|
1. Axborot xavfsizligi va uni ta’minlash usullari 5
|
bet | 4/10 | Sana | 10.07.2024 | Hajmi | 0,83 Mb. | | #267285 |
Bog'liq BMI JumayevdwTahdidlarni toifalashning boshqa mezonlari:
Nisbatan nazorat qilinuvchi soha holatiga ko‘ra: tashqi va ichki tahdidlar. Tashqi tahdidlarga misol sifatida tizimda uzatiluvchi yoki yon-dosh elektromagnit nurlanishlar va navodkalar orqali ma’lumotlarni tutib olishni keltirish mumkin. Ichki tahdidlarga konfidensial axborotga ega bo‘lgan axborot tashuvchini, qurilma qismini o‘g‘rilash kabilar kiradi.
Avtomatlashtirilgan tizimga ta’sir ko‘rsatish darajasiga ko‘ra: passiv va faol tahdidlar. Passiv tahdidlar – avtomatlashtirilgan tizim tarkibi va faoliyatini buzmaydigan tahdidlardir. Ularga misol sifatida konfidensial axborotdan nusxa ko‘chirish, axborotni chiqib ketish texnik kanali orqali chiqarib yuborish, eshitish va shu kabilarni keltirish mumkin. Faol tahdid esa mos ravishda avtomatlashtirilgan tizim faoliyatini, uning tuzilishi va tarkibini buzilishiga olib keladi.
Axborotning buziluvchi xususiyati turiga ko‘ra: konfidensial-likka, ruxsat etilganlikka va butunlikka tahdidlar. Ruxsat etilganlikka tahdidlarga misol tariqasida sun’iy tahdidlar bilan bir qatorda tabiiy tahdidlar, ya’ni chaqmoq yoki qisqa tutashuv oqibatida qurilmalarning buzilishini keltirish mumkin. Hozirgi vaqtda axborotning ruxsat etilganli-giga tahdid sifatida tarmoq hujumlari – DDoS (Distributed Denial of Service – xizmat ko‘rsatishda taqsimlangan rad etish) – hujumlar keng qo‘llanilmoqda [3].
Tahdid yo‘naltirilgan tizimning turiga ko‘ra: avtonom ish joyi asosidagi tizimlar va umumiy foydalanish tarmog‘iga ulangan tizimlar.
Amalga oshirish usuliga ko‘ra: himoyalanuvchi axborotga noqo-nuniy ruxsat (shu jumladan tasodifiy), axborotga maqsadli ta’sir ko‘rsatish, axborotni chiqib ketish texnik kanallari orqali chiqarib yuborish.
Axborot xavfsizligidagi zaiflikning to‘rtta asosiy turi quyida keltirilgan:
Tarmoq zaifliklari - bu kiberhujumchilarga kirish va zarar etkazish imkonini beruvchi tashkilotning apparat yoki dasturiy infratuzilmasidagi zaifliklar. Ushbu ta’sir qilish joylari yomon himoyalangan simsiz ulanishdan tortib to tarmoqni umuman himoya qilmaydigan noto‘g‘ri sozlangan xavfsizlik devorlarigacha bo‘lishi mumkin.
Operatsion tizim (OT) zaifliklari kiberhujumchilarga OT o‘rnatilgan har qanday qurilmaga zarar yetkazish imkonini beruvchi OT ichidagi taʼsirlardir. Operatsion tizim zaifliklaridan foydalanadigan hujumga misol qilib, xizmat ko‘rsatishni rad etish (DoS) hujumini keltirish mumkin, bunda takroriy soxta so‘rovlar tizimni to‘sib qo‘yadi, shuning uchun u haddan tashqari yuklanadi. Yashirilmagan va eskirgan dasturiy ta’minot ham OS zaifliklarini yaratadi, chunki dasturni ishlatadigan tizim ochiq bo‘lib, ba’zan butun tarmoqqa xavf tug‘diradi.
Jarayonning zaif tomonlari xavfsizlik choralari sifatida harakat qilishi kerak bo‘lgan protseduralar etarli bo‘lmaganda yuzaga keladi. Jarayonning eng keng tarqalgan zaifliklaridan biri autentifikatsiyaning zaifligi bo‘lib, bu erda foydalanuvchilar va hatto IT ma’murlari zaif parollardan foydalanadilar.
Inson zaifliklari tarmoq, apparat va maxfiy ma’lumotlarni zararli aktyorlarga ta’sir qilishi mumkin bo‘lgan foydalanuvchi xatolari tufayli yaratiladi. Ular, ayniqsa, masofaviy va mobil ishchilar sonining ko‘payishi tufayli eng katta xavf tug‘dirishi mumkin. Xavfsizlik sohasidagi inson zaifligiga misollar zararli dasturlar bilan zararlangan elektron pochta ilovasini ochish yoki mobil qurilmalarda dasturiy ta’minot yangilanishlarini o‘rnatmaslikdir.
1.1-jadval
Axborot xavfsizligi tizimlarida mavjud keng tarqalgan taxdidlar taxlil
Taxdidlar
|
Tasvirlash
|
DoS hujum
|
Tarmoqga olib keluvchilarning taqdim etilgan so‘rovlar yuzasidan tarmoq xizmatlariga xalok etiladi va tarmoq ishlamay qoladi.
|
Malware o‘rnatilishi
|
Malware tizimlariga nufuz etish va faollashtirish orqali axborot xavfsizligi tizimlarida xatoliklarni yaratadi.
|
Brute force hujumi
|
Parolni aniqlash uchun ko‘plab sinovlar o‘tkazish.
|
XSS hujumi
|
Ko‘plab dasturlar o‘z ichiga xabar yoki skript joylashtirish uchun ma’lumotlarga etkazib berish uchun.
|
SQL injection hujumi
|
Ma’lumotlar bazasiga kirish uchun ko‘plab qaytadan ishlovlar orqali so‘rovlar jo‘natish.
|
Man-in-the-middle hujumi
|
Bitta xabar yuboruvchi va qabul qiluvchi o‘rtasida joylashgan ma’lumotlar yuzasidan hujumlar.
|
Ransomware hujumi
|
Foydalanuvchining faqatgina parol yoki ma’lumotlarini qaytarish sharti bilan faollashtirilgan malware.
|
|
| |