УДК 004.056
А.С. Кабанов, А.Б. Лось, В.И. Трунцев
Временная модель оценки риска нарушения информационной безопасности
Излагаются результаты по построению оценок риска нарушения информационной безопасности с учетом времени работы вычислительной системы. Рассмотрены математические модели построения Бо8-атак на сервер информационной системы.
Ключевые слова: временная модель, оценка риска, время эксплуатации.
Анализ отечественных и международных стандартов по информационной безопасности [1, 2] показывает, что в настоящее время решение вопросов оценки качества защиты информационных систем, мягко говоря, оставляет желать лучшего. Основное требование стандартов - оценка рисков при нарушениях информационной безопасности (ИБ). При этом отсутствует единый подход к решению данной задачи и четкие методические указания по реализации процедур построения указанных оценок. В результате в лучшем случае каждый эксперт разрабатывает свой подход к решению поставленной задачи, а в большинстве случаев задача оценки рисков, по существу, сводится к проведению стендовых испытаний разработанной системы информационной безопасности (ИБ).
Кроме того, по нашему мнению, сами по себе оценки рисков нарушения ИБ не могут характеризовать уровень обеспечения безопасности, а главное - не дают представления о возможности или невозможности эксплуатации данной информационной системы (ИС). Представляется целесообразным строить оценки рисков ИБ на основе хотя бы простейших стандартных прогнозных моделей, учитывающих их изменение с течением времени. Такой подход позволит ввести единую и понятную даже неспециалисту характеристику ИС с точки зрения обеспечения ИБ - время безопасной работы информационной системы. В этом случае заказчики ИС будут иметь четкое представление
о возможности или невозможности ее эксплуатации в течение определенного промежутка времени. Ниже приводятся некоторые соображения по поводу построения указанных прогнозных моделей.
В традиционном подходе к проблеме оценки риска нарушения информационной безопасности (ИБ), который можно назвать статическим, величина риска Я находится из соотношения
п
Я=Е р( у-) • щ,
/=1
где р(у-) - вероятность реализации злоумышленником угрозы нарушения ИБ у.; щ - величина ущерба от успешного осуществления данной угрозы, г =1,2,...,п.
В рамках этой модели нарушителя предполагается, что он начинает действовать с момента начала работы ИС и атакует ее с неизменной интенсивностью. Такой подход, во-первых, в ряде случаев приводит к неоправданному завышению рисков ИБ, что в свою очередь влечет излишнюю усложненность подсистемы ИБ в общей ИС, а также затруднения в ходе эксплуатации последней, а во-вторых, как было указано выше, не дает представления о сроках безопасной эксплуатации ИС.
Очевидно, что в общем случае вероятность успешной реализации данной угрозы р( у-) и величина ущерба от ее реализации и- зависят от времени, прошедшего с начала эксплуатации системы:
Р(Уг)=Руг (0, щ =щ(*).
Зависимость величины риска Я от момента времени * при этом имеет вид
Я(*)=^ПрУ1 (*) • иг (*).
г=1
Функции ру. (*) и и- (*) являются, как правило, неубывающими функциями времени *, и, следовательно, величина риска Я(Х) также возрастает с ростом *.
Вводя границу величины безопасного риска Я0, можно вычислить значения параметра Т0 - времени безопасной эксплуатации ИС, являющегося решением уравнения
Я(х)=^РУг (х)• иг (х) = Я0. (1)
г=1
В качестве функций ру. (*) и щ (*) могут быть выбраны, например, функции, наиболее часто встречающиеся в моделях такого типа:
рУг (*) = р(0)-(1 - е-^), и- (*) = и(0)Ч1 - ), (2)
где рг(0) и иг(0) - величины, соответствующие статическим значениям вероятности успешной реализации угрозы у- и величины ущерба от ее успешной реализации; аг и Р; - соответствующие параметры прогнозной модели.
Для вычисления параметров р(0 , и, а;, Р; данной прогнозной модели могут приме-
няться как статистические методы, учитывающие опыт эксплуатации рассматриваемой ИС, так и другие известные методы, в частности, метод экспертных оценок.
Для рассматриваемых прогнозных функций ру. (*) и и- (*) величина риска имеет вид
я(* )=Е р(0) • (1 - е~а,/) • щ(0) 41 - е- в • *).
-=1
Заметим, что прогнозные модели, представленные в выражении (2), уже применялись в своих исследованиях рядом авторов [3].
В качестве примера применения предлагаемого подхода рассмотрим распределенную платежную систему (РПС) на основе банковских карт (БК) с магнитной полосой и модель несанкционированного доступа типа «кража информации во время ее хранения». В этом случае атака нарушителя и ее блокирование состоят из нескольких этапов: выбор хранилища для анализа (время реализации *1), обнаружение в выбранном хранилище области авторизационных запросов (время реализации *2), взлом области авторизационных запросов, похищение информации с действующих БК (время реализации ?з), блокирование доступа (время реализации *4). В этом случае простейшая модель вероятности успешной реализации данной атаки имеет вид
ру (* ) = (1 - е-“ ^ ^ ),
1
где а=--------------.
*1 + *2 + *3 + *4
Нетрудно видеть, что вероятность успешной реализации данной атаки уменьшается с увеличением общего времени действия нарушителя, включая время срабатывания блокировки.
Пусть значение возможного ущерба и от успешной реализации рассматриваемой атаки является постоянной величиной и не зависит от времени. Тогда уравнение для определения параметра т0 -
времени безопасной работы информационной системы - имеет вид
и • (1 - е~а4)=Я0, а решением данного уравнения является величина
Т0 =- -1п-Я . (3)
а и - Я0
Аналогично могут быть построены и другие модели попыток несанкционированного доступа нарушителя, например модель, предполагающая изменение информации на магнитной карте.
Рассмотрим еще один пример применения данного подхода на основе прогнозирования успешных реализаций БоБ-атак на информационные системы. Пусть в информационной системе имеется один сервер, на который злоумышленник пытается реализовать БоБ-атаку типа «отказ в обслуживании» путем генерации потока запросов с разных адресов. Предполагается, что максимальное число запросов, обрабатываемых сервером в единицу времени, равно т0 . При превышении данного числа запросов в единицу времени сервер блокируется, перестает обслуживать запросы и атака считается успешно реализованной.
Для проведения численных расчетов будем предполагать, что вероятностное распределение числа запросов, поступающих на сервер в единицу времени, является стационарным и подчиняется
закону Пуассона с параметром X . Вероятностные модели такого типа часто применяются в системах массового обслуживания [4]. При этом вероятность p(m) поступления на сервер ровно m запросов в единицу времени имеет вид
<ГХ-Хт
P(m)=------:— .
m!
Из сделанных выше предположений следует, что штатный режим работы сервера обеспечивается в случае, когда число заявок, поступающих на него в единицу времени, не превышает величины mo , вероятность данного события pшт, очевидно, имеет вид
-Х4к
k=0 ^
Обозначим через ^ событие, состоящее в успешной реализации БоБ-атаки в течение ? единиц времени. Нетрудно видеть, что вероятность этого события равна
р(^)=1 p шт =1 (1 Ч) ,
где q =1 /’шт .
При достаточно малых значениях вероятности q имеет место соотношение (1 -д)д ~ е , поэтому для вероятности р(Ог) справедливо равенство
р(П,)*1-е"д.
Пусть, как и в предыдущем примере, значение возможного ущерба и от успешной реализации рассматриваемой атаки является постоянной величиной и не зависит от времени и среднее значение допустимого ущерба равно Л0 . Тогда, учитывая соотношение (3), для времени безопасной эксплуатации информационной системы Т0 получаем
То = - -1п-и- . (4)
д и - Ло
Рассмотрим случай, когда блокировка сервера происходит при поступлении более то запросов в течение промежутка времени т. В этом случае вероятность работы системы в штатном режиме в течение промежутка времени т имеет вид
то е~кх -(А,т/ ршт(т) =Е .
k=0 ^
Вероятность р(0,) успешной реализации БоБ-атаки в течение времени / может быть оценена величиной
t t р(А)=1-(Ршт(т))т =1-(1 -д(т))т ~1-ехр{-д(т)4/x},
где д( т) =1- рШт (т).
Аналогично (4) для времени безопасной эксплуатации информационной системы Т0 получаем
гг т и
Тп =-----1п
0 q(т) и - Яо
Рассмотрим более строгую постановку задачи осуществления БоБ-атаки. Пусть в дискретные моменты времени ( = 1, 2, ...) реализуются случайные события в виде поступления или непоступления заявки на сервер. Пусть 8, - индикатор события, состоящего в поступлении заявки на сервер в момент времени і. Будем предполагать, что 8, - независимые, одинаково распределенные случайные величины и р{8, =1} = р . Задача вычисления вероятности успешной реализации БоБ-атаки в течение Т моментов времени при условии, что блокировка сервера происходит в случае поступления более т0 запросов в течение промежутка времени т, состоит в следующем.
1
Определим случайные величины
С к =^к + ^к+1 + ••• + ^к+т-1, к =1525---,
- количество событий (поступивших запросов) в течение времени т, начиная с момента времени к, к = 1,2,....
Во введенных обозначениях вероятность p(Q.j) проведения успешной DoS-атаки за время T имеет вид
Р(Рт )= Р{ max С к > т0}. (5)
1< к <Т-т+1
Последовательность {^к }к=1, образованная из независимых случайных величин (8к }^=1, в научной литературе называется процессом скользящего суммирования или частичными суммами Эр-деша-Реньи, а изучению их характеристик посвящено довольно много работ. В работах [5] и [6]
найдена асимптотика умеренных уклонений статистики max Zк . В [7] получено явное выраже-
1< к <Т-т+1
ние для константы в асимптотике вероятностей больших уклонений с условием Крамера. В форме
условных предельных теорем описаны траектории блуждания, на которых осуществляется большое
уклонение. В работе [8] найдено предельное значение функции распределения статистики
max ^к при T, т^<» и T/x^s=const.
1< к <Т -т+1
Вычислив значение вероятности (5) и применяя соотношение (4), нетрудно получить время То
безопасной работы информационной системы.
Рассмотрим поставленную выше задачу исследования эффективности DoS-атак в терминах теории массового обслуживания. В этом случае задача вычисления вероятности р(^т) успешной
реализации DoS-атаки в течение времени Т состоит в следующем.
Определим простейший поток событий - поступления заявок на сервер, в котором промежутки времени Х1,Х2,...,Xn,... между последовательными событиями являются независимыми, одинаково распределенными случайными величинами с функцией распределения р{Xj < t} = 1- e Х "г, где X -плотность потока событий (среднее число событий, приходящееся на единицу времени).
Определим случайные величины
^к =Хк + Хк+1 +... + Хк+m0 , к =1,2,...,
- время поступления серии из то +1 событий, начиная с события с номером к, к = 1,2,....
Обозначим через ПТ - случайную величину, равную общему числу событий за время Т.
Во введенных обозначениях вероятность р(От) проведения успешной DoS-атаки за время Т имеет вид
т0
р(Ог) =2 р{пт = п}Р{Ог/пт = ^, (6)
s=0
{ } (ХТ )п-е~ХТ
где р{ПТ = п} =-------;----,
п!
р{О.Т /ПТ = п} = р{ max Ц <т}.
1<к<п-т0
Для вычисления вероятности р{ max \к <т} справедливы замечания, высказанные выше
1<к<п-т0
для вычисления вероятности р{ max ^к > т0}.
1< к <Т-т
Вычислив значение вероятности (6) и применяя соотношение (4), нетрудно получить время Т0 безопасной работы информационной системы.
В общем случае, например в случае зависимости возможного ущерба от времени или в случае появления нескольких потенциальных угроз, для решения уравнения (1) могут применяться и другие, в частности численные, методы.
Представляется, что предложенный выше подход к исследованию уровня защищенности ИС, основанный на оценке параметра Т0 - времени ее безопасной работы, может служить удобным инструментом, характеризующим качество защиты ИС.
Литература
1. Международный стандарт информационной безопасности 180ЛЕС 17799-2005. Информационная технология -Методы защиты - Практическое руководство для менеджмента информационной безопасности [Электронный ресурс]. - Режим доступа: http://www.k1ubok.net/Down1oads-index-red-viewdown1oaddatai1s-1id-362.html, свободный (дата обращения: 22.05.2010).
2. Российский стандарт информационной безопасности Р ИСО\МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью [Электронный ресурс]. - Режим доступа: http://gostexpert.ru/gost/gost-17799-2005, свободный (дата обращения: 22.05.2010).
3. Менжулин РВ. Распределенные платежные системы на основе банковских карт с магнитной полосой: моделирование и регулирование рисков несанкционированного доступа к информации: автореф. дисс... канд. техн. наук. - Воронеж, 2011. - 21 с.
4. Венцель Е.С. Теория вероятностей: учеб. для вузов / Е.С. Венцель. - М.: Высшая школа. -1999. - 575 с.
5. Питербарг В.И. О больших скачках случайного блуждания // Теория вероятностей и ее применения. - 1997. - Т. 36, вып. 1. - С. 54-64.
6. Довгалюк В.В. Большие уклонения траекторий пуассоновского процесса/ В.В. Довгалюк, В.И. Питербарг. - Вероятностные процессы и их приложения. - М.: МИЭМ. - 1989.- С. 112-117.
7. Козлов М.В. О частичных суммах Эрдеша-Реньи: Большие уклонения, условное поведение // Теория вероятностей и ее применения. - 2001. - Т. 46, вып. 4. - С. 678-696.
8. Лось А.Б. О предельном распределении максимума процесса скользящего суммирования (частичных сумм Эрдеша-Реньи) // Вестник Московского государственного университета леса. -2011. - №3(79). С. 185-189.
Кабанов Артем Сергеевич
Канд. техн. наук, доцент каф. «Информационная безопасность» Московского института электроники и математики (МИЭМ)
Национального исследовательского университета «Высшая школа экономики» (НИУВШЭ)
Тел.: 8-903-557-73-97
Эл. почта: kabanov_as@mail.ru
Лось Алексей Борисович
Канд. техн. наук, доцент, зав. каф. «Информационная безопасность» МИЭМ НИУВШЭ
Тел.: 8-910-477-88-27
Эл. почта: alexloss@miem.edu.ru
Трунцев Вадим Игоревич
Ст. преподаватель каф. «Информационная безопасность» МИЭМ НИУВШЭ
Тел.: 8-905-525-00-11
Эл. почта: bugtract@rambler.ru
Kabanov A.S., Los A.B., Truntsev V.I.
Temporary model assessment of the risk of information security
The article presents the results of the construction risk assessments of information security for time-sensitive information system. Considered mathematical models of the DoS attak on the server of the information system. Keywords: Temporary model, assessment of the risk, time-sensitive.