Классификация удаленных угроз в вычислительных сетях

При изложении данного материала в некоторых слу­чаях корректнее говорить об удаленных атаках, неже­ли об удаленных угрозах объектам вычислительных сетей, тем не менее, все возможные удаленные атаки являются в принципе удаленными угрозами информа­ционной безопасности.

Удаленные угрозы можно классифицировать по сле­дующим признакам.

По характеру воздействия:

■ пассивные (класс 1.1);

■ активные (класс 1.2).

Пассивным воздействием на распределенную вычис­лительную систему называется воздействие, которое не оказывает непосредственного влияния на работу систе­мы, но может нарушать ее политику безопасности. Имен­но отсутствие непосредственного влияния на работу сети приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пас­сивного типового удаленного воздействия в вычислитель­ных сетях является прослушивание канала связи в сети.

Под активным воздействием на вычислительную сеть понимается воздействие, оказывающее непосредствен­ное влияние на работу сети (изменение конфигурации, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных угроз являются активными воз­действиями. Это связано с тем, что в самой природе разрушающего воздействия содержится активное нача­ло. Очевидной особенностью активного воздействия по сравнению с пассивным является принципиальная воз­можность его обнаружения, так как в результате его осуществления в системе происходят определенные из­менения. В отличие от активного, при пассивном воз­действии не остается никаких следов (просмотр чужого сообщения ничего не меняет). По цели воздействия:

■ нарушение конфиденциальности информации (класс 2.1);

■ нарушение целостности информации (класс 2.2);

■ нарушение доступности информации (работоспо­собности системы) (класс 2.3).

Этот классификационный признак является прямой проекцией трех основных типов угроз — раскрытия, целостности и отказа в обслуживании.

Одна из основных целей злоумышленников — полу­чение несанкционированного доступа к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней досту­па, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиден­циальности. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Очевидно также, что нару­шение конфиденциальности информации является пас­сивным воздействием.

Возможность искажения информации означает либо полный контроль над информационным потоком меж­ду объектами системы, либо возможность передачи со­общений от имени другого объекта. Таким образом, оче­видно, что искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активно­го воздействия. Примером удаленной угрозы, цель ко­торой нарушение целостности информации, может слу­жить типовая удаленная атака «ложный объект распре­деленной вычислительной сети».

Принципиально другая цель преследуется злоумыш­ленником при реализации угрозы для нарушения рабо­тоспособности сети. В этом случае не предполагается получение несанкционированного доступа к информа­ции. Его основная цель — добиться, чтобы узел сети или какой-то из сервисов, поддерживаемый им, вышел из строя и для всех остальных объектов сети доступ к ресурсам атакованного объекта был бы- невозможен. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить типовая удаленная атака «отказ в обслуживании».

По условию начала осуществления воздействия. Удаленное воздействие так же, как и любое другое, мо­жет начать осуществляться только при определенных условиях. В вычислительных сетях можно выделить три вида условий начала осуществления удаленной атаки:

■ атака по запросу от атакуемого объекта (класс 3.1);

■ атака по наступлению ожидаемого события на ата­куемом объекте (класс 3.2);

■ безусловная атака (класс 3.3).

В первом случае злоумышленник ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных запросов в сети Internet служат DNS-запросы. Отметим, что данный тип удаленных атак наиболее характерен для распределен­ных вычислительных сетей.

Во втором случае злоумышленник осуществляет по­стоянное наблюдение за состоянием операционной сис­темы удаленной цели атаки и при возникновении опре­деленного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществле­ния начала атаки выступает сам атакуемый объект.

Реализация третьего вида атаки не связана ни с ка­кими событиями и реализуется безусловно по отноше­нию к цели атаки, то есть атака осуществляется немед­ленно.

По наличию обратной связи с атакуемым объектом:

■ с обратной связью (класс 4.1);

■ без обратной связи (однонаправленная атака) (класс 4.2).

Удаленная атака, осуществляемая при наличии об­ратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуе­мый объект, атакующему требуется получить ответ, а следовательно, между атакующим и целью атаки суще­ствует обратная связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте.

В отличие от атак с обратной связью удаленным ата­кам без обратной связи не требуется реагировать на ка­кие-либо изменения, происходящие на атакуемом объек­те. Атаки данного вида обычно осуществляются переда­чей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную удален­ную атаку можно называть однонаправленной удален­ной атакой. Примером однонаправленных атак являет­ся типовая удаленная атака «отказ в обслуживании».

По расположению субъекта атаки относительно ата­куемого объекта:

■ внутрисегментное (класс 5.1);

■ межсегментное (класс 5.2). Рассмотрим ряд определений.

Субъект атаки (или источник атаки) — это атакую­щая программа или злоумышленник, непосредственно осуществляющие воздействие.

Маршрутизатор (router) — устройство, обеспечиваю­щее маршрутизацию пакетов обмена в глобальной сети.

Подсеть (subnetwork) (в терминологии Internet) — совокупность хостов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинако­вый номер подсети. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, ми­нуя маршрутизатор.

Сегмент сети — физическое объединение хостов. На­пример, сегмент сети образует совокупность хостов, под­ключенных к серверу по схеме «общая шина». При та­кой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте.

С точки зрения удаленной атаки чрезвычайно важ­но, как по отношению друг к другу располагаются субъект и объект атаки, то есть в одном или в разных сегментах они находятся. В случае внутрисегментной атаки, как следует из названия, субъект и объект атаки находятся в одном сегменте1. При межсегментной атаке субъект и объект атаки находятся в разных сегментах.

Данный классификационный признак позволяет су­дить о так называемой «степени удаленности» атаки.

Важно отметить, что межсегментная удаленная ата­ка представляет гораздо большую опасность, чем внут­рисегментная. Это связано с тем, что в случае межсег­ментной атаки объект её и непосредственно атакующий могут находиться на расстоянии многих тысяч кило­метров друг от друга, что может существенно воспре­пятствовать мерам по локализации субъекта атаки.

По уровню модели ISO/OSI, на котором осуществля­ется воздействие:

■ физический (класс 6.1);

■ канальный (класс 6.2);

■ сетевой (класс 6.3);

■ транспортный (класс 6.4);

■ сеансовый (класс 6.5);

■ представительный (класс 6.6);

■ прикладной (класс 6.7).