CC BY
223
МЕТОДИКА ПОСТРОЕНИЯ МОДЕЛИ УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Н.Ю. Дрюков, И.В. Ермаков, Н.В. Ермаков Научный руководитель - д.т.н., профессор Ю.А. Гатчин
В работе рассматриваются вопросы моделирования угроз информационной безопасности, основывающиеся на определении стоимости защищаемой информации для нарушителя и оценки эффективности применяемых защитных механизмов.
Введение
В условиях бурно развивающейся борьбы за информационные ресурсы и становления информационного общества крайне остро стоит вопрос моделирования и оценки угроз безопасности информации. Для любой информационной системы весь окружающий мир представляет собой одну сплошную угрозу. Атаки бывают как совершенно любительскими, совершаемыми в большинстве своем из хулиганских побуждений, так и профессиональными, проводимыми хорошо подготовленными специалистами, направленными на достижение конкретной цели. И те, и другие могут увенчаться успехом, однако в большинстве случаев атаки второй категории наносят намного больший урон. Ситуация осложняется тем фактом, что количество угроз растет в геометрической прогрессии, и поэтому производители оборудования и программного обеспечения и администраторы безопасности не всегда могут успеть адекватно среагировать на новую опасность. Кроме того, сам факт появления новой уязвимости до распространения информации о ней и подготовки рекомендаций и исправлений производителем ставит под удар все подверженные ей системы. Таким образом, защищающаяся сторона всегда оказывается «догоняющей».
В качестве возможного решения данной проблемы может выступить моделирование и оценка опасности угроз. Опорной точкой для решения данной задачи является мотивирование и стратегия атакующего, так как именно он является зачинателем конфликта. Защищающаяся же сторона вынуждена готовить адекватный ответ на применяемые атаки.
Угрозы безопасности информации
Источники угрозы информационной безопасности можно разделить на три группы:
1. естественные;
2. искусственные непреднамеренные;
3. искусственные преднамеренные.
Если рассмотреть источники, не связанные с человеческим фактором, т.е. относящиеся к первым двум группам, то модель нарушения информационной безопасности будет сводиться к реализации сбоя системы, причем вне зависимости от фактического нарушения. Иными словами, построение модели данной угрозы производится на основе моделирования нарушения информационной безопасности исключительно при рассмотрении информации как объекта защиты, а не объекта нападения.
Третья группа источников угроз представляет наибольший интерес для исследования. Реализация данных угроз приводит не только к урону для собственника информации, но и получению преимуществ для нарушителя. Строго говоря, целесообразность защиты информации и попыток ее обойти можно определить за счет рассмотрения стоимости информации с точки зрения нарушителя и стоимости информации с точки зрения собственника.
Для определения первого параметра необходимо рассмотреть мотивы нарушителя, а именно конечную выгоду, получаемую непосредственным нарушителем, при атаке на информационную безопасность.
В качестве исходных данных для исследования будут выступать: множество защищаемой информации и = [и], и2, ... ип}, множество возможных на нее воздействий -нарушений информационной безопасности Н = [н], н2, ... нп} и возможные мотивы нарушителя. Элементами множества нарушений информационной безопасности (НИБ) будут являться:
1) нарушение конфиденциальности
а) ограниченному числу лиц,
б) неограниченному числу лиц;
2) нарушение целостности
а) модификация,
б) уничтожение;
3) нарушение доступности
а) временное,
б) постоянное.
Схема нарушения информационной безопасности представляет собой взаимосвязь элементов трех множеств - мотив, нарушение, информация.
Анализ мотивов нарушителя
Для проведения анализа мотивов нарушителя следует принять за истину три следующих тезиса.
1) Вся информация находится в незащищенном состоянии, т.е. внешний мир может осуществлять над информацией любые действия.
2) Мотивы злоумышленника:
борьба с конкурентами; получение закрытой информации; вымогательство.
3) Предпринимаемые действия увенчиваются успехом и приводят к реализации мотивов, существующих вне времени.
Другими словами, выделяемая информация представляет ценность для злоумышленника в любой момент времени, что в реальном мире не является истиной. Это вызвано тем, что стоимость информации определяется контекстом использования, зависящим от модели окружающего мира в конкретный момент времени, но, для упрощения анализа и исключения ошибочной оценки, из контекста убирается текущее время.
Исключив защиту, можно определить соответствие между мотивами и искомой информацией. Вывод достаточно очевиден. Любая информация, отсутствующая в открытых источниках, становится объектом второго мотива. Любая информация, от которой зависит деятельность организации, неприменимая для злоумышленника и критичная для собственника, становится объектом 3-го мотива. Информация, являющаяся объектом 3-го мотива, а также информация, применимая для злоумышленника, становится объектом 1-го мотива. Для более тщательного описания данной связи необходимо анализировать действия нарушителя после успешной реализации атаки, т.е. реальные последствия данного воздействия. Анализ осуществляется на основе информационных процессов в организации, причем не играет роли, как они проходят, важность представляет только содержимое, а также внешнее окружение организации.
Связующим звеном между информацией и мотивом является НИБ. С одной стороны, оно может быть неприменимо к критичной информации, а с другой - оно может быть неприменимо к мотиву.
Применимость НИБ к информации.
Для пары элементов «НИБ» и «информация» есть свое значение вероятности. Возможность нарушения определяется наличием у информации уязвимости, которая может породить данное нарушение. Таким образом, искомая вероятность будет рассчитана по формуле:
Вероятность р(у) основывается на воздействии неконтролируемых факторов, таких как человеческий фактор, сбои электропитания, несчастные случаи и стихийные бедствия и т. д. Вероятность появления данных уязвимостей рассчитывается на основе статистических данных. Остальные вероятности определяются надежностью применяемых технических средств и равняются отношению количества неуспешных атак к их общему числу. Работы, посвященные исследованию эффективности отдельных средств защиты, проводимые различными независимыми организациями, несложно найти в открытых источниках.
Вероятность р(н/уг) основывается на возможности наступления нарушений информационной безопасности при реализации данной уязвимости. Значение равно 0, если уязвимость и нарушение несовместимы, в остальных случаях это значение определяется эффективностью защитных механизмов всей системы, ее комплексности, т.е. насколько эффективно вся система может противостоять «открытым» уязвимостям.
В результате получится список критичных уязвимостей, которые могут привести к нарушению информационной безопасности. Ими будут являться уязвимости, у которых хотя бы одно из значений р (н/уг) будет отличным от 0.
Злоумышленник, опираясь на собственные мотивы, выбирает наиболее подходящие возможные НИБ для этого. Очевидно, что не каждое из возможных нарушений соответствует мотивам нарушителя. Достижение какого-либо НИБ без привязки к информации удовлетворит злоумышленника с какой-либо вероятностью р (мг/нД
Соответственно, мотивы и НИБ также могут быть совместимы (когда достижение рассматриваемого НИБ однозначно удовлетворяет конкретному мотиву нарушителя, и вероятность р(мг/н/) будет равна 1), ограниченно совместимыми (когда достижение рассматриваемого НИБ удовлетворит конкретному мотиву с какой-либо вероятностью р(м/нД находящейся между 0 и 1) и несовместимыми (когда достижение рассматриваемого НИБ не при каких обстоятельствах не приведет к удовлетворению мотива, и вероятностьр(м/н¡) будет равна 0). Совместимость мотивов и НИБ приведена в табл. 1.
Таким образом, удовлетворение мотивов нарушителя возможно при реализации конкретных нарушений для конкретной информации, при условии, что р (м/н}) больше 0 и мотив нацелен на данную информацию.
Вероятность удовлетворения мотива нарушителя при реализации критичных уяз-вимостей по каждой отдельной информации будет рассчитываться по формуле:
Определение вероятности реализации всего мотива по всему множеству объектов информации является тривиальной задачей, определяемой механизмом реализации мотива, совместимостью НИБ. В общем и целом это рассчитывается при помощи обычных законов теории вероятности сложением и перемножением вероятностей.
(1)
Применимость НИБ к мотиву
(2)
Мотивы НИБ Борьба с конкурентами Получение закрытой информации Вымогательство
Нарушение конфи-
денциальности ограниченному числу р (мг/н) 1 0
лиц
Нарушение конфи-
денциальности не- р (мг/н}) р (мг/н) 1
ограниченному чис-
лу лиц
Нарушение целост-
ности: модифика- р (мг/н) 0 1
ция
Нарушение целостности: уничтожение р (мг/н) 0 1
Нарушение доступности: временное р (мг/н) 0 1
Нарушение доступности: постоянное р (мг/н) 0 1
Таблица 1. Совместимость мотивов нарушителя и нарушений информационной безопасности
Для удобства рассмотрения поведения нарушителя предположим, что он преследует единственный мотив, который в той или иной степени с определенной вероятностью р(м/н/) достигается при реализации любого из применимых нарушений. Величина р (м) из формулы (2), кроме р(м/нД также зависит от величинр(уг) ир(н/уг). Данные величины не зависят от действия нарушителя и определяются защитными механизмами. Исходя из этого, можно построить матрицу вариантов направлений атак, элементами в которой будут являться пары «нарушение»-«информация» (инД применимые для конкретного мотива, для которыхр(м/н]) больше 0. Данная матрица представлена в табл. 2.
Варианты защитных ^стратегий Возможные цели Л1 Л2 Лз Л4 Л5 Лк
(ин) с1, с121 с131 с141 с151 ск 11
(щнт) с 2 с 3 12 с 4 12 с 5 12 ск 12
(щнз) с1з 4 с3з 4 сз ск Чз
(и2н1) 21 с 2 21 с 3 21 с 4 21 с 5 21 ск 21
(щнг) с 22 с 2 22 с 3 22 с 4 22 с 5 22 ск 22
(ин) с1 сг2 с; сг4 с5 ск г]
Таблица 2. Варианты направлений атак
Соответственно, для каждой из пар «нарушение»-«информация» существуют различные способы обеспечения безопасности с разной эффективностью. Комбинация данных средств обозначена как Лк. Элемент таблицы ск можно определить по формуле:
4 = р(Ук )* р( Н] / У к )* р( м/н,)* Сщ , (3)
где Cu - ценность информации с точки зрения нарушителя.
Согласно математической теории игр, оптимальной для нарушителя будет «мак-симинная стратегия». Ориентируясь на разумные действия противника (защищающейся стороны), он делает вывод, что был выбран вариант защиты, минимизирующий выигрыш от нарушения, cij = min cк. Полученное подмножество значений cij определяет
минимально возможные выигрыши вне зависимости от выбора атаки. Если из полученных значений выбрать максимальное, c = max cu, то получится оптимальное направле-
ij 1
ние, гарантирующее выигрыш от атаки не меньше c, которое будет характеризоваться набором uiHj, где i и j удовлетворяют следующему равенству:
c = max min c¡ = max min (p(yk ) * р(нi¡ук )* p\M¡Hi)* Cu¡).
ij к J ij к J ' ' J i
Для обороняющейся стороны оптимальной будет «минимаксная стратегия». Ориентируясь на разумные действия противника (нарушителя), он делает вывод, что был
выбран вариант атаки, максимизирующий выигрыш от нарушения, ck = maxcк. Полу-
ij ij
- к
ченное подмножество значений c определяет максимально возможные выигрыши вне
зависимости от выбора защиты. Если из полученных значений выбрать минимальное,
к
c = max c , то получится оптимальное направление защиты, гарантирующее выигрыш
к
от атаки не больше c, которое будет характеризоваться набором где к удовлетворяют следующему равенству:
c = mm max cl = mm max (р{ук ) * pin j I у к ) * р(м/H j) * Cu¡).
к ij к ij
Эффективность подобного выбора стратегий напрямую зависит от секретности применяемых стратегий, поэтому применение данного подхода является наиболее эффективным при проектировании защищенных систем.
Предложенная в данной работе методика, базирующаяся на оценке стоимости информации, теории вероятности и теории игр, позволяют осуществить моделирование поведения нарушителя согласно его заинтересованности в защищаемой информации. Данный подход позволяет оптимизировать и оценивать эффективность всей системы защиты по различию важности данных, обрабатываемых в защищаемых системах.
Литература
1. Вентцель Е.С. Элементы теории игр. - М.: Государственное издательство физико-математической литературы, 1961. - 72 с.
2. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - Киев: ТИД «ДС», 2001. - 688 с.
3. Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность и защита информации. - М.: Academia, 2007. - 336 c.
4. Палий И.А. Введение в теорию вероятностей. - М.: Высшая школа, 2005. - 147 с.
5. Шумский А.А., Шелупанов А.А. Системный анализ в защите информации. - М.: Гелиос АРВ, 2005. - 224 с.
