МНОГОАЛЬТЕРНАТИВНЫЙ ВЫБОР МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ НА ОСНОВЕ АНАЛИЗА И КЛАССИФИКАЦИИ РИСКООБРАЗУЮЩИХ ФАКТОРОВ
Я.Е. Львович, Д.С. Яковлев
В статье производятся анализ и классификация угроз безопасности информационных систем. Предложен алгоритм действий по снижению рисков. Рассмотрен многоальтернативный выбор методов защиты информационных систем
Ключевые слова: многоальтернативный выбор, угроза, риск, средства защиты информации
В современном мире для более эффективной обработки информации все большее число организаций использует автоматизированные информационные системы. Они позволяют наиболее быстро и качественно решать поставленные задачи. Необходимо учитывать, что обрабатываемая информация может носить различный характер, поэтому задача оценки и нейтрализации рисков является наиболее актуальной. Защита информационных ресурсов, находящихся в ИС, в большой степени оказывает влияние на эффективность процессов их обработки и выполнения.
Следует отметить, что мотивация и имеющиеся информационные ресурсы для выполнения нападения делают людей потенциально опасными источниками угрозы. В табл. 1 представлен краткий анализ многих потенциальных угроз от человеческого фактора, их возможная мотивация, методы или действия, которыми они могли бы быть реализованы [1].
В ходе рассмотрения источников угроз, побуждений и действий от их реализации становится необходимым проведение классификации атак. Основной целью любой классификации является выработка таких классификационных признаков, при использовании которых можно наиболее точно описать классифицируемые явления или объекты. В связи с тем, что различие между локальными и удаленными информационными воздействиями на информационную систему (ИС) проводится крайне редко, применение уже известных обобщенных классификаций для описания удаленных воздействий не позволяет наиболее точно раскрыть их сущность и описать механизмы и условия их осуществления. Это связано с тем, что данный класс воздействий характеризуется сугубо специфичны-
Львович Яков Евсеевич - ВИВТ, д-р техн. наук, профессор, тел. (473) 220-56-28
Яковлев Дмитрий Сергеевич - ВИВТ, аспирант, e-mail: [email protected]
ми признаками для ИС. Для того чтобы каждый вид атак на информационную систему можно было отнести к определенному классу, была составлена матрица-классификатор атак на ИС, которая показана в табл. 2.
Ниже приведем классификацию удаленных атак (УА).
Итак, УА можно классифицировать по следующим признакам:
1. По характеру воздействия
- пассивное (класс 1.1);
- активное (класс 1.2);
Пассивным воздействием на ИС назовем воздействие, которое не оказывает непосредственного влияния на работу системы (поэтому его практически невозможно обнаружить), но может нарушать ее политику безопасности. Примером пассивного типового удаленного воздействия служит прослушивание канала связи в сети [3].
Под активным воздействием на ИС будем понимать воздействие, оказывающее непосредственное влияние на работу системы (изменение работы процессов, конфигурации, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Очевидной особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения.
2. По цели воздействия
- нарушение конфиденциальности информации либо информационных ресурсов системы (класс 2.1); нарушение целостности информации (класс 2.2); нарушение работоспособности (доступности) системы (класс 2.3).
Этот классификационный признак является прямой проекцией трех основных типов угроз -раскрытия, целостности и отказа в обслуживании.
Получение несанкционированного доступа (НСД) к информационным процессам и ресурсам является основной целью практически любой атаки. Существуют две принципиальные
Угрозы от человеческого фактора
Источник угрозы Побуждение Действия угрозы
Хакер, кракер (hacker, cracker) Эгоизм, вызов, претензии Взлом защиты, социальная инженерия, система проникновения и вскрытия, несанкционированный доступ в систему
Компьютерный преступник Разрушение информации, незаконное получение информации, финансовая выгода, неправомочная подмена данных Компьютерное преступление, мошенническое действие, имитация, вторжение в систему
Террорист Шантаж, разрушение, использование, месть Бомба, информационная война, системная атака, проникновение в систему, вмешательство в систему
Индустриальный шпионаж (компании, иностранные правительства) Конкуренция, экономический шпионаж Экономическое использование, похищение информации, вторжение в личную собственность, социальная инженерия, системное проникновение, несанкционированный доступ в систему.
Внутренние пользователи (плохо обученные, «рассерженные», «злонамеренные», небрежные, нечестные или уволенные) Любопытство, эгоизм, разведка, финансовая выгода, месть, неумышленные ошибки и упущения Атака служащего, шантаж, месть, просмотр личных данных, злоупотребление компьютером, обман и хищение, информационная взятка, ввод фальсифицированных или компрометированных данных, перехват, вредоносный код, продажа информации о субъекте, системная закладка, системное вторжение, системный саботаж Несанкционированный доступ.
возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности.
Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Следовательно, нарушается целостность.
Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим НСД к информации, поскольку целью становится вывод из строя операционной системы на атакуемом объекте, т.е. невозможность доступа остальных объектов системы к ресурсам атакованного объекта (примером может служить атака типа «Отказ в обслуживании»).
3. По условию начала осуществления воздействия. Удаленное воздействие может начать осуществляться только при определенных условиях. В ИС существуют три вида условий начала осуществления удаленной атаки:
- Атака по запросу от атакуемого объекта (класс 3.1) . В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных запросов в сети Internet могут служить DNS- и ARP-запросы. Данный тип УА наиболее характерен для ИС.
- Атака по наступлению ожидаемого события на атакуемом объекте (класс 3.2) . В этом случае атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Инициатором осуществления начала атаки является атакуемый объект.
- Безусловная атака (класс 3.3). В этом случае начало осуществления атаки безусловно по отношению к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки.
4. По наличию обратной связи с атакуемым объектом:
- с обратной связью (класс 4.1).
Матрица классификатор атак на ИС
Типовая удаленная атака Характер воздейст- вия Цель воздействия Условие начала осуществления воздействия Наличие обратной связи с атакуемым объектом Расположение субъекта атаки относительно атакуемого объекта Уровень модели 081
Класс воздействия 1.1 1.2 2.1 2.2 2.3 3.1 3.2 3.3 4.1 4.2 5.1 5.2 6.1 6.2 6.3 6.4 6.5 6.6 6.7
Анализ сетевого трафика + - + - - - - + - + + - - + - - - - -
Подмена доверенного объекта ИС - + + + - - + - + + + + - - + + - - -
Внедрение в ИС ложного объекта путем навязывания ложного маршрута - + + + + - - + + + + + - - + - - - -
Внедрение в ИС ложного объекта путем использования недостатков алгоритмов удаленного поиска - + + + - + - + + - + + - + + + - - -
Отказ в обслуживании - + - - + - - + - + + + - + + + + + +
- без обратной связи (однонаправленная атака) (класс 4.2).
Удаленная атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а, следовательно, между атакующим и целью атаки существует обратная связь. Данный тип атак наиболее распространен для ИС, поскольку позволяет максимально контролировать все происходящие изменения на атакуемом объекте.
Удаленным атакам без обратной связи не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте. Они осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны.
5. По расположению субъекта атаки относительно атакуемого объекта
- внутрисегментное (класс 5.1)
- межсегментное (класс 5.2)
С точки зрения удаленной атаки чрезвычайно важно, как по отношению друг к другу располагаются субъект и объект атаки, то есть в одном или в разных сегментах они находятся. В случае внутрисегментной атаки - субъект и объ-
ект атаки находятся в одном сегменте, а при межсегментной - в разных. Это позволяет судить о степени удаленности атаки, поскольку атакующий и объект атаки могут находиться на расстоянии тысяч километров друг от друга, что может затруднить ее отражение.
6. По уровню эталонной модели 180/081, на котором осуществляется воздействие:
- физический (класс 6.1);
- канальный (класс 6.2);
- сетевой (класс 6.3);
- транспортный (класс 6.4);
- сеансовый (класс 6.5);
- представительный (класс 6.6);
- прикладной (класс 6.7).
Международная Организация по Стандартизации (180) приняла стандарт 180 7498, описывающий взаимодействие открытых систем (081). РВС также являются открытыми системами. Любой сетевой протокол обмена, как и любую сетевую программу, можно с той или иной степенью точности спроецировать на эталонную семиуровневую модель 081. Поскольку УА также является сетевой программой является целесообразным ее проецирование на эталонную модель 180/081. На рис. 1 реализовано
Рис. 1. Классификация удаленных атак на ИС
графическое представление классификации удаленных атак на ИС [3].
Отдельный класс представляют атаки на основе программных средств, они приведены в табл. 3.
В ходе рассмотрения классов воздействия, возможных типов атак, появляется необходимость в проведении процедуры оценки и нейтрализации рисков, выработки мер по построению защиты ИС, выборе оптимального решения.
Необходимо учитывать, что обрабатываемая информация может носить различный характер, поэтому задача оценки и нейтрализации рисков, а также построения защиты является наиболее актуальной. Защита информационных ресурсов, находящихся в ИС в большой степени оказывает влияние на эффективность процессов их обработки и выполнения.
Целью оценки и нейтрализации рисков является защита не только самих ресурсов ИС, но и организации в целом. В связи с этим, данный процесс должен выполняться как комплекс исследования функционирования всей организации.
В статье рассмотрены эффективные мероприятия защиты, которые могут использоваться для снижения рисков и эффективной защиты критических ресурсов ИС.
Под риском будем понимать непосредственное исполнение негативного воздействия, выполненное через уязвимость. Оценка и нейтрализация риска - процесс идентификации риска, оценки риска и определения шагов по снижению риска до приемлемого уровня.
Цель выполнения процесса оценки и нейтрализации рисков состоит в том, чтобы:
- более эффективно обеспечить безопасность информации в ИС;
- оказать помощь персоналу, ответственному за управление функционированием ИС в принятии обоснованных решений по расходованию финансовых и других ресурсов;
- оказать помощь персоналу управления ИС в подготовке к авторизации (сертификации) ИС на основе результатов процесса по оценке и нейтрализации рисков.
Проведение мероприятий по оценке и нейтрализации рисков позволяет менеджерам ИС грамотно распределить экономические затраты на защиту информационных ресурсов от возможных проявлений угроз безопасности, четко определить необходимый комплекс мер, более эффективно выполнять задачи по применению ИС. Для возможности успешно противостоять угрозам безопасности необходимо правильное сочетание программно-аппаратных средств защиты информации.
Не следует забывать о том, что большая часть организаций имеет ограниченные финансовые средства для защиты информационных ресурсов. В связи с этим необходимость установки средств защиты должна быть обоснованной и проанализированной на основе результатов процесса оценки и нейтрализации рисков. Данный процесс помогает в аргументированном принятии решения, что в дальнейшем способст-
вует снижению негативного воздействия на информационную систему.
Стадия жизни и развития ИС имеет пять стадий: инициирование, разработка (или закупка), установка, функционирование и ликвидация [2].
Описание характеристик каждой стадии цикла жизни и развития ИС представлено в табл. 4. Также демонстрируется, как процесс оценки и нейтрализации рисков может быть выполнен в каждой стадии.
Описание угрозы и перечень потенциальных источников угроз должны учитывать специфику среды работы ИС. Благодаря ежегодному сбору и анализу статистических данных о компьютерных инцидентах имеется возможность четко представлять перечень существующих угроз, что дает толчок в развитии более адаптированных средств обнаружения вторжений.
Вероятность реализации угрозы может быть оценена как «высокая», «средняя» или «низкая»:
- Высокий уровень реализации: источник угрозы имеет высокую степень мотивации и вполне реален, а мероприятия защиты для предотвращения возможного использования уязвимости - неэффективны.
- Средний уровень реализации: Источник угрозы имеет мотивацию и реален, но используемые мероприятия защиты могут препятствовать успешной реализации уязвимости.
- Низкий уровень реализации: Мотивация источника угрозы недостаточна, мероприятия защиты могут предотвратить использование уязвимости или, по крайней мере, значительно препятствовать этому.
Если же угроза была реализована, то встает вопрос об определении неблагоприятных воздействий. Оценка критичности ресурсов заключается в определении по приоритетам информационных ресурсов ИС (например, аппаратные средства ЭВМ, программное обеспечение, системы, сервисы, данные, технологические ресурсы), которые обеспечивают выполнение поставленных задач.
Оценка ущерба может осуществляться с использованием количественного метода (за счет потерь в прибыли, стоимости восстановления системы и т.д.) или качественного (потеря доверия к организации).
Риск может оцениваться как: «высокий», когда требуются корректирующие мероприятия. Существующая система может продолжить работать, но план корректирующих действий должен быть разработан как можно быстрее;
Анализ атак, на основе программных средств
Атака Краткое описание Меры предотвращения
Подслушивание (Sniffing) Возможность перехвата пакетов данных с возможностью дальнейшего ознакомления Применение для аутентификации однократных паролей; установка программно-аппаратных и криптографических средств защиты
Подмена доверенного субъекта (IP spoofing) С помощью специального ПО злоумышленник отправляет IP-пакеты, которые выглядят как исходящие сообщения с разрешенных внутренних адресов корпоративной сети, т.е. выдает себя за законного пользователя или использует IP-адреса, находящиеся в диапазоне санкционированных IP-адресов Угрозу можно ослабить с помощью: правильной настройки управления доступом из внешней сети. Введение дополнительных методов аутентификации пользователей (на основе одноразовых паролей) позволяет предотвратить IP-спуфинг
Посредничество в обмене незашифрованными ключами (атака Man-in-the-Middle) Подразумевает активное подслушивание, перехват и управление предаваемыми данными невидимым промежуточным узлом Для противодействия атакам этого типа используется инфраструктура управления открытыми ключами (Public Key Infrastructure)
Парольные атаки Завладение логином и паролем законного пользователя. Используемые методы: подмены IP-адреса, подслушивание (сниффинг), простой перебор Использование одноразовых паролей, криптографическая аутентификация
Атаки на уровне приложений Использование известных слабостей серверного ПО (FTP, HTTP, Web-сервера) Для снижения применяют: установку патчей, анализ log-файлов ОС, отслеживание данных CERT об уязвимостях программ
Сетевая разведка Сбор информации о сети с помощью общедоступных данных и приложений. Разведка проводится в форме запросов DNS и сканирования портов Отключение ICMP и эхо-ответов, использование системы обнаружения вторжений
Злоупотребление доверием Примером является ситуация в периферийной части корпоративной сети (в этом сегменте обычно располагаются серверы DNS, SMTP, HTTP) Усилить контроль в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана не должны пользоваться абсолютным доверием
Вредоносные программы (вирусы, «троянский конь», сетевые черви) Вирусы: вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции; Сетевой червь: распространяется по глобальной сети и не оставляет своей копии на магнитном носителе; «Троянский конь»: программа, которая имеет вид полезного приложения, а на деле выполняет вредные функции Исключение НСД к исполняемым файлам; Использование антивирусных программ; Тестирование приобретаемых программных средств; Контроль целостности исполняемых файлов и системных областей; Создание замкнутой среды исполнения программ
Спам Может создавать реальную угрозу доступности информации, блокируя почтовые серверы, либо использоваться для распространения вредоносного ПО Использование специальных фильтров, блокирующих нежелательные письма
Фишинг (phishing) Получение идентификационных данных: пароли, номера кредитных карт, банковских счетов, PIN-кодов Использование специальных фильтров, блокирующих нежелательные письма
Интеграция процесса оценки и нейтрализации рисков в ИС
Стадия цикла жизни и развития ИС Характеристика стадии Действия по оценке и нейтрализации рисков
Стадия 1. Инициализация Выражается цель и область применения ИС Идентифицированные в ходе этой стадии риски используются для задания системных требований, включающих требования по защите и стратегию их функционирования
Стадия 2. Разработка (или закупка) Осуществляется разработка и закупка компонентов ИС Риски, идентифицированные в течение этой стадии, могут использоваться для выполнения анализа ИС по безопасности, результатом которого может быть изменения в архитектуре и характеристиках при ее проектировании
Стадия 3. Установка Опции системы защиты должны быть настроены, испытаны и проверены Процесс оценки и нейтрализации рисков включает оценку функционирования системы по отношению к установленным требованиям и среде функционирования. Решения по идентифицированным рискам должны быть сделаны до начала функционирования системы
Стадия 4. Функционирование Система выполняет свои функции. Обычно система постоянно изменяется и дополняется новыми техническими и программными средствам, организационными мероприятиями, правилами и процедурами Действия по оценки и нейтрализации рисков выполняются в периоды повторных аккредитаций или, когда в ИС сделаны изменения в ее функциональной и операционной среде
Стадия 5. Ликвидация Эта стадия может включать уничтожение информации, (продажу) аппаратных средств, и программного обеспечения. Может выполняться перемещение, архивирование, разрушение информации и «очистка» аппаратных средств и программного обеспечения Действия по оценке и нейтрализации рисков выполняются для системных компонентов, от которых будут избавляться или, которые будут заменяться, для того, чтобы гарантированно уничтожить остаточные данные в аппаратных средствах и программном обеспечении и, что перемещение (уничтожение, замена) системных средств, проводится без нарушения требований по безопасности
«средний», когда корректирующие действия необходимы и для их реализации должен быть разработан в пределах разумного периода времени корректирующий план; «низкий», когда вышестоящие организация должна определить, требуются ли корректирующие действия или риск принимается.
Под процессом снижения рисков понимается методология, используемая в процессе оценки и нейтрализации рисков. Снижение рисков может быть достигнуто с помощью использования методов: учета, устранения, огра-
ничения, планирования, трансформации рисков, а также ликвидацией уязвимостей.
На практике не всегда целесообразно рассматривать все идентифицированные риски. Поэтому требуется группировать риски по приоритетам пар угроза/уязвимость, учитывая в первую очередь наиболее значимые, т.е. те, которые могут причинить существенный вред ИС.
На рис. 2 изображен алгоритм действий по снижению рисков. Для выполнения мероприятий защиты по снижению рисков от
Рис. 2. Алгоритм действий по снижению рисков
преднамеренных человеческих угроз этот алгоритм кратко может быть сформулирован следующим образом:
- если уязвимость (или недостаток, слабость) существует - применять гарантированные методы по снижению вероятности использования уязвимости;
- если уязвимость может быть использована - применять многоуровневые мероприятия защиты, использовать архитектуру ИС, мероприятия административного контроля в целях минимизации риска или предотвращения появление такого события;
- если цена атаки меньше, чем цена результата от выполненного воздействия - применять мероприятия защиты по увеличению стоимости выполнения воздействия, чтобы снизить мотивацию атакующего (например, использовать мероприятия защиты, ограничивающие доступ и возможность выполнения системным пользователя некоторых функций, которые повысят стоимость выполнения воздействия);
- если потеря от воздействия является слишком большой - создавать средства защиты при проектировании ИС, включать их в архитектуру ИС и применять технические и организационные мероприятия для ограничения масштаба нападения, таким образом, сокращая уровень возможных потерь.
Поддержка функционирования механизмов защиты находится во взаимосвязи со многими другими мероприятиями защиты. Она заключается в обеспечении выполнения следующих функций защиты.
1. Идентификация. Выполняет уникальную идентификацию пользователей, процессов и информационных ресурсов. Для выполнения других механизмов защиты, необходимо, чтобы как объекты, так и субъекты были идентифицированы.
2. Управление ключами шифрования. При применении криптографических ключей требуется обеспечить необходимые режимные требования.
3. Администрирование безопасности. Для определения особенностей инсталляции, применения и учета изменений в операционной среде, на основе критичности и степени доступности информационных ресурсов, требуется соответствующим образом организовать вычислительный процесс. Средства защиты могут быть встроены в операционную систему или прикладное программное обеспечение.
4. Системные мероприятия защиты. Определение различных системных мероприятий защиты является залогом качественного выполнения процесса проектирования и основой при обеспечении безопасности.
Остаточным риском называется риск, остающийся после выполнения предложенных мероприятий защиты. Практически не существует ИС, которые не подвергались бы риску. Осуществляемые мероприятия защиты не могут устранить риск полностью, они предназначаются для снижения уровня риска.
Взаимосвязь между выполнением мероприятий защиты и остаточным риском графически представлена на рис. 3.
Рис. 3. Технические мероприятия защиты
На основании этого представления предлагается сформировать формализованную модель многоальтернативной оптимизации [4]. В качестве альтернативных переменных согласно проведенной выше классификации мероприятий защиты по методам их реализации рассматриваются следующие переменные.
xjl
1, если для у - го метода реализации выбирается I - ый вариант реализации
мероприяти й защиты 0, в противном случае
(1)
где J - количество методов, Ь - количество вариантов реализации у-го метода. От этих переменных и рискообразующих факторов приведенных в табл. 1, 2, 3, которые обозначим
уп, п = 1, N, где N - количество факторов
Уп =
Іесли п—ыйрискообр азующий фактор присутст вует 0,в противномслучае
зависит некоторая количественная оценка остаточного риска, требующая минимизации:
к = /(Ху1, Уп) ^ т1п (2)
Ограничениями при выборе мероприятий защиты выступают ресурсные ограничения, прежде всего допустимые затраты 7 :
ЕХЛ (Уп) ^ 7 * (3)
У=1
где - затраты на реализацию 1-го вариантау-го метода защиты, зависящие в свою очередь от рискообразующих факторов. Кроме того, ограничениями являются логические правила «если..., то...», привденные на рис.2. Обозначим их
П, ^ = 1, Т, где Т - количество правил.
Степень их выполнения зависит от выбранных мероприятий защиты и рискообразующих факторов.
П = П(ХЛ, Уп ) (4)
Объединив целевую функцию (2) и ограничения (3), (4) на множестве альтернативных переменных (1), получим следующую модель многоальтернативной оптимизации:
к = /(ха , Уп) ^
(5)
j=1
где у = 1, J, I = 1, Ь .
Для решения оптимизационной задачи (5) и получения рациональных для данной ИС и рискообразующих факторов вариантов реализации мероприятий защиты используются специальные алгоритмы направленного рандомизированного поиска [5].
В ходе написания статьи была проведена классификация удаленных атак на информационные системы, произведен анализ атак на основе программных средств, предложена алгоритм действий по снижению рисков, получена модель многоальтернативной оптимизации.
Литература
1. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. М.: Стандартинформ, 2006.
2. Домарев В.В. Защита информации и безопасность компьютерных систем/В.В. Домарев. - К.: «ДиаСофт», 1999. - 480 с.
3. Медведовский И.Д. Атака через Іпіетеї/И.Д. Медведовский. - М.: НПО «Мир и семья-95», 1997. - 374 с.
4. Моисеев Н.Н. Методы оптимизации/Н.Н. Моисеев. - М.: «Физматлит», 1978. - 352с.
5. Поляк Б.Т. Рандомизированные алгоритмы оценивания и оптимизации при почти произвольных помехах/ Б.Т. Поляк. - М.: «Наука», 2003. - 291с.
x
0
Воронежский институт высоких технологий
MULTIALTERNATIVE SELECTION OF METHODS OF PROTECTION OF INFORMATION SYSTEMS-BASED ANALYSIS AND CLASSIFICATION OF RISK FACTORS
Ya.E. Lvovich, D.S. Yakovlev
The article describes the analysis and classification of threats to information systems. Proposed algorithm for actions to reduce risks. Considered multialternative choice of methods of protecting information systems
Key words: multialternative choice, threat, risk, information security devices