Временная модель оценки риска нарушения информационной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056

А.С. Кабанов, А.Б. Лось, В.И. Трунцев

Временная модель оценки риска нарушения информационной безопасности

Излагаются результаты по построению оценок риска нарушения информационной безопасности с учетом времени работы вычислительной системы. Рассмотрены математические модели построения Бо8-атак на сервер информационной системы.

Ключевые слова: временная модель, оценка риска, время эксплуатации.

Анализ отечественных и международных стандартов по информационной безопасности [1, 2] показывает, что в настоящее время решение вопросов оценки качества защиты информационных систем, мягко говоря, оставляет желать лучшего. Основное требование стандартов - оценка рисков при нарушениях информационной безопасности (ИБ). При этом отсутствует единый подход к решению данной задачи и четкие методические указания по реализации процедур построения указанных оценок. В результате в лучшем случае каждый эксперт разрабатывает свой подход к решению поставленной задачи, а в большинстве случаев задача оценки рисков, по существу, сводится к проведению стендовых испытаний разработанной системы информационной безопасности (ИБ).

Кроме того, по нашему мнению, сами по себе оценки рисков нарушения ИБ не могут характеризовать уровень обеспечения безопасности, а главное - не дают представления о возможности или невозможности эксплуатации данной информационной системы (ИС). Представляется целесообразным строить оценки рисков ИБ на основе хотя бы простейших стандартных прогнозных моделей, учитывающих их изменение с течением времени. Такой подход позволит ввести единую и понятную даже неспециалисту характеристику ИС с точки зрения обеспечения ИБ - время безопасной работы информационной системы. В этом случае заказчики ИС будут иметь четкое представление

о возможности или невозможности ее эксплуатации в течение определенного промежутка времени. Ниже приводятся некоторые соображения по поводу построения указанных прогнозных моделей.

В традиционном подходе к проблеме оценки риска нарушения информационной безопасности (ИБ), который можно назвать статическим, величина риска Я находится из соотношения

п

Я=Е р( у-) • щ,

/=1

где р(у-) - вероятность реализации злоумышленником угрозы нарушения ИБ у.; щ - величина ущерба от успешного осуществления данной угрозы, г =1,2,...,п.

В рамках этой модели нарушителя предполагается, что он начинает действовать с момента начала работы ИС и атакует ее с неизменной интенсивностью. Такой подход, во-первых, в ряде случаев приводит к неоправданному завышению рисков ИБ, что в свою очередь влечет излишнюю усложненность подсистемы ИБ в общей ИС, а также затруднения в ходе эксплуатации последней, а во-вторых, как было указано выше, не дает представления о сроках безопасной эксплуатации ИС.

Очевидно, что в общем случае вероятность успешной реализации данной угрозы р( у-) и величина ущерба от ее реализации и- зависят от времени, прошедшего с начала эксплуатации системы:

Р(Уг)=Руг (0, щ =щ(*).

Зависимость величины риска Я от момента времени * при этом имеет вид

Я(*)=^ПрУ1 (*) • иг (*).

г=1

Функции ру. (*) и и- (*) являются, как правило, неубывающими функциями времени *, и, следовательно, величина риска Я(Х) также возрастает с ростом *.

Вводя границу величины безопасного риска Я0, можно вычислить значения параметра Т0 - времени безопасной эксплуатации ИС, являющегося решением уравнения

Я(х)=^РУг (х)• иг (х) = Я0. (1)

г=1

В качестве функций ру. (*) и щ (*) могут быть выбраны, например, функции, наиболее часто встречающиеся в моделях такого типа:

рУг (*) = р(0)-(1 - е-^), и- (*) = и(0)Ч1 - ), (2)

где рг(0) и иг(0) - величины, соответствующие статическим значениям вероятности успешной реализации угрозы у- и величины ущерба от ее успешной реализации; аг и Р; - соответствующие параметры прогнозной модели.

Для вычисления параметров р(0 , и, а;, Р; данной прогнозной модели могут приме-

няться как статистические методы, учитывающие опыт эксплуатации рассматриваемой ИС, так и другие известные методы, в частности, метод экспертных оценок.

Для рассматриваемых прогнозных функций ру. (*) и и- (*) величина риска имеет вид

я(* )=Е р(0) • (1 - е~а,/) • щ(0) 41 - е- в • *).

-=1

Заметим, что прогнозные модели, представленные в выражении (2), уже применялись в своих исследованиях рядом авторов [3].

В качестве примера применения предлагаемого подхода рассмотрим распределенную платежную систему (РПС) на основе банковских карт (БК) с магнитной полосой и модель несанкционированного доступа типа «кража информации во время ее хранения». В этом случае атака нарушителя и ее блокирование состоят из нескольких этапов: выбор хранилища для анализа (время реализации *1), обнаружение в выбранном хранилище области авторизационных запросов (время реализации *2), взлом области авторизационных запросов, похищение информации с действующих БК (время реализации ?з), блокирование доступа (время реализации *4). В этом случае простейшая модель вероятности успешной реализации данной атаки имеет вид

ру (* ) = (1 - е-“ ^ ^ ),

1

где а=--------------.

*1 + *2 + *3 + *4

Нетрудно видеть, что вероятность успешной реализации данной атаки уменьшается с увеличением общего времени действия нарушителя, включая время срабатывания блокировки.

Пусть значение возможного ущерба и от успешной реализации рассматриваемой атаки является постоянной величиной и не зависит от времени. Тогда уравнение для определения параметра т0 -

времени безопасной работы информационной системы - имеет вид

и • (1 - е~а4)=Я0, а решением данного уравнения является величина

Т0 =- -1п-Я . (3)

а и - Я0

Аналогично могут быть построены и другие модели попыток несанкционированного доступа нарушителя, например модель, предполагающая изменение информации на магнитной карте.

Рассмотрим еще один пример применения данного подхода на основе прогнозирования успешных реализаций БоБ-атак на информационные системы. Пусть в информационной системе имеется один сервер, на который злоумышленник пытается реализовать БоБ-атаку типа «отказ в обслуживании» путем генерации потока запросов с разных адресов. Предполагается, что максимальное число запросов, обрабатываемых сервером в единицу времени, равно т0 . При превышении данного числа запросов в единицу времени сервер блокируется, перестает обслуживать запросы и атака считается успешно реализованной.

Для проведения численных расчетов будем предполагать, что вероятностное распределение числа запросов, поступающих на сервер в единицу времени, является стационарным и подчиняется

закону Пуассона с параметром X . Вероятностные модели такого типа часто применяются в системах массового обслуживания [4]. При этом вероятность p(m) поступления на сервер ровно m запросов в единицу времени имеет вид

<ГХ-Хт

P(m)=------:— .

m!

Из сделанных выше предположений следует, что штатный режим работы сервера обеспечивается в случае, когда число заявок, поступающих на него в единицу времени, не превышает величины mo , вероятность данного события pшт, очевидно, имеет вид

-Х4к

k=0 ^

Обозначим через ^ событие, состоящее в успешной реализации БоБ-атаки в течение ? единиц времени. Нетрудно видеть, что вероятность этого события равна

р(^)=1 p шт =1 (1 Ч) ,

где q =1 /’шт .

При достаточно малых значениях вероятности q имеет место соотношение (1 -д)д ~ е , поэтому для вероятности р(Ог) справедливо равенство

р(П,)*1-е"д.

Пусть, как и в предыдущем примере, значение возможного ущерба и от успешной реализации рассматриваемой атаки является постоянной величиной и не зависит от времени и среднее значение допустимого ущерба равно Л0 . Тогда, учитывая соотношение (3), для времени безопасной эксплуатации информационной системы Т0 получаем

То = - -1п-и- . (4)

д и - Ло

Рассмотрим случай, когда блокировка сервера происходит при поступлении более то запросов в течение промежутка времени т. В этом случае вероятность работы системы в штатном режиме в течение промежутка времени т имеет вид

то е~кх -(А,т/ ршт(т) =Е .

k=0 ^

Вероятность р(0,) успешной реализации БоБ-атаки в течение времени / может быть оценена величиной

t t р(А)=1-(Ршт(т))т =1-(1 -д(т))т ~1-ехр{-д(т)4/x},

где д( т) =1- рШт (т).

Аналогично (4) для времени безопасной эксплуатации информационной системы Т0 получаем

гг т и

Тп =-----1п

0 q(т) и - Яо

Рассмотрим более строгую постановку задачи осуществления БоБ-атаки. Пусть в дискретные моменты времени ( = 1, 2, ...) реализуются случайные события в виде поступления или непоступления заявки на сервер. Пусть 8, - индикатор события, состоящего в поступлении заявки на сервер в момент времени і. Будем предполагать, что 8, - независимые, одинаково распределенные случайные величины и р{8, =1} = р . Задача вычисления вероятности успешной реализации БоБ-атаки в течение Т моментов времени при условии, что блокировка сервера происходит в случае поступления более т0 запросов в течение промежутка времени т, состоит в следующем.

1

Определим случайные величины

С к =^к + ^к+1 + ••• + ^к+т-1, к =1525---,

- количество событий (поступивших запросов) в течение времени т, начиная с момента времени к, к = 1,2,....

Во введенных обозначениях вероятность p(Q.j) проведения успешной DoS-атаки за время T имеет вид

Р(Рт )= Р{ max С к > т0}. (5)

1< к <Т-т+1

Последовательность {^к }к=1, образованная из независимых случайных величин (8к }^=1, в научной литературе называется процессом скользящего суммирования или частичными суммами Эр-деша-Реньи, а изучению их характеристик посвящено довольно много работ. В работах [5] и [6]

найдена асимптотика умеренных уклонений статистики max Zк . В [7] получено явное выраже-

1< к <Т-т+1

ние для константы в асимптотике вероятностей больших уклонений с условием Крамера. В форме

условных предельных теорем описаны траектории блуждания, на которых осуществляется большое

уклонение. В работе [8] найдено предельное значение функции распределения статистики

max ^к при T, т^<» и T/x^s=const.

1< к <Т -т+1

Вычислив значение вероятности (5) и применяя соотношение (4), нетрудно получить время То

безопасной работы информационной системы.

Рассмотрим поставленную выше задачу исследования эффективности DoS-атак в терминах теории массового обслуживания. В этом случае задача вычисления вероятности р(^т) успешной

реализации DoS-атаки в течение времени Т состоит в следующем.

Определим простейший поток событий - поступления заявок на сервер, в котором промежутки времени Х1,Х2,...,Xn,... между последовательными событиями являются независимыми, одинаково распределенными случайными величинами с функцией распределения р{Xj < t} = 1- e Х "г, где X -плотность потока событий (среднее число событий, приходящееся на единицу времени).

Определим случайные величины

^к =Хк + Хк+1 +... + Хк+m0 , к =1,2,...,

- время поступления серии из то +1 событий, начиная с события с номером к, к = 1,2,....

Обозначим через ПТ - случайную величину, равную общему числу событий за время Т.

Во введенных обозначениях вероятность р(От) проведения успешной DoS-атаки за время Т имеет вид

т0

р(Ог) =2 р{пт = п}Р{Ог/пт = ^, (6)

s=0

{ } (ХТ )п-е~ХТ

где р{ПТ = п} =-------;----,

п!

р{О.Т /ПТ = п} = р{ max Ц <т}.

1<к<п-т0

Для вычисления вероятности р{ max \к <т} справедливы замечания, высказанные выше

1<к<п-т0

для вычисления вероятности р{ max ^к > т0}.

1< к <Т-т

Вычислив значение вероятности (6) и применяя соотношение (4), нетрудно получить время Т0 безопасной работы информационной системы.

В общем случае, например в случае зависимости возможного ущерба от времени или в случае появления нескольких потенциальных угроз, для решения уравнения (1) могут применяться и другие, в частности численные, методы.

Представляется, что предложенный выше подход к исследованию уровня защищенности ИС, основанный на оценке параметра Т0 - времени ее безопасной работы, может служить удобным инструментом, характеризующим качество защиты ИС.

Литература

1. Международный стандарт информационной безопасности 180ЛЕС 17799-2005. Информационная технология -Методы защиты - Практическое руководство для менеджмента информационной безопасности [Электронный ресурс]. - Режим доступа: http://www.k1ubok.net/Down1oads-index-red-viewdown1oaddatai1s-1id-362.html, свободный (дата обращения: 22.05.2010).

2. Российский стандарт информационной безопасности Р ИСО\МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью [Электронный ресурс]. - Режим доступа: http://gostexpert.ru/gost/gost-17799-2005, свободный (дата обращения: 22.05.2010).

3. Менжулин РВ. Распределенные платежные системы на основе банковских карт с магнитной полосой: моделирование и регулирование рисков несанкционированного доступа к информации: автореф. дисс... канд. техн. наук. - Воронеж, 2011. - 21 с.

4. Венцель Е.С. Теория вероятностей: учеб. для вузов / Е.С. Венцель. - М.: Высшая школа. -1999. - 575 с.

5. Питербарг В.И. О больших скачках случайного блуждания // Теория вероятностей и ее применения. - 1997. - Т. 36, вып. 1. - С. 54-64.

6. Довгалюк В.В. Большие уклонения траекторий пуассоновского процесса/ В.В. Довгалюк, В.И. Питербарг. - Вероятностные процессы и их приложения. - М.: МИЭМ. - 1989.- С. 112-117.

7. Козлов М.В. О частичных суммах Эрдеша-Реньи: Большие уклонения, условное поведение // Теория вероятностей и ее применения. - 2001. - Т. 46, вып. 4. - С. 678-696.

8. Лось А.Б. О предельном распределении максимума процесса скользящего суммирования (частичных сумм Эрдеша-Реньи) // Вестник Московского государственного университета леса. -2011. - №3(79). С. 185-189.

Кабанов Артем Сергеевич

Канд. техн. наук, доцент каф. «Информационная безопасность» Московского института электроники и математики (МИЭМ)

Национального исследовательского университета «Высшая школа экономики» (НИУВШЭ)

Тел.: 8-903-557-73-97

Эл. почта: kabanov_as@mail.ru

Лось Алексей Борисович

Канд. техн. наук, доцент, зав. каф. «Информационная безопасность» МИЭМ НИУВШЭ

Тел.: 8-910-477-88-27

Эл. почта: alexloss@miem.edu.ru

Трунцев Вадим Игоревич

Ст. преподаватель каф. «Информационная безопасность» МИЭМ НИУВШЭ

Тел.: 8-905-525-00-11

Эл. почта: bugtract@rambler.ru

Kabanov A.S., Los A.B., Truntsev V.I.

Temporary model assessment of the risk of information security

The article presents the results of the construction risk assessments of information security for time-sensitive information system. Considered mathematical models of the DoS attak on the server of the information system. Keywords: Temporary model, assessment of the risk, time-sensitive.