Классификация и методика определения угроз информационной безопасности

Чем больше процессов перенесено в цифровую среду и контролируется IT-системами, тем выше угроза информационной безопасности (ИБ). Данные, доступные с разных устройств по сети, пусть даже локальной, могут попасть к посторонним. Это может привести к финансовым, репутационным, правовым и другим проблемам бизнеса. Чтобы укреплять защиту и предотвращать утечку информации, нужно понимать, откуда может прийти киберугроза и как её вовремя выявить.

Основные источники угрозы информационной безопасности

Утечка персональных или конфиденциальных данных может произойти из-за действий на разных уровнях.

Внешнюю киберугрозу представляют хакеры, которые совершают намеренные атаки на IT-систему. Их цель — получить информацию и использовать её для своей выгоды: получить доступ к счетам, важным документам, секретным сведениям ради перепродажи или шантажа.

Иногда хакеры работают за идею. Им не нужно финансовое вознаграждение: достаточно просто вывести из строя сайт или сервер, чтобы навредить компании или выразить протест. Атакам по идеологическим мотивам, или хактивизму, подвержены госструктуры, промышленные предприятия, финансовый сектор.

Добиваться своей цели внешние киберпреступники могут разными средствами:

• взлом программного обеспечения: приложений, сервисов, баз, сайтов компании;
• распространение вредоносного ПО;
• поиск уязвимостей в сетевом оборудовании, на рабочих станциях, серверах;
• физическое проникновение: вход на территорию предприятия, кража рабочих ноутбуков, планшетов, смартфонов.

Внутренние источники киберугрозы — это сотрудники, контрагенты, партнёры. Это пользователи, которым представлен санкционированный доступ к корпоративным базам и программному обеспечению.

• Менеджер по продажам работает в CRM, где собраны контакты, платёжная информация о клиентах;
• Провайдеру облачного сервиса доступны все сведения, которые бизнес хранит в облаке;
• Юрист-фрилансер составляет договоры, в которых содержится коммерческая тайна.

Утечка может произойти из-за ошибочных или намеренных действий внутренних пользователей. Облачного провайдера могут взломать, менеджер по продажам может скопировать базу перед увольнением, юрист-фрилансер — случайно отправить договор на посторонний e-mail.

Иногда угроза возникает из комбинации внешнего и внутреннего источников. Например, хакер присылает сотруднику организации письмо с фишинговой ссылкой. Сотрудник не знаком с основами ИБ, переходит по ссылке, вводит логин и пароль от корпоративной учётной записи. Это служит точкой входа для хакера: он получает доступ к клиентским базам, секретным сведениям, конфигурации серверов, сетевым настройкам и использует это в своих целях.

Киберугрозы можно систематизировать по разным критериям. Выше мы рассмотрели классификацию по виду источника опасности. Разберём другие виды угроз.

По аспекту безопасности

Защитить данные означает обеспечить их сохранность в трёх аспектах:

• доступность;
• целостность;
• конфиденциальность.

Нарушение любого аспекта ведёт к рискам в сфере кибербезопасности.

Доступность — это возможность авторизованных пользователей получать доступ к ресурсам и сервисам в нужное время. Угрозы доступности направлены на то, чтобы помешать использованию этих ресурсов. Для этого хакеры могут эксплуатировать уязвимости в логике работы программ, применять DDoS-атаки для остановки или замедления серверов, выводить из строя оборудование.

Целостность — это неизменность информации и выполнение операций в соответствии с заданной логикой. Киберугроза направлена на изменение сведений или логики работы системы. Для этого злоумышленники могут изменять запросы между клиентским ПО и сервером, делать SQL-инъекции вредоносных команд через веб-интерфейсы и выполнять другие действия.

Конфиденциальность — это защита информации от несанкционированного доступа. Киберугрозы конфиденциальности направлены на раскрытие секретных сведений посторонним лицам. Это возможно с помощью фишинга, перехвата электронных писем или серверных запросов, кражи паролей от учётных записей, анализа трафика, различных средств воздействия на сотрудников.

По характеру воздействия

Киберугрозы бывают активными и пассивными. Активные направлены на изменение или уничтожение данных, нарушение работы систем. Среди таких инструментов — внедрение вирусов, запуск вредоносного кода на рабочих компьютерах, DDoS-атаки.

Пассивные киберугрозы не изменяют данные, но нарушают конфиденциальность:

• перехват сообщений или серверных запросов;
• копирование персональной информации;
• прослушивание каналов связи.

Пассивные действия сложно отследить, и часто компания узнаёт об утечке постфактум. Поэтому важно заранее предусмотреть разные сценарии вторжения, спрогнозировать киберугрозы для каждого компонента IT-инфраструктуры. Чтобы охватить максимум возможных рисков, нужно применять комплексный подход, защищая данные с нескольких сторон. Такой подход практикует центр ИБ RAMAX Group. Эксперты по информационной безопасности изучают существующую инфраструктуру и бизнес-процессы заказчика, на основании этого определяют уязвимые участки, разрабатывают эффективную стратегию развития ИБ.

Риск-ориентированный подход RAMAX Group позволяет укрепить слабые места, уязвимости в которых могут значительно навредить бизнесу, и при этом не тратить ресурсы на меры защиты, которые для структуры и бизнес-логики компании неактуальны.

По цели вторжения

В основе этой классификации — вид мишени, то есть точки входа, через которую злоумышленники получают доступ к системе и достигают своих целей.

Целью взлома могут стать:

• данные;
• программное обеспечение;
• оборудование;
• инфраструктура.

Атака на мишень первого вида позволяет получить несанкционированный доступ к сведениям, чтобы их украсть, модифицировать или уничтожить. Примеры целей — персональная информация пользователей, коммерческая тайна, финансовая отчётность.

Атака на программное обеспечение — это попытка внедрить вредоносный код или изменить работу сервисов и приложений для выполнения действий, выгодных для мошенников. Цель достигается с помощью вирусов, манипуляций с кодом, использования уязвимостей в ПО.

При атаке на аппаратную часть преступники могут механически повредить оборудование, без которого система не может работать. Другой сценарий — кража личных устройств сотрудников для получения конфиденциальных данных. К этой же категории инцидентов относится физическое проникновение мошенников в дата-центры, установка программ шпионажа и удалённого управления устройствами.

Мишени атаки на инфраструктуру предприятия — серверы, локальные сети, информационные хранилища, программно-аппаратные комплексы.

Как определить угрозу информационной безопасности

Чтобы выявить уязвимые зоны, нужно провести аудит IT-ландшафта и оценить потенциальные риски на каждом участке. Это можно делать по следующему алгоритму.

Составление списка активов

Активы — это потенциальные мишени злоумышленников. Определите, что может стать целью атаки: рабочие станции, серверы, сетевое оборудование, база клиентов, системы учёта, объекты коммерческой тайны, бизнес-приложения, облачные хранилища.

Активов может быть несколько. Например, компания определяет четыре актива:

• клиентская база;
• веб-сервер;
• корпоративная сеть;
• офисное здание.

Эти объекты нужно защитить от возможных киберугроз.

Анализ активов

Каждый актив нужно оценить с точки зрения опасности взлома и ценности для бизнеса:

• Какие риски несёт компания, если атака на этот объект окажется успешной?
• Какие финансовые убытки угрожают бизнесу при утечке или компрометации?
• Как отсутствие доступа к программному обеспечению или оборудованию повлияет на работу организации?
• Какие правовые проблемы возникнут при взломе объекта?

Например, взлом клиентской базы может привести к финансовым, юридическим и репутационным потерям. Поэтому база — высокоценный актив, требующий надёжной защиты.

Поиск уязвимостей

Высокоценные активы нужно проанализировать на уязвимости.

Уязвимость — это точка входа для хакера: слабое место программы, оборудования или инфраструктуры. Зная уязвимости, можно закрыть бреши в защите и обезопасить объекты от вторжения.

Виды уязвимостей:

• Организационные: низкая подготовка сотрудников, отсутствие регламентов по информационной безопасности, неверные настройки учётных записей, редкие бэкапы и мониторинг логов.
• Физические: отсутствие охраны, СКУД, средств видеонаблюдения, слабая защита помещений и территории предприятия.
• Технические: баги в коде, ошибки в программном обеспечении, старые версии драйверов, сервисов и приложений.

Например, при анализе клиентской базы может быть обнаружена уязвимость к SQL-инъекциям.

Оценка рисков

Теперь нужно оценить вероятность того, что злоумышленники воспользуются уязвимостями. Например, SQL-инъекции — распространённое средство взлома базы, поэтому вероятность атаки можно считать высокой.

Затем нужно определить потенциальный ущерб от успешного использования уязвимости хакерами. Чем выше вероятность инцидента и ущерб, тем больше риски.

Уязвимости с самыми высокими рисками нужно устранять в первую очередь с помощью комплексных мер защиты. Чтобы провести аудит уязвимостей и обсудить стратегию информационной безопасности предприятия, оставьте заявку на этой странице.