Лагоша О.Н. - Сертификация информационных систем (2021). Курс лекций по дисциплине Сертификация информационных систем. Предназначено для студентов специальности Информационные системы и программирование

21
ЛЕКЦИЯ 3. МЕТОДЫ
ЗАЩИТЫ ИНФОРМАЦИИ
1. Основные методы противодействия
угрозам безопасности информации
Отрицательное воздействие угроз уменьшается различными методами, направленными, с одной стороны, на устранение носителей угроз — источни- ков угроз, а с другой — на устранение или существенное ослабление факторов их реализации — уязвимостей. Кроме того, эти методы должны быть направле- ны на устранение последствий реализации угроз.
Среди методов противодействия выделяются следующие основные груп- пы (рис. 5):
– правовые методы;
– экономические методы;
– организационные методы;
– инженерно-технические методы;
– технические методы;
– программно-аппаратные методы.
Рис. 5
Методы обеспечения безопасности информации
При выборе методов парирования угроз (защиты информации) учитыва- ются полученные в ходе анализа коэффициенты опасности каждого источника угроз, уязвимости и коэффициенты групп методов реализации угроз ИБ.
Правовые методы направлены на создание защитного иммунитета, ос- нованного на угрозе применения репрессивных мер в отношении нарушителя интересов (источников угроз), и установление механизмов применения опреде- ленных санкций в отношении этих нарушителей. Эти методы в основном ори- ентированы на устранение угроз, реализуемых источниками антропогенного
1 / 10

22
характера, и являются базисом для реализации всех остальных методов защиты.
Основными правовыми методами являются:
– признание права собственности на информацию;
– признание права судебной защиты интересов организации;
– определение условий и порядка использования и защиты информации;
– введение санкций за противоправные деяния с защищаемой информа- цией;
– вменение в обязанность государственных органов необходимости со- хранения конфиденциальности информации, ставшей им известной в силу слу- жебных обязанностей.
Экономические методы воздействуют на антропогенные источники уг- роз и в совокупности с правовыми методами направлены на сокращение их числа и введение в действие механизмов ликвидации последствий реализации угроз.
Основными экономическими методами являются:
– введение системы коэффициентов и надбавок;
– страхование средств обработки информации;
– страхование информационных рисков;
– введение механизма возмещения убытков и компенсации ущерба.
Организационные методы в основном ориентированы на работу с пер- соналом, выбор местоположения и размещения объекта информатизации, орга- низацию систем физической, противопожарной защиты, контроля выполнения принятых мер, возложения персональной ответственности за выполнение мер защиты. Методы применяются для уменьшения числа внутренних антропоген- ных, техногенных и стихийных источников угроз, а также уменьшения влияния уязвимостей. Основными организационными методами являются:
– выбор местоположения и размещения объекта информатизации (его технических средств);
– физическая защита и организация охраны (в том числе с применением технических средств охраны);
– ограничение доступа персонала в помещения, в которых установлены технические средства обработки конфиденциальной информации;
– подбор и работа с персоналом;
– организация инструктажа персонала;
– организация учета оборудования (технических средств обработки ин- формации) и носителей информации;
– контроль выполнения требований по защите;
– противопожарная охрана;
– обеспечение надежного сервисного обслуживания;
– организация взаимодействия с компетентными органами.
Инженерно-технические методы ориентированы на оптимальное по- строение зданий, сооружений, инженерных сетей и транспортных коммуника- ций с учетом требований обеспечения безопасности информации.
Эти методы, как правило, реализуются на этапе строительства или рекон- струкции объектов, способствуют повышению их общей живучести и устраня-
2 / 10

23
ют источники угроз,обусловленные стихийными бедствиями и факторами тех- ногенного характера, не устранимыми другими методами. Они направлены на ослабление влияния большого количества объективных и случайных уязвимо- стей. В контексте настоящей Концепциик этим методам относятся:
– обеспечение электрозащиты оборудования и зданий;
– экранирование помещений;
– защита помещений от разрушения;
– оптимальное размещение оборудования;
– оптимальное размещение инженерных коммуникаций;
– применение средств визуальной защиты;
– акустическая обработка помещений;
– применение систем кондиционирования.
Технические методы основаны на применении специальных техниче- ских средств защиты информации и контроля обстановки и ориентированы на устранение угроз, связанных с действиями внешних антропогенных источни- ков, угроз по добыванию информации незаконными техническими средствами.
Некоторые из этих методов позволяют устранить воздействие техногенных ис- точников угроз и ослабляют влияние объективных, субъективных и случайных уязвимостей. Техническими методами являются:
– резервирование технических средств обработки;
– резервирование каналов связи;
– использование выделенных каналов связи;
– создание резервной копии (дублирование) информационных ресурсов;
– создание системы пространственного зашумления;
– создание системы линейного зашумления;
– создание системы акустического и вибрационного зашумления;
– экранирование узлов и оборудования ИС;
– использование в ИС доработанного оборудования;
– использование источников гарантированного питания для ИС;
– контроль каналов связи для передачи информации;
– контроль отсутствия электронных устройств перехвата информации на объектах.
Программно-аппаратные методы нацелены на устранение проявления
угроз, непосредственно связанных с процессом обработки и передачи информа- ции в ИС. Без этих методов невозможно построение целостной комплексной подсистемы информационной безопасности. В этой группе объединяются такие методы, как:
– ограничение доступа к средствам обработки (ПО, техническим средст- вам);
– ограничение доступа к объектам защиты(защищаемым информацион- ным ресурсам);
– разграничение доступа субъектов (пользователей);
– управление внешними потоками информации;
– управление внутренними потоками информации;
– скрытие структуры и назначения ИС;
3 / 10

24
– подтверждение подлинности информации;
– преобразование (шифрование, кодирование) информации при ее пере- даче;
– преобразование (шифрование, кодирование) информации при ее хране- нии;
– блокирование неиспользуемых сервисов;
– мониторинг целостности ПО, конфигурации ИС;
– мониторинг атак на ИС и разрушающих воздействий;
2. Классификация решений для защиты баз данных
Существует шесть основных категорий программных решений для обес- печения безопасности баз данных. Все они предназначены для выполнения оп- ределенных задач:
– средства обнаружения и оценки. Выявляют уязвимости базы данных и местонахождение критически важных данных;
– средства для управления правами доступа. Идентифицируют излишние права доступа к конфиденциальной информации;
– средства мониторинга и блокирования. Защищают базы данных от взлома, неавторизованного доступа и похищения информации;
– средства аудита. Помогают подтвердить соответствие информацион- ной системы отраслевым стандартам безопасности;
– средства защиты данных. Поддерживают целостность и конфиденци- альность данных;
– меры безопасности нетехнического характера. Повышают культуру обращения с конфиденциальными данными и степень готовности к угрозам.
Ниже приводятся практические рекомендации по применению решений каждого типа для защиты баз данных.
1. Средства обнаружения и оценки
1.1. Проводите поиск уязвимостей
Знание уязвимостей, подвергающих БД риску инъекций в поле ввода
(input-инъекций), является основой политики безопасности. Хакерские про- граммы часто эксплуатируют широко известные уязвимости, поэтому база дан- ных, не обновленная должным образом, является легкой мишенью.
Слабые механизмы аутентификации позволяют хакерам проводить DoS- атаки на уровне приложений, поскольку открывают беспарольный доступ к БД.
Используйте специализированные программы для выявления уязвимостей, ошибок в конфигурациях и отсутствующих патчей. Оценка должна основы- ваться на существующих отраслевых стандартах безопасности, таких как DISA
STIG и CIS.
1.2. Определяйте степень риска
Величина риска зависит от степени критичности уязвимостей для базы данных и конфиденциальности информации. При оценке критичности следует
4 / 10

25
использовать известные алгоритмы расчета, такие как Common Vulnerability
Scoring System (CVSS).
Знание величины риска помогает выделять приоритетные риски и иссле- довать вызывающие их уязвимости. В данном случае высокая степень риска обусловлена уязвимостью к input-инъекциям.
1.3. Снижайте критичность уязвимостей
Если в базе данных обнаружена уязвимость, а разработчик СУБД не ус- пел выпустить патч, можно применять виртуальные патчи. Этот метод позволя- ет блокировать попытки эксплуатации уязвимостей, не устанавливая реальные патчи и не изменяя текущую конфигурацию сервера.
Виртуальные патчи помогут защитить БД от вторжения до выпуска раз- работчиками нового патча. В данном случае также необходимо сосредоточить- ся на устранении наиболее критических уязвимостей, делающих БД уязвимой к
DoS-атаке или input-инъекции.
1.4. Идентифицируйте уязвимые БД
Проводите анализ рисков и выделяйте приоритетные действия по устра- нению угроз. Отчеты и аналитические данные помогают оценить риски и выде- лить приоритетные направления работы по устранению уязвимостей.
1.5. Проводите поиск серверов БД
Для того чтобы построить, обслуживать ваши системы хранения данных и изолировать содержащуюся в них конфиденциальную информацию, необхо- димо в первую очередь создать каталог доступных БД. Используйте специаль- ные решения по поиску и обнаружению для сканирования корпоративной сети и идентификации активных БД. Отдавайте предпочтение решениям, снижаю- щим время сканирования благодаря применению фильтрации по IP-адресам и диапазонам IP-адресов, а также фильтрации по конкретным типам БД (напри- мер, Oracle, MS-SQL, IBM DB2 и т. д.). Периодически проводите повторное сканирование для обнаружения новых баз данных или изменений в старых.
1.6. Анализируйте результаты поиска
Просматривайте результаты поиска и классификации БД и устанавливай- те, какая БД, хранящая конфиденциальные данные, должна подвергаться мони- торингу. Идентифицируйте и классифицируйте конфиденциальные данные следующим образом:
Создав каталог баз данных, необходимо выяснить, какие именно БД со- держат конфиденциальные данные. Сканируйте объекты, строки и колонки БД для уточнения местоположения конфиденциальных данных.
1.7. Используйте решения для классификации,
способные распознавать такие типы данных, как номера кредитных карт,
адреса электронной почты и идентификационные номера
Отдавайте предпочтение решениям, способным работать с пользователь- скими типами данных. Результаты классификации должны содержать IP-адрес и имя хоста БД и указывать на наличие в ней конфиденциальных данных. Ав- томатическая идентификация конфиденциальных данных и персональной ин-
5 / 10

26
формации помогает точнее направлять усилия по защите и соответствию стан- дартам.
1.8. Управление правами доступа
Проводите агрегацию прав пользователей. Сканируйте базы данных и со- бирайте информацию о степени доступа пользователей к объектам БД. Отчеты должны включать информацию о предоставлении непосредственных прав дос- тупа (например, SELECT, DELETE, CONNECT и т. д.), лицах, обладающих та- кими правами, и лицах, предоставивших им эти права, а также объектах БД, доступ к которым эти права предоставляют. Агрегация прав пользователей в единый репозиторий позволяет систематизировать процесс отчетности и анали- за доступа пользователей к конфиденциальным данным.
1.9. Детализируйте отчеты о правах доступа, включая в них данные
о пользовательских ролях и уровне конфиденциальности данных
Собирайте детальную информацию о пользователях: их имена, отдел, проведенные операции с БД, уровень конфиденциальности объектов БД, с ко- торыми они работали, последнее время доступа к БД и т. д. Это поможет усо- вершенствовать процесс анализа пользовательских прав, распределить риски и свести к минимуму возможность злоупотребления правами.
1.10. Идентифицируйте и устраняйте излишние привилегии
и неактивные учетные записи
Идентифицируйте пользователей, обладающих излишними правами дос- тупа, а также пользователей, не пользующихся своими правами. Это позволит определить, правильно ли распределены привилегии, добиться распределения ролей и устранить излишние права доступа, которые не требуются им для рабо- ты. Дело в том, что хакеры могут воспользоваться учетной записью какого- либо пользователя для доступа к хранилищам конфиденциальных данных. Та- ким образом, устранение излишних привилегий помогает защититься от на- правленных атак и взлома с применением вредоносного ПО.
1.11. Пересматривайте, подтверждайте или отклоняйте права
отдельных пользователей. Организуйте проверку достаточности уровня
пользовательских привилегий
Проверяющие должны подтверждать, отклонять права или передавать их на проверку другому лицу, а администраторы могут следить за ходом проверки.
При проверке прав пользователей необходимо руководствоваться принципом минимальной осведомленности, что позволит соблюдать требования по безо- пасности данных и сократить возможные риски. Используйте решения, извест- ные как Universal User Tracking (UUT), для сопоставления информации о поль- зователях с операциями, проводимыми в отношении БД. Результаты проверки могут включать в себя уникальные имена пользователей клиентских приложе- ний.
6 / 10

27
2. Мониторинг и блокирование
2.1. Применяйте оповещение и блокирование в режиме реального времени
Проводите мониторинг обращений к БД и паттернов поведения пользова- телей в режиме реального времени для обнаружения утечек данных, неавтори- зованных операций с SQL и Big Data, атак на протокол и систему. При обнару- жении попытки несанкционированного доступа генерируйте оповещения или прерывайте сеанс пользователя. Используйте решения, реализующие политики, как стандартные, так и пользовательские, направленные на сканирование тра- фика БД для идентификации паттернов, соответствующих известным атакам, таким как DoS-атаки, и неавторизованной деятельности. Политики безопасно- сти полезны не только для обнаружения злоупотребления излишними привиле- гиями внутренних нарушителей, взломанными или неактивными пользователя- ми, но также для предотвращения большей части угроз, описанных в данной статье.
2.2. Выявляйте аномальную активность
Сформируйте исчерпывающий профиль нормального поведения для каж- дого пользователя БД. Мониторинг отклонений от этих паттернов позволяет обнаружить DoS-атаку, вредоносное ПО, input-инъекции и аномальную актив- ность. Если какой-либо пользователь инициирует действие, не соответствую- щее его профилю, зафиксируйте данный факт, сгенерируйте оповещение или заблокируйте пользователя. Составление и изучение профилей активности пользователей повышает вероятность обнаружения попыток неправомерного доступа к конфиденциальной информации.
2.3. Блокируйте вредоносные веб-запросы
Поскольку веб-приложения являются одной из наиболее популярных це- лей атаки с помощью input-инъекций, еще одной важной линией обороны ста- нет ваш файрвол для веб-приложений (Web Application Firewall, WAF). WAF распознает и заблокирует попытки воздействия input-инъекциями на веб- приложения. Для защиты от input-инъекций WAF должен выполнять следую- щее:
– проверять значения параметров HTTP на наличие специальных симво- лов, таких как апострофы и скобки, и определять, свидетельствуют ли данные символы о проведении атаки;
– учитывать сигнатуры приложений и политики известных паттернов input-инъекций при принятии решений об оповещении и блокировании.
2.4. Проводите мониторинг активности локальной БД
Решения класса DAP (Database audit and protection, аудит и защита БД) могут проводить аудит и мониторинг активности ваших наиболее привилегиро- ванных пользователей — администраторов БД и системных администраторов.
Эти пользователи получают наиболее полный доступ к вашим БД и поэтому требуют особого внимания. Независимо от того, злоупотребили ли они своими правами или их учетные записи были взломаны, риск кражи данных и нанесе-
7 / 10

28
ния урона вашей организации возрастает. Внедрите меры по контролю соеди- нений.