Стив Винтерфельд, Джейсон Андресс. Основы информационной войны

Когда мы собираемся защитить целостность данных, мы пытаемся не допустить манипуляции им несанкционированным образом. Как и в мерах, которые мы используем, чтобы обеспечить конфиденциальность, мы можем использовать шифрование для обеспечения целостности, сделав так, чтобы данными было трудно успешно манипулировать без надлежащего разрешения. В частности, хэши или сжатые формы сообщений, такие как MD5 и SHA1, часто используются для того, чтобы оригиналы сообщений или файлов не были изменены, создавая отпечатки исходных данных, которые могут быть отслежены с течением времени. Ошибки в целостности могут иметь серьезные последствия, если мы не осознаем, что они имели место, так как данные в виде сообщений или файлов могут быть свободно изменены для искажения их смысла или изменения исхода решений, основанных на рассматриваемых данных. Думая о системах управления и команд, используемых в наше время, легко себе представить хаос, который может привести к дезинформации.

Доступность данных просто означает, что мы можем получить доступ к ним, при необходимости сделать это. Обеспечение доступности означает, что мы должны быть устойчивыми перед лицом атак, которые могут повредить или удалить наши данные или лишить нас доступа к ним, атакую среду, в которой они располагаются. Это также означает, что мы должны иметь достаточно надежную среду для того, чтобы справиться с системными перебоями, проблемами со связью, проблемами электроэнергии и любым количеством проблем, которые могут помешать нам получить доступ к нашим данным. Доступность часто осуществляется за счет использования резервирования и резервного копирования наших данных и наших сред. Это важно для обеих систем вооружения, критической инфраструктуры, такой как энергетические сети и системы управления.

Аутентификация, авторизация и аудит

Аутентификация, авторизация и аудит, широко известные как ААА показаны на рисунке 7.2. Это те принципы, которые позволяют нам практически осуществлять защиту данных. Это средства, с помощью которых мы можем контролировать и отслеживать, как и кто обращается к нашим данным, таким образом позволяя нам обеспечить соблюдение политики, которые мы создали для сохранения данных в безопасности. Аутентификация является средством, с помощью которого мы проверяем личность индивида или системы, с помощью представленных наборов учетных данных. Очень частой реализацией схемы аутентификации является сочетание логина и пароля. В данном конкретном случае логин пользователя уникален и проверяется паролем, выданным пользователю. Общей реализацией аутентификации, используемой Министерством обороны США (МО) являются общие карты доступа (ОКД). ОКД, которые иногда еще называют CAC-картами, имеют области хранения, которые могут быть использованы для хранения учетных данных, таких как сертификаты, и может также использоваться с дополнительными формами аутентификации, такие как персональный идентификационный номер (PIN). Также сейчас часто используются другие аппаратные средства идентификации, один из наиболее известных - RSA SecureID.

Рисунок 7.2 - ААА

Одним из главных ключей к будущему аутентификации является использование биометрических идентификаторов, таких как отпечатки пальцев, снимков радужной оболочки глаза, а также других средств, основанных на физических характеристиках. Такие идентификаторы всегда находятся у владельца, портативны, их трудно подделать, учитывая должным образом разработанные системы аутентификации.

Как только мы прошли проверку подлинности идентификатора, мы можем проверить, какие виды деятельности этому конкретному идентификатору позволено осуществлять. Такое действие известно как авторизация. Мы видим простой пример авторизации в различных уровнях функциональных возможностей учетной записи, которые определены во многих операционных системах. Если корневой или администраторский аккаунт может иметь разрешение создавать дополнительные учетные записи в системе, обычный пользователь, скорее всего, не сможет это сделать. В войсках эти полномочия обычно привязаны к командиру подразделения, который является последней инстанцией.

Аудит дает нам возможность отслеживать, какие мероприятия были проведены в данной системе или среде. В то время как аутентификация и авторизация позволяет нам контролировать и устанавливать ограничения на доступ пользователей к нашим активам, мы также должны вести учет того, что делают эти авторизованные пользователи. Это позволяет нам сбалансировать систему и сетевые нагрузки должным образом, а также вести наблюдение за санкционированной, но неуместной или нежелательной деятельностью. Поскольку злоумышленники продолжают разрабатывать дополнительные возможности, а сети все чаще основываются на облачных и мобильных технологиях, становится необходимо выделять ресурсы для обнаружения место, в котором они получают доступ.

Примечание

Принцип минимальных привилегий утверждает, что для любого заданного слоя в вычислительной среде, например, человека, процесса или системы, этот слой получает только минимальный уровень привилегий, которые необходимы для того, чтобы работать должным образом. Следование этому принципу нивелирует многие из распространенных проблем безопасности, с которыми мы могли бы столкнуться, многие из которых возникают из-за злоупотребления неуместно много позволяющими системами или приложениями.

2.1 Понимание и обучение безопасности

Люди, скорее всего, являются единственной крупнейшей уязвимостью систем безопасности, которая у нас есть, или когда-либо будет, в той или иной системе или среде. При большинстве других проблем безопасности, для ее исправления мы можем применить патч, изменить конфигурацию или батарею на дополнительной инфраструктуре. С людьми, мы, к сожалению, не можем это сделать. Люди могут быть ленивым, беспечным, или просто случайно ошибаться, постоянно обходя изнутри тщательно спланированные меры безопасности и ставя нас под удар злоумышленников. Это отсутствие ситуационной осведомленности о рисках или потенциальных последствиях своих действий может быть исправлено за счет формирования дисциплины и взаимопонимания путем упорных тренировок. Обучение должно начинаться на групповом уровне, так как обстановка внутри организации отражает командный климат в области информационной безопасности.

Хотя мы можем попытаться применить технические меры для защиты от осуществления неблагоприятной деятельности и создать политику, которая четко указывает на правильное и неправильное поведение, такие меры будут напрасны, если мы не донесем до людей минимальной порции информации о вопросах безопасности и не обучим их нужному поведению, которое будет обеспечивать их и организацию хорошим уровнем защищенности. Опять же, для того, чтобы быть эффективной, эта политика должна быть последовательно исполнена и понятна на всех уровнях организации.

Понимание

Для тех, кто не знаком с базовыми принципами безопасности, их осознание может даваться нелегко. В 2008 году Брюс Шнайер написал статью по этому поводу в Wired Magazine в, и назвал этот вид осведомленности мышлением безопасности. Шнайер сказал "Безопасность требует особого менталитета. Специалисты в области безопасности, во всяком случае, хорошие, видят мир по-другому. Они не могут зайти в магазин, не замечая способов совершения кражи. Они не могут использовать компьютер, не задаваясь вопросом о уязвимостях в безопасности. Они не могут голосовать, не пытаясь выяснить, как можно проголосовать дважды. Они просто не могут ничего с собой поделать" [5].

Это осознанное безопасное мышление критически важно не только для профессионалов в области безопасности, системных администраторам, проектировщикам сетей и других специалистов, работающих в технической области, это также важно для военнослужащих, экипажей самолетов, моряков, их семей и других, кто обрабатывает информацию, которая в любом случае, относится к важной или секретной. Более того, оценка того, какие данные могут, а какие не могут быть секретными и того, в каких ситуациях мы должны понимать последствия наших действий для безопасности, является функцией информированности по вопросам безопасности, и также должна быть хорошо изучена.

Для иллюстрации последствий таких ошибок в обоих суждениях и в правильном мышлении, нам только нужно посмотреть на ближайшее из регулярных нарушений безопасности, которые появляются в средствах массовой информации. Один из хороших примеров такой ошибки произошел до американских президентских выборов 2008 года. Было обнаружено, что работники Госдепартамента США неоднократно несанкционированным способом получали доступ к паспортным записям трех человек, которые были, в то время, кандидатами в президенты: Барака Обамы, Хиллари Клинтон и Джона Маккейна. Системы, содержащие эту информацию, настроены таким образом, чтобы предупредить администратора, когда кто-либо пытается получить доступ без законных на то оснований к записи о важном лице, таком как кандидат в президенты.

В результате этого инцидента, несколько работников были уволены или им был дан выговор, а те, которые остались, подверглись ограничению их доступа [6]. Небольшая доля информированности по вопросам безопасности, возможно, привела бы этих людей к мысли, что несанкционированный доступ к записям, содержащим личную информацию кандидатов в президенты, включая имя, адрес, дату рождения, номер социального страхования, записи о поездке, а также ряд другой информации, для них лично может иметь нежелательные последствия.

Наш пример, будучи подходящей иллюстрацией неосведомленности в области безопасности, относится к случаям с относительно смягченными последствиями, так как происшествия такого рода могут привести к куда более плачевным ситуациям. Можно найти множество подобных случаев, таких как потеря ноутбука МВ, которую мы упоминали в этой главе при обсуждении ЦРУ, начиная от персональных данных (ПД), таких как номеров социального страхования, разосланных по электронной почте на большое количество ящиков, до потери незашифрованных медицинских записей об американских ветеранах, а также бесконечное множество других случаев. Хотя для предотвращения таких случаев в действие и могут быть введены технические меры безопасности, пока мы по-прежнему будем недорабатывать в аспекте информированности по вопросам безопасности, эти проблемы останутся.

Когда мы пытаемся научить пользователей этим понятиям, основная идея проста - пытаться мыслить как злоумышленник. В той или иной ситуации, будь то фишинг-письма, атаки социальной инженерии, нарушении политики безопасности или другие проблемы, с которыми мы можем столкнуться, такой принцип, как правило, ставит нас на правильный путь. Если мы сможем привить пользователям толику конструктивного подозрения, мы чаще будем занимать правильную позицию при таких инцидентах. Хотя мы можем обнаружить, что при подготовке пользователей таким образом мы изредка можем получать ошибочный доступ, это гораздо более желаемый результат, возникновение брешей в системе безопасности, которые появляются из-за беспечности в таких вопросах.

Обучение

В дополнение к концепциям осознания безопасности, которые мы хотим привить, также существует вопрос общей подготовки в вопросах безопасности. В большинстве организаций, такое обучение для конечных пользователей будет состоять из более определенного направления, которое будет дополнять наши общие усилия по безопасности. Во многих государственных организациях, такое обучение является обязательным, проводится каждые несколько лет и привязано к программам безопасности операций (OPSEC) и контрразведки, которые рассмотрены в главе 6. Такая подготовка будет часто состоят из обучения безопасному использованию различных средств связи, таких как электронная почта, Instant Messenger (IM), телефон и т.д. Эти средства связи часто используются для жульничества или попыток получения информации методами социальной инженерии, и являются важным фокусом наших усилий по обучению безопасности. Кроме того, в зависимости от природы вопроса, мы, возможно, пожелаем добавить дополнительные элементы в обучение безопасности, такие как физическая безопасность, надлежащее обращение с конфиденциальной информацией, и проверка анкетных данных. Одной из новых сфер в этой области является потребность в обучении безопасному использованию социальных сетей

При проведении обучения для сугубо технических сотрудников организации, таких как системные администраторы, сетевые инженеры, разработчики, сотрудники службы безопасности, и другие, по-прежнему важно, соблюдать основы нашей программы подготовки по вопросам безопасности, но нам, скорее всего, придется составить план дополнительного обучения с учетом специфики их должностных обязанностей. Для системных администраторов и сетевых инженеров нам нужно будет решать безопасности наших операционных систем и сетевой инфраструктуры, для наших разработчиков нужно будет ввести в программу стандарты и практику кодирования, а сотрудников службы безопасности нужно будет ознакомить с внутренними и внешними практиками безопасности организации. Всем этим сотрудникам мы должны привить этику надлежащего использования и обеспечения сохранности любых привилегированных учетных записей, к которым они могут иметь доступ. К концу обучения следует привить сотрудникам правильное понимание риска и безопасности мышления.

Размещено на Allbest.ru