Обычные уязвимости
В приведенных ниже списках даны примеры уязвимостей в различных сферах безопасности, включая примеры угроз, которые могут использовать эти уязвимости. Эти списки могут быть полезными во время оценки уязвимостей. Следует подчеркнуть, что в некоторых случаях эти уязвимости могут использоваться и другими угрозами.
1. Внешняя среда и инфраструктура
Отсутствие физической защиты здания, дверей и окон (может быть использовано, например, угрозой хищения).
Неадекватное или небрежное использование физического управления доступом к зданиям и помещениям (может быть использовано, например, угрозой намеренного повреждения).
Нестабильная электрическая сеть (может быть использована, например, угрозой колебаний напряжения).
Размещение в местности, предрасположенной к наводнениям (может быть использовано, например, угрозой затопления).
2. Аппаратные средства
Отсутствие программ периодической замены (может быть использовано, например, угрозой ухудшения состояния носителей данных).
Чувствительность к колебаниям напряжения (может быть использована, например, угрозой колебаний напряжения).
Чувствительность к колебаниям температуры (может быть использована, например, угрозой экстремальных показателей температуры).
Чувствительность к влажности, пыли, загрязнению (может быть использована, например, угрозой пылеобразования).
Чувствительность к электромагнитному излучению (может быть использована, например, угрозой электромагнитного излучения).
Недостаточное техническое обслуживание/неправильная установка носителей данных (может быть использовано, например, угрозой ошибки технического обслуживания).
Отсутствие эффективного контроля изменений конфигурации (может быть использовано, например, угрозой ошибок операционного персонала).
3. Программные средства
Нечеткие или неполные спецификации для разработчиков (могут быть использованы, например, угрозой сбоя программы).
Отсутствующее или недостаточное тестирование программных средств (может быть использовано, например, угрозой использования программных средств неуполномоченными пользователями).
Сложный пользовательский интерфейс (может быть использован, например, угрозой ошибок операционного персонала).
Отсутствие механизмов идентификации и аутентификации, таких как аутентификация пользователей (может быть использовано, например, угрозой имитации личности пользователя).
Отсутствие контрольного журнала (может быть использовано, например, угрозой использования программных средств несанкционированным образом).
Широко известные дефекты программных средств (могут быть использованы, например, угрозой использования программных средств неуполномоченными пользователями).
Незащищенные таблицы паролей (могут быть использованы, например, угрозой имитации личности пользователя).
Плохой менеджмент паролей (легко отгадываемые пароли, хранение паролей в незашифрованном виде, недостаточная частота смены паролей) (может быть использован, например, угрозой имитации личности пользователя).
Неверное распределение прав доступа (может быть использовано, например, угрозой использования программных средств несанкционированным образом).
Неконтролируемая загрузка и использование программных средств (может быть использована, например, угрозой вредоносного программного обеспечения).
Отсутствие «конца сеанса», покидая рабочую станцию (может быть использовано, например, угрозой использования программных средств неуполномоченными пользователями).
Отсутствие эффективного контроля изменений (может быть использовано, например, угрозой сбоя программы).
Отсутствие документации (может быть использовано, например, угрозой ошибок операционного персонала).
Отсутствие резервных копий (может быть использовано, например, угрозой вредоносного программного обеспечения или угрозой пожара).
Списание или повторное использование носителей данных без надлежащего стирания (может быть использовано, например, угрозой использования программных средств неуполномоченными пользователями).
Активированные ненужные службы (могут быть использованы, например, угрозой
использования несанкционированного программного обеспечения).
Недоработанное или новое программное обеспечение (может быть использовано, например. угрозой некомпетентного или неадекватного тестирования).
Широко распределенное программное обеспечение (может быть использовано, например, угрозой потери целостности в процессе распределения).
4. Система связи
Незащищенные линии связи(могут быть использованы, например, угрозой подслушивания).
Плохая разводка кабелей (может быть использована, например, угрозой проникновения в систему связи).
Отсутствие идентификации и аутентификации отправителя и получателя (может быть использовано, например, угрозой имитации личности пользователя).
Передача паролей в незашифрованном виде (может быть использована, например, угрозой получения сетевого доступа неуполномоченными пользователями).
Отсутствие подтверждения отправления или получения сообщения (может быть использовано, например, угрозой отрицания).
Коммутируемые линии (могут быть использованы, например, угрозой получения сетевого доступа неуполномоченными пользователями).
Незащищенный значимый трафик (может быть использован, например, угрозой подслушивания).
Неадекватный сетевой менеджмент (устойчивость маршрутизации) (может быть использован, например, угрозой перегрузки трафика).
Незащищенные соединения сети общего пользования (могут быть использованы, например, угрозой использования программных средств неуполномоченными пользователями)
Ненадежная сетевая архитектура (может быть использована, например, угрозой вторжения).
5. Документы
Незащищенное хранение (может быть использовано, например, угрозой хищения). Беззаботность при устранении (может быть использована, например, угрозой хищения). Неконтролируемое копирование (может быть использовано, например, угрозой хищения).
6. Персонал
Отсутствие персонала (может быть использовано, например, угрозой нехватки персонала).
Безнадзорная работа внешнего персонала или персонала, занимающегося уборкой (может быть использована, например, угрозой хищения).
Недостаточное обучение по безопасности (может быть использовано, например, угрозой ошибок операционного персонала).
Отсутствие осознания безопасности (может быть использовано, например, угрозой ошибок пользователей).
Ненадлежащее использование программных и аппаратных средств (может быть использовано, например, угрозой ошибок операционного персонала).
Отсутствие механизмов мониторинга (может быть использовано, например, угрозой использования программных средств несанкционированным образом).
Отсутствие политик по правильному использованию телекоммуникационной среды и обмена сообщениями (может быть использовано, например, угрозой использования сетевых средств несанкционированным образом).
Неадекватные процедуры набора персонала (могут быть использованы, например, угрозой намеренного повреждения).
7. Процедурные
Отсутствие санкционирования средств обработки информации (может быть использовано. например, угрозой намеренного повреждения).
Отсутствие формального процесса санкционирования общедоступной информации (может быть использовано, например, угрозой ввода искаженных данных).
Отсутствие формального процесса проверки прав доступа (надзора) (может быть использовано, например, угрозой несанкционированного доступа).
Отсутствие формальной политики по использованию портативных компьютеров (может быть использовано, например, угрозой хищения).
Отсутствие формальной процедуры контроля документации системы менеджмента информационной безопасности (может быть использовано, например, угрозой ввода искаженных данных).
Отсутствие формальной процедуры надзора за записями системы менеджмента информационной безопасности (может быть использовано, например, угрозой ввода искаженных данных).
Отсутствие формальной процедуры регистрации и отмены регистрации пользователей (может быть использовано, например, угрозой несанкционированного доступа).
Отсутствие контроля за резервными активами (может быть использовано, например, угрозой хищения).
Отсутствующее или неудовлетворительное соглашение об уровне сервиса (может быть использовано, например, угрозой ошибок технического обслуживания).
Отсутствующая или недостаточная политика «чистого стола и пустого экрана» (может быть использована, например, угрозой хищения информации).
Отсутствующие или недостаточные положения (касающиеся безопасности) в договорах с клиентами и/или третьими сторонами (могут быть использованы, например, угрозой несанкционированного доступа).
Отсутствующие или недостаточные положения (касающиеся безопасности) в договорах со служащими (могут быть использованы, например, угрозой мошенничества и хищения).
Отсутствие планов обеспечения деловой непрерывности (может быть использовано, например, угрозой технической неисправности).
Отсутствие надлежащего распределения обязанностей по обеспечению информационной безопасности (может быть использовано, например, угрозой отрицания).
Отсутствие политики по использованию электронной почты (может быть использовано, например, угрозой неправильной маршрутизации сообщений).
Отсутствие процедур идентификации и оценки риска (может быть использовано, например, угрозой несанкционированного доступа к системе).
Отсутствие процедур обращения с секретной информацией (может быть использовано, например, угрозой ошибок пользователей).
Отсутствие процедур обеспечения соблюдения прав на интеллектуальную собственность (может быть использовано, например, угрозой хищения информации).
Отсутствие процедур сообщения о слабых местах безопасности (может быть использовано, например, угрозой использования сетевых средств несанкционированным образом).
Отсутствие процедур введения программного обеспечения в действующие системы (может быть использовано, например, угрозой ошибок операционного персонала).
Отсутствие процедуры контроля изменений (может быть использовано, например, угрозой ошибки технического обслуживания).
Отсутствие процедуры мониторинга средств обработки информапии (может быть использовано, например, угрозой несанкционированного доступа).
Отсутствие регулярных аудитов (надзора) (может быть использовано, например, угрозой несанкционированного доступа).
Отсутствие регулярных проверок, проводимых руководством (может быть использовано, например, угрозой злоупотребления ресурсами).
Отсутствие установленных механизмов мониторинга нарушений безопасности (может быть использовано, например, угрозой умышленного повреждения).
Отсутствие обязанностей по обеспечению информационной безопасности в перечнях служебных обязанностей (может быть использовано, например, угрозой ошибок пользователей).
Отсутствие зафиксированных в журнале регистрации администратора и оператора сообщений об ошибках (может быть использовано, например, угрозой использования программных средств несанкционированным образом).
Отсутствие записей в журнале регистрации администратора и оператора (может быть использовано, например, угрозой ошибок операционного персонала).
Отсутствие оговоренного дисциплинарного процесса в случае инцидента безопасности (может быть использовано, например, угрозой хищения информации).
8. Обычные уязвимости обработки бизнес-приложений
Неверная установка параметров (может быть использована, например, угрозой ошибок пользователей).
Применение прикладных программ к неверным данным с точки зрения времени (может быть использовано, например, угрозой недоступности данных).
Неспособность создания административных отчетов (может быть использовано, например, угрозой несанкционированного доступа).
Неверные даты (могут быть использованы, например, угрозой ошибок пользователей).
9. Общеприменимые уязвимости
Единичная точка сбоя (может быть использована, например, угрозой сбоя услуг связи).
Неадекватное реагирование технического обслуживания (может быть использовано, например, угрозой сбоев аппаратных средств).
Неправильно разработанные, несоответствующим образом выбранные или плохо управляемые защитные меры (могут быть использованы, например, угрозой проникновения в систему связи).
Методы оценки уязвимостей
Тестирование информационной системы
Профилактические методы, такие как тестирование информационной системы, могут быть использованы для эффективной идентификации уязвимостей в зависимости от критичности системы ИКТ и доступных ресурсов (например, выделенных фондов, доступной технологии, лиц, обладающих компетентностью для проведения тестирования). Методы тестирования включают:
- автоматические инструментальные средства поиска уязвимостей;
- тестирование и оценивание безопасности (STE);
- тестирование на проникновение.
Автоматические инструментальные средства поиска уязвимостей используются для просмотра группы хостов или сети на предмет известных уязвимых сервисов (например, система разрешает анонимный протокол передачи файлов [FTP], ретрансляцию отправленной почты). Следует однако отметить, что некоторые из потенциальных уязвимостей, идентифицированных автоматическими инструментальными средствами поиска уязвимостей, могут не представлять реальных уязвимостей в контексте среды системы. Например, некоторые из этих средств поиска определяют потенциальные уязвимости, не учитывая среду и требования сайта. Некоторые из уязвимостей, отмеченных автоматическими инструментальными средствами поиска уязвимостей, могут в действительности не быть уязвимостями для конкретного сайта, а быть сконфигурированными таким образом, потому что этого требует среда. Таким образом, этот метод может давать ошибочные результаты исследования.
Другим методом, который может использоваться для идентификации уязвимостей системы ИКТ во время процесса оценки риска, является тестирование и оценивание безопасности (STE). Он включает разработку и выполнение плана тестирования (например, сценарий тестирования, процедуры тестирования и ожидаемые результаты тестирования). Цель тестирования безопасности системы состоит в тестировании эффективности средств контроля безопасности системы ИКТ, которые были применены в операционной среде. Задача заключается в том, чтобы удостовериться, что применяющиеся средства контроля соответствуют утвержденной спецификации безопасности для программных и аппаратных средств, обеспечивают выполнение политики безопасности организации или соответствуют отраслевым стандартам.
Тестирование на проникновение может использоваться как дополнение к проверке средств контроля безопасности и гарантирование того, что защита различных аспектов системы ИКТ обеспечена. Когда тестирование на проникновение используется в процессе оценки риска, оно может применяться для оценки способности системы ИКТ противостоять умышленным попыткам обойти средства контроля безопасности системы. Его задача состоит в тестировании системы ИКТ, с точки зрения источника угрозы, и в идентификации потенциальных сбоев в структурах защиты системы ИКТ.
Результаты этих видов тестирования безопасности помогут идентифицировать уязвимости системы.
Важно отметить, что методы и средства тестирования на проникновение могут давать ложные результаты, если уязвимость не была успешно использована. Чтобы использовать конкретную уязвимость, нужно знать точную систему/приложение/патчи, установленные на тестируемой системе. Если во время тестирования эти данные неизвестны, может быть невозможно успешно использовать конкретную уязвимость (например, достичь удаленного обратного соединения). однако все же возможно взломать или перезапустить тестируемый процесс или систему. В таком случае тестируемый объект тоже должен считаться уязвимым.
Дата добавления: 2015-02-03; просмотров: 1859;