Информационные эпидемии

Размещено на http://www.allbest.ru/

Содержание

Введение

Глава 1. Теоретические аспекты развития информационных эпидемий в ИТКС

1.1 Информационные эпидемии как основная угроза безопасности информационно-телекоммуникационных сетей

1.2 Вредоносное программное обеспечение как средство создания информационных эпидемий

1.3 Основные методы выявления информационных эпидемий вирусного ПО

1.4 Защита ИТКС от информационных эпидемий

1.5 Модели развития информационных эпидемий

1.6 Эпидемиологическая модель SIRS



Введение

Мы живем в стремительно меняющемся мире, где «лицо» современной цивилизации - информационные потоки и технологии. Страны, научившиеся определять вектор развития информационных технологий и применять их (Корея, Китай, Индия, Израиль), - сегодня лидеры в экономическом и политическом пространствах. В 2000 г. Россия подписала Окинавскую хартию информационного общества, а 25 июля 2007 г. на Совете безопасности РФ была рассмотрена Стратегия развития информационного общества в России, устанавливающая ориентиры развития страны до 2015 г. как государства, выбравшего путь инновационного развития и технологического лидерства.

Развитие и становление современного общества связано с увеличением объема информации, которая в нем циркулирует. Старое выражение -- «кто владеет информацией, тот владеет миром» -- уже трансформировалось в аксиому. Но в зависимости от необходимости информация складывается в потоки, и в определенных условиях потоки информации трансформируются и искривляются.

Сейчас, пожалуй, сложно найти более выгодного вложения средств, чем в информационные технологии с целью получения, распространения и владения информацией. В итоге это подразумевает воздействие на аудиторию и манипулирование ею. Необходимость контролирования информационных потоков уже важнее контролирования товарных и финансовых. Информационные войны и действия могут нанести непоправимый урон. Отмечено, что в период активной фазы финансового кризиса наибольший урон понесли те бренды, которые недостаточно внимательно относились к отслеживанию информации в интернете. И им был нанесён сокрушительный удар через онлайн-СМИ и социальные медиа. Россия так и не научилась управлять и воздействовать на информационные потоки. И в результате дважды подряд «всухую» проиграла информационные войны с Чечнёй и Грузией. Про бесчисленные поражения во внутренних войнах можно даже не упоминать.

По количеству пользователей интернета Россия в 2012 году вышла на первое место в Европе, которое ранее занимала Германия и на шестое место в мире. Первое место в мире занимает Китай, где веб-пользователей 564 млн. человек, далее идут США, Япония, Индия и Бразилия.

«При этом еще порядка 50 миллионов людей в России -- не в Сети, поэтому потенциал для роста сохраняется. Основные возможности связаны со старшей возрастной группой -- число таких пользователей выросло за последний год на 54%», -- считают в TNS.

На конференции «РИФ+КИБ 2013» директор РАЭК Сергей Плуготаренко сообщил, что в России ежедневно интернетом пользуются около 50 млн. человек.

Анализ информационных рисков - это сложный процесс комплексной оценки защищенности информационной системы с последующий переходом как к количественным, так и качественным показателям рисков. При этом риск - это вероятный ущерб, который зависит от всей защищенности информационной системы.

Итак, из определения следует, что на выходе алгоритма анализа риска можно получить либо количественную оценку рисков (который чаще всего измеряется в деньгах), либо -- качественную (уровни риска; обычно: высокий, средний, низкий).

Анализ рисков - одна из составных частей управления информационными рисками, в процессе которого оценивается уязвимость информационной системы к угрозам безопасности, их критичность и вероятность ущерба для компании, вырабатываются необходимые контрмеры для уменьшения рисков до приемлемого уровня и обеспечивается контроль защиты информационной системы компании. Важность этого этапа управления обусловлена тем, что, во-первых, анализ уязвимости корпоративной сети необходим при создании комплексной системы информационной безопасности (ИБ), во-вторых, ИТ-подразделениям нужно обосновывать инвестиции, вкладываемые в информационную безопасность.

Такие понятия как «оценка рисков» и «управление рисками» появились сравнительно недавно и в настоящее время вызывают постоянный интерес специалистов в области обеспечения непрерывности бизнеса и сетевой безопасности. Начиная с 1995 года в ряде высокотехнологичных стран мира, главным образом в США, Великобритании, Германии и Канаде, проводятся ежегодные слушания специально созданных комитетов и комиссий по вопросам управления информационными рисками. Подготовлено более десятка различных стандартов и спецификаций, детально регламентирующих процедуры управления информационными рисками, среди которых наибольшую известность приобрели международные спецификации и стандарты ISO 177992002 (BS 7799), GAO и FISCAM, SCIP, NIST, SAS 78/94 и COBIT.

В 21 веке управление информационными рисками представляет собой одно из наиболее востребованных и динамично развивающихся направлений стратегического и оперативного менеджмента в области защиты информации. Его основная задача -- объективно идентифицировать и оценить наиболее значимые для бизнеса информационные риски компании, а также адекватность используемых средств контроля рисков для увеличения эффективности и рентабельности экономической деятельности компании. Поэтому под термином «управление информационными рисками» обычно понимается системный процесс идентификации, контроля и уменьшения информационных рисков компаний в соответствии с определенными ограничениями российской нормативно-правовой базы в области защиты информации и собственной корпоративной политики безопасности. Считается, что качественное управление рисками позволяет использовать оптимальные по эффективности и затратам средства контроля рисков и средства защиты информации, адекватные текущим целям и задачам бизнеса компании.

Не секрет, что сегодня наблюдается повсеместное усиление зависимости успешной бизнес деятельности отечественных компаний от используемых организационных мер и технических средств контроля и уменьшения риска. Для эффективного управления информационными рисками разработаны специальные методики, например методики международных стандартов ISO 15408, ISO 17799 (BS7799), BSI; а также национальных стандартов NIST 80030, SAC, COSO, SAS 55/78 и некоторые другие, аналогичные им. В соответствие с этими методиками управление информационными рисками любой компании предполагает следующее. Во-первых, определение основных целей и задач защиты информационных активов компании. Во-вторых, создание эффективной системы оценки и управления информационными рисками. В-третьих, расчет совокупности детализированных не только качественных, но и количественных оценок рисков, адекватных заявленным целям бизнеса. В-четвертых, применение специального инструментария оценивания и управления рисками. Давайте рассмотрим некоторые качественные и количественные международные методики управления информационными рисками, обращая основное внимание на возможность их адаптации и применения в отечественных условиях.

Проведение анализа рисков представляет собой сложный и рутинный процесс. Многие консалтинговые компании используют в своей постоянной практике специально разработанные табличные файлы, часто также применяется специализированное программное обеспечение, призванное помочь автоматизировать сложные процессы управления рисками..В настоящее время в мире существует несколько десятков автоматизированных средств, позволяющих сделать труд специалиста по анализу рисков менее сложным и трудозатратным, по разным из обозначенных выше блоков или комбинации блоков.

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации, поэтому темой моей выпускной квалифицированной работы является «Защита информации с использованием технических средств СКУД». Цель работы: Выяснить анализ проникновения и влияние информационных эпидемий на работу информационно-телекоммуникационных систем и найти методы защиты от них с помощью СКУД. Исходя из темы, можно сформулировать следующие задачи:

1) описание текущих бизнес-процессов ;

2) выполнить анализ угроз информационной безопасности;

3) выявить возможные каналы утечки информации;

4) разработать и внести на рассмотрение руководства предприятия рекомендаций по защите информации;

5) оценить эффективность разработанных рекомендаций для дальнейшего использования в работе конкретного предприятия.



Глава 1. Теоретические аспекты развития информационных эпидемий в ИТКС

1.1 Информационные эпидемии как основная угроза безопасности информационно-телекоммуникационных сетей

программный обеспечение вредоносный информационный

Первенство в области создания информационного оружия занимает США. В 1996 г. министерством обороны США была принята «Доктрина борьбы с системами контроля и управления». В армии США созданы специальные подразделения и структуры управления для ведения информационной войны. До настоящего времени основными противниками в информационной войне США считало Россию и Китай, в настоящее время этот список постепенно расширяется с учетом изменения геополитической обстановки.

Так при проведении военных действий сил НАТО в Югославии разведывательная система «Echelon», основу которой составляет орбитальная группировка космических аппаратов радиоэлектронной разведки, применялась для слежки за президентом и другими государственными деятелями Югославии путем отслеживания информационного трафика на территории Югославии и за ее пределами. Эта система неоднократно задействовалась и на территории самих США и Европы для слежки за некоторыми сенаторами, политическими деятелями, журналистами, террористами, наркодилерами.

В открытой печати появились сведения, что в США в 2005 г. нормативные положения закона о помощи телекоммуникационных компаний правоохранительным органам под общим названием Communications Assistance for Law Enforcement Act (CALEA) дополнились правом контроля фактически за всеми сетями связи. В соответствии с этой программой производители в интересах спецслужб должны встраивать в сетевые устройства средства прямого «тайного» доступа к каналам связи. Особое внимание ФБР планирует уделить перехвату VoIP-переговоров и чатов, многие из которых ведутся по неформальным протоколам и встраиваются, например, в онлайновые игры. Поэтому разработчики соответствующих решений вынуждены работать в тесном сотрудничестве с правоохранительными органами. Операторы сетей связи и поставщики услуг должны выделять один или несколько постоянных каналов (так называемые фискальные каналы) для перехвата распространяемой по коммуникационным линиям информации и передачи ее компетентным органам. Спецслужбы добились права определения координат беспроводной трубки в реальном масштабе времени после окончания ими разговора и «прослушки» разговоров через цифровые АТС. В связи с этим в оборудовании импортного производства могут присутствовать программные и программно-аппаратные закладки, активизация которых приведет к открытию определенным абонентам запрещенных сервисов, захвату управления над оборудованием или выводу его из строя.

Решение современных проблем безопасности в информационной сфере неразрывно связано не только с обобщением и использованием накопленного опыта, но и с внедрением инновационных технологий, современных достижений науки и техники. Так не следует также сбрасывать со счетов и последние технологические новшества в области создания электронной компонентной базы (ЭКБ). Перечисленные группы изделий являются ключевыми и в значительной степени определяют не только технические и потребительские характеристики радиоэлектронной аппаратуры и систем, но и степень технологической и информационной безопасности. Например, известно, что уникальный идентификационный номер процессоров Intel, заявленный как средство защиты от незаконного копирования, между тем мог использоваться для контроля над информацией, циркулирующей в конкретном компьютере.

В начале 80-х СССР занимал на рынке ЭКБ третье место в мире после США и Японии. Основная причина заключалась в том, что не допускалось применение для военных и космических систем импортной элементной базы, при этом при создании таких систем создавалось до 70-75 % электронной промышленности. В настоящее время российская электронная промышленность значительно отстает от мирового уровня, а выпускаемая в настоящее время продукция неконкурентоспособна и не удовлетворяет современным требованиям. Доля импорта на внутреннем рынке ЭКБ выросла до 90%, а в ряде сегментов - до 100%. Поэтому с целью коренного перелома сложившейся ситуации. Программой развития электронной компонентной базы до 2025 г. предусматривается сокращение до минимума технологического разрыва между Россией и развитыми странами с последующим упрочением позиции России, как за счет создания собственной технологической базы, так и за счет международной кооперации в области разработки и производства перспективных изделий микроэлектроники. При этом военные технологии - основная причина открытия подобного производства в России. ВПК требует отечественной элементной базы на уровне современных зарубежных аналогов - военная промышленность должна работать на собственных микросхемах.

В соответствии с «Доктриной информационной безопасности Российской федерации» закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам, является одной из угроз развитию отечественной индустрии информации, телекоммуникации и связи. Однако сегодня выполнение требований этого положения, а, следовательно, и решение в полном объеме вопросов ИБ в ИТКС различного назначения сопряжено с рядом проблем, а в некоторых случаях не представляется возможным.

Во-первых, в силу технологической отсталости России многие ИТКС строится на основе импортных технических и программных средств (например, производства Siemens, Cisco, Alcatel, Nortel). С одной стороны, это позволяет повысить качество обслуживания пользователей и предоставить им широкий перечень современных инфокоммуникационных услуг. Но с другой стороны, наличие в нем не декларированных и не выявленных возможностей может привести к серьезным последствиям.

Помимо проблем обеспечения ИБ в ИТКС при использовании импортных средств информатизации и связи, возникает так же ряд проблем, связанных с их эксплуатацией:

- отсутствие заинтересованности фирм-производителей в сертификации оборудования на соответствие требованиям защиты от разрушающих информационных воздействий (компьютерных атак) в соответствии с нормативными документами ЦБС ФСБ России. В большинстве случаев иностранные производители не предоставляют на экспертизу исходных текстов программного обеспечения;

- частая смена модельного ряда, приводит к прекращению технической поддержки снятого с производства оборудования и невозможности закупки запасных частей и комплектующих;

- обучение обслуживающего персонала и специалистов, сопряжено с рядом проблем, связанных с отсутствием полной технической документации на русском языке при существующей специфике реализованных программно-технических решений; высокой стоимостью и ограниченностью (лишь основные функции и манипуляции) курсов обучения в фирменных учебных центрах.

Кроме того, необходимо указать на тот факт, что в сетях операторов связи ЕСЭ России, у которых арендуются цифровые каналы и потоки для построения выделенных ИТКС, функционирующих для нужд органов государственной власти, обороны страны, безопасности и правопорядка, используется оборудование связи иностранного производства. Так, например, в транспортных сетях ЕСЭ России для построения сети синхронизации применяется аппаратура иностранных фирм-производителей, таких как OSCILLOUQARTZ (Швейцария), SYMMETRICOMS (США), GILLAM-FEI (Бельгия). При этом для поддержания сетевой синхронизации допускается применение приемников сигналов глобальной системы позиционирования (GPS). Здесь необходимо отметить, что для цифровых сетей связи вопросы обеспечения синхронизации являются ключевыми, так как в случае пропадания синхронизации предоставление услуг связи невозможно (нет синхронизма - нет связи). По этой причине требует изучения вопрос построения для ИТКС собственной сети синхронизации на базе отечественного оборудования.

Во-вторых, отечественное ИТ-сообщество не готово немедленно перейти к использованию критериев и методик оценки механизмов безопасности инфокоммуникационных технологий, устанавливаемых международными (ISO/IEC) и национальными стандартами, а также руководящими документами Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Многие отечественные производители не имеют необходимой научной и производственной базы и занимаются лишь сборкой изделий из иностранных комплектующих (включая отдельные блоки и программное обеспечение). Известно, что в таком оборудовании не предусмотрены механизмы защиты от разрушающих информационных воздействий по информационным каналам и каналам управления, ввиду наличия в аппаратуре импортной элементной базы (до 98%) и программного обеспечения, не прошедшего соответствующую сертификацию и специальные исследования.

В-третьих, имеются определенные трудности в создании и производстве отечественных средств защиты (межсетевых экранов, антивирусных программ и других средств защиты информации). Например, если межсетевые экраны для компьютерных сетей уже научились производить, то аналогичные устройства для УПАТС, которые значительнее сложней, - нет. Данные устройства производятся зарубежными фирмами и, как правило, в Россию практически не поставляются (за исключением израильской фирмы Ectel). Производство аналогичных сертифицированных устройств в России фактически отсутствует. То же самое можно сказать и про антивирусное программное обеспечение, которое является неотъемлемой частью надежной системы информационной безопасности ИТКС.

В-четвертых, сложившаяся ситуация усугубляется тем, что в России по мнению ряда специалистов нет национального центра, который смог бы досконально проверить характеристики того или иного оборудования и удостоверить безопасность различных программных продуктов, которые рекламируется и предлагаются иностранными фирмами на отечественном рынке телекоммуникаций. До настоящего времени не разработан процесс сертификации компьютерных систем, подтверждающий обеспечиваемую безопасность. Процесс сертификации длителен, а это приводит к тому, что сертифицированные продукты обычно отстают от передовых разработок на несколько лет. По этой причине чрезвычайно трудно, почти невозможно гарантировать, что в ИТКС будет обеспечен требуемый уровень ИБ. В связи с этим требуют постоянного совершенствования нормативно-методическое обеспечение и техническая база проведения специальных работ с целью проверки защищенности как отдельных устройств и программ, так и систем связи и автоматизации в целом. Назрела необходимость разработки и внедрения специализированных программных средств для выполнения как активного, так и пассивного тестирования систем защиты.

Таким образом, современная государственная политика России, в том числе, военная, формируется в сложных условиях геополитической конкуренции, глобализации и борьбы в информационной сфере. Информация выступает одним из главных факторов, влияющих на развитие совре­менного общества. Информация, поддерживающие ее процессы, ИТКС являются основой деятельности всех властных структур и государственнозначимых организаций. В условиях растущих угроз информационной войны и информационного терроризма, постоянного совершенствования средств для их реализации, а также агрессивной политики иностранных фирм-производителей в части навязывания своих технологий, средств информатизации и связи на отечественном рынке, следует самым тщательным образом подходить к вопросу обеспечения ИБ в ИТКС. Наличие недекларированных возможностей в ЭКБ и программном обеспечении оборудования делает ИТКС уязвимыми для внешних и внутренних воздействий. Поэтому, внедряя и эксплуатируя импортные средства информатизации и связи в ИТКС, не следует исключать возможность НСД к конфигурационным базам данных и системным ресурсам, получения информации о трафике, с целью его дальнейшего анализа, а также возможности нарушения работы систем связи, информационного обеспечения и управления вплоть до полного их отключения.

История появления и эволюции компьютерных вирусов, сетевых червей, троянских программ представляет собой достаточно интересный для изучения предмет. Зародившись как явление весьма необычное, как компьютерный феномен, в 1980-х годах, примитивные вирусы постепенно превращались в сложные технологические разработки, осваивали новые ниши, проникали в компьютерные сети. Идея вируса, заражающего другие программы и компьютеры, за двадцать лет трансформировалась в криминальный бизнес. Будучи изначально творчеством вирусописателей-исследователей, компьютерные вирусы стали оружием в руках интернет-преступников.

Одновременно происходило зарождение и становление индустрии антивирусной. Появившись в конце 1980-х, первые антивирусные разработки получили большую популярность, через 10 лет став обязательным к использованию программным обеспечением. Программисты, увлечённые разработкой антивирусных программ, становились основателями антивирусных компаний, небольшие и совсем мелкие компании выросли, некоторые из них стали гигантами индустрии. Конечно, повезло не всем -- многие по разным причинам «сошли с дистанции» или были поглощены более крупными компаниями. Но антивирусная индустрия всё еще продолжает формироваться, и её, скорее всего, ждут большие изменения.

История появления и эволюции компьютерных вирусов, сетевых червей, троянских программ представляет собой достаточно интересный для изучения предмет. Зародившись как явление весьма необычное, как компьютерный феномен, в 1980-х годах, примитивные вирусы постепенно превращались в сложные технологические разработки, осваивали новые ниши, проникали в компьютерные сети. Интересен тот факт, что самые первые вирусные программы создавались для борьбы с пиратами. Например, владельцы собственного программного бизнеса, продавали вместе с программами вредоносную начинку, которая начинала действовать при установке нелегальной копии программы на компьютер. Идея вируса, заражающего другие программы и компьютеры, за двадцать лет трансформировалась в криминальный бизнес. Будучи изначально творчеством вирусописателей-исследователей, компьютерные вирусы стали оружием в руках интернет-преступников.

Рассмотрим более подробно развитие вирусов. Первые компьютерные вирусы появились еще в 70-х годах, но они не имели целью разрушить систему или стереть все файлы с жесткого диска. Только в 2003 году убытки компаний, которые теряли информацию через современные вирусы, составили 55000000000 долларов. На сегодняшний день известно около 50 000 вирусов . Мы подготовили для тебя список самых известных компьютерных вирусов за всю историю человечества.

«Creeper»- одним из первых вирусов, которые начали появляться в начале 1970 -- х годов. Его создателем принято считать Боба Гомаса , сотрудника компании «Bolt Beranek and Newman». Вирус умел перемещаться между серверами и оставлять на мониторе сообщение « I'M CREEPER … CATCH ME IF YOU CAN » («Я Криппер … Поймай меня, если сможешь». Никаких шпионских и деструктивных действий этот вирус не выполнял, соответственно, был достаточно безопасным.

«Elk Cloner» создал 15-летний парнем по имени Ричард Скрента с Питтсбурге в 1982 . Он заражал операционную систему DOS для Apple II, которая была записана на гибких дисках, и таким образом распространялся. После каждого пятидесятого загрузки на экране появлялся текст, который переводится так: «Elk Cloner -- это уникальная программа. Она проникнет на все ваши диски и профильтрует все ваши чипы. О да, это Cloner. Он прилипнет к вам, как клей. Программа может изменить даже RAM. Впустите в себя Cloner ». «Elk Cloner» не мог нанести очень большой вред компьютеру, но мог испортить код загрузки на дисках с другими системами.

«Brain» разработали два брата, которые основали собственную фирму по разработке программного обеспечения. Вирус был предназначен для того, чтобы наказать тех, кто использует нелицензионное программное обеспечение на территории Пакистана, но случайно, выпустив этот вирус на волю, они заразили более 18 000 ПК только в США. Для создания «Brain» впервые была использована стелс -- технология. Когда кто-то пытался прочитать зараженный сектор, вирус автоматически подставлял «здоровый» оригинал.

«П ` Пятница 13» или «Error-404» - именно такое символическое название носил вирус, который активировался именно в этот день и удалял все данные с жесткого диска. Никаких антивирусных программ тогда еще не существовало, что вызвало настоящую панику у населения.

«Июнь ` как Моррисона» в 1988 году напугал весь мир. Он смог вывести из строя всю глобальную сеть. Эпидемия поразила 6 000 узлов ARPANET . Такой сбой в системе привел к убыткам в размере 96000000000 долларов США. Создателем этого вируса был Роберт Моррисон , которого осудили на 3 года условно и выплате штрафа в размере 10 тысяч долларов США.

«Win9x.CIH» , другое название которого - « Чернобыль », создал тайваньский студент Чэнь Ынха 1998 года. Этот вирус стал самым разрушительным за все предыдущие годы. Вирус попадал в систему и ждал до 26 апреля. Далее он стирал всю информацию на жестком диске. В некоторых случаях вирус вызывал замену микросхемы или материнской платы. Этот вирус поразил около 500 000 компьютеров по всему миру.

«Melissa» - первый почтовый червь, который был разработан в 1999 году. Он поражал файлы WS Word, искал контакты MS Outlook и отправлял копию себя первым 50 контактов из списка. Именно через этот вирус компаниям Microsoft и Intel пришлось на время заблокировать серверы корпоративной почты. Ущерб от него составляли 100 000 000 долларов.

«I LOVE YOU»- этот вирус был разработан в 2000 году и имел аналогичный с «Melissa» принцип действия. На почту приходило письмо, который назывался «I Love You». В письмо был вложен файл, который был заражен червем. Вирус воровал все пароли с компьютера и убытки от него составили примерно 5500000000долларов.

«Sasser» изобрел немецкий школьник Свен Яшан в 2004 РОЦ и. Фактически, никакого вреда этот вирус не причинял, просто перенагружал компьютер. Такие перезагрузки были причиной блокировки спутниковой системы во Франции и отмены авиарейсов в Британии. Вирус поразил около 250 000 компьютеров во всем мире. Компания Microsoft предложила награду в размере 250 тысяч долларов за информацию о том, кто создал этот вирус.

«Conficker» является одним из наиболее опасных вирусов настоящего. Впервые его увидел свет еще в 2008 году . Сфера деятельности этого вредителя -- Microsoft Windows. Вирус блокировал доступ ко всем сайтам антивирусов и обновлений Windows. В 2009 году вирус поразил 12000000 компьютеров в мире. Компания Microsoft обещала 250 000 тому, кто сообщит о создателе этого вируса.

Одновременно происходило зарождение и становление индустрии антивирусной. Появившись в конце 1980-х, первые антивирусные разработки получили большую популярность, через 10 лет став обязательным к использованию программным обеспечением. Программисты, увлечённые разработкой антивирусных программ, становились основателями антивирусных компаний, небольшие и совсем мелкие компании выросли, некоторые из них стали гигантами индустрии. Конечно, повезло не всем -- многие по разным причинам «сошли с дистанции» или были поглощены более крупными компаниями. Но антивирусная индустрия всё еще продолжает формироваться, и её, скорее всего, ждут большие изменения.

Первые компьютерные вирусы создавались своими авторами исключительно с целью самоутверждения, с их помощью авторы пытались подтвердить собственные способности к созиданию компьютерных программ данного класса, поднимая собственную самооценку в случае успеха. Зачастую никакого другого функционала, кроме самокопирования, а иногда и вывода каких-либо сообщений шуточного характера, такие программы в себе не несли. Да, это мешало работать на зараженной системе, но речи об уничтожения пользовательской информации в результате заражения таким компьютерным вирусом совсем не шло. Позже злой гений вирусописателей дошел и до деструктивных действий по удалению на зараженной системе тех или иных файлов пользователя, а порой и ряда системных файлов, что приводило операционную систему в негодность. Пожалуй, венцом творения вирусописателей стал в своё время небезызвестный компьютерный вирус WIN.CIH, который в определенный момент времени вызывал повреждение материнской платы компьютера, записывая в BIOS некорректную информацию. Со временем число создаваемых компьютерных вирусов начало снижаться, отдавая пальму первенства троянским программам. Этому немало способствовал уход из индустрии большого количества начинающих вирусописателей (которые в большинстве своем - подростки) во всевозможные online игры. Кибер-криминал сегодня стал уделом профессионалов, имеющих целью своей деятельности получение прибыли.

В качестве основных путей размножения первых компьютерных вирусов были дискеты для переноса информации, намного позже их сменили CD диски, после чего компьютерные вирусы начали активно размножаться уже через сеть Интернет. На сегодняшний день встретить компьютерный вирус на просторах сети Интернет куда сложнее, чем наткнуться на ту же троянскую программу (троян). Пожалуй, основным способом размножения компьютерных вирусов на сегодняшний день являются популярные сменные носители - USB Flash диски (флешки) и DVD диски. И если на флешки компьютерный вирус может вполне записаться сам без участия пользователя, то на DVD диск попасть вирусу зачастую можно лишь в виде зараженных файлов, которые пользователь компьютера сам на диск и запишет вместе с остальной информацией.

Очень любят приукрашивать силу компьютерных вирусов голливудские режиссеры в своих фильмах про хакеров и просто компьютерных гениев. В некоторых фильмах удачно запущенный компьютерный вирус, сокрушает сеть Пентагона или крадет из банка сто миллионов долларов, попутно выводя на экран кучу графической информации о ходе своей работы. Что ж, оставим всё это на совести режиссеров, но заметим, что в реальности инциденты с компьютерными вирусами тоже случаются, но куда менее масштабные. В случае целеноправленной атаки на учреждение-жертву иногда у хакеров получается парализовать работу какой-либо системы атакуемой организации при помощи компьютерного вируса, но далеко не с той легкостью, с которой это зачастую показано в голливудских фильмах. Возможному триумфу предшествует долгая подготовительная работа, в ходе которой злоумышленник анализирует сильные и слабые стороны системы безопасности организации, выясняет наиболее удобные и возможные пути проникновения в компьютерную инфраструктуру организации и только потом уже использует специально созданный компьютерный вирус (троян) для своих целей. Сегодняшние компьютерные вирусы по своей сути имеют весьма много общего с троянскими программами (о троянах речь пойдет ниже). Большинство из компьютерных вирусов, которые можно встретить в дикой среде (in the wild), сегодня имеют четко ориентированную экономическую составляющую для своего создателя. Если раньше компьютерные вирусы в основном представляли для создателей чисто «спортивный интерес», то сегодня компьютерные вирусы дают лишний способ заработать своему автору, а порой являются и основным способом заработка… Мировой экономический кризис оставил без работы немало талантливых IT специалистов, которые начали искать себя «на другом поприще», обострив и без того непростую обстановку на антивирусном фронте. Вы спросите - а как же можно заработать с помощью компьютерного вируса? Что же, для этого сегодня вовсе не обязательно грабить банк - достаточно брать по чуть-чуть с каждого зараженного компьютерным вирусом ПК. Где-то добычей вирусописателя может стать аккаунт от яндекс.денег, где-то - учетные данные от используемой программы клиент-банк, а где-то и пароль от ICQ, за возвращение владельцу которго можно потребовать денег… Из наиболее распространенных компьютерных вирусов последнего времени стоит отметить Sality и Virut (по классификации Лаборатории Касперского). Оба этих компьютерных вируса несут в себе четко выраженную экономическую составляющую, вовлекаю зараженный компьютер в целую зомби-сеть, которая через Интернет может скрытно подчиняться своему хозяину (вирусописателю), рассылать спам или даже совершать DOS атаки на сервисы в сети Интернет. Фактически, глядя на компьютерный вирус Virut или Sality, мы сталкиваемся с трояном, дополненным способом размножения компьютерного вируса для пущей эффективности.

Система защиты информации, обрабатываемой с использованием технических средств, должна строиться по определенным принципам. Это обусловлено необходимостью противодействия целому ряду угроз безопасности информации.

Основным принципом противодействия угрозам безопасности информации, является превентивность принимаемых мер защиты, так как устранение последствий проявления угроз требует значительных финансовых, временных и материальных затрат.

Дифференциация мер защиты информации в зависимости от ее важности и частоты и вероятности возникновения угроз безопасности является следующим основным принципом противодействия угрозам.

К принципам противодействия угрозам также относится принцип достаточности мер защиты информации, позволяющий реализовать эффективную защиту без чрезмерного усложнения системы защиты информации.

Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу автоматизированных систем за счет налагаемых ограничений организационного и технического характера. Поэтому одним из принципов противодействия угрозам является принцип максимальной дружественности системы обеспечения информационной безопасности. При этом следует учесть совместимость создаваемой системы противодействия угрозам безопасности информации с используемой операционной и программно-аппаратной структурой автоматизированной системы и сложившимися традициями учреждения.

Важность реализации этого принципа основана на том, что дополнение функционирующей незащищенной автоматизированной системы средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение защищенной системы.

Программно-технические методы включают:

- защиту информации от несанкционированного доступа средствами проверки полномочий пользователей и обслуживающего персонала на использование информационных ресурсов;

- аутентификацию сторон, производящих обмен информацией (подтверждение подлинности отправителя и получателя);

- разграничение прав пользователей и обслуживающего персонала при доступе к информационным ресурсам, а также при хранении и предоставлении информации с ограниченным доступом;

- возможность доказательства неправомерности действий пользователей и обслуживающего персонала;

- защиту информации от случайных разрушений;

- защиту от внедрения «вирусов» в программные продукты;

- защиту баз данных различного уровня;

- выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем;

- применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи;

- подтверждение авторства сообщений с использованием электронной цифровой подписи информации.

1.2 Вредоносное программное обеспечение как средство создания информационных эпидемий

Вредоносное программное обеспечение замедлило свои темпы роста в сфере создания новых вариантов софта. Однако появляются неизвестные ранее виды червей и троянов.

В 2007-2008 годах вредоносное программное обеспечение практически перестало создаваться в некоммерческих целях. Основным видом вредоносных программ стали трояны, занимающиеся кражей информации.

Как указывают аналитики "Лаборатории Касперского", в 2011 году заметно уменьшился темп роста новых вредоносных программ. Среди причин эксперты выделяют возросший уровень конкуренции на этом рынке, общее снижение активности троянских программ, а также действия игроков антивирусной индустрии по созданию новых технологий защиты. К 2009 году стандартное антивирусное решение образца 90-х годов прошлого века (сканер и монитор) стало неактуальным и было практически полностью вытеснено "комбайнами" - продуктами класса Internet Security, соединяющими в себе множество технологий многоуровневой защиты.

Помимо разработчиков антивирусных средств, в 2011 году значительный вклад в борьбу с вирусописателями внесли правоохранительные органы, надзорные структуры и телекоммуникационные компании, в результате чего были закрыты такие ресурсы, как RealHost и 3FN, активно потворствующие киберпреступникам.

За последние 3-4 года Китай стал ведущим поставщиком вредоносных программ. В 2009 году "Лабораторией Касперского" было зафиксировано 73.619.767 сетевых атак, более половины из которых - 52,70% - были проведены с интернет-ресурсов, размещенных в Поднебесной. Однако за последний год процент атак, проведенных с китайских веб-ресурсов, уменьшился с 79 до 53%. Китайская киберпреступность оказалась способной производить такое количество вредоносных программ, что последние два года все без исключения антивирусные компании тратили большую часть своей деятельности на противостояние этому потоку.

Первая пятерка стран, с веб-ресурсов которых производились атаки, не изменилась по сравнению с 2008 годом: на втором месте - США, при этом доля зараженных серверов на территории этой страны значительно выросла - с 6,8 до 19%. Россия, Германия и Голландия занимают 3-е, 4-е и 5-е места соответственно, и их доли выросли незначительно.

В 2011 году изменил свое направление вектор атак: Китай по-прежнему лидирует по числу потенциальных жертв, но его доля уменьшилась на 7%. Другие лидеры прошлого года - Египет, Турция и Вьетнам - стали заметно менее интересны кибер-преступникам. Одновременно с этим значительно выросло число атак на граждан США, Германии, Великобритании и России.

За прошедший год технологии вирусописателей серьезно усложнились. Программы, оснащенные руткит-функционалом, не только получили широкое распространение, но и значительно эволюционировали. Среди них особенно выделяются такие угрозы, как Sinowal (буткит), TDSS и Clampi.

Главной эпидемией 2009 года стал червь Kido (Conficker), поразивший миллионы компьютеров по всему миру. Он использовал несколько способов проникновения на компьютер жертвы: подбор паролей к сетевым ресурсам, распространение через флэш-накопители, использование уязвимости Windows MS08-067. Каждый зараженный компьютер становился частью зомби-сети. Борьба с вирусом осложнялась тем, что в Kido были реализованы самые современные и эффективные технологии вирусописателей. Он противодействует обновлению программ защиты и отключает службы безопасности, блокирует доступ к сайтам антивирусных компаний и т. д. В ноябре количество зараженных Kido систем превысило 7.000.000. Эпидемия продолжалась на протяжении всего 2009 года.

Необходимо отметить, что для борьбы со столь распространенной угрозой была создана специальная группа Conficker Working Group, объединившая антивирусные компании, интернет-провайдеров, независимые исследовательские организации, учебные заведения и регулирующие органы.

Нельзя обойти вниманием и эпидемию вируса Virut. Особенностью Virus.Win32.Virut.ce является его мишень - веб-серверы - и способ распространения - в пиринговые сети вместе с зараженными генераторами серийных ключей и дистрибутивами популярных программ.

В 2009 году все более разнообразными становятся и мошеннические схемы, используемые в Интернете. К традиционному и весьма распространенному фишингу добавились различные сайты, предлагающие платный доступ к "услугам". Пальма первенства здесь принадлежит России. Именно российские мошенники поставили на поток создание сайтов с предложением "узнать местоположение человека через GSM", "прочитать приватную переписку в социальных сетях", "собрать информацию" и т. д.

Максимальное число подобных сервисов достигало нескольких сотен. Обеспечением их работы занимались десятки "партнерских программ". Для привлечения доверчивых пользователей использовались как традиционный спам в электронной почте, так и спам в социальных сетях и сервисах мгновенного обмена сообщениями. Вероятность того, что пользователь социальной сети запустит предлагаемый ему "друзьями" файл или пройдет по присланной от имени "друга" ссылке, примерно в 10 раз выше, чем если бы этот файл или ссылка пришли к нему по электронной почте.

В 2009 году у мошенников продолжала расти популярность псевдоантивирусов. Задача псевдоантивирусов - убедить пользователя в наличии на его компьютере угрозы (на самом деле несуществующей) и заставить его уплатить деньги за активацию "антивирусного продукта". Сегодня для распространения фальшивых антивирусов используются не только другие вредоносные программы (как, например, Kido), но и реклама в Интернете.

По оценкам, представленным в ноябре 2011 года американским ФБР, на лжеантивирусах преступники в общей сложности заработали 150 млн. USD. В 2009 году система IDS (Intrussion Detection System), входящая в состав Kaspersky Internet Security, отразила 219.899.678 сетевых атак. Аналогичный показатель 2008 года составил чуть более 30 млн. инцидентов. Из общего числа обнаруженных и заблокированных попыток заражения компьютеров 32 млн. атак пришлись на долю червя Kido (Conficker). В Сети продолжает существовать и червь Helkern (Slammer). Несмотря на то, что ему исполняется уже 7 лет, он продолжает находиться в лидерах - на него пришлось 23 млн. заблокированных попыток заражения.

Мобильные ОС и Mac OS привлекают все больше внимания со стороны вирусописателей. В 2009 году на вирусные угрозы для Mac внимание обратила даже компания Apple, встроившая некое подобие антивирусного сканера в новую версию ОС. Кроме того, в 2009 году произошли давно прогнозируемые события: для iPhone были обнаружены первые вредоносные программы (черви Ike), для Android была создана первая шпионская программа, а для Symbian-смартфонов были зафиксированы первые инциденты с подписанными вредоносными программами.

Уникальным событием 2009 года стало обнаружение троянской программы Backdoor.Win32.Skimer - первой вредоносной программы, нацеленной на банкоматы. После успешного заражения злоумышленник, используя специальную карточку доступа, может снять все деньги, находящиеся в банкомате, или получить данные о кредитных картах пользователей, производивших транзакции через зараженный банкомат.

1.3 Основные методы выявления информационных эпидемий вирусного ПО

Информационные риски - это опасность возникновения убытков или ущерба в результате применения компанией информационных технологий. Иными словами, IT-риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи. IT-риски можно разделить на две категории:

- риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;

- риски технических сбоев работы каналов передачи информации, которые могут привести к убыткам.

Работа по минимизации IT-рисков заключается в предупреждении несанкционированного доступа к данным, а также аварий и сбоев оборудования. Процесс минимизации IT-рисков следует рассматривать комплексно: сначала выявляются возможные проблемы, а затем определяется, какими способами их можно решить.

В настоящее время используются различные методы оценки информационных рисков отечественных компаний и управления ими. Оценка информационных рисков компании может быть выполнена в соответствии со следующим планом:

- идентификация и количественная оценка информационных ресурсов компании, значимых для бизнеса;

- оценивание возможных угроз;

- оценивание существующих уязвимостей;

- оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые для бизнеса уязвимые информационные ресурсы компании подвергаются риску, если по отношению к ним существуют какие-либо угрозы. Другими словами, риски характеризуют опасность, которая может угрожать компонентам корпоративной информационной системы. При этом информационные риски компании зависят от:

- показателей ценности информационных ресурсов;

- вероятности реализации угроз для ресурсов;

- эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов.

После оценки рисков можно выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются такие факторы, как ценность ресурсов, значимость угроз и уязвимостей, эффективность имеющихся и планируемых средств защиты.

Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть установлены как количественными методами (например, при нахождении стоимостных характеристик), так и качественными, скажем, с учетом штатных или чрезвычайно опасных нештатных воздействий внешней среды.

Возможность реализации угрозы для некоторого ресурса компании оценивается вероятностью ее реализации в течение заданного отрезка времени. При этом вероятность того, что угроза реализуется, определяется следующими основными факторами:

- привлекательностью ресурса (учитывается при рассмотрении угрозы от умышленного воздействия со стороны человека);

- возможностью использования ресурса для получения дохода (также в случае угрозы от умышленного воздействия со стороны человека);

- техническими возможностями реализации угрозы при умышленном воздействии со стороны человека;

- степенью легкости, с которой уязвимость может быть использована.

В России в настоящее время чаще всего используются разнообразные «бумажные» методики, достоинствами которых являются гибкость и адаптивность. Как правило, разработкой данных методик занимаются компании - системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к этой компании. В силу закрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.

Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (имеется на рынке) либо являться собственностью ведомства или организации и не продаваться.

Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками и позволяют учесть специфику информационных технологий организации.

Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности. Таким образом, инструментарий рассчитан в основном на потребности организаций 3-4 степени зрелости, описанных в первой главе.

Для решения данной задачи были разработаны программные комплексы анализа и контроля информационных рисков: CRAMM, FRAP, RiskWatch, Microsoft, ГРИФ. Ниже приведены краткие описания ряда распространенных методик анализа рисков. Их можно разделить на:

- методики, использующие оценку риска на качественном уровне (например, по шкале «высокий», «средний», «низкий»). К таким методикам, в частности, относится FRAP;

- количественные методики (риск оценивается через числовое значение, например размер ожидаемых годовых потерь). К этому классу относится методика RiskWatch;

- методики, использующие смешанные оценки (такой подход используется в CRAMM, методике Microsoft и т.д.).

1.4 Защита ИТКС от информационных эпидемий

Методы защиты от вредоносных программ в основном делятся на две большие группы:

- организационные методы;

- технические методы.

Самым простым примером организационных методов защиты от вирусов является выработка и соблюдение определенных правил обработки информации. Причем правила тоже можно условно разделить на две категории:

- правила обработки информации;

- правила использования программ.

К первой группе правил могут относиться, например, такие:

- не открывать почтовые сообщения от незнакомых отправителей;

- проверять сменные накопители (дискеты, компакт-диски, flash-накопители) на наличие вирусов перед использованием;

- проверять на наличие вирусов файлы, загружаемые из Интернет;

- работая в Интернет, не соглашаться на непрошенные предложения загрузить файл или установить программу.

Общим местом всех таких правил являются два принципа:

- использовать только те программы и файлы, которым доверяешь, происхождение которых известно;

- все данные, поступающие из внешних источников - с внешних носителей или по сети - тщательно проверять.

Вторая группа правил, обычно включает такие характерные пункты:

- следить за тем, чтобы программы, обеспечивающие защиту, были постоянно запущены, и чтобы функции защиты были активированы;

- регулярно обновлять антивирусные базы;

- регулярно устанавливать исправления операционной системы и часто используемых программ;

- не менять настройки по умолчанию программ, обеспечивающих защиту, без необходимости и полного понимания сути изменений.

Здесь также можно проследить два общих принципа:

- использовать наиболее актуальные версии защитных программ - поскольку способы проникновения и активации вредоносных программ постоянно совершенствуются, разработчики защитных программ постоянно добавляют новые технологии защиты и пополняют базы известных вредоносных программ и атак;

- не мешать антивирусным и другим защитным программам выполнять свои функции - очень часто пользователи считают, что защитные программы неоправданно замедляют работу компьютера, и стремятся за счет безопасности повысить производительность. В результате значительно увеличиваются шансы на заражение компьютера вирусом

Технические методы защиты заключаются в том, чтобы не дать вирусам попасть в операционную систему и заразить программное обеспечение. Для этого нужно всегда устанавливать обновления для ПО и ОС. Производители исправляют уязвимости в своих программах и заблаговременно выпускают для них исправления.

...