Анализ уязвимостей — это организованный процесс поиска уязвимых мест, угроз, потенциальных способов их осуществления и моделей работы злоумышленников, вовлеченных в эти процессы.
Уязвимость представляет собой слабый компонент в информационной системе (ИС) предприятия. Под угрозой понимают возможное событие, действие, явление или процесс, которые могут скомпрометировать информацию. Третье действующее лицо — злоумышленник, который использует найденные уязвимости для реализации угроз.
Наличие уязвимостей негативно влияет на бизнес: делает его менее защищенным перед конкурентами, упрощает нанесение материального вреда, раскрытие конфиденциальной информации (например, персональных данных клиентов или контрагентов). Источники угрозы бывают преднамеренными или случайными, а также вызванными природными или техногенными факторами. Для каждой угрозы существует перечень уязвимостей, которые позволяют ее реализовать.
Анализ уязвимостей в разрезе ИБ
Информационная безопасность (ИБ) определяет защищенность бизнес-среды и экономическую эффективность деятельности организации. Компании, которые заинтересованы в ИБ, ведут работу по предотвращению утечки конфиденциальной информации, ее несанкционированному изменению и защите от угроз, которые могут нарушить работу, повлиять на взаимоотношения с контрагентами, государственными контролирующими органами, потенциальными инвесторами, поставщиками.
Есть несколько источников угроз, потому необходимо их систематизировать и составить план анализа, чтобы охватить как можно больше потенциально уязвимых бизнес-процессов. В информационной безопасности важно придерживаться четырех основополагающих принципов: целостность, конфиденциальность, доступность и достоверность данных.
Виды угроз для анализа
Анализ уязвимостей информационной системы возможен только при понимании типов угроз, которые возникают в информационном поле предприятия. Существует несколько способов их классификации.
По состоянию источника угрозы:
- непосредственно в ИС;
- в пределах видимости ИС (например, подслушивающие устройства);
- вне зоны действия/видимости ИС (перехват данных во время прохождения каналами связи).
По степени воздействия:
- несут активную угрозу (вирусы, троянские программы);
- несут пассивную угрозу (кража информации копированием).
По способу доступа:
- через нестандартные каналы связи (например, уязвимости ОС);
- напрямую (через кражу паролей).
Главные цели атаки на IT-инфраструктуру предприятия — контроль над ценными информационными ресурсами, доступными в корпоративной сети, и ограничение деятельности организации. Второй способ выбирают недобросовестные конкуренты или политические оппоненты.
Информационной безопасности угрожают:
- вредоносное программное обеспечение и хакеры/мошенники;
- сотрудники-инсайдеры (злонамеренные или незлонамеренные);
- стихийные бедствия (пожары, наводнения, аварии на энергосистемах).
Угрозы реализуют различными способами: перехватывают данные и сигналы связи, оставляют аппаратные и программные «закладки», нарушают работу корпоративных локальных и беспроводных Wi-Fi сетей, создают условия для доступа инсайдеров.
Оценка вероятности угроз
Чтобы оценить вероятность наступления угроз, используют трехуровневую качественную шкалу:
Первый уровень — Н, или «низкая вероятность». У нее минимальная вероятность наступления и нет предпосылок (мотивов, инцидентов в прошлом) для того, чтобы реализовать угрозу на практике. Угрозы с низкой вероятностью приводят к реальным инцидентам не чаще одного раза в 5—10 лет.
Второй уровень — С, или «средняя вероятность». Вероятность осуществления такой угрозы выше, чем в предыдущем случае, так как в прошлом имели место аналогичные инциденты, есть информация, что атакующая сторона имеет намерения и/или возможности реализовать их в отношении объекта. Угрозы со средней вероятностью приводят к реальным инцидентам в среднем раз в году.
Третий уровень — В, или «высокая вероятность». Угроза с самыми высокими шансами осуществления. Их подтверждают статистические данные, произошедшие ранее инциденты, серьезные мотивы со стороны атакующей стороны. Ожидать реализацию этой угрозы можно раз в неделю или чаще.
Методы анализа уязвимостей
Есть несколько методик, которые позволяют выполнить анализ уязвимостей системы. Одна из них базируется на вероятностном подходе и учитывает факторы:
- Потенциал нарушителя: определяется на основе экспертных оценок.
- Источник угрозы: атака возможна в контролируемой зоне или за ее пределами.
- Способ воздействия: технический, сетевой или социальный канал.
- Объект угроз: конфиденциальная информация, средства ее доставки/обработки/хранения, или штатные сотрудники компании.
При анализе уязвимостей ИС важно учесть возможные места дислокации. Для этого выявляют и устраняют ошибки в ОС и прикладном программном обеспечении, а в будущем регулярно и оперативно устанавливать патчи от разработчиков ПО. Для тех уязвимостей, которые связаны с некорректной настройкой средств защиты, регулярно проверяют и выполняют ИТ-аудит систем защиты информации, а в идеале настраивают непрерывный мониторинг. Отдельно проводится работа с сотрудниками предприятия: раздают права доступа, используют ограничения на установку специального ПО, копирование данных, использование внешних носителей информации.