По мере того, как все больше компаний отрасли расширяют свое присутствие в Интернете, переходят на электронные платежные системы, используют IoT, облачные вычисления и технологии, основанные на использовании большого массива данных, угрозы киберинцидентов только возрастают.
Важно понимать, что любое устройство, которое подключается к Интернету, может быть взломано. Все, что нужно для того, чтобы поставить под угрозу целую систему или получить доступ к POS-технологии — это доступ к одному устройству.
Последствия киберинцидентов могут быть катастрофическими, особенно в розничной торговле, где репутация и лояльность клиентов являются ключом к успеху.
Основные угрозы информационной безопасности для предприятий розничной торговли
• DDoS-атаки;
• Вирусы-шифровальщики;
• Фишинг;
• Вредоносное ПО для POS-устройств;
• Инсайдеры;
• Атаки на веб-приложения.
Возможные последствия киберинцидентов в ритейле
• Утечка конфиденциальной информации;
• Прямой финансовый ущерб;
• Нарушение непрерывности бизнес-процессов;
• Потеря репутации и конкурентоспособености;
• Штрафы со стороны регулирующих органов.
Задачи информационной безопасности в ритейле
• Обеспечение безопасности корпоративных ресурсов (информационная инфраструктура, веб-ресурсы);
• Защита конечных устройств;
• Защита чувствительной информации и персональных данных;
• Соответствие требованиям регуляторов;
• Предотвращение утечек информации;
• Выявление внутренних злоупотреблений и нелояльных сотрудников.
Повышение уровня информационной безопасности в ритейле позволит
Растущий рынок e-commerce сталкивается с серьезными киберугрозами, направленными на кражу личных данных покупателей и финансовое мошенничество.
Предприятия электронной коммерции — работают с большим массивом данных клиентов и онлайн транзакций. Поэтому безопасность предприятий отрасли e-commerce – это в первую очередь безопасность персональных данных и платежей клиентов онлайн магазина.
Если хакеры получат доступ к конфиденциальным данным, включая личные данные клиентов или информацию о кредитных картах это может привести к многочисленным негативным последствиям.
Мотивы атак на предприятия e-commerce: вымогательство, недобросовестная конкуренция, личные мотивы. Основные причины — кража базы пользователей, нарушение работоспособности магазина, получение доступа к отдельным учетным записям, шантаж и мошенничество с целью получения товаров.
Типы и методы кибератак на предприятия e-commerce
• Финансовые махинации
• Спам. • Фишинг
• Боты
• DDoS-атаки
• Брутфорс
• SQL-инъекции
• XSS
• Вредоносные программы
Безопасность электронной коммерции
Широкое внедрение Интернета не могло не отразиться на развитии электронного
бизнеса.
Одним из видов электронного бизнеса считается электронная коммерция. В соответствии с документами ООН, бизнес признается электронным, если хотя бы
две его составляющие из четырех (производство товара или услуги, маркетинг,
доставка и расчеты) осуществляются с помощью Интернета. Поэтому в такой
интерпретации обычно полагают, что покупка относится к электронной коммерции,
если, как минимум, маркетинг (организация спроса) и расчеты производятся
средствами Интернета. Более узкая трактовка понятия «электронная коммерция»
характеризует системы безналичных расчетов на основе пластиковых карт.
Ключевым вопросом для внедрения электронной коммерции является безопасность.
Высокий уровень мошенничества в Интернете является сдерживающим фактором
развития электронной коммерции. Покупатели, торговля и банки боятся пользоваться
этой технологией из-за опасности понести финансовые потери. Люди главным образом используют Интернет в качестве информационного канала для
получения интересующей их информации. Лишь немногим более 2% всех поисков по
каталогам и БД в Интернете заканчиваются покупками.
Приведем классификацию возможных типов мошенничества в электронной коммерции:
- транзакции (операции безналичных расчетов), выполненные мошенниками с
использованием правильных реквизитов карточки (номер карточки, срок ее действия
и т.п.); - получение данных о клиенте через взлом БД торговых предприятий или путем
перехвата сообщений покупателя, содержащих его персональные данные; - магазины-бабочки, возникающие, как правило, на непродолжительное время,
для того, чтобы исчезнуть после получения от покупателей средств за
несуществующие услуги или товары; - увеличение стоимости товара по отношению к предлагавшейся покупателю цене
или повтор списаний со счета клиента; - магазины или торговые агенты, презназначенные для сбора информации о
реквизитах карт и других персональных данных покупателя.
Протокол SSL
Протокол SSL предназначен для решения традиционных задач
обеспечения защиты информационного взаимодействия:
- пользователь и сервер должны быть взаимно уверены, что они
обмениваются информацией не с подставными абонентами, а именно с теми,
которые нужны, не ограничиваясь паролевой защитой; - после установления соединения между сервером и клиентом весь
информационный поток между ними должен быть защищен от
несанкционированного доступа; - и наконец, при обмене информацией стороны должны быть уверены в
отсутствии случайных или умышленных искажений при ее передаче.
Протокол SSL позволяет серверу и клиенту перед началом
информационного взаимодействия аутентифицировать друг друга, согласовать
алгоритм шифрования и сформировать общие криптографические ключи. С этой
целью в протоколе используются двухключевые (ассиметричные) криптосистемы,
в частности, RSA.
Конфиденциальность информации, передаваемой по
установленному защищенному соединению, обеспечивается путем шифрования
потока данных на сформированном общем ключе с использованием симметричных
криптографических алгоритмов (например, RC4_128, RC4_40, RC2_128, RC2_40,
DES40 и др. Контроль целостности передаваемых блоков данных производится
за счет использования так называемых кодов аутентификации сообщений
(Message Autentification Code, или MAC), вычисляемых с помощью хэш-функций
(например MD5).
Протокол SSL включает два этапа взаимодействия сторон
защищаемого соединения:
- установление SSL-сессии;
- защита потока данных.
На этапе установления SSL-сессии осуществляется
аутентификация сервера и (опционально) клиента, стороны договариваются об
используемых криптографических алгоритмах и формируют общий «секрет», на
основе которого создаются общие сеансовые ключи для последующей защиты
соединения. Этот этап называют также «процедурой рукопожатия».
На втором этапе (защита потока данных) информационные
сообщения прикладного уровня нарезаются на блоки, для каждого блока
вычисляется код аутентификации сообщений, затем данные шифруются и
отправляются приемной стороне. Приемная сторона производит обратные
действия: расшифрование, проверку кода аутентификации сообщения, сборку
сообщений, передачу на прикладной уровень.
Наиболее
распространенным пакетом программ для поддержки SSL является SSLeay. Он
содержит исходный код на C, который может быть встроен в такие приложения,
как Telnet и FTP.
В SSL используется криптография с
открытым (публичным) ключом, также известная как асимметричная
криптография. Она использует два ключа: один — для шифрования, другой —
для расшифровывания сообщения. Два ключа математически связаны таким
образом, что данные, зашифрованные с использованием одного ключа, могут
быть расшифрованы только с использованием другого, парного первому. Каждый
пользователь имеет два ключа — открытый и секретный (приватный). Пользователь делает доступным открытый ключ любому корреспонденту сети. Пользователь и любой корреспондент, имеющий открытый ключ, могут быть
уверены, что данные, зашифрованные с помощью открытого ключа, могут быть
расшифрованы только с использованием секретного ключа.
Если два пользователя хотят быть уверенными, что информацию,
которой они обмениваются, не получит третий, то каждый из них, должен
передать одну компоненту ключевой пары (а именно открытый ключ), другому и
хранит другую компоненту (секретный ключ). Сообщения шифруются с помощью
открытого, расшифровываются только с использованием секретного ключа. Именно так сообщения могут быть переданы по открытой сети без опасения,
что кто-либо сможет прочитать их.
Целостность и аутентификация сообщения обеспечиваются
использованием электронной цифровой подписи.
Теперь встает вопрос о том, каким образом распространять
свои публичные ключи. Для этого (и не только) была придумана специальная
форма — сертификат. Сертификат состоит из следующих частей:
- имя человека/организации, выпускающей сертификат;
- субъект сертификата (для кого был выпущен данный сертификат);
- публичный ключ субъекта;
- некоторые временные параметры (срок действия сертификата и т.п.).
Сертификат «подписывается» приватным ключом человека (или
организации), который выпускает сертификаты. Организации, которые
производят подобные операции называются Certificate authority (CA). Если в
стандартном Web-браузере, который поддерживает SSL, зайти в
раздел security, то там можно увидеть список известных организаций,
которые «подписывают» сертификаты. Технически создать свою собственную CA
достаточно просто, но также необходимо уладить юридическую сторону дела, и
с этим могут возникнуть серьезные проблемы.
SSL на сегодня является наиболее распространенным протоколом, используемым
при построении систем электронной коммерции. С его помощью осуществляется 99%
всех транзакций. Широкое распространение SSL объясняется в первую очередь тем,
что он является составной частью всех браузеров и Web-серверов. Другое
достоинство SSL — простота протокола и высокая скорость реализации транзакции.
В то же время, SSL обладает рядом существенных недостатков:
- покупатель не аутентифицируется;
- продавец аутентифицируется только по URL;
- цифровая подпись используется только при аутентификации в начале
установления SSL-сессии.
Для доказательства проведения транзакции при возникновении конфликтных ситуаций
требуется либо хранить весь диалог покупателя и продавца, что дорого с точки
зрения ресурсов памяти и на практике не используется, либо хранить бумажные
копии, подтверждающие получение товара покупателем; - не обеспечивается конфиденциальность данных о реквизитах карты для
продавца.
Протокол SET
Протокол выполнения защищенных транзакций SET является
стандартом, разработанным компаниями MasterCard и VISA при значительном
участии IBM, GlobeSet и других партнеров. Он позволяет покупателям
приобретать товары через Интернет, используя самый защищенный на настоящее
время механизм выполнения платежей. SET является открытым стандартным
многосторонним протоколом для проведения безопасных платежей с
использованием пластиковых карточек в Интернет. SET обеспечивает
кросс-аутентификацию счета держателя карточки, продавца и банка продавца
для проверки готовности оплаты товара, целостность и секретность
сообщения, шифрование ценных и уязвимых данных. Поэтому SET можно назвать
стандартной технологией или системой протоколов выполнения безопасных
платежей с использованием пластиковых карточек через Интернет.
SET позволяет потребителям и продавцам подтвердить
подлинность всех участников сделки, происходящей в Интернет, с помощью
криптографии, применяя, в том числе, и цифровые сертификаты.
Объем потенциальных продаж в области электронной коммерции
ограничивается достижением необходимого уровня безопасности информации,
который обеспечивают вместе покупатели, продавцы и финансовые институты,
обеспокоенные вопросами обеспечения безопасности платежей через Интернет. Как упоминалось ранее, базовыми задачами защиты информации являются
обеспечение ее доступности, конфиденциальности, целостности и юридической
значимости. SET, в отличии от других протоколов, позволяет решать
указанные задачи защиты информации.
В результате того, что многие компании занимаются
разработкой собственного программного обеспечения для электронной
коммерции, возникает еще одна проблема. В случае использования этого ПО
все участники операции должны иметь одни и те же приложения, что
практически неосуществимо. Следовательно, необходим способ обеспечения
механизма взаимодействия между приложениями различных разработчиков.
В связи с перечисленными выше проблемами компании VISA и
MasterCard вместе с другими компаниями, занимающимися техническими
вопросами (например IBM, которая является ключевым разработчиком в
развитии протокола SET), определили спецификацию и набор протоколов
стандарта SET. Эта открытая спецификация очень быстро стала де-факто
стандартом для электронной коммерции. В этой спецификации шифрование
информации обеспечивает ее конфиденциальность. Цифровая подпись и
сертификаты обеспечивают идентификацию и аутентификацию (проверку
подлинности) участников транзакций. Цифровая подпись также используется
для обеспечения целостности данных. Открытый набор протоколов используется
для обеспечения взаимодействия между реализациями разных
производителей.
SET обеспечивает следующие специальные требования защиты
операций электронной коммерции:
- секретность данных оплаты и конфиденциальность информации заказа,
переданной вместе с данными об оплате; - сохранение целостности данных платежей; целостность обеспечивается
при помощи цифровой подписи; - специальную криптографию с открытым ключом для проведения
аутентификации; - аутентификацию держателя по кредитной карточке, которая
обеспечивается применением цифровой подписи и сертификатов держателя
карточек; - аутентификацию продавца и его возможности принимать платежи по
пластиковым карточкам с применением цифровой подписи и сертификатов
продавца; - подтверждение того, что банк продавца является действующей
организацией, которая может принимать платежи по пластиковым карточкам
через связь с процессинговой системой; это подтверждение обеспечивается
с помощью цифровой подписи и сертификатов банка продавца; - готовность оплаты транзакций в результате аутентификации сертификата
с открытым ключом для всех сторон; - безопасность передачи данных посредством преимущественного
использования криптографии.
Основное преимущество SET перед многими существующими
системами обеспечения информационной безопасности заключается в
использовании цифровых сертификатов (стандарт X. 509, версия 3), которые
ассоциируют держателя карточки, продавца и банк продавца с рядом
банковских учреждений платежных систем VISA и MasterCard.
SET позволяет сохранить существующие отношения между
банком, держателями карточек и продавцами, и интегрируется с существующими
системами, опираясь на следующие качества:
- открытый, полностью документированный стандарт для финансовой
индустрии; - основан на международных стандартах платежных систем;
- опирается на существующие в финансовой отрасли технологии и правовые
механизмы.
Кстати, совместный проект, реализованный компаниями IBM,
Chase Manhattan Bank USA N. , First Data Corporation, GlobeSet,
MasterCard и Wal-Mart позволяет владельцам карточек Wal-Mart MasterCard,
выпущенных банком Chase, приобретать товары на сайте Wal-Mart Online,
который является одним из крупнейших узлов электронной коммерции США.
Рассмотрим более детально процесс взаимодействия участников
платежной операции в соответствии со спецификацией SET, представленный на
рисунке с сайта компании IBM:
- Держатель карточки — покупатель делающий заказ.
- Банк покупателя — финансовая структура, которая выпустила
кредитную карточку для покупателя. - Продавец — электронный магазин, предлагающий товары и услуги.
- Банк продавца — финансовая структура, занимающаяся
обслуживанием операций продавца. - Платежный шлюз — система, контролируемая обычно банком
продавца, которая обрабатывает запросы от продавца и взаимодействует с
банком покупателя. - Сертифицирующая организация — доверительная структура,
выдающая и проверяющая сертификаты.
Взаимоотношения участников операции показаны на рисунке
непрерывными линиями (взаимодействия описанные стандартом или протоколом
SET) и пунктирными линиями (некоторые возможные операции).
Динамика взаимоотношений и информационных потоков в
соответствии со спецификацией стандарта SET включает следующие действия :
- Участники запрашивают и получают сертификаты от сертифицирующей
организации. - Владелец пластиковой карточки просматривает электронный каталог,
выбирает товары и посылает заказ продавцу. - Продавец предъявляет свой сертификат владельцу карточки в качестве
удостоверения. - Владелец карточки предъявляет свой сертификат продавцу.
- Продавец запрашивает у платежного шлюза выполнение операции
проверки. Шлюз сверяет предоставленную информацию с информацией банка,
выпустившего электронную карточку. - После проверки платежный шлюз возвращает результаты продавцу.
- Некоторое время спустя, продавец требует у платежного шлюза
выполнить одну или более финансовых операций. Шлюз посылает запрос на
перевод определенной суммы из банка покупателя в банк продавца.
Представленная схема взаимодействия подкрепляется в части
информационной безопасности спецификацией Chip Electronic Commerce,
созданной для использования смарт-карточек стандарта EMV в Интернете
(www. emvco. com). Ее разработали Europay, MasterCard и VISA. Сочетание
стандарта на микропроцессор EMV и протокола SET дает беспрецедентный
уровень безопасности на всех этапах транзакции.
Компания «Росбизнесконсалтинг» 20 июня 2000 г. поместила на
своем сайте сообщение о том, что одна из крупнейших мировых платежных
систем VISA обнародовала 19 июня 2000 г. свои инициативы в области
безопасности электронной коммерции. По словам представителей системы, эти
шаги призваны сделать покупки в Интернете безопаснее для покупателей и
продавцов. VISA полагает, что внедрение новых инициатив позволит сократить
количество споров по транзакциям в Интернете на 50%. Инициатива состоит из
двух основных частей. Первая часть — это Программа аутентификации платежей
(Payment Authentication Program), которая разработана для снижения риска
неавторизованного использования счета держателя карточки и улучшения
сервиса для покупателей и продавцов в Интернете. Вторая — это Глобальная
программа защиты данных (Global Data Security Program), цель которой —
создать стандарты безопасности для компаний электронной коммерции по
защите данных о карточках и их держателях.
Сравнительные характеристики протоколов SSL и SET
Платежные системы являются наиболее критичной частью
электронной коммерции и будущее их присутствия в сети во многом зависит от
возможностей обеспечения информационной безопасности и других сервисных
функций в Интернете. SSL и SET — это два широко известных протокола
передачи данных, каждый из которых используется в платежных системах
Интернета. Мы попытаемся сравнить SSL и SET и оценить их некоторые
важнейшие характеристики.
Итак, рассмотрим важнейшую функцию аутентификации (проверки
подлинности) в виртуальном мире, где отсутствуют привычные физические
контакты. SSL обеспечивает только двухточечное взаимодействие. Мы помним,
что, в процесс транзакции кредитной карточки вовлечены, по крайней мере,
четыре стороны: потребитель, продавец, банк-эмитент и банк-получатель. SET
требует аутентификации от всех участвующих в транзакции сторон.
SET предотвращает доступ продавца к информации о пластиковой
карточке и доступ банка-эмитента к частной информации заказчика,
касающейся его заказов. В SSL разрешается контролируемый доступ к
серверам, директориям, файлам и другой информации. Оба протокола
используют современную криптографию и системы цифровых сертификатов,
удостоверяющих цифровые подписи взаимодействующих сторон. SSL предназначен
преимущественно для защиты коммуникаций в Интернете. SET обеспечивает
защиту транзакций электронной коммерции в целом, что обеспечивает
юридическую значимость защищаемой ценной информации. При этом через SET
транзакция происходит медленней, чем в SSL, и ее стоимость намного выше. Последняя характеристика весьма актуальна для сегодняшнего российского
рынка, на котором пока не считают риски и эксплуатационные расходы.
Следует добавить, что, используя SSL, потребители
подвергаются риску раскрытия реквизитов своих пластиковых карточек
продавцу.
Внедрение и эксплуатация SET осуществляется много лет в
нескольких десятках проектов во всем мире. Например, первая транзакция SET
была проведена 30-го декабря 1996 в PBS (Датский банк) в совместном
проекте IBM и MasterCard. Аналогичная работа проведена в 1997 г. в
крупнейшем японском банке Fuji Bank, где пришлось адаптировать протокол к
специфическому японскому законодательству. За прошедшее время подобные
внедренческие проекты позволили отработать функции протокола и
соответствующую документацию.
Кстати, IBM имеет полный набор продуктов, который
охватывает все ключевые аспекты комплексного использования SET в целом и
обеспечивает развитую инфраструктуру:
- IBM Net.commerce Suite для продавцов, организующих
интернет-магазины; - IBM Consumer Wallet для держателей карточек;
- IBM Payment Gateway — шлюз платежей для банков;
- IBM Net. Payment Registry — продукт для аутентификации и
сертификации.
SET функционирует на разных вычислительных платформах таких
компаний, как IBM, Hewlett Packard, Sun Microsystems и Microsoft.
В свою очередь SSL используется в основном в Web-приложениях
и для защиты коммуникаций в Интернете. Существует также
свободно распространяемая версия SSL, называемая SSLeay. Она содержит
исходный код на C, который может быть встроен в такие приложения, как
Telnet и FTP. Благодаря этим качествам SSL получил широкое распространение
в корпоративных интранет-сетях и в системах с небольшим количеством
пользователей.
Несмотря на технологическое совершенство протокола SET, его использование
в мире весьма ограничено. Тому имеется множество причин, решающей среди которых
является высокая стоимость внедрения системы электронной коммерции на базе
протокола SET (стоимость SET-решения колеблется от $600 до 1500 тыс.
Протокол SSL обеспечивает лишь конфинденциальность данных транзакции при их
передачи через сеть общего пользования, но при этом является существенно более
дешевым для внедрения. В результате подавляющее число современных систем
электронной коммерции используют протокол SSL.
Эксперты и разработчики протокола SET ошиблись, предсказывая быстрое и
повсеместное внедрение этого стандарта. Более того, ведутся настойчивые
разговоры о том, что протокол SET уже является вчерашним днем и его шансы на
выживание ничтожны.
Такие разговоры начались еще летом 2000г. , когда VISA International сделала
заявление, в соответствии с которым протокол 3D SET (разновидность SET)
становится стандартом для стран Евросоюза, Латинской Америки и некоторых других
европейских стран, включая Россию. В то же время на самом крупном американском
рынке в качестве стандарта был провозглашен протокол 3D SSL (другое название
протокола — 3D Payer).
Глава российского представительства Visa Int. Лу Наумовский согласен с тем,
что SET не нашел спроса:
«Это очень хорошая технология. Но, судя по реакции банков, не только
российских, но и зарубежных, — она дороговата. Банку-эмитенту, использующему
протокол SET для отслеживания операций по картам, приходится самому держать
базу данных банков-эквайреров и торговых точек. Мы пытались найти более дешевую
альтернативу этому протоколу».
В мае 2001 г. были опубликованы спецификации на стандарт 3D Secure,
претендующий на роль глобального стандарта аутентификации в платежной системе
Visa. По решению Европейского союза в июле 2002 г. все интернет-магазины получили идентификацию на уровне этого протокола. Следовательно, банк-эквайрер таких интернет-магазинов должен иметь возможность
предоставить им этот протокол. В случае отсутствия 3D Secure всю ответственность
при спорных трансакциях несет он сам. Если он использует 3D Secure, а
банк-эмитент нет, то ответственность берет на себя последний.
Принцип работы 3D Secure в том, что есть три различных домена —
банка-эмитента, интернет-магазина и Visa, через домен которой идет сообщение
между покупателем, продавцом и банками. Очень важно, что все
сообщения идут через интернет. При этом Visa обеспечивает
конфиденциальность информации. После того как покупатель нажимает на
интернет-странице на лозунг Verified by Visa и вводит свой пароль, эта
информация идет к банку-эмитенту и происходит идентификация. Банк-эмитент через
домен Visa отправляет запрос в интернет-магазин, после чего этот магазин
идентифицируется своим банком-эквайрером. Таким образом, данные держателя карты
известны только банку-эмитенту. В то же время владелец карты уверен в том, что
данный магазин имеет Verified by Visa, то есть сертифицирован Visa через
банк-эквайрер. В том случае, если банк-эмитент не получит от домена Visa
подтверждения, что магазин имеет Verified by Visa, транзакция не произойдет.
Конечно, владелец карты может сделать покупки и в других, не имеющих статуса
Verified by Visa, интернет-магазинах. Тогда ответственность по спорным сделкам
несет банк-эмитент, и он должен будет предупреждать своих клиентов об этом.
Ответы на курс: Безопасность сетей
Биометрия — механизм аутентификации, предполагающий использование
смарт-карты
определенного устройства для идентификации человеческих характеристик
паспорта
пароля
Какие параметры могут использоваться в биометрических системах?
средства передачи
люди
средства защиты
Какая система получила сертификат уровня A1 «Оранжевой книги»?
Honeywell SCOMP
OS/2
Unix
MS Windows
Для каких сетей сертификат «Красной книги» считается устаревшим?
для локальных
для беспроводных сетей
для интернет
Межсетевой экран — это
устройство маршрутизации трафика
устройство кэширования сетевого трафика
устройство управления доступом, защищающее внутренние сети от внешних атак. Оно устанавливается на границе между внешней и внутренней сетью
Атака на отказ от обязательств – это
попытка дать неверную информацию о реальном событии или транзакции
атака, запрещающая легальному пользователю использование системы, информации или возможностей компьютеров
попытка неправомочного изменения информации
попытка получения злоумышленником информации, для просмотра которой у него нет разрешений
Атака доступа направлена на
нарушение конфиденциальности информации
уничтожение информации
уничтожение компьютера
Где возможна атака доступа?
только в локальных сетях
везде где существует информация и средства ее передачи
только в сети интернет
Подслушивание — это
получение информации из чужого разговора
захват информации в процессе ее передачи
просмотр файлов и документов для поиска информации
Атака на отказ в доступе к системе направлена на
уничтожение информации
приложения обработки информации
вывод из строя компьютерной системы
блокирование каналов связи
Где могут храниться бумажные документы?
атака, запрещающая легальному пользователю использование системы, информации или возможностей компьютеров
попытка дать неверную информацию о реальном событии или транзакции
попытка получения злоумышленником информации, для просмотра которой у него нет разрешений
попытка неправомочного изменения информации
Где возможна атака модификации?
попытка дать неверную информацию о реальном событии или транзакции
попытка неправомочного изменения информации
попытка получения злоумышленником информации, для просмотра которой у него нет разрешений
атака, запрещающая легальному пользователю использование системы, информации или возможностей компьютеров
Атака модификации – это
попытка неправомочного изменения информации
атака, запрещающая легальному пользователю использование системы, информации или возможностей компьютеров
попытка дать неверную информацию о реальном событии или транзакции
попытка получения злоумышленником информации, для просмотра которой у него нет разрешений
Какой способ проведения DoS-атаки на канал связи является самым простым с точки зрения его осуществления?
организовать атаку указанными способами одинакового сложно
посылка большого объема трафика через атакуемый канал
перерезание кабеля
Переполнение буфера опасно тем, что
его не возможно обнаружить в результате исследования исходного кода программы
ограничивает доступ к удаленной системе
позволяет хакерам выполнить практически любую команду в системе, являющейся целью атаки
Какой тип атаки был использован Кевином Митником для проникновения в Центр суперкомпьютеров в Сан-Диего?
безопасность
й2ц3у4к5
директор
аО4тг7й6
Какие из этих описаний характеризует распределенные DoS-атаки?
ivanovVV
аО4тг7й6
й2ц3у4к5
безопасность
Какую из возможных угроз для безопасности системы труднее всего обнаружить?
ошибки конфигурации
слабые пароли
переполнение буфера
Выберите верное утверждение
прослушивание (снифинг) работают только в сетях с разделяемой пропускной способностью с сетевыми концентраторами – хабами; использование коммутаторов обеспечивает достаточно надежную защиту от прослушивания
прослушивание (снифинг) хорошо работают в сетях с разделяемой пропускной способностью с сетевыми концентраторами – хабами; использование коммутаторов снижает эффективность снифинга
прослушивание (снифинг) работают только в сетях с коммутируемой средой, использующей коммутаторы; использование концентраторов исключает возможность снифинга
Получение несанкционированного доступа к информации или к системе без применения технических средств называется
скрытое сканирование
получение информации из открытых источников
социальный инжиниринг
К основным видам мотивации хакеров можно отнести
ежедневно
ежемесячно
при обнаружении вторжения
Требования к конфиденциальности файлов включают в себя
шифрование файлов
идентификация и аутентификация
контроль физической безопасности
«обеспечивает правильность информации, дает пользователям уверенность в том, что информация является верной?»
служба доступности
служба конфиденциальности
служба идентифицируемости
служба целостности
К механизмам обеспечения конфиденциальности относятся
правильное управление ключами при использовании шифрования
идентификация и аутентификация
шифрование файлов
Двухфакторная аутентификация подразумевает использование
служба конфиденциальности
служба идентифицируемости
служба доступности
служба целостности
Использование шифрования в сочетании с идентификацией позволяет
организациям планирования здравоохранения
общественным организациям
правоохранительным органам
Что входит в величину ущерба, нанесенного при совершении компьютерного преступления?
принадлежность информации
приемлемое использование информации
приемлемое использование рабочего времени
+ отсутствие приватности
Какая информация является секретной для всех организаций вне зависимости от сферы их деятельности?
разграничение доступа ко всем системам
защита всех систем от несанкционированного доступа
предотвращение взлома всех систем
отслеживание определенного типа событий во всех системах
Какое из утверждений наиболее верно? На основании политики следующая информация считается принадлежащей организации
любая информация используемая сотрудниками и хранимая на любых компьютерах
любая информация используемая сотрудниками и хранимая на компьютерах организации
используемая сотрудниками в рабочих целях и хранимая на компьютерах организации
используемая сотрудниками в рабочих целях и хранимая на личных компьютерах
Цели процедуры обработки инцидентов (IRP)
маркируется каждая страница сверху
маркируется только титульный лист документа
маркируется каждая страница снизу и сверху
маркируется каждая страница в произвольном месте
маркируется каждая страница снизу
Какие стандартные события учитываются при аудите безопасности?
отсутствует
средний
низкий
высокий
Что оказывает влияние на значение риска?
ни угрозы, ни уязвимости не оказывают влияние на значение риска
уязвимости
угрозы
и угрозы, и уязвимости оказывают влияние на значение риска
Какие знания необходимы агентам угроз для нанесения ущерба?
возможность нанести ущерб системе
недостаточный уровень обеспечения безопасности
действие или событие, способное нарушить безопасность информационных систем
потенциальный путь для выполнения атаки
Какие службы безопасности обычно являются целями угроз?
раз в четыре года
ежегодно
ежеквартально
ежемесячно
раз в два года
угрозы
уязвимости
нарушения
риски
Усиление требований на одном из этапов реализации политики безопасности
позволяет снизить требования на другом этапе
приводит к необходимости усиления требования на другом этапе
никак не отражается на других этапах
Какие политики и процедуры необходимо разработать после завершения шага оценки?
политика резервного копирования
процедура управления рисками
план на случай чрезвычайных обстоятельств
экономическая политика
политика безопасности
амортизационная политика
Какие ключевые этапы включаются в процесс обеспечения информационной безопасности?
аудит
определение целей
реализация
политика
проектирование
выявление угроз
раз в месяц
раз в год
раз в два года
Исследование — это
проверка новых технологий безопасности на предмет того, насколько они могут противостоять риску, представляемому для организации
наличие опыта сбора сведений о потенциальных рисках в организациях или подразделениях. Оценка может включать в себя навыки проникновения и тестирования безопасности
наличие опыта ведения аудита систем или процедур
Какие вопросы следует рассматривать на дополнительных занятиях с администраторами?
политика использования
политика резервного копирования
политика безопасности
информационная политика
Какую аутентификацию рекомендуется использовать при удаленном доступе?
однофакторную
двухфакторную
трехфакторную
Когда сотрудники организации должны в первый раз проходить обучение безопасности?
в соответствии с планами обучения безопасности данного подразделения
при приеме на работу
в течении первого месяца работы
Оценка — это
наличие опыта сбора сведений о потенциальных рисках в организациях или подразделениях. Оценка может включать в себя навыки проникновения и тестирования безопасности
проверка новых технологий безопасности на предмет того, насколько они могут противостоять риску, представляемому для организации
наличие опыта ведения аудита систем или процедур
Размер бюджета безопасности организации зависит от
прикладного уровня
гибридного
с фильтрацией пакетов
Как проходит трафик при использовании экрана прикладного уровня?
прохождение трафика зависит от настроек экрана
часть трафика может идти в обход экрана
весь трафик идет через экран
Какой минус у экранов с пакетной фильтрацией?
да, так от порядка зависит, как будут обрабатываться пакеты
зависит от того как настроен экран
нет, пакет обрабатывается всеми правилами, и если одно правило подходит, то трафик пропускается
Если web-сервер компании расположен между двумя экранами, первый отделяет его от внутренней сети, а второй от внешней, то через сколько экранов пойдет запрос сотрудника компании к внешнему web-серверу?
4
2
1
3
Что такое пользовательская VPN?
одно из названий VPN
построены между отдельной пользовательской системой и узлом или сетью организации
используются частными пользователями для связи друг с другом
Где лучше размещать VPN сервер?
в DMZ интернета, вместе с остальными серверами
во внутренней сети компании
в отдельной DMZ
Сколько одновременных соединений VPN может поддерживать каждая конечная точка?
зависит от числа сетевых интерфейсов
только одно
несколько, не зависимо от числа сетевых интерфейсов
Каковы преимущества пользовательских VPN?
настройками сервера к которому подключаются
ничем
скоростью подключения к интернету пользователя
В чем основное различие между типами VPN?
в методе использования
возможностях сети
в методе отделения трафика
Какие из ниже перечисленных алгоритмов шифрования относятся к алгоритмам с открытым ключом?
RSA
CAST-128
Blowfish
Информация, подвергнутая действию алгоритма шифрования называется
ключ
шифрованный текст
обычный текст
Искусство анализа криптографических алгоритмов на предмет наличий уязвимостей
криптография
криптоанализ
дешифрование
Какому виду атак наиболее уязвим алгоритм Диффи-Хеллмана?
атака переполнения буфера
атака грубой силы
атака посредника
Какими способами могут подвергнуться атакам системы шифрования?
атака на отказ в доступе
атака посредника
атака грубой силы
При каких условиях хеш-функция может называться безопасной?
криптоаналитик
шифровальщик
криптограф
Принцип работы NIDS заключается в
подключении ко всем системам и анализе их работы
выполнении обоих вышеуказанных действий
перехвате сетевого трафика и его анализе
Что является объектом мониторинга при обнаружении атак с помощью NIDS?
на наборе признаков атак
на применении самообучающихся систем
на нечетком анализе трафика
Какая система дешевле для использования в большой сети?
HIDS
NIDS
стоимость одинакова
Куда подключаются сетевые карты NIDS?
одна к наблюдаемой сети, другая к сети для отправки сигналов тревоги
обе к наблюдаемой сети обе карты работают
обе к наблюдаемой сети, причем одна карта находится в резерве
Какие активные действия можно предпринять при обнаружении атак?
уведомление
никаких действий
ведение дополнительных журналов
ведение журнала
Сколько существует основных типов датчиков HIDS?
2
3
4
5
Что является объектом мониторинга при обнаружении атак с помощью HIDS?
датчик не будет работать
ничего не произойдет
блокировке легитимных приложений
Каким образом контроллеры целостности файлов отслеживают изменения?
4
3
2
1
В каком файле в ОС Linux хранятся настройки требований к паролю?
/etc/data/login. defs
/etc/login. defs
/etc/default/login. defs
/usr/ogin. defs
В каком месте хранятся файлы журнала по умолчанию в ОС Unix?
/var/log/messages или /var/adm/log/messages
/var/messages или /var/adm/messages
/var/log
/var/log/messages или /var/messages
Программа ps предназначена для
отображения всех активных процессов
выявления процессов поддерживающих открытое состояние порта
выявления сетевых соединений активных в данный момент
Какую команду надо выполнить чтобы отобразить все скрытые файлы в системе?
#find / -name ‘. ’ -ls
#find / -name ‘. *’ -ls
#find / -name ‘*’ -ls
Программа netstat предназначена для
выявления сетевых соединений активных в данный момент
выявления процессов поддерживающих открытое состояние порта
отображения всех активных процессов
Какие привилегии доступа к файлам существуют в ОС Unix?
/etc
/usr/rc. d/rc2. d
/usr
/etc/rc. d/rc2
Какие сервисы обычно запускаются при помощи файлов загрузки?
блокировка рабочих столов пользователей
установка разрешения реестра и файловой системы
подключение компьютера к домену
В службе терминалов Windows 2003 Server шифрование с ключом максимальной длины, поддерживаемого клиентом соответствует уровню
High (Высокий)
Low (Низкий)
FIPS Compliant
Client Compatible
Может ли информация в журнале служить доказательством противоправных действий конкретного пользователя?
да, в некоторых случаях
да, всегда
нет
Сколько областей в утилите Group Policies?
4
2
3
1
Каковы требования фильтра паролей по умолчанию?
файл не удастся скопировать, предварительно не расшифровав его
файл будет расшифрован
ничего
указывает области безопасности шаблона, которые следует применить к системе
сообщает команде secedit о том, что необходимо отображать детальные сведения во время выполнения
отключает вывод данных на экран в процессе выполнения
необходимость перезаписи политики в шаблоне безопасности
Что из ниже перечисленного является ключевым компонентами AD и их функциями?
компьютер, Схема, Домен, Организационная единица (OU), Групповые политики, Доверительные взаимоотношения
пользователь, Домен, Организационная единица (OU), Групповые политики
Global Catalog, Схема, Домен, Организационная единица (OU), Групповые политики, Доверительные взаимоотношения
Какой основной недостаток файловой системы NTFS?
ненадежность
требовательность к ресурсам ПК
отсутствие шифрования
Какие устройства могут выполнять функции NAT?
для управления сетью организации
для удаленных сеансов X Window System
системами Unix для удаленного вызова процедур
для предоставления общего доступа к файлам
Что является наиболее важным при проектировании соединения с интернетом?
оба параметра
ни один из них
доступность
пропускная способность
Порты 110 и 143 позволяют
осуществлять доступ к веб
передавать файлы
получать почту
подключаться к серверам новостей
Какие из частных адресов маршрутизируются в интернете?
192. 168. 0 – 192. 168. 255. 255 (192. 168. 0 с 16-битной маской)
172. 0 – 172. 255. 255 (172. 0 с 12-битной маской)
все
никакие
Какое подключение к провайдеру является наиболее надежным?
многоканальный доступ
через один канал
с одной точкой присутствия
с несколькими точками присутствия
Порт 80 позволяет
осуществлять доступ к веб
подключаться к серверам новостей
передавать файлы
получать и отсылать почту
Для каких систем пригодна динамическая NAT?
для систем в DMZ
для любых
для клиентских рабочих станций
Какая учетная запись должна использоваться для работы с веб-сервером?
гостевая учетная запись
корневая учетная запись
учетная запись владельца веб-сервера
Какая служба безопасности является наиболее критичной для электронной коммерции?
доступность
идентифицируемость
конфиденциальность
В каком файле должны быть определены файлы. cgi и. pl, чтобы программы выполнялись без отображения исходного кода на веб-странице?
разрешения на прямую передачу введенных данных командам оболочки
контроля четности вводимых данных
ограничением размера вводимых пользователем данных
Какие основные меры необходимо предпринять для защиты сервера от атак злоумышленника через интернет?
ограничение доступа
шифрование информации
конфигурация операционной системы
Какие требования предъявляются к корневому каталогу веб-сервера?
не должен превышать 2 Гбайт
должен содержать файл index. html (index. php)
не должен совпадать с системным корневым каталогом
Какие порты следует разрешить для доступа к серверу электронной коммерции?
контроль за санкционированными изменениями
запрет изменений конфигурации
контроль за несанкционированными изменениями
В управление конфигурацией входят следующие составляющие
обнаружение несанкционированных изменений
обнаружение санкционированных изменений
запрет изменений конфигурации
Радиус действия обычной беспроводной системы стандарта 802. 11х вне помещений составляет, как правило
около 1000 м
около 50 м
около 500 м
около 30 м
около 100 м
Какие аспекты безопасности обеспечивает протокол WEP?
недорогой метод соединения информационных систем
высокая защищенность соединений
высокая скорость передачи данных
Какой тип соединения следует использовать для управления точками беспроводного доступа?
невнимательности работы сотрудников
о возможном проникновении в систему
ни о чем, так и должно быть
Задачи ИБ в e-commerce
• Обеспечить финансовую стабильность
• Обеспечение безопасности корпоративных ресурсов (информационная инфраструктура, веб-ресурсы);
• Защита конечных устройств;
• Защита чувствительной информации и персональных данных;
• Соответствие требованиям регуляторов;
• Предотвращение утечек информации;
• Выявление внутренних злоупотреблений и нелояльных сотрудников.
Решения кибербезопасности для электронной коммерции
• Регулярные ИБ тренинги — для повышения осведомленности персонала в вопроссах информационной безопасности;
• Аудит информационной безопасности и инструменты сканирования сети для обнаружения и предотвращения эксплуатации уязвимостей, своевременного патчинга;
• Анализ безопасности кода
— для поиска потенциальных уязвимостей, ошибок и угроз безопасности приложений;
• Корректная сегментация сети — для лучшего контроля сетевого трафика и повышения эффективности систем кибербезопасности;
• Системы защиты от DDoS-атак — идентификации и фильтрации «плохого» трафик до того, как он достигнет вашего ресурса. Позволяют следить за поведением посетителей и блокировать нелегитимную активность. Использование защиты от DDoS-атак позволяет сократить время простоя ресурсов и минимизировать бизнес-риски;
• NTA (Network Traffic Analysis) — для обнаружение аномалий в трафике и выявление кибератак на ранних этапах;
• Межсетевые экраны и системы обнаружения и предотвращения вторжений (IDS/IPS) — для защита периметра сети, блокировка несанкционированного доступа и обнаружения потенциально вредоносного трафика;
• WAF (Web Application Firewall) — для защиты веб-ресурсов с помощью межсетевых экранов приложений от таких атак, как межсайтовая подделка запроса (CSRF), межсайтовый скриптинг (XSS), SQL-инъекция и других угроз;
• Защита конечных точек для снижения риска заражения программами и вирусами, шифрования информации, соблюдения соответствия политикам и регламентам ИБ;
• VPN
— для организацию безопасного удаленного доступа к сети и создания зашифрованного канала связи с помощью;
• DLP системы — для предотвращения утечки конфиденциальных материалов, а именно анализа и блокировки данных, передаваемых с помощью электронной почты, мессенджеров, интернет-ресурсов и других источников;
•
Системы управления доступом (IDM, PIM)
— для контроля жизненного цикла учетных записей и разграничения прав доступа к сегментам сети;
• Решения для управления сетевым доступом (NAC) — для инвентаризации устройств, обеспечения видимости и контроля подключений к корпоративной сети;
• Системы классификации данных — для повышения безопасности конфиденциальной информации путем классификации, определения пользователей, взаимодействовавших с документами, упрощения доступа, поиска и отслеживания данных, а также устранения дублирований;
• SIEM системы — для централизованного мониторинга информационной безопасности, сбора и анализа данных от инструментов кибербезопасности.
Требования регуляторов для предприятий электронной коммерции
• 152-ФЗ: «О защите персональных данных»,
• GDPR (персональные данные). • PCI DSS. Законы требуют от компаний принятия на себя обязательств по обеспечению безопасности данных клиентов. Любая компания, управляющая транзакциями по кредитным картам, должна соответствовать требованиям PCI-DSS, касающимся защиты данных о держателях карт
Решения кибербезопасности для ритейла
• Регулярные ИБ тренинги — для повышения осведомленности персонала в вопроссах информационной безопасности;
• Аудит информационной безопасности и инструменты сканирования сети для обнаружения и предотвращения эксплуатации уязвимостей, своевременного патчинга;
• Корректная сегментация сети — для лучшего контроля сетевого трафика и повышения эффективности систем кибербезопасности;
• NTA (Network Traffic Analysis) — для обнаружение аномалий в трафике и выявление кибератак на ранних этапах;
• Межсетевые экраны и системы обнаружения и предотвращения вторжений (IDS/IPS) — для защита периметра сети, блокировка несанкционированного доступа и обнаружения потенциально вредоносного трафика;
• WAF (Web Application Firewall) — для защиты веб-ресурсов с помощью межсетевых экранов приложений от таких атак, как межсайтовая подделка запроса (CSRF), межсайтовый скриптинг (XSS), SQL-инъекция и других угроз;
• Защита конечных точек для снижения риска заражения программами и вирусами, шифрования информации, соблюдения соответствия политикам и регламентам ИБ;
• Организация безопасного удаленного доступа к сети и создания зашифрованного канала связи с помощью средств криптографической защита информации (СКЗИ) и VPN;
• СЗИ от НСД — для защиты стационарных и мобильных устройств от несанкционированного доступа, а также обеспечения соответствия требованиям регуляторов;
• DLP системы — для предотвращения утечки конфиденциальных материалов, а именно анализа и блокировки данных, передаваемых с помощью электронной почты, мессенджеров, интернет-ресурсов и других источников;
• Системы управления доступом (IDM, PIM) — для контроля жизненного цикла учетных записей и разграничения прав доступа к сегментам сети;
• Решения для управления сетевым доступом (NAC) — для инвентаризации устройств, обеспечения видимости и контроля подключений к корпоративной сети;
• Системы классификации данных — для повышения безопасности конфиденциальной информации путем классификации, определения пользователей, взаимодействовавших с документами, упрощения доступа, поиска и отслеживания данных, а также устранения дублирований;
• Использование интерактивных ловушек для эффективного обнаружения APT-атак;
• SIEM системы — для централизованного мониторинга информационной безопасности, сбора и анализа данных от инструментов кибербезопасности;
• Threat Intelligence — для система исследования и атрибуции кибератак, охоты за угрозами и защиты сетевой инфраструктуры на основании данных о тактиках, инструментах и активности злоумышленников
• Антифрод решения — для проактивной защиты цифровой личности, предотвращения мошенничества и бот-атак на всех устройствах, платформах и сессиях пользователя в режиме реального времени.