Киберугрозы стали привычными для организаций, с ними учатся бороться все более эффективно, усложняя способы защиты. Но это не полностью исключило из зоны риска угрозы утечки информации, возникающие при использовании скрытых технических каналов. Они основаны на снятии данных с электрических, звуковых, виброакустических, иных импульсов, генерируемых оборудованием обработки информации или человеком в процессе рабочей активности, перехватываемых электронными закладными устройствами. Но скрытые каналы утечки оказываются более сложным явлением. Защититься от перехвата импульсов, смодулированных информационным сигналом, сложно, так как передача происходит путем, не предусмотренным разработчиками средств защиты. Перечисление угроз этого класса можно найти в ГОСТе.
Основные положения, описывающие технические способы утечки и перехвата информации, следует искать в ГОСТ Р 53113.1-2008 «Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов». Стандарт введен в действие в конце октября 2010 года, для него определен неограниченный срок действия.
В его структуру входят классификация скрытых каналов утечки информации и методика их анализа с целью выявления вероятности утечки. Анализ необходим для решения двух задач:
Стандарт — необходимая инструкция для заказчиков и пользователей информационных систем и для разработчиков, позволяющая четко отразить требования информационной безопасности, которым должны соответствовать приобретаемое или проектируемое оборудование и архитектура создаваемых информационных систем. Также ГОСТ становится инструментом контроля при проведении сертификации техники и информационных систем и помощником для аналитиков и служб безопасности компаний для сопоставления угроз информационным активам с потенциальной возможностью причинения ущерба с использованием скрытых технических каналов.
Стандарт включает две части:
Положения документа основаны на ранее разработанных частных рекомендациях ФСТЭК, систематизированных ведомством и превращенных в полноценные государственные стандарты. Технически ГОСТ Р 53113.1-2008 разработан компанией «Криптоком», присутствующей на рынке разработки средств криптографической защиты. Следует учитывать, что стандарт дает рамочные параметры защиты, более конкретные разрабатываются для каждой архитектуры ИС отдельно.
Скрытые логические каналы обычно создаются на базе путей утечки, обусловленных техническими характеристиками оборудования обработки информации. Наиболее часто утечки информации по скрытым техническим каналам происходят из-за перехвата электромагнитных излучений и наводок. Комплекс мер борьбы с ними и требуемое специализированное оборудование, обеспечивающие защиту информационной системы, можно найти в ГОСТ Р 53112-2008 «Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок».
Система ГОСТов, посвященных безопасности информации, не ограничивается данными, которые могут быть перехвачены при обработке в ПЭВМ. Их утечка часто происходит по линиям городской телефонной связи, и для борьбы с ней необходимо ориентироваться на положения ГОСТ Р 53110-2008 «Система обеспечения информационной безопасности сети связи общего пользования».
ГОСТ в качестве основной причины необходимости регламентации борьбы с утечками по скрытым каналам называет тенденцию использования для построения информационных систем оборудования без конструкторской документации, что порождает возможность появления отдельного класса угроз, не выявляемых при помощи традиционных средств информационной безопасности. Стандарт указывает, что информационная безопасность основывается на доверии к элементам информационной системы, а его невозможно добиться, так как техника и программное обеспечение обычно поставляются без исходных кодов, конструкторской и тестовой документации. В результате создаются угрозы информационным ресурсам, которые могут быть реализованы с помощью неизвестных программно-аппаратных систем и через интерфейсы взаимодействующих программно-аппаратных продуктов.
Если предполагается обработка информации, содержащей государственную тайну, на оборудовании иностранного происхождения, обязательной станет его сертификация на наличие скрытых технических каналов утечки и возможности использования их злоумышленниками. При сертификации ФСТЭК ищет уязвимости трех типов:
Технический канал утечки информации состоит из трех элементов:
Для скрытого технического канала характерно манипулирование определенными параметрами оборудования и ПО — ресурсами памяти, описаниями файлов и документов, кодами, механизмами передачи команд — с использованием установленного на компьютер обычного или внедренного вредоносного программного обеспечения.
Помимо привычных акустических, электромагнитных и оптических каналов в качестве отдельной категории в ГОСТе называются скрытые логические каналы, которые обеспечивают утечку информации методами, обычно не используемыми и не предусмотренными внедренными стандартами защиты.
Стандарт называет следующие виды скрытых технических каналов утечки по основополагающим признакам:
Механизм использования каналов по памяти основан на том, что агент — человек или внедренная вредоносная программа — записывает заданные сведения в определенную ячейку памяти компьютера, а считывающий агент получает внесенную информацию. Выявить канал сложно, так как место в памяти, где зафиксированы данные, и способ их кодирования неизвестны.
СК по времени основаны на том, что передающий данные агент модулирует с помощью передаваемой информации некоторый изменяющийся во времени процесс, а агент на приеме в состоянии дешифровать передаваемый сигнал, наблюдая несущий информацию процесс во времени и вычленяя из временного потока предусмотренные кодом перерывы, паузы, опережения в выполнении команд и другие временные характеристики.
Скрытый статистический канал основан на том, что технические характеристики работы информационной системы могут меняться в зависимости от внешних или внутренних факторов. Те характеристики, которые обычно меняются по случайным параметрам, вредоносная программа может менять по заданному алгоритму, давая возможность агенту на приеме считывать информацию. Иногда таким образом направляются команды, указывающие, где и как можно перехватить данные, передаваемые по другим скрытым каналам.
Такие каналы делятся на:
Скрытые каналы, использующие структурированные данные, основаны на том, что ячейка памяти БД представляет собой информационный объект с собственной структурой, отдельные поля которой содержат информацию, описывающую объект. Эти поля не видны при редактировании БД пользователем или при открытии файла, доступ к ним имеет администратор базы данных. В них может быть записана информация, требующаяся злоумышленнику, но с учетом ограниченной емкости памяти каждого системного поля, обычно не превышающей 8 КБ.
Если информация записывается в объекты, не имеющие структуры, используются части документа, которые могут быть модифицированы незаметно для пользователя. Так, сведения можно внести в файл, тайно изменив имеющиеся в нем изображения дополнительными битами и байтами данных. Для такого изменения документа не требуется иметь права доступа администратора.
Термин описывает количество данных, которые могут быть переправлены по скрытому каналу за единицу времени. Этот тип каналов делится на две группы:
При выстраивании системы борьбы со скрытыми каналами в первую очередь корректировке подвергается пропускная способность. При ее снижении до допустимого уровня дополнительная блокировка, если она угрожает работоспособности системы, может не потребоваться.
При выстраивании сложных систем перехвата и передачи информации возможности нескольких каналов объединяются, комбинируются.
Использование методики ГОСТ для выявления технических каналов утечки информации поможет избежать большинства рисков. Но не стоит забывать, что технологии развиваются очень быстро и на рынок выходят новые типы закладных устройств, лишенные недочетов предыдущих поколений. Это порождает необходимость пересмотра и дополнения отдельных положений стандартов.
«СёрчИнформ КИБ» сертифицирована ФСТЭК России и включена в Единый реестр российских программ для электронных вычислительных машин и баз данных. Это 100% российская программа, которая соответствует всем требованиям отечественных регуляторов к средствам защиты информации.
Существенная часть рисков, названных в Модели угроз конкретной организации, может быть реализована при помощи скрытых каналов. К ним относятся:
Реализация угроз по отдельности или в комплексе приводит к:
Для канала с высокой пропускной способностью характерна реализация угроз всех названных типов, низкая дает возможность только внедрить вредоносную программу либо код или перехватить и передать внешнему агенту пароли и криптографические ключи. Перехват информации с равным успехом реализуется в рамках обоих типов каналов, но каналы с низкой пропускной способностью выявить и блокировать сложнее.
Наиболее подвержены риску использования скрытых логических каналов утечки данных информационные системы следующих типов:
Проектируя систему, необходимо учитывать перечисленные риски, создавая отдельные зоны для обработки информации высокой степени конфиденциальности. Эти зоны отделяются межсетевыми экранами от других элементов системы, и входящие в них рабочие машины не имеют подсоединения к общей сети Интернет. Но они могут быть включены в защищенную корпоративную сеть или иметь выход в секторы Рунета с повышенным уровнем безопасности, часто к защищенному государственному сегменту RSNet.
Стандарт предлагает алгоритм работы служб информационной безопасности организаций, позволяющий оптимизировать деятельность по выявлению скрытых технических каналов утечки информации:
В качестве первоочередного мероприятия по защите информационных активов ГОСТ предлагает провести их классификацию. По степени опасности проведения атаки при помощи скрытых технических каналов утечки информации он выделяет следующие группы:
Первый класс. Степень ценности активов определяет собственник информации — организация.
Второй класс. Активы содержат информацию ограниченного доступа или персональные данные и обрабатываются в ИС, подключенных к Интернету, или иных компьютерных системах общего доступа, а также в ИС, не предполагающих защиту от утечки по техническим каналам.
Третий класс. Информационные активы содержат государственную тайну.
Отдельно выделяются классы информационных активов, чья уязвимость к атакам по скрытым каналам утечки должна быть минимизирована из-за их высокой значимости:
После оценки информационных активов, относящихся к категориям максимального риска, проведения анализа разрабатывается план нейтрализации угроз, включающий:
При идентификации скрытого канала проводится работа по выявлению субъектов формирования канала – источника и получателя данных, между ними должна создаваться связь, не выявляемая стандартными средствами защиты информации. Далее проводится определение параметров, манипулирование которыми порождает возникновение скрытого технического канала утечки информации. Определяются логические условия, при реализации которых передача информации становится возможной.
Идентификация возможных каналов производится при проектировании информационной системы на базе имеющихся элементов оборудования и при ее эксплуатации в режиме реального времени. Во втором случае необходимо наблюдение за изменениями технических параметров работы системы. При оценке пропускной способности канала экспертами применяются формальные, технические методы или они пользуются методами моделирования.
Выбор защитных мер для нейтрализации выявленного канала может осложняться тем, что некоторые могут причинить вред информационным активам, поэтому резервное копирование является необходимым перед началом внедрения комплекса мероприятий.
Общая система противодействия, предложенная ГОСТ, строится на применении трех типов мероприятий:
Скрытые каналы становятся актуальными, когда используются, их выявление позволяет мгновенно заблокировать канал и прекратить утечку данных. Достаточно сложно выявить их силами информационного подразделения предприятия, не имея исходных кодов программного обеспечения, технической документации на оборудование и при информационной системе, созданной не по плану, а эволюционным путем. Требуется привлечение на аутсорсинге профессионалов, имеющих собственный опыт выявления скрытых каналов. Но до момента принятия решения о привлечении специалистов уровень риска можно снизить, проанализировав привилегии доступа администраторов, и удалить все избыточные привилегии, при возможности устранив их коллизии, назначив каждому активу одного собственника с полным объемом прав. Это повысит ответственность администраторов и снизит риск использования скрытых каналов агентами-инсайдерами.
На сегодняшний день риск использования скрытых каналов утечки информации в обычной модели угроз относится к категории мало реализуемых, так как хищение данных по обычным путям существенно проще, особенно в системах со слабой защиты. Но для ИС, содержащих ценную информацию и аттестуемых ФСТЭК, выявление скрытых технических каналов становится насущной необходимостью.
Угрозы безопасности информации становятся более значимыми с каждым годом. Классификация, предложенная ГОСТ, и типы действий агентов относятся к 2008 году. Необходимо проводить мониторинг появления новых рисков и учитывать требования защиты от них при проектировании информационных систем.
27.04.2021
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных