|
Tahlil qilinadigan tahdidlarning turlari
|
bet | 40/77 | Sana | 18.12.2023 | Hajmi | 18,03 Mb. | | #122434 |
Bog'liq Muallif famililiya ism sharif taxdid razvedkasi texnologiyalari8.3 Tahlil qilinadigan tahdidlarning turlari.
Axborot tuzilmasining zaif tomonlarini sifatli tahlil qilish uchun ma’lum bir tashkilot tizimida paydo bo‘lishi mumkin bo‘lgan tahdid turlarini farqlash kerak. Bunday tahdidlar alohida sinflarga bo‘linadi.
1 SINF.
Potentsial tahdid manbai bo‘lishi mumkin: to‘g‘ridan-to‘g‘ri axborot tizimida (AT)AT ko‘rinishida (masalan, ruxsatsiz ovoz yozish uchun qurilmalar)
2 SINF.
AT ga ta'siri quyidagilar bo‘lishi mumkin: faol tahdid (troyan, virus)passiv tahdid (tajovuzkor tomonidan maxfiy ma’lumotlarni nusxalash)
3 SINF.
Amalga oshirish mumkin bo‘lgan kirish usuli:to‘g‘ridan-to‘g‘ri (parollarni o‘g‘irlash) nostandart aloqa kanallari orqali (masalan, operatsion tizim zaifliklari).
Kompaniyaning IT infratuzilmasiga hujumning asosiy maqsadlari:
qimmatli resurslar va ma’lumotlar ustidan nazoratni qo‘lga kiritish
korporativ tarmoqqa ruxsatsiz kirishni tashkil etish
korxona faoliyatini muayyan hududda cheklash
Ikkinchi usul ko‘pincha vijdonsiz raqobatchilar yoki siyosatchilarning iltimosiga binoan amalga oshiriladi.
Har qanday korxonaning axborot xavfsizligiga quyidagilar tahdid solishi mumkin:
zararli dastur
firibgar xakerlar
g‘arazli niyat yoki beparvolik bilan harakat qilayotgan insayderlar
tabiiy hodisalar
Tahdidni amalga oshirishning bir necha yo‘li mavjud. Masalan, ma’lumotlarni ushlashni tashkil qilish, dasturiy yoki apparat “xatcho‘p” qoldirish yoki mahalliy simsiz korporativ tarmoqlarning ishlashini buzish, kompaniya infratuzilmasiga insayderlarning kirishini tashkil qilish.
8.4 Tahdidlar ehtimolini baholash.
Tahdid ehtimolini baholash uchun mutaxassislar uchta darajadan iborat sifatli o‘lchovdan foydalanadilar.
1-daraja – H ("Kam ehtimollik")
Minimal yuzaga kelish ehtimoli bilan farqlanadi. Bunday tahdidni amalga oshirish uchun hech qanday shart (o‘tmishdagi voqealar, motivlar) yo‘q. H darajasidagi tahdidlar, qoida tariqasida, har 5-10 yilda bir martadan ko‘p bo‘lmagan holda paydo bo‘ladi.
2-daraja – C ("O‘rtacha ehtimollik")
Bunday tahdid avvalgisiga qaraganda bir oz ko‘proq sodir bo‘ladi, chunki, masalan, o‘tmishda ham shunga o‘xshash hodisalar bo‘lgan yoki hujumchining bunday tahdidni amalga oshirish rejasi borligi ma'lum. C darajasidagi tahdidlar yiliga bir marta haqiqiy hodisalarga olib keladi.
3-daraja – B ("yuqori ehtimollik")
Tahdidning amalga oshishi ehtimoli yuqori. Buni statistik ma’lumotlar, o‘tmishda shunga o‘xshash hodisalarning mavjudligi va hujumchilar tomonidan jiddiy motivatsiya tasdiqlaydi. B darajasidagi tahdidlarning ehtimoliy chastotasi haftada bir marta yoki undan ko‘p.
Zaiflikni tahlil qilish texnikasi
Tizim zaifliklarini tahlil qilishning bir necha yo‘li mavjud. Ulardan biri ehtimollik usuliga asoslangan va uni qo‘llashda siz quyidagi omillarga tayanish lozim:
tajovuzkor salohiyati (ekspert baholashlari orqali aniqlanadi)
tahdid manbai (hujum mumkin bo‘lgan joyda - ko‘rinadigan joyda yoki undan tashqarida)
ta'sir qilish usuli (tarmoq, apparat yoki ijtimoiy)
tahdid ob'ekti (korporativ ma’lumotlar, shifrlash, uzatish vositalari, ular bilan ishlash yoki kompaniya xodimlari)
Axborot tizimidagi zaifliklarni tahlil qilish jarayonida mumkin bo‘lgan joylarni hisobga olish juda muhimdir. Buni amalga oshirish uchun siz operatsion tizim va dasturiy ta'minotdagi xatolarni tezda aniqlashingiz va tuzatishingiz kerak, keyin esa ishlab chiquvchilardan barcha xavfsizlik yamoqlarini tizimli ravishda o‘rnatishingiz kerak.
Himoya choralarining noto‘g‘ri konfiguratsiyasi bilan bog‘liq zaifliklarni tahlil qilish muntazam ravishda amalga oshirilishi kerak.
Ideal yechim zaifliklar uchun ATning doimiy monitoringini o‘rnatishdir. Yuqoridagi tahlildan tashqari, kompaniyaning ishchi xodimlari bilan muayyan tadbirlarni amalga oshirish zarur: ma’lumotlar va resurslarga kirish huquqi, ixtisoslashtirilgan dasturiy ta'minotni o‘rnatish huquqlari, shuningdek, ma’lumotlarni nusxalash va tashqi ma’lumotlar tashuvchilardan foydalanish huquqlari.
|
| |