CC BY
130
I МЕТОДИЧЕСКИЙ ПОДХОД К ОЦЕНИВАНИЮ ЭФФЕКТИВНОСТИ ЛОЖНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ
Язов Юрий Константинович, доктор технических наук, профессор Сердечный Алексей Леонидович Шаров Иван Александрович
В настоящее время при защите информационных систем актуальным становится применение «стратегии обмана» и отвлечения нарушителя на ложные ресурсы. Вместе с тем при использовании ложных информационных систем важно знать, насколько эффективно можно обмануть с ее помощью нарушителя при ограничении на потребление ресурсов. В данной статье предложен возможный методический подход к оцениванию эффективности ложных информационных систем и сделаны выводы о направлениях дальнейшего развития методического обеспечения оценивания их эффективности.
Ключевые слова: ложная информационная система (ЛИС), уязвимость программного обеспечения, несанкционированный доступ (НСД), эффективность защиты
METHODICAL APPROACH FOR ESTIMATION OF EFFICIENCY OF HONEYPOT SYSTEM
Yuri Yazov, Doctor of Technical Sciences, Professor
Alexey Serdechnyy Ivan Sharov
Nowadays becomes very actual application of «deception strategies» and intruder distraction at false resources in aspect of information systems protecting. In addition to that it’s important to know when using honeynets, how efficiently it could deceive the intruder with restriction of low resources consumption. In the current article possible method of evaluation of efficiency of honeypot systems is suggested and conclusion about line of further development of methodogical support of estimate of efficiency is made.
Keywords: honeynet, software vulnerability, unauthorized access, effectiveness of protection
При защите информационных систем (ИС) большое внимание уделяется вопросам обнаружения и нейтрализации уязвимостей входящего в их состав программного обеспечения (ПО). В настоящее время все основные способы решения данной задачи основываются на применении «стратегии запрета». Для этого в ручном или автоматизированном режиме проводится поиск уязвимостей ПО ИС, информация о которых имеется в открытых или закрытых базах данных. После обнаружения уязвимость нейтрализуется либо за счет обновления ПО, либо за счет использования средств защиты информации, таких как межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты и т.д., которые делают невозможным эксплуатацию данной уязвимости для реализации НСД.
Однако, как показывает практика, такая стратегия оказывается неэффективной против уязвимостей «нулевого дня». Это связано с тем, что между выпуском ПО и появлением информации об уязвимости, а тем более устранением ее разработчиками, в большинстве случаев проходит большое количество времени, в течение которого система оказывается уязвимой для НСД. Несмотря на то, что правильно настроенные средства защиты информации делают эксплуатацию некоторых из таких уязвимостей невозможной, всегда остается вероятность наличия не устраненных уязвимостей, а также уязвимостей в ПО самих средств защиты.
В связи с этим в настоящее время актуальным становится применение «стратегии обмана» или
отвлечения нарушителя на ложный информационный ресурс. Необходимость применения средств, реализующих такую стратегию и называемых ложными информационными системами (ЛИС), отмечается и в одном из последних утвержденных нормативных правовых актов «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [1]. Как показали исследования [2], реализуя с помощью ЛИС «стратегию обмана» нарушителя и отвлекая его на ложный информационный ресурс, можно не только не позволить злоумышленнику получить несанкционированный доступ (НСД) к защищаемой информации, но и найти неизвестные ранее уязвимости ПО.
Развитию практики применения ЛИС способствует все большее внедрение технологии виртуализации, появление программных средств виртуализации, таких как VMware ESX/ESXi, Microsoft Hyper-V, Citrix Xen Server и др., позволяющих создать виртуальную инфраструктуру и управлять ею.
Вместе с тем при использовании ЛИС важно знать, насколько эффективно можно обмануть с ее помощью нарушителя и при этом не создать сложностей для функционирования защищаемой ИС, поскольку значительный вычислительный ресурс может оказаться задействованным на обеспечение функционирование ЛИС. С учетом изложенного под эффективностью ЛИС здесь и далее понимается степень достижения цели отвлечения нарушителя от защищаемого информационного ресурса при условии, что ЛИС не влияет существенным образом на функционирование защищаемой ИС.
До настоящего времени методическое обеспечение оценивания эффективности ЛИС, в том числе построенных с использованием средств виртуализации, не разрабатывалось. При этом следует отметить, что в таких системах крайне важно учитывать ограничения на потребление вычислительных ресурсов, поскольку такие ограничения существенно влияют на количество эмулируемых ложных объектов, а, следовательно, и на эффективность защиты.
В данной статье предлагается возможный подход к такому оцениванию, основанный на вероятностной оценке возможности выполнения одновременно двух условий:
срыва НСД к защищаемой информации за счет использования ЛИС;
отсутствия превышения затрат вычислительных ресурсов информационной системы установленного (недопустимого) уровня.
Срыв НСД достигается за счет того, что нарушитель или инициированный им процесс доступа (например, с использованием вредоносной программы) переориентируется на ложные, созданные в виртуальной среде объекты - эмулируемые с помощью виртуальных машин (ВМ) компьютеры в составе компьютерной сети, подключенной к сети общего пользования.
Вероятность НСД (Рд1-''(0) при условии выполнения указанного ограничения на используемый вычислительный ресурс ® в общем случае зависит от времени и может быть оценена следующим образом:
(1)
где Р(нд^}0'0 - вероятность того, что за время 1 нарушитель сумеет получить НСД к I объектам (компьютерам) в составе информационной системы;
- допустимый уровень Затрат ВЫЧИСЛИтельных ресурсов К- информационной системы.
Эффективность ЛИС как средства защиты по аналогии с [3] рассчитывается с использованием разностного показателя:
&(лис)
(t).
(2)
или относительно-разностного показателя:
T|(t) :
РІ°СО-Р,
(О
DCmc)
(t)
1 -
p (0
гоСлис)
(t)
1 РдСлис) W > (3)
p([Vrt
где rD l"
вероятность того, что в условиях отсутствия ЛИС за время ^ нарушитель сумеет получить НСД к I объектам (компьютерам) в составе ИС;
[>(ЛИС)' - вероятность того, что в условиях функционирования ЛИС за время * нарушитель сумеет получить НСД к I объектам (компьютерам) в составе ИС.
Следует отметить, что если вероятность НСД в условиях отсутствия ЛИС близка к единице, то значения показателей эффективности совпадают и определяются только значением вероятности рЮ гд
т1® = 1 — гЪ(лис)и'1, (4)
Рассмотрим подход к оценке этой вероятности. При реализации НСД нарушитель или вре-
доносная программа осуществляет случайный поиск компьютера, являющегося целью атаки, и распознавание его с отнесением к целевому объекту (то есть к компьютеру с защищаемой информацией). При этом поиск может начинаться с любого элемента информационной системы, имеющей 1Р-адрес или с ложного элемента в составе ЛИС, формируемого ВМ. Пусть в составе информационной системы имеется ^Тг истинных объектов, ЛИС формирует ложных объектов, а для анализа каждого объекта на предмет отнесения его к целевому тратится в среднем время т3. Тогда за время * нарушитель сможет реализовать к шагов, на каждом из которых будут анализироваться попавшиеся ему истинные или ложные объекты:
' t
к =
(5)
где знак . 1 означает выделение целой части дроби.
Вероятность того, что нарушитель за к шагов сумеет получить доступ К 1 целевым объектам в условиях применения ЛИС, а также примерно равной исходной вероятности доступа к объектам Рнцд на каждом шаге, определяется следующим образом:
(6)
■ і- т- 1
где Ч-ж-1 - количество сочетании ИЗ ‘
по^ .
Кроме того, учитывая (1), при расчете показателя эффективности ЛИС необходимо оценивать ограничение на потребление ЛИС вычислительных ресурсов защищаемой информационной системы. К вычислительным ресурсам в данном случае относятся [4]: объём свободной оператив-
ной памяти, необходимой для работы истинных виртуальных машин для каждого сервера виртуализации1; резерв свободного процессорного времени, необходимый для надёжной работы каждого сервера виртуализации; доля зарезервированного объема трафика, который может передаваться в информационной системе. Ни один из указанных ресурсов не должен превысить допустимый уровень (как правило, резерв свободного процессорного времени должен быть не менее 25%, а доля зарезервированного объема трафика - 50%).
Рассмотрим пример, когда нарушитель осуществляет выбор целевого объекта, в информационной системе, состоящей из 15 объектов, среди которых серверы виртуализации, рабочие станции пользователей, файловые серверы, ложные ВМ и т.п. (^тг = 15 ) из них 5 объектов являются ложными (Мр = э ), а 3 - целевыми. Анализ объектов осуществляется методом сканирования сетевыми пакетами, в ходе которого определяется тип операционной системы объекта и состав сетевых служб. Продолжительность такого сканирования составляет 30 секунд С^а - 30 )( таким образом, для того, чтобы проанализировать все 15 объектов нарушитель должен затратить 7,5 секунд. Предположим, что г>-- = - ,. Кроме того, в информационной си-
стеме работает система предотвращения вторжений, позволяющая в течении 2 секунд выявить и нейтрализовать действия нарушителя ^ = 120. к = 4 ).
В информационной системе присутствует два одинаковых сервера виртуализации со следующими характеристиками: 32 ГБ оперативной памяти, пропускная способность канала связи - 1 ГБ/сек, 4 ТБ памяти на жестком диске, процессор - 1П:е1 Хеоп Е7. Расход вычислительных ресурсов сервера виртуализации на работу ВМ (как целевых, так и ложных) представлен в таблице 1.
Сервер виртуализации представляет собой высокопроизводительный компьютер с установленным гипервизором первого типа, обеспечивающий работу виртуальных машин
Таблица 1 - Расход вычислительных ресурсов сервера виртуализации
Объект Процессорное время Загруженность канала связи Оперативная память Память на жестком диске
Целевая ВМ 0,7% 0,001% 2 ГБ 42 ГБ
Ложная ВМ 0,75% 0,00005% 512 МБ 21 ГБ
Гипервизор 0,5% 0,0005% 256 МБ 0,5 ГБ
Условие выполняется, когда на каж-
дом сервере виртуализации свободно не менее 8 ГБ оперативной памяти, на жестком диске - не менее 40 ГБ, канал связи загружен не более чем на 50%, а процессор - на 75%. Данное условие верно, если количество ложных ВМ на одном сервере виртуализации не превышает 15 (количество ложных ВМ в данном случае ограничено дефицитом свободной оперативной памяти). С учётом приведенных данных эффективность ЛИС рассчитывается следующим образом:
ті = 1- 0,729 ■
На рисунках 1 - 4 показаны зависимости вероятности доступа к целевым объектам от количества ложных объектов, исходной вероятности доступа, определяемой в условиях отсутствия ЛИС, количества целевых объектов в защищаемой ИС и времени.
д.-
*>
і =12 К
ш т
г = 1 5 У
ч/ г = 20
10
15
к
Рис. 1. Зависимость вероятности несанкционированного доступа за 20 шагов к целевым объектам от количества эмулируемых ложных объектов при исходной вероятности доступа, равной 0.9, и количестве истинных объектов - 50
0.4
0.3
о.:
0.1
о
V-1
II ■ 1Л Г
1 і=і н ►а і
11
о
0.2
0.4 0.6
0.)
Рис. 2. Зависимость вероятности несанкционированного доступа к 20 целевым объектам от исходной вероятности доступа к ним в отсутствии ЛИС при исходной вероятности доступа, равной 0.9, если информационная система состоит из 50 истинных объектов
[к)
\
\ Г Лг, = 76
£ II М сз
10
20
30
К
Рис. 3. Зависимость вероятности несанкционированного доступа за 20 шагов к целевым объектам от количества эмулируемых ложных объектов при исходной вероятности доступа, равной 0.9, и количестве истинных объектов - 50
Рис. 4. Зависимость вероятности несанкционированного доступа к 10 целевым объектам от времени при исходной вероятности доступа, равной 0.9 и 20 ложных объектов, если информационная система состоит из 50 истинных объектов
Анализ полученных результатов показал, что после достижения определенного количества эмулируемых ложных объектов рост эффективности ЛИС становится несущественным. Это позволяет выбирать целесообразное количество эмулируемых ложных объектов в зависимости от заданных условий.
Однако полученные соотношения и зависимости позволяют оценивать эффективность ЛИС и влияние на нее существенных параметров и характеристик таких средств защиты при условии, что ложные объекты, эмулируемые ЛИС, абсолютно идентичны истинным (целевым) объектам. Если это условие не выполняется, то необходимо оценивать вероятность распознавания ложных объектов и дискредитации таким образом самой ЛИС.
Кроме того, изложенный подход к оценке эффективности ЛИС правомерен в основном для статических ЛИС, состав и параметры которых не меняются в процессе защиты. В реальных ИС состав функционирующих объектов постоянно меняется: часть компьютеров включается или выключается, создаются новые или закрываются действующие виртуальные каналы взаимодействия, изменяется состав программного обеспечения в сети, наконец, изменяется состав защищаемых информационных ресурсов. В этих условиях
возникают демаскирующие признаки, по которым нарушитель может распознать наличие ложных объектов и это должно учитываться при оценке эффективности ЛИС.
Все это обусловливает необходимость создания специализированного методического обеспечения оценивания эффективности ЛИС, учитывающего как возможности распознавания ложных и истинных объектов, так и динамику функционирования самой защищаемой ИС и динамических ЛИС, меняющих свой состав и характеристики по аналогии с реальными ИС. Такое обеспечение должно базироваться не только на аналитических методах оценки, но и включать в себя имитационные модели, позволяющие верифицировать аналитические алгоритмы, обосновывать состав демаскирующих признаков ложных объектов, создаваемых в виртуальной среде, и истинных объектов в составе ИС, определять допустимый уровень затрат вычислительных ресурсов ИС на функционирование ЛИС, определять временные характеристики доступа нарушителя или инициируемого им процесса как к целевым, так и к ложным объектам и т.д.
С учетом изложенного на рисунке 5 показаны состав и структура первоочередного методического обеспечения, которое, на наш взгляд, необ-
Методика расчета вероятности несанкционированного доступа к целевым объектам в условиях применения ЛИС
Методика формирования признаков распознавания целевых объектов информационной системы и ложных объектов, создаваемых ЛИ в виртуальной среде
Методика расчета вероятности распознавания целевых объектов и создаваемых с помощью ЛИС в виртуальной среде ложных объектов
Методика выбора подлежащих эмуляции целевых объектов
Методика оценки возможности проникновения в операционную системную среду с применением штатных средств операционной системы и специального программного обеспечения за заданное время
Аналитические модели и методики оценивания эффективности ЛИС
Математическая модель оценки вероятности несанкционированного доступа в условиях применения ЛИС с равновероятным выбором целевых объектов
Математическая модель оценки вероятности несанкционированного доступа в условиях применения ЛИС с поиском целевых объектов
Математическая модель оценки вероятности распознавания истинных и ложных объектов в составе информационной системы в динамике изменения ее состава и характеристик
Математическая модель выбора объектов, подлежащих эмуляции с использованием ЛИС
Математическая модель оценки временных характеристик доступа к целевым и ложным объектам в составе информационной системы
Рис. 5. - Состав и структура методического обеспечения оценивания эффективности ложных информационных систем
Имитационная модель процессов, инициируемых пользователем
Имитационная модель процессов, инициируемых администратором
Имитационная модель функционирования аппаратного обеспечения информационной системы
Имитационная модель функционирования коммутационного оборудования
Имитационная модель функционирования файлового сервера
Имитационная модель, эмулирующая прикладное программное обеспечение
Имитационные модели, функционирования средств НСД
Модели оценивания эффективности ЛИС на основе имитационного моделирования
Рис. 5. - Состав и структура методического обеспечения оценивания эффективности ложных информационных систем
ходимо разработать в интересах решения задачи оценивания эффективности ЛИС.
Разработанный методический подход к оцениванию эффективности ЛИС направлен на развитие методического обеспечения, которое позво-
лило бы перейти от качественных к количественным процедурам оценивания, что существенно повысит обоснованность характеристик и путей построения ЛИС как перспективных средств защиты информации.
Литература
1. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Утверждены приказом ФСТЭК России от 11.02.2013 № 17 г. Москва.
2. Сердечный, А.Л. Инновационный подход к защите информации в виртуальных вычислительных сетях, основанный на стратегии обмана / А.Л. Сердечный // Информация и безопасность. - 2013. - №3. - 399-403 с.
3. Язов Ю.К. Основы методологии количественной оценки эффективности защиты информации в компьютерных системах - Ростов-на-Дону: СКНЦ ВШ, 2006. - 274 с.
4. Михеев, М.О. Администрирование VMware у5рИеге 5 // М.:ДМК Пресс, 2012.
References
1. Requirements about protection of the information which are doing not make the state secret, containing in the government information systems. Are confirmed by order FSTEC Russia from 11.02.2013 № 17, Moscow.
2. Serdechnyy A.L., 2013. The innovative approach to information protection in the virtual computer networks, based on deceit strategy // Information and Security 3, 399-403.
3. Yazov Y.K., 2006. Bases methodology of a quantitative estimation effectiveness of information protection in computer systems // Rostov on Don: SKNTS VSH.
4. Miheev, M.O., 2012. VMware vSphere 5 administration // M.:DMK Press.
