УДК 683.1
МЕТОД ПОСТРОЕНИЯ ФОРМАЛЬНЫХ МОДЕЛЕЙ РЕАЛИЗАЦИИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
О.Ю. Макаров, В.А. Хвостов, Н.В. Хвостова
Проведен анализ современных методов разработки моделей угроз информационной безопасности (ИБ) автоматизированных систем (АС). Предложен метод построения формальных моделей реализации угроз ИБ, с использованием логических деревьев атак Б. Шнайера и присвоением дугам дерева числовых коэффициентов, имеющих временной смысл. Предложенный метод формализации позволяет проводить оценку временных характеристик угроз ИБ и может быть использован при разработке формальных моделей защиты информации в АС при решении задачи синтеза систем защиты информации (СЗИ)
Ключевые слова: информационная безопасность, модель угроз, дерево атак, сценарий атаки
Одной из современных тенденций развития теории защиты информации является переход от экспертного метода обоснования требований к СЗИ, основанного на соотнесении разрабатываемой АС с классом защищенности, определенным в руководящих документах [1, 2] к техническому синтезу.
Современная теория синтеза систем [3-5] базируется на целостном представлении структурных элементов системы с учетом всех взаимосвязей и принципа целенаправленности. При выборе оптимального (рационального) варианта системы используются категории эффективности и стоимости.
Однако формальные подходы к решению задачи оценки защищенности из-за отсутствия соответствующей методологической базы практического применения не получили. Широко применяется на практике классификационный подход. Вместо синтеза системы защиты в узком техническом смысле, применяется категорирование: угроз ИБ (по целям, источникам, используемым уязвимостям, ущербам от реализации); информации (по важности, уровню конфиденциальности); средств защиты (по функциональности). Такой подход позволяет получить вместо системы защиты совокупность средств защиты.
Основой обеспечения полноты и согласованности требований к ИБ является модель угроз ИБ. В рамках существующего классификационного подхода к обоснованию требований классификационная модель угроз, являющаяся, по сути, перечнем возможностей по некоторому множеству классификационных признаков [6], вполне достаточна и функциональна.
Использование научных методов технического синтеза при разработке СЗИ не может быть обеспечено анализом угроз классификационными способами и их феноменологическим описанием — системный подход выдвигает проблемы, требующие формального описания для количественной оценки эффективности.
Макаров Олег Юрьевич - ВГТУ, д-р техн. наук, профессор, тел. (4732) 43-77-06
Хвостов Виктор Анатольевич - ГНИИИ ПТЗИ, канд. техн. наук, тел. (4732)39-79-83 Хвостова Наталья Валерьевна - МОУ СОШ, преподаватель, e-mail: [email protected]
Таким образом, целью статьи является разработка формальных моделей угроз ИБ, позволяющих проводить количественную оценку эффективности СЗИ в интересах решения задачи технического синтеза.
При разработке методики оценки эффективности СЗИ в условиях реализации угроз ИБ необходимо рассмотрение процессов с конфликтной динамической точки зрения. Использование основных положений теории динамического конфликта [7] в сочетании с теорией случайных процессов позволяет разрабатывать математические модели возникновения ущербов с учетом рассмотрения СЗИ как сложных иерархических систем [5,6].
Основная идея построения вероятностной модели динамического конфликта [7] заключается в переходе от независимого описания функционирования противоборствующих сторон безусловными вероятностно-временными характеристиками (ВВХ) к описанию их взаимодействия конфликтно-обусловленными ВВХ, отражающими выигрыш одной из сторон в случае опережающего выполнения ею своей задачи. В качестве ВВХ динамического конфликта используются конфликтно-
обусловленные плотности распределения вероятности (ПРВ) выигрыша конфликтующих сторон.
Таким образом, в качестве количественной меры при построении формальных моделей угроз необходимо использовать их ВВХ.
В настоящее время широкое распространение получила формализованная модель угроз, разработанная Б. Шнайером [8]. В качестве основополагающей конструкции здесь выступает иерархическое дерево О = (Ь, Е), где Ь = {11} — множество
вершин дерева, Б={е8}, Е е Ь} - множество дуг дерева. Каждая вершина дерева О ассоциируется с определенным действием нарушителя, при этом корень дерева обозначает конечную цель информационной атаки, реализация которой может нанести значительный ущерб АС. Таким образом, на графе в имеется возможность составить множество возможных путей вр = ^рг}, где каждый путь §рг представляет собой последовательность дуг (е1, е2,...еи ) вида е. = (I., I}.), ^, I}. е Ь, при этом
конечная вершина дуги ^. одновременно является начальной вершиной дуги /.+.. В качестве начальной вершины пути могут выступать листья дерева О, а в качестве конечной вершины — корень дерева
О.
С семантической точки зрения каждая вершина дерева может трактоваться двумя способами:
- вершина дерева обозначает совокупность действий нарушителя, причем все они выполняются для достижения конечной цели атаки (такие вершины именуются вершинами, построенными на основе логической связки "И");
- вершина дерева обозначает совокупность действий нарушителя, причем выполнения любого из них достаточно для достижения конечной цели атаки (такие вершины называются вершинами, построенными на основе логической связки "ИЛИ").
Деревья атак могут изображаться как в графическом, так и в текстовом виде. Корень этого дерева
— вершина /0 е Ь — обозначает действие нарушителя. Для выполнения этого действия злоумышленник первоначально должен осуществить все операции, которые обозначаются элементами
{ е Ь}[1,«]. При этом последовательность действий, выполняемых нарушителем, определяется индексами вершин { е Ь}..,,], т.е. первым выполняется действие, ассоциированное с вершиной /. е Ь , а последним — /п е Ь .
Предложенная модель угроз ИБ Б. Шнайера построена в терминах математического аппарата теории деревьев и позволяет моделировать сложные сценарии атак, предусматривающих несколько вариантов реализации. Однако модель Б. Шнайера не позволяет непосредственно получить ВВХ угроз без определенной модернизации.
Сопоставим с каждой дугой дерева параметр, имеющий смысл времени реализации действий по реализации этапа угрозы ИБ, соотнесенного с дугой. Тогда формальная модель угрозы ИБ будет иметь следующий вид:
О = (Ь, Е, То );
Ь = { /2,.../,};
Е = {(/0 , /1, 0(/0, /2 , ^02 Х'"(/г, /] , ) };
где - время реализации, соответствующее дуге дерева атаки .- .
ТО - среднее время реализации всего дерева атаки.
Среднее время реализации связано с времени реализации действий по реализации этапа угрозы
ИБ, соотнесенного с дугой ij в соответствии со следующим математическим соотношением:
TG = P I j
P i, jeGp
где P - количество путей дерева атак.
Для примера построим дерево атаки определения типа операционной системы (ОС) на удаленном компьютере. Согласно [9], сформируем множества L и E следующим образом:
L = {l0 , l1, l2, l3,l4,l5,l6 } ;
e = {(/i, Wh, wu, /2).(i5. '2). ('б. h)};
где l0 - тип ОС удаленного компьютера определен;
11 - тип ОС удаленного компьютера получен в
составе идентификационного маркера ответа службы telnet или FTP;
12 - тип ОС удаленного компьютера определен посредством анализа ответов СВТ на нестандартные запросы (созданные с помощью утилиты nmap);
13 - анализ ответа на fin пакет, отправленный на открытый порт удаленного СВТ;
14, - анализ ответа на пакет с фальсифицированными значениями "зарезервированных" флагов;
15, - анализ ответа на пакет с некорректной комбинацией TCP флагов;
l6 - анализ ответа на NULL пакет (без установленных флагов).
Графическое и текстовое представление дерева атаки представлено на рисунке.
В соответствии с предложенным методом формализации множество E можно представить виде, дополненном параметром, имеющим смысл времени реализации действий по реализации этапа угрозы ИБ, соотнесенного с дугой:
E = {(l1, l0t0l), (l2 , l0 , ^20 ), (l3, l2 , ^32 ), (l4, l2 , ^42 ),
(l5 , l2 , ^52 ), (l6 , l2 , ^62 )} .
Величины, t01 t32, t42, t52, t62 соответствуют
времени обслуживания сети одиночного пакета, имеющего наименьший размер (только заголовки пакетов со служебной информацией) и могут быть определены по методикам, изложенным в литературе [10]. Величина t20 соответствует времени обработки данных анализа ответов СВТ на нестандартные запросы в СВТ нарушителя.
С учетом того, что t20 << t01, t32, t42, t52, t62
среднее время реализации всего дерева атаки можно определить как:
Графическое и текстовое представление дерева атаки определения типа операционной системы
— 1 6
ТО = 2(г10 + 2 ti 2 )
2 .=3
При времени обслуживания сети, порядка 3*10-4 секунд среднее время реализации всего дерева атаки составит величину порядка 7*10-4 секунд.
Таким образом, разработанный подход формализации угроз ИБ с помощью логических деревьев с сопоставлением дугам графа параметра времени реализации сопоставленного с дугой шага по реализации угрозы позволяет моделировать сложные сценарии информационных атак и оценивать их временные характеристики.
Литература:
1. Гостехкомиссия РФ. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. - М.: Воениздат, 1992.
2. Гостехкомиссия РФ. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автомати-
зированных систем и требования по защите информации. -М.: Воениздат, 1992.
3. Квейд Э. Анализ сложных систем. - М.: Сов. Радио, 1969 г. - 522 с.
4. Дружинин В.В., Конторов Д.С. . Проблемы сис-темотологии (проблемы теории сложных систем). - М.: Сов. радио, 1976, - 276 с.
5. Месарович М., Такахара Я. Общая теория систем. Математические основы. - М. Мир. 1978 г. - 311 с.
6. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 кн.: Кн. 1. - М.: Энергоатомиздат, 1994 г. - 400 с.
7. Дружинин В.В., Конторов Д.С., Конторов М.Д. Введение в теорию конфликта - М.: Радио и связь, 1989 г.
- 240 с.
8. Б. Шнайер Секреты и ложь. Безопасность данных в цифровом мире СПб.: Питер, 2003 г. - 367 с.
9. Норкрат С., Новак Д., Обнаружение нарушений в сетях.: Пер. с англ. — М: Издательский дом “Вильямс”, 2003 г. - 448 с.
10.Алмейда М., Менаске Д. Производительность ШеЪ служб. Анализ, оценка и планирование: Пер. с англ. / Спб.: ООО “ДиаСофтЮП”, 2003 г. - 408 с.
Воронежский государственный технический университет
Государственный научно-исследовательский испытательный институт проблем технической защиты информации (г.Воронеж)
Муниципальное образовательное учреждение средняя образовательная школа № 1 (г. Воронеж)
THE CONSTRUCTION METHOD OF FORMAL MODELS OF REALIZATION OF THREATS OF INFORMATION SECURITY OF THE AUTOMATED SYSTEMS
O.U. Makarov, V.A. Khvostov, N.V. Khvostova
The analysis of modern methods of working out of models of threats of information security of the automated systems is carried out. The construction method of formal models of realization of threats of information security, with use of logic trees of attacks of B. Shnajera and assignment is offered arches of a tree of the numerical factors having time sense. The offered method of formalization allows to spend an estimation of time characteristics of information security threats and can be used by working out of formal models of the information protection in the systems at the decision of a problem of synthesis of systems of the information protection
Key words: information safety, model of the threats, tree of the attacks, scenario of the attack