ГОСТ Р ИСО/МЭК ТО 18044—2007
Одни технические инциденты ИБ «отказ в обслуживании» могут возникать случайно, например в ре
зультате ошибки в конфигурации, допущенной оператором, или из-за несовместимости прикладного про
граммного обеспечения, а другие — преднамеренными. Одни технические инциденты ИБ «отказ в
обслуживании» инициируются намеренно с целью разрушения системы, сервиса и снижения производи
тельности сети, тогда как другие — всего лишь побочными продуктами иной вредоносной деятельности.
Например, некоторые наиболее распространенные методы скрытого сканирования и идентификации мо гут
приводить к полному разрушению старых или ошибочно сконфигурированных систем или сервисов при
их сканировании. Следует заметить, чтомногие преднамеренныетехнические инциденты типа «отказ в
обслуживании» часто инициируются анонимно (тоесть источник атаки неизвестен), посколькузлоумыш
ленник обычно не получает информации об атакуемой сети или системе.
Инциденты ИБ «отказ в обслуживании», создаваемые нетехническими средствами и приводящие
к утрате информации, сервиса и (или) устройств обработки информации, могут вызываться, например,
следующими факторами:
- нарушениями систем физической защиты, приводящими к хищениям, преднамеренному нанесе
нию ущерба или разрушению оборудования;
- случайным нанесением ущерба аппаратуре и (или) ее местоположению от огня или воды/навод-
нения;
- экстремальными условиями окружающей среды, например высокой температурой (вследствие
выхода из строя системы кондиционирования воздуха);
- неправильным функционированием или перегрузкой системы;
- неконтролируемыми изменениями в системе;
- неправильным функционированием программного или аппаратного обеспечения.
6.2 Сбор информации
В общих чертах инциденты ИБ «сбор информации» подразумевают действия, связанные с опре
делением потенциальных целей атаки и получением представления о сервисах, работающих на иден
тифицированных целях атаки. Подобные инциденты ИБ предполагают проведение разведки с целью
определения:
- наличия цели, получения представления об окружающей ее сетевой топологии и о том. с кем
обычно эта цель связана обменом информации:
- потенциальных уязвимостей цели или непосредственно окружающей ее сетевой среды, которые
можно использовать для атаки.
Типичными примерами атак, направленных насбор информации техническими средствами, явля
ются:
- сбрасывание записей DNS (системы доменных имен) для целевогодомена Интернета (передача
зоны DNS);
- отправка тестовых запросов по случайным сетевым адресам с целью найти работающие систе
мы;
- зондирование системы с целью идентификации (например, по контрольной сумме файлов) опе
рационной системы хоста:
- сканированиедоступных сетевых портов на протокол передачи файлов системе с целью иденти
фикации соответствующих сервисов (например электронная почта, протокол FTP. сеть и т. д.) и версий
программного обеспечения этих сервисов;
- сканирование одного или нескольких сервисов с известными уязвимостями по диапазону сете
вых адресов (горизонтальное сканирование).
В некоторых случаях технический сбор информации расширяется и переходит в несанкциониро
ванный доступ, если, например, злоумышленник при поиске уязвимости пытается получить несанкцио
нированный доступ. Обычно это осуществляется автоматизированными средствами взлома, которые
нетолько производятпоискуязвимости, нои автоматически пытаются использовать уязвимые системы,
сервисы и (или) сети.
Инциденты, направленные на сбор информации, создаваемые нетехническими средствами, при
водят к:
- прямому или косвенному раскрытию или модификации информации;
- хищению интеллектуальной собственности, хранимой в электронной форме:
- нарушению учетности. например, при регистрации учетных записей;
и