2. Моделювання загроз іб
Основою управління інформаційною безпекою підприємства є аналіз ризиків. Фактично ризик являє собою інтегральну оцінку того, наскільки ефективні існуючі засоби захисту здатні протистояти інформаційним атакам.
Зазвичай виділяють дві основні групи методів розрахунку ризиків безпеки. Перша група дозволяє встановити рівень ризику шляхом оцінки ступеня відповідності певному набору вимог щодо забезпечення інформаційної безпеки. В якості джерел таких вимог можуть виступати (рис. 3.1):
• Нормативно-правові документи підприємства, що стосуються питань інформаційної безпеки;
• Вимоги чинного законодавства;
• Рекомендації міжнародних стандартів - ISO 17799, OCTAVE, CoBIT та ін;
• Рекомендації компаній-виробників програмного і апаратного забезпечення - Microsoft, Oracle, Cisco і ін
Рис. 3.1. Джерела вимог інформаційної безпеки, на основі яких може проводитися оцінка ризиків
Друга група методів оцінки ризиків інформаційної безпеки базується на визначенні ймовірності реалізації атак, а також рівнів їх збитку. У даному випадку значення ризику обчислюється окремо для кожної атаки і в загальному випадку представляється як добуток ймовірності проведення атаки на величину можливого збитку від цієї атаки. Значення шкоди визначається власником інформаційного ресурсу, а ймовірність атаки обчислюється групою експертів, які проводять процедуру аудиту.
Методи першої та другої групи можуть використовувати кількісні або якісні шкали для визначення величини ризику інформаційної безпеки. У першому випадку ризик і всі його параметри виражаються в числових значеннях. Так, наприклад, при використанні кількісних шкал ймовірність проведення атаки може виражатися числом в інтервалі, а збиток атаки може задаватися у вигляді грошового еквівалента матеріальних втрат, які може понести організація в разі успішного проведення атаки. При використанні якісних шкал числові значення замінюються на еквівалентні їм понятійні рівні. Кожному понятійному рівню в цьому випадку буде відповідати певний інтервал кількісної шкали оцінки. Кількість рівнів може варіюватися залежно від застосовуваних методик оцінки ризиків. У таблицях 2.1 та 2.2 наведені приклади якісних шкал оцінки ризиків інформаційної безпеки, в яких для оцінки рівнів збитків та ймовірності атаки використовується п'ять понятійних рівнів.
Таблиця 2.1. Якісна шкала оцінки рівня збитку |
||
№ |
Рівень збитку |
Опис |
1 |
Малий збиток |
Призводить до незначних втрат матеріальних активів, які швидко відновлюються, або до незначного впливу на репутацію компанії |
2 |
Помірний збиток |
Викликає помітні втрати матеріальних активів або до помірного впливу на репутацію компанії |
3 |
Збиток середньої ваги |
Призводить до істотних втрат матеріальних активів або значної шкоди репутації компанії |
4 |
Великий збиток |
Викликає великі втрати матеріальних активів і завдає великої шкоди репутації компанії |
5 |
Критичний збиток |
Призводить до критичних втрат матеріальних активів або до повної втрати репутації компанії на ринку, що робить неможливим подальшу діяльність організації |
При використанні якісних шкал для обчислення рівня ризику застосовуються спеціальні таблиці, в яких у першому стовпці задаються понятійні рівні збитку, а в першому рядку - рівні ймовірності атаки. Клітинки ж таблиці, розташовані на перетині першого рядка та стовпця, містять рівень ризику безпеки. Розмірність таблиці залежить від кількості концептуальних рівнів ймовірності атаки і збитку. Приклад таблиці, на основі якої можна визначити рівень ризику, наведено в табл. 2.3
Таблиця 2.2. Якісна шкала оцінки ймовірності проведення атаки |
|||||
№ |
Рівень ймовірності атаки |
Опис |
|||
1 |
Дуже низька |
Атака практично ніколи не буде проведена. Рівень відповідає числовому інтервалу ймовірності [0, 0.25) |
|||
2 |
Низька |
Вірогідність проведення атаки досить низька. Рівень відповідає числовому інтервалу ймовірності [0.25, 0.5)
|
|||
3 |
Середня |
Вірогідність проведення атаки приблизно дорівнює 0,5 |
|||
4 |
Висока |
Атака скоріш за все буде проведена. Рівень відповідає числовому інтервалу ймовірності (0.5, 0.75] |
|||
5 |
Дуже висока |
Атака майже напевно буде проведена. Рівень відповідає числовому інтервалу ймовірності (0.75, 1] |
|||
Таблиця 2.3. Приклад таблиці визначення рівня ризику інформаційної безпеки |
|||||
Ймовірність атаки |
Дуже низька |
Низька |
Середня |
Висока |
Дуже висока |
Збиток |
|||||
Малий збиток |
Низький Ризик |
Низький Ризик |
Низький Ризик |
Середній ризик |
Середній ризик |
Помірний збиток |
Низький Ризик |
Низький Ризик |
Середній ризик |
Середній ризик |
Високий ризик |
Збиток середньої ваги |
Низький Ризик |
Середній ризик |
Середній ризик |
Середній ризик |
Високий ризик |
Великий збиток |
Низький Ризик |
Середній ризик |
Середній ризик |
Середній ризик |
Високий ризик |
Критичний збиток |
Середній ризик |
Високий ризик |
Високий ризик |
Високий ризик |
Високий ризик |
При розрахунку значень ймовірності проведення атаки , а також рівня можливого збитку можуть використовуватися статистичні методи , методи експертних оцінок або елементи теорії прийняття рішень . Статистичні методи передбачають аналіз вже накопичених даних про інциденти що реально траплялися, пов'язані з порушенням інформаційної безпеки. На основі результатів такого аналізу будуються припущення про ймовірність проведення атак і рівнях збитків від них в інших АС . Однак застосування статистичних методів не завжди можливо через відсутність у повному обсязі статистичних даних про раніше проведені атаки на інформаційні ресурси АС , аналогічної тій , яка виступає в якості об'єкта оцінки .
При використанні апарату експертних оцінок проводиться аналіз результатів роботи групи експертів , компетентних в галузі інформаційної безпеки , які на основі наявного у них досвіду визначають кількісні або якісні рівні ризику . Елементи теорії прийняття рішень дозволяють застосовувати для обчислення значення ризику безпеки більш складні алгоритми обробки результатів роботи групи експертів.
У процесі аналізу ризиків інформаційної безпеки можуть використовуватися спеціалізовані програмні комплекси, які дозволяють автоматизувати процес аналізу вихідних даних і розрахунку значень ризиків . Прикладами таких комплексів є "Гриф " і "Кондор " ( компанії " Digital Security " ) , британський CRAMM (компанія Insight Consulting , підрозділ Siemens) , американський RiskWatch (компанія RiskWatch ) , а також " Авангард" ( Інституту Системного Аналізу РАН) .
Традиційно виділяють три основні складові безпеки інформації
1. конфіденційність (confidentiality) - збереження інформації в таємниці, неможливість розкриття інформації без згоди зацікавлених сторін;
2. цілісність (integrity) - несуперечність і правильність інформації, захист інформації від неавторизованої модифікації;
3. доступність (availability) - забезпечення наявності інформації і працездатності основних послуг для користувача в потрібний для нього час.
Ведуться дискусії на тему повноти "тріади CIA" для опису загроз ІБ. Існує альтернатива цієї класифікації - т.зв. "Гексада Паркера" (Parkerian Hexad). Крім перерахованих вище властивостей, Дон Паркер виділяє:
• справжність (authenticity) - у застосуванні до користувача визначає відповідність учасника взаємодії своєму імені; в застосуванні до повідомлення - достовірність того, що дані були створені заявленим джерелом.
• керованість, або володіння (possession or control) - гарантія того, що законний власник є єдиною особою, у владі якого змінити інформацію або отримати до неї доступ на читання
• корисність (utility) - "практичність", зручність доступу; знаходження інформації в такій формі, що її законний власник не повинен для отримання доступу витрачати невиправданих зусиль (таких, як перетворення формату, підбір ключа шифрування і т.д.)
Існує також класифікація 5А, що одобрюється відомим криптографом Брюсом Шнайєром:
• Authentication (аутентифікація: хто ти?)
• Authorization (авторизація: що тобі можна робити?)
• Availability (доступність: чи можна отримати працювати з даними?)
• Authenticity (справжність: чи не пошкоджені дані зловмисником?)
• Admissibility (допустимість: чи є дані достовірними, актуальними і корисними?)
Ми в даному курсі будемо дотримуватися моделі загроз STRIDE, що є компонентом використовуваної Microsoft методології SDL (Secure Development Lifecycle).
• Spoofing (удавання)
• Tampering (зміна)
• Repudiation (відмова від відповідальності)
• Information Disclosure (витік даних)
• Denial of Service (відмова в обслуговуванні)
• Elevation of Privilege (захоплення привілеїв)
Дана класифікація розширює традиційний підхід до оцінки безпеки інформації (покриття області CIA забезпечують компоненти Tampering + Information Disclosure + Denial of Service) і дозволяє розробнику поглянути на інформаційну систему з позиції зловмисника. Далі ми будемо розглядати продукти і технології, впорядковуючи їх згідно з тим, від якого типу загрози за класифікацією STRIDE вони покликані захистити інформаційні ресурси.
Короткий підсумок
Були розглянуті принципи застосування аналізу ризиків для управління інформаційною безпекою підприємства. Проведено порівняльний аналіз підходів до розпізнавання загроз з використанням різних моделей: CIA, Гексада Паркера, 5A, STRIDE.