Teorie počítačových útoku
Útok může být aktivní nebo pasivní.
„Aktivním útokem“ se pokoušíme změnit systémové prostředky nebo ovlivnit jejich provoz.
„Pasivním útokem“ se snažíme naučit nebo využít informace ze systému, nemá však vliv na systémové prostředky.
Útok může být páchán uvnitř nebo z vně organizace.
„Vnitřním útokem“ je útok, zahájený subjektem uvnitř bezpečnostního obvodu („insiderem“), tj. osobou, která je oprávněna přistupovat k systémovým prostředkům, ale používá je způsobem, který není schválen těmi, kdo udělili povolení.
„Vnější útok“ je zahájen z vně bezpečnostního obvodu, neoprávněnou osobou nebo neoprávněným uživatelem systému. Na internetu, který je potencionální vnější útočnou zónou, se pohybují různí útočníci, od amatérských vtipálků po organizované zločince, mezinárodní teroristy a nepřátelské vlády.
Termín „útok“ souvisí s některými dalšími základními bezpečnostními hledisky, jak je znázorněno na následujícím obrázku:
Zdroje (jak fyzické tak logické), tzv. aktiva, mohou mít jeden nebo více chyb v
zabezpečení, které mohou být zneužity. Výsledkem může být potencionální ohrožení
důvěrnosti, integrity nebo dostupnosti vlastností zdrojů organizace a dalších
zainteresovaných stran (zákazníci, dodavatelé). Základem informační bezpečnosti
je tzv. CIA triáda.
Útok může být aktivní. To když se útočník pokusí změnit systémové prostředky nebo ovlivnit jejich provoz, tedy když dochází k ohrožení celistvosti nebo dostupnosti. „Pasivní útok“ se snaží naučit nebo využít informací ze systému, ale nemá vliv na systémové prostředky, dochází tedy k ohrožení důvěryhodnosti.
Hrozba je potenciální porušení bezpečnosti. Nastává v případě zásahů, které by mohly narušit bezpečnost a způsobit škodu. To znamená, že hrozba je možné nebezpečí, zneužití chyby v zabezpečení. Hrozba může být buď „úmyslná“ (tj. od inteligentního subjektu, např. cracker či kriminální organizace) nebo „náhodná“ (např. možnost počítačového poruchy, nebo zásah vyšší moci, jako je zemětřesení, požár nebo tornádo).
Útok vede k bezpečnostnímu incidentu, tj. bezpečnostní události, která se týká narušení zabezpečení. Jinými slovy, bezpečnostní událost nastane, pokud někdo neuposlechl či jinak porušil bezpečnostní politiku systému.
Celkový obraz reprezentují rizikové faktory rizikového scénáře.
Organizace by měly dělat kroky k detekci, klasifikaci a správě bezpečnostních incidentů. Prvním logickým krokem je utvořit plán reakce na incidenty a nakonec třeba zřízení týmu reagujícího na mimořádné události, tzv. CERT. (CERT je tým, který je ve svém jasně definovaném poli působnosti zodpovědný za řešení bezpečnostních incidentů, z pohledu uživatelů nebo jiných týmů tedy místo, na které se mohou obrátit se zjištěným bezpečnostním incidentem nebo i jen podezřením.)
Aby bylo možné odhalit útoky, lze nastavit řadu protiopatření na organizační, procesní a technické úrovni. CERT, oddělení Informační technologie, bezpečnostní audity a systémy detekce narušení jsou příkladem některých z nich.