Оценка угроз безопасности автоматизированным информационным системам Черней Г.А.
Излагаются основы методики оценки угроз безопасности автоматизированным информационным системам. Рассматривается комплекс показателей, характеризующих привлекательность отдельных угроз. Одним из сложных и трудоемких процессов разработки концепции системы информационной безопасности (СИБ) для автоматизированных информационных систем (АИС) является исследование возможных угроз и выделение потенциально опасных [1]. Данный процесс порождает необходимость решения комплекса вопросов, на которые нужно ответить проектировщикам СИБ. В их числе следует выделить основные: - какие цели преследует нарушитель(и) безопасности АИС? - какие условия и факторы способствуют возможности реализации угроз? - как данные факторы оценить? - какова потенциальная опасность отдельных угроз и многие другие. Рассматривая цели, преследуемые нарушителем(ями) безопасности АИС, следует акцентировать внимание на следующих: нарушение конфиденциальности, целостности и доступности защищаемой информации. В большинстве случаев достижение приведенных целей напрямую связывается с нарушением соответствующего законодательства, договорных отношений между АИС и пользователями, этических норм и приводит к ощутимым потерям. На разработку и реализацию угроз оказывает влияние огромное количество факторов (экономических, технических, технологических и т.д.), описать которые в рамках отдельной статьи не представляется возможным. По нашему мнению, следует выделить следующие: - ожидаемый нарушителем “эффект” от реализации угроз; - сложность разработки и реализации; - необходимые затраты; - возможное наказание в случае идентификации угрозы, нарушителя и др. Основываясь на анализе угроз безопасности АИС, проведенном в [2,3], рассмотрим основы методики оценки данных угроз. В качестве базовых используем следующие показатели, обозначения и шкалы: А - нарушаемые принципы безопасности: 1 - нарушение конфиденциальности личной, служебной и другой доверительной информации; 2 - нарушение целостности и достоверности хранимых данных с помощью специальных программ; 3 - нарушение доступности системы, данных и услуг всем уполномоченным пользователям; 4 - несоблюдение законов, правил, лицензий, договоров и этических норм при использовании информации. Б - возможность предотвращения - оцениваются возможности предотвращения угрозы для конкретной АИС в реальных условиях: 1 - легко; 2 - трудно; 3 - очень трудно; 4 - невозможно. В - обнаружение угрозы - оценивается возможность обнаружения угрозы (автоматическая или ручная): 1 - легко; 2 - трудно; 3 -невозможно. Г - возможность нейтрализации / восстановления. Оцениваются усилия необходимые для нейтрализации угрозы (для принципов безопасности А1 и А4) или восстановления нормальной работы (для принципов безопасности А2 и А3): 1 - легко; 2- трудно; 3 - очень трудно; 4 - невозможно. Д - частота появления. Данная оценка отражает сравнительную характеристику частоты появления конкретной угрозы в сравнении с другими угрозами: 0 - неизвестна; 1 - низкая; 2 - средняя; 3 - высокая; 4 - сверх высокая. Для практической направленности считаем целесообразным использовать вспомогательную таблицу оценок (таблица 2), построенную на основе таблицы 1 [4].
Проводя анализ данных, представленных в таблице 2, необходимо отметить, что угрозы с высокой частотой появления встречаются очень редко, поэтому в дальнейшем будем опускать оценку 4 (3 раза в день или 1000 раз в год). В то же время, при оценке реальных угроз для конкретной ЭИС необходимо принимать во внимание возможное использование такой оценки. Е - потенциальная опасность - оценивается опасность угрозы с точки зрения ущерба, который может понести АИС в случае реализации угрозы: 1 - низкая; 2 - высокая; 3 - сверх высокая. Ж - источник появления: 1 - внутренний; 2 - внешний. Под внутренним источником понимается воздействие внутренних факторов, таких, как персонал, сбои и т.п. К внешним относят такие факторы, как стихийные бедствия, техногенные факторы (например, отключение электроэнергии), преднамеренные воздействия отдельных нарушителей или групп на безопасность АИС. З - уровень необходимых знаний - оценивается уровень профессиональной подготовки нарушителей для подготовки и реализации соответствующей угрозы: 1 - фундаментальные знания системной организации ресурсов, протоколов связи и др.; 2 - знание операционной системы; 3 - знание языков программирования; 4 - элементарные знания в области вычислительной техники. Следует отметить, что чем выше уровень необходимых знаний для реализации угрозы, тем меньше ее привлекательность. И - затраты на проектирование и разработку злоупотребления: 1 - большие; 2 - средние; 3 - незначительные затраты. К - простота реализации: 1 - очень трудно; 2 - трудно; 3 - относительно нетрудно; 4 - легко; Л - потенциальное наказание в рамках существующего законодательства. Следует отметить, что здесь необходимо рассматривать такие аспекты, как дисциплинарные взыскания, гражданская и уголовная ответственность. При оценке угроз по данному критерию следует принимать во внимание факт возможности доказательства авторства программного злоупотребления и наличие юридической ответственности за соответствующие нарушения: 1 - строгое наказание (вплоть до уголовной ответственности); 2 - незначительное наказание; 3 - наказание отсутствует. Таблица 3 Оценки угроз безопасности ЭИС
Предложенная система обозначений и оценок, а также соответствующие шкалы могут быть детализированы для каждой ЭИС в зависимости от характера деятельности, защищаемых информационных ресурсов и критичности информации. Комплексная оценка угрозы может быть рассчитана следующим образом: , (1) где - оценка i-й угрозы по j-му параметру; m - количество параметров оценки; - максимальная оценка по j-му параметру; На основе рассмотренных угроз безопасности АИС [2], а также предложенных в [3] логических схем механизмов реализации злоупотреблений и практического опыта предлагаются оценки угроз безопасности АИС (общесистемных, программных и других злоупотреблений), которые представлены в таблице 3. На основе данных таблицы 3 построены графики распределений оценок угроз для каждой группы, которые представлены на рис. 1, 2 и 3. Номера на оси Х на рисунках соответствуют номерам угроз в таблице 3.
Рис.1 Распределение комплексных оценок общесистемных угроз безопасности АИС Анализируя оценки общесистемных угроз безопасности АИС, следует отметить, что самыми опасными являются ошибки пользователей. Это обусловлено тем, что их предотвратить достаточно сложно. Наименьшей опасностью характеризуется такая угроза, как перегрузка трафика. Это обусловлено тем, что предотвратить ее достаточно просто, если соответствующим образом организовать мониторинг ресурсов системы и анализировать их использование. Рис.2 Распределение комплексных оценок программных злоупотреблений
Рис.3 Распределение комплексных оценок других злоупотреблений.
На основе анализа таблицы 3 и рис. 1, 2 и 3 можно сделать предварительный вывод, что комплексные оценки угроз распределены в следующих интервалах: до 2.70; от 2.71 до 2.85 и больше 2.85. Исходя из вышеизложенного, все угрозы безопасности и злоупотребления целесообразно разделить на три основные группы: - неопасные угрозы, которые легко предотвращаются или обнаруживаются, нейтрализуются и устраняются; - опасные, для которых процессы предотвращения, обнаружения и нейтрализации, с точки зрения технологии, не отработаны; - очень опасные, которые обладают максимальными оценками по всем параметрам и реализация процессов противостояния сопряжены с огромными затратами. Данное выделение является нестрогим и может варьироваться при изменяться при изменении метода расчетов комплексной оценки. В то же время данный подход будет полезным при оценке риска. На основе проведенного анализа представляется возможность развития описанного в [5] подхода описания привлекательности угроз для нарушителя, который строится с использованием следующих переменных: B0- выигрыш нарушителя от реализации угрозы; C0 - затраты нарушителя для подготовки и реализации угрозы. Следовательно можно утверждать, что чем больше значение отношения , тем больше экономических оснований для реализации угрозы. Тогда показатель привлекательности угрозы для нарушителя () равен: . (2) где - определяет среднюю меру успеха реализации угрозы. В рамках конфликта нарушитель стремится разработать/интегрировать программную угрозу с максимальным значением показателя привлекательности (g-> max). Основной задачей СИБ является предотвращение проникновения и развития угроз, то есть минимизация данного показателя (g-> min). Рассмотрим модель возможных исходов взаимодействия комплекса угроз и СИБ. Промежуточными в модели могут быть состояния p1,p2,p3,p4,p5,p6, характеристики которых отражают следующее:
. Результирующими состояниями взаимодействия могут быть события A,B,C и D (рис. 4). Рассмотрим подробнее их содержание. Результирующие событие A - угроза предотвращена. Тогда вероятность такого исхода () равна: . (3) Результирующие событие B - угроза не предотвращена, но обнаружена и нейтрализована. Вероятность исхода () равна: . (4) Результирующие событие C - угроза не предотвращена, обнаружена, но не нейтрализовано. Вероятность исхода () равна: . (5) Рис. 4 Алгоритм анализа реализации угроз и противостояния СИБ.
Результирующие событие D - угроза не предотвращена и не обнаружена. Вероятность исхода () равна: . (6) Таким образом, события A и B являются благоприятными для СИБ, а события C и D - неблагоприятны для СИБ, но благоприятны для нарушителя. Определим вероятность исхода событий (A+B) и (C+D). Вероятность события A+B () равна: . (7) Вероятность события C+D () равна: . (8) Таким образом, можно сделать вывод, что показатель и является мерой успеха реализации угрозы в общем случае и справедливо следующее равенство: . (9) С учетом (9), выражение (2) принимает вид: (10) Рассмотрим далее процесс комбинирования нарушителем комплекса злоупотреблений для достижения поставленной цели. Основными критериями является выбор на основе данных таблицы оценок угроз с точки зрения их опасности. При этом, угрозами с лучшими параметрами можно считать те, для которых показатели принимают следующие значения: Б= 3 - невозможно предотвратить (); В=3 - невозможно обнаружить (); при этом, Еa max. В данном случае привлекательность угрозы очевидна и достаточно большая. Достаточным условием реализации угрозы в этом случае, является отношение С0>B0, так как мера успеха реализации угрозы равна 1: (11) где =0- вероятность предотвращения угрозы СИБ; =0 - вероятность обнаружения угрозы СИБ; - вероятность нейтрализации угрозы СИБ. Так как уровень нейтрализации угрозы () зависит от информации о ней, то можно утверждать, что чем меньше объем информации об угрозе существует, тем меньше вероятность, что будут разработаны в СИБ механизмы для ее обнаружения. В таком случае, соответственно, не будут разработаны и механизмы для ее нейтрализации. Другими словами, когда и . В таком случае всегда справедливо утверждение, что . Тогда выражение (10) будет выглядеть: , (12) что полностью согласуется с выражением (2). Сформулируем условия привлекательности угрозы для нарушителя (показатели приведены в порядке убывания приоритета): Бa max. В таком случае, предполагается использование угроз, которые СИБ не может предотвратить. Чем больше значение показателя Б, тем выше вероятность того, что будет достигнут успех при реализации угрозы. В случае, когда он равен 3, угрозу невозможно предотвратить; Вa max. В случае использования угроз, которые невозможно обнаружить или для которых данный показатель приближается к максимальной величине; Гa max; Дa 0 (неизвестна); Е=необходимая. На основании высказанного выше можно сделать вывод, что при использовании новых угроз, которые СИБ не предотвращает и не обнаруживает, основным фактором, влияющим на решение нарушителя о реализации угрозы является только отношение выигрыша к затратам. При этом, при определении ценности активов ЭИС, необходимо принимать во внимание, что нарушитель может использовать не систему оценки держателя активов, а цены теневых рынков, что также существенно влияет на принятие решения о реализации угрозы. Представленные выше выкладки характеризуют состояние, когда существуют неконтролируемые каналы несанкционированного доступа и используются специально разработанные программные злоупотребления. Появление полиморфных программных злоупотреблений увеличивает "эффективность" отдельных программных злоупотреблений за счет интегрирования и использования их “сильных” сторон. В качестве примера интегрированных программных злоупотреблений рассмотрим схему реализации полиморфного программного злоупотребления (ППЗ), представленного на рис. 5.
Рис. 5. Блок-схема реализации полиморфных программных злоупотреблений
Рассматривается ППЗ, которое реализует тактический механизм для достижения тактической цели и после этого реализует стратегический механизм для достижения стратегической цели. После запуска полиморфное программное злоупотребление должно проводить анализ характеристик среды на предмет возможности реализации своих механизмов. Анализ проводится по двум направлениям. Первое направление - это анализ аппаратной части для определения платформы (персональные ЭВМ - Intel, Macintosh; рабочие станции - Sun, DEC и др.). Второе направление ориентировано на определение операционной системы и рабочей среды, используемой на каждом конкретном компьютере, информация о которой будет служить основой для определения возможного типа атаки. После анализа среды, на основе полученной информации выбирается тактический механизм, используемый для получения доступа и реализуется попытка получения несанкционированного доступа к информационной системе. Следует отметить, что данный процесс является многоитерационным и может повторятся до тех пор, пока не будет получен доступ к ЭИС. После получения доступа к системе реализуется дополнительный тактический механизм, если таковой предусмотрен. Дополнительный тактический механизм реализует основные функции по внедрению и запуску стратегического механизма, а именно: дополнительно анализируется среда и посылается злоумышленнику сообщение о возможности внедрения стратегического механизма. В зависимости от целевой функции и конкретной аппаратной и программной среды производится выбор стратегического механизма. При этом могут быть выбраны пассивные и/или активные механизмы. Следующим этапом является внедрение стратегического механизма, целью которого является реализация основной функции программного злоупотребления. В случае, если внедрение стратегического механизма произошло со сбоями, реализуется возврат на один шаг назад и производится попытка выбора другого стратегического механизма. В случае, когда внедрение стратегического механизма произошло нормально, тактический механизм реализует подготовку среды действия стратегического механизма, после чего уничтожается следы действия тактического механизма во избежание раскрытия программного злоупотребления стандартными методами. Рассмотренные ранее этапы реализации ППЗ - предварительные. Основным этапом в реализации полиморфного программного злоупотребления является реализация стратегического механизма, призванного достичь основной цели программного злоупотребления. Если реализация этого механизма не проходит нормально, то происходит возврат на этап выбора стратегического механизма или на этап выбора и реализации тактического механизма (для случая, когда требуется получить доступ к другому компьютеру, сети, системе). При успешной реализации рассматриваемого механизма может выполняться выдача нарушителю информации о проделанных операциях и достигнутых результатах. В качестве путей передачи информации нарушителю могут использоваться “скрытые каналы”. Последним этапом реализации ППЗ является уничтожение следов действия стратегического механизма в информационной системе. Анализируя опубликованные в литературе сведения о случаях реализации программных злоупотреблений, следует отметить, что первым программным злоупотреблением с полиморфными свойствами явился компьютерный “червь Морриса” [6]. Знаменитый компьютерный червь состоял из двух частей - блок внедрения (тактический механизм) и блок размножения (стратегический механизм). Таким образом, можно сделать вывод о том, что в арсенале злоумышленников могут быть, кроме обычных, всем известных программных злоупотреблений, множество дополнительных, которые будут использовать элементы экспертных систем и самообучения для проникновения и нарушения безопасности ЭИС. Предложенный подход иллюстрирует возможность использования полиморфных программных злоупотреблений, что многократно увеличивает вероятность реализации угрозы. Обоснуем сделанное выше утверждение. При реализации ППЗ используются тактический и стратегический механизмы, которые, в свою очередь, могут состоять из нескольких элементов. Тогда u-ю угрозу можно описать множеством свойств Аu,Бu,Вu,Гu,Дu,Еu, то есть U={Аu,Бu,Вu,Гu,Дu,Еu}. Для случая, когда ППЗ разрабатывается путем интеграции некоторого множества обычных угроз, получают новые характеристики, которые формируются следующим образом: , (13) то есть ППЗ формируется за счет использования "эффективных" свойств и механизмов простых программных злоупотреблений. Операция opt означает выбор тех свойств программного злоупотребления, которые необходимы для достижения желаемого результата (например, для свойства A могут быть конфиденциальность и/или целостность и/или доступность и т.д.). Операция max означает выбор показателей с наивысшей оценкой (в соответствии с предложенной шкалой оценок). Рассмотрим гипотетический пример реализации ППЗ на базе скрытого канала информации, собранной методом повторного использования объектов. Для систем не допускающих повторного использования объектов возможна реализация методов суперзаппинга. В результате получается ППЗ со следующим логическим механизмом: сбор информации, полученной методом повторного использования объектов, реализованного методом суперзаппинга с помощью скрытых каналов, внедренных в ЭИС посредством использования "люков". На основе анализа данных таблицы оценок угроз, следует отметить, что при таком подходе, свойства (Б-Г) ППЗ приближаются к 3, то есть принимают значения близкие к максимальным (невозможно предотвратить, невозможно обнаружить, невозможно нейтрализовать). При этом следует принимать во внимание тот факт, что оценки Г определены только с точки зрения технологической сложности нейтрализации, при этом не учитываются влияние оценок В (обнаружение). Таким образом, если при оценке возможности нейтрализации принимать во внимание оценки В (при В-> 3 и Г-> 3), то если угрозу невозможно обнаружить, то естественно ее нельзя нейтрализовать. Для внедрения программы реализации скрытого канала возможно использование “люков” (в качестве которых могут выступать ошибки в фирменном программном обеспечении), у которых оценка возможности предотвращения (предупреждения) равна максимуму (то есть невозможно предотвратить). Для этого достаточно разработать программное злоупотребление, которое использует соответствующие "окна" для внедрения.
Литература
1. Шнайдерман И.Б., Охрименко С.А., Черней Г.А. Концепция системы информационной безопасности автоматизированных информационных систем.// Автоматизация и современные технологии. -1996, №8, c.26–29. 2. Охрименко С.А., Черней Г.А. Угрозы безопасности автоматизированным информационным системам (программные злоупотребления) //НТИ. Сер.1, Орг. и методика информ. работы. -1996, №5, стр.5-13. 3. Черней Г.А., Охрименко С.А., Ляху Ф.С. Безопасность автоматизированных информационных систем. -Кишинев:Ruxanda, 1996. –186 c. 4. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. -М.:Энергоатомиздат, 1994. -кн.1,2 5. Абалмазов Э.И. Защита малого и среднего бизнеса: гипотезы и реальность. // Системы безопасности. -1995, №4, с. 56-57. 6. Моисеенков И.Э. Суета вокруг Роберта или Моррис-сын и все, все, все...//КомпьютерПресс, 1991, №8, с.45-62, №9, с.7-20. |