А.Г. Остапенко, Д.Г. Плотников,

О.Ю. Макаров, Н.М. Тихомиров, В.Г. Юрасов

ЖИЗНЕСТОЙКОСТЬ АТАКУЕМЫХ РАСПРЕДЕЛЕННЫХ СИСТЕМ:

ОЦЕНКА РИСКОВ ФАТАЛЬНЫХ ОТКАЗОВ КОМПОНЕНТОВ

Под редакцией член-корреспондента РАН

Д.А. Новикова

2 013

УДК 004.056.5: 004.75

Остапенко А.Г. Жизнестойкость атакуемых распределенных систем: оценка рисков фатальных отказов компонентов / А.Г. Остапенко, Д.Г. Плотников,О.Ю. Макаров, Н.М. Тихомиров, В. Г. Юрасов; под ред. чл.-корр. РАН Д.А. Новикова. – Воронеж: Научная книга, 2013. – 160 с.

В монографии предлагается аналитический подход к оценки жизнестойкости для элементов атакуемых распределенных систем через нахождение величины ущерба на основе интегрирования функции полезности, а также - поиск его экстремума и нахождению диапазонов случайной переменной по заданному уровню риска. Соответствующие аналитические выражения, полученные в работе, служат методической основой для анализа систем различного профиля при фатальных отказах ихкомпонентов.

Табл. 7. Ил. 39. Библиогр.: 106 назв.

Рецензенты: ОАО Концерн "Созвездие", начальник НТО доктор техн. наук Н.Н. Толстых

РосЭнергоПроект, генеральный директор, доктор техн. наук Е.Ф. Иванкин

Введение

Сейчас распределенные автоматизированные информационные системы (РАИС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как коммерческих, так и государственных предприятий. Вместе с тем повсеместное использование РАИС для хранения, обработки и передачи информации приводит к повышению актуальности проблем, связанных с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям [87] Это в свою очередь стимулирует разработку адекватных средств и систем обеспечения информационной безопасности РАИС и методов оценки их защищенности.

Анализ тенденций последних DoD/DDoS атак говорит о все возрастающей их популярности непосредственно в отношении DNS-серверов, как компонентов РАИС В частности впору говорить о появлении специфичных DNS-атаках [130]:

• в октябре 2002 года неизвестные пытались "задедосить" 10 из 13 DNS–серверов верхнего уровня;

- в декабре 2009 года из-за подмены DNS–записи в течение часа для пользователей был недоступен сервис Twitter. Акция носила политический характер, и вместо интерфейса социальной сети на главной странице ресурса отображались предостережения иранских хакеров по поводу американской агрессии;

- в 2009 году, злоумышленники пытались нарушить работу как минимум двух корневых DNS-серверов;

- в 2012 год был годом DNS-атак. Хотя DNS-атаки уже давно известны, за 2012 год они возникали гораздо чаще обычного, и, что более важно, – они стали более изощренными и влекут за собой более серьезные последствия;

Хотя DoS/DDoS-атаки появились одновременно с появлением сети Интернет, они заняли лидирующую позицию среди атак со второй половины 2010, в частности с тех пор, как группа Anonymous выбрала их в качестве основного метода нападения. Вначале организации были абсолютно не готовы к защите, и любые атаки злоумышленников достигали цели. Однако положение изменилось к концу 2011 года, когда организации стали внедрять системы отражения для противодействия DoS/DDoS атакам, что побудило злоумышленников искать пути обхода защитных систем, используя более изощренные векторы атак. При таком положении вещей DNS-сервер стал подходящей целью. Изучив информацию об атаках за 2012 год [130,131], можно отметить рост числа DNS-атак на 170% по сравнению с 2011 годом. Почти половина состоит из изощренных атак с использованием отражения запросов или рекурсивных запросов, для осуществления которых, даже не требуется наличия DNS-сервера у организации, являющейся целью атаки.

DNS-атаки показывают динамику развития сферы DoS/DDoS в целом. Несмотря на часто встречающееся наивное восприятие DoS/DDoS как атак, для эффективности которых требуется грубая отправки большого количества трафика, DNS-атаки доказывают обратное. Сложные DNS-атаки могут носить асимметричный характер, и могут быть мощными и разрушительными при относительно низкой скорости и интенсивности атаки. Растущая сложность относится не только к DNS-атакам, но является общей чертой развития сферы DoS/DDoS-атак.

В 2012 году были проведены крупномасштабные DNS-атаки на следующие авторитетные организации [130]:

• в августе 2012 года AT&T подверглась DDoS-атаке, которая вывела из строя DNS-серверы компании в двух территориальных точках. В ходе атаки, которая продлилась по меньшей мере 8 часов, сайт компании AT&T был недоступен для пользователей. Однако наиболее критическое значение имел тот факт, что коммерческие сайты в сети AT&T также были не доступны;

• 10 ноября 2012 года компания GoDaddy, крупнейший хостинг-провайдер и регистратор доменных имен, пострадала от атаки типа DNS-флуд, которая нанесла ущерб миллионам доменов в сети интернет. Был недоступен не только домен www.godadddy.com, но и все домены, зарегистрированные через компанию GoDaddy, которые использовали ее имя сервера, DNS записи были также недоступны;

- 31 марта хактивисты группы Anonymous угрожали вывести из строя всю сеть Интернет путем атаки на 13 корневых DNS-серверов. Группа планировала использовать технику «усиленного отражения» DNS-запросов, ими была выпущена утилита Ramp, которая была разработана для подключения ресурсов множества интернет-провайдеров и других корпоративных DNS-сервисов для выведения из строя корневых серверов. В конечном итоге, нападение так и не состоялось, но изощренный план обладал разрушительный потенциалом.

Все эти атаки стали возможными, т.к. организации обычно защищаются без понимания истинной природы атаки, что не позволяет им принять адекватные меры по подготовке. Они вкладывают средства в подготовку на этапе, предшествующем атаке, и замечательно анализируют ситуацию после атаки. Однако, нет возможностей или ресурсов для защиты в активной фазе атаки, они не могут противостоять длительной кампании, в которой используются изощренные методы атак, особенно на РАИС.

Требуется изменить стратегию защиты, перейдя с двухэтапной защиты на трехэтапную. Двухэтапный подход подразумевает предварительный этап подготовки к атаке - выбор решений по обеспечению безопасности, развертывание систем безопасности и другие меры, и этап после атаки - проведение экспертизы, подведение итогов и совершенствование используемых средств защиты в ожидании следующей атаки. Этих действий было достаточно, пока атаки носили непродолжительный характер.

Теперь, когда деструктивные воздействия длятся днями или неделями, требуется добавить третий этап - защитную стратегию, в том числе включая анализ выживаемости РАИС в условиях этих атак.

Атаки на DNS приобрели высокую популярность, поскольку они предоставляют злоумышленникам множество преимуществ [130]:

• ведется атака на критически важную инфраструктуру – DNS-сервер является важным элементом инфраструктуры. Это означает, что если нарушается работа DNS-сервиса организации, отключается весь ее интернет-трафик. На более высоком уровне, если вывести из строя корневые DNS-серверы – весь интернет перестанет функционировать (что попыталась осуществить группа Anonymous в «Операции Blackout»);

• асимметричный характер атаки – асимметричное усиление позволяет атакам на DNS вызвать отказ в обслуживании, пользуясь ограниченными ресурсами и небольшим трафиком;

- сохранение анонимности – не использующий информацию о состоянии протокол DNS позволяет злоумышленникам изменить их IP-адрес источника и легко замаскироваться. Используя метод отражения, злоумышленник даже не посылает трафик непосредственно на объект атаки. В сегодняшних условиях, после большого количества арестов хакеров и членов группы Anonymous, сохранение анонимности является важным преимуществом.

Тремя наиболее уязвимыми элементами, которые наиболее часто подвергаются атакам DoS/DDoS-атак, являются сервер, межсетевой экран и интернет-канал РАИС, так как [130]:

- серверы являются уязвимыми по той простой причине, что злоумышленники часто организуют свои атаки таким образом, чтобы они потребляли больше ресурсов, чем те, которыми обладает сервер;

- интернет-канал становится уязвимым для атак, которые нацелены на истощение пропускной способности, и называются «объемный флуд». К таким атакам относятся UDP-флуд или TCP-флуд, потребляющие много пропускной способности канала;

- несмотря на то, что межсетевой экран является инструментом обеспечения безопасности и не должен служить уязвимым местом для DoS/DDoS-атаки, во время проведения таких атак, как SYN- флуд, UDP-флуд и переполнение соединения, злоумышленники могут генерировать многие состояния, что истощают ресурсы межсетевого экрана до тех пор, пока он сам не становится слабым местом инфраструктуры.

Затрагивая вопросы о возможных тенденциях развития средств проведения DNS-атак на РАИС, стоит отметить, что инструменты для организации DDoS-атак превратилась в предмет торговли. Конечно, их еще нельзя найти в свободной продаже в интернет-магазинах, но на нелегальных сайтах можно найти огромное количество различных вариантов - пакеты инструментов DDoS, прайс-листы и даже услуги организации DDoS-атак. Доступность таких DDoS пакетов снизила требования к организации сетевых атак и атак на приложения. Любой желающий, от частных лиц до криминальных киберорганизаций, может легко настроить ботнет для запуска атаки. Как любые профессиональные разработчики ПО, разработчики инструментов для DDoS- атак совершенствуют свои продукты и выпускают новые версии, которые затем публикуются и продаются. В мире нелегального ПО большинство таких пакетов представляют собой версии других ботов, исполняемые файлы и/или исходный код которых был изменен и переименован. Группа инструментов, произведенных от общего источника, обычно называется «семейством». Распространенность DDoS-программ способствовала также появлению услуг заказных DDoS-атак. Преступные киберорганизации пользуются простотой применения пакетов для DDoS, чтобы на различных нелегальных форумах предлагать услуги выполнения таких атак.

Типичный «бизнес-сценарий» заказа DDoS-атаки может включать такие предложения, как «вывести из строя веб-сайт конкурентов» или, наоборот, применить вымогательство типа «заплатите нам за то, чтобы мы не выводили из строя ваш сайт».

Таким образом, в условиях глобальной информатизации всех сфер человеческого общества очевидна тенденция к увеличению числа атак на их компоненты РАИС (система доменных серверов), поэтому необходимо найти наиболее эффективные подходы к оценке работоспособности системы подобного рода. Одним из перспективных подходов является метод анализа выживаемости.

Ранее анализ выживаемости применялся преимущественно для медицинских систем [18 ]. За последние годы был проведен анализ выживаемости для компонент РАИС и доказана возможность такой трактовки. Сейчас методология анализа выживаемости находится на начальных этапах своего развития и есть необходимость углубленной работы в данном направлении. Характерным недостатком известных риск-оценок выживаемости [18,48,98] является исключение из рассмотрения величины ущерба, что недопустимо для корректного риск-анализа. Оценка работоспособности (полезности) системы, полученная в ходе анализа выживаемости, позволит найти истинный ущерб РАИС в условиях фатальных отказов компонентов и разработать эффективные методы по предотвращению деструктивных действий в результате атак.

Причем под фатальным отказом следует понимать не обязательно полную гибель системы. Это отказ на время, превышающее пределы реализации рассматриваемого проекта. Примером тому может служить букмекерская контора, сервер которой принимает ставки на конкретный спортивный матч. Если этот сервер злоумышленниками будет доведен до отказа в обслуживании на период, выходящий за рамки даты спортивного события, то такую атаку можно рассматривать как фатальную с точки зрения данного конкретного проекта (рис. В.1)

Таким образом, качество «фатальности» имеет вполне реальные временные рамки, когда период восстановления системы после атаки выходит за границы времени реализуемого проекта. Такие атаки неоднократно осуществлялись [130] и обычно атака реализуются в период, когда количество легитимных (полезных) запросов значительно возрастает и их устранение приводит к огромным фатальным убыткам проекта. Другим примером может случит рассматриваемая в данной работе система доменных имен DNS (англ. Domain Name System — система доменных имён) – это компьютерная распределённая система (в частности распределённая база данных), способная по запросу, содержащему доменное имя хоста (компьютера или другого сетевого устройства), сообщить IP адрес или (в зависимости от запроса) другую информацию [130]. В данной системе весьма критическим является время отклика сервера и как следствие, время получения ответа на запрос.

Отсюда предметом исследования является риска-оценка выживаемости атакуемых по сети компонент РАИС и систем в целом при фатальных их отказах на основе весовой функции ущерба и вероятности его появления.

Поэтому цель работы состоит в оценки и регулировании риска выживаемости распределенных автоматизированных информационных систем при фатальных отказах их атакуемых по сети компонентов.

Результаты работы состоят в том, что в ней:

1. Впервые риск-оценка выживаемости распределенных автоматизированных информационных систем осуществляется с учетом ущербов, возникающих в их компонентах.

2. В отличие от аналогов, при разработке методики анализа выживаемости в качестве параметрической модели использованы не только логлогистическое распределение, но и – зависимость ущерба от времени, основанная на функции полезности.

3. Предложена оригинальная прогнозная оценка эффективности РАИС, основанная на шансах выживаемости и рисках смертности её компонентов.

Практическая значимость результатов видится в том, что:

1. Из полученных аналитических моделей следует возможность многовариантного расчета и оптимизации риска выживаемости РАИС.

2. Предлагаемые оценки для РАИС позволяют эффективно прогнозировать эффективность атакуемой в пределах усредненной продолжительности жизни, как системы в целом, так и отдельных её компонент.

3. Расчет параметров риска для логлогистического распределения плотности вероятности наступления ущерба открывает принципиально важные перспективы с точки зрения регулирования риска РАИС.