Использование информационных систем и технологий связано с определенной совокупностью рисков. Оценка рисков необходима для контроля эффективности деятельности в области информационной безопасности, принятия целесообразных защитных мер и построения эффективных экономически обоснованных систем защиты.
Основу риска образуют возможные уязвимости и угрозы для организации, поэтому выявление потенциальных или реально существующих рисков нарушения конфиденциальности и целостности информации, распространения вредоносного программного обеспечения и финансового мошенничества, классификация угроз информационной безопасности является одной из первичных задач по защите веб-приложения.
Риски нужно контролировать постоянно, периодически проводя их переоценку. Отметим, что добросовестно выполненная и тщательно документированная первая оценка может существенно упростить последующую деятельность. Управление рисками, как и любую другую деятельность в области информационной безопасности, необходимо интегрировать в жизненный цикл информационной системы. Тогда эффект оказывается наибольшим, а затраты — минимальными. Можно выделить основные этапы жизненного цикла информационной системы:
- инициация, согласно бизнес-процессам компании;
- установка;
- эксплуатация;
- выведение из эксплуатации.
Информационная система и её составляющие
Первым шагом в процессе оценки рисков является определение объекта оценки, то есть границ анализируемой информационной системы, а также ресурсов и информации, образующих ИС. О системе необходимо собрать следующую информацию:
- архитектура ИС;
- используемое аппаратное обеспечение;
- используемое программное обеспечение;
- системные интерфейсы (внутренняя и внешняя связность);
- топология сети;
- присутствующие в системе данные и информация;
- поддерживающий персонал и пользователи;
- миссия системы (то есть процессы, выполняемые ИС);
- критичность системы и данных;
- чувствительность (то есть требуемый уровень защищенности) системы и данных.
Действия: оценка технического задания функционала системы и её фактических составляющих.
Управление рисками
Управление рисками включает в себя два вида деятельности, которые чередуются циклически:
- регламентную оценку рисков;
- выбор эффективных и экономичных защитных средств (нейтрализация рисков).
По отношению к выявленным рискам возможны следующие действия:
- ликвидация риска (например, за счет устранения уязвимости);
- уменьшение риска (например, за счет использования дополнительных защитных средств или действий);
- принятие риска (и выработка плана действия в соответствующих условиях).
Управление рисками можно подразделить на следующие этапы:
- инвентаризация анализируемых объектов;
- выбор методики оценки рисков;
- идентификация активов;
- анализ угроз и их последствий;
- определение уязвимостей в защите;
- оценка рисков;
- выбор защитных мер;
- реализация и проверка выбранных мер;
- оценка остаточного риска.
Для определения основных рисков можно следовать следующей цепочке: источник угрозы > фактор (уязвимость) > угроза (действие) > последствия (атака).
- Источник угрозы — это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.
- Угроза (действие) — это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации.
- Фактор (уязвимость) — это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.
- Последствия (атака) — это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости).
Действия: внедрение политики информационной безопасности компании.
Источник угрозы
Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Методы противодействия напрямую зависят от организаторов защиты информации.
В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Или, простыми словами — это либо хакер-злоумышленник или их группа, либо персонал компании, мотивированный теми или иными факторами на противоправные или противозаконные деяния. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.
Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся:
- криминальные структуры;
- потенциальные преступники и хакеры;
- недобросовестные партнеры;
- технический персонал поставщиков телематических услуг;
- представители надзорных организаций и аварийных служб;
- представители силовых структур.
Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:
- основной персонал (пользователи, программисты, разработчики);
- представители службы защиты информации.
Действия: составление вероятностной шкалы источников угроз.
Анализ угроз
Основным источником угроз информационной безопасности веб-приложения являются внешние нарушители.
Внешний нарушитель – лицо, мотивированное, как правило, коммерческим интересом, имеющее возможность доступа к сайту компании, не обладающий знаниями об исследуемой информационной системе, имеющий высокую квалификацию в вопросах обеспечения сетевой безопасности и большой опыт в реализации сетевых атак на различные типы информационных систем.
Исходя из этого нам необходимо провести мероприятия по выявлению максимально возможного количества уязвимостей для уменьшения потенциальной площади поверхности атаки. Для этого необходимо провести процедуры идентификации технических уязвимостей. Они могут быть как разовыми, так и регламентными и затрагивать различные объекты инфраструктуры.
В контексте веб-приложения они могут быть разделены на следующие этапы:
- Поиск уязвимостей серверных компонентов;
- Поиск уязвимостей в веб-окружении сервера;
- Проверки ресурса на возможность открытого получения конфиденциальной и секретной информации;
- Подбор паролей.
Действия: составление регламента работ по идентификации уязвимостей, патч-менеджмента.
Идентификация технических уязвимостей
Идентификация технических уязвимостей производится для внешнего и внутреннего периметра корпоративной сети. Внешний периметр – это совокупность всех точек входа в сеть. К внутреннему периметру относятся хосты и приложения, доступные изнутри.
Традиционно используются два основных метода тестирования:
- тестирование по методу «черного ящика»;
- тестирование по методу «белого ящика».
Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования эмитируют действия потенциальных злоумышленников, пытающихся взломать систему защиты.
Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяется наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности. Выводы о наличии уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике.
Также, существует метод тестирования под названием «серый ящик», который комбинирует вышеописанные методы, когда известна частичная информация об объекте тестирования.
Отдельным пунктом исследования стоит возможность инфраструктуры работать на пиковых нагрузках и противостоять большому объему «мусорного трафика», генерируемого злоумышленниками или вредоносными программами.
Для исследования времени отклика системы на высоких или пиковых нагрузках производится «стресс-тестирование», при котором создаваемая на систему нагрузка превышает нормальные сценарии её использования. Основная цель нагрузочного тестирования заключается в том, чтобы, создав определённую ожидаемую в системе нагрузку (например, посредством виртуальных пользователей) наблюдать за показателями производительности системы.
Действия: аудит информационной безопасности, в том числе и регламентный (например, согласно требованиям PCI DSS).
Обработка рисков
При объединении ценности активов с угрозами и уязвимостями необходимо рассмотреть возможность создания комбинацией угроза/уязвимость проблем для конфиденциальности, целостности и/или доступности этих активов. В зависимости от результатов этих рассмотрений должны быть выбраны подходящие значения ценности активов, т.е. значения, которые выражают последствия нарушения конфиденциальности, или целостности, или доступности.
Использование этого метода может привести к рассмотрению одного, двух или трех рисков для одного актива, в зависимости от конкретной рассматриваемой комбинации угроза/уязвимость.
При определении актуальных угроз, экспертно-аналитическим методом определяются объекты защиты, подверженные воздействию той или иной угрозы, характерные источники этих угроз и уязвимости, способствующие реализации угроз.
На основании анализа составляется матрица взаимосвязи источников угроз и уязвимостей из которой определяются возможные последствия реализации угроз (атаки) и вычисляется коэффициент опасности этих атак как произведение коэффициентов опасности соответствующих угроз и источников угроз, определенных ранее. При этом предполагается, что атаки, имеющие коэффициент опасности менее 0,1 (предположение экспертов), в дальнейшем могут не рассматриваться из-за малой вероятности их совершения на рассматриваемом объекте.
Действия: compliance management, консолидация и контроль соответствия требованиям ИТ и ИБ политик.
Нейтрализация и контрмеры
Нейтрализация рисков включает определение приоритетов, оценку и реализацию контрмер, уменьшающих риски и рекомендованных по результатам оценки рисков.
Поскольку полное устранение рисков невозможно, руководство организации должно следовать принципу минимальной достаточности, реализуя только необходимые, наиболее подходящие регуляторы безопасности с целью уменьшения рисков до приемлемого уровня с минимальным негативным воздействием на бюджет, ресурсы и миссию организации.
Необходимым элементом управления рисками является оценка экономической эффективности, цель которой — продемонстрировать, что затраты на реализацию дополнительных контрмер окупаются за счет снижения рисков. При вычислении затрат на реализацию регуляторов безопасности следует учитывать:
- затраты на приобретение аппаратного и программного обеспечения;
- снижение эксплуатационной эффективности ИС, если производительность или функциональность системы падает в результате усиления мер безопасности;
- затраты на разработку и реализацию дополнительных политик и процедур;
- дополнительные затраты на персонал, вовлеченный в реализацию предложенных регуляторов безопасности;
- затраты на обучение персонала;
- затраты на сопровождение.
В качестве мер обеспечения могут быть внедрены следующие решения (как по отдельности, так и в совокупности), подготовленными штатными специалистами и/или с помощью аутсорсинга информационной безопасности:
- Системы защиты от атак на прикладном уровне (WAF);
- Системы управления инцидентами и событиями ИБ (SIEM);
- Системы управления соответствием требованиям ИБ (Compliance Management);
- Системы управления идентификационными данными и доступом (IAM);
- Системы однократной и многофакторной аутентификации в корпоративных сетях;
- Системы защиты от утечки конфиденциальной информации (DLP);
- Системы управления доступом к информации (IRM);
- Инфраструктуры открытых ключей (PKI);
- Решения по сетевой безопасности;
- Системы антивирусной защиты;
- Системы защиты электронной почты от спама, вирусов и других угроз;
- Системы контентной фильтрации web-трафика;
- Системы контроля доступа к периферийным устройствам и приложениям;
- Системы контроля целостности программных сред;
- Системы криптографической защиты при хранении информации.
Действия: внедрение технических мер для обеспечения информационной безопасности; внедрение административных мер; повышение уровня осведомленности персонала.