5.4. Расчет рисков реализации угроз, наносящих различный ущерб

5.4.1. Оценка ущерба от реализации атак

Для оценки ущерба от реализации каждой атаки целесообразно воспользоваться результатами, полученными в главе 3 при моделировании процессов реализации атак на основе теории сетей Петри-Маркова. Предположим, что количественно ущерб, наносимый злоумышленником системе, зависит от величины интервала времени, в течение которого атакованная система находилась под действием атаки. Для угроз конфиденциальности информации это справедливо, поскольку при увеличении количества прослушанного злоумышленником конфиденциального трафика возрастает вероятность того, что ему удастся несанкционированно получить интересующие его данные. В случае атак на отказ в обслуживании ущерб принято измерять временем нахождения системы в недоступном состоянии до восстановления ее способности выполнять свои функции. При реализации атак, связанных с несанкционированным получением прав легального пользователя, успех злоумышленника также зависит от времени, особенно если в его планы не входят действия разрушительного характера, например, при использовании ресурсов другого пользователя или при недостаточно высоком уровне привилегий.

Полученные в главе 3 результаты оценки вероятностных и временных характеристик процессов реализации атак характеризуются функциями распределения вероятности реализации атаки от времени, а она в свою очередь имеет смысл вероятности, с которой исследуемая система вошла в целевое для злоумышленника состояние к некоторому моменту времени. В данном случае в отношении времени нахождения системы в таком состоянии имеется большая неопределенность. Для снятия этой неопределенности предлагается учитывать факт завершения действия атаки в некоторый момент времени. Выделяются несколько видов причин завершения действия атаки:

— инициатива злоумышленника,

— истечение системного тайм-аута обновления,

— применение мер восстановления,

— реализация активной защиты системой обнаружения атак.

Необходимо ввести аналогичную функцию, характеризующую окончание действия атаки. Подобно имеющейся функции, она будет зависеть от среднего времени, в данном случае это среднее время окончания действия атаки, и иметь экспоненциальный закон распределения:

Необходимо рассчитать величину, характеризующую время действия атаки на ИТКС. Очевидно, что атака может быть завершена только при условии, что ее действие уже началось, следовательно, для расчета зависимости вероятности завершения атаки от времени необходимо учесть и вероятность начала действия атаки:

(5.29)

где P(t) — вероятность начала действия атаки в момент времени t.

График полученной зависимости примет вид, изображенный на рис. 5.7.

Рассмотрев все множество состояний исследуемой системы, можно сделать вывод, что система в момент времени t находится в состоянии действия атаки в случае, если одновременно выполняются следующие условия:

а) действие атаки началось (с вероятностью P(t)),

б) действие атаки не завершилось (с вероятностью 1P(t)P_з0(t)).

Тогда искомая вероятность будет рассчитываться по следующей формуле:

P_а(t)P(t)[1P(t)P_з0(t)]. (5.30)

Р

P(t)

t

P_а(t)

t

ис. 5.7. Зависимость вероятностей начала и завершения атаки от времени

График зависимости (5.30) имеет вид, показанный на рис. 5.8, где

P(t) — вероятность начала действия атаки к моменту времени t,

P_з(t) — вероятность завершения действия атаки к моменту времени t,

P_а(t) — вероятность действия атаки к моменту времени t.

Рис. 5.8. Вероятности нахождения системы в некотором состоянии к моменту времени t

Стоит отметить, что полученная зависимость не имеет смысла распределения вероятностей, поскольку не удовлетворяет необходимым условиям, а используется только для характеристики состояний исследуемой системы.

Площади под показанными кривыми характеризуют среднее время нахождения системы в соответствующем состоянии. Очевидно, что для функций перехода P(t) и P_з(t) это время стремится к бесконечности, поскольку переход в другое состояние отсутствует. Однако несобственный интеграл функции P_а(t) сходится, так как она представима в виде и имеет порядок e_t, и, в свою очередь, сходится в соответствии с критерием Коши:

(5.31)

Значение интеграла соответствует среднему времени нахождения системы в состоянии действия атаки, и может быть использовано для оценки ущерба, наносимого действием данной атаки. Введем вектор величин θ{θ_i}, характеризующий величину среднего времени действия каждой из исследуемых атак.