CC BY
723
I ПОДХОД К ФОРМАЛИЗАЦИИ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННЫХ СИСТЕМ НА ОСНОВЕ ИХ КЛАССИФИКАЦИОННЫХ ПРИЗНАКОВ
Кубарев Алексей Валентинович, Москва, МГТУ им. Н.Э. Баумана,
E-mail: [email protected]
Основной задачей настоящей статьи является формирование формальной модели уязвимостей информационных систем, основанной на классификационных признаках уязвимостей. Указанный подход к формированию модели уязвимостей предлагается впервые. Для решения указанной задачи вводится понятие уязвимости информационной системы, определяются взаимосвязи между уязвимостями информационных систем и угрозами безопасности информации информационных систем и рассматриваются подходы к классификации уязвимостей информационных систем.
Ключевые слова: уязвимость, классификация уязвимостей, угроза безопасности информации.
THE CLASSIFICATION CHARACTERISTICS I BASED APPROACH TO FORMALIZATION I OF INFORMATION SYSTEMS VULNERABILITIES
Alexey Kubarev, Moscow, Bauman MSTU, E-mail: [email protected]
The main objective of this article is formatting of a formal model of information systems vulnerabilities, based on vulnerabilities classification characteristics. This approach to creation of vulnerabilities model is formatting for the first time. To solve this objective the concept of information system vulnerabilities is introducing, the relationship between information systems vulnerabilities and information security threats of information systems are determining and the approaches to classification of information systems vulnerabilities are considering.
Keywords: vulnerability, vulnerabilities classification, information security threat.
Введение
Каждый день обнаруживается множество уязвимостей информационных систем, причем обнаруживаются они как с целью их ликвидации, так и для их эксплуатации. Причем, ликвидируются уязвимости часто после обнаружения факта их использования. К моменту ликвидации уязвимости, общий ущерб, порождённый ею, часто уже является значительным [1, 2]. Объясняется это, в первую очередь, экономической нецелесообразностью ликвидации уязвимости, которая не может привести к значительному ущербу. Показательным можно считать количество обновлений и исправлений, предоставляемых разработчиками, - это говорит о том, что количество уязвимостей, способных нанести ощутимый ущерб информационной системе значительно и является неиссякаемой мерой.
УДК 004.056
Достижение требуемого уровня безопасности информации в информационной системе должно, прежде всего, базироваться на исследовании её уязвимостей, и проистекающих из них угроз и связанных с ними рисков. Для решения этих задач предлагается один из подходов к описанию уязвимостей в виде формализованной модели уязвимости.
Понятие уязвимости.
Что же такое уязвимость? Под уязвимостью информационной системы понимают такое свойство системы, посредством которой возможна реализация угрозы её безопасности. Первая редакция проекта национального стандарта Российской Федерации ГОСТ Р «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем» определяет уязвимость как «недостаток, предоставляющий возможность реализации угроз безопасности обрабатываемой информации».
Исходя из определения, создать систему, не содержащую уязвимостей объективно невозможно. Объясняется это тем, что на практике устранение одной уязвимости порождает другую уязвимость.
С другой стороны, оценив риски и вероятность определенных угроз, можно выбрать, какая уязвимость более приемлема с точки зрения вероятности реализации дочерних угроз и величины полученного от них ущерба.
Исходя из вышесказанного, не существует информационных систем, не содержащих уязвимости, существуют только защищенные - по отношению к которым вероятность возникновения актуальных угроз безопасности информации является приемлемой.
Взаимосвязи между уязвимостями информационных систем и угрозами безопасности информации информационных систем.
Если про угрозы можно сказать, какая из них направлена на какое свойство информации - доступность, конфиденциальность или целостность, то одна уязвимость может привести к множеству угроз безопасности, неоднородных по направленности. Например, из-за уязвимости, позволяющей реализовать БОЬ-инъекции, можно исполнить запрос, удаляющий данные в целевой базе данных, выводящий на дисплей устройства информацию, подлежащую защите или приводящий к отказу в доступе к целевой базе данных [3]. Данный пример отражает намеренное использование уязвимости - реализацию угрозы.
Очевидно, что так же дело обстоит и с ущербом: одна уязвимость может привести к различным степеням ущерба для системы в зависимости от её реализации: от нулевого (недекларированная возможность в мобильном устройстве на складе магазина) до катастрофического (недекларированная возможность в мобильном устройстве, по которому ведет конфиденциальные переговоры Министр обороны).
Напомним, что угроза безопасности может быть реализована не только злонамеренно. Непреднамеренная реализация угроз составляет значительную часть общего числа реализованных угроз. Примером непреднамеренной реализации угроз может послужить, например, нарушение доступности ресурсов вследствие автоматического отключения питания информационного рабочего места из-за перегрева центрального процессора по причине комплекса факторов. Уязвимостью системы в данном случае является недостаточная мощность системы охлаждения центрального процессора вкупе с системой отключения питания информационного рабочего места при перегреве центрального процессора.
Подход к формализации уязвимостей информационных систем...
Кроме искусственных угроз, существуют еще и естественные, которые, по большому счету, тоже являются последствиями уязвимостей. Например, угроза целостности информации вследствие затопления её хранилища. Угроза затопления в данном случае может быть естественной в случае цунами или искусственной в случае, если она реализуется соседом сверху. Уязвимостью в этих случаях будет являться подверженность вычислительных устройств коротким замыканиям в токопрово-дящей среде.
Таким образом, можно подтвердить вывод, что любая угроза безопасности информации реализуется путем эксплуатации конкретной уязвимости информационной системы [4].
Подходы к классификации уязвимостей информационных систем.
Появление уязвимостей в информационной системе, как и реализация угроз, бывает преднамеренным и непреднамеренным. Понятно, что непреднамеренное вызвано ошибками и объективными свойствами природы, а преднамеренное организуется, например, инсайдерами для последующего использования и является злонамеренным.
Как мы уже выяснили, уязвимости бывают естественными и искусственными [5-7]. К естественным можем отнести уязвимости, связанные с нагреванием проводников при протекании по ним электрического тока, к искусственным -ошибки в коде.
В любом случае, уязвимости могут появиться в информационной системе на одном из некоторых этапов её жизненного цикла, один из способов классификации уязвимостей построен по этому признаку. Эта классификация выделяет уязвимости проектирования, уязвимости реализации и уязвимости эксплуатации [5].
Первый тип предполагает уязвимость, заложенную в самом проекте объекта, и не существует способов его реализации и эксплуатации, исправляющих данную уязвимость, например неспособность протокола TCP/IP обрабатывать количество запросов, превышающее определенный предел, приводит к отказу в обслуживании целевого сервера.
Второй тип (уязвимость кода в терминологии первой редакции проекта ГОСТ Р «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем») предполагает уязвимость, появившуюся при некорректном исполнении объекта, например, программная ошибка или некачественное исполнение аппаратной части, банальный брак.
Уязвимости третьего типа (уязвимости конфигурации в терминологии первой редакции проекта ГОСТ Р «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем») появляются когда должным образом не осуществляется обслуживание объекта, например, нерегулярное обновление баз данных вирусных сигнатур создает в информационной системе угрозу заражения компьютерным вирусом.
Чаще всего обнаруживаются и используются уязвимости второго и третьего типов. Первый тип сложен для обнаружения и сложен (порой невозможен) для устранения. Второй тип довольно сложен для обнаружения и прост для устранения. Третий тип прост для обнаружения и устранения.
Достаточно удобен в прикладном смысле, но очень условен (по уже упомянутым причинам) способ классификации по степени риска: уязвимости высокого уровня риска, среднего уровня риска и низкого уровня риска. Данная
УДК 004.056
классификация применяется во многих базах данных уязвимостей. Указанные классы необходимо пояснить.
Уязвимости высокого уровня риска позволяют атакующему получить доступ с правами суперпользователя, например уязвимость Windows 95, позволявшая получить данные привилегии в обход процедуры авторизации.
Уязвимости среднего уровня риска позволяют атакующему получить информацию, которая с высокой вероятностью позволит ему получить доступ к узлу, например уязвимость слабой парольной защиты.
Уязвимости низкого уровня риска позволяют атакующему осуществлять сбор критической информации о системе, например, уязвимость отсутствия физического затирания памяти, помеченной как удаленная на съемном носителе.
Кроме того, можно описать уязвимость, указав к каким угрозам каких свойств информации она может привести.
Другой способ классифицирует уязвимости по уровню в структуре информационной системы: уязвимости организационно-правового уровня, аппаратного уровня, уровня сети, уровня операционной системы, уровня баз данных, уровня приложений [6].
Уязвимости организационно-правового уровня появляются вследствие неверной организации работы информационной системы, например отсутствие регламентации сложности пароля приводит к слабой парольной защите является уязвимостью данного класса.
Уязвимости аппаратного уровня существуют из-за огрехов или недекларирован-ных аппаратных модулей в аппаратной части информационной системы, её «железа», например слабое охлаждение центрального процессора сервера является уязвимостью данного класса.
Уязвимости уровня сети отражают уязвимости сетевых протоколов, например неспособность протокола TCP/IP обрабатывать определенное количество запросов, упомянутая выше, является уязвимостью данного класса.
Уязвимости уровня операционной системы отражают уязвимости, заключенные в операционной системе, используемой информационной системой, например уязвимости состояния гонки является уязвимостью данного класса.
Уязвимости уровня баз данных существуют в системах управления базами банных, используемых в информационной системе, например, программные ошибки, приводящие к указанным выше SQL-инъекциям, являются уязвимостями данного класса.
Уязвимости уровня приложений появляются при установке в информационных системах прикладного программного обеспечения, содержащего уязвимости, например уязвимость переполнения буфера.
Предлагаемый подход к формализованному описанию уязвимостей.
Таким образом, любую уязвимость определенной информационной системы можно формализованно описать множеством атрибутов: <Уязвимость АС> = <Этап возникновения> + <Уровень АС> + преднамеренность возникновения> + <Природа возникновения> + <Уровень риска> + <Подверженные свойствах
Такое описание может быть использована для множества действий, например, для принятия решения о необходимости ликвидации конкретной уязвимости, для выбора средств и способов её ликвидации, а так же для оценки глубины поиска уязвимостей.
Подход к формализации уязвимостей информационных систем...
Выводы
Таким образом, уязвимости - постоянные атрибуты любой информационной системы, не существует информационных систем, не содержащих уязвимости, существуют только защищенные - по отношению к которым вероятность возникновения актуальных угроз безопасности информации является приемлемой.
При этом, любая угроза безопасности информации реализуется путем эксплуатации конкретной уязвимости информационной системы.
На основе рассмотренных в данной статье подходов к классификации уязвимостей информационных систем, сформирована модель уязвимости, основанная на её классификационных признаках.
Указанная модель может быть использована для множества действий, например, для принятия решения о необходимости ликвидации конкретной уязвимости, для выбора средств и способов её ликвидации, а так же для оценки глубины поиска уяз-вимостей.
Литература
1. Марков A.C, Фадин A.A. Организационно-технические проблемы защиты от целевых вредоносных программ типа Stuxnet // Вопросы кибербезопасности. 2G13. № 1(1). С. 28-36.
2. Марков A.C, Цирлов В.Л. Опыт выявления уязвимостей в зарубежных программных продуктах // Вопросы кибербезопасности. 2G13. № 1(1). С. 42-48.
3. Емельянов К.И. Таксономия DOS-атак в беспроводных сенсорных сетях // Информационное противодействие угрозам терроризма. 2G1G. № 14. С. 53-56.
4. Марков A.C, Фадин A.A. Систематика уязвимостей и дефектов безопасности программных ресурсов // Защита информации. Инсайд. 2G13. №3. С. 56-61.
5. Котенко И.В., Котухов М.М., Марков A^ и др. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности AC и ИВС. СПб: ВУС им.С.М.Буденного, 2GGG. 19G с.
6. Муханова A., Ревнивых A3., Федотов AM. Классификация угроз и уязвимостей информационной безопасности в корпоративных системах // Вестник Новосибирского государственного университета. Серия: Информационные технологии. 2G13. Т. 11. № 2. С. 55-72.
7. Черешкин Д.С., Кононов A.A. Тищенко Д.В. Принципы таксономии угроз безопасности информационных систем. // Вестник РФФИ. № 3(17). 1999. С. 68-72.
References
1. Markov A.S., Fadin A.A. Organizatsionno-tekhnicheskiye problemy zashchity ot tselevykh vredonosnykh programm tipa Stuxnet, Voprosy kiberbezopasnosti, 2G13, No 1(1), pp. 28-36.
2. Markov A.S., Tsirlov V.L. Opyt vyyavleniya uyazvimostey v zarubezhnykh programmnykh produktakh, Voprosy kiberbezopasnosti, 2G13, No 1(1), pp.42-48.
3. Emelyanov K.I. Taksonomiya DOS-atak v besprovodnykh sensornykh setyakh, Informatsionnoye protivodeystviye ugrozam terrorizma, 2G1G, No 14, pp. 53-56.
4. Markov A.S., Fadin A.A. Sistematika uyazvimostey i defektov bezopasnosti programmnykh resursov, Zashchita informatsii. Insayd, 2G13, No 3, pp. 56-61.
5. Kotenko I.V., Kotukhov M.M., Markov A.S. and etc. Zakonodatelno-pravovoye i organizatsionno-tekhnicheskoye obespecheniye informatsionnoy bezopasnosti AS i IVS. SPb: VUS im.S.M.Budennogo, 2GGG, 19G p.
6. Mukhanova A., Revnivykh A.V., Fedotov A.M. Klassifikatsiya ugroz i uyazvimostey informatsionnoy bezopasnosti v korporativnykh sistemakh, Vestnik Novosibirskogo gosudarstvennogo universiteta. Seriya: Informatsionnyye tekhnologii, 2G13, vol. 11, No 2, pp. 55-72.
7. Chereshkin D.S., Kononov A.A. Tishchenko D.V. Printsipy taksonomii ugroz bezopasnosti informatsionnykh sistem, Vestnik RFFI, No 3(17), 1999, pp. 68-72.
