Анализ уязвимостей — это организованный процесс поиска уязвимых мест, угроз, потенциальных способов их осуществления и моделей работы злоумышленников, вовлеченных в эти процессы.
Уязвимость представляет собой слабый компонент в информационной системе (ИС) предприятия. Под угрозой понимают возможное событие, действие, явление или процесс, которые могут скомпрометировать информацию. Третье действующее лицо — злоумышленник, который использует найденные уязвимости для реализации угроз.
Наличие уязвимостей негативно влияет на бизнес: делает его менее защищенным перед конкурентами, упрощает нанесение материального вреда, раскрытие конфиденциальной информации (например, персональных данных клиентов или контрагентов). Источники угрозы бывают преднамеренными или случайными, а также вызванными природными или техногенными факторами. Для каждой угрозы существует перечень уязвимостей, которые позволяют ее реализовать.
Анализ уязвимостей в разрезе ИБ
Информационная безопасность (ИБ) определяет защищенность бизнес-среды и экономическую эффективность деятельности организации. Компании, которые заинтересованы в ИБ, ведут работу по предотвращению утечки конфиденциальной информации, ее несанкционированному изменению и защите от угроз, которые могут нарушить работу, повлиять на взаимоотношения с контрагентами, государственными контролирующими органами, потенциальными инвесторами, поставщиками.
Есть несколько источников угроз, потому необходимо их систематизировать и составить план анализа, чтобы охватить как можно больше потенциально уязвимых бизнес-процессов. В информационной безопасности важно придерживаться четырех основополагающих принципов: целостность, конфиденциальность, доступность и достоверность данных.
Виды угроз для анализа
Анализ уязвимостей информационной системы возможен только при понимании типов угроз, которые возникают в информационном поле предприятия. Существует несколько способов их классификации.
По состоянию источника угрозы:
- 1Вне зоны действия/видимости ИС (перехват данных во время прохождения каналами связи);
- 2В пределах видимости ИС (например, подслушивающие устройства);
- 3Непосредственно в ИС;
По степени воздействия:
- 1Несут активную угрозу (вирусы, троянские программы);
- 2Несут пассивную угрозу (кража информации копированием).
По способу доступа:
- 1Через нестандартные каналы связи (например, уязвимости ОС);
- 2Напрямую (через кражу паролей).
Главные цели атаки на IT-инфраструктуру предприятия — контроль над ценными информационными ресурсами, доступными в корпоративной сети, и ограничение деятельности организации. Второй способ выбирают недобросовестные конкуренты или политические оппоненты.
Информационной безопасности угрожают:
- 1Вредоносное программное обеспечение и хакеры/мошенники;
- 2Стихийные бедствия (пожары, наводнения, аварии на энергосистемах);
- 3Сотрудники-инсайдеры (злонамеренные или незлонамеренные).
Угрозы реализуют различными способами:
- 1Перехватывают данные и сигналы связи;
- 2Оставляют аппаратные и программные «закладки»;
- 3Нарушают работу корпоративных локальных и беспроводных Wi-Fi сетей;
- 4Создают условия для доступа инсайдеров.
Оценка вероятности угроз
Чтобы оценить вероятность наступления угроз, используют трехуровневую качественную шкалу:
Первый уровень — Н, или «низкая вероятность». У нее минимальная вероятность наступления и нет предпосылок (мотивов, инцидентов в прошлом) для того, чтобы реализовать угрозу на практике. Угрозы с низкой вероятностью приводят к реальным инцидентам не чаще одного раза в 5—10 лет.
Второй уровень — С, или «средняя вероятность». Вероятность осуществления такой угрозы выше, чем в предыдущем случае, так как в прошлом имели место аналогичные инциденты, есть информация, что атакующая сторона имеет намерения и/или возможности реализовать их в отношении объекта. Угрозы со средней вероятностью приводят к реальным инцидентам в среднем раз в году.
Третий уровень — В, или «высокая вероятность». Угроза с самыми высокими шансами осуществления. Их подтверждают статистические данные, произошедшие ранее инциденты, серьезные мотивы со стороны атакующей стороны. Ожидать реализацию этой угрозы можно раз в неделю или чаще.
Методы анализа уязвимостей
Есть несколько методик, которые позволяют выполнить анализ уязвимостей системы. Одна из них базируется на вероятностном подходе и учитывает факторы:
- 1Потенциал нарушителя: определяется на основе экспертных оценок;
- 2Источник угрозы: атака возможна в контролируемой зоне или за ее пределами;
- 3Способ воздействия: технический, сетевой или социальный канал;
- 4Объект угроз: конфиденциальная информация, средства ее доставки/обработки/хранения, или штатные сотрудники компании.
При анализе уязвимостей ИС важно учесть возможные места дислокации. Для этого выявляют и устраняют ошибки в ОС и прикладном программном обеспечении, а в будущем регулярно и оперативно устанавливать патчи от разработчиков ПО.
Для тех уязвимостей, которые связаны с некорректной настройкой средств защиты, регулярно проверяют и выполняют ИТ-аудит систем защиты информации, а в идеале настраивают непрерывный мониторинг. Отдельно проводится работа с сотрудниками предприятия: раздают права доступа, используют ограничения на установку специального ПО, копирование данных, использование внешних носителей информации.