрению обновлений
системы, включающий следующее.
 Внедрение процедур для мониторинга информации, связанной с
безопасностью.
 Оценка применимости обновлений.
 Планирование установки обновлений и исправлений.
 Установка обновлений на основе документированного плана.
Также при защите операционных систем критически важно выявлять
потенциальные уязвимости. Для этого можно использовать базовые
показатели. Администратор может сравнить текущие показатели работы
системы с базовыми.
Microsoft Baseline Security Analyzer (MBSA) проводит анализ системы
Microsoft Windows и выявляет в ее конфигурации отсутствие обновлений
безопасности. MBSA проверяет наличие пустых, простых или
несуществующих паролей, параметры межсетевого экрана, статус гостевой
учетной записи, данные учетной записи администратора, проводит аудит
событий безопасности, находит ненужные сервисы, совместно используемые
сетевые ресурсы и проверяет параметры реестра. После повышения
надежности операционной системы администратор создает политики и
процедуры для поддержания высокого уровня безопасности.
Защита от вредоносных программ
К вредоносному ПО относятся вирусы, интернет-черви, трояны,
клавиатурные шпионы (кейлоггеры), шпионское и рекламное ПО. Все эти
виды вредоносного ПО нарушают конфиденциальность, наносят
повреждения системам, удаляют и искажают данные.
Для защиты компьютеров и мобильных устройств важно использовать
надежное ПО для защиты от вредоносных программ. Ниже перечислены
типы такого ПО, которое доступно на сегодняшний день.
 Защита от вирусов — такие программы постоянно отслеживают
состояние системы на предмет наличия в ней вирусов. В случае
выявления вируса программа предупреждает пользователя и пытается
поместить вирус в карантин или удалить, как показано на рисунке 1.
 Защита от рекламного ПО — эти программы выполняют поиск ПО,
отображающего рекламу на компьютере.
 Защита от фишинга — такие программы блокируют IP-адреса
известных фишинговых веб-сайтов и предупреждают пользователя о
подозрительных сайтах.
 Защита от шпионского ПО — эти программы проверяют компьютер
на наличие клавиатурных шпионов и другого шпионского ПО.
 Доверенные/ненадежные источники — программа предупреждает о
попытке установки опасных программ или о подозрительных веб-
сайтах, прежде чем пользователь их посетит.
Для удаления всего вредоносного ПО может потребоваться использовать
несколько различных программ и выполнить поиск несколько раз.
Запускайте только одну программу защиты от вредоносного ПО
одновременно.
Некоторые авторитетные разработчики, такие как McAfee, Symantec и
Kaspersky, предлагают решения для комплексной защиты компьютеров и
мобильных устройств от вредоносного ПО.
Следует проявлять осторожность при выборе продукта для защиты,
поскольку в Интернете встречаются мошеннические антивирусы.
Большинство таких мошеннических антивирусов отображают рекламные или
всплывающие сообщения, похожие на реальные предупреждения Windows,
как показано на рисунке 2. Они обычно сообщают, что компьютер заражен
вредоносным ПО, и предлагают пользователю очистить его. При щелчке в
любом месте такого окна может, фактически, начаться загрузка и установка
вредоносного ПО.
К неутвержденному или не соответствующему требованиям программному
обеспечению относятся не только программы, которые устанавливаются на
компьютер непреднамеренно. Это могут быть программы, которые
намеренно устанавливают пользователи. Возможно, они не вредоносные,
однако не исключено, что они могут нарушить политику безопасности. Такая
система, не соответствующая требованиям, может нарушить работу
программного обеспечения компании или сетевых сервисов. Пользователи
должны незамедлительно удалить программное обеспечение, которое не
было одобрено.
Управление исправлениями
Исправления — это обновления кода, выпускаемые производителями для
предотвращения атак новых обнаруженных вирусов и червей. Периодически
производители объединяют исправления и обновления в комплексные
приложения обновления, которые называются пакетами обновления. Многие
разрушительные атаки вирусов могли быть менее серьезными, если бы
больше пользователей загрузили и установили последний пакет обновления.
Операционная система Windows регулярно проверяет наличие на веб-сайте
Центра обновления Windows высокоприоритетных обновлений для защиты
компьютера от последних угроз безопасности. В их число входят обновления
безопасности, критические обновления и пакеты обновления. В зависимости
от выбранного варианта Windows автоматически загружает и устанавливает
высокоприоритетные обновления, необходимые компьютеру, или уведомляет
о наличии таких обновлений.
В некоторых организациях выполняют проверку исправлений перед
развертыванием. В таком случае вместо предлагаемого поставщиком онлайн-
сервиса обновлений может использоваться локальная система управления
исправлениями. Автоматизированная система установки обновлений
обеспечивает следующие преимущества.
 Администраторы получают возможность одобрять или отклонять
обновления.
 Администраторы могут запланировать обновление систем на
определенную дату.
 Администраторам доступны отчеты об обновлениях, необходимых в
каждой системе.
 Для загрузки исправлений не требуется подключение каждого
компьютера к сервису поставщика. Вместо этого система получает
обновления с локального сервера.
 Пользователи не могут отключить или проигнорировать обновления.
Автоматическая система установки исправлений позволяет администраторам
более точно управлять настройками процесса.

Межсетевые экраны (брандмауэры) и системы обнаружения вторжений на


основе хоста
Решение на основе хоста — это программное приложение, которое
запускается на локальном хост-компьютере с целью его защиты. Работая
вместе с операционной системой, это ПО помогает предотвратить атаки.
Межсетевые экраны (брандмауэры) на основе хоста
Программный межсетевой экран (брандмауэр) — это программа, запускаемая
на компьютере для разрешения или запрета обмена трафиком между
компьютером и другими компьютерами, к которым он подключен.
Программный межсетевой экран применяет набор правил для передачи
данных с помощью проверки и фильтрации пакетов данных. Межсетевой
экран Windows — это пример программного межсетевого экрана. Он
устанавливается по умолчанию вместе с операционной системой Windows.
Пользователь может управлять данными, отправляемыми и получаемыми
компьютером, открывая или блокируя отдельные порты. Межсетевые экраны
блокируют входящие и исходящие сетевые соединения, кроме случаев, когда
для открытия и закрытия портов, необходимых для работы этой программы,
определены исключения.
На рис. 1 пользователь выбирает правила для входящих подключений, чтобы
настроить разрешенные типы трафика. Настройка правил для входящих
подключений поможет защитить систему от нежелательного трафика.
Системы обнаружения вторжений на базе хостов
Система обнаружения вторжений на базе хостов (HIDS) — это программное
обеспечение, которое запускается на хост-компьютере, отслеживающем
подозрительные действия. Это ПО должно быть установлено на каждом
сервере или в компьютере пользователя, которые необходимо защитить (см.
рис. 2). HIDS отслеживает системные вызовы и доступ к файловой системе,
проверяя, что эти запросы не являются результатом вредоносной активности.
Это ПО может также отслеживать параметры реестра системы. Реестр
содержит информацию о конфигурации компьютера.
HIDS хранит все данные журнала локально. Это ресурсоемкий процесс,
который может повлиять на производительность системы. HIDS не может
отслеживать сетевой трафик, который не достиг данной системы, но
контролирует операционную систему и критически важные системные
процессы данного компьютера.
Защита коммуникаций
При подключении к локальной сети обмен данными и файлами между
компьютерами не выходит за пределы этой сетевой инфраструктуры. Данные
остаются защищенными, так как находятся за пределами других сетевых
инфраструктур и Интернета. Для обмена данными и предоставления общего
доступа к ресурсам через небезопасные сетевые инфраструктуры
используется виртуальная частная сеть (VPN).
Виртуальная частная сеть (VPN) представляет собой частную сеть, которая
обеспечивает подключение удаленных узлов или пользователей друг к другу
через общественную сеть, такую как Интернет. Самый распространенный
тип сетей VPN обеспечивает доступ к корпоративной частной сети. Сеть
VPN использует выделенные безопасные подключения, маршрутизируемые
через Интернет между внутренней корпоративной сетью и удаленными
пользователями. При подключении к корпоративной частной сетевой
инфраструктуре пользователи становятся частью этой сетевой
инфраструктуры и имеют доступ ко всем сервисам и ресурсам, как если бы
они физически подключились к корпоративной локальной сети.
Для получения удаленного доступа пользователи должны установить на свои
компьютеры клиенты VPN, чтобы создать безопасное подключение к
корпоративной частной сети. Программа-клиент VPN шифрует данные перед
отправкой их через Интернет на шлюз VPN корпоративной частной сети.
Шлюзы VPN создают подключения VPN, управляют ими и контролируют их.
Подключения VPN называются также VPN-туннелями.
Операционные системы обычно включают клиент VPN, который
настраивается пользователем для подключения к сети VPN.
WEP
Одним из важнейших компонентов современной вычислительной среды
являются мобильные устройства. В настоящее время большую часть
устройств, подключенных к сетевой инфраструктуре, составляют ноутбуки,
планшеты, смартфоны и другие беспроводные устройства. Мобильные
устройства передают данные с помощью радиосигналов, которые может
получить любое устройство с совместимой антенной. В компьютерной
отрасли разработан ряд стандартов, продуктов и устройств для обеспечения
безопасности беспроводной или мобильной связи. Эти стандарты шифруют
информацию, передаваемую мобильными устройствами по радиоканалам.
Протокол защиты данных WEP — один из первых широко используемых
стандартов обеспечения безопасности сетей Wi-Fi. Стандарт WEP
предоставляет такие средства защиты, как аутентификация и шифрование.
Стандарт WEP устарел, но многие устройства по-прежнему поддерживают
его для обеспечения обратной совместимости. WEP стал стандартом для
сетей Wi-Fi в 1999 году, когда беспроводная связь только начала
распространяться. Несмотря на дополнения к стандарту и увеличение
размера ключа, в стандарте WEP были многочисленные недостатки.
Киберпреступники могут взломать WEP-пароль за считанные минуты,
используя широкодоступное программное обеспечение. Несмотря на
улучшения, WEP остается весьма уязвимым. Пользователям следует
обновить системы, в которых применяется этот протокол.
WPA/WPA2
Следующим важным усовершенствованием в обеспечении безопасности
беспроводных сетей стало внедрение протоколов WPA и WPA2. Технология
WPA (Wi-Fi Protected Access, защищенный доступ Wi-Fi) сменила стандарт
WEP в компьютерной индустрии из-за его слабых мест. Наиболее
распространенной конфигурацией WPA является WPA-PSK (Pre-Shared Key).
В WPA используется 256-битный ключ. Это значительное
усовершенствование по сравнению с 64- и 128-битными ключами, которые
применяются в системе WEP.
Стандарт WPA позволил повысить безопасность в нескольких аспектах. Во-
первых, он обеспечил проверку целостности сообщений (message integrity
checks, MIC), которая позволяет выявить перехват и изменение данных,
передаваемых между беспроводным клиентским устройством и точкой
беспроводного доступа. Еще одним улучшением защиты ключей стал
протокол Temporal Key Integrity Protocol (TKIP). Стандарт TKIP позволил
улучшить обработку, защиту и смену ключей шифрования. Симметричный
алгоритм блочного шифрования (AES) пришел на смену стандарту TKIP,
обеспечив лучшее управления ключами и более надежное шифрование.
Как и его предшественник WEP, стандарт WPA содержал несколько широко
известных уязвимостей. В результате в 2006 году появился стандарт WPA2.
Одним из наиболее значительных улучшений безопасности в WPA2 по
сравнению с WPA стало обязательное использование алгоритмов
шифрования AES и введение протокола блочного шифрования с кодом
аутентификации сообщения и режимом сцепления блоков и счетчика (CCMP)
в качестве замены протокола TKIP.

Взаимная аутентификация
Одной из существенных уязвимостей беспроводных сетей является
использование неавторизованных точек доступа. Точки доступа — это
устройства, которые взаимодействуют с беспроводными устройствами и
подключают их к проводной сети. Любое устройство, которое имеет
беспроводной приемопередатчик и аппаратный интерфейс для подключения
к сетевой инфраструктуре, потенциально может выступать в качестве
неавторизованной точки доступа. Она может имитировать авторизованную
точку доступа. В результате беспроводные устройства в беспроводной сети
могут установить связь с неавторизованной точкой доступа вместо
авторизованной.
Неавторизованная точка может получать запросы на подключение,
копировать данные в запросе и пересылать их на авторизованную точку
сетевого доступа. Такой тип атаки через посредника очень сложно выявить.
Он используется для кражи учетных данных для входа и передаваемых
данных. Чтобы предотвратить появление неавторизованных точек доступа, в
компьютерной отрасли разработана взаимная аутентификация. Взаимная или
двусторонняя аутентификация — это процесс или технология, согласно
которой каждый из участников информационного обмена доказывает
другому участнику свою идентичность. В беспроводной сетевой среде
клиент проводит аутентификацию точки доступа, а точка доступа —
аутентификацию клиента. Это усовершенствование позволило клиентам
выявлять неавторизованные точки доступа перед подключением к ним.

Разграничение доступа к файлам


Разрешения — это набор правил, которые можно настроить для ограничения
доступа отдельного пользователя или группы пользователей к папке или
файлу. В таблице на рисунке перечислены разрешения, которые можно
задать для файлов и папок.
Принцип предоставления минимальных прав
Пользователи должны иметь доступ только к необходимым ресурсам в
компьютерной системе или сетевой инфраструктуре. Например, для них
следует отменить доступ ко всем файлам на сервере, если им требуется
доступ лишь к определенной папке. Возможно, предоставить пользователям
доступ ко всему диску проще, но для повышения безопасности лучше
ограничить доступ только папкой, необходимой для выполнения их работы.
Это называется принципом минимальных прав. Ограничение доступа к
ресурсам также предотвращает доступ к ним вредоносных программ в случае
заражения компьютера пользователя.
Ограничение разрешений пользователей
Если администратор запрещает доступ пользователя или группы
пользователей к совместно используемому сетевому ресурсу, этот запрет
становится приоритетным по отношению ко всем прочим настройкам
разрешений. Например, если администратор запрещает какому-либо
пользователю доступ к совместно используемому сетевому ресурсу, этот
ресурс будет недоступен для пользователя, даже если он является
администратором или входит в группу администраторов. В локальной
политике безопасности должны быть указаны ресурсы и типы доступа,
разрешенные для каждого пользователя и группы.
При изменении разрешений на доступ к папке есть возможность применить
такие же разрешения для всех вложенных папок. Это называется
наследованием разрешений. Наследование разрешений — это простой способ
быстрого применения разрешений к множеству файлов и папок. Если
установлены разрешения для родительской папки, то файлы и папки,
созданные внутри нее, наследуют ее разрешения.
Кроме того, наследование разрешений определяется размещением данных и
выполняемыми с ними действиями.
 Если данные перемещаются в пределах одного и того же тома, то к ним
применяются исходные разрешения.
 Если данные копируются в пределах одного и того же тома, то
наследуются новые разрешения.
 Если данные перемещаются в другой том, то наследуются новые
разрешения.
 Если данные копируются в другой том, то наследуются новые
разрешения.
Шифрование файлов
Шифрование используется для защиты данных. При шифровании данные
преобразуются с помощью сложного алгоритма так, чтобы их нельзя было
считать. Специальный ключ преобразовывает нечитабельную информацию в
доступные для чтения данные. Программные продукты выполняют
шифрование файлов, папок и даже целых дисков.
Шифрующая файловая система (Encrypting File System, EFS) — это функция
Windows для шифрования данных. Реализация системы EFS в Windows
связывает ее непосредственно с определенной учетной записью
пользователя. Только пользователь, зашифровавший данные, сможет
получить доступ к зашифрованным файлам и папкам.
Для шифрования всех данных на жестком диске в системе Windows также
можно использовать функцию BitLocker. Для использования функции
BitLocker на жестком диске должны быть хотя бы два тома.
Перед использованием BitLocker необходимо включить модуль Trusted
Platform Module (TPM) в BIOS. TPM — это специальная микросхема на
материнской плате. В модуле TPM сохраняется информация, относящаяся к
системе размещения, такая как ключи шифрования, цифровые сертификаты и
пароли. Приложения, использующие шифрование, такие как BitLocker,
обращаются к микросхеме TPM. Чтобы просмотреть подробные сведения о
TPM, щелкните ссылку «Администрирование TPM», как показано на
рисунке.
BitLocker To Go обеспечивает шифрование съемных дисков. Для
использования BitLocker To Go не требуется микросхема TPM, однако
шифрование выполняется тем же способом, а для доступа к зашифрованным
данным требуется пароль.
Резервное копирование данных и систем
Организация может потерять данные в результате кражи, сбоя оборудования
или аварии. Именно поэтому крайне важно регулярно выполнять резервное
копирование данных.
Резервное копирование данных сохраняет копию информации с компьютера
на внешнем или съемном носителе. Оператор помещает эти носители на
хранение в надежном месте. Резервное копирование данных — один из
самых эффективных способов защиты данных от потери. В случае сбоя
аппаратного обеспечения компьютера пользователь может восстановить
данные из резервной копии после возобновления работы системы.
Политика безопасности организации должна включать резервное
копирование данных. Пользователи должны регулярно выполнять резервное
копирование данных. Резервные копии данных обычно хранятся отдельно,
чтобы защитить носитель с резервными копиями на случай, если что-либо
произойдет в основном помещении.
Ниже приведены некоторые практические рекомендации по резервному
копированию данных.
 Периодичность — операция резервного копирования может занять
очень много времени. Иногда проще выполнять полное резервное
копирование ежемесячно или еженедельно, а затем многократно
создавать частичные резервные копии данных, измененных с момента
полного резервного копирования. Однако, чем больше частичных
копий, тем больше затрачивается времени на восстановление данных.
 Хранение — чтобы обеспечить дополнительную безопасность,
необходимо переносить резервные копии в автономное хранилище
ежедневно, еженедельно или ежемесячно в соответствии с политикой
безопасности.
 Безопасность — необходимо использовать пароли для защиты
резервных копий. Перед восстановлением данных с носителя
резервных копий оператор должен ввести пароль.
 Проверка — всегда проверяйте резервные копии для обеспечения
целостности данных.
Фильтрация и блокирование содержимого
Программы контроля содержимого ограничивают доступ пользователя к
определенному содержимому через веб-браузер. Программы контроля
содержимого могут блокировать сайты, которые содержат материалы
определенного вида, например порнографию, провокационные материалы
религиозной или политической тематики. Родители могут установить такую
программу на компьютере, который используется ребенком. Библиотеки и
школы также внедряют такое программное обеспечение для предотвращения
доступа к недопустимому содержимому.
Администратор может использовать следующие виды фильтров.
 Фильтры на основе браузера с использованием сторонних расширений
браузера.
 Фильтры электронной почты с использованием фильтра на стороне
клиента или сервера.
 Фильтры на стороне клиента, установленные на определенном
компьютере.
 Фильтры содержимого на основе маршрутизатора, которые блокируют
трафик на входе в сеть.
 Фильтрация содержимого на основе аппаратно-программного
комплекса аналогична фильтрации на основе маршрутизатора.
 Облачные службы фильтрации содержимого.
Поисковые системы, такие как Google, предоставляют возможность
включения фильтра безопасности, который исключает неуместные ссылки из
результатов поиска.
Нажмите здесь, чтобы сравнить поставщиков программ контроля
содержимого.
Клонирование жесткого диска и утилита Deep Freeze
Существует множество приложений сторонних производителей, которые
позволяют вернуть систему в состояние по умолчанию. Это позволяет
администратору защитить операционную систему и файлы конфигурации
системы.
При клонировании диска содержимое жесткого диска компьютера
копируется в файл образа. Например, администратор создает необходимые
разделы в системе, форматирует раздел, а затем устанавливает операционную
систему. Выполняется установка всех необходимых приложений и настройка
аппаратного обеспечения. Затем администратор использует ПО
клонирования диска для создания файла образа. Клонированный образ
можно использовать в следующих целях.
 Для автоматической очистки системы и восстановления чистого
эталонного образа.
 Для развертывания новых систем в пределах организации.
 В качестве полной резервной копии системы.
Нажмите здесь, чтобы сравнить ПО для клонирования диска.
Утилита Deep Freeze позволяет «заморозить» часть жесткого диска. Когда
пользователь перезагружает систему, «замороженные» настройки
восстанавливаются. Любые изменения, внесенные пользователем, не
сохраняются в системе, поэтому все установленные приложения или
сохраненные файлы утрачиваются после перезагрузки системы.
Если администратору необходимо изменить конфигурацию системы, сначала
необходимо «разморозить» защищенный раздел, отключив утилиту Deep
Freeze. После внесения изменений следует снова включить программу.
Администратор может настроить перезапуск Deep Freeze после выхода
пользователя из системы, завершения работы в заданное время или после
периода неактивности.
Эти продукты не обеспечивают защиту в режиме реального времени.
Система остается уязвимой, пока не будет перезапущена пользователем или
запланированным событием. Однако система, зараженная вредоносным
кодом, полностью очищается после перезагрузки.
Защитные кабели и замки
Существует несколько способов организовать физическую защиту
оборудования компьютера:
 Используйте кабельные замки для оборудования.
 Закрывайте телекоммуникационные помещения.
 Используйте защитные кожухи для оборудования.
Многие портативные устройства и дорогостоящие компьютерные мониторы
снабжены специальными встроенными стальными разъемами для кабельных
замков.
Наиболее распространены стандартные дверные замки с ключом. Они не
блокируются автоматически при закрытии двери. Кроме того, если вставить
между замком и дверным косяком тонкую пластиковую карту, например,
кредитную, дверь может открыться. Дверные замки в коммерческих зданиях
отличаются от дверных замков в жилых помещениях. Для обеспечения
дополнительной безопасности используют ригельные замки. Любой замок,
открываемый ключом, оказывается уязвимым в случае потери, кражи ключа
или создания его дубликата.
Чтобы открыть дверь с шифрозамком, пользователь должен нажать кнопки в
определенной последовательности. Шифрозамок можно запрограммировать.
Это значит, что пользовательский код может работать, к примеру, только в
определенные дни или в определенные промежутки времени. Например,
шифрозамок может разрешать пользователю Боб доступ в серверную только
с 7 утра до 6 вечера с понедельника по пятницу. Шифрозамки также могут
вести учет времени открытия двери и использованного кода.
Блокировка компьютера после бездействия
Сотрудник уходит на перерыв и оставляет свой компьютер. Если сотрудник
не предпринимает никаких действий по защите рабочей станции, вся
информация в этой системе уязвима к несанкционированному доступу.
Организация может предпринять следующие меры для предотвращения
несанкционированного доступа.
Время ожидания и блокировка экрана
Когда сотрудники покидают свое рабочее место, они не всегда выходят из
системы и из своей учетной записи. Поэтому в целях безопасности
рекомендуется настроить таймер ожидания, после срабатывания которого
пользователь автоматически выходит из системы, а экран блокируется.
Чтобы разблокировать экран, пользователю необходимо снова войти в
систему.
Время входа в систему
В некоторых ситуациях в организации может быть разрешен вход
сотрудников в систему только в определенное время, например, с 7:00 до
18:00. Система блокирует попытки входа за рамками указанного интервала
времени.
GPS-мониторинг
Глобальная система позиционирования (GPS) использует спутники и
компьютеры для определения местоположения устройства. Технология GPS
является стандартной функцией на смартфонах и обеспечивает отслеживание
местоположения в режиме реального времени. GPS-мониторинг позволяет
определять точное местоположение с предельной погрешностью в
100 метров. С помощью этой технологии можно отслеживать детей, пожилых
людей, домашних животных и транспортные средства. Однако
использование GPS для поиска мобильного телефона без разрешения
пользователя является вторжением в частную жизнь и считается незаконным.
Многие приложения на мобильных телефонах используют GPS-мониторинг
для отслеживания местоположения телефона. Например, пользователи
Facebook могут поставить геометку в каком-либо месте, и эта информация
будет доступна их друзьям.
Реестр устройств и радиометки
Технологии радиочастотной идентификации (Radio frequency identification,
RFID) используют радиоволны для выявления и отслеживания объектов. В
RFID-системах для инвентаризации помечаются все средства, которые
организация хочет отслеживать. Метки содержат встроенную схему, которая
подключается к антенне. Радиометки имеют небольшой размер и потребляют
очень мало энергии, поэтому для хранения информации и обмена ею с
устройством считывания аккумулятор не нужен. RFID позволяет
автоматизировать отслеживание ресурсов, а также блокировать,
разблокировать и настраивать электронные устройства по беспроводной
сети.
RFID-системы функционируют на разных частотах. Низкочастотные системы
имеют более узкий диапазон и более низкую скорость считывания данных,
но менее чувствительны к радиопомехам, вызываемым жидкостями и
металлами, находящимися поблизости. Системы, работающие на более
высоких скоростях передачи данных, позволяют считывать данные быстрее и
на большем расстоянии, однако более чувствительны к радиопомехам.
Управление удаленным доступом
Понятие удаленного доступа относится к любому сочетанию аппаратного и
программного обеспечения, которое предоставляет пользователям доступ к
внутренней сети извне.
В операционной системе Windows технические специалисты могут
использовать утилиты удаленного помощника и удаленного рабочего стола
для восстановления и обновления компьютеров. Как показано на рисунке,
удаленный рабочий стол позволяет получить доступ к компьютеру и
управлять им дистанционно. Удаленный помощник позволяет техническим
специалистам дистанционно помогать заказчикам решать проблемы. С его
помощью заказчик также может в режиме реального времени просматривать
на экране действия по восстановлению или обновлению.
Функция удаленного рабочего стола по умолчанию отключена после
установки Windows. Включение этой функции открывает порт 3389 и может
привести к уязвимости, если пользователю не нужен этот сервис.
Telnet, SSH и SCP
Протокол Secure shell (SSH) — это протокол, который обеспечивает
безопасное (зашифрованное) соединение для управления удаленным
устройством. Для безопасного управления удаленными подключениями
Cisco рекомендует заменить протокол Telnet протоколом SSH. Telnet
является более ранним протоколом, использующим небезопасную
незашифрованную передачу как данных, так и идентификационной
информации (имя пользователя и пароль) между взаимодействующими
устройствами. SSH обеспечивает защиту удаленных подключений,
предоставляя надежное шифрование данных аутентификации устройства
(имя пользователя и пароль), а также данных, передаваемых между
устройствами. SSH использует TCP-порт 22. Telnet использует TCP-порт 23.
На рис. 1 киберпреступники отслеживают пакеты, используя Wireshark. На
рис. 2 киберпреступники перехватывают имя и пароль администратора из
незашифрованного сеанса Telnet.
На рис. 3 показан просмотр сеанса SSH программой Wireshark.
Киберпреступники отслеживают сеанс, используя IP-адрес устройства
администратора, однако на рис. 4 имя пользователя и пароль в сеансе
зашифрованы.
Протокол SCP обеспечивает надежную передачу компьютерных файлов
между двумя удаленными системами. Протокол SCP использует SSH для
передачи данных (в том числе элемента аутентификации), обеспечивая таким
образом подлинность и конфиденциальность данных в процессе передачи.
Защита портов и сервисов
Киберпреступники используют сервисы, запущенные в системе, потому что
знают, что на большинстве устройств выполняется больше сервисов или
программ, чем необходимо. Администратор должен проанализировать
каждый сервис, чтобы убедиться в его необходимости и провести оценку
риска. Удалите все ненужные службы.
Отключение неиспользуемых портов — это простой способ защиты сети от
несанкционированного доступа, используемый многими администраторами.
К примеру, если коммутатор имеет 24 порта и при этом используются три
подключения Fast Ethernet, рекомендуется отключить 21 неиспользуемый
порт.
Процесс включения и выключения портов может занять много времени, но
он повышает безопасность сети и стоит потраченных усилий.
Привилегированные учетные записи
Киберпреступники стараются получить доступ к привилегированным
учетным записям, поскольку они имеют наиболее полные права в
организации. Учетные данные привилегированных учетных записей
позволяют получить доступ к системам; такие учетные записи дают
неограниченный доступ с полными правами. С помощью таких учетных
записей администраторы могут развертывать операционные системы,
приложения и сетевые устройства и управлять ими. На рисунке показаны
типы привилегированных учетных записей.
Необходимо внедрить в организации следующие лучшие практики для
защиты привилегированных учетных записей.
 Следует выявить и сократить до минимума количество
привилегированных учетных записей.
 Необходимо применять принцип минимальных прав.
 Следует организовать процесс отзыва прав в случае увольнения
сотрудников или изменения занимаемой должности.
 Не должно быть общих учетных записей с паролями, срок действия
которых неограничен.
 Необходимо обеспечить надежное хранение паролей.
 Не следует использовать общие данные учетной записи для нескольких
администраторов.
 Пароли привилегированных учетных записей должны автоматически
изменяться каждые 30 или 60 дней.
 Следует вести запись привилегированных сеансов.
 Необходимо внедрить процесс изменения встроенных паролей для
учетных записей сценариев и сервисов.
 Все действия пользователя должны регистрироваться.
 В случае необычного поведения должны создаваться оповещения.
 Следует отключить неактивные привилегированные учетные записи.
 Для административного доступа необходимо использовать
многофакторную аутентификацию.
 Между конечными пользователями и особо важными ресурсами
следует развернуть шлюз для ограничения воздействия вредоносного
ПО на сетевую инфраструктуру.
Блокировка привилегированных учетных записей имеет очень большое
значение для безопасности организации. Процесс обеспечения безопасности
таких учетных записей должен быть непрерывным. Необходимо регулярно
оценивать этот процесс и вносить в него необходимые изменения для
повышения безопасности.
Групповые политики
В большинстве сетевых инфраструктур, использующих компьютеры
Windows, администратор настраивает Active Directory с доменами на сервере
Windows Server. Компьютеры Windows входят в домен. Администратор
настраивает политики безопасности домена, которые применяется ко всем
компьютерам, входящим в домен. После входа пользователя в систему
Windows автоматически применяются политики учетных записей.
Если компьютер не входит в домен Active Directory, пользователь
настраивает политики с помощью утилиты локальной политики безопасности
Windows. Во всех версиях Windows, за исключением Home Edition,
введите secpol.msc в командной строке, чтобы открыть средство локальной
политики безопасности.
Администратор настраивает политики учетных записей пользователей,
например политики паролей и блокировки в меню «Политики учетных
записей» > «Политики паролей». Если заданы параметры, как показано на
рис. 1, пользователи должны менять свои пароли каждые 90 дней и
использовать новый пароль по крайней мере 1 (один) день. Пароли должны
содержать восемь (8) символов, в том числе три из следующих четырех
категорий: прописные буквы, строчные буквы, цифры и специальных
символы. И наконец, пользователь может использовать пароль повторно
после 24 уникальных паролей.
Политика блокировки учетной записи: доступ к компьютеру
приостанавливается на указанное время в случае многократного неверного
ввода учетных данных. Например, в конфигурации, приведенной на рис. 2,
пользователю предоставляется только пять попыток ввести правильные имя
пользователя и пароль. После пяти неудачных попыток учетная запись
пользователя блокируется на 30 минут. По истечении этих 30 минут счетчик
попыток сбрасывается, после чего пользователь может снова попытаться
войти в систему.
Дополнительные параметры безопасности доступны в папке Локальные
политики. Политика аудита создает файл журнала безопасности, который
используется для отслеживания событий, перечисленных на рис. 3.
Включение журналов и оповещений
В этом журнале регистрируются все события в хронологическом порядке.
Файл журнала состоит из записей журнала, и каждая такая запись содержит
всю информацию, относящуюся к конкретному событию. Роль журналов,
относящихся к компьютерной безопасности, возросла.
Например, в журнале аудита отслеживаются попытки аутентификации
пользователя, а журнал доступа содержит все подробности о запросах
конкретных файлов в системе. Системные журналы мониторинга позволяют
определить, как была осуществлена атака и были ли успешными развернутые
средства защиты.
С увеличением количества файлов журналов, создаваемых для целей
компьютерной безопасности, следует внедрить процесс управления
журналами. Управление журналами определяет процесс создания, передачи,
хранения, анализа и удаления данных журналов безопасности.
Журналы операционной системы
Журналы операционной системы регистрируют события, которые
происходят в результате действий, выполняемых операционной системой. В
число системных событий входят следующие.
 Клиентские запросы и ответы сервера, например, в ходе успешной
аутентификации пользователя.
 Информация об использовании системы, включая количество и размер
транзакций в течение определенного периода времени.
Журналы приложений безопасности
Организации используют сетевое или системное программное обеспечение
для информационной безопасности с целью выявления вредоносных
действий. Это программное обеспечение создает журнал безопасности,
содержащий данные о компьютерной безопасности. Журналы помогают
проводить аудит и выявлять тенденции и долгосрочные проблемы. Кроме
того, с помощью журналов организация может предоставлять документацию,
подтверждающую соблюдение законов и нормативных требований.

Питание
Критически важный элемент защиты информационных систем —
электропитание и потребляемая мощность. Непрерывное электропитание
имеет огромное значение для современных крупных центров хранения
данных и серверных центров. Ниже приведены некоторые общие правила
построения эффективных систем электроснабжения.
 Для центров обработки данных необходимо использовать блок
питания, отдельный от остальной части здания.
 Разнесенные источники питания: две или более линии от двух или
более электрических подстанций.
 Стабилизация электропитания.
 Часто необходимо использовать системы резервного питания.
 Для корректного выключения систем должны быть доступны
источники бесперебойного питания (ИБП).
При разработке систем электропитания необходимо предусмотреть защиту от
различных инцидентов.
Избыточная мощность
 Резкий скачок: мгновенное высокое напряжение
 Выброс напряжения: длительная подача высокого напряжения
Потеря питания
 Прерывание: кратковременная потеря питания
 Отключение: полная потеря питания
Ухудшение параметров электропитания
 Провал напряжения: мгновенное снижение напряжения
 Кратковременное исчезновение напряжения: более длительное
снижение напряжения
 Пусковой ток: первоначальный скачок мощности
Отопление, вентиляция и кондиционирование воздуха (ОВК, HVAC)
Системы ОВК имеют важнейшее значение для безопасности людей и
информационных систем на объектах организации. При проектировании
современных центров ИТ эти системы играют значительную роль в
обеспечении общей безопасности. Системы отопления, вентиляции и
кондиционирования воздуха управляют условиями окружающей среды
(температурой, влажностью, воздушным потоком и фильтрацией воздуха).
Их установку следует учитывать при планировании, и они должны
управляться вместе с другими компонентами центра обработки данных,
такими как вычислительное аппаратное обеспечение, кабельные системы,
системы хранения данных, противопожарной и физической защиты, а также
источники питания. Почти все физические компьютерные аппаратные
устройства имеют определенные требования к условиям эксплуатации,
включая допустимую температуру и влажность. Условия эксплуатации
указываются в спецификации продукта или в руководстве по планированию
физических условий. Очень важно придерживаться этих требований, чтобы
предотвратить сбои и продлить срок эксплуатации ИТ-систем. Коммерческие
системы ОВК и другие системы управления зданием теперь подключаются к
Интернету, что обеспечивает возможность их удаленного мониторинга и
управления. Недавние события показали, что такие системы (часто их
называют «интеллектуальными системами») также создают значительные
риски для безопасности.
Один из этих рисков заключается в том, что лица, получающие доступ к
системе и управляющие ею, работают на стороннего поставщика или
подрядчика. Поскольку техническим специалистам по ОВК необходимо
быстро находить информацию, важные данные, как правило, хранятся в
нескольких местах, что делает их доступными для еще большего числа
людей. В результате доступ к учетным данным для системы ОВК может
получить множество людей, включая различных сотрудников подрядчика.
Сбои в работе этих систем могут представлять значительную опасность для
информационной безопасности организации.
Контроль аппаратных средств
Мониторинг аппаратного обеспечения часто применяется на крупных
серверных фермах. Серверная ферма — это объект, в котором размещены
сотни или тысячи серверов, используемых компаниями. У компании Google
по всему миру есть много серверных ферм для обеспечения оптимального
обслуживания клиентов. Даже небольшие компании создают локальные
серверные фермы для размещения растущего количества серверов,
необходимых для ведения бизнеса. Системы мониторинга аппаратного
обеспечения контролируют состояние оборудования и помогают
минимизировать время простоя серверов и приложений. В современных
системах мониторинга аппаратного обеспечения используются порты USB и
сетевые порты для передачи сведений о температуре центрального
процессора, статусе блока питания, скорости вращения и температуре
вентилятора, состоянии памяти, дисковом пространстве и статусе сетевой
карты. Системы мониторинга аппаратного обеспечения позволяют
контролировать сотни или тысячи систем с одного терминала. По мере роста
числа серверных ферм системы мониторинга аппаратного обеспечения стали
базовыми средствами противодействия угрозам безопасности.
Оперативные центры
Центр управления сетью (Network Operation Center, NOC) представляет собой
одну или несколько площадок, предоставляющих администраторам
инструменты подробного мониторинга состояния сетевой инфраструктуры
организации. Центр управления сетью выступает в качестве базы для поиска
и устранения неполадок сетевой инфраструктуры, мониторинга
производительности, распределения и обновления программного
обеспечения, управления коммуникацией и устройствами.
Центр мониторинга и управления безопасностью (Security Operation Center,
SOC) — это специализированная площадка, обеспечивающая мониторинг,
оценку и защиту информационных систем организации, таких как веб-сайты,
приложения, базы данных, центры обработки данных, сетевые
инфраструктуры, серверы и пользовательские системы. В центре SOC
работает группа аналитиков безопасности, которые занимаются выявлением
и анализом событий кибербезопасности, реагированием на них и
составлением отчетов, а также предотвращением инцидентов
информационной безопасности.
Для обработки событий используется иерархическая многоуровневая
структура. Первый уровень — уровень обработки событий. Все события,
которые не удается обработать, эскалируются на второй уровень.
Сотрудники на уровне 2 тщательно изучают инцидент, пытаясь его
устранить. Если это не удается сделать, они передают событие на уровень 3,
экспертам в определенной области.
Для оценки общей эффективности работы оперативного центра в
организациях проводятся практические учения и упражнения. Упражнение
выполняется командой в смоделированной на компьютере среде по
сценарию, имитирующему события, с целью оценки эффективности работы
центра. Более эффективным средством является моделирование
полноценного вторжения без предупреждения. Оно включает использование
атакующей «красной команды», независимой группы лиц, которые создают
угрозу для процессов организации с целью оценки эффективности защиты
информации. Например, красная команда должна атаковать важную бизнес-
систему, а ее действия включают разведку и организацию атаки, эскалацию
полномочий и удаленный доступ.
Коммутаторы, маршрутизаторы и сетевые устройства
Сетевые устройства поставляются либо без паролей, либо с паролями по
умолчанию. Перед подключением устройства к сетевой инфраструктуре
необходимо изменить пароль по умолчанию. Задокументируйте и внесите в
журнал изменения в сетевых устройствах. Наконец, изучите все журналы
конфигурации.
В следующих разделах рассматриваются некоторые меры, которые
администратор может предпринять для защиты различных сетевых
устройств.
Коммутаторы
Сетевые коммутаторы составляют ядро современной сетевой
инфраструктуры передачи данных. Главную угрозу сетевым коммутаторам
представляют кража, хакерская деятельность и удаленный доступ, атаки с
использованием таких сетевых протоколов, как ARP/STP, или атаки,
нацеленные на снижение производительности и доступности. Средства
контроля и меры защиты от угроз для сетевых коммутаторов включают
улучшение физической безопасности, дополнительные настройки и
установку соответствующих обновлений и исправлений по мере
необходимости. Еще одним эффективным средством контроля является
обеспечение безопасности портов. Администратор должен обеспечить
защиту всех портов (интерфейсов) коммутатора перед его развертыванием
для эксплуатации в рабочих условиях. Один из способов защиты портов —
использование функции безопасности портов (функция Port Security). Данная
функция ограничивает количество допустимых МАС-адресов на одном
порту. Коммутатор разрешает доступ к устройствам с одобренными MAC-
адресами и отклоняет все прочие MAC-адреса.
Сети VLAN
Сети VLAN позволяют группировать устройства в пределах локальной сети и
на отдельных коммутаторах. В виртуальных локальных сетях логические
соединения используются вместо физических. Отдельные порты
коммутатора можно назначить конкретным сетям VLAN. Другие порты
можно использовать для физического межсоединения коммутаторов друг с
другом и обеспечения возможности передачи между ними трафика
нескольких VLAN. Эти порты называются магистральными.
Например, отделу кадров необходимо защитить конфиденциальные данные.
Сети VLAN позволяют администратору производить сегментацию сетевой
инфраструктуры по функциям, проектным группам или областям
применения, независимо от физического расположения пользователя или
устройства (см. рис. 1). Устройства в пределах VLAN работают таким
образом, будто находятся в собственной независимой сети, даже если делят
одну общую инфраструктуру с другими VLAN. Сеть VLAN может
изолировать группы, обрабатывающие конфиденциальные данные, от
остальной части сетевой инфраструктуры, тем самым уменьшая вероятность
утечки этих данных. Магистральные каналы обеспечивают возможность
физического подключения пользователей сети VLAN отдела кадров к
нескольким коммутаторам.
Есть много различных типов атак и уязвимостей сети VLAN, включая атаки
на протоколы VTP. Их подробное описание не включено в данный курс.
Хакеры также могут организовывать атаки на производительность и
доступность сети VLAN. Стандартные меры защиты от угроз включают
мониторинг изменений и производительности сети VLAN, дополнительные
настройки и регулярную установку исправлений и обновлений для IOS.
Межсетевые экраны
Межсетевые экраны представляют собой аппаратные или программные
решения, направленные на повышение степени безопасности сети.
Межсетевой экран фильтрует неавторизованный или потенциально опасный
трафик, предотвращая его проникновение в сетевую инфраструктуру (рис. 2).
Простой межсетевой экран обеспечивает базовые функции фильтрации с
использованием списков контроля доступа (ACL). Использование ACL-
списков позволяет администраторам останавливать трафик или допускать в
сеть только определенный трафик. Список контроля доступа (ACL) — это
последовательный список правил разрешения или запрета, применяемых по
отношению к адресам или протоколам. ACL-списки позволяют эффективно
контролировать входящий и исходящий трафик сети. Межсетевые экраны
сдерживают атаки на частную сеть и часто являются целью хакеров,
стремящихся обойти их защиту. Главную угрозу межсетевым экранам
представляют кража, хакерская деятельность и удаленный доступ, атаки на
списки контроля доступа (ACL) или атаки, нацеленные на снижение
производительности и доступности устройства. Меры защиты от угроз для
межсетевых экранов включают улучшение физической безопасности,
дополнительные настройки, удаленный защищенный доступ и
аутентификацию, а также установку соответствующих обновлений и
исправлений по мере необходимости.
Маршрутизаторы
Маршрутизаторы обеспечивают доступ в Интернет и обмен данными между
различными сетевыми инфраструктурами. Маршрутизаторы обмениваются
друг с другом информацией для определения наилучшего пути доставки
трафика в различные сетевые инфраструктуры. Для принятия решения о
пересылке пакетов маршрутизаторы используют протоколы маршрутизации.
В них также могут быть интегрированы другие сервисы, например
функциональность коммутаторов и межсетевых экранов. В результате
маршрутизаторы становятся первоочередной целью. Главную угрозу сетевым
маршрутизаторам представляют кража, хакерская деятельность и удаленный
доступ, атаки с использованием таких протоколов маршрутизации, как
RIP/OSPF, или атаки, нацеленные на снижение производительности и
доступности. Меры защиты от угроз для сетевых маршрутизаторов включают
улучшение физической безопасности, дополнительные настройки,
использование защиты протоколов маршрутизации с использованием
аутентификации и установку соответствующих обновлений и исправлений по
мере необходимости.
Беспроводные и мобильные устройства
Беспроводные сети и мобильные устройства стали преобладающим типом
устройств в большинстве современных сетевых инфраструктур. Они
обеспечивают мобильность и удобство, но в то же время сопряжены с
огромным количеством уязвимостей. Эти уязвимости включают в себя
кражу, хакерскую деятельность и несанкционированный удаленный доступ,
анализ трафика, атаки через посредника (MitM) или атаки, направленные на
снижение производительности и доступности. Лучший способ защиты
беспроводных сетей — использование аутентификации и шифрования. В
первоначальном стандарте для беспроводных сетей, 801.11, было
представлено два типа аутентификации, как показано на рисунке.
 Аутентификация открытой системы — любое беспроводное устройство
может подключиться к беспроводной сети. Этот способ используется в
тех случаях, когда не требуется обеспечивать информационную
безопасность.
 Аутентификация с помощью общего ключа — предоставляет
механизмы аутентификации и шифрования данных, передаваемых
между беспроводным клиентом и точкой доступа или беспроводным
маршрутизатором.
В сетях WLAN доступны три варианта аутентификации с помощью общего
ключа.
 Эквивалент секретности проводной сети (Wired Equivalent Privacy,
WEP) — спецификация обеспечения безопасности WLAN,
определенная в первоначальном стандарте 802.11. Однако при
передаче пакетов ключ не меняется, поэтому его достаточно легко
взломать.
 Защищенный доступ к Wi-Fi (Wi-Fi Protected Access, WPA) — этот
стандарт использует WEP, но обеспечивает защиту данных при
помощи гораздо более надежного протокола шифрования с
использованием временных ключей (TKIP). Алгоритм TKIP меняет
ключ для каждого пакета, поэтому его гораздо сложнее взломать.
 IEEE 802.11i/WPA2 — стандарт IEEE 802.11i является в настоящее
время отраслевым стандартом безопасности беспроводных локальных
сетей. В 802.11i и WPA2 используется симметричный алгоритм
блочного шифрования (AES), который на данный момент является
самым устойчивым.
С 2006 года все устройства, на которые нанесен логотип Wi-Fi Certified,
сертифицированы для использования WPA2. Поэтому современные
беспроводные сети всегда должны использовать стандарт 802.11i/WPA2.
Другие меры защиты от угроз включают улучшение физической
безопасности и регулярную установку обновлений и исправлений.

Сетевые сервисы и сервисы маршрутизации


Киберпреступники атакуют устройства, используя уязвимые сетевые
сервисы, в том числе в качестве компонента атаки. Чтобы проверить наличие
небезопасных сетевых сервисов, используйте сканер портов для поиска
открытых портов на устройстве. Сканер портов — это приложение, которое
проверяет открытые порты на устройстве, отправляя сообщение на каждый
из портов и ожидая ответа. В ответе указывается, каким образом
используется порт. Киберпреступники используют сканер портов для
аналогичной цели. Для безопасности сетевых сервисов только необходимые
порты должны быть доступны для использования и обнаружения.
Протокол динамической конфигурации хоста (DHCP)
DHCP использует сервер для автоматического назначения IP-адресов и
других параметров конфигурации сетевым устройствам. По сути, устройство
получает от сервера DHCP разрешение на использование сетевой
инфраструктуры. Хакеры могут атаковать серверы DHCP, чтобы запретить
доступ к устройствам в сети. На рис. 1 показан контрольный список
безопасности для сервера DHCP.
Система доменных имен (DNS)
DNS преобразует универсальный указатель ресурса URL или адрес веб-сайта
(http://www.cisco.com) в IP-адрес сайта. Когда пользователь вводит веб-адрес
в адресной строке, DNS-серверы преобразуют его в фактический IP-адрес
назначения. Киберпреступники могут атаковать DNS-серверы, чтобы
запретить доступ к сетевым ресурсам или перенаправить трафик на
мошеннические веб-сайты. Нажмите рис. 2, чтобы просмотреть контрольный
список безопасности для DNS-сервера. Для защиты от атак используйте
безопасные сервисы и аутентификацию между DNS-серверами.
Протокол ICMP
Сетевые устройства используют протокол ICMP для отправки сообщений об
ошибках, например, если запрашиваемый сервис недоступен или хосту не
удалось связаться с маршрутизатором. Команда ping — это сетевая утилита,
которая использует протокол ICMP для проверки соединения с хостом в
сетевой инфраструктуре. Утилита Ping отправляетэхо-запрос ICMP на другой
хост и ожидает ответа. Киберпреступники могут вмешиваться в
использование ICMP для злонамеренных целей (см. рис. 3). В DoS-атаках
используется протокол ICMP, поэтому во многих сетевых инфраструктурах
для предотвращения таких атак применяется фильтрация определенных
запросов ICMP.
Протокол маршрутной информации (RIP)
RIP ограничивает количество транзитных участков в сетевой инфраструктуре
от исходного устройства до места назначения. RIP допускает не более 15
транзитных участков. RIP — протокол маршрутизации, который
используется для обмена данными маршрутизации, в том числе о сетевых
инфраструктурах, доступных для каждого маршрутизатора, и расстоянии до
этих инфраструктур. RIP рассчитывает оптимальный маршрут на основе
числа переходов. На рис. 4 перечислены уязвимости протокола RIP и
средства защиты от атак на него. В качестве цели хакеры могут выбрать
маршрутизаторы и протокол RIP. Атаки на сервисы маршрутизации могут
повлиять на производительность и доступность. Некоторые атаки могут даже
привести к перенаправлению трафика. Для защиты сервисов маршрутизации,
например протокола RIP, используйте безопасные сервисы с
аутентификацией и устанавливайте исправления и обновления системы.
NTP (Network Time Protocol)
При работе с сетями необходимо следить за правильной настройкой времени.
Точные метки времени необходимы для отслеживания событий в сетевой
инфраструктуре, например нарушений системы безопасности.
Синхронизация часов имеет решающее значение для правильной
интерпретации событий в файлах данных системного журнала, равно как и
для цифровых сертификатов.
Протокол NTP синхронизирует часы компьютерных систем с
использованием сетевой инфраструктуры. NTP позволяет сетевым
устройствам синхронизировать свои настройки времени с сервером NTP. На
рис. 5 перечислены различные способы безопасной синхронизации в сетевой
инфраструктуре. Киберпреступники атакуют серверы времени, чтобы
нарушить безопасный обмен данными на основе цифровых сертификатов и
скрыть информацию об атаке, например ее точное время.
Оборудование VoIP
Оборудование VoIP использует сети, например, Интернет, для звонков по
телефону. Для реализации технологии VoIP требуется Интернет-
подключение и телефон. Доступно несколько вариантов.
 Традиционный телефон с адаптером (адаптер выступает в роли
аппаратного интерфейса между традиционным аналоговым телефоном
и цифровой линией VoIP).
 Телефон с поддержкой VoIP.
 Программное обеспечение VoIP, установленное на компьютере.
В большинстве используемых частными лицами служб VoIP телефонные
звонки осуществляются через Интернет. Однако во многих организациях
используют частные сети, поскольку они обеспечивают более надежную
защиту и качество сервиса. Безопасность VoIP напрямую зависит от
безопасности сети. Киберпреступники нацеливаются на эти системы, чтобы
получить доступ к бесплатным телефонным сервисам, подслушивать
телефонные звонки или повлиять на производительность и доступность.
Для защиты VoIP применяются следующие средства.
 Шифрование пакетов голосовых сообщений для защиты от
прослушивания.
 Использование SSH для защиты шлюзов и коммутаторов.
 Изменение всех паролей, установленных по умолчанию.
 Использование системы обнаружения вторжений для выявления атак,
таких как ARP-poisoning.
 Использование строгой аутентификации для минимизации риска
подмены регистрации (киберпреступники перенаправляют на себя все
входящие звонки жертве), имитации прокси (киберпреступники
хитростью заставляют жертву обращаться к созданному ими прокси-
серверу) и перехвата звонка (звонок перехватывается и
перенаправляется, прежде чем достигнет места назначения).
 Использование межсетевых экранов, которые распознают VoIP, для
мониторинга потоков и фильтрации аномальных сигналов.
Нарушение работы сетевой инфраструктуры также ведет к нарушению
голосовой связи.
Камеры
IP-камера отправляет и получает данные через локальную сеть или Интернет.
Пользователь может дистанционно просматривать видео в реальном времени
с помощью веб-браузера на разнообразных устройствах, в том числе
компьютерных системах, ноутбуках, планшетах и смартфонах.
Камеры представлены разнообразными моделями, в том числе
традиционными камерами видеонаблюдения. Также есть веб-камеры,
спрятанные в радиочасах, книгах или DVD-проигрывателях.
Веб-камеры передают цифровое видео через сеть данных. Камера
подключается непосредственно к сетевой инфраструктуре и имеет все
необходимое для передачи видео по сети. На рисунке перечислены лучшие
практики для систем видеонаблюдения.
Оборудование для видео-конференц-связи
Оборудование для видео-конференц-связи предоставляет возможность
одновременного подключения из двух или более площадок с помощью
телекоммуникационных технологий. В этих технологиях применяются новые
стандарты видео высокой четкости. Различные продукты, например Cisco
TelePresence, позволяют группе людей на одной площадке организовать
конференц-связь с группой людей, находящихся в других местах, в режиме
реального времени. Видео-конференц-связь теперь используется в рамках
обычной повседневной работы в таких отраслях, как здравоохранение. Врачи
могут осматривать пациентов и консультироваться по обнаруженным
симптомам с экспертами для определения возможных методов лечения.
Многие небольшие клиники нанимают фельдшеров, которые могут в
реальном времени связываться с врачами по видео-конференц-связи, чтобы
запланировать визит или проконсультироваться в чрезвычайной ситуации.
Многие производственные организации используют телеконференции, чтобы
помочь инженерам и техническим специалистам при выполнении сложных
операций или обслуживании. Оборудование для видео-конференц-связи
может быть очень дорогостоящим и представлять интерес для воров и
киберпреступников. Нажмите здесь, чтобы просмотреть видео о
возможностях систем видео-конференц-связи. Киберпреступники
нацеливаются на эти системы, чтобы подслушивать видеозвонки или
повлиять на их производительность и доступность.
Сетевые датчики и датчики Интернета вещей
Одним из самых быстрорастущих направлений информационных технологий
является использование интеллектуальных устройств и датчиков. В
компьютерной отрасли этот сектор известен под названием Интернет вещей
(IoT). Предприятия и клиенты используют устройства IoT для автоматизации
процессов, мониторинга условий окружающей среды и оповещения
пользователей, если эти условия становятся неблагоприятными.
Большинство устройств IoT подключаются к сети с помощью беспроводных
технологий. В число таких устройств входят камеры, дверные замки,
бесконтактные датчики, осветительные приборы и другие типы датчиков,
которые используются для сбора информации о среде или о состоянии
какого-либо устройства. Некоторые изготовители устройств используют
Интернет вещей для информирования пользователей о необходимости
замены деталей, сбое компонентов или о расходе чего-либо.
Предприятия используют эти устройства для отслеживания оборудования,
транспортных средств и персонала. Устройства IoT часто содержат
геопространственные датчики. Пользователь может в глобальном масштабе с
учетом географических координат отслеживать и контролировать параметры
окружающей среды, такие как температура, влажность и освещение. Отрасль
IoT представляет огромную проблему для специалистов по информационной
безопасности, поскольку многие устройства IoT собирают и передают
конфиденциальную информацию. Киберпреступники нацеливаются на эти
системы, чтобы перехватывать данные или влиять на производительность и
доступность.

Ограждения и преграды
Физические препятствия — это первое, что приходит на ум, когда думаешь о
физической безопасности. Это самый внешний уровень системы
безопасности, и эти решения являются наиболее заметными для сторонних
пользователей. Система безопасности периметра обычно состоит из
следующих компонентов.
 Система ограждения по периметру.
 Ворота в системе защиты объекта.
 Блокираторы движения (короткие столбики, препятствующие заезду
транспортных средств, как показано на рис. 2).
 Барьер на въезде транспортных средств.
 Помещение для охраны.
Ограждение — это барьер, ограничивающий защищенные области и
обозначающий границы собственности. Все барьеры должны
соответствовать конкретным проектным требованиям и заводским
спецификациям. Области с высоким уровнем безопасности часто требуют
дополнительных средств охраны на верхней части ограждения, например
использования колючей проволоки или колючей ленты. При проектировании
систем ограждения для периметра применяются следующие правила.
 Ограждение высотой 1 метр (3–4 фута) будет сдерживать только
случайных прохожих.
 Ограждение высотой 2 метра (6–7 футов) является слишком высоким
для случайных прохожих.
 Ограждение высотой 2,5 метра (8 футов) временно задержит лицо,
намеренно проникающее на территорию.
Колючая проволока наверху обеспечивает дополнительный сдерживающий
фактор и может задержать нарушителя, серьезно поранив его. Тем не менее
злоумышленники могут использовать одеяло или матрас для уменьшения
этой угрозы. Местные правила могут ограничивать допустимые типы
системы ограждения.
Необходимо регулярно проводить обслуживание ограждений. Животные
могут делать подкопы под забором, а земля может вымываться. В результате
ограждение станет неустойчивым, обеспечивая легкий доступ для
нарушителя. Регулярно проверяйте системы ограждения. Запрещается
парковка транспортных средств вблизи ограждения. Автомобиль,
припаркованный возле ограждения, может помочь нарушителю забраться на
ограждение или повредить его. Нажмите здесь, чтобы ознакомиться с
дополнительными рекомендациями по возведению ограждений.
Технологии биометрической идентификации
Биометрия — это автоматизированные способы распознавания человека,
основанные на физиологических или поведенческих характеристиках.
Биометрические системы аутентификации используют такие методы, как
аутентификация по геометрии или термограмме лица, отпечаткам пальцев,
геометрии руки, радужной оболочке и сетчатке глаза, рукописному почерку и
голосу. Биометрические технологии могут стать основой для хорошо
защищенных решений идентификации и удостоверения личности.
Увеличение числа нарушений безопасности и мошенничества с
транзакциями привело к росту популярности биометрических систем.
Биометрия позволяет обеспечить конфиденциальность финансовых
транзакций и личных данных. Например, на смартфонах Apple используется
технология считывания отпечатков пальцев. Отпечаток пальца пользователя
разблокирует устройство и предоставляет доступ к различным приложениям,
таким как интернет-банкинг или платежные приложения.
При сравнении биометрических систем следует учесть несколько важных
факторов: точность, скорость и пропускная способность, приемлемость для
пользователей, уникальность биометрического органа или действия,
устойчивость к фальсификации, надежность, требования к хранению данных,
время регистрации и удобство процедуры сканирования. Наиболее важным
фактором является точность. Точность выражается в типах и серьезности
последствий ошибок.
Первый класс — это ошибки первого рода или ошибочные отказы. Они
происходят, когда в доступе отказывается зарегистрированному
авторизованному пользователю. С точки зрения разграничения доступа, если
требуется препятствовать доступу злоумышленников, ошибочный отказ
является наименее важной ошибкой. Однако во многих биометрических
приложениях ошибочные отказы могут оказывать весьма негативное
воздействие на бизнес. Например, в банке или розничном магазине
необходимо проверить подлинность личности клиента и его баланс.
Ошибочный отказ означает, что транзакция или продажа не будут
выполнены, и заказчик будет расстроен. Большинство банков и розничных
магазинов готовы допустить небольшое число пропусков запрещенных
событий, если число ошибочных отказов минимально.
Процент пропуска запрещенных событий указывает долю признания
системой незарегистрированных пользователей или мошенников в качестве
легитимных пользователей. Ошибочное признание относится к ошибкам
второго рода. Ошибки второго рода предоставляют доступ
злоумышленникам, поэтому обычно считаются наиболее серьезными
ошибками в биометрической системе контроля доступа.
Для измерения точности биометрической аутентификации наиболее широко
используется уровень пересечения вероятности ошибок (CER). CER
представляет равенство частот появления ошибочных отказов и ошибочных
признаний (см. рис.).
Пропуска и журналы доступа
Пропуск позволяет человеку получить доступ к области с
автоматизированными точками входа. Точкой входа может быть дверь,
турникет, ворота или другое препятствие. В пропусках используются
различные технологии, такие как магнитная полоса, штрихкод или
технологии биометрической идентификации.
Устройство считывания карт считывает номер, содержащийся на пропуске.
Система отправляет этот номер на компьютер, который принимает решение о
доступе на основе предоставленных учетных данных. Система регистрирует
транзакцию, и впоследствии можно обратиться к этой информации. В
отчетах указывается личность вошедшего, время и точка входа.
Охрана и сопровождение
Все средства физического разграничения доступа, включая системы
сдерживания и обнаружения, в конечном итоге полагаются на персонал,
который должен вмешаться и остановить фактическую атаку или вторжение.
В хорошо защищенных объектах размещения информационных систем
доступ к особо важным зонам организации регулируется охранниками.
Преимущество найма охранников состоит в том, что они адаптируются
лучше, чем автоматизированные системы. Охранники могут изучить и
отличить множество различных условий и ситуаций и принимать решения на
месте. Это лучшее решение для разграничения доступа, когда ситуация
требует мгновенных и надлежащих мер реагирования. Однако это верно не
всегда. В системе, основанной на работе охранников, есть многочисленные
недостатки, включая расходы и невозможность контролировать и
регистрировать большой объем трафика. Использование охранников также
вносит фактор человеческой ошибки.
Видеонаблюдение и наблюдение с использованием электронных средств
Видеонаблюдение и наблюдение с использованием электронных средств
может дополнить, а в некоторых случаях и заменить охранников.
Преимущества видеонаблюдения или наблюдения с использованием
электронных средств заключаются в возможности отслеживать зоны даже в
отсутствие охранников или персонала, возможности записи и ведения
истории видео и данных наблюдения в течение длительного времени и
возможности использования технологий обнаружения движения и
уведомления.
Кроме того, можно обеспечить более высокую точность фиксации событий
даже после того, как они произошли. Другим большим преимуществом этого
типа обеспечения безопасности является возможность вести наблюдение с
точек, труднодоступных для охранников. Кроме того, для контроля всего
периметра объекта использование камер может оказаться гораздо более
экономичным. В хорошо защищенной среде следует разместить системы
видеонаблюдения или наблюдения с использованием электронных средств на
всех входах, выходах, погрузочных площадках, лестничных клетках и местах
сбора мусора. В большинстве случаев эти системы дополняют охранников.
RFID и беспроводное наблюдение
Отслеживание расположения важных ресурсов информационной системы и
управление ими является ключевой задачей для большинства организаций.
Рост числа мобильных устройств и устройств IoT усложнил ее еще больше.
Длительный поиск необходимого оборудования может вести к
дорогостоящим задержкам или простоям. Использование
инвентаризационных меток технологии радиочастотной идентификации
(Radio frequency identification, RFID) позволяет существенно облегчить
работу персонала службы безопасности. Можно разместить устройства
считывания RFID-меток в дверных рамах защищенных помещений так, что
они будут незаметны для людей.
Преимущество инвентаризационных RFID-меток заключается в возможности
отслеживать любой ресурс, который физически покидает защищенную
область. Новые системы инвентаризационных RFID-меток могут
одновременно считывать несколько меток. Для работы RFID-систем не
требует прямая видимость. Еще одним преимуществом RFID является
способность считывать незаметные метки. В отличие от штрихкодов и меток,
считываемых при помощи человека, которые должны быть физически
расположены в легкодоступном месте, при сканировании радиометки не
обязательно должны быть видимыми. Например, чтобы физически
обнаружить и просмотреть штрихкод или визуальную метку на корпусе ПК
под столом, сотрудник должен будет забраться под стол. Использование
радиометки позволит сотруднику провести сканирование метки, даже не
видя ее.
Глава 8. Как стать специалистом в области кибербезопасности
В результате развития технологий появился целый ряд устройств, которые
ежедневно используются во всем мире для общения и связи. Однако,
улучшение способов коммуникации привело к увеличению риска краж,
мошенничества и злоупотребления на всех уровнях технологической
инфраструктуры. В этой главе рассматривается семь уровней
информационно-технологической инфраструктуры. Для каждого уровня
необходимы соответствующие средства контроля безопасности, чтобы
соблюсти требования триады «конфиденциальность, целостность,
доступность».
В этой главе речь пойдет о законах, которые определяют требования к
технологиям и кибербезопасности. Большинство этих законов предназначены
для защиты данных в различных отраслях и оперируют понятиями
конфиденциальности и информационной безопасности. Правительственные
органы США применяют эти законы для регулирования деятельности
организаций. Специалист по обеспечению кибербезопасности должен
понимать, как принимать этичные решения, руководствуясь законом и
интересами организации. Киберэтика изучает влияние использования
компьютеров и технологий на отдельных людей и общество в целом.
Организации нанимают специалистов по кибербезопасности на различные
должности, например тестировщиков уязвимостей, аналитиков по вопросам
информационной безопасности и т. д. Специалисты по кибербезопасности
помогают защитить личные данные и обезопасить использование сетевых
сервисов. В этой главе рассказывается, как стать специалистом по
кибербезопасности. Кроме того, в ней рассматривается ряд инструментов,
которые специалисты по кибербезопасности используют в своей работе.
Общие угрозы и уязвимости, связанные с пользователями
Уровень пользователей охватывает пользователей, имеющих доступ к
информационной системе организации. Пользователи могут быть
сотрудниками, заказчиками, подрядчиками или другими лицами, которым
нужен доступ к данным. Пользователи обычно выступают в роли самого
слабого звена в системах обеспечения информационной безопасности и
представляют серьезную угрозу конфиденциальности, целостности и
доступности данных организации.
Рискованные или необдуманные действия пользователей снижают
эффективность даже лучших систем безопасности. Ниже перечислены
распространенные угрозы для организаций, возникающие в результате
деятельности пользователей.
 Отсутствие осведомленности — пользователи должны знать, что
такое конфиденциальные данные и какие политики безопасности и
процедуры, технологии и контрмеры используются для защиты
информации и информационных систем.
 Несоблюдение политик безопасности — все пользователи должны
быть осведомлены о политиках безопасности, применяемых в
организации, и последствиях их несоблюдения.
 Кража данных — кражи данных пользователями могут дорого
обходиться организации, так как наносят ущерб ее репутации или
влекут юридическую ответственность вследствие раскрытия
конфиденциальной информации.
 Неавторизованные загрузки — несанкционированная загрузка
электронных сообщений, фотографий, музыки, игр, приложений,
программ и видео нередко становится источником атак и заражения
рабочих станций, сетевых инфраструктур и устройств хранения
данных.
 Неавторизованные носители информации — использование
неавторизованных носителей, таких как компакт-диски, USB-
накопители и сетевые системы хранения данных, может привести к
кибератакам и заражению вредоносными программами.
 Неавторизованные сети VPN — злоумышленники используют сети
VPN для кражи информации. Предполагается, что шифрование должно
обеспечивать защиту конфиденциальности, но оно также может
использоваться для несанкционированной передачи данных незаметно
для специалистов службы ИТ-безопасности.
 Неавторизованные веб-сайты — посещение неавторизованных веб-
сайтов может представлять угрозу для данных пользователя, устройств
и организации. Многие веб-сайты предлагают посетителям загрузить
скрипты и плагины, которые на самом деле содержат вредоносный код
или рекламное ПО. Некоторые сайты могут перехватывать контроль
над камерами и приложениями.
 Повреждение систем, приложений или данных — случайное или
преднамеренное повреждение или нарушение работы систем,
приложений и данных, которое представляет большой риск для
организаций. Активисты, недовольные сотрудники и конкуренты могут
удалить данные, уничтожить или перенастроить устройства, чтобы
помешать доступу к данным и информационным системам.
Безопасность информационных систем в конечном итоге зависит от
поведения пользователей и соблюдения ими необходимых процедур не
меньше, чем от технических решений, элементов управления или контрмер.
Управление угрозами, связанными с пользователями
Организации могут принимать различные меры для нейтрализации угроз,
связанных с пользователями.
 Повышение уровня знаний принципов и мер безопасности, включая
использование тематических плакатов, добавление напоминаний в
приветственные сообщения и рассылку напоминаний сотрудникам
 Ежегодное обучение пользователей, обновление рабочих инструкций и
руководств для сотрудников
 Оценка эффективности сотрудника с учетом его знаний принципов и
мер безопасности
 Фильтрация содержимого и сканирование антивирусным ПО вложений
электронной почты
 Фильтрация содержимого по разрешенным или запрещенным
доменным именам в соответствии с политиками допустимого
использования
 Отключение встроенных CD-приводов и USB-портов
 Автоматическое антивирусное сканирование подсоединенных медиа-
носителей, файлов и вложений электронной почты
 Ограничение доступа пользователей только системами, приложениями
и данными, которые необходимы для выполнения рабочих задач
 Предоставление разрешения на запись и удаление данных только их
владельцу
 Отслеживание и контроль нетипичного поведения сотрудников,
нарушений при выполнении служебных обязанностей и использования
инфраструктуры ИТ в нерабочее время
 Внедрение процедур разграничения и блокировки доступа на основе
мониторинга и соблюдения политик надлежащего использования
 Контроль средствами системы обнаружения/предотвращения
вторжений (IDS/IPS) в случае доступа к конфиденциальной
информации и для соответствующих сотрудников
На рисунке показана таблица с угрозами уровня пользователя и контрмерами
для их нейтрализации.

Распространенные угрозы для устройств


Под устройством подразумевается настольный компьютер, ноутбук, планшет
или смартфон, подключенный к сетевой инфраструктуре.
Распространенными угрозами для устройств являются:
 Рабочие станции, оставленные без присмотра — включенные и
оставленные рабочие станции могут использоваться для
несанкционированного доступа к сетевым ресурсам.
 Пользовательские загрузки — загруженные файлы, фотографии,
музыка или видео могут являться источником вредоносного кода.
 Неустраненные уязвимости в ПО — киберпреступники могут
использовать уязвимости безопасности в программном обеспечении.
 Вредоносные программы — каждый день в сети появляются новые
вирусы, интернет-черви и прочий вредоносный код.
 Неавторизованные носители информации — использование USB-
накопителей, CD- или DVD-дисков создает риск заражения
вредоносными программами или повреждения данных, хранящихся на
рабочей станции.
 Нарушение политики допустимого использования — политики
устанавливаются для защиты ИТ-инфраструктуры организации.

Управление угрозами, связанными с устройствами


Организации могут принимать различные меры в целях нейтрализации угроз
для устройств.
 Политики для паролей и порогов блокировки учетных записей на всех
устройствах
 Блокировка экрана после определенного времени бездействия
 Отключение административных прав для пользователей
 Определение политик, стандартов, процедур и рекомендаций по
разграничению доступа
 Установка обновлений и исправлений для всех операционных систем и
программных приложений
 Использование автоматизированного антивирусного ПО для
сканирования системы и его регулярное обновление в целях
обеспечения надлежащей защиты
 Отключение всех CD-, DVD-приводов и USB-портов
 Автоматическое антивирусное сканирование всех подключаемых
CD/DVD-дисков и устройств USB
 Фильтрация содержимого
 Обязательное ежегодное обучение принципам и мерам безопасности
или проведение информационных кампаний и программ, посвященных
повышению уровня знаний принципов и мер безопасности, в течение
всего года
Рисунок демонстрирует таблицу, в которой перечислены угрозы уровня
устройств и контрмеры для их нейтрализации.

Распространенные угрозы для локальной сети


Локальная сеть — это совокупность устройств, подключенных друг к другу с
помощью кабелей или радиоволн. Для уровня локальной сети необходимы
надежные средства разграничения безопасности и доступа, поскольку
именно через сеть пользователи получают доступ к системам, приложениям
и данным организации.
Распространенными угрозами для локальной сети являются:
 Несанкционированный доступ к локальной сети — коммутационные
шкафы, центры обработки данных, помещения с установленными в них
компьютерами должны находиться под охраной
 Несанкционированный доступ к системам, приложениям и данным
 Уязвимости сетевой операционной системы
 Обновления сетевой операционной системы
 Несанкционированный доступ злоумышленников через беспроводные
сети
 Уязвимости, связанные с небезопасной передачей данных
 Различные аппаратные или операционные системы на серверах в
локальной сети — различия в конфигурациях усложняют управление
серверами, поиск и устранение неполадок
 Несанкционированное зондирование сетевой инфраструктуры и
сканирование портов
 Ошибки в конфигурации межсетевого экрана

Управление угрозами для локальной сети


Организации могут принимать различные меры для нейтрализации угроз в
локальной сети.
 Обеспечение охраны коммутационных шкафов, центров обработки
данных и помещений с установленными в них компьютерами Запрет
доступа сотрудникам без надлежащих прав
 Определение строгих политик, стандартов, процедур и рекомендаций
по разграничению доступа
 Ограничение прав доступа к определенным папкам и файлам в
соответствии с необходимостью
 Обязательное использование парольных фраз или аутентификации для
беспроводных сетей
 Шифрование данных, передающихся между устройствами и
беспроводными сетями, для сохранения конфиденциальности
 Внедрение стандартов конфигурации для серверов в локальной сети
 Проведение тестов на проникновение после установки настроек
 Отключение эхо-запросов (ping) и сканирования портов
Рисунок демонстрирует таблицу, в которой перечислены угрозы уровня
локальной сети и контрмеры для их нейтрализации.

Распространенные угрозы для частного облака


Уровень частного облака включает в себя серверы, ИТ-инфраструктуру и
ресурсы, доступные для сотрудников организации через Интернет.
Распространенными угрозами для частного облака являются:
 Несанкционированное зондирование сетевой инфраструктуры и
сканирование портов
 Несанкционированный доступ к ресурсам
 Уязвимость операционной системы маршрутизатора, межсетевого
экрана или сетевого устройства
 Ошибка в конфигурации маршрутизатора, межсетевого экрана или
сетевого устройства
 Доступ удаленных пользователей к инфраструктуре организации и
кража конфиденциальных данных

Управление угрозами для частного облака


Организации могут принимать различные меры для нейтрализации угроз
частного облака.
 Отключение эхо-запросов, зондирования и сканирования портов
 Развертывание систем обнаружения и предотвращения вторжений
 Мониторинг входящего IP-трафика для выявления аномалий
 Установка на устройства последних исправлений и обновлений для
системы безопасности
 Тест на проникновение после установки настроек
 Проверка входящего и исходящего трафика
 Внедрение стандарта классификации данных
 Контроль и сканирование передаваемых файлов для выявления
неизвестных типов файлов
Рисунок демонстрирует таблицу, в которой перечислены угрозы уровня
частного облака и контрмеры для их нейтрализации.

Распространенные угрозы для общедоступного облака


Уровень общедоступного облака включает в себя сервисы, размещенные на
площадке поставщика облачных сервисов, оператора связи или Интернет-
провайдера. Хотя поставщики облачной среды используют собственные
средства контроля безопасности, ответственность за защиту своих ресурсов в
облаке несут сами организации. Для организаций доступны три различные
модели обслуживания:
 Программное обеспечение как услуга (SaaS) — сервис по подписке,
в рамках которого пользователям посредством веб-браузера
предоставляется доступ к программному обеспечению, размещенному
на хостинге поставщика.
 Платформа как услуга (PaaS) — организация получает платформу
для разработки и выполнения приложений и управления ими с
помощью инструментов и на аппаратном обеспечении,
предоставляемых поставщиком.
 Инфраструктура как услуга (IaaS) — служит для предоставления
через Интернет виртуализированных вычислительных ресурсов, таких
как аппаратное и программное обеспечение, серверы, СХД и другие
компоненты инфраструктуры.
Распространенными угрозами для общедоступного облака являются:
 Утечка данных
 Утрата или кража интеллектуальной собственности
 Компрометация учетных данных
 Взлом хранилищ федеративных удостоверений злоумышленниками
 Кража учетных записей
 Недопонимание со стороны организации
 Атаки с использованием социальной инженерии, нацеленные на обман
жертвы
 Нарушение нормативных требований

Управление угрозами для общедоступного облака


Организации могут принимать различные меры для нейтрализации угроз
физическим средствам.
 Многофакторная аутентификация
 Использование шифрования
 Использование одноразовых паролей, аутентификации с помощью
телефона и смарт-карт
 Распределение данных и приложений по нескольким зонам
 Резервное копирование данных
 Меры должной осмотрительности
 Программы повышения уровня знаний принципов и мер безопасности
 Политики
Рисунок демонстрирует таблицу, в которой перечислены угрозы уровня
общедоступного облака и контрмеры для их нейтрализации.

Распространенные угрозы для физических средств


Уровень физических средств включает в себя все сервисы, используемые
организацией, включая системы отопления, вентиляции и
кондиционирования воздуха, водоснабжение и пожарную сигнализацию.
Сюда также относятся физические меры безопасности для защиты объектов
организации.
Распространенными угрозами для объектов организации являются:
 Естественные угрозы, связанные с погодными и геологическими
катаклизмами
 Несанкционированный доступ к объектам
 Перебои питания
 Социальная инженерия, которую злоумышленники используют, чтобы
узнать о процедурах и политиках безопасности в организации
 Нарушение электронной периметровой защиты объекта
 Кража
 Открытые общедоступные помещения, позволяющие посетителям
беспрепятственно проникать в помещения организации
 Отсутствие разграничения доступа в ЦОД
 Недостаточное наблюдение

Управление угрозами для физических средств


Организации могут принимать различные меры для нейтрализации угроз
физическим средствам.
 Разграничение доступа и установка средств видеонаблюдения на всех
входах
 Определение политик и процедур для гостей, посещающих объект
 Тестирование системы безопасности здания с использованием
виртуальных и физических средств для тайного получения доступа
 Шифрование номеров пропусков для доступа
 Планирование аварийного восстановления
 Планирование непрерывности бизнес-процессов
 Регулярное проведение обучения принципам и мерам безопасности
 Внедрение системы маркирования ресурсов
Рисунок демонстрирует таблицу, в которой перечислены угрозы для уровня
физических средств и контрмеры для их нейтрализации.

Распространенные угрозы для приложений


Уровень приложений включает в себя все критически важные системы,
приложения и данные. Кроме того, сюда относятся все необходимые
логические структуры и аппаратное обеспечение. Сегодня организации все
чаще переносят приложения, такие как электронная почта, средства для
мониторинга безопасности и базы данных, в общедоступное облако.
Распространенными угрозами для приложений являются:
 Несанкционированный доступ к центрам обработки данных,
помещениям с установленными в них компьютерами и
коммутационными шкафами
 Остановка сервера на время технического обслуживания
 Уязвимость ПО сетевой операционной системы
 Несанкционированный доступ к системам
 Потеря данных
 Продолжительный простой информационных систем
 Уязвимости, возникающие при разработке клиентских, серверных и
веб-приложений

Управление угрозами для приложений


Организации могут принимать различные меры для нейтрализации угроз
уровня приложений.
 Применение политик, стандартов и процедур для сотрудников и
посетителей в целях обеспечения безопасности на объектах
 Тестирование программного обеспечения перед запуском
 Применение стандартов классификации данных
 Разработка политик управления установкой обновлений для
программного обеспечения и операционной системы
 Применение резервного копирования
 Планирование непрерывности бизнес-процессов для критически
важных приложений в целях поддержания доступности операций
 Планирование аварийного восстановления для критически важных
приложений и данных
 Ведение журналов
Рисунок демонстрирует таблицу, в которой перечислены угрозы уровня
приложений и контрмеры для их нейтрализации.
Этические ценности специалиста по обеспечению кибербезопасности
Этические ценности лежат в подсознании специалиста по обеспечению
кибербезопасности и подсказывают ему, что следует, а что не следует делать,
даже если это законно. Организация доверяет специалисту по обеспечению
кибербезопасности самые важные конфиденциальные данные и ресурсы.
Специалист по обеспечению кибербезопасности должен понимать, как
принимать этичные решения, руководствуясь законом и интересами
организации.
Киберпреступники, которые проникают в систему, внедряют интернет-червя
и крадут номера кредитных карт, поступают неэтично. Как оценивать
действия специалиста по кибербезопасности, если он поступает, как
злоумышленник? К примеру, специалист по кибербезопасности может
предотвратить распространение интернет-червя, установив соответствующее
исправление. По сути, специалист по кибербезопасности выпускает свою
версию интернет-червя. Такой интернет-червь не является вредоносным, но
значит ли это, что можно так поступать?
Каждая этическая система предлагает свое определение того, что является
этичным.
Этика утилитаризма
В XIX веке Иеремия Бентам и Джон Стюарт Милль разработали положения
утилитарной этики. Основополагающий принцип утилитаризма гласит, что
этичными являются любые действия, польза от которых превышает вред.
Подход с точки зрения прав человека
Для подхода с точки зрения прав человека основополагающим принципом
является право каждого делать свой собственный выбор. В этой системе
этичность действия оценивается по тому, как оно влияет на права других
людей. К таким правам относятся право на истину, конфиденциальность,
безопасность и равенство всех членов общества перед законом.
Подход с точки зрения общественного блага
Общественным благом является все, что приносит пользу обществу. При
использовании этого подхода специалист по кибербезопасности должен
оценить, приносят ли его действия пользу обществу или группе людей.
На этические вопросы, которые приходится решать специалистам по
кибербезопасности, нет однозначных ответов. Ответ может меняться в
зависимости от ситуации и этической системы.
Институт компьютерной этики
Институт компьютерной этики (Computer Ethics Institute, CEI) — это
учреждение, занимающееся выявлением, оценкой и решением этических
проблем в сфере информационных технологий. Институт компьютерной
этики одним из первых заявил о проблемах, связанных с этикой и
общественной практикой, вызванных стремительным развитием сферы
информационных технологий. На рисунке перечислены десять заповедей,
разработанные институтом компьютерной этики.
Киберпреступность
Законы запрещают нежелательные модели поведения. К сожалению,
законодательная система развивается не так быстро, как информационные
технологии. Некоторые законы и нормативные требования затрагивают
киберпространство. Политики и процедуры, разработанные организацией,
должны соответствовать требованиям определенных законодательных актов.
Киберпреступность
Компьютер может быть задействован в киберпреступлении несколькими
способами. Так, компьютер может быть средством совершения
преступления, его целью или играть второстепенную роль. Детская
порнография представляет собой пример опосредованного преступления —
компьютер в этом случае используется как устройство хранения данных и не
является инструментом совершения преступления.
Рост числа хакеров обусловлен рядом причин. Сегодня в Интернете можно
найти инструменты для самых различных целей, и потенциальным
преступникам не требуется быть экспертами, чтобы их использовать.
Организации, созданные для противодействия хакерам
Существует несколько учреждений и организаций, призванных
содействовать в борьбе с хакерами. Нажмите каждую из ссылок на рисунке,
чтобы посетить веб-сайты этих организаций и быть в курсе важных событий.

Гражданское и уголовное законодательство и нормативные требования


информационного и телекоммуникационного права
В США существует три основных источника прав и норм: статутное право,
административное право и общее право. Все три источника имеют
отношение к компьютерной безопасности. Конгресс США учредил
федеральные административные органы и заложил нормативно-правовую
базу, предусматривающую гражданско-правовые санкции и уголовные
наказания за несоблюдение правил.
Назначение уголовного законодательства — обеспечивать соблюдение
общепринятых моральных норм при поддержке правительства. Нормативные
акты устанавливают правила ответственности за новые типы нарушений,
возникающие в быстро меняющемся обществе. Например, закон о
компьютерном мошенничестве и злоупотреблении относится к статутному
праву. Федеральная комиссия по связи и Федеральная торговая комиссия
США занимаются решением таких проблем, как мошенничество и кража
интеллектуальной собственности. И, наконец, дела, рассматриваемые в
судебной системе в рамках общего права, становятся прецедентами и
закладывают конституционные основы для новых законов.
Федеральный закон об управлении информационной безопасностью
(FISMA)
Конгресс США выпустил федеральный закон об управлении
информационной безопасностью в 2002 году, чтобы отразить изменившийся
подход правительства к информационной безопасности. Федеральные ИТ-
системы создают и обрабатывают самые большие объемы данных, что делает
их привлекательной целью для киберпреступников. FISMA содержит
требования к ИТ-системам федеральных учреждений и предусматривает
разработку каждым учреждением программы информационной безопасности.
Программа должна включать в себя следующие пункты:
 Оценки рисков
 Ежегодная инвентаризация ИТ-систем
 Политики и процедуры для снижения рисков
 Обучение принципам и мерам безопасности
 Тестирование и оценка всех элементов управления ИТ-системы
 Процедуры реагирования на инциденты информационной безопасности
 Непрерывность бизнес-планирования
Отраслевые законы
Многие отраслевые законы содержат положения о защите безопасности и
конфиденциальности. Правительство США требует от организаций,
работающих в таких отраслях, соблюдения установленных нормативных
требований. Специалисты по кибербезопасности должны реализовать
юридические требования в виде политик безопасности и практик.
Закон Грэмма-Лича-Блайли (GLBA)
Закон Грэмма — Лича — Блайли относится к законодательным актам,
регулирующим финансовую отрасль. Тем не менее некоторые положения о
конфиденциальности распространяются и на физических лиц. В частности
закон предусматривает возможность запрета на использование информации.
Это сделано для того, чтобы клиенты могли контролировать использование
своих данных, представляемых при ведении бизнес-транзакций с
организациями, входящими в состав финансового учреждения. GLBA
ограничивает обмен информацией со сторонними фирмами.
Закон Сарбейнса-Оксли (SOX)
После ряда громких бухгалтерских скандалов Конгресс США принял закон
Сарбейнса-Оксли (SOX). Его целью был пересмотр финансовых и
корпоративных стандартов бухгалтерского учета и конкретно стандартов
публичных акционерных компаний в Соединенных Штатах.
Стандарт безопасности данных индустрии платежных карт (PCI DSS)
Единые обязывающие стандарты важны и для частных компаний. Совет по
стандартам безопасности, в который входят представители ведущих
корпораций в индустрии платежных карточных систем, разработал
программу повышения конфиденциальности сетевых коммуникаций.
Стандарт безопасности данных индустрии платежных карт (PCI DSS)
представляет собой набор договорных правил для защиты данных кредитных
карт, которыми обмениваются банки и продавцы при совершении
транзакции. PCI DSS — это добровольный стандарт (в теории):
продавцы/поставщики самостоятельно принимают решение о его
использовании. Тем не менее отказ поставщика использовать PCI DSS может
вести к повышению сборов с транзакций, штрафам до 500 000 долларов
США и даже утрате возможности получать платежи с кредитных карт.
Импортные/экспортные ограничения на шифрование
После Второй мировой войны Соединенные Штаты ввели ограничения на
экспорт криптографических средств и систем из соображений национальной
безопасности. Сегодня экспорт шифровальных устройств и технологий для
гражданского использования контролирует Бюро промышленности и
безопасности при министерстве торговли. Также экспортные ограничения
действуют в отношении «стран-изгоев» и террористических организаций.
Страны обычно ограничивают импорт технологий шифрования по
следующим причинам:
 Наличие в технологии бэкдоров или уязвимостей
 Возможность анонимных бесконтрольных коммуникаций граждан
 Защита конфиденциальности выше допустимого уровня
Законы об уведомлении в случае нарушения безопасности
Сегодня организации накапливают все большие объемы личной информации
о своих заказчиках, начиная с паролей учетной записи и адресов электронной
почты и заканчивая конфиденциальными медицинскими и финансовыми
данными. Компании всех размеров осознают ценность больших данных и
аналитики. Это побуждает их собирать и хранить информацию для
дальнейшего использования. Киберпреступники постоянно ищут способы
заполучить доступ к наиболее важным конфиденциальным данным компании
и использовать их, поэтому организации, которые собирают
конфиденциальные данные, должны тщательно их охранять. В ответ на
увеличение объемов собираемых данных был принят ряд законов,
обязывающих организации уведомлять клиентов о всех случаях
несанкционированного доступа к их личным данным. Чтобы просмотреть
список этих законов, нажмите здесь.
Закон о защите электронных систем связи (США) (Electronic
Communications Privacy Act, ECPA)
Закон о защите электронных систем связи (США) (ECPA) относится к
различным правовым проблемам конфиденциальности, возникающим
вследствие все более широкого применения компьютеров и других
телекоммуникационных технологий. Разделы этого закона посвящены
использованию электронной почты и сотовой связи, конфиденциальности на
рабочем месте и другим вопросам, связанным с электронными способами
коммуникации.
Закон о компьютерном мошенничестве и злоупотреблении (1986)
Закон о компьютерном мошенничестве и злоупотреблении (CFAA) был
принят более 20 лет назад. Он лежит в основе законодательства,
рассматривающего несанкционированный доступ к компьютерным системам
как уголовное преступление. Согласно CFAA, преступлением считается
умышленный несанкционированный доступ к компьютеру, принадлежащему
правительству США или используемому в торговых операциях субъектов
разных штатов. Также уголовная ответственность предусматривается за
использование компьютера в преступлении, фактически осуществляемого в
нескольких штатах.
Кроме того, закон относит к преступлениям продажу паролей или иных
данных для доступа, умышленное распространение вредоносных программ,
кода или команд.
Защита конфиденциальности
Следующие законы США защищают частную жизнь.
Закон о неприкосновенности частной жизни 1974 г.
Этот закон устанавливает правила честной обработки информации при сборе,
хранении, использовании и распространении персональных данных, которые
находятся в системах регистрации данных федеральных учреждений.
Закон о свободном доступе к информации (FOIA)
Закон о свободном доступе к информации разрешает гражданам США
получать доступ к государственным документам. FOIA содержит положение
о презумпции раскрытия информации, в соответствии с которым
правительство должно предоставить объяснение, почему доступ к
определенным данным запрещен.
В законе есть девять исключений.
 Информация, касающаяся национальной безопасности и внешней
политики
 Внутренние правила и практики для сотрудников правительственных
органов
 Информация, защищаемая специальными законами
 Конфиденциальная коммерческая информация
 Сведения, передающиеся внутри государственных агентств или между
ними, имеющие отношения к совещательным процессам, судебным
разбирательствам или защищенные другими привилегиями
 Информация, которая в случае раскрытия может расцениваться как
явно необоснованное вторжение в личную жизнь
 Документация правоохранительных органов, попадающая под
перечисленные исключения
 Данные государственных органов, полученные от финансовых
учреждений
 Геологическая и геофизическая информация о скважинах
Закон о семейных правах на образование и неприкосновенность личной
жизни (FERPA)
Этот федеральный закон разрешает учащимся получать доступ к документам,
касающимся их образования. FERPA действует по принципу добровольного
согласия, то есть учащийся должен предоставить разрешение до
фактического раскрытия информации. Когда учащемуся исполняется 18 лет
или когда он в любом возрасте поступает в учреждение высшего и/или
среднего профессионального образования, права, предоставляемые по этому
закону, переходят от родителей учащегося к нему самому.
Закон о компьютерном мошенничестве и злоупотреблении, США
(CFAA)
Этот федеральный закон регулирует сбор персональных данных в сети
Интернет физическими или юридическими лицами, находящимися под
юрисдикцией США, у детей младше 13 лет. Прежде чем получить и
использовать информацию от детей (в возрасте не старше 13 лет), требуется
разрешение родителей.
Закон США «О защите конфиденциальности детей в Интернете»
(Children’s Online Privacy Protection Act, COPPA)
Этот федеральный закон регулирует сбор персональных данных в сети
Интернет физическими или юридическими лицами, находящимися под
юрисдикцией США, у детей младше 13 лет. Прежде чем получить и
использовать информацию от детей (в возрасте не старше 13 лет), требуется
разрешение родителей.
Закон США «О защите детей в Интернете» (Children’s Internet Protection
Act, CIPA)
Конгресс США принял CIPA в 2000 году для защиты детей в возрасте до
17 лет от оскорбительных или непристойных материалов и интернет-
содержимого.
Закон о защите конфиденциальности видео (VPPA)
Закон о защите конфиденциальности видео обеспечивает тайну личности
клиентов компаний по прокату видеокассет, DVD-дисков и игр. Закон
действует по умолчанию, поэтому если компания хочет обнародовать данные
о прокате, она должна заручиться отказом клиентов от защиты,
предоставляемой VPPA. Многие защитники прав граждан на
конфиденциальность считают VPPA одним из наиболее эффективных
законов США.
Закон о преемственности и подотчетности медицинского страхования
Закон о преемственности и подотчетности медицинского страхования
определяет требования к защите при физическом хранении, обработке и
передаче информации о здоровье граждан, а также при доступе к ней. HIPAA
требует от организаций, использующих электронные подписи, соблюдать
стандарты, обеспечивающие целостность информации, аутентификацию
лица, ставящего подпись, гарантированную защиту от изменений и
предотвращение разрыва.
Законопроект сената Калифорнии 1386 (SB 1386)
Калифорния стала первым штатом, принявшим закон, обязывающий
уведомлять пользователей о несанкционированном раскрытии личной
информации. С тех пор многие другие штаты последовали этому примеру.
Законы во всех штатах различаются, что ставит вопрос о разработке единого
федерального закона. Закон сената Калифорнии требует, чтобы учреждения
уведомляли потребителей об их правах и обязанностях. Также он обязует
руководство штата сообщать гражданам о потере или раскрытии их личной
информации. После принятия сенатом Калифорнии закона SB 1386 многие
другие штаты приняли похожие законы.
Политики конфиденциальности
Политики — это лучший способ обеспечения соблюдения нормативных
требований в организации. Политика конфиденциальности играет особенно
важную роль после выхода многочисленных законов, посвященных
регулированию этой сферы. Как следствие этих законов возникает
потребность в корпоративной политике защиты конфиденциальности при
сборе данных.
Оценка возможных последствий для конфиденциальности
Оценка возможных последствий для конфиденциальности (Privacy Impact
Assessment, PIA) обеспечивает должный уровень обработки персональных
данных в организации.
 Определите область применения PIA.
 Определите ключевых участников.
 Составьте список всех лиц, имеющих доступ к персональным данным.
 Проанализируйте правовые и регулирующее требования.
 Составьте список потенциальных проблем, обнаруженных при
сопоставлении требований и практик.
 Проанализируйте результаты оценки с ключевыми заинтересованными
лицами.
Международные законы
С распространением Интернета и ростом количества подключений к
глобальной сети несанкционированное проникновение в компьютерные
системы стало проблемой национального и международного масштаба. Во
многих странах приняты законы в отношении компьютерной преступности,
но полностью урегулировать эту проблему не удается.
Конвенция по киберпреступлениям
Конвенция по киберпреступлениям — это первый международный договор
по преступлениям в Интернете, который подписали ЕС, США, Канада,
Япония и другие страны. Общие положения описывают меры борьбы с
киберпреступностью в следующих сферах: нарушение авторского права,
компьютерное мошенничество, детская порнография и нарушение сетевой
безопасности. Нажмите здесь, чтобы узнать больше о конвенции по
киберпреступлениям.
Информационный центр электронной приватности (Electronic Privacy
Information Center, EPIC)
Информационный центр электронной приватности занимается вопросами
конфиденциальности и распространением законов и политик доктрины
открытого государства во всем мире, а также укреплением сотрудничества
между ЕС и США. Нажмите здесь, чтобы узнать последние новости.
Национальная база данных уязвимостей
Национальная база данных уязвимостей — это государственное хранилище
данных по управлению уязвимостями на основе стандартов с помощью
протокола SCAP. SCAP — это метод применения специализированных
стандартов для автоматизации управления уязвимостями, их измерения и
оценки соответствия политик нормативным требованиям.
Нажмите здесь, чтобы посетить веб-сайт национальной базы данных
уязвимостей.
SCAP использует открытые стандарты для перечисления проблем
конфигурации и дефектов в системах защиты программного обеспечения.
Спецификации SCAP используются для стандартизации данных по
безопасности. В сообщество SCAP входят представители государственного и
частного секторов, объединившиеся для разработки стандартов технической
безопасности. Нажмите здесь, чтобы посетить веб-сайт SCAP.
Национальная база данных использует общую систему оценки уязвимостей
(CVSS) для измерения их воздействия. Организация может использовать эти
данные для оценки безопасности своей сетевой инфраструктуры и
разработки стратегии по устранению угроз.
На сайте также размещены различные контрольные списки, которые будут
полезны при настройке операционных систем и приложений с целью
усиления защиты. Нажмите здесь, чтобы посмотреть контрольные списки на
веб-сайте Национальной базы данных уязвимостей.
CERT
Институт программной инженерии при университете Карнеги-Меллона
содействует правительствам и отраслевым организациям в разработке,
эксплуатации и обслуживании инновационных, доступных и надежных
систем программного обеспечения. Этот финансируемый государством
научно-исследовательский центр спонсируется министерством обороны
США.
Координационный центр CERT занимается изучением и решением проблем в
области кибербезопасности, включая уязвимости безопасности программных
продуктов, внесение изменений в сетевые системы и проведение обучения.
Центр CERT предоставляет следующие услуги:
 помощь в устранении уязвимостей ПО;
 разработка инструментов, продуктов и методик технической
экспертизы;
 разработка инструментов, продуктов и методик для анализа
уязвимостей;
 разработка инструментов, продуктов и методик для мониторинга
больших сетевых инфраструктур;
 оценка эффективности корпоративных практик по обеспечению
безопасности.
Центр имеет обширную базу данных об уязвимостях ПО и вредоносных
кодах, которая используется при разработке стратегий устранения угроз и
соответствующих решений. Нажмите здесь, чтобы посетить веб-сайт
Координационного центра CERT.
Internet Storm Center
Internet Storm Center предоставляет бесплатные услуги по анализу и
оповещению частным пользователям и организациям. Он также
сотрудничает с интернет-провайдерами для противодействия злостным
киберпреступникам. Internet Storm Center ежедневно получает миллионы
записей журналов от систем обнаружения вторжений, используя сенсоры,
охватывающие 500 000 IP-адресов в более чем 50 странах. Он определяет
сайты, на которые совершаются атаки, и предоставляет данные о типах атак
на различные отрасли и регионы по всему миру.
Нажмите здесь, чтобы посетить Internet Storm Center. На веб-сайте
размещены следующие ресурсы:
 архив блога InfoSec
 подкасты, включая ежедневные 5–10-минутные объявления о новых
угрозах информационной безопасности
 вакансии InfoSec
 новости информационной безопасности
 инструменты InfoSec
 отчеты InfoSec
 форумы SANS ISC InfoSec
Internet Storm Center существует при поддержке института SANS. Институт
SANS является надежным источником материалов для обучения
информационной безопасности, сертификации и исследований.
Передовой центр кибербезопасности (Advanced Cyber Security Center, ACSC)
Передовой центр кибербезопасности (Advanced Cyber Security Center,
ACSC) — это некоммерческая организация, которая объединяет
представителей промышленности, научных кругов и правительства для
противодействия сложным киберугрозам. Эта организация делится
информацией об угрозах в цифровом пространстве, занимается научно-
исследовательскими работами в области кибербезопасности, составляет
обучающие программы в целях содействия развитию и популяризации
профессии специалиста по кибербезопасности.
ACSC выделяет четыре проблемных области, исходя из которых были
определены приоритеты деятельности организации:
 построение устойчивых систем, способных восстанавливаться после
атак и сбоев;
 повышение безопасности мобильных устройств;
 обмен данными об угрозах в реальном времени;
 интеграция киберрисков в систему управления рисками предприятия.
Нажмите здесь, чтобы посетить Передовой центр кибербезопасности.
Сканеры уязвимостей
Сканер уязвимостей выполняет проверку компьютеров, компьютерных
систем, сетевых инфраструктур и приложений на наличие уязвимостей. С
помощью сканеров уязвимостей автоматизируется аудит безопасности; они
сканируют сеть на предмет риска безопасности и составляют список угроз,
распределенных по приоритету, для устранения уязвимостей. Сканер
выполняет поиск следующих типов уязвимостей:
 использование паролей по умолчанию или распространенных паролей;
 неустановленные исправления;
 открытые порты;
 некорректная настройка операционных систем и программного
обеспечения;
 активные IP-адреса.
При выборе сканера уязвимостей обратите внимание, как его оценили другие
пользователи по критериям точности, надежности, масштабируемости и
отчетности. Существует два типа сканеров уязвимостей — программные и
облачные.
Сканирование уязвимостей особенно важно для сетевых инфраструктур с
большим количеством сегментов, маршрутизаторов, межсетевых экранов,
серверов и других устройств. Нажмите здесь, чтобы ознакомиться с
примерами сканеров для коммерческого и бесплатного использования.

Тестирование на возможность проникновения


Тестирование на проникновение (pen testing) — это проверка системы на
наличие уязвимостей с помощью различных методов, используемых
злоумышленниками. Тестирование на проникновение — это не то же, что и
проверка на уязвимости. Проверка на уязвимости только помогает выявить
потенциальные проблемы. Тестирование на возможность проникновения
означает, что специалист по кибербезопасности с разрешения организации
взламывает ее веб-сайт, сетевую инфраструктуру или сервер, чтобы получить
доступ к ресурсам, не обладая учетными данными или другими обычными
средствами подключения. Важное различие между киберпреступником и
специалистом по кибербезопасности заключается в том, что последний
проводит проверки с разрешения организации.
Организации прибегают к подобному тестированию в основном для того,
чтобы найти и исправить любые уязвимости до того, как их обнаружат
киберпреступники. Тестирование проникновение также называют «этичным
хакингом».
Анализаторы пакетов
Анализаторы пакетов (или анализаторы трафика) перехватывают сетевой
трафик и вносят его в журнал. Анализатор пакетов перехватывает каждый
пакет, выводит значения различных полей в пакете и анализирует его
содержимое. Анализатор трафика может перехватывать сетевой трафик как в
проводных, так и в беспроводных сетях. Анализаторы пакетов выполняют
следующие функции:
 анализ проблем сетевой инфраструктуры;
 обнаружение попыток несанкционированного вторжения в сеть;
 изоляция атакованной системы;
 внесение данных о трафике в журнал;
 обнаружение несанкционированного использования сетевой
инфраструктуры.
Нажмите здесь, чтобы ознакомиться со сравнением анализаторов пакетов.

Инструментальные средства безопасности


Не существует однозначно единственного лучшего инструмента обеспечения
безопасности, который подходит для всех. Многое зависит от ситуации,
обстоятельств и личных предпочтений. Специалист по кибербезопасности
должен знать, где можно получить надежную информацию.
Kali
Kali — это открытый дистрибутив Linux для оценки безопасности. ИТ-
специалисты используют Kali Linux для тестирования безопасности сетевых
инфраструктур Дистрибутив включает в себя более 300 тестов на
проникновение и средств аудита безопасности на платформе Linux.
Нажмите здесь, чтобы посетить веб-сайт проекта.
Осведомленность о состоянии сетевой инфраструктуры
Организация должна иметь возможность осуществлять мониторинг сетевой
инфраструктуры, анализировать полученные данные и отслеживать
вредоносные действия. Нажмите здесь, чтобы ознакомиться набором
инструментов для анализа трафика, разработанных CERT.

Определение ролей специалистов по кибербезопасности


Стандарт ISO определяет роль специалистов по кибербезопасности. Согласно
стандартам ISO серии 27000 требуются следующие роли:
 руководитель высшего звена, ответственный за ИТ и управление
информационной безопасностью (часто инициатор аудита);
 специалисты по информационной безопасности;
 администраторы по безопасности;
 начальник службы физической безопасности / безопасности объекта и
контактные лица объекта;
 представитель отдела кадров для решения вопросов по кадровым
ресурсам, таких как дисциплинарное взыскание или обучение;
 системные администраторы и диспетчеры сети, специалисты по
архитектуре системы безопасности и другие ИТ-специалисты.
Должности в области информационной безопасности можно разделить на
следующие виды:
 Специалисты по определению требований создают политики,
рекомендации и стандарты. Сюда также относятся консультанты,
которые занимаются оценкой рисков и разработкой продуктов и
технической архитектуры, и сотрудники высшего звена организации,
которые обладают обширными, но не специализированными знаниями.
 Разработчики — это технические специалисты, отвечающие за
создание и установку решений безопасности.
 Контролеры занимаются администрированием средств мониторинга
безопасности, выполняют функции наблюдателей и отвечают за
улучшение процессов.
Нажмите на каждую ключевую должность в области информационной
безопасности, чтобы узнать подробности о ней.
Средства поиска вакансий
Вакансии, предлагающие работу в сфере информационных технологий,
рекламируются на различных веб-сайтах и мобильных приложениях. Каждый
из этих веб-сайтов предназначен для различных соискателей и предоставляет
различные инструменты для поиска идеальной вакансии для каждого из них.
Многие сайты являются агрегаторами, то есть собирают предложения с
других площадок по трудоустройству и корпоративных сайтов.
Indeed.com
По заявлениям владельцев, Indeed.com является сайтом №1 по
трудоустройству и каждый месяц привлекает свыше 180 миллионов
уникальных посетителей из более чем 50 различных стран. Здесь
действительно можно найти предложения работы со всего мира. Indeed
помогает компаниям любых размеров найти лучших специалистов и
предлагает самые широкие возможности для соискателей.
CareerBuilder.com
CareerBuilder сотрудничает со многими крупными и престижными
компаниями. В результате этот сайт обычно привлекает специалистов с
отличным образованием и рекомендациями. Работодатели, размещающие
объявления на CareerBuilder, обычно получают больше откликов от
кандидатов с университетскими степенями, большим опытом работы и
отраслевыми сертификатами.
USAJobs.gov
Федеральное правительство размещает все вакансии на веб-сайте USAJobs.
Нажмите здесь, чтобы узнать больше о процессе подачи заявления на
соискание должности в государственной организации США.

Вам также может понравиться