CC BY
180
28. Карпов Ю.Г. Имитационное моделирование систем. Введение в моделирование с AnyLogic 5. - СПб: БХВ-Петербург, 2005. - 400 с.
29. Маслобоев А.В., Путилов В.А. Концептуальная модель интегрированной информационной среды поддержки управления безопасностью развития региона // Вестник МГТУ: Труды Мурманского государственного технического университета. - 2011. - Т. 14. - № 4. - С. 842-853.
30. Олейник А.Г., Федоров А.М. Проблемы и задачи формирования единого информационного пространства Арктической зоны РФ // Труды Кольского научного центра РАН. Информационные технологии. - 2011. - № 2 (5). - С. 19-28.
Маслобоев Андрей Владимирович - Институт информатики и математического моделирования технологических процессов Кольского научного центра РАН, ст. научный сотрудник; Кольский филиал Петрозаводского государственного университета, зав. кафедрой; кандидат технических наук, доцент;
masloboev@iimm.kolasc.net.ru
УДК 004.056
ПРЕДСТАВЛЕНИЕ ИНФОРМАЦИОННЫХ УГРОЗ НА ОСНОВЕ МОДЕЛИ ОТКРЫТОЙ СРЕДЫ В.С. Кузнецов, О.В. Лукинова
Представлена референсная модель открытой среды, которая трактует информационную систему как сочетание двух компонент - прикладной и платформенной, функциональность которых структурирована определенным образом. Трехмерность модели позволяет в тех же терминах отображать функциональность таких аспектов, как безопасность информационной системы. В этой связи в работе показана принципиальная возможность структурировать информационные угрозы (атаки) по компонентам модели, что открывает возможности формализации развития атаки в среде информационной системы, моделирования противодействия защитных механизмов и угроз. Предложены алгоритмы решения задач, связанных с идентификацией типа атак при помощи построения векторов параметров, влияющих на безопасность, и генерацией цепочек атак в информационной системе. Результаты, полученные в разделе «Моделирование стратегии атаки», могут быть использованы для решения широкого круга задач, в частности, для оценки возможности реализации атаки и эффективности защитных механизмов.
Ключевые слова: компьютерные атаки, открытая система, модель атаки, идентификация атак.
Введение
Понятие открытых систем берет начало в решении проблемы совместимости вычислительных, телекоммуникационных и информационных устройств. Решение данной проблемы привело к разработке большого числа международных стандартов и соглашений в сфере применения информационных технологий и разработки информационных систем (ИС). В частности, в [1] описана референсная модель открытой среды, структурирующая определенным образом функциональность ИС. Несмотря на то, что стандарт был разработан достаточно давно, подходы, изложенные в нем, не потеряли своей актуальности и продолжают использоваться [2].
С другой стороны, моделированием угроз, ассоциированных с уязвимостями ресурсов ИС и действиями нарушителя, занимались многие исследователи. В [3] сделан достаточно подробный обзор таблиц Дж. Говарда, графовых структур Б. Шнайера, двухуровневого представления атаки, разработанного в СПИИ РАН, многофакторной теоретико-множественной модели. Однако, с точки зрения авторов, слабостью этих разработок является то, что атака не «ложится» на среду своего распространения - саму информационную систему. Отображение же атак на представлении открытой среды дает возможность осуществить структурную интеграцию известных моделей атак с объектом нападения - ИС. В связи с этим цель работы - показать принципиальную возможность структурирования угроз ИС в соответствии с эталонной моделью открытой среды POSIX OSE/RM (Open System Environment/Reference Model).
Эталонная модель OSE/RM
Согласно определению IEEE POSIX 1003.0 [4], открытой информационной системой (ОИС) называется система, которая реализует открытые спецификации на интерфейсы, сервисы (услуги среды) и поддерживаемые форматы данных, достаточные для того, чтобы дать возможность должным образом разработанному прикладному программному обеспечению быть переносимым в широком диапазоне систем с минимальными изменениями, взаимодействовать с другими приложениями на локальных и удаленных системах, и взаимодействовать с пользователями в стиле, который облегчает переход пользователей от системы к системе.
Среда открытых систем OSE - это функциональная компьютерная среда, которая поддерживает переносимые, масштабируемые и взаимодействующие прикладные программы через стандартные услуги, интерфейсы, форматы и протоколы. Такая среда описывается эталонной моделью среды открытых систем OSE/RM, относящейся к категории референсных моделей, которая позволяет определять стандар-
ты интерфейсов и протоколов взаимодействия между компонентами ОИС. В рамках модели OSE/RM информационная система представляется двумя составляющими (рис. 1): прикладной (Application), предоставляющей автоматизированные бизнес-услуги пользователю, и платформенной (Platform), которая обслуживает потребности приложения в системных сервисах посредством API-функций. Платформенная часть представлена тремя уровнями:
1. компоненты аппаратного слоя (HW);
2. компоненты операционного слоя или те компоненты операционных систем, которые составляют базовые функции любой ОС (OW);
3. компоненты промежуточного или системно-прикладного слоя (MW). Следует пояснить, что к этому уровню относятся те системные услуги ОС, которые требуют дополнительных по отношению к базовым услугам ОС программных реализаций для обслуживания приложений. К таким услугам относятся, например, средства организации удаленного взаимодействия; функции управления базами данных (БД) или базами знаний (БЗ); услуги телекоммуникаций, реализующиеся посредством прикладных протоколов (например, электронной почты, передачи файлов и т.д.).
Кроме того, ИС может общаться с окружением, т.е. набором внешних по отношению к прикладной платформе и приложению информационных систем, взаимодействие с которыми осуществляется через некоторые интерфейсы. Минимальный функциональный набор в таком интерфейсе составляет обеспечение взаимосвязи на базе семиуровнего стека (OSI/RM) в совокупности со средствами организация взаимодействия на основе одного из механизмов вызова удаленных процедур: удаленного вызова метода, брокера объектных запросов и т.д.
Далее функциональность модели разбивается на четыре категории, а именно:
1. функции, обслуживающие интерфейс с пользователем (столбец User);
2. организация всех процессов в системе (столбец System);
3. обеспечение организации, представления, хранения данных, а также доступ к ним (столбец Information);
4. коммуникационные (столбец Communication-C).
Рис. 1. Концептуальная модель OSE/RM: <ИС> - плоскость функциональности ИС;
<А> - плоскость администрирования; <З> - плоскость защиты
Эталонная модель POSIX трехмерна: помимо базовой передней плоскости, в ней выделены плоскости так называемых межкатегорийных сервисов (Cross-Category Services) [1], назначение которых -обеспечивать функционал передней плоскости. Таким образом, модель может содержать плоскости сервисов административного управления (МanagementServices), безопасности (SecurityServices), интернационализации (InternationalizationServices) и т.п.
Структуризация информационных атак на основе модели OSE/RM
В рассматриваемой модели авторов в большей степени интересует аспект защиты информации. В [5] рассмотрены два аспекта представления плоскости защиты:
- межкатегорийное, аккумулирующее механизмы (Мх), которые могут быть использованы для защиты реализаций «клеток» передней плоскости модели. Под механизмом понимается некоторый способ реализации той или иной функции защиты, например, механизм контроля целостности, аутентификации, механизм обеспечения доступа и т.п.
- представление приложений защиты в виде базовой функциональности.
В настоящей работе рассмотрен третий аспект представления плоскости защиты - структуризация информационных угроз в виде последовательности (цепочки) «клеток» модели. Угроза - это потенциальная возможность определенным образом нарушить безопасность реализаций «клеток» модели. Попытка реализации угрозы есть атака (разумеется, речь идет об атаках, производимых с помощью вычислительных программно-аппаратных средств в среде данной ИС).
Пусть {Strs} = {Str1s, Str2,...,Str[} - список возможных для данной ИС угроз. Атака Str{ означает, что нарушитель должен осуществить некоторые действия в определенных «клетках», направленные на преодоление Мх, установленных в «клетке» (межкатегорийное представление плоскости защиты). Назовем последовательность таких «клеток» цепочкой реализации атаки Ak.
Таким образом, каждая цепочка представима кортежем Ак (a1, a2, ..., aH), где ah, h=1,..., H - номер «клетки», входящей в цепочку. Ниже представлены примеры структуризации сетевых атак, развитие которых начинается с какой-либо «клетки» столбца C. При этом будем считать, что, если действия нарушителя привели к поражению ресурсов (пользовательских, административных, защитных) «клетки» ap сетевого стека, то эта «клетка» определяет тип атаки, например, атака физического уровня, атака канального уровня и т.п., т.е. тем самым определяется номер первой «клетки» цепочки Ak(a1,a2,...,aH).
Атаки физического уровня. Атаки на физическом уровне характеризуются тем, что используют физические особенности каналов передачи информации, например:
- установка передатчика, заглушающего сигнал от точки Wi-Fi, с целью нарушить работу беспроводной сети;
- съем информации с кабеля посредством анализа электромагнитного излучения;
- нарушение физической целостности кабелей и оборудования;
- массовая рассылка пакетов с разными MAC-адресами, посредством которой возможно выведение из строя маршрутизатора.
Представим развитие последней атаки графически на модели OSE/RM (рис. 2). Здесь ap = 16,1, тогда Ai(16,1, 16,2, 12,1, 12,2, 8,1, 8,2, 8,3, 6).
Рис. 2. Представление атаки MAC-flood
Это атака, при которой атакующий рассылает множество Ethernet-фреймов, имеющих разные MAC-адреса. Маршрутизаторы обрабатывают MAC-адреса по отдельности, поэтому им приходится резервировать часть ресурсов для обработки каждого запроса. Когда у маршрутизатора заканчивается память, он либо отключается, либо перестает отвечать на запросы. Для некоторых типов маршрутизаторов возможен полный сброс таблиц маршрутизации.
Атаки канального уровня. Атаки на канальном уровне используют информацию из заголовка канального уровня, например: атаки, имеющие целью подделку MAC-адреса в отправляемых пакетах (MAC-spoofing); взлом протокола шифрования беспроводных сетей Wi-Fi.
Конечной целью обхода протокола шифрования является, как правило, получение привилегий, свойственных легитимным пользователям сети. Наиболее распространенным способом реализации атак
подобного рода являются накопления перехваченных пакетов (при помощи снифера) с последующим анализом используемого протокола шифрования и получением ключей шифрования.
Выразим атаку канального уровня на протокол шифрования беспроводной сети графически на модели OSE/RM (рис. 3). Здесь ap = 16,2, тогда ^(16,2, 12,1, 12,2, 8,1, 8,2, 8,3, 7, 11).
Физический
ISO
Рис. 3. Атака на шифрование в беспроводной сети
Атаки сетевого уровня. Атаки на сетевом уровне используют протоколы сетевого уровня (IP, ICMP, ARP, протоколы маршрутизации). Примерами таких атак являются подделка IP-адреса в отправляемых пакетах (IPspoofing); атака на протоколы маршрутизации; атака «отказ в обслуживании», ICMP-flood; ARP-spoofing, которая представляет собой разновидность атаки «человек посередине». Рассмотрим последнюю атаку подробнее (рис. 4).
ISO
Рис. 4. Представление атаки ARP-spoofing
Для формирования пакета и отправки его в сеть компьютеру необходимо знать IP- и MAC-адреса получателя пакета. IP-адрес, как правило, известен отправителю заранее. Для определения MAC-адреса по известному IP-адресу предназначен протокол ARP. Когда компьютер должен послать пакет по определенному IP-адресу, он изучает свой ARP-кэш на наличие в нем соответствия IP-MAC. Если подобное соответствие найдено, то полученный MAC-адрес вставляется в заголовок исходящего пакета, и тот отправляется в сеть. В противном случае в сеть посылается широковещательный ARP-запрос. Любой компьютер, опознав в запросе свой IP-адрес отвечает отправителю запроса своим MAC-адресом. Атакующий может использовать протокол ARP для того, чтобы перехватить трафик между компьютерами в сети. Эта атака представляется следующей цепочкой: ap = 12,1, тогда ^(12,1, 12,2, 8,1, 8,2, 8,3, 7).
Моделирование стратегии атаки
Так или иначе, ясно, что атака может быть структурирована на модели OSE/RM. Далее возникает две задачи - идентификация типа атаки и автоматическая генерация цепочки номеров, задействованных в цепочке «клеток».
Идентификация типа атаки. Обозначим {РК_<ИС>} = (кИС,...кИС,сИС,...,,йИС,...йИС) -вектор параметров, определяющих безопасность {КБ} р-ой «клетки» для плоскости <ИС>, где ,. ..к^), (еИС,..., еИ), (ёИС ,...ё,00)- параметры, определяющие конфиденциальность, целостность, доступность ресурсов р-ой «клетки» соответственно. {РК_<А>} = (кА ,...к^, с^,..., с^, ) - вектор
характеристик критериев безопасности {КБ} р-ой «клетки» для плоскости <А>.
КБ <з> З з З з З З
Рр } = (кь...кп, сь..., ст, й!,...йг - вектор характеристик критериев безопасности {КБ} р-ой «клетки»
для плоскости <З>. Тогда {Рр® } = {Рр®_<ИС> {Рр^Б_<А> {Рр^Б_<З>} - объединенный вектор характеристик, описывающих критерии безопасности р-ой «клетки».
КБ
Ненулевая разница между текущими и эталонными значениями вектора {Рр } будет говорить о
факте реализации атаки, тип которой определяется р-ой «клеткой».
Идентификация типа атаки позволит не только выявить объект атаки, но и спрогнозировать конечную цель нарушителя, понять, какое приложение потерпит поражение, так как, атакуя платформу, противник в конечном итоге наносит вред бизнес-процессу, который реализуется данным приложением. Зная же цели противника можно выбрать и адекватные меры реагирования.
Автоматическая генерация цепочки Ак, т.е. номеров, задействованных в цепочке «клеток». Для этого можно задействовать алгоритмы анализирующих грамматик 0={Т, V, N Р, Б, К}, где Т- множество терминальных символов, т.е. номеров «клеток» 1-16; V - множество переменных грамматик. Начальный символ N определяется номером «клетки», соответствующей каналу проникновения (КА) в систему. Канал может быть визуальным - через экранные формы (номер 1), физическим - через устройства ввода/вывода (номер 13); для сетевых каналов номер «клетки» равен ар, т.е. вывод цепочки может начаться с N = (ак =1/ ак = ар / ак =13).
Далее на основании опроса экспертов необходимо сформировать следующие матрицы:
- матрицы переходов Р = ||/ ||, /,у=1...16 , где/ = 0, если переход из /-ой «клетки» ву-ю невозможен; /у = 1, если такой переход возможен;
- матрицу стратегий Б = Н^Н, /=1.16, которая содержит экспертные оценки возможности использования /-й «клетки» при реализации 1-й стратегии, где = 0, если «клетка» в стратегии не может быть использована; равна некоторому числу в противном случае.
Правила вывода Р определяют способы формирования цепочек А1, из «клеток» с #0 в соответствии с матрицами Р.
В свою очередь, каждую атаку Б/г* нарушитель может осуществить несколькими способами, т.е.
может использовать разные цепочки реализации V — (А 1, А 2,..., АК). В результате будем иметь соответствия показанные на рис. 5.
А1 (а 4, а8, а7, аз, аб) А2 (О^ a6, ^ аз)
АМ (а5,а7,аз)
Рис. 5. Примеры соответствий цепочек Ак и стратегий
Определение. Совокупность {Б/г*} = {Б/г/, Б/г*,...,Б/г*}, в которой VБщ* — (А1, А2,..., Ак), назовем моделью атак (МА).
Такая модель атак может быть сгенерирована автоматизированной системой управления безопасностью ИС и позволит решать в оперативном порядке следующие задачи.
- осуществлять контроль «клеток», задействованных во всей цепочке А1, если в одной из «клеток» зафиксировано действие нарушителя.
- оценить возможность реализации атаки .
- оценить интервал времени до того момента, когда вследствие реализации той или иной стратегии нападения пользовательское приложение «рухнет».
- на стадии проектирования защиты ИС оценить возможность того, насколько защитные механизмы, задействованные в «клетках», смогут противостоять А1-й цепочке атаки, т.е. оценить возможность противодействия механизмов защиты цепочке А1-й.
Заключение
Описанные методы и алгоритмы представления атак в плоскости модели OSE/RM открывают возможность моделирования взаимодействия информационных атак и механизмов защиты, что позволит выделить «узкие» места в избранной политике безопасности информационной системы, «проигрывать» различные сценарии при проектировании систем защиты, оценивать степень противодействия защитных механизмов и элемента атаки, сопоставленных «клетке» информационной системы.
Авторы ставят своей целью в последующих публикациях отобразить в рамках модели OSE/RM классические механизмы защиты, проработка по данным направлениям ведется в [2, 5].
Литература
1. ISO/IEC TR 14252-96. Information technology. Guide to the POSIX Open System Environment (OSE). -1996. - 190 p.
2. Бойченко А.В., Лукинова О.В. Применение модели POSIX OSE/RM при построении подсистем информационной безопасности // Труды международной конференции «Интеллектуальные системы» (AIS10). - М.: ФИЗМАТЛИТ, 2010. - Т. 2. - С. 473-476.
3. Сердюк В.А. Организация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных системах предприятий: Учебное пособие. - М.: Изд. дом ГУ ВШЭ, 2011. - 572 с.
4. IEEE Std 1003.0-1005, IEEE Guide to the POSIX Open System Enviroment (OSE). - N-Y.: The Institute of Electrical and Electronics Engineers, 1995. - 194 p.
5. Лукинова О.В. Методология проектирования систем защиты, построенных на основе референсной модели POSIX OSE/RМ // Системы высокой доступности. - 2012. - № 3. - С. 38-45.
Кузнецов Владимир Сергеевич - Московский государственный технический университет радиотехники, электроники и автоматики, аспирант, kuznecov.vladimir.00@mail.ru Лукинова Ольга Васильевна - Институт проблем управления им. В.А. Трапезникова, кандидат технических
наук, ст. научный сотрудник, lobars@mail.ru
