МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УДК 004.7
И. В. МАШКИНА
ИДЕНТИФИКАЦИЯ УГРОЗ НА ОСНОВЕ ПОСТРОЕНИЯ СЕМАНТИЧЕСКОЙ МОДЕЛИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
На основе теоретико-множественного подхода предложено формализованное описание информационной системы, созданной в соответствии с рекомендуемыми в ГОСТ основными принципами архитектуры безопасности. Предложено описание угрозы в виде кортежа, приводится оценка числа путей распространения угроз, анализируется возможность идентификации атаки по индикаторам аномальных событий на пути распространения. Информационная безопасность; информационная система; семантическая модель
Усложнение современных информационных систем (ИС) ведет к появлению в них все большего количества сетевых устройств и разнородных средств защиты информации, генерирующих огромное число событий безопасности, разобраться в которых, сопоставить сигналы о событиях безопасности от разных систем администратору безопасности практически невозможно; в то же время ответные действия на атаки должны быть предприняты немедленно.
Поэтому перед подразделениями, обеспечивающими информационную безопасность (ИБ) организации, ставится задача эффективного управления защитой информации (ЗИ) во все более усложняющейся сетевой среде. Требуются динамические методы, позволяющие оперативно контролировать изменение условий среды функционирования и предотвращать нарушения ИБ, управляя сетевым оборудованием и средствами защиты.
При разработке методов принятия решений по управлению защитой информации необходимо стремиться к наиболее полному и объективному представлению объекта управления — системы защиты информации (СЗИ), описанию ее внутренней структуры, объясняющей причинно-следственные законы функционирования и позволяющей управлять процессами защиты информации.
Принятие решения по управлению осуществляется на основе реализации функции контроля данных с маршрутизаторов, коммутаторов, МСЭ, СОА, серверов, ОС, приложений. При исследовании аномальной ак-
тивности эффективным способом выявления атаки является анализ комбинации поведений в контролируемом пространстве. Поэтому для сопоставления событий в ИС должна быть проведена формализация этого процесса, для чего необходимо получить математическое описание структуры сети.
В управлении модели используются для обоснования решений. Такие модели должны обеспечивать как описание, так и объяснение поведения системы в условиях неопределенности воздействия угроз.
Под математическим моделированием понимают процесс получения некоторого математического объекта — математической модели, соответствующей данному реальному объекту. Любая математическая модель, как и всякая другая, описывает реальную систему с некоторой степенью приближения. Известные модели безопасности [1,2,3] используются для решения проблемы построения политик безопасности, а не для описания потенциально возможных угроз безопасности информации.
Одним из решений, рассматриваемых в литературе по безопасности, было предложение представлять и использовать для потока информации модель, требующую того, чтобы никакая высокоуровневая информация никогда не протекала на более низкий уровень [4].
Для представления математических моделей могут использоваться различные формы записи. Инвариантная форма — запись соотношений модели с помощью традиционно-
Контактная информация: (347)273-06-72
го математического языка безотносительно к методу решения уравнений модели [5].
Под системой в общем случае понимается совокупность элементов и связей между ними, обладающая определенной целостностью. Модель системы — есть изоморфизм А в , где А — множество фиксированных элементов предметной области с исследуемыми связями между этими элементами, — абстрактное множество, задаваемое в виде кортежа [5]:
Ф =< {М},РъР2,...Рп >,
где {М} — множество элементов модели, соответствующих элементам предметной области, или носитель модели;
, , — предикаты, отображаю-
щие наличие того или иного отношения между элементами предметной области. Носитель модели является содержательной областью предикатов , , .
При таком рассмотрении модель отражает семантику предметной области в отличие от неинтерпретированных математических моделей. Этап моделирования является ключевым моментом при разработке системы управления, использующей методы интеллектуальных технологий.
1. ПОСТАНОВКА ЗАДАЧИ
Примем, что архитектура безопасности ИС создана в соответствии с рекомендуемыми в [6] основными принципами:
Введение категорий конфиденциальности (критичности, важности) информации и создание соответственно сетевых сегментов, на хостах которых хранится и обрабатывается информация одного и того же уровня конфиденциальности. При этом каждый пользователь внутри своего сетевого сегмента имеет доступ к информации одного уровня конфиденциальности. В этом случае не смешиваются потоки информации разных уровней конфиденциальности. Объяснением такого разделения всех пользователей в соответствии с типами изолированных сегментов является легкость осуществления атаки внутри одного сегмента сети.
Выделение в отдельный сегмент всех внутренних серверов компании. Эта мера также позволяет изолировать потоки информации между пользователями, имеющими различные уровни доступа.
Существует несколько подходов к математическому описанию сложных систем. В работе ставится задача построения модели информационной инфраструктуры СЗИ
на основе теоретико-множественного подхода [7]. Основой построения модели является описание объектов в виде совокупности элементов, связанных между собой определенными отношениями, отображающими семантику предметной области.
Для сети, состоящей из сегментов, в которых обрабатывается информация с различными уровнями конфиденциальности (критичности):
описать множество преднамеренных угроз , внешних и внутренних ,
-Ц- _ £увн у £увнш .
выявить возможные источники угроз и объекты атак;
оценить число потенциально возможных путей распространения атак;
предложить способ идентификации атаки на основе анализа событий безопасности на пути ее распространения.
2. ФОРМАЛИЗОВАННОЕ ОПИСАНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ НА ОСНОВЕ ТЕОРЕТИКО-МНОЖЕСТВЕННОГО ПОДХОДА
Зададим три категории конфиденциальности (критичности, важности) информации: низкая («н»), средняя («с») и высокая («в»). Тогда множество информационных объектов О в сети представляет собой объединение множеств:
о = ои и ос и сг,
где — множество информационных объектов категории «н»,
Ос — множество информационных объектов категории «с»,
Ов — множество информационных объектов категории «в».
Причем
0“ = К:^0“} : 5€[1,е] ,
0‘- = {0^е0г},/е[1,.Р],
0“ = К:^€0в}^е[1,Р],
О11 с 0, 0е СО, 0й СО.
Зададим множество сегментов сети:
с = ст и сг и си,
где , , — подмножества сегментов, в
которых хранится и обрабатывается информация, соответственно, с низким, средним и высоким уровнем конфиденциальности;
Си = {с“ : с“ е С11} , п е [1, АТ] ,
где — число сегментов, в которых хранится и обрабатывается информация категории «н»;
С* = {с^, : (?т £ Сс} , т £ [1, М] ,
где — число сегментов, в которых хранится и обрабатывается информация категории «с»;
= {(■{•: с? е С“} , г е [1, Ь] ,
где — число сегментов, в которых хранится и обрабатывается информация категории «в»;
Сш С С, Г '1 с С, С,в С С .
На хостах хранится и обрабатывается информация с определенным для сегмента уровнем конфиденциальности. Зададим множество хостов в каждом сегменте через характеристические предикаты:
у;и = {?/“. : ?/“. - учел в ссх’мснтс С“} ,
% €Е [1, /п] ;
: ?/т ;- уЗСЛ В ССХ’МСНТС С^, ^ ,
Э £ [1, «Л??] ;
У,“ = {%“. : Уц, — узел в сегментеС"} , ке[1,К{\ .
Тогда множество узлов в сегментах описывается с помощью объединения множеств:
уи = у“ и... у;11 и... у/; ,
где — множество узлов в сегментах с уровнем конфиденциальности информации «н»;
у: = ус и... у;г, и... у/, ,
где — множество узлов в сегментах с уровнем конфиденциальности информации «с»;
Уи = У^ и ... У]в и ... ¥1,
где — множество узлов в сегментах с уровнем конфиденциальности информации «в».
На различных узлах в сегментах хранятся и обрабатываются различные наборы информационных объектов. Введем булеаны ,
,:
Д(0“) = {Н11 : Н11 С О11} ,
где — подмножество наборов информационных объектов категории «н»,
Н11 = {н¥,...н“,...н^} , (?1 = 2°;
Д(О^) = {Нс : Нс С 0е} ,
где Н — подмножество наборов информационных объектов категории «с»,
Нс = {н£,... н^,... } , Рх= 2Ь';
В (0й) = {Нв : Яв С Ов} ,
где Н — подмножество наборов информационных объектов категории «в»,
Н“ = {н^,...нЗ,...нЬ1} , 2)1 = 2".
Каждому узлу в сегменте соответствует определенный набор информационных объектов, причем могут быть одинаковые наборы на узлах в сегментах одной и той же категории.
Зададим соответствия множеств
рСД(Н“)хУ“,
г С Я(Н“) х У- ,
А С В(Нв) х У? .
Соответствие — есть некоторое подмножество декартова произведения:
Н11 х У“ = {(н“>И“,) : н“ € Н“ Л £ У“} , нс х у;; = {(н/.//;,,.): н/ е 1Г л е г;;,} .
Н“ х УГ = {(н2, ?Л“) : н2 € Н“ Л VI <Е } ,
причем сечения соответствий р(н°), т(н^), определяют узлы, в которых обрабатываются одинаковые наборы информационных объектов. С помощью соответствия можно задать упорядочение пары (набор информационных объектов, узел в сегменте).
Тогда множество информационных объектов в сегментах определяется с помощью операции объединения множеств:
о; = []«;«),
г=1
■>т
= У Н/(?4/Ь
т=1
А;
0“ = и нй«) ■
£=1
Обозначим множество субъектов доступа через . Субъекты доступа — это пользователи или процессы:
^ _ ^ВН у ^внш
где SBH — внутренние субъекты доступа,
5ВНШ — внешние субъекты доступа. Множество внутренних субъектов доступа есть объединение множеств
ЯШ1 = я11 U 5е U ,
где SB — множество пользователей или процессов с уровнем доступа «н»,
Sc — множество пользователей или процессов с уровнем доступа «с»,
SB — множество пользователей или процессов с уровнем доступа «в».
Множества задаются через характеристические предикаты:
N
s“ = U s* ■
71—1
он __ Г н н \
°п ~ ' Щ) 1
М
SC = U SCm :
т=1
S"' = / ц1 • ц.<: X
^rn 1 •- rn j • т j J ;
L
s- = Usf;
1=1
Яи — I еи • ев \ й/ - Xs 1к ■ SlhJ :
где — субъект доступа в -м сегменте, — субъект доступа в -м сегменте, — субъект доступа в -м сегменте.
Зададим отображения множества узлов в сегментах в множество субъектов доступа:
V'11 ч си
X п 7 KJn ,
Yc —v 9е
rn т 1
У? -> Sf.
Множество внешних субъектов доступа есть объединение множеств
ГГВНШ _ Сп ВШИ I | ГФНШ ^ г -1 ту!
О — DT U Dr , Г с [1; jtCJ ,
где — внешние пользователи, обладаю-
щие правами доступа,
— несанкционированный субъект доступа,
— число точек доступа через периметр. Множество субъектов доступа, внешних или внутренних, можно рассматривать как источники угроз, под которыми понимается атакующая программа или оператор, непосредственно осуществляющий воздействие на вычислительную сеть.
По расположению субъекта доступа относительно атакуемого объекта угрозы подразделяются на внешние и внутренние (внутрисегментные и межсегментные).
3. ОПИСАНИЕ УГРОЗ КАК КАНАЛОВ
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА, УТЕЧКИ, ДЕСТРУКТИВНЫХ ВОЗДЕЙСТВИЙ,
И ОПРЕДЕЛЕНИЕ ПУТЕЙ УГРОЗ
Внешние угрозы — это потенциально возможные действия, заключающиеся в поиске и использовании той или иной уязвимости, предпринимаемые:
злоумышленником с целью проникновения с удаленной машины внутрь защищаемой системы, получения, без права на то, удаленного доступа к ресурсам ИС и хищения данных или вызова отклонения от нормального протекания информационных процессов;
удаленным пользователем, имеющим определенные права, пытающимся превысить уровень своих полномочий.
Внутренние угрозы связаны с нарушением принятой политики безопасности: нелегальным поведением пользователя на компьютере или сервере, попытками доступа пользователя к информационным ресурсам, уровень конфиденциальности которых превышает его уровень доступа (попытки сетевых соединений, запуска приложений и другое). Любой несанкционированный доступ является реализацией преднамеренной угрозы ИБ и называется атакой.
В работе рассматриваются удаленные внешние и внутренние межсегментные атаки, которые представляют гораздо большую опасность, чем внутрисегментные.
Таким образом, для описания угрозы как канала несанкционированного доступа, утечки, деструктивных воздействий, необходимо указать субъект доступа, информационный объект, к которому осуществляется несанкционированный доступ, путь распространения угрозы, информационный носитель. Тогда угроза может быть описана кортежем
и = (5, А, Зс. Зх. П. О(С)).
где — источник угрозы — субъект доступа (пользователь, внешний злоумышленник или запущенные ими процессы);
— оборудование в канале связи (коммутаторы, маршрутизаторы и другое);
, — сервисы безопасности на пути
распространения угрозы, соответственно се-
тевые и хостовые (МСЭ, СОА, журналы регистрации аномальных сетевых соединений, журналы регистрации операционных систем и другие);
П — протоколы и пакеты;
О — объект доступа (в каком сегменте).
В настоящее время подавляющее число угроз информационной безопасности принципиально может быть реализовано только в процессе функционирования ИС [8], при этом логическое вторжение является наиболее результативным для злоумышленника. В рамках логического вторжения обычно выделяют внутрисистемное и удаленное. При внутрисистемном вторжении предполагается, что нарушитель уже имеет учетную запись в системе как пользователь с невысокими привилегиями и совершает атаку на систему для получения дополнительных привилегий. Удаленное вторжение заключается в попытке проникновения в систему (например, через сеть Интернет) с удаленной машины. Это атаки, выполняемые при постоянном участии человека, и атаки, выполняемые специальными программами: атаки на информацию, хранящуюся на внешних запоминающих устройствах, атаки на информацию, передаваемую по линиям связи, атаки на информацию, обрабатываемую в памяти компьютера.
Основная цель практически любой атаки — получение несанкционированного доступа к информации: перехват и искажение. Возможность искажения информации означает либо полный контроль над информационными потоками, либо возможность передачи сообщений от имени другого объекта.
Множество угроз включает в себя подмножества внешних и внутренних угроз:
■Ц- _ £уВН у ^увНШ
В свою очередь подмножество внутренних угроз включает в себя подмножества и :
1т(п)'
С//[“) = (5г,А,Зс,Зх,П,Ов(С'в)),
где — угроза информационным объек-
там категории «в» в случае, когда нарушитель имеет учетную запись в системе как пользователь с правами доступа к информации с уровнем конфиденциальности «с», обрабатываемой в сегментах , и пытается превысить свои привилегии,
А> Зс:, Зх, П, 0В(СВ) и ОЦСП),
— угроза информационным объектам категории «в» и «с» в случае, когда нарушитель имеет учетную запись в системе как пользователь с правами доступа к информации с уровнем конфиденциальности «н», обрабатываемой в сегментах , и пытается превысить свои привилегии.
Внешняя угроза связана с внешним субъектом доступа и описывается кортежем
[/В11Ш = {ЯВ11Ш, А, Зс, Зх, Н, О(С)).
Таким образом, источниками внутренних угроз являются субъекты и процессы, описываемые множествами , , источниками
внешних угроз — субъекты и процессы, описываемые множеством .
На информационные объекты множества в сегментах воздействует множество угроз :
На информационные объекты множества в сегментах воздействует множество угроз
ГГ _ ГГВН | | ггВНШ
ит ~ ит(п) и и
На информационные объекты множества воздействует множество внешних угроз
ип = [/В11Ш.
Построим далее композиции соответствий:
а С Щ х Св и £ С Св х У]в,
V С ит х Сг и 7Г с сг х у;г,,
V с и£ с11 и ц с с11 х у;11.
Получим упорядоченные множества, элементами которых являются пары (угроза, узел) в соответствующих сегментах:
(г°£ = ) ■
ЩеСП((щ^)еа)А((с?,у?к)еО} ,
д €[1,01, и о ж = {(нТОчл/^;.) :
(34 е Сс)((«„,„4) € V) Л {{<■„,. И',,,) € тг)} ; г/ £ [1, <2С] ,
V о ц = {Кч:
(Зс“ € С“)((%с“)^) Л ((<£, !/“)^)} :
?е[1,ди],
где , , — число путей распростра-
нения атак к узлам в сегментах, в которых хранится и обрабатывается информация с уровнем конфиденциальности соответственно «в», «с», «н».
Число путей равно:
<2“ = N + м + д,
<2<: = Аг + д,
<2и = к
4. СПОСОБ ИДЕНТИФИКАЦИИ АТАКИ — АНАЛИЗ СОВОКУПНОСТИ АНОМАЛЬНЫХ СОБЫТИЙ
Обнаружение пассивных атак затруднено из-за отсутствия непосредственного влияния на работу системы. Активное воздействие нарушает принятую в ней политику безопасности; в результате осуществления такой атаки в системе происходят определенные изменения, которые могут быть зарегистрированы.
Источниками информации о состоянии информационной среды являются маршрутизаторы и коммутаторы, другое сетевое оборудование, межсетевые экраны, сетевые и хосто-вые системы обнаружения аномалий, VPN-устройства, журналы регистрации операционных систем, аномальных сетевых соединений, приложений и другие. События, зафиксированные различными источниками, необходимо сопоставить с возможными путями распространения атаки.
Введем множество функциональных индикаторов И — значений контролируемых параметров, с помощью которых фиксируются отдельные события информационной безопасности. Функциональные индикаторы отражают результаты контроля: изменений правил МСЭ, соответствия настроек других сервисов безопасности политике безопасности,
изменений привилегий пользователей, системных вызовов, попыток доступа, состояния соединений, обращений ОС.
Поскольку единственным эффективным способом идентифицировать атаку является анализ комбинаций поведений, в работе предлагается сопоставить множеству возможных путей распространения атаки множество индикаторов. Для идентификации внутренних атак предлагается использовать два типа индикаторов: системные и сетевые (хостовые),
для идентификации внешних вторжений дополнительно использовать индикаторы, отображающие аномальные события на периметре сети.
Зададим множество путей распространения атак с помощью характеристического предиката:
I’ = {К ■ Рг} , г € [1,1р] ,
1Р = 0й + 0е + С11,
где — путь распространения атаки.
Множество индикаторов включает в себя:
И = и и и И11(;р .
где — подмножество индикаторов, фиксирующих попытку доступа субъекта с уровнем ограничения доступа «н» к объекту с уровнем конфиденциальности «с»,
— подмножество индикаторов, фиксирующих попытку доступа субъекта с уровнем ограничения доступа «н» к объекту с уровнем конфиденциальности «в»,
Щ.ГП) — подмножество индикаторов, фиксирующих попытку доступа субъекта с уровнем ограничения доступа «с» к объекту с уровнем конфиденциальности «в»,
Ипер — подмножество индикаторов, фиксирующих попытки проникновения на периметре.
Множество И можно описать с помощью характеристического предиката
II = {И/ : н/1 ,
.7 £ [1, «/ц] ;
где — индикатор сетевой, хостовой или пе-риметровый.
Зададим соответствие множества путей атак множеству индикаторов
Та с Р х II = {{)>;. и,-) : ]>, е Р А II;/ е И} .
Тогда сечение соответствия по определяет набор индикаторов, соответствующий реализации угрозы на данном пути.
ТаЫ = {(%,- : %,.} ,
где иР{ — индикатор одного события ИБна пути атаки.
Регулярный контроль и оперативный анализ данных о подозрительной активности, которую можно идентифицировать как атаку, в условиях информационного противоборства позволит принимать обоснованные решения
о варианте реагирования на изменение среды функционирования, то есть формировать командную информацию для реализации управления в реальном времени.
Для путей распространения угроз разработаны модели, реализованные в модуле системы интеллектуальной поддержки принятия решений, что позволяет после установления пути распространения атаки выбирать типовые решений из базы моделей, вырабатывать оперативную командную информацию по рациональному управлению в условиях сложной обстановки информационного противоборства. Разработанные модели и метод принятия решений по оперативному управлению защитой информации на основе идентификации атаки по индикаторам на пути ее распространения описаны в [9], приведены численные примеры.
ЗАКЛЮЧЕНИЕ
На основе теоретико-множественного подхода построена математическая модель информационной системы, представляющей собой сегментированную сеть, в виде совокупности элементов, связанных между собой определенными отношениями, отображающими семантику предметной области (информационных объектов трех уровней конфиденциальности, узлов, сегментов, субъектов доступа), что позволяет определить множество источников угроз, внешних и внутренних, защищаемым информационным активам.
На основе семантической модели информационной системы предложено описание множества внешних удаленных и внутренних межсегментных угроз в виде кортежей, для каждого узла в соответствующем сегменте определены пути угроз, получена в количественном выражении оценка числа путей распространения угроз к узлам в сегментах, что позволяет внести в рассмотрение множество функциональных индикаторов, определять наборы индикаторов, соответствующих реализации атаки на каждом пути, и сопоста-
влять события в сети для принятия обоснованных решений по оперативному управлению.
СПИСОК ЛИТЕРАТУРЫ
1. La Padula, L. Secure computer system : mathematical foundation / L. La Padula, D. Bell. ESD-TR-73-278, V. I, MITRE Corporation.
2. La Padula, L. Secure Computer Systems : a mathematical model / L. La Padula, D. Bell. ESD-TR-73-278, V. II, MITRE Corporation.
3. McLean, J. A comment of the «Basic Security Theorem» of the Bell and La Padula /J. McLean. Information Processing Letters, 1985.
4. Корт, С. С. Теоретические основы защиты информации : учеб. пособие / С. С. Корт. М.: Гелиос АРВ, 2004. 240 с.
5. Анфилатов, В. С. Системный анализ в управлении : учеб. пособие / В. С. Анфилатов, А. А. Емельянов, А. А. Кукушкин. М.: Финансы и статистика, 2006. 368 с.
6. ГОСТ ИСО/МЭК 17799 [Электронный ресурс] (http://it4business.ru/itsec/ Norma-tivnajaBazaRossijjskojjFederaciiPoBezopas-nosti?v=14t8).
7. Куликов, В. В. Дискретная математика: учеб. пособие / В. В. Куликов. М. : РИОР, 2007. 174 с.
8. Кузнецов, Н.А. Информационная безопасность систем организационного управления. Теоретические основы / Н. А. Кузнецов. Ин-т проблем передачи информации РАН. М.: Наука, 2006.
9. Машкина, И. В. Модели и метод принятия решений по оперативному управлению защитой информации / И. В. Машкина // Системы управления и информационные технологии. 2008. № 32. С. 98-104.
ОБ АВТОРЕ
Машкина Ирина Владимировна, доц. каф. выч. техн. и защиты информации. Дипл. инж.-электромех. по авиац. приборостроению (УАИ, 1974). Канд. техн. наук по системам управления силов. установками летат. аппаратов (УАИ, 1989). Иссл. в обл. информ. безопасности.