Стратегии нападения и защиты

д.э.н. Черней Г.А.

Национальный Банк Молдовы

Введение

История развития мира в принципе обозначена противостоянием в самых разных областях: начиная от межличностных и заканчивая межгосударственным. И видится абсолютно нормальным, что противостояние в абсолютно новом качестве перешла в область компьютерных технологий, получив толчок развития с бурным развитием сетевых технологий и Интернет, как неоинформационного пространства.

Отмеченный переход обозначается во-первых неконтролируемостью ситуации, которая обусловлена доступностью информационных ресурсовж отсутствием какой-либо более - менее общей политики использования информационных ресурсов ввиду широкого геополитического размещения инфраструктуры интернет.

Во-вторых следует выделить масштабность проникновения информационных технологий во все отрасли жизни людей.

В третьих - кризис в области защиты информации. На сегодняшний день отмечается некоторое отставание процессов обеспечения информационной безопасности в целом и защиты информации в частности от процессов разработки и внедрения информационных технологий. Здесь следует выделить два аспекта: отставание производителей и отставание пользователей. Отставание производителей характеризуется решением уже возникших проблем (яркий пример самая большая софтверная фирма мира - Microsoft, выпускавшая после каждого релиза множество заплаток, 95% которых касаются безопасности ее продуктов). Отставание пользователей состоит в том, что они не ведут учет появившихся угроз и не устанавливают своевременно новые заплатки на используемое программное обеспечение.

В четвертых - проблема кадров, которая всегда успешно обсуждается и которая почти не решается. В принципе на сегодняшний день все ВУЗы страны стремятся подчеркнуть подготовку своих студентов в области информационных технологий (хотя бы основ), но в то же время этих студентов (будущих ведущих специалистов страны) стараются обойти бременем знаний о том какие проблемы их ждут в связи с использованием компьютерных технологий. Ведь если человек учится водить машину, ему говорят о технике безопасности, а о последствиях некорректного вождения он может узнать хотя бы по телевизору. В случае компьютерных технологий, то максимум, чему учат наших молодых специалистов - это вирусы, которые по последствиям воздействий далеко не на первом месте.

Таким образом, мы рассмотрели базовые аспекты конфликтов (их на самом деле много больше), которые в последующем определяют направление развития конфликтов в информационных системах

Особенности развития конфликтов в информационных системах

Если оглянуться назад на историю развития информационных технологий и конфликтов в них, то можно выделить несколько этапов:

Первый этап: конфликты, основанные на особенностях реализации информационных систем с использованием слабых мест технологий обработки данных, иначе говоря - то, что на сегодняшний день называется мошенничеством с использованием компьютерных технологий. Данные конфликты характеризуются низким уровнем технической реализации. В это же время начинается бурное развитие моделей безопасности, технологий шифрования и т.п., но все они направлены в основном на обеспечение потребностей военных ведомств.

Второй этап - соответствует развитию персональных технологий (в особенности платформы Интел и MS DOS. Характеризуется бурным развитием вирусных технологий, взрывом вирусных эпидемий, направлением большинства усилий на создание антивирусных механизмов; обращением основного внимания этим вопросам.

Третий этап - хронологически совпадает с небольшим опозданием с предыдущим этапом и характеризуется развитием механизмов защиты от копирования, т.е. борьбой с пиратством, а также разработкой механизмов защиты отдельных рабочих станций.

Четвертый этап - характеризует положение сегодняшнего дня, когда с развитием технологий интернет, вопросы защиты информации становятся критическими, а государство начинает заботиться не только о защите государственных информационных систем, но и коммерческих, понимая, что безопасность информационных ресурсов страны - задача стратегическая и является государственной важности. Положение усугубляет тот факт, что страны, которые раньше пошли по пути развития информационных технологий (и в особенности информационной инфраструктуры) диктуют свою политику другим странам, менее развитым в этой области (яркий пример - экспортные ограничения шифровальных средств из США, Англии, Франции, Израиля и др. стран). И хотя ограничения распространяются на специальные средства защиты, в остальном эти страны способствуют информационной экспансии, которое можно наблюдать на сегодняшний день у нас. Хотя вопросы информационной экспансии тоже относятся к конфликтам, настоящая работа имеет цель осветить вопросы развития техногенных конфликтов, поэтому их не будем рассматривать. Это одна сторона. Другая сторона - бурное развитие единого мирового информационного пространства, называемое на сегодняшний день Интернет. Это уже не просто набор сетей, а настоящее информационное пространство, не имеющее границ, с достаточно сложной геополитической структурой. На сегодняшний день феномен интернета исследуется и не одна книга по этому поводу написана, но хотелось бы остановиться более подробно на его защищенность. Всем известно, что технологии, на которых основан интернет не достаточно защищены сами по себе ввиду того, что первичная задача перед ними - обеспечение доступа к ресурсам и только после этого - обеспечение безопасности (которое в большинстве случаев сводится к обеспечению целостности). Кроме того, интернет делает возможным общение людей из разных концов мира, объединенных общими интересами. В связи с этим происходит объединение мозгового потенциала мира, который направлен на изучение вопросов безопасности информационных систем. Следствием этого является наличие в интернете множества информации о слабых местах, методов преодоления защиты отдельных систем, имеются готовые инструменты для проникновения в те или иные информационные системы, которые могут быть использованы в разных целях.

Неоинформационное общество. Он касается дальнейшего развития и достаточно сложно его охарактеризовать. Можно выделить только возможные пути дальнейшего развития. Уже на сегодняшний день существуют программы отдельных государств по обеспечению безопасности своей информационной инфраструктуры; ведутся исследования о возможности использования интернет в качестве инфраструктуры для ведения информационных воин; уже на сегодняшний день осуществляется подготовка воинов информационной инфраструктуры; усиленные исследования направлены на изучение возможностей осуществление разведывательной и контрразведывательной деятельности (в особенности промышленного шпионажа) с использованием инфраструктуры интернет. Таким образом развитие и все большее проникновение информационных технологий в жизнь отдельных граждан с одной стороны (холодильник с интернетом) сопровождается изучением методов использования этой же инфраструктуры для контроля за деятельностью отдельных граждан, организации или даже стран, оказавшихся не готовыми противостоять такому роду воздействиям.

Цель рассмотрения выделенных этапов было не сделать обзор исторического развития, а для того, чтобы показать этапы развития средств реализации конфликтов в информационных системах. Более подробно о конкретных программных злоупотреблениях (коткорые и являются по большему счету инструментами реализации конфликтов) можно ознакомиться во множестве публикациях на эту тему (например [1,2]).

Отправной точкой же для моделирования конфликтов мы выбрали использование концепции полиморфных программных злоупотреблений (ППЗ), предложенное нами раньше и которое определяется как: многофункциональное программное злоупотребление, содержащее механизмы самооценки и изменения алгоритма поведения.

Для простоты выделяются две основные части полиморфного программного злоупотребления: тактическая часть, которая на самом деле является механизмом реализации несанкционированного доступа (НСД) и стратегическая часть, которая непосредственно реализует цель конфликта.

После запуска полиморфное программное злоупотребление должно проводить анализ характеристик среды на предмет возможности реализации своих механизмов. Анализ проводится по двум направлениям.

Первое направление - это анализ аппаратной части для определения платформы (персональные ЭВМ - могут быть Intel, Macintosh; рабочие станции - Sun, DEC и др.). Второе направление ориентировано на определение операционной системы и рабочей среды, используемой на каждом конкретном компьютере, информация о которой будет использоваться для определения возможного типа атаки.

После анализа среды, на основе полученной информации выбирается тактический механизм, используемый для получения доступа и реализуется попытка получения несанкционированного доступа к информационной системе. Следует отметить, что данный процесс является многоитерационным и может повторятся до тех пор, пока не будет получен доступ к информационной системе.

После получения доступа к системе реализуется дополнительный тактический механизм, если таковой предусмотрен. Дополнительный тактический механизм реализует основные функции по внедрению и запуску стратегического механизма, а именно: дополнительно анализируется среда и посылается злоумышленнику сообщение о возможности внедрения стратегического механизма. В зависимости от целевой функции и конкретной аппаратной и программной среды производится выбор стратегического механизма. При этом могут быть выбраны пассивные и/или активные механизмы.

Следующим этапом является внедрение стратегического механизма, целью которого является реализация основной функции программного злоупотребления. В случае, если внедрение стратегического механизма произошло со сбоями, реализуется возврат на один шаг назад и производится попытка выбора другого стратегического механизма. Если внедрение стратегического механизма произошло нормально, тактический механизм реализует подготовку среды действия стратегического механизма, после чего уничтожается все следы действия тактического механизма во избежание раскрытия программного злоупотребления стандартными методами.

Рассмотренные ранее этапы реализации ППЗ - предварительные.

Основным этапом в реализации полиморфного программного злоупотребления является реализация стратегического механизма, призванного достичь основную цель программного злоупотребления. Если реализация этого механизма не проходит нормально, то происходит возврат на этапе выбора другого стратегического механизма или на этапе выбора и реализации тактического механизма (для случая, когда надо получить доступ к другому компьютеру, сети, системе). При успешной реализации рассматриваемого механизма может выполняться выдача нарушителю информации о проделанных операциях и достигнутых результатах. В качестве путей передачи информации нарушителю могут использоваться “скрытые каналы”.

Последним этапом реализации полиморфного программного злоупотребления является уничтожение следов действия стратегического механизма в информационной системе.

Анализируя опубликованные в литературе сведения о случаях реализации программных злоупотреблений, следует отметить, что первым программным злоупотреблением с полиморфными свойствами явился компьютерный “червь Морриса”. Знаменитый компьютерный червь состоял из двух частей - блок внедрения (тактический механизм) и блок размножения (стратегический механизм), а также "умел" распознавать операционную систему а аппаратную платформу среды-объекта нападения.

Таким образом, можно сделать вывод о том, что в арсенале злоумышленников могут быть, кроме обычных, всем известных программных злоупотреблений еще и множество дополнительных, которые будут использовать элементы экспертных систем и самообучения для проникновения и нарушения безопасности АИС.

В связи с этим, при разработке системы безопасности информации в АИС следует иметь в виду наличие у возможных нарушителей полиморфных программных злоупотреблений, что значительно затрудняет противостояние.

Этапы развития конфликтов в информационных системах

Рассмотрим основные особенности развития конфликтов в информационных системах.

В процессе развития информационного конфликта следует иметь в виду следующие свойства конфликтных зависимостей:

- возможность скачка (катастрофы). При некоторых условиях, особенно при переходе от тактических целей реализации ППЗ к стратегическим, интенсивность взаимодействия и возможные (потенциальные) потери изменяются скачкообразно;

- многоэкстремальность. В процессе взаимодействия конфликтующих сторон их цели могут иметь несколько максимумов и минимумов, как тактических, так и стратегических;

- неоднозначность. Интенсивность конфликта может иметь различную зависимость из-за реализации политики нападения и системы защиты;

- неопределенность. В одних и тех же пределах взаимодействия конфликтующих сторон интенсивность и последствия могут принимать неопределимые значения.

Если рассмотреть классификацию конфликта с точки зрения интенсивности взаимодействия АИС и "нарушителя", то следует выделить следующие возможные подходы:

1. Критериальная классификация. В случае, если противодействующие стороны обладают полной информацией о ситуации и интенсивность взаимодействия равна нулю, то системы нападения и защиты нейтральны, взаимодействия и конфликта нет, их цели независимы. Под влиянием взаимодействия системы изменяют свое поведение и изменяются сами, что является основой критериальной классификации. Изменение интенсивности взаимодействия с противоположными целями может привести к противодействию, затем развиться антагонизм, нестрогое соперничество (нестрогий конфликт), строгое соперничество (строгий конфликт).

Следует отметить, что в результате конфликта может измениться не только характер взаимодействия, но форма и содержание самой АИС. Другими словами, интенсивное взаимодействие может совмещать черты антагонизма и симбиоза и подобный конфликт называют конфликтом эксплуатации.

2. Функциональная классификация. Противодействующие стороны характеризуются видом и составом собственных функций управления:

- если обе функции либо одна из них имеют явную зависимость от времени, то конфликт является нестабильным;

- если функции не зависят явно от времени, то конфликт является стабильным;

- конфликт между системами может быть при обоюдном непрерывном или дискретном управлении;

- в зависимости от используемых ПЗ могут быть конфликты нарастающие, а при использовании соответствующих элементов СИБ - затухающие и периодические.

3. Информационная классификация. Данный вид классификации характеризует объем и характер осведомленности противодействующих сторон. С этой точки зрения выделяют:

- открытый конфликт, когда все функции управления заданы и полностью известны обеим сторонам. Открытые конфликты при преодолении СИБ не встречаются, поскольку открытое противодействие фиксируется и пресекается организационно-техническими средствами;

- односторонний конфликт, наиболее часто встречающаяся ситуация "угроза-защита". В данном случае осведомленная сторона (АИС) не знает как представляет ее противоположная неполно осведомленная сторона.

Реальный конфликт в АИС, с точки зрения реализации ПЗ, далеко не всегда распознаваем. Даже внешние проявления конфликта преобразуются (маскируются) таким образом, что производят не только отдаленное, но и противоположное впечатление. Кроме того, замаскированный, нестрогий конфликт может усиливаться, разрастаться и достичь антагонизма.

Предпримем попытку описать реальный конфликт в АИС. В отличие от абстрактного с безразмерными величинами, в реальном конфликте фигурируют физические измеримые величины, оцениваемые по условным шкалам. Дополнительные трудности возникают при описании математических операций над ресурсами (трудовыми, вычислительными и т. д.), поскольку противостояние ПЗ зависит от уровня добросовестности и моральной устойчивости персонала. Поэтому описание реального конфликта требует тщательного обоснования не только в формальном, но и морально-этическом аспектах.

Кроме того, восприятие конфликта не должно быть сведено только к противодействию. Во-первых, определить класс конфликта без подробного его исследования невозможно, так как внешние проявления не могут полностью характеризовать ПЗ. Во-вторых, классы конфликтов, как и классы ПЗ не вполне стабильны. В-третьих, при делении конфликтов на “полезные” и “вредные”, результаты определяются интервалом оценки (временное противодействие типа “нестрогое соперничество” может являться стимулом для эволюции системы безопасности).

Охарактеризуем основные положения реального конфликта:

  1. при полной информации сторон, симметричном конфликте и одинаковых ресурсах исход конфликта определяется рациональностью распределения ресурсов сторон;
  2. при полной информации сторон, симметричном конфликте, одинаковых ресурсах, в зависимости от действий сторон конфликт может перейти из любого критериального класса в любой другой критериальный класс;
  3. при полной информации, симметричном (кроме управления запаздыванием) конфликте и одинаковых ресурсах преимущество имеет сторона с меньшим запаздыванием управлений;
  4. при неполной информации сторон существует экстремум относительной оперативности управления и количества информации;
  5. в исследуемой системе конфликта должен соблюдаться закон “исключенного третьего”;
  6. если описание конфликта несводимо к единой системе величин, то конфликт многокритериальный;
  7. многокритериальные конфликты оптимально неразрешимы.

Исследование конфликта требует решение большого количества вопросов, поскольку каждая сторона владеет только своими описаниями и решает конфликт для себя. Для этого должны проводиться системные исследования относительно решения конфликта за каждую сторону и приниматься решения о достижении возможных целей каждой стороной в складывающейся ситуации.

Интересным является подход В.И. Ярочкина в [3], где представлен сценарий действий нарушителя. При этом выделяются три основных этапа при реализации нарушения:

- информационно-разведывательный этап - сбор необходимой информации об объекте управления и АИС;

- подготовительный этап - создание условий для реализации замысла;

- реализация замысла.

Представляется возможным развить представленный подход и выделить в рамках конфликтов следующие основные циклы:

  • обоснование замысла. Проводится анализ и оценка потенциальных угроз (или целей нападения), средств и времени, сопоставление тактических и стратегических задач, моделирование ситуации, формирование вариантов замысла (разведка, маскировка, дезинформация), моделирование вариантов и оценка эффективности;
  • разработка замысла. Подробная разработка и детализация модели действий и противодействий с уточнением оценки эффективности;
  • принятие решения. На основе предыдущего этапа принимается решение относительно целесообразности осуществления замысла;
  • подготовительный этап. В соответствии с принятым решением реализуется комплекс организационно-технических мероприятий и осуществляется контроль результатов. На основании новой информации (потенциальные угрозы) повторно выполняются предыдущие этапы.
  • основной этап. Моделирование конфликта с учетом поступления новой информации.
  • оценка результатов. Дальнейшее уточнение модели конфликта с определением реальных событий и внесением корректировок.

В соответствии с представленными этапами развития конфликта предлагается стратегия развития конфликта нарушителем и СИБ.

Технология развитие конфликта со стороны инициатора (субъекта)

Процесс развития конфликта со стороны нарушителя осуществляется в четырех этапах: аналитического, исследовательского, разработки и реализации (рис. 1).

В рамках аналитического этапа осуществляется постановка задачи, осуществляется декомпозиция задачи, анализируются тактические и стратегические цели, осуществляется уточнение условий и требований, после чего осуществляется обратное агрегирование задачи.

После декомпозиции и агрегировании определяются критерии оценки эффективности нападения, на основе чего определяются целевые функции разрабатываемого нарушения.

В рамках исследовательского этапа осуществляется самооценка и анализ возможностей реализации угрозы, после чего производится анализ ситуации и ее достоверности. Сбор информации является важной частью реализации угрозы. На основе полученной информации и результатов анализа ситуации осуществляется оценка возможностей реализации угрозы, выявление узких мест СИБ. На основе результатов проведенной работы рассчитывается ожидаемый эффект от реализации угрозы. Оценка риска является основным аргументом для принятия решения о разработке и реализации угрозы.

В рамках этапа разработки исследуются и анализируются существующие программные злоупотребления и определяется возможность их применения. На основе проведенного анализа определяется состав программных злоупотреблений, позволяющих достичь тактические и стратегические цели, после чего осуществляется их разработка или доработка существующих.

После разработки осуществляется тестирование полученных компонентов программных злоупотреблений, их агрегирование в полиморфное программное злоупотребление. Полученное полиморфное программное злоупотребление тестируется и моделируются ситуации воздействий. Последним шагом в рамках данного этапа является анализ полученных результатов, на основе которых принимается решение о доработке или реализации программного злоупотребления.

Реализация атаки осуществляется одновременно с дополнительным анализом ситуации, риска и др. В случае, если атака завершилась успешно, осуществляется уничтожение следов (если это возможно) с тем, чтобы скрыть факт ее проведения. В случае, если атака была обнаружена, то принимается решении о продолжении атаки (посредством разработки или доработки других программных злоупотреблений) для обязательного достижения результатов.

Продолжением атаки может быть контратака (т.е. противодействие мерам защиты, направленным на обнаружение и ликвидацию результатов атаки программного злоупотребления), основной целью которой является выведение компонентов АИС из строя. Альтернативой атаки может быть прекращение воздействий, основной целью которой является сокрытие источников и средств атаки. Последним шагом является расчет и оценка достигнутого эффекта от реализации угрозы.

Технология развития конфликта со стороны объекта (АИС)

На рис. 2 представлена стратегия развития конфликта (противостояния угрозам) системой информационной безопасности.

В рамках аналитического этапа осуществляется комплекс работ по сбору информации (разведка) из внешнего мира, на момент наличия достаточной информации разрабатывается постановка задачи и определяются целевые функции. После определения целевых функций определяются критерии эффективности.

Определение необходимости достижения тактического опережения осуществляется на основе анализа сложившейся ситуации и риска, исходя из определенных целевых функций и критериев эффективности.

В случае, если принято решение о необходимости тактического опережения определяются цели тактического механизма и определяются основные задачи.

Работы по дезинформированию потенциальных злоумышленников должны проводиться на всех этапах развития стратегии разрешения конфликтов. Руководство АИС должны поддерживать работы, направленные на создание соответствующего имиджа, распространение необходимой информации и т.п.

В рамках исследовательского этапа осуществляется разработка плана восстановления нормальной работы АИС.

В случае, если принято решение о тактическом опережении, осуществляется разработка методов и средств достижения поставленных целей или доработка и адаптация уже существующих механизмов и средств, после чего реализуются мероприятия, обеспечивающие тактическое опережение. Также может приниматься решение о реализации ответных действий. На основе проведенных мероприятий осуществляется анализ достигнутого тактического опережения.

В случае, если принято решение об ожидании действий нарушителя, разрабатываются или дорабатываются методы и средства по обнаружению и противостоянию стратегическому механизму злоупотребления, после чего ожидается первый шаг со стороны нарушителя. Следующим шагом является реализация противостояния стратегическому злоупотреблению. Отдельно может быть принято решение о реализации ответных действий в противовес нарушителю. На основе проделанных мероприятий осуществляются работы по восстановлению нормального функционирования АИС. Последним шагом является анализ эффективности СИБ.

Экономические аспекты развития конфликтов

Исходной посылкой при разработке моделей эффективности СИБ является предположение, что с одной стороны, при нарушении системы защиты информации наносится ущерб, с другой стороны - обеспечение информационной безопасности сопряжено с расходованием средств. Отношение стоимости защиты и потерь от ее нарушения приведено на рис. 3.

Для развития данного подхода необходимо:

- определить ожидаемые потери;

- определить зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

Представляется необходимым рассмотрение методики оценки угроз безопасности АИС. Приняты следующие обозначения:

  1. нарушаемые принципы безопасности;
  2. возможность предотвращения;
  3. возможность обнаружения;
  4. возможность нейтрализации / восстановления. Оцениваются усилия необходимые для нейтрализации угрозы или восстановления нормальной работы.
  5. частота появления;
  6. потенциальная опасность;
  7. источник появления;
  8. уровень необходимых знаний. Следует отметить, что чем выше уровень необходимых знаний для реализации угрозы, тем меньше ее привлекательность;
  9. затраты на проектирование и разработку злоупотребления;
  10. простота реализации;
  11. потенциальное наказание в рамках существующего законодательства. Следует отметить, что здесь принимаются во внимание такие аспекты, как дисциплинарные взыскания, гражданская и уголовная ответственность. При оценке угроз по данному критерию следует принимать во внимание факт возможности доказательства авторства программного злоупотребления и наличие юридической ответственности за соответствующие нарушения;

Детальное рассмотрение методических основ отмеченной методики опубликовано автором в [2].

Представленный подход позволяет сделать вывод о том, что множество инструментов реализации конфликтов можно разделить на следующие группы:

- неопасные угрозы, которые легко предотвращаются или обнаруживаются, нейтрализуются и устраняются;

- опасные, для которых процессы предотвращения, обнаружения и нейтрализации, с точки зрения технологии, не отработаны;

- очень опасные, которые обладают максимальными оценками по всем параметрам и реализация процессов противостояния сопряжены с огромными затратами.

Для получения количественной оценки эффективности нападения и/или защиты предлагается следующий подход. В качестве объекта борьбы выступает ресурс (информация), за которую противостоящая сторона готова платить высокую цену. Доходы каждого x1(t) и x2(t) зависит от технического и технологического оснащения. Критерием эффективности является прибыль за время T. Следует отметить, что интервал времени является достаточным, чтобы была возможна реконструкция АИС, введение технических новшеств защиты информации. Часть дохода идет на процесс производства, а оставшаяся его часть составляет прибыль.

Скорость изменения доходов xi конфликтующих сторон описывается следующими уравнениями:

 

,

 

,

где - управленческие действия, направленные на получение информации о другой стороне;

- запаздывания;

- управления, направленные на улучшение и развитие собственных средств защиты и доступа;

- управления, направленные на противодействия получения другой стороной информации;

- ресурсы, затраченные на управление;

- фазы конкурирующих процессов.

Полагая, что , получаем

,

;

или

где - коэффициенты;

Соответственно, затраты на управление составят:

Для учета новых ПЗ, быстро изменяющих доходы сторон необходимо:

При и

где - затраты на переоснащение системы защиты информации АИС.

Как видно из представленных выкладок, далее, можно достаточно легко перейти к классическим моделям оценки эффективности и рассчитать стандартные параметры эффективности проектов обеспечения безопасности АИС.

 

Литература

  1. Черней Г.А., Охрименко С.А., Ляху Ф.С. Безопасность автоматизированных информационных систем.-Кишинев: Изд-во Ruxanda, 1996. -186 с.
  2. Черней Г.А. Оценка угроз безопасности автоматизированным информационным системам. // НТИ, Сер.2.-1997, №10.
  3. Ярочкин В.И. Как совершаются преступления.// Системы безопасности.-1995, № 5, с.42-43.

Рис.1. Стратегия развития конфликта со стороны нарушителя

Рис.2. Стратегия опережения и устранения конфликта системой информационной

Рис.3. Отношение полной стоимости защиты и ущерба от ее нарушения