Класи віддалених загроз та їх характеристика

При викладанні даного матеріалу в деяких випадках коректніше говорити про віддалені атаки, ніж про віддалені загрози об'єктам обчислювальних мереж, проте всі можливі віддалені атаки є в принципі віддаленими загрозами інформаційної безпеки.

Видалені загрози можна класифікувати за такими ознаками.

1.За характером впливу:

  • пасивні (клас 1.1);
  • активні (клас 1.2).

Пасивним впливом на розподілену обчислювальну систему називається вплив, що не безпосередньо впливає на роботу системи, але може порушувати її політику безпеки. Саме відсутність безпосереднього впливу роботу мережі призводить до того, що пасивний віддалений вплив практично неможливо виявити. Прикладом типового пасивного віддаленого впливу в обчислювальних мережах є прослуховування каналу зв'язку в мережі.

2.За метою впливу:

  • порушення конфіденційності інформації (клас 2.1);
  • порушення цілісності інформації (клас 2.2);
  • порушення доступності інформації (працездатності системи) (клас 2.3).

Ця класифікаційна ознака є прямою проекцією трьох основних типів загроз – розкриття, цілісності та відмови в обслуговуванні.

Однією з основних цілей зловмисників є отримання несанкціонованого доступу до інформації. Існують дві важливі можливості доступу до інформації: перехоплення та спотворення. Можливість перехоплення інформації означає отримання доступу, але неможливість її модифікації. Отже, перехоплення інформації веде до порушення її конфіденційності. Прикладом перехоплення інформації може бути прослуховування каналу в мережі. У цьому випадку є несанкціонований доступ доінформації без можливості її спотворення. Очевидно також, що порушення конфіденційності інформації є пасивним впливом.

Можливість спотворення інформації означає або повний контроль над інформаційним потоком між об'єктами системи або можливість передачі повідомлень від імені іншого об'єкта. Отже, очевидно, що спотворення інформації веде порушення її цілісності. Дане інформаційне руйнівне вплив є яскравим прикладом активного впливу. Прикладом віддаленої загрози, мета якої порушення цілісності інформації, може бути типова віддалена атака "хибний об'єкт розподіленої обчислювальної мережі".

Принципово інша мета переслідується зловмисником під час реалізації загрози порушення працездатності мережі. І тут не передбачається отримання несанкціонованого доступу до інформації. Його основна мета - домогтися, щоб вузол мережі або якийсь із сервісів підтримуваний ним вийшов з ладу і для всіх інших об'єктів мережі доступ до ресурсів атакованого об'єкта був би неможливим. Прикладом віддаленої атаки, метою якої є порушення працездатності системи, може бути типова віддалена атака "відмова в обслуговуванні".

3.За умовою початку здійснення впливу

Віддалений вплив, як і будь-яке інше, може почати здійснюватися тільки за певних умов. У обчислювальних мережах можна виділити три види умов початку здійснення віддаленої атаки:

  • атака за запитом від об'єкта, що атакується (клас 3.1);
  • атака за настанням очікуваної події на об'єкті, що атакується (клас 3.2);
  • безперечна атака (клас 3.3).

У першому випадку, зловмисник очікує передачі від потенційної мети атаки запиту певного типу, якийі буде умовою початку здійснення дії. Прикладом подібних запитів у мережі Internet є DNS-запити. Зазначимо, що цей тип віддалених атак найбільш характерний для розподілених обчислювальних мереж.

У другому випадку зловмисник здійснює постійне спостереження за станом операційної системи віддаленої мети атаки і при виникненні певної події в цій системі починає вплив. Як і в попередньому випадку, ініціатором здійснення початку атаки виступає сам об'єкт, що атакується.

Реалізація третього виду атаки не пов'язана з жодними подіями і реалізується безумовно по відношенню до мети атаки, тобто атака здійснюється негайно.

4.За наявності зворотного зв'язку з об'єктом, що атакується:

  • із зворотним зв'язком (клас 4.1);
  • без зворотного зв'язку (односпрямована атака) (клас 4.2).

Віддалена атака, що здійснюється за наявності зворотного зв'язку з об'єктом, що атакується, характеризується тим, що на деякі запити, передані на атакований об'єкт, атакуючому потрібно отримати відповідь, а отже, між атакуючим і метою атаки існує зворотний зв'язок, який дозволяє атакуючому адекватно реагувати на всі зміни , що відбуваються на об'єкті, що атакується.

На відміну від атак із зворотним зв'язком видаленим атакам без зворотного зв'язку не потрібно реагувати на будь-які зміни, що відбуваються на об'єкті, що атакується. Атаки даного виду зазвичай здійснюються передачею на об'єкт, що атакується, одиночних запитів, відповіді на які атакуючому не потрібні. Подібну віддалену атаку можна називати односпрямованою віддаленою атакою. Прикладом односпрямованих атак є типова віддалена атака "відмова в обслуговуванні".

5.За розташуванням суб'єкта атаки щодо об'єкта, що атакується:

  • внутрішньосегментне (клас 5.1);
  • міжсегментне (клас 5.2).

Розглянемо низку визначень:

Суб'єкт атаки(або джерело атаки) - це атакуюча програма або зловмисник, що безпосередньо здійснюють вплив.

Маршрутизатор(router) - пристрій, що забезпечує маршрутизацію пакетів обміну в глобальній мережі.

Підсіть(subnetwork) (у термінології Internet) - сукупність хостів, що є частиною глобальної мережі, для яких маршрутизатором виділено однаковий номер підмережі. Хости всередині однієї підмережі можуть взаємодіяти між собою безпосередньо, минаючи маршрутизатор.

Сегмент мережі- фізичне об'єднання хостів. Наприклад, сегмент мережі утворюють сукупність хостів, підключених до сервера за схемою "загальна шина". При такій схемі підключення кожен хост має можливість аналізувати будь-який пакет у своєму сегменті.

З точки зору віддаленої атаки надзвичайно важливо, як по відношенню один до одного розташовуються суб'єкт і об'єкт атаки, тобто в одному або різних сегментах вони знаходяться. У разі внутрішньосегментної атаки, як випливає з назви, суб'єкт та об'єкт атаки знаходяться в одному сегменті. При міжсегментній атаці суб'єкт та об'єкт атаки перебувають у різних сегментах.

Дана класифікаційна ознака дозволяє судити про так звану "ступінь віддаленості" атаки.

Важливо відзначити, що міжсегментна віддалена атака становить набагато більшу небезпеку, ніж внутрішньосегментна. Це пов'язано з тим, що у випадку міжсегментної атаки об'єкт її і безпосередньо атакуючий можуть перебувати на відстані багатьох тисяч кілометрів один від одного, що може суттєво перешкодити заходам локалізації суб'єкта атаки.

6.За рівнем моделі ISO/OSI, на якому здійснюєтьсявплив:

  • фізичний (клас 6.1);
  • канальний (клас 6.2);
  • мережевий (клас 6.3);
  • транспортний (клас 6.4);
  • сеансовий (клас 6.5);
  • представницький (клас 6.6);
  • прикладної (клас 6.7).

Висновки на тему

1.Суб'єкт атаки (або джерело атаки) – це атакуюча програма або зловмисник, які безпосередньо здійснюють вплив.

2.Маршрутизатор - пристрій, що забезпечує маршрутизацію пакетів обміну в глобальній мережі.

3.Підсіть – сукупність вузлів, що є частиною глобальної мережі, для яких маршрутизатором виділено однаковий номер підмережі.

4.Сегмент мережі - фізичне об'єднання хостів. Наприклад, сегмент мережі утворюють сукупність хостів, підключених до сервера за схемою "загальна шина".

5. Видалені загрози класифікуються за такими ознаками:

  • характером впливу (пасивні, активні);
  • за метою впливу (порушення конфіденційності, порушення цілісності та порушення доступності інформації);
  • за умовою початку здійснення впливу (атака за запитом від об'єкта, що атакується, атака за настанням очікуваної події на об'єкті, що атакується, і безумовна атака);
  • по наявності зворотного зв'язку з об'єктом, що атакується (зі зворотним і без зворотного зв'язку);
  • за розташуванням суб'єкта атаки щодо об'єкта, що атакується (внутрішньосегментне і міжсегментне);
  • за рівнем моделі ISO/OSI, у якому здійснюється вплив.

Питання для самоконтролю

1. Перерахуйте класи віддалених загроз.

2. Як класифікуються віддалені загрози за характером впливу?

3. Охарактеризуйте віддалені загрози "за метою впливу".

4. Як класифікуютьсявіддалені загрози "за розташуванням суб'єкта та об'єкта загрози"?

5. Дайте визначення маршрутизатора.

6. Що таке підмережа та сегмент мережі? Чим вони відрізняються?

7. Чи може пасивна загроза призвести до порушення цілісності інформації?