Информационная безопасность

Безопасность информации — состояние защищенности информации , при котором обеспечены её конфиденциальность, доступность и целостность.

Безопасность информации определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные, используемые в информационной системе.

Три составляющие информационной безопасности:

• Конфиденциальность: свойство информации, связанное с тем, что она не станет доступной и не будет раскрыта для неуполномоченных лиц.
• Целостность: неизменность информации в процессе ее передачи или хранения.
• Доступность: свойство информации, определяющее возможность ее получения и использования по требованию уполномоченных лиц.

Меры защиты информации:

1. Технические

• защита от несанкционированного доступа к системе
• резервирование особо важных компьютерных подсистем
• организация вычислительных сетей
• установка противопожарного оборудования
• оснащение замками, сигнализациями

2. Организационные

• охрана вычислительного центра
• тщательный подбор персонала
• наличие плана восстановления работоспособности(после выхода из строя)
• универсальность средств защиты от всех пользователей

3. Правовые

• разработка норм, устанавливающих ответственность за компьютерные преступления
• защита авторских прав программистов
• совершенствование уголовного и гражданского законодательства

Угроза безопасности информационной системы – это возможность события, вследствие которого будет затронута  ее безопасность (т.е. затронута конфиденциальность, доступность, целостность). Осуществление этого события называют реализацией угрозы.

Атака на информационную систему – это попытка реализовать ту или иную угрозу безопасности.

Уязвимость – это такая характеристика системы, которая служит причиной появления той или иной угрозы безопасности

Необходимо обеспечить защиту информации:

• от сбоев оборудования;
• от случайной потери или искажения информации, хранящейся в компьютере;
• от преднамеренного искажения, производимого, например, компьютерными вирусами;
• от несанкционированного (нелегального) доступа к информации (её использования, изменения, распространения).

Методы защиты от случайной потери или искажения информации:

• автоматический запрос на подтверждение команды, приводящей к изменению содержимого какого-либо файла.
• установка специальных атрибутов документов. Например, многие программы-редакторы позволяют сделать документ доступным только для чтения или скрыть файл, сделав недоступным его имя в программах работы с файлами;
• возможность отменить последние действия.
• разграничение доступа пользователей к ресурсам файловой системы, строгому разделению системного и пользовательского режимов работы вычислительной системы. Защита информации от преднамеренного искажения часто еще называется защитой от вандализма.

Социальная инженерия

Социальная инженерия — это метод управления действиями человека без использования технических средств. 

Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. 

Ввел этот термин осуждённый компьютерный преступник и консультант по безопасности Кевин Митник, заявивший, что для злоумышленника гораздо проще хитростью выудить информацию из системы, чем пытаться взломать её.

Все техники социальной инженерии основаны на особенностях принятия решений людьми, суть которых в том, что человек должен кому-либо доверять в социальной среде воспитания.

Техники социальной инженерии:

Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определённую информацию или совершить определённое действие.

Пример претекстинга с целью взлома аккаунта социальной сети

Пример: злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе

Фишинг — техника, направленная на жульническое получение конфиденциальной информации по сети путем подделки официальных документов или писем.

Пример фишингового сайта

Пример: цель получает письмо от банка или платёжной системы — требующее «проверки» определённой информации Это письмо обычно содержит ссылку на фальшивую веб-страницу, имитирующую официальную, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

Троянский конь

Эта техника эксплуатирует любопытство либо алчность цели. На компьютер внедряется троянская программа.

Распространение троянцев под видом ответа на объявление. Это не ссылка, а кнопка "Загрузить вирус"

Пример: злоумышленник отправляет e-mail, содержащий во вложении «клёвый» или «сексуальный» скринсейвер, важный апгрейд антивируса или даже свежий компромат на сотрудника.

Дорожное яблоко

Этот метод атаки представляет собой адаптацию троянского коня и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный диск или флешку в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный и сопровождается подписью, призванной вызвать любопытство.

Пример: злоумышленник может подбросить флешку с корпоративным логотипом и ссылкой на официальный сайт компании цели, и снабдить ее надписью «Заработная плата руководящего состава Q1 2017». Диск может быть оставлен на полу лифта или в вестибюле.

Методы защиты от социальной инженерии:

Антропогенные методы:

• Привлечение внимания людей к вопросам безопасности.
• Осознание пользователями всей серьезности проблемы и принятие политики безопасности системы.
• Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения

Минус антропогенных методов – они пассивны. Огромный процент пользователей не обращает внимания на предупреждения, даже написанные самым заметным шрифтом

В компьютерной безопасности это явление получило название «проблема пляшущих свинок»

Проблема "пляшущих свинок"

Под проблемой пляшущих свинок подразумевается отношение пользователя к компьютерной безопасности, когда, стремясь получить желаемое, пользователь обычно игнорирует угрозу безопасности/

Учитывая это, безопасность системы должна быть спроектирована так, чтобы не возникало необходимости спрашивать мнение пользователя, часто технически неграмотного/

Термин этот ввели специалисты в области защиты информации Гари Мак-Гроу и Эдвард Фельтен:

«Если дать пользователю выбрать между пляшущими свинками и безопасностью, он выберет пляшущих свинок. Если случайный посетитель, кликая на кнопку, обещающую пляшущих по экрану свиней, получит сообщение о потенциальной опасности данной программы, он не подумает отказываться от пляшущих свиней. Даже если компьютер запросит подтверждения с текстом: «Приложение ПЛЯШУЩИЕ СВИНКИ, возможно, содержит зловредный код, который может нанести необратимый ущерб вашему компьютеру, украсть все ваши сбережения и ослабить способность иметь детей», пользователь нажмет «ОК», не читая. Спустя тридцать секунд он забудет, что такое предупреждение когда-либо существовало»

В ходе исследования фишинга участникам продемонстрировали ряд поддельных сайтов, включая один, имитирующий главную страницу известного банка. «Симпатичный» дизайн, степень детализации и тот факт, что сайт не требовал чересчур много данных, показались убедительными большинству участвующих. Двое (из двадцати) сослались на анимированную заставку с медведем (якобы, «это должно быть не так просто подделать»). Участникам в целом понравилась обаятельная заставка, и многие даже перезагружали страницу, чтобы просмотреть ролик сначала.

Подробнее с методами социальной инженерии в можете познакомиться в видео: