- •Министерство образования и науки Российской Федерации
- •Введение 7
- •Математические модели эксплуатационной информационной безопасности
- •1.1. Общие положения, краткий анализ недостатков известных методов моделирования
- •1.2. Известные подходы к оцениванию актуальности уязвимости
- •1.3. Математические модели уязвимости и угрозы атаки.
- •1.4. Математическая модель угрозы безопасности информационной системы.
- •И схема резервирования
- •Первый случай
- •Второй случай
- •1.5. Количественная оценка актуальности уязвимости в информационной системе
- •1.6. Математическая модель нарушителя (злоумышленника)
- •1.7. Математические модели угрозы атаки и угрозы безопасности конкретной информационной системы
- •1.8. Математические модели эксплуатационной безопасности информационной системы
- •Методы формального проектирования системы защиты информационной системы
- •2.1. Исходные данные и задачи формального проектирования системы защиты информационной системы
- •2.2. Метод функционального проектирования системы защиты
- •А. Исходный граф. Первая итерация
- •Б. Вторая итерация
- •В. Третья итерация
- •2.3. Формирование требований к характеристикам системы защиты информации применительно к выполнению требований к защите от атак методом динамического программирования
- •А. Первый шаг оптимизации
- •Б. Второй шаг оптимизации
- •В. Третий шаг оптимизации
- •2.4. Формирование требований к характеристикам системы защиты информации методом линейного программирования
- •2.5. Оценка потенциальных возможностей и формирование требований к системе защиты
- •2.6. Метод эксплуатационного проектирования системы защиты
- •2.7. Оценка эксплуатационного риска потенциальных потерь при формировании требований к характеристикам проектируемой системы защиты информационной системы
- •2.8. Проблемы резервирования элементов информационных систем для повышения уровня их эксплуатационной информационной безопасности
- •Заключение
- •Литература
1.2. Известные подходы к оцениванию актуальности уязвимости
На сегодняшний день наиболее широкое практическое использование нашли следующие способы классификации и количественной оценки актуальности уязвимостей: схема классификации уязвимостей NIPC, шкала анализа уязвимостей SANS, система оценки критичности уязвимостей Microsoft, система оценки уязвимостей по стандарту PCI DSS, системы US—CERT, CVSS и nCircle [30,34-37,39]. Они различаются учитываемыми при классификации уязвимостей параметрами и шкалами оценки уязвимостей.
В качестве примера рассмотрим Общую Систему Оценки Уязвимости (CommonVulnerability Scoring System, CVSS). Данная система предназначенная для классификации уязвимостей по шкале критичности от 0 до 10:
0,0 – 3,9 — низкая степень;
4,0 – 6,9 — средняя степень;
7,0 – 9,9 — высокая степень;
10 — критическая степень.
Оценка (отнесение к уровню критичности) уязвимости производится на основе набора показателей (вектор доступа, сложность доступа, аутентификация, влияние на конфиденциальность, влияние на целостность, влияние на доступность).
Вектор доступа (Access Vector) определяет, как уязвимость может быть обнаружена и использована.
Local – злоумышленнику необходим физический доступ к компьютеру;
Adjacent Network – злоумышленнику необходим доступ к локальной сети;
Network – уязвимость может быть использована из сети Интернет.
Сложность доступа (Access Complexity) определяет, насколько сложно провести атаку на систему через уязвимость после получения доступа к ней.
High – злоумышленнику необходимо иметь высокую квалификацию, использовать нестандартные пути реализации атаки и обладать значительной информацией о системе. Конфигурация ПО является достаточно экзотической;
Medium – злоумышленник должен иметь ограниченные права в системе. Конфигурация ПО отличается от конфигурации по умолчанию;
Low – конфигурация по умолчанию. Круг тех, кто может являться злоумышленником, не ограничен.
Аутентификация (Authentification) определяет, сколько уровней аутентификации и авторизации должен пройти злоумышленник, прежде чем он получит возможность использовать уязвимость в системе.
Multiple – множественная аутентификация и авторизация;
Single – однократная авторизация;
None – отсутствие аутентификации и авторизации.
Влияние на конфиденциальность (Confidentiality Impact) определяет влияние успешной атаки с использованием уязвимости на конфиденциальность системы и данных.
None – отсутствие влияния;
Partial – злоумышленник получает доступ к ограниченному набору данных;
Complete – злоумышленник получает полный доступ ко всем данным.
Влияние на целостность (Integrity Impact) определяет влияние успешной атаки с использованием уязвимости на целостность данных и системы.
None – отсутствие влияния;
Partial – частичная потеря целостности (возможна модификация части конфигурации системы, часть данных может быть подменена и пр.);
Complete – возможна подмена любых данных, модификация конфигурации и процессов всей системы.
Влияние на доступность (Availability Impact) определяет влияние успешной атаки с использованием уязвимости на доступность системы.
None – отсутствие влияния;
Partial – частичная недоступность (падение производительности системы или ее частей, непродолжительные перерывы в доступности данных);
Complete – полная недоступность системы, отказ в обслуживании.
Из представленного примера видим, что классификация уязвимостей - отнесение их к уровню критичности, основана на использовании экспертных оценок. Кроме того, можем сделать вывод и о том, что статистика по выявляемым уязвимостям непрерывно ведется, известна, доступна, их стохастические параметры (об этом далее) могут быть определены, что позволяет проводить в их отношении соответствующий вероятностный анализ.
Таким образом, оценка актуальности уязвимости, определяемая мерой критичности уязвимости, формируемая известными подходами к оцениванию, исходя из сложности ее выявления, использования и целей эксплуатации злоумышленником, позволяет делать выводы о необходимости и экстренности принятия каких-либо мер в отношении выявленной уязвимости (в том числе, каких-либо организационных мер), но при этом никоим образом не затрагивает стохастических свойств обнаружения и устранения уязвимостей, что не позволяет осуществлять каких-либо прогнозов в отношении последующего выявлениях каких-либо типов уязвимостей (позволяющих осуществлять атаки соответствующих типов) в процессе функционирования системы.