Моделирование угрозы атаки на информационную систему
Введение.
На сегодняшний день в качестве базового элемента информационной безопасности при моделировании и проектировании систем защиты информационных систем, как правило, рассматривается угроза атаки, при этом проектирование системы защиты сводится к решению задачи защиты от актуальных угроз. Именно такой подход декларируется и соответствующими нормативными документами в области информационной безопасности [7,8]. Однако на практике для выявления актуальных угроз атак сегодня используется экспертное оценивание, не предполагающее какого-либо моделирования, какой-либо количественной оценки уровня актуальности [7,8], что в каждом конкретном случае ставит под сомнение результаты подобного проектирования. В данной работе обосновывается корректность использования марковских моделей в исследуемых приложениях, разрабатываются марковские модели угрозы атаки на информационную систему, основанные на интерпретации угрозы атаки схемой параллельного резервирования уязвимостей.
1. Интерпретация угрозы атаки схемой параллельного резервирования уязвимостей.
По своей сути реализацию успешной атаки на информационную систему в теории информационной безопасности с существенными оговорками можно интерпретировать подобно отказу в теории надежности. Поэтому далее в работе мы неоднократно будет ссылаться на основы теории надежности, с целью проиллюстрировать, что не смотря на кажущеюся схожесть, задачи и методы моделирования в теории надежности и в теории информационной безопасности принципиально различаются.
О потенциальной угрозе атаки на информационную систему следует говорить в том случае, когда атака технически реализуема на соответствующую систему, о реальной угрозе атаки в том случае, когда в системе создаются условия для возможности ее реализации нарушителем, а об актуальной угрозе атаки в том случае, когда реальная угроза может быть реализована нарушителем (в общем случае, с какой-либо вероятностью, характеризующей уровень ее актуальности), т.е. в том случае, когда нарушитель заинтересован в реализации данной атаки соответствующей сложности на информационную систему и может ее осуществить.
Таким образом моделирование угрозы атаки, с целью получения количественной оценки ее актуальности для информационной системы (естественно, что для конкретной, а не некой абстрактной системы), предполагает решение двух взаимосвязанных задач в отношении потенциальной угрозы атаки: вычисление количественных характеристик, определяющих создание условий появления реальной угрозы атаки, и количественных характеристик, определяющих возможность использования нарушителем реальной угрозы атаки. Таким образом отказ характеристики информационной безопасности зависит не только от технических свойств системы, определяющих создание условий для реализации атаки, но и от характеристик нарушителя, определяющих его заинтересованность и возможность реализовать соответствующую атаку - воспользоваться созданными системой условиями - реальной угрозой атаки.
В качестве базового (простейшего) элемента теории информационной безопасности нами предлагается рассматривать не угрозу атаки [///], а уязвимость. Это обусловливается следующими соображениями, во-первых, именно в отношении уязвимостей существует и непрерывно ведется статистика по их выявлению и устранению в различных средствах, во-вторых, именно уязвимости создают угрозу атаки, в-третьих, именно к нивелированию уязвимости (в общем случае группы уязвимостей), а по средством этого и угрозы атаки в целом, сводится реализация защиты, в-четвертых, угроза атаки в общем случае (на практике, как правило) создается некой совокупностью уязвимостей, при этом угрозы различных атак могут использовать одни и те же уязвимости, как следствие, угрозы атак в общем случае не могут рассматриваться, как независимые события (как правило, они зависимы по уязвимостям, например, множество угроз атак предполагает внедрение в информационную систему вредоносной программы), что уже связано с корректностью использования соответствующего математического аппарата теории вероятностей при моделировании угрозы безопасности информационной системы в целом, создаваемой множеством угроз атак.
На сегодняшний день наиболее широкое практическое использование нашли следующие способы классификации и количественной оценки актуальности уязвимостей: схема классификации уязвимостей NIPC, шкала анализа уязвимостей SANS, система оценки критичности уязвимостей Microsoft, система оценки уязвимостей по стандарту PCI DSS, системы US—CERT, CVSS и nCircle. Они различаются учитываемыми при классификации уязвимостей параметрами и шкалами оценки уязвимостей, при этом классификация уязвимостей - отнесение их к уровню критичности, основана на использовании экспертных оценок [11]. Таким образом, оценка актуальности уязвимости, определяемая мерой критичности уязвимости, формируемая известными подходами к оцениванию, исходя из сложности ее выявления, использования и целей эксплуатации злоумышленником, позволяет делать выводы о необходимости и экстренности принятия каких-либо мер в отношении выявленной уязвимости (в том числе, каких-либо организационных мер) - именно с этой целью и проводится соответствующий анализ, который никоим образом не затрагивает исследование стохастических свойств обнаружения и устранения уязвимостей (в общем случае групп уязвимостей определенного типа, создающих угрозу одной и той же атаки.
Общим
для всех видов уязвимостей с позиции
информационной безопасности является
то, что уязвимости с какой-то интенсивностью
в информационной системе возникают (в
смысле - выявляются) и с какой-то
интенсивностью устраняются. Как
следствие, в отношении любой уязвимости,
вне зависимости от ее физического смысла
и природы возникновения, - в нашем случае,
в отношении уязвимостей определенного
типа, создающих угрозу соответствующей
атаки, могут быть определены (заданы
при расчетах) интенсивность возникновения
уязвимости
,
и интенсивность устранения уязвимости,
µ, которые могут рассматриваться в
качестве эксплуатационных параметров
уязвимости (типа уязвимостей).
В
качестве же характеристики уязвимости,
которую можно определить, как
количественную оценку актуальности
уязвимости, будем рассматривать
вероятность того, что информационная
система готова к безопасной эксплуатации
в отношении уязвимости, обозначим
.
Соответственно может быть построена
математическая модель, определяющая
зависимость:
.
Например,
подобным образом в [12]
нами была получена количественная
оценка уровня информационной безопасности
современных информационных систем в
отношении уязвимостей, связанных с
ошибками программирования в современных
системных средствах и приложениях,
наглядно иллюстрирующая реально
существующее современное положение
дел с информационной безопасностью
информационных систем.
Исходя
из того, что реализация атаки предполагает
использование некоторого набора
уязвимостей, причем, как правило, в
определенном порядке, и с учетом
сказанного выше, угрозу атаки можно
представить соответствующим орграфом.
Под орграфом угрозы атаки на информационную
систему будем понимать взвешенный
ориентированный граф, вершинами которого
являются уязвимости, характеризуемые
(«взвешенные») уровнем их актуальности
- значением вероятности того, что
информационная система готова к
безопасной эксплуатации в отношении
уязвимости,
,
а дуги графа определяют последовательность
использования злоумышленником уязвимостей
(направленного перехода между вершинами)
при осуществлении данной атаки[4,5].
Орграф
угрозы атаки на информационную систему
проиллюстрирован на рис.1.а, где через
,r=1,…,R
обозначается вероятность отсутствия
в системе r-й
уязвимости (информационная система
готова к безопасной эксплуатации в
отношении r-й
уязвимости) - одной из R
уязвимостей, последовательно используемых
атакой на информационную систему.
При
подобном представлении угроза атаки
на информационную систему может
интерпретироваться схемой параллельного
резервирования уязвимостей - резервируемыми
и резервирующими элементами которой
являются уязвимости, см. рис.1.б. Это
обусловливается следующим. Как видно
из представленного орграфа, см. рис.1.а,
для успешного осуществления атаки, в
системе должны присутствовать все R
уязвимостей. Т.е. каждая уязвимость,
присутствующая в системе с вероятностью
,
может рассматриваться в качестве
резервирующего элемента (с вероятностью
предотвращает атаку).
а. Орграф угрозы атаки б. Схема параллельного резервирования
Рис.1. Орграф угрозы атаки и ее интерпретация схемой параллельного резервирования уязвимостей
В
результате интерпретации угрозы атаки
схемой параллельного резервирования,
можем получить математическую модель
угрозы атаки, позволяющую определить
ее ключевую характеристику - вероятность
того, что информационная система готова
к безопасной эксплуатации в отношении
потенциальной атаки,
(очевидно, что события выявления и
устранения различных уязвимостей,
создающих угрозу атаки, независимы),
которая может позиционироваться в
качествеколичественной
оценки актуальности угрозы атаки:
Подобная
интерпретация угрозы атаки позволяет
соответствующим образом представить
и систему защиты, направленную на
нивелирование угрозы атаки. Как отмечали
ранее, система защиты от угрозы атаки
предполагает нивелирование какой-либо
из уязвимостей, создающих угрозу данной
атаки. Включение в информационную
систему системы защиты с целью
нивелирования какой-либо уязвимости,
как следствие, с целью снижения вероятности
угрозы атаки (увеличения
),
использующей данную уязвимость, может
представляться последовательным
включением в орграф угрозы атаки, см.
рис.1.а, дополнительной взвешенной
вершины, соответственно, интерпретироваться
включением в схему параллельного
резервирования, см. рис.1.б, дополнительного
резервирующего элемента с параметрами
системы защиты:
и
,
характеризующими уже уязвимости
собственно системы защиты.
Если
обозначить вероятность того, что система
защиты, используемая для нивелирования
уязвимости, готова к безопасной
эксплуатации, через
(данную характеристику можем рассматривать
в качестве характеристики эффективности
системы защиты), то вероятность того,
что защищенная в отношении уязвимости
информационная система будет готова к
безопасной эксплуатации,
может быть определена следующим образом:
а
вероятность
того, что защищенная информационная
система готова к безопасной эксплуатации,
в
отношении угрозы атаки, при использовании
системы защиты, нивелирующего одну из
уязвимостей, используемых атакой:
Отметим,
что данная интерпретация угрозы атаки
позволяет сделать важнейший вывод о
том, что применительно к нивелированию
системой защиты уязвимостей, создающих
угрозу атаки, эти уязвимости характеризуются
одинаковой актуальностью - при
нивелировании любой из них система
защиты включается в схему параллельного
резерва, см. рис.1.б, одинаково, с
параметрами системы
защиты:
и
.
Таким образом при проектировании
защищенной информационной системы
целесообразно выбирать для нивелирования
системой защиты ту уязвимость, для
которой могут быть обеспечены лучшие
значения параметровсистемы
защиты:
и
.