Последствия несанкционированного доступа к информации

· утечка персональных данных (сотрудников компании и организаций-партнеров),

· утечка коммерческой тайны и ноу-хау,

· утечка служебной переписки,

· утечка государственной тайны,

· полное либо частичное лишение работоспособности системы безопасности компании.

Для предотвращения несанкционированного доступа к информации используются программные и технические средства, например, DLP-системы.Предотвращение утечек (англ. DataLeakPrevention, DLP) — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Система обнаружения вторжений (СОВ) (Соответствующий английский термин — IDS)— программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

Обычно архитектура СОВ включает:

• сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы

• подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров

• хранилище, обеспечивающее накопление первичных событий и результатов анализа

• консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

Существует несколько способов классификации СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

Предотвращение утечек — технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек.

DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы.

При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Анализатор трафика, или сниффер — сетевой анализатор трафика, программа или программно-аппаратное устройство, предназначенное для перехвата и последующего анализа, либо только анализа сетевого трафика, предназначенного для других узлов.

Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам, из-за этого возможно перехватывать чужую информацию. Использование коммутаторов (switch, switch-hub) и их грамотная конфигурация уже является защитой от прослушивания. Между сегментами информация передаётся через коммутаторы. Коммутация пакетов — форма передачи, при которой данные, разбитые на отдельные пакеты, могут пересылаться из исходного пункта в пункт назначения разными маршрутами. Так что если кто-то в другом сегменте посылает внутри его какие-либо пакеты, то в ваш сегмент коммутатор эти данные не отправит.

 

Перехват трафика может осуществляться:

· обычным «прослушиванием» сетевого интерфейса (метод эффективен при использовании в сегменте концентраторов (хабов) вместо коммутаторов (свитчей), в противном случае метод малоэффективен, поскольку на сниффер попадают лишь отдельные фреймы);

· подключением сниффера в разрыв канала;

· ответвлением (программным или аппаратным) трафика и направлением его копии на сниффер;

· через анализ побочных электромагнитных излучений и восстановление таким образом прослушиваемого трафика;

· через атаку на канальном (MAC-spoofing) или сетевом уровне (IP-spoofing), приводящую к перенаправлению трафика жертвы или всего трафика сегмента на сниффер с последующим возвращением трафика в надлежащий адрес.

Снифферы применяются как в благих, так и в деструктивных целях. Анализ прошедшего через сниффер трафика позволяет:

· Обнаружить паразитный, вирусный и закольцованный трафик, наличие которого увеличивает загрузку сетевого оборудования и каналов связи (снифферы здесь малоэффективны; как правило, для этих целей используют сбор разнообразной статистики серверами и активным сетевым оборудованием и её последующий анализ).

· Выявить в сети вредоносное и несанкционированное ПО, например, сетевые сканеры, флудеры, троянские программы, клиенты пиринговых сетей и другие (это обычно делают при помощи специализированных снифферов — мониторов сетевой активности).

· Перехватить любой незашифрованный (а порой и зашифрованный) пользовательский трафик с целью получения паролей и другой информации.

· Локализовать неисправность сети или ошибку конфигурации сетевых агентов (для этой цели снифферы часто применяются системными администраторами)

Поскольку в «классическом» сниффере анализ трафика происходит вручную, с применением лишь простейших средств автоматизации (анализ протоколов, восстановление TCP-потока), то он подходит для анализа лишь небольших его объёмов.

Снизить угрозу сниффинга пакетов можно с помощью таких средств как:

· Аутентификация

· Криптография

· Антиснифферы

· Коммутируемая инфраструктура

Экранированные помещения позволяют полностью нейтрализовать любые типы устройств радиотехнической разведки. Однако высокая стоимость, снижение комфортности и другие неудобства для персонала (использование двойных дверей с тамбуром и взаимной блокировкой, чтобы при входе одна дверь была обязательно закрыта) делают применение таких инженерных решений оправданным только при защите информации очень высокой важности.

Очень важно также заземление экранированного помещения. В первую очередь необходимо, чтобы защищаемое помещение имело контур заземления, не выходящий за пределы этого помещения. Все приборы, корпуса компьютеры, телетайпы и т.д. должны быть заземлены на общий контур заземления. В качестве контура заземления не рекомендуется использовать элементы отопления, металлоконструкции зданий. Допускается заземление оконных устройств через оплетку подходящих к ним кабелей. Контур заземления должен быть замкнутым, т.е. охватывать все помещение. Сопротивление заземления должно быть во всех случаях менее 4 Ом. Заземлением всех устройств в помещении пренебрегать нельзя. По возможности приборы, используемые в помещении, имеют индивидуальную экранировку.

Очень важным фактором является также и широкое применение сетевых фильтров. Сетевые фильтры обеспечивают защищенность электронных устройств не только от внешних помех, но и от различного вида сигналов, генерируемых устройствами, которые могут служить источником утечки информации.

Возникновение наводок в сетях питания чаще всего связано с тем, что различные ТСПИ подключены к общим линиям питания.

Сетевые фильтры выполняют две защитные функции в цепях питания ТСПИ:

· защита аппаратуры от внешних импульсных помех;

· защита от наводок, создаваемых самой аппаратурой.