6 приклади інцидентів інформаційноїбезпеки та їх причин національний стандарт РФ-
Інциденти ІБ можуть бути навмисними або випадковими (наприклад, бути наслідком будь-якої людської помилки або природних явищ) і викликані як технічними, так і нетехнічними засобами. Їхніми наслідками можуть бути такі події, як несанкціоноване розкриття або зміна інформації, її знищення або інші події, які роблять її недоступною, а також заподіяння шкоди активам організації або їх розкрадання. Інциденти ІБ, про які не було повідомлено, але які були визначені як інциденти, розслідувати неможливо і захисних заходів для запобігання повторній появі цих інцидентів не можна застосувати.
Нижче наведено деякі приклади інцидентів ІБ та їх причин, які даються лише з метою роз'яснення. Важливо зауважити, що ці приклади не є вичерпними.
6.1 Відмова в обслуговуванні
Існує два основних типи інцидентів ІБ, пов'язаних із відмовою в обслуговуванні, створюваних технічними засобами: знищення ресурсів та виснаження ресурсів.
Деякі типові приклади таких навмисних технічних інцидентів ІБ "відмова в обслуговуванні" є:
- передача даних у непередбаченому форматі в систему, сервіс чи мережу у спробі зруйнувати чи порушити їхню нормальну роботу;
- одночасне відкриття кількох сеансів із конкретною системою, сервісом чи мережею у спробі вичерпати їхні ресурси (тобто уповільнення їхньої роботи, блокування чи руйнування).
Одні технічні інциденти ІБ "відмова в обслуговуванні" можуть виникати випадково, наприклад, внаслідок помилки в конфігурації, допущеної оператором, або через несумісність прикладного програмного забезпечення, інші - навмисними. Одні технічні інциденти ІБ "відмова вобслуговуванні" ініціюються навмисно з метою руйнування системи, сервісу та зниження продуктивності мережі, тоді як інші - лише побічними продуктами іншої шкідливої діяльності.
Наприклад, деякі найбільш поширені методи прихованого сканування та ідентифікації можуть призводити до повного руйнування старих або помилково налаштованих систем або сервісів при їх скануванні. Слід зазначити, що багато навмисних технічних інцидентів типу "відмова в обслуговуванні" часто ініціюються анонімно (тобто джерело атаки невідоме), оскільки зловмисник зазвичай не отримує інформації про мережу або систему, що атакується.
Інциденти ІБ "відмова в обслуговуванні", створювані нетехнічними засобами і що призводять до втрати інформації, сервісу та (або) пристроїв обробки інформації, можуть викликатися, наприклад, такими факторами:
- порушеннями систем фізичного захисту, що призводять до розкрадання, навмисного завдання шкоди або руйнування обладнання;
- випадковим завданням шкоди апаратурі та (або) її місцезнаходження від вогню або води/повені;
- екстремальними умовами навколишнього середовища, наприклад, високою температурою (внаслідок виходу з ладу системи кондиціювання повітря);
- неправильним функціонуванням чи перевантаженням системи;
- неконтрольованими змінами у системі;
- неправильним функціонуванням програмного чи апаратного забезпечення.
6.2 Збір інформації
У загальних рисах інциденти ІБ "збір інформації" мають на увазі дії, пов'язані з визначенням потенційних цілей атаки та отриманням уявлення про сервіси, що працюють на ідентифікованих цілях атаки. Подібні інциденти ІБ передбачають проведення розвідки з метою визначення:
- Наявності мети,отримання уявлення про навколишню мережеву топологію і про те, з ким зазвичай ця мета пов'язана обміном інформації;
- потенційних вразливостей мети або безпосередньо навколишнього мережного середовища, які можна використовувати для атаки.
Типовими прикладами атак, спрямованих на збирання інформації технічними засобами, є:
- Скидання записів DNS (системи доменних імен) для цільового домену Інтернету (передача зони DNS);
- зондування системи з метою ідентифікації (наприклад, контрольної суми файлів) операційної системи хоста;
У деяких випадках технічний збір інформації розширюється і перетворюється на несанкціонований доступ, якщо, наприклад, зловмисник під час пошуку вразливості намагається отримати несанкціонований доступ. Зазвичай це здійснюється автоматизованими засобами злому, які роблять пошук вразливості, а й автоматично намагаються використовувати вразливі системи, сервіси та (або) мережі.
Інциденти, спрямовані на збирання інформації, створювані нетехнічними засобами, призводять до:
- Прямому чи непрямому розкриттю або модифікації інформації;
- розкрадання інтелектуальної власності, що зберігається в електронній формі;
- Порушення обліковості, наприклад, при реєстрації облікових записів;
- неправильне використання інформаційних систем (наприклад, з порушенням закону чи політики організації).
Інциденти можуть викликатися, наприклад, такими факторами:
- порушення фізичного захисту безпеки, що призводять до несанкціонованого доступу до інформації та розкрадання пристроїв зберігання даних, що містять значущі дані, наприклад ключі шифрування;
- невдало та (або) неправильно конфігурованими операційними системами черезнеконтрольованих змін у системі чи неправильним функціонуванням програмного чи апаратного забезпечення, що призводять до того, що персонал організації або сторонній персонал отримує доступ до інформації, не маючи на це дозволу.
6.3 Несанкціонований доступ
Несанкціонований доступ як тип інциденту включає інциденти, що не увійшли в перші два типи. Головним чином, цей тип інцидентів складається з несанкціонованих спроб доступу до системи або неправильного використання системи, сервісу або мережі. Деякі приклади несанкціонованого доступу за допомогою технічних засобів включають:
- спроби вийняти файли з паролями;
- атаки переповнення буфера для одержання привілейованого (наприклад, на рівні системного адміністратора) доступу до мережі;
- використання вразливостей протоколу для перехоплення з'єднання або хибного спрямування легітимних мережевих з'єднань;
- спроби розширити привілеї доступу до ресурсів або інформації в порівнянні з наявними у користувача або адміністратора легітимно.
Інциденти несанкціонованого доступу, створювані нетехнічними засобами, які призводять до прямого чи непрямого розкриття чи модифікації інформації, порушень обліковості чи неправильного використання інформаційних систем, можуть викликатися такими факторами:
- руйнуванням пристроїв фізичного захисту з подальшим несанкціонованим доступом до інформації;
- невдалою та (або) неправильною конфігурацією операційної системи внаслідок неконтрольованих змін у системі або неправильного функціонування програмного чи апаратного забезпечення, що призводять до результатів, подібних до тих, які описані в останньому абзаці 6.2.