Основные угрозы информационной безопасности и методы противодействия им Основные положения и основные угрозы ИБ.
При работе любой информационной системы неизбежно возникают угрозы информационной безопасности, по отношению к самой системе и данным которые в ней обрабатываются. Из курса по информационной безопасности[9] эти угрозы можно разделить на три категории: угрозы направленные на нарушение конфиденциальности, целостности и доступности.
Конфиденциальность — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на неё право [10];
Целостность — избежание несанкционированной модификации информации[10];
Доступность — избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа[10].
Для разных систем эти угрозы могут проявляться в разной степени. Эти угрозы необходимо минимизировать. Для минимизации этих угроз необходимо выполнить ряд законодательных, организационных и технологических мер.
На законодательном уровне, в Российской Федерации существует перечень действующих стандартов и руководящих документов в области методов и средств обеспечения безопасности.
Нормативные акты правового регулирования вопросов информатизации и защиты информации в Российской Федерации включают[11]:
Законы Российской Федерации.
Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы.
Постановления Правительства Российской Федерации и утверждаемые этими постановлениями нормативные документы (Положения, Перечни и т.п.).
Государственные и отраслевые стандарты.
Положения, Порядки. Руководящие документы и другие нормативные и методические документы уполномоченных государственных органов (ФСТЭК, ФСБ).
Основываясь на типовых моделях угроз, разработанными ФСТЭК и ФСБ следует построить модель угроз для разрабатываемой ИС.
По наличию права постоянного или разового доступа нарушители подразделяются на два типа: нарушители, не имеющие доступа к ИС, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена; нарушители, имеющие доступ к ИС, включая пользователей, реализующие угрозы непосредственно в ИС, внутренние нарушители [12].
В соответствии с документом «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г., угрозы из внешних сетей включают в себя:
угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации;
угрозы сканирования, направленные на выявление типа операционной системы ИСПДн, сетевых адресов рабочих станций, открытых портов и служб, открытых соединений и др.;
угрозы выявления паролей;
угрозы получения НСД путем подмены доверенного объекта;
угрозы типа «Отказ в обслуживании»;
угрозы удаленного запуска приложений;
угрозы внедрения по сети вредоносных программ.
Основные атаки на веб-приложения и способы защиты от них
Для реализации угроз конфиденциальности, целостности и доступности могут быть использованы различные методы атак на веб-приложения.
По итогам 2013 года, участниками проекта Open Web Application Security Project (OWASP)[12] был составлен рейтинг из 10 самых опасных уязвимостей веб-приложений. Список OWASP Топ-10 основан на восьми базах данных от семи компаний, включая четыре консалтинговые фирмы и трех вендоров SaaS. Общая база содержит более 500 000 уязвимостей в сотнях организаций и тысячах приложений[13].
Внедрение кода
Некорректная аутентификация и управление сессией
Межсайтовый скриптинг (XSS)
Небезопасные прямые ссылки на объекты
Небезопасная конфигурация
Утечка чувствительных данных
Отсутствие контроля доступа к функциональному уровню
Подделка межсайтовых запросов (CSRF)
Использование компонентов с известными уязвимостями
Невалидированные перенаправления
Внедрение SQL кода (SQL-injection)
Метод атаки направленный на внедрение в посылаемые пользователем параметры SQL кода, в случае успеха злоумышленник может изменить логику запроса получить, удалить или добавить данные в базу. Существует множество разновидностей использования этой атаки, но все они направлены на изменения пользовательского запроса на свой синтаксически правильный запрос.
Классической защитой от SQL-инъекции является строгое типизирование и фильтрация принимаемых параметров в зависимости от типа, а именно фильтрация кавычек и символов “-/\*”. Большинство современных средств разработки позволяют защититься от уязвимости путем использования ORM(объектное представление данных), в частности компания Microsoft предлагает свое решение - EntityFramework.
Ошибки в реализации аутентификации и сессий
Данная уязвимость может эксплуатироваться при условии, что веб-приложение использует механизм сессий с использованием cookie.
Рисунок 5. Пример ошибки в реализации сессий
Злоумышленник перебирает сессионный идентификатор и получает доступ к сессиям пользователей.
Защищаться от данной атаки нужно путем использования надежного алгоритма генерации уникальных идентификаторов для пользователей.
Межсайтовый скриптинг (XSS)
Атака заключается во внедрении в выдаваемую сервером веб-страницу вредоносного кода, который будет выполнен при открытии пользователем данной страницы. Данная атака может быть использована для получения личных данных пользователя или вставки ссылок на другие сайты. По статистике предоставленной Positive Technologies 43% процента атак были произведены с помощью уязвимости XSS[13, 14]. На популярном веб-ресурсе скрипт может организовать DDoS атаку.
Рисунок 6. Пример кода без предварительной обработки входных параметров
Основные способы защиты от XSS это:
валидация входных данных и их обработка («эскейпинг») при генерации страниц
важен HTML-контекст (body, attribute, JavaScript, CSS, URL)
внедрение Content Security Policy
HTTPOnly сессионные куки , чтобы их нельзя было прочитать из JavaScript
Небезопасное указание на внутренние объекты
Уязвимость заключаться в выявлении ссылок по которым можно получить интересующую злоумышленника, например о состоянии счета пользователя.
Рисунок 7. Пример небезопасного указания на внутренние объекты
Основные способы защиты это:
Проверка авторизации
Минимизация прямых указателей на системные объекты
Неправильная настройка сервера(Server Misconfiguration)
Проблема неправильной настройки сервера дает еще один вектор атак для злоумышленников, по умолчанию при установке сервера включены многие службы, которые не используются, но тем самым позволяют злоумышленнику реализовать атаку, например доступны файлы конфигурации сервера, включены ненужные службы (управления контентом, удаленное управление), а также функции отладки или административные функции. Все это может послужить средством для злоумышленника, чтобы обойти методы аутентификации и получить доступ к конфиденциальной информации, возможно с повышенными привилегиями. Сервер может включать известные учетные записи и пароли по умолчанию. Неправильно сконфигурированные сертификаты SSL и настройки шифрования, использование сертификатов по умолчанию, и не надлежащая аутентификация с внешними системами может поставить под угрозу конфиденциальность информации. Подробные и информативные сообщения об ошибках могут привести к утечке данных, а информация может быть использована для разработки следующего шага атаки.
Методы защиты от небезопасной конфигурации:
Хорошо поставленный процесс развёртывания и конфигурирования веб-окружения
Максимально автоматизированный процесс с ведением чеклистов
Регулярные сканирования
Установка обновлений безопасности
Отсутствие контроля доступа к функциональному уровню
Уязвимость заключается в неправильно реализованной аутентификации и авторизации пользователей, рекомендуется использовать политики и роли, а так же запрещать доступ по умолчанию.
Подделка межсайтовых запросов (CSRF)
Уязвимость заключается в том, что веб-приложение позволяет при переходе по обычной ссылке выполнять какое-нибудь действие. Злоумышленник подготавливает специальный URL , при загрузке которого будет, например, осуществлён перевод денег со счёта жертвы на его, и размещает его в виде картинки на популярном ресурсе.
Рисунок 8. Пример эксплуатации уязвимости CSRF
Методы защиты от CSRF:
Подписывание запросов специальными токенами
Рекомендуется дополнительно к токенам все действия переводить на POST-запросы
Проверка источника запросов
Использование компонентов с известными уязвимостями
Используются уязвимости ПО, которые получили широкую огласку и уже исправлены производителем.
Рекомендациями являются:
Составление списка всех сторонних компонентов.
Своевременное обновление.
Отключение ненужной функциональности.
Внедрение автоматизированных проверок .
Открытые перенаправления (Open redirect)
Уязвимость заключается в указании в качестве параметра ссылки для перенаправления пользователя и отсутствии проверки этого параметра на уровне приложения.
Уязвимость чаще всего используется для фишинговых атак.
Методы защиты являются:
Отказ от использования перенаправлений на внешние ресурсы;
«Страница подтверждения» для неизвестных адресов
|
