6 примера за информационни инцидентисигурност и причините за това, националният стандарт на Руската федерация-
Инцидентите с информационната сигурност могат да бъдат умишлени или случайни (например резултат от някакъв вид човешка грешка или природни явления) и са причинени както от технически, така и от нетехнически средства. Техните последици могат да бъдат събития като неоторизирано разкриване или модифициране на информация, нейното унищожаване или други събития, които я правят недостъпна, както и повреда или кражба на организационни активи. Инциденти на информационната сигурност, които не са докладвани, но са идентифицирани като инциденти, не могат да бъдат разследвани и не могат да бъдат приложени защитни мерки за предотвратяване на повторение на тези инциденти.
Следват някои примери за инциденти със сигурността на информацията и техните причини, които са предоставени само с цел изясняване. Важно е да се отбележи, че тези примери не са изчерпателни.
6.1 Отказ от услуга
Има два основни вида инциденти на информационната сигурност на отказ на услуга, генерирани от технически средства: унищожаване на ресурс и изчерпване на ресурс.
Някои типични примери за такива инциденти с умишлен технически отказ на услуга са:
- предаване на данни в нежелан формат към система, услуга или мрежа в опит да се наруши или наруши нормалната й работа;
- едновременно отваряне на няколко сесии с определена система, услуга или мрежа с цел изчерпване на ресурсите им (т.е. забавяне на работата им, блокиране или унищожаване).
Някои технически инциденти с отказ на услуга могат да възникнат случайно, например в резултат на конфигурационна грешка, направена от оператора, или поради несъвместимост на приложния софтуер, докато други може да са умишлени. Някои инциденти със сигурността на техническа информация „отказ наподдръжка" са инициирани умишлено с цел разрушаване на системата, услугата и производителността на мрежата, докато други са само странични продукти от други злонамерени дейности.
Например някои от най-разпространените методи за скрито сканиране и идентификация могат да доведат до пълното унищожаване на стари или неправилно конфигурирани системи или услуги, когато бъдат сканирани. Трябва да се отбележи, че много инциденти с умишлен технически отказ на услуга често се инициират анонимно (т.е. източникът на атаката е неизвестен), тъй като атакуващият обикновено не получава информация за атакуваната мрежа или система.
Инцидентите на информационната сигурност на отказ на услуга, създадени с нетехнически средства и водещи до загуба на информация, услуга и (или) устройства за обработка на информация, могат да бъдат причинени, например, от следните фактори:
- нарушения на системите за физическа защита, водещи до кражба, умишлено увреждане или унищожаване на оборудване;
- случайна повреда на оборудването и/или местоположението му от пожар или вода/наводнение;
- екстремни условия на околната среда, като високи температури (поради повреда на климатичната система);
- неправилно функциониране или претоварване на системата;
- неконтролирани промени в системата;
- неправилно функциониране на софтуер или хардуер.
6.2 Събиране на информация
Най-общо казано, инцидентите със сигурността на информацията за „събиране на информация“ включват дейности, свързани с идентифициране на потенциални цели за атака и придобиване на представа за услугите, изпълнявани на идентифицираните цели за атака. Такива инциденти със сигурността на информацията изискват разузнаване, за да се определи:
- да имаш целполучаване на представа за мрежовата топология около нея и с кого тази цел обикновено се свързва с обмена на информация;
- потенциални уязвимости на целта или нейната непосредствена мрежова среда, които могат да бъдат използвани за атака.
Типични примери за атаки, насочени към събиране на информация с технически средства са:
- премахване на DNS (система за име на домейн) записи за целевия интернет домейн (прехвърляне на DNS зона);
- изследване на системата, за да се идентифицира (например чрез контролната сума на файловете) операционната система на хоста;
В някои случаи събирането на техническа информация се разширява до неоторизиран достъп, ако например нападател се опита да получи неоторизиран достъп, докато търси уязвимост. Това обикновено се прави от автоматизирани хакерски инструменти, които не само търсят уязвимости, но и автоматично се опитват да експлоатират уязвими системи, услуги и/или мрежи.
Инцидентите за събиране на информация, създадени с нетехнически средства, водят до:
- пряко или непряко разкриване или модифициране на информация;
- кражба на интелектуална собственост, съхранявана в електронен вид;
- нарушение на счетоводството, например при регистриране на сметки;
- злоупотреба с информационни системи (например в нарушение на закона или политиката на организацията).
Инцидентите могат да бъдат причинени например от следните фактори:
- нарушения на защитата на физическата сигурност, водещи до неоторизиран достъп до информация и кражба на устройства за съхранение, съдържащи чувствителни данни, като ключове за криптиране;
- неуспешно и (или) неправилно конфигурирани операционни системи порадинеконтролирани системни промени или неизправности в софтуера или хардуера, които водят до получаване на достъп до информация от организационен или неоторизиран персонал без разрешение.
6.3 Неоторизиран достъп
Неоторизираният достъп като тип инцидент включва инциденти, които не са включени в първите два вида. Този тип инцидент се състои предимно от неразрешени опити за достъп до система или злоупотреба със система, услуга или мрежа. Някои примери за неоторизиран достъп чрез технически средства включват:
- опити за извличане на файлове с пароли;
- атаки за препълване на буфера с цел получаване на привилегирован (например на ниво системен администратор) достъп до мрежата;
- използване на уязвимостите на протокола за прихващане на връзка или подправяне на легитимни мрежови връзки;
- опити за разширяване на привилегиите за достъп до ресурси или информация в сравнение с тези, законно достъпни за потребителя или администратора.
Инцидентите с неоторизиран достъп, създадени с нетехнически средства, които водят до пряко или косвено разкриване или модифициране на информация, нарушения на записи или злоупотреба с информационни системи, могат да бъдат причинени от следните фактори:
- унищожаване на средства за физическа защита с последващ неоторизиран достъп до информация;
- неуспешна и/или неправилна конфигурация на операционната система поради неконтролирани промени в системата или неправилно функциониране на софтуер или хардуер, водещи до резултати, подобни на описаните в последния параграф на 6.2.