Дәріс№14. Интернеттегі ақпараттық қауіпсіздік мәселелері
Сайтқа, порталға және виртуалды деректер орталығына сенімді қауіпсіздік жүйесі қажет. Компания деректерді таратылған өңдеу және Ақпаратқа қол жеткізуді жеңілдету бағытында жылжып келе жатқанда, қауіпсіздік қатерлері барған сайын ауқымды бола түсуде. Осы факторлардың үйлесуі қауіптің жоғарылауына ықпал етеді. Қауіпсіздікті кешенді басқару жүйесі қажет (КУБ). Басқарылатын қауіпсіздік қызметтеріне қандай рөл берілетінін және қорғаныс құралдарынан келетін өсіп келе жатқан деректер ағынын қалай жеңуге болатындығын шешу қажет. Мұнда тұрақты бағдарламалық жасақтама жаңартулары мен сымсыз жүйелерге қатысты мәселелерді қосыңыз.
Веб-қосымшалардың тек үш пайызы хакерлерге қарсы тұра алады, веб-сайттардың 97% - ында "қорғаныста Елеулі ақаулар" бар, нәтижесінде деректер мен жүйелер зиянды мақсатта бұзылуы мүмкін. Табылған ауыр "тесіктердің" 97% - ының 40% - ы крекерлерге толық бақылауға және Ақпаратқа қол жеткізуге мүмкіндік берді. Ақаулардың шамамен 23% - ы құпиялылықты бұзуы мүмкін, ал анықталған қателіктердің 21% - ы электронды дүкендерден тауарларды "ұрлауға" мүмкіндік берді. Ақаулардың 5% - ы бұзушыларға ақпаратты өзгертуге, ал 5% - ы транзакцияларды тоқтатуға мүмкіндік берді. Бағдарламалық жасақтамадағы қателіктердің 2% - ы соншалықты ауыр, сондықтан шабуылдаушылар веб-сайттарды оңай жоя алады.
Дамыған елдерде кәсіпорындар ақпараттық қауіпсіздікті қамтамасыз етуге ақпараттық технологияларға бөлінген бюджеттің 5-тен 7% - на дейін жұмсайды. Ресейде компаниялар бұл мақсаттарға аз жұмсайды-тек 1-2%
Ресейде компаниялардың шамамен 48% - ы антивирустық бағдарламалық жасақтаманы пайдаланады. Екінші ең танымал (шамамен 29%) - бұл брандмауэрлер және Виртуалды жеке желілерді (VPN) құру құралдары. Шамамен бірдей қаражат шабуылдарды анықтау шешімдеріне (10%) және сәйкестендіру, авторизациялау және басқару өнімдеріне (11%) жұмсалады. Еуропада сәйкестендіру, авторизациялау және әкімшілендіру құралдарына көп көңіл бөлінеді. Өзіңізді "жалпы" қауіп-қатерден емес, ақпараттық жүйенің тоқтап қалу қаупінен қорғау ұсынылады.
Қорғаныс қана емес, шабуыл да жетілдірілуде. Вирустардың шабуылдары күрделі болады-олар бірнеше жолмен таралады және әртүрлі зиян келтіреді: олар пошта мекенжайларын ұрлайды, кейбір бағдарламалардың жұмысын блоктайды, кейінгі шабуылдарға бос орын қалдырады.
80% жағдайда АТ жүйелерінің істен шығуы бағдарламалық жасақтама деңгейінде болады, яғни бағдарламалық жасақтама қателері, жүйеге вирустардың енуі, деректердің зақымдануы, оларды кездейсоқ жою және т.б. 12% жағдайда тоқтап қалу жүйенің аппараттық компоненттерінің істен шығуына байланысты болады. Тағы 8% ақаулардың себебі әртүрлі табиғи апаттар, террористік актілер, электрмен жабдықтау проблемалары болып табылады.
Терроризмнен гөрі Бизнестің өміршеңдігіне қауіп төндіреді, бұл қызметкерлердің қателіктері немесе зиянды әрекеттері. Жағдай көбінесе кәсіпорындардың деректерді авариялық қалпына келтіру жоспарларына шамадан тыс немқұрайлы қарауымен күрделене түседі. Сонымен, it-менеджерлердің 17% — ында төтенше жағдайды қалпына келтіру жоспары жоқ, 57% — ы мұндай жоспарды жылына бір рет және одан да аз қарайды, 6% - ы ешқашан қайта қаралмайды, ал 25% - ы мұндай жоспарларды ешқашан сынамаған.
Барлық кәсіпорындардың 84% - ы есептеу техникасының тұрақтарымен бетпе-бет келді. Олардың 26% - ында сәтсіздіктер тоқсанына бір рет және одан да жиі болады. Кәсіпорындардың 14% - ында жүйенің тоқтап қалу ұзақтығы 24-тен 48 сағатқа дейін болды; 16% — да маңызды деректердің жоғалуы байқалды.
Деректердің қауіпсіздігін қамтамасыз ету қажеттілігі келесі себептерге байланысты:
Тікелей қалпына келтіру шығындары және қарапайым. Бұл шығындар ең маңызды және өте маңызды болуы мүмкін. Бұған жұмысқа қабілеттілікті төмендетуге жұмсалатын шығындарды (мысалы, жүйе тоқтап қалды, бірақ байланыс арнасы шабуылдаушының сұранысымен бітеліп қалған) және қызметкерлерді олардың негізгі жұмысынан алшақтатуға жұмсалатын шығындарды (ірі іркілістер компания персоналының көп бөлігін күресуге және қалпына келтіруге тартуы мүмкін) жатқызуға болады.
Клиенттердің сенімін төмендету. Ірі іркілістерді жұртшылықтан жасыру мүмкін болмайды, ал бұл клиенттердің бәсекелеске көшуіне, яғни пайданың жоғалуына қауіп төндіреді.
Қылмыстық қудалаудың қауіптілігі. Клиенттердің ақшасын жоғалту немесе жеке ақпаратты жария ету сот ісін жүргізуге әкелуі мүмкін, яғни сот шығындары, мүмкін ірі өтемақылар.
Бұл құпия деректердің жоғалуы және / немесе ашылуы. Бағалау мүмкін емес, шығын компанияның банкроттығына дейін үлкен болуы мүмкін.
Сатып алынған қорғаныс құралдары, мамандардың еңбегіне ақы төлеу, сыртқы қауіпсіздік аудитін жүргізу және т.б. түріндегі ақпараттық қауіпсіздікті қамтамасыз етуге ұйымдардың инвестициялары жылдан жылға тұрақты түрде артып келеді, көбінесе өтелмейді. Бұл, негізінен, көптеген ұйымдар фрагменттік көзқарасты ұстануды жалғастыруда, бұл ұйымның ат-ға тәуелділігі әлсіз және ақпараттық қауіпсіздік тәуекелдерінің төмен деңгейімен ғана ақталады. Ақпараттық қауіпсіздіктің барабар деңгейі бірыңғай тұжырымдамалық негізде бағдарламалық-техникалық және ұйымдастырушылық қорғау шараларын жоспарлы пайдалануды көздейтін кешенді тәсілді ғана қамтамасыз ете алады. Сонымен қатар, ұйымдастыру шаралары маңызды рөл атқарады. Егер пайдаланушылар пароль саясатының негізгі ережелерін елемейтін болса және желі әкімшілері корпоративтік желі ресурстарына қол жетімділікті қамтамасыз етудің белгіленген рәсімдерін бұзса, қорғаудың ең күрделі және қымбат механизмдерінің тиімділігі нөлге дейін азаяды.
Қауіпсіздіктің ықтимал бұзылуы - нақты қауіптер
Жол-жөнекей ұстау. Хакерлерге оқу құқығы бар қауымдастықтардың аттарын алу оңай: желіні басқару менеджерлерінің сұраныстарын оқу үшін бір талдағыш бағдарлама (Ethereal сияқты) жеткілікті. Қол жеткізуді қорғау үшін қол жеткізуді басқару тізімдері қолданылмайтын жүйелер хакерлердің құрбанына айналады. Бірақ кіру тізімдері арқылы қорғау көбінесе іске асыру қателіктеріне байланысты тиімді емес. Таза емес қызметкерлер тізімдерді айналып өте алады.
Қауымдастық атауын таңдау / "қатал күш" әдісі. Тәуекелдің маңызды факторы әдепкі бойынша жойылған қауымдастық атаулары болып табылады. Интернетте сіз кез-келген өндірушінің жүйелеріне әдепкі атауларды таңдау оңай болатын толық тізімдерді таба аласыз. Көбінесе әкімшілер бұл атауларды орнатудан кейін қалдырады, бұл хакерге жүйелерді басып алуды айтарлықтай жеңілдетеді. Қорғауды сканерлеу жүйелері SNMP жүйелеріне оңай жүзеге асырылатын шабуылды ұсынады, оның аясында Қауымдастық атауын таңдау барысында сөздер тізімімен қатар барлық қол жетімді белгілер тізбегі сұрыпталады. Егер хакердің уақыты (бірнеше апта) болса, онда ол мұндай шабуылды "қатал күш" әдісімен және желідегі жүктемені айтарлықтай арттырмай жүргізе алады. Алайда, мұндай әрекеттерді кез-келген жақсы конфигурацияланған рұқсатсыз кіруді анықтау жүйесі тануы керек.
Қашықтан бақылау жүйесі арқылы ұстап алу. Қашықтан бақылау желіні қашықтықтан талдау және ақаулықтарды табу мақсатында жасалады және ақылға қонымды пайдалану жағдайында компьютерлік желіге қызмет көрсетуді айтарлықтай жеңілдетеді. Сонымен қатар, желідегі компьютерлер (хосттар), ең үлкен көлемдегі деректерді жіберушілер мен алушылар (hostTopN, әдетте, серверлер) және т.б. туралы анықтама беріледі. Әкімші коммутатордың конфигурациясын жиі тексереді ме, егер ол сәтсіз жұмыс істесе?
Басқа шабуылдар. Белгілі бір өндірушінің басқару құралдарында іске асыру қателіктеріне байланысты әрдайым әлсіз жерлерді табуға болады. Сонымен қатар, бірқатар қауіпсіздік мәселелері туындайды, соның салдарынан пайдаланушы аттары, парольдер және қауымдастық атаулары бар конфигурация деректеріне қол жеткізуге болады. Излюбленный прием взломщика — переконфигурация маршрутизаторов. Ол деректерді өзгерту немесе тек оқу мақсатында алмасуды басқара алады және осылайша өзінің маршрутизаторын сервер Мен құрбан арасындағы жолда пакеттердің тағы бір бағыты ретінде көрсететін техникалық күрделі аралық шабуылдарға (man in the Middle) жағдай жасай алады.
Коммутаторлар айна порттары арқылы талдауға мүмкіндік береді. Бұл жағдайда хакер коммутатор арқылы берілетін барлық дерлік деректерге қол жеткізе алады. Жалғыз шарт — айна портының жеткілікті өткізу қабілеті.
Сондай-ақ, буфердің толып кетуіне байланысты кез-келген бағдарламалық жасақтамадағы осалдықтарды атап өткен жөн. Хакерлер бағдарламалау қателерін тиісті процестің/жүйенің бұзылуына немесе шабуылға ұшыраған жүйеде бағдарламаның қолайсыз қадамдарын орындауға әкелетін белгілердің өте ұзақ тізбегін енгізу арқылы қолданады. Әсіресе, Web Сервері арқылы конфигурацияланған маршрутизаторларда осындай осал жерлер көп.
"Ақпараттық апаттар" көздері: дұрыс емес, толық емес, пайдасыз ақпарат, ақпараттың шамадан тыс жүктелуі.
Технологиялар дамып келеді және жүйелерге шабуыл жасау үшін қолданылатын құралдар әрқашан оларды қорғауға арналған өнімдерден озып отырады. Есіңізде болсын: бұл мәселенің маңыздылығын білетін тек жақсы дайындалған, білікті пайдаланушылар үнемі өсіп келе жатқан қауіп-қатерге қарсы ақпарат пен ресурстардың тұтастығы мен қорғалуын сақтай алады.
Осалдықты талдау екі түрлі: пассивті және белсенді. Пассивті тәсілмен жүйені сканерлеу басып кіру мүмкіндігі туралы болжам жасайды. Белсенді тәсіл қарсы шабуыл жасауды қамтиды.
Қауіпсіздікті бұзу тәуекелдерін бағалау
Кез-келген қорғаныс стратегиясын жасау кезінде, ең алдымен, нақты нені қорғау керек екенін анықтау қажет. Қауіпсіздікті қамтамасыз еткіңіз келетін жүйелердің нақты шектеулерін анықтаудан бастаңыз. Ат жүйелері-бұл физикалық компоненттер, бағдарламалық жасақтама, деректер, байланыс қызметтері және бизнес-процестер кешені. Айта кету керек, жүйе міндетті түрде бір-бірімен немесе басқа нәрсемен байланысты компьютерлерден тұрмайды. Мысалы, сапар агенттерінің әрқайсысының өз мобильді компьютері бар, осы компьютерлердің барлығы бірдей жұмысты орындауға қызмет етеді және оны уәкілетті маман басқарады. Барлық мобильді компьютерлер де қорғалуы керек.
Сіз қорғауға тура келетін жүйенің не екенін анықтағаннан кейін, оған кім және не қауіп төндіретінін жақсы түсінуге болады. Енді сіз осы бөлімнің алдында тұрған міндеттер шеңберін шешу үшін компоненттердің әрқайсысының қаншалықты маңызды екенін анықтауыңыз керек. Жүйеде сақталатын ақпарат, физикалық Инфрақұрылым, бағдарламалық қамтамасыз ету және осы жүйемен жұмыс істейтін мамандар ықтимал қауіптердің үш негізгі түрі — дайындықтың, сенімділіктің төмендеуіне және құпия немесе құпия ақпаратты ашуға әкелетін қауіп-қатерлер тұрғысынан бағалануы тиіс.
Тәуекелді бағалау кезінде келесі үш сұраққа объективті жауап алу жеткілікті. Нақты it-ресурс қаншалықты маңызды? Егер бұл ресурс бүлінген немесе жойылған болса, ұйымға қандай зиян келеді? Зиянкестер осы осал жерді өз шабуылдары үшін пайдалана алады және пайдалана алады деген ықтималдық қандай?
Тәуекел-бұл "қауіп" және "осалдық"жұптарының өзара әрекеттесуі нәтижесінде пайда болатын шығындардың пайда болу мүмкіндігі. Әрбір қауіп үшін оны жүзеге асыру кезінде орын алатын шығындарды бағалау қажет. Осылайша, ауыстыру құнын, зияткерлік меншікті қалпына келтірудің мүмкін шығындарын, Машина уақытының бір сағатының құнын, басқа жағдайларды (құпиялылықты, тұтастықты жоғалту және т.б.) білу қажет.
Тәуекелдерді бағалау процесі үш еңбекті қажет ететін жұмысты қамтиды: ресурстарды сәйкестендіру және олардың құнын анықтау; қауіптерді анықтау; қарсы шараларды анықтау. Орындау мерзімдері олардың әрқайсысы болуы мүмкін жеткілікті үлкен. Тәуекелдерді бағалау үшін қажетті еңбек шығындарын азайтуға және сол арқылы мерзімдерді қысқартуға тырысу ұсынылмайды: бұл ресурстар тізімін және тиісті қауіптерді қалыптастыру кезінде дәлсіздіктерге әкелуі мүмкін.
Макро объектілерге негізінен макро қауіп-қатерлер, атап айтқанда табиғи апаттар қолданылады. Әдетте, мұндай тәуекелдер сақтандыру компанияларына беріледі.
Желілік сүзгілер шамадан тыс жүктеме салдарынан жабдықты зақымдауы мүмкін. Өрт сөндіргіштер мен аккумуляторлардың толтырғыштарының ағуы электроникаға нашар әсер етеді; көбінесе жабдық байланысты ауа баптау жүйелеріне қатты әсер етеді. Сондай-ақ жабдықты ұрлау немесе оны рұқсат етілмеген мақсаттарда пайдалану мүмкіндігін қарастырған жөн.
Бағдарламалық өнімдерді кездейсоқ немесе әдейі өзгертуге немесе бағдарламашылардың немесе пайдаланушылардың өздері жоюға болады. Бір қызығы, сақтық көшірме жасау процесі бағдарламалық жасақтаманы бұзу қаупін тудырады. Бұл, әдетте, сақтық көшірмелерден ақпаратты қалпына келтірудің шешілмеген процедурасына байланысты. Орнатылған бағдарламалық жасақтама бастапқыда бүлінген және жұмыс істемейтін, ал алдыңғы жұмыс нұсқасы жоғалып кеткен белгілі бір қауіп бар.
Тасымалдаушыларды сақтау қауіпсіздігі қалай қамтамасыз етілетінін және олардың бүлінуі немесе жоғалуы мүмкін екенін зерттеу керек. Тасымалдаушы жоғалған жағдайда, осы тасымалдаушыда сақталатын ақпараттың құндылығын да ескеру қажет.
Деректерге қатысты зиянкестер тудыратын қауіптер ескеріледі. Дискідегі ақпаратты желілік қосылымдар арқылы көшіруге, оқуға немесе тіпті өшіруге болады. Медиа (сыртқы көшірмелер, басып шығарулар, сондай-ақ компьютерлердің өздері) зақымдалуы, жоғалуы немесе ұрлануы мүмкін.
Ақпараттық жүйенің ресурстары неғұрлым көп пайдаланылса, соғұрлым осал болады. Жүйеде жалған электрондық хат-хабар пайда болуы мүмкін, құпия ақпарат бұқаралық ақпарат құралдарында жариялануы мүмкін, бәсекелестер ұйымның ноу-хау туралы ақпаратты анықтай алады — қауіптер тізімін шексіз жалғастыруға болады.
Қызметкерлерге байланысты қауіптерді сақтандыру компаниясы анықтай алады. Мысалы, қызметкер көліктің астына түсуі мүмкін (жазатайым оқиғадан сақтандыру), өндірістік жарақат болуы мүмкін (өндірістегі жазатайым оқиғадан сақтандыру) немесе бәсекелестер оны жоғары жалақымен алдауды шешеді.
Тәуекел объектісі қандай? Ақпараттық жүйенің әрбір объектісінің (ресурсының) құны бар. Ресурстардың құнын бағалауды жүйелеу үшін ресурстардың келесі санаттарын бөліп көрсету керек:
Макро объектілер. Ақпараттық жүйенің объектілері, сондай-ақ ауа баптау жүйелері, басқа да қолдау жабдықтары орналасқан ғимараттар. Макро объектілер негізінен өрт немесе су тасқыны, жер сілкінісі немесе химиялық инфекция сияқты форс-мажорлық жағдайларға ұшырайды. Мұндай ресурстардың құны "нөлден бастап" ақпараттық жүйе объектілерін іске қосуға арналған шығындарға не оларды қайта орнатуға немесе қалпына келтіруге арналған шығындарға сүйене отырып айқындалады.
Құрал-жабдықтар. Істен шығуы мүмкін қарастырылатын аймақта орналасқан ақпараттық жүйенің аппараттық құралы. Бұған ұйымның макро объектілерінен тыс орналасқан арна жабдығы немесе АТС сияқты объектілер қосылмайды. Осы ресурстардың құны амортизацияны ескере отырып, жабдықты сатып алу құны және техникалық қолдау шарттарына сәйкес қолдау шығыстарының құны ретінде айқындалады.
Бағдарламалық қамтамасыз ету. Ақпараттық жүйе бұзылған жағдайда жоғалуы мүмкін барлық бағдарламалық өнімдер мен құжаттама. Бұл санатқа коммерциялық бағдарламалар да (олардың құны лицензияны сатып алу бағасы ретінде анықталады) және өзіндік даму бағдарламалары да кіреді (олардың құны бастапқы кодтар мен құжаттама толығымен жоғалғанын ескере отырып, бағдарламалық өнімді қалпына келтіру құны ретінде бағаланады).
Достарыңызбен бөлісу: |