УДК 621.3
МОДЕЛЬ ПОЛНОГО МНОЖЕСТВА РЕАЛИЗАЦИЙ УГРОЗ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В ИТКС
С.Н. Гудков, О.И. Гудкова, В. А. Хвостов
Проведен анализ вербального описания методов реализации полного множества угроз информационной безопасности в сетях ИТКС, содержащихся в специализированной литературе. Построена модель полного множества угроз ИБ с использованием логических деревьев атак Б. Шнайера и присвоением дугам дерева числовых коэффициентов, имеющих временной смысл
Ключевые слова: информационная безопасность, модель угроз, дерево атак, сценарий атаки
Одним из важнейших этапов проектирования систем защиты информации (СЗИ) от несанкционированного доступа (НСД), обеспечивающих оптимизацию проектируемой системы в возможно большей степени является синтез. При этом задача синтеза может бать сформулирована в следующем виде [1-3]: найти такую систему которая удовлетворяет сово-
купности {У, О*, СК, Ок} исходных данных и обладает при этом значением совокупности (вектора) показателей качества К = (к1^кт) наилучшим в смысле заранее выбранного критерия. В формальной постановке задачи синтеза системы введены следующие обозначения: У - совокупность условий применения системы; О* - совокупность ограничений, накладываемых на структуру и параметры проектируемой системы; СК - состав совокупности вектора качества системы; Ок - ограничения, накладываемые на показатели качества. Как видно из формулировки задачи синтеза, условия применения проектируемой системы являются определяющими в задаче синтеза, от которой зависит оптимальность. Существующие в настоящее время модели реализации угроз НСД базируются в основном на вербальном описании. При этом особое внимание уделяется полноте классификации угроз. Примером вербального классификационного подхода к формированию модели угроз ИБ могут служить [4-8].
Использование научных методов синтеза при проектировании СЗИ наряду с требованием полноты рассмотрения угроз ИБ (совокупности условий применения системы) выдвигает проблемы, требующие формального описания для использования методов количественной оценки вариантов СЗИ. Таким образом, целью статьи является разработка формальных моделей полного множества угроз ИБ, обеспечивающих решение задачи технического синтеза СЗИ.
Для построения формальных моделей реализаций угроз в [10] предложено использовать с использованием логических деревьев атак Б. Шнайера [11] и
Гудков Сергей Николаевич - ВИПС ФСО России, преподаватель, тел. 8-908-130-34-34, е-шай: [email protected]
Гудкова Ольга Ивановна - ОАО «Концерн «Созвездие», техник отдела, тел. 8-908-130-34-20 Хвостов Виктор Анатольевич - ГНИИИ ПТЗИ ФСТЭК России, ведущий научный сотрудник, тел. 8-950-761-83-14
присвоением дугам дерева числовых коэффициентов, имеющих временной смысл.
В качестве основополагающей конструкции здесь выступает иерархическое дерево О = (Ь, Е), где Ь = {/,} - множество вершин дерева, Е= . Е Е {Ь2}
- множество дуг дерева. Каждая вершина дерева О ассоциируется с определенным действием нарушителя, при этом корень дерева обозначает конечную цель информационной атаки, реализация которой может нанести значительный ущерб АС. Таким образом, на графе О имеется возможность составить множество возможных путей Ор=^рг}, где каждый путь gpr представляет собой последовательность дуг (е1, е 2,... еп) вида = (¡1, ¡]) , ¡1, ¡] е Ь , при этом
конечная вершина дуги ¡i одновременно является начальной вершиной дуги ¡ш. В качестве начальной вершины пути могут выступать листья дерева О, а в качестве конечной вершины - корень дерева О.
Деревья атак могут изображаться как в графическом, так и в текстовом виде. Корень этого дерева
- вершина ¡0 е Ь - обозначает действие нарушителя. Для выполнения этого действия злоумышленник первоначально должен осуществить все операции, которые обозначаются элементами { е Ь} [1п ]. При
этом последовательность действий, выполняемых нарушителем, определяется индексами вершин е Ь}.[1и], т.е. первым выполняется действие, ассоциированное с вершиной ¡1 е Ь , а последним -
¡п е Ь •
Предложенная модель угроз ИБ построена в терминах математического аппарата теории деревьев и позволяет моделировать сложные сценарии атак, предусматривающих несколько вариантов реализации. Для проведения количественного анализа угроз каждой дугой дерева сопоставляется параметр, имеющий смысл времени реализации действий по реализации этапа угрозы ИБ, соотнесенного с дугой.
Таким образом, формальная модель угрозы ИБ будет иметь следующий вид:
О = ( Ь , Е , То ); ь = {0,¡ 1,¡2,... ¡п};
Е = {(!0 , ¡1 , 101 )( ¡0 , !2 , 102 ),...( , !] , ) } ; где ^ - время реализации, соответствующее дуге дерева атаки у.
Та - среднее время реализации всего дерева атаки.
С использованием предложенной формальной модели построим формальную модель полного множества реализаций угроз ИБ с использованием вербальной модели. Вербальная модель полного множества реализаций НСД к средствам вычислительной техники представлена в документе [12], разработанном Министерством юстиции США в качестве руководящего документа для широкого круга специалистов в области ИБ.
В соответствии с данным документом традиционно выделяются три принципиально отличных друг от друга случая реализации угроз ИБ: с использованием существующих уязвимостей на базе отдельного средства вычислительной техники (СВТ); с использованием внедренных уязвимостей на базе отдельного СВТ; с использованием способов, связанных с уязвимостями протоколов межсетевого взаимодействия и каналов передачи данных.
Дерево атак, соответствующее случаю с использованием существующих уязвимостей на базе отдельного СВТ (рис.1).
Рис. 1. Дерево атаки с использованием существующих уязвимостей на базе отдельного СВТ
Словесное описание дерева атаки с использованием существующих уязвимостей на базе отдельного СВТ можно представить в следующем виде.
С1 - Реализация угрозы безопасности информации в л АС на базе автономного АРМ путем использования’ I существующей уязвимости АС; или С1.1 - обхода СЗИ;
или С1.1.1 - загрузка нештатной операционной системы;
или С1.1.1.1 загрузка нештатной операционной системы с жесткого магнитного диска;
С1.1.1.2 - загрузка нештатной операционной системы с гибкого магнитного диска;
С1.1.1.3 - загрузка нештатной операционной сист£1. мы с привода оптических носителей информации, сетевые устройства удаленной загрузки;
С1.1.1.4 - загрузка нештатной операционной системы с устройства, подключаемые к ЦББ порту;
С1.1.1.5 - загрузка нештатной операционной системы при наличии программной или программноаппаратной закладки с использованием любого устройства или порта ввода/вывода информации компьютера;
С1.1.2 - работа системы в незащищенном режиме;
.1
1.1
или С1.1.2.1 - при инициализации операционной системы;
С1.1.2.2 - при работе процессора в незащищенном режиме; РИО
С1.1.2.3 - при обработке инфоршц»и^в режиме работы ядра операционной системы;
С1.1.2.4 - при обработке информации с правами администратора системы или с правами доступа к защищаемой информации;
С1.1.3 - доступ в систему через вредоносную программу или программно-аппаратную закладку; или С1.1.3.1 - в результате ошибки переполнения буфера;
С1.1.3.2 - в5ізул2гате программкой закладки^І '2.1 С1.1.3.3 - в результате программного люка;
С1.2 - деструктивное воздействия на СЗИ; и С1.2 - изучение (исследование) функционирования алгоритма защиты;
С1.2 - корректировка кода программы защиты или
мых
имитация запрашиваемых и идентищипируе программой защиты данных; С1 1 - ■ 1
С1.3 - вскрытие или перехват пароля (ключа); 0<| -
или С1.3.1 - простьЕмперебором или перебором по
словарю;
ПА Л Л Г
С1 1 23
С'
С1.2.:
С1.3.2 - путем использования системных файлов, в которых хранится информация о паролях;
С1.3.3 - в результате перехвата в процессе функционирования системы вредоносной программой контролирующей устройства ввода/вывода информации;
С1.4 - способы, связанные с использованием уязвимостей протоколов межсетевого взаимодействия и каналов передачи данных;
С1.5 - использование остаточной, неучтенной информации;
или С1.5.1 - данные виртуальной памяти операционной системы на жестком диске;
С1.5.2 - данные на магнитных и оптических носителях после стирания;
С1.6 - использование нетрадиционных (стеганографических) каналов передачи информации или С1.6.1 данные в текстовых файлах;
С1.6.2 данные в файлах, содержащих рисунок;
С1.6.3 данные в неиспользуемых местах отчуждаемых носителей.
Дерево атак, соответствующее случаю с использованием внедренных уязвимостей на базе отдельного СВТ (рис. 2).
Рис. 2. Дерево атаки с использованием внедренных уязвимостей на базе отдельного СВТ
С2 - Реализация угрозы безопасности информации в АС на базе автономного АРМ путем использования внедренной уязвимости АС;
или С2.1 - на этапе проектирования и разработки АС;
С2.2 - на этапе эксплуатации;
или С2.2.1 - путем использования нештатного программно-аппаратного обеспечения; или С2.2.1.1 - программно-аппаратная закладка; С2.2.1.2 - вредоносная программа С2.2.2 - с использованием штатных средств; или С2.2.2.1 - путем обмена программами и данными, содержащими выполняемые модули (скрипты,
макросы и т.д.), с доверенными системами и пользователями;
С2.2.2.2 - путем изменения конфигурации программно-аппаратного обеспечения;
С2.2.2.3 - путем модификации программного обеспечения и данных;
С2.2.2.4 - разработкой вредоносных программ; С2.2.2.5 - путем публикации, разглашения защищаемых сведений;
С2.3 - на этапе сопровождения (модернизации);
С2.4 - на этапе утилизации АС или ее элементов;
Дерево атак,» соответствующее случаю использования способов, связанных с уязвимостямилроти-колов межсетевого взаимодействия и каналов передачи данных (рис. 3).
С2.2.1
С221 1 С2 2 1 2
С2.2.2
С222 1
С1.4.3
Рис. 3 Дерево атаки с использованием способов, связанных с уязвимостями протоколов межсетевого взаимодействия и
каналов передачи данных
Словесное описание дерева атаки с использованием способов, связанных с уязвимостями протоколов межсетевого взаимодействия и каналов передачи данных можно представить в следующем виде. С1.4 - Реализация угрозы безопасности с использованием способов, связанных с использованием уязвимостей протоколов межсетевого взаимодейбтвря / и каналов передачи данных; или С1.4.1 - перехват информации; и С1.4.1.1 - сбор информации;
С1.4.1.2 - сетевая атака и доступ к ресурсам удаленной вычислительной системы;
С1.4.1.3 - реализация деструктивных действий; С1.4.1.4 - ликвидация следов, идентифицирующих субъекта доступа;
С1.4.2 - модификация передаваемых данных (дезинформация);
и С1.4.2.1 - сбор информации;
С1.4.2.2 - сетевая атака и доступ к ресурсам удаленной вычислительной системы;
С1.4.2.3 - реализация деструктивных действий; С1.4.2.4 - ликвидация следов, идентифицирующих субъекта доступа;
С1.4.3 - перегрузка ресурсов (отказ в обслуживании);
и С1.4.3.1 - сбор информации;
С1.4.3.2 - сетевая атака и доступ к ресурсам удаленной вычислительной системы;
С1.4.3.3 - реализация деструктивных действий; С1.4.3.4 - ликвидация следов, идентифицирующих субъекта доступа;
С1.4.4 внедрение вредоносных программ; и С1.4.4.1 - сбор информации;
С1.4.4.2 - сетевая атака и доступ к ресурсам удаленной вычислительной системы;
С1.4.4.3 - реализация деструктивных действий; С1.4.4.4 - ликвидация следов, идентифицирующих субъекта доступа;
С1.4.5 - удаленный несанкционированный доступ в систему;
и С1.4.5.1 - сбор информации; С' А2'
С1.4.5.2 - сетеваялгака и доступ к ресурсам удаленной вычислительной системы;
С1.4.5.3 - реализация деструктивных действий; С1.4.5.4 - ликвидация следов, идентифицирующих^ субъекта доступа; п
С1.4.6 - разглашение и уГечка информации на незащищенные рабочие места вычислительной сети; и С1.4.6.1 - сбор информации; сс1.4.6.2 - сетевая атака и доступ к^ре^у/рсам удаленной вычислительной системы; “
С1.4.6.3 - реализация деструктивных действий; С1.4.6.4 - ликвидация следов, идентифицирующих субъекта доступа. “ О,' А
Таким образом, на основе анализа множества угроз ИБ, разработаны формальные модели полного множества угроз ИБ, которые предназначены для оценки среднего времени реализации полного множества угроз, в соответствии с математическими зависимостями, представленными в [10], а также при решении задачи разработки САПР СЗИ, в частности при решении задач синтеза новых вариантов СЗИ, адекватных реальным угрозам в АС.
Литература
1. Гуткин Л.С. Оптимизация радиоэлектронных устройств по совокупности показателей качества. - М.: Сов. радио. 1975, 368 с.
2. Квейд Э. Анализ сложных систем. - М.: Сов. Радио, 1969 г. 522 с.
3. Месарович М., Такахара Я. Общая теория систем. Математические основы. - М. Мир. 1978, 311 с.
4. Гостехкомиссия РФ. Руководящий документ. Концепция защиты средств вычислительной техники от
24
несанкционированного доступа к информации. - М.: Воениздат, 1992.
5. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - М.: ИПК Издательство стандартов, 2002.
6. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 кн.: Кн. 1. - М.: Энергоатомиздат, 1994. 400 с.
7. Мельников В.В. Защита информации в компьютерных системах. - М.: Финансы и статистика; Электро-информ, 1997, 368 с.
8. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. - М.: издатель Молгачева С.В., 2001, 352 с.
9. Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире. - СПб.: Питер, 2003, 367 с.
10. Метод построения формальных моделей реализации угроз информационной безопасности автоматизированных систем / Макаров О.Ю., Хвостов В.А., Хвостова Н.В. // Вестник Воронежского государственного технического университета. 2010, Т.6 №11, с 22 - 25.
11. Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире СПб.: Питер, 2003, 367 с.
12. Department of Justice, “Guidelines for Searching and Seizing Computers” 1994, 155 c.
Воронежский институт правительственной связи (филиал) Академии ФСО России ОАО «Концерн «Созвездие» (г. Воронеж)
Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспертному контролю России (г. Воронеж)
FORMAL MODEL OF FULL SET REALIZATIONS OF INFORMATION SECURITY THREATS
OF THE AUTOMATED SYSTEMS
S.N. Gudkov, O.I. Gudkova, V.A. Khvostov
The analysis of the verbal description of methods of realization of full set of threats of information safety the automated systems, containing in the specialized literature is carried out. The formal model of full set of threats information safety, with use of logic trees of attacks of B.Shnajera and assignment to arches of a tree of the numerical factors having time sense is constructed
Key words: information safety, model of the threats, tree of the attacks, scenario of the attack