Что может пойти не так? Виды уязвимостей информационных систем
Модель STRIDE была разработана специалистами по безопасности Майкрософт и используется, чтобы помочь
определить потенциальные уязвимости в продукте во время анализа безопасности. Она описывает шесть категорий
уязвимостей, которыми обладают ИТ-продукты.
Отказ в обслуживании, Denial-of-Service (DoS) attack
Отказ в обслуживании, Denial-of-Service (DoS) attack
Атаки типа «отказ в обслуживании» (DoS) блокируют обслуживание пользователей путем временной недоступности
веб-сервера.
Утечка данных
Утечка данных
Несанкционированный доступ к данным и нарушение их приватности, последующее использование в интересах третьей
стороны.
Отрицание
Отрицание
Этот тип уязвимости связан с пользователями, которые отрицают выполнение действия, при этом другие стороны не
имеют возможности доказать обратное. Например, пользователь выполняет незаконную операцию в системе, которая не
имеет возможности отслеживать запрещенные операции. «Неотрицание» означает способность системы противостоять
угрозам отрицания. Например, пользователю, который покупает товар, может потребоваться расписаться за товар при
получении. Затем поставщик может использовать подписанную квитанцию в качестве доказательства того, что
пользователь действительно получил посылку.
Повышение привилегий
Повышение привилегий
При этом типе угрозы непривилегированный пользователь получает привилегированный доступ и, таким образом,
приобретает возможность для компрометации или уничтожения всей системы. Угрозы повышения привилегий включают в
себя те ситуации, в которых злоумышленник эффективно преодолел все средства защиты системы и стал частью самой
доверенной системы, что является действительно опасной ситуацией.
Подмена
Подмена
Спуфинг (англ. spoofing — подмена) — ситуация, в которой один человек или программа успешно маскируется под
другую путём фальсификации данных и позволяет получить незаконные преимущества. Примером подмены личности
является незаконный доступ, а затем использование информации для аутентификации другого пользователя, такой как
имя пользователя и пароль.
Фальсификация данных
Фальсификация данных
Фальсификация данных означает злонамеренное изменение данных. Примеры включают несанкционированные изменения,
внесенные в постоянные данные, например, хранящиеся в базе данных, и изменение данных при их передаче между
двумя компьютерами по открытой сети.
Как устранение уязвимостей систем защищает бизнес
Защита работы ключевых сервисов
- DoS-атака может привести к временному прекращению функционирования или простою службы в ключевые для бизнеса моменты с целью лишения прибыли или перехода клиентов к конкуренту.
- Промышленный шпионаж, кража коммерческой информации с целью использования конкурентом или экономической выгоды.
- Недоброжелатель может оказывать экономическое давление путем накрутки облагаемых комиссиями операций с помощью нелегитимных запросов от ботов.
Качество пользовательского опыта
- Несанкционированный доступ к личному кабинету и персональным данным может привести к краже данных с целью перепродажи или недобросовестного использования.
- Доступ к бонусным счетам клиентов может быть использован в целях получения товаров и сервисов в рамках программы лояльности.
- Потеря конкурентных преимуществ (например, скорость обслуживания или доступность системы) ввиду технических проблем, вызванных систематическими атаками.
Соответствие системы международным сертификатам безопасности
Разработанные нами системы проходили тестирование на соответствие стандартам системы здравоохранения в США (HIPAA), сертификацию Level-1 PCI DSS 2.0 платежных шлюзов.
Распространенные заблуждения о защите систем
Блокировки по IP будет достаточно
Блокировки по IP будет достаточно
Ограничение на количество запросов с одного IP-адреса не работает, если злоумышленник применяет распределенную атаку (DDoS), которая проводится одновременно с большого числа IP-адресов.
Боты работают по простому алгоритму
Боты работают по простому алгоритму
Действительно, большинство дешевых и распространенных ботов работает достаточно примитивно и легко поддается обнаружению. Ситуация меняется, когда у кого-либо появляется мотивация написать продуманный бот, хорошо замаскированный под реального пользователя. В итоге идет соревнование, сравнимое с шахматной игрой между высокопрофессиональными программистами на стороне атакующего и защищающегося, где каждый пытается перехитрить другого как в краткосрочной, так и долгосрочной перспективе.
Сервисы с AI гарантируют поведенческую защиту
Сервисы с AI гарантируют поведенческую защиту
Сервисы, использующие машинное обучение, опираются на накопленную базу знаний о поведенческих паттернах атакующих на широком спектре разнообразных систем. Проблема в том, что у каждой системы есть уникальные пользовательские сценарии под которые может подстроиться бот, чтобы обойти такую защиту. Хотя такие сервисы и выявляют атаки, их компетенции по своей природе ограничены уникальностью систем и атакующих.
Предусмотрительность и осторожность одинаково важны: предусмотрительность
— чтобы вовремя заметить трудности, а осторожность — чтобы самым тщательным образом подготовиться к их встрече.
— чтобы вовремя заметить трудности, а осторожность — чтобы самым тщательным образом подготовиться к их встрече.
Руаль Амундсен
Три ступени защиты систем
I
Планирование
на этапе разработки
на этапе разработки
Моделирование атак
Моделирование проводится с целью идентифицировать потенциальные угрозы и спланировать защиту
от них до этапа разработки, когда внесение изменений стоит значительно меньше, чем на готовом
продукте. Это позволяет разработчикам подходить к анализу требований и разработке архитектуры
в том числе с точки зрения безопасности и приватности данных.
Индивидуальные приоритеты
Анализ наиболее критичных уязвимостей для вашего бизнеса, создание комплексной защиты путем интеграции
оптимальных готовых компонентов и баз знаний и разработки собственных уникальных
инструментов.
II
Выявление атаки
Поведенческий анализ
Интеллектуальные атаки — это симуляция реального пользователя, легитимная с точки зрения
системы. Для сложных систем разрабатываются уникальные сценарии взаимодействия, которые позволяют
выявить микро-отличия между ботом и пользователем и заблокировать недобросовестные действия.
Анализ паттернов
На основе статистического анализа технических параметров и изменений трафика мы можем создать алгоритм
выявления аномалий, характерных для ботов, и блокировать атаки.
Гонка вооружений
Адресные атаки часто ведутся с помощью команды профессиональных разработчиков, подстраивающих
«атакующий» бот-продукт после каждого нововведения по усилению безопасности. Чтобы отразить новую
попытку, требуются соответствующие компетенции и умение снизить экономическую рентабельность атаки.
III
Ответная реакция
Классификация пользователя
В зависимости от результатов анализа, пользователь может быть признан реальным или подозрительным,
в случае чего система перенаправляет его согласно установленному протоколу.
Контратака
При выявлении злоумышленника существуют методы информационного противодействия, затрудняющие работу
бота, выявление недостатков и доработку атакующего продукта.
Аналитика и отчетность
Автоматическое уведомление об инцидентах и использование новых данных для увеличения эффективности
работы алгоритмов обнаружения.
2003
2024
Программные технологии /
отзывчивый
За время партнерства специалисты «Программные технологии» показали себя
компетентными, отзывчивыми и мобильными, а также реализовали интересные и полезные
проекты для наших пассажиров. Мы рады сотрудничать на долгосрочной основе, а также
надеемся, что дальнейшая работа принесет нам взаимовыгодную пользу!
Мягкова Ирина, руководитель службы управления проектами
Программные технологии /
максимально
Мы обратились в компанию «Программные технологии» с задачей разработать сложную
информационно-аналитическую систему для сбора и анализа лесоустроительной информации. Компания
«Программные технологии» предоставила нам выделенную команду разработчиков, которые смогли максимально быстро
погрузиться в новую для них предметную область и предложили эффективные решения для наших
комплексных задач. Сейчас разработанная система успешно проходит опытную эксплуатацию сразу в нескольких
филиалах ФГУП «Рослесинфорг».
С. В. Шимов, первый заместитель директора филиала
Программные технологии /
оперативный
Наш опыт показал, что разработчики компании «Программные технологии» оперативно реагируют на запросы
и обеспечивают полную прозрачность процесса разработки. Мы с радостью доверим наши будущие
проекты этой опытной команде, которая стала надёжным и компетентным партнёром нашего Банка.
Евгений Дачкин, начальник управления ИТ
Программные технологии /
партнёр
Мы долго искали партнёра по разработке бизнес-приложений и очень довольны, что выбрали
компанию «Программные технологии». Не часто встретишь столь профессиональное отношение к делу и умение
выстроить эффективные коммуникации со всеми участниками проекта, где бы они ни находились.
Вместе с нашими партнёрами мы однозначно планируем дальнейшее сотрудничество с компанией
«Программные технологии».
Олег Могильницкий, совладелец Servicing Australia Pty Ltd
70% клиентов возвращаются к нам с новыми проектами
21 год
на рынке разработки программного обеспечения на заказ
120+
разработчиков с многолетним опытом и отраслевыми
специализациями
460+
успешно завершенных проектов для клиентов по всему миру
Мы найдем лучшее решение вашей задачи