„Riscul” este un concept esențial în securitatea cibernetică. Unele persoane definesc riscul de securitate cibernetică drept A + A + V = risc. În ecuația de mai sus, primul A înseamnă „activ”, al doilea A înseamnă „amenințare”, iar V înseamnă „vulnerabilitate”.
Activ: Un activ este orice poate fi considerat drept date sensibile, sau poate oferi acces la astfel de date. Se poate referi la informațiile dumneavoastră private, un dispozitiv sau o componentă a unui sistem care este considerat drept valoroasă.
Amenințare: Amenințarea poate fi un hacker răuvoitor, un infractor sau o persoană din interior care fură informații, însă o amenințare poate fi, de asemenea, accidentală, precum o disfuncție tehnică sau o eroare a unui utilizator care poate cauza un risc pentru date (activ).
Vulnerabilitate: O vulnerabilitate este un defect care poate distruge, dăuna sau compromite activul. În cazul software-ului, o vulnerabilitate este, de obicei, un defect în codul programului (o eroare de programare) sau un defect în ceea ce privește modul în care programul dezvăluie sau permite accesul la date.
Familia de standarde ISO 27000 pentru securitatea informațiilor adaugă impact la definiție. Motivul pentru care se evaluează și impactul este pentru a se stabili ordinea prioritară a riscurilor. De exemplu, un risc cu o probabilitate ridicată, însă cu un impact cu adevărat scăzut ar putea fi figura mai jos în ordinea prioritară a riscurilor - în schimb, ar putea exista axarea pe un risc cu o probabilitate scăzută, dar cu un impact cu adevărat ridicat. Adăugarea impactului la definiție și rescrierea ecuației sub forma V x A x I = risc dă seama de natura multiplicativă a evaluării riscului.
Familia de standarde ISO 27000 reprezintă cele mai răspândite standarde utilizate de întreprinderi în Europa. Acestea sugerează cele mai bune practici pentru gestionarea securității informațiilor, de obicei în cadrul contextului unui sistem de gestionare a securității informațiilor (ISMS).
Seria ISO 9000 definește un set de standarde pentru asigurarea calității și gestionarea calității și oferă un cadru mai larg pe care multe întreprinderi se străduiesc să-l pună în aplicare.
Dacă ne gândim la paralele cu viața reală, activul este ceva de valoare din locuința dumneavoastră, precum un televizor nou, o vulnerabilitate este ca o ușă neîncuiată, iar o amenințare este un infractor care profită de vulnerabilitate, ceea ce conduce la furtul televizorului dumneavoastră, și anume impactul.
Un exemplu online ar fi utilizarea unei parole slabe (vulnerabilitatea) pentru a vă proteja contul dumneavoastră de Facebook (activul) de cineva care vrea să se înregistreze și să vă fure identitatea (amenințarea). Impactul în acest caz este pierderea contului dumneavoastră și a informațiilor pe care acesta le conține.
În ambele cazuri, avem un risc care există doar pentru că există un activ, o vulnerabilitate, o amenințare și un impact.
De asemenea, este bine să rețineți că o deficiență nu este în mod necesar o eroare fără intenție, precum o fereastră neblocată, însă poate fi o deficiență creată conștient care, în domeniul informaticii se denumește de obicei ușă secretă (backdoor).
Tipurile de deficiențe
Există mai multe tipuri diferite de deficiențe care acoperă o serie extinsă de ținte și de metode. De exemplu, o deficiență poate fi un control al accesului implementat necorespunzător, procesarea insuficientă a informațiilor sau exploatarea unei deficiențe cunoscute dintr-un chip de computer. Este greu de definit o clasificare generală pentru aceste tipuri de deficiențe. Se poate identifica o clasificare plecând de la standardul ISO 27005. Acesta clasifică deficiențele în funcție de activ.
Hardware (echipament informatic)
Susceptibilitatea față de umiditate sau praf
Susceptibilitatea față de stocarea neprotejată
Uzura ca rezultat al vârstei care duce la pană
Supraîncălzirea
Software (program informatic)
Testarea insuficientă
Codificarea nesigură
Lipsa unei piste de audit
Defect de proiectare
Rețeaua
Linii de comunicații neprotejate (lipsa criptografiei, criptografie eronată)
Arhitectura de rețea nesigură
Personalul
Proces de recrutare inadecvat
Conștientizarea securității la nivel inadecvat
Amenințarea persoanelor din interior
Locul fizic
Zonă expusă la dezastre naturale (precum inundațiile sau cutremurele)
Întreruperea sursei de alimentare
Nivelul organizațional
Lipsa auditurilor periodice
Lipsa planurilor de continuitate
Lipsa securității
Este important să înțelegem că oamenii sunt sursa unui număr surprinzător de mare de deficiențe. Metode precum ingineria socială (păcălirea unei persoane să divulge informații) sunt uneori cea mai ușoară modalitate de a obține acces la informații confidențiale sau secrete. Deficiențele din clasificare arată, de asemenea, că nu toate deficiențele sunt rezultatul exploatării acestora de către o persoană - unele sunt, de asemenea, firești. Cutremurele, inundațiile și alte dezastre naturale pot cauza pierderi de informații, care pot fi la fel de critice ca și furtul de informații confidențiale dacă nu sunt implementate și nu funcționează procedurile realizării de copii de rezervă.
Vom trece în revistă unele dintre tipurile de deficiențe în acest curs, însă, deoarece există atât de multe tipuri specifice, inevitabil le vom scăpa din vedere pe unele dintre acestea. Pentru a afla mai multe informații despre diferitele tipuri de deficiențe, consultați acest exemplu.
Backdoors (uși secrete)
Potrivit Microsoft, o ușă secretă este „o intrare ascunsă într-un sistem informatic care poate fi utilizată pentru ocolirea politicilor de securitate”.
Vă puteți gândi la ușă secretă ca o fereastră deschisă a unei clădiri altfel încuiate, sau o cheie de rezervă ascunsă într-un ghiveci cu flori. Vă permite să intrați ocolind celelalte mecanisme utilizate pentru securizarea țintei, adesea fără a lăsa nicio urmă a intrării prin efracție. O ușă secretă (backdoor) se bazează pe faptul că utilizatorii neautorizați nu o găsesc.
Unele sisteme și servicii sunt configurate cu utilizatori impliciți, cu parole cunoscute, iar acestea pot fi păstrate active din greșeală, ceea ce face ca sistemul să fie vulnerabil în fața atacatorilor. Acestea sunt diferite de un cont administrativ bine protejat, deoarece parola în această situație nu este cunoscută de toată lumea.
Uși secrete pentru hardware
Ușile secrete (backdoors) nu se aplică în mod necesar doar aplicațiilor. Acestea se pot instala pe hardware, precum placa de bază a computerului.
De asemenea, este posibil să se ocolească furnizorii de tehnologie, dacă nu este monitorizat suficient de bine întregul lanț de aprovizionare. În cazul în care întreprinderea nu controlează întregul lanț de aprovizionare, o entitate poate introduce o ușă secretă (backdoor) într-un punct vulnerabil de pe lanț, fără ca producătorul să-și dea măcar seama. Aceste tipuri de uși secrete (backdoors) se numesc uși secrete pe lanțul de aprovizionare. Aceasta nici nu mai este doar o problemă teoretică – în realitate, Agenția pentru securitate națională a SUA a instalat o ușă secretă deja în acest mod.
În „Microsoft Digital Defense Report (Raportul Microsoft privind apărarea digitală), din septembrie 2020”, cei de la Microsoft evaluează că 7 % din notificările lor privind securitatea se referă la atacuri pe lanțul de aprovizionare.
Atacurile pe lanțurile de aprovizionare nu au loc doar la nivel de hardware. O metodă cu potențial chiar și mai dăunător este să piratezi informatic serviciile întreprinderii și să modifici actualizările de software pe care această întreprindere le pune la dispoziția utilizatorilor săi. S-a făcut public un astfel de atac care a avut loc în cursul lunii decembrie 2020 când serviciile SolarWinds (o întreprindere care furnizează în special soluții de administrare a rețelei) au fost piratate informatic, iar software-ul pe care-l livrau a fost modificat pentru a include o ușă secretă care-i permitea atacatorului, sau oricui care știa unde să caute, să acceseze toate întreprinderile care instalaseră actualizarea. SolarWinds a recunoscut că actualizarea fusese instalată de „circa 18 000” de întreprinderi.
Cele mai cunoscute dintre aceste întreprinderi, și mulți suspectează că acestea erau țintele reale, erau în mare parte agenții guvernamentale ale SUA și rețelele acestora. De asemenea, și Departamentul de apărare a SUA s-a numărat printre victime. Se consideră că atacul a avut drept sursă un grup APT rusesc, denumit „Cozy Bear”, deși persistă incertitudinea cu privire la atribuirea acestuia.
Problema cu ușile secrete
Principala problemă cu o ușă secretă este că invocă faptul că existența sa este un secret. Acest fapt se numește securitate prin obscuritate. În cazul în care un atacator descoperă ușa secretă, o poate utiliza exact la fel ca un utilizator autorizat. În prezent, guvernele și agențiile de informații pun foarte multă presiune pe întreprinderile de tehnologie să instaleze uși secrete în tehnologiile lor pentru a le permite autorităților accesul în cursul anchetelor penale sau în scopul prevenirii atentatelor teroriste. Cu toate acestea, dacă ar fi instalate astfel de uși secrete, cel mai probabil ar fi descoperite și de persoane neautorizate și ar deveni un risc enorm la adresa confidențialității datelor.
Ce pot face în legătură cu ușile secrete?
Să vă apărați împotriva existenței unei uși secrete este cu adevărat dificil dacă nici măcar nu știți dacă există vreuna. Cu toate acestea, vă puteți asigura că schimbați datele de înregistrare implicite ale dispozitivelor precum routerele Wi-Fi. De asemenea, ar trebui să dezactivați conturile de vizitator a căror existență este permisă de către unele sisteme de operare.
Modelarea amenințării: gândiți-vă la propriul dumneavoastră risc
Profesioniștii în domeniul securității utilizează diferite metode de evaluare a riscului pentru a defini și evalua potențialul unui risc și pentru a vedea cât de mare este impactul dacă riscul devine realitate. În domeniul securității cibernetice, profesioniștii vorbesc adesea despre modelarea amenințării. Aceasta este practica de a identifica și de a ordona în funcție de prioritate amenințările potențiale și măsurile de atenuare pentru protejarea aspectelor de valoare – un activ precum date confidențiale sau proprietate intelectuală.
Un cadru de modelare a amenințărilor utilizat adesea este cel elaborat de Microsoft, STRIDE. STRIDE este un acronim mnemonic în limba engleză pentru următorii termeni:
Spoofing (S) – se ia locul altcuiva sau al altceva
Tampering (T) – se modifică datele sau codul
Repudiation (R) – se pretinde că nu s-a realizat o acțiune
Information disclosure (I) – se expun informații către o persoană care nu este autorizată să le vadă
Denial of service (D) – se blochează sau se deteriorează serviciul pentru utilizatori
Elevation of privilege (E) – se dobândesc capacități în absența autorizării adecvate
Toate acestea sunt amenințări posibile în model care sunt evaluate pentru vectorii posibili de atac. Vectorii de atac sunt diferitele aspecte identificate după cum urmează: procese, locuri de stocare a datelor, interfețe și limite de încredere ale sistemului. STRIDE face parte din modelarea amenințărilor denumită „Ciclul de viață a dezvoltării securizate” (Secure Development Lifecycle - SDL) de la Microsoft. Citiți mai multe despre STRIDE.
Sign up to solve exercises
După finalizarea capitolului 1, ar trebui să puteți:
să explicați elementele fundamentale ale securității cibernetice, inclusiv ce înseamnă și de ce este importantă
să explicați ce este un hacker
să înțelegeți ce înseamnă „risc” în termeni de securitate cibernetică
