Парирование сложностей, связанных с неопределенностью исходных данных и большой размерностью задачи оценки эффективности защиты информации
При оценке эффективности защиты информации в ИС возникают сложности, связанные, во-первых, с неопределенностью исходных данных, необходимых для такой оценки, таких как:
а) состав блоков (файлов, каталогов, директорий, записей в базе данных и др.) системной и пользовательской информации, конфиденциальность, целостность и (или) доступность которых должна быть обеспечена. При этом, если состав пользовательской информации конфиденциального характера может быть установлен экспертным путем без проблем, хотя и с возможными значительными временными затратами, то выявление состава информации, особенно системной, целостность и доступность которой должна обеспечиваться в условиях реализации возможных угроз, оказывается далеко не тривиальной задачей, особенно в динамике эксплуатации ИС, когда зачастую ежедневно меняется состав и местонахождение пользовательской информации;
б) содержание деструктивных действий, которые будут выполняться в конкретной ИС относительно конкретных блоков защищаемой информации, таких как:
уничтожение или модификация системных файлов (например, файлов с расширением *sys, *.prf, *.ebd, *.hdmp, *.reg, *.dat и других файлов ОС, в частности, в ОС семейства Windows всего имеется более 70 форматов системник файлов) с целью вывода из строя средства вычислительной техники в составе хостов ИС или ИС в целом (отказа функционирования или нестабильной работы);
уничтожение или модификация локальных дескрипторных таблиц или таблиц прерываний с целью нарушения доступности пользовательских файлов или исполняемых файлов прикладных программ;
уничтожение или модификации самих исполняемьк файлов прикладных программ (например, исполняемьк файлов офисных программ), файлов системы управления базой данньк и др.;
уничтожение, модификация или копирование пользовательских файлов (текстовых, графических, видео- и т.д.);
несанкционированный запуск приложений в системе, в том числе с целью получения результатов исполнения приложений.
При этом выбор того или иного действия является прерогативой нарушителя и неизвестен администратору безопасности ИС;
в) пути и способы реализации угроз безопасности информации в ИС, в том числе в условиях применения тех или иньк мер защиты. Если две угрозы различаются путями реализации, то, как правило, и время реализации таких угроз различается, а отсутствие учета фактора времени может привести к неправильному выбору и некорректной оценке эффективности мер защиты от таких угроз (например, мер, направленных на опережение процесса реализации угроз). Кроме того, не всегда известен состав уязвимостей программного обеспечения ИС, которые могут эксплуатироваться при реализации конкретных угроз, особенно когда эксплуатируются так называемые «уязвимости нулевого дня» (уязвимости, не зарегистрированные в соответствующих базах данных);
г) сведения о динамике реализации угроз в конкретных ИС и их программных и программно-аппаратных элементах, что обусловлено составом и структурой ИС, применяемым системным и прикладным программным обеспечением, производительностью аппаратных элементов ИС (процессоров серверов и рабочих станций, видеокарт, чипсета материнской платы и т.д.), загрузкой элементов ИС расчетными и иными задачами пользователей и др.
Во-вторых, значительные сложности при оценке эффективности защиты информации в ИС возникают также в связи с так называемым «проклятием размерности» задачи оценки. Это обусловлено:
большим объемом как системной, так и особенно пользовательской защищаемой информации, который может достигать сотен гигабайтов;
количеством подлежащих учету уязвимостей программного обеспечения и возможных угроз безопасности информации, вариантов способов реализации угроз, а также разнообразием мер и количеством вариантов построения системы защиты информации в конкретной ИС и др.
В интересах парирования сложностей, связанных с неопределенностью исходных данных о составе блоков системной и пользовательской информации и содержания деструктивных действий относительно них, могут быть использованы следующие подходы.
1. При отсутствии разграничения доступа к конкретным файлам (что может иметь место, например, когда используется файловая система NTFS (англ. New Technology File System — «файловая система новой технологии»), или применяются достаточно продвинутые средства разграничения доступа, такие как Dallas Look, Secret Net и т.п.), для каждой угрозы оценивается только возможность проникновения в операционную среду сервера или рабочей станции. При этом полагается, что при таком проникновении может быть выполнено любое действие относительно любого защищаемого файла на сервере или рабочей станции.
Пусть решается задача защиты системных файлов, количество которых в атакуемом хосте ИС составляет величину N . Каждый файл имеет разную
важность с точки зрения безопасности функционирования хоста, определяемую для каждого п -го файла соответствующим коэффициентом, который, по сути, соответствует вероятности выбора файла с номером.
Время (г.). затрачиваемое на реализацию угрозы нарушения функционирования хоста ИС определяется как сумма времени получения несанкционированного доступа в операционную среду (тасс) и времени
выполнения несанкционированного действия (г)™г') относительно какого- либо системного файла, что может привести к нарушению функционирования хоста.
Тогда плотность распределения вероятности для времени реализации угрозы нарушения функционирования ИС путем проникновения в операционную среду и выполнения какого-либо деструктивного действия (например, или уничтожения - деструктивное действие g = l, или модификации - деструктивное действие g = 2, или блокирования - деструктивное действие g = 3 и т.д.) определяется из соотношения, где waa (т) - плотность распределения вероятности для случайного времени г получения нарушителем доступа в операционную среду хоста;
w(x-r) - плотность распределения вероятности для случайного времени выполнения деструктивного действия относительно какого-либо из системных файлов с номером за время х — г при условии, что нарушителем получен доступ в операционную среду.
Пусть вероятность того, что в ходе реализации угрозы будет выбрано G деструктивное действие g(g = 1,G^, составляет величину yg, = 1. Тогда Я=1 вероятность того, что за время t будет выполнено любое из рассматриваемых деструктивных действий относительно любого системного файла,где Pda* (s>nsys>t) - вероятность выполнения g -го деструктивного действия за время t относительно системного файла с номером п , которая по своим
свойствам соответствует функции распределения (непрерывная, монотонная, равная 0 в точке t = 0 и 1 на бесконечности).
Тогда плотность распределения определяется по формуле, где vjdntr{g’nSyS<t) ~ плотность распределения вероятности для времени выполнения g -го деструктивного действия относительно системного файла с номером п .
Если все системные файла равнозначны и вероятности выбора деструктивных действий при реализации угроз примерно одинаковы, то формула (2.32) значительно упрощается, а вероятность реализации угрозы нарушения функционирования ИС с учетом соотношения (2.30) и (2.32) или (2.33) определяется традиционно.
С учетом соотношения (2.31) риск выполнения деструктивных действий при реализации такой угрозы рассчитывается, где индекс ущерба при выполнении g -го деструктивного действия относительно системного файла с номером.
Если все системные файла равнозначны, вероятности выбора деструктивных действий при реализации угроз примерно одинаковы и допустимо экспоненциальное приближение для плотностей распределения вероятностей, то формула (2.35) значительно упрощается, где и - математические ожидания времен проникновения в операционную среду при реализации и -й угрозы ИС (хоста ИС) и выполнения несанкционированного действия относительно какого-либо из системных файлов;
Р индекс ущерба от воздействия на системный файл (нарушения
функционирования хоста ИС или ИС в целом), который, как правило, можно положить равным 1 (ущерб неприемлемый).
При наличии ограничений на доступ в операционную среду получить такой доступ нарушитель может с некоторой вероятностью р .
В этом случае риск реализации угрозы оценивается.
В соответствии с [35] закон распределение wu достаточно близок к экспоненциальному, что позволяет использовать это приближение для весьма существенного снижения сложностей расчета.
Если рассматривать другие угрозы воздействия на системные файлы, отличающиеся способом проникновения в операционную среду, то достаточно оценить дополнительно лишь математическое ожидание времени
проникновения т“1, что значительно упрощает анализ возможностей реализации всего множества возможных угроз нарушения функционирования ИС путем воздействия на системные файлы.
Аналогичным образом можно существенно снизить сложность анализа угроз нарушения целостности и доступности файлов пользовательской информации (данных и программ).
Однако применительно к файлам, содержащим конфиденциальную информацию, применяется несколько иной подход, суть которого состоит в том, что предварительно все такие файлы объединяются в группы, в каждую из которых включаются файлы с одинаковым видом тайны, к которому относятся конфиденциальные сведения, с близким уровнем конфиденциальности (или важности) и т.п.
Далее оценка риска реализации угрозы хищения информации, например, путем копирования файла, проводится применительно к одному из файлов группы с последующим распространением результатов на все файлы данной группы. Это также существенно снижает сложность анализа возможностей реализации всего множества угроз относительно файлов с конфиденциальной информацией.
2. При наличии разграничения доступа к конкретным файлам с защищаемой информацией (перечень которых в этом случае, очевидно, известен), наряду с процедурой получения нарушителем доступа в операционную среду хоста ИС, рассматривается еще и процедура получения доступа к конкретному файлу. В этом случае математическое ожидание времени реализации угрозы рассчитывается, где тасс - математические ожидания времени доступа в операционную среду хоста ИС в случае отсутствия мер защиты;
тІІс > TdLI _ математические ожидания времени доступа к файлу с защищаемой информации при условии мер защиты от несанкционированного доступа к файлу и времени выполнения несанкционированного (деструктивного) действия относительно него соответственно;
р , рас’ - вероятности получения доступа в операционную среду хоста ИС и к защищаемому файлу соответственно.
Плотность вероятности для времени ти определяется как свертка
плотностей вероятностей случайных величин, то есть: w„(0 = J, где и -z - у) - плотности вероятности времени получения
доступа к файлу за время у и выполнения относительно него несанкционированного (деструктивного) действия за время t — т — у соответственно.
При этом риск реализации угрозы и нанесения ущерба за счет воздействия на защищаемый файл по аналогии с формулами (2.30) - (2.35) определяется из соотношения.
При равновероятном выборе деструктивного действия и примерно равных последствиях от них при экспоненциальном приближении риск реализации угрозы относительно рассматриваемого файла рассчитывается по формуле.
Графики полученной зависимости риска реализации угроз от времени приведен на рисунке 2.7 и 2.8. Их анализ показывает, что, как и ожидалось, снижение времен доступа в операционную среду хоста, к файлу и выполнения деструктивного действия существенно снижает риск реализации угрозы.
Парирование сложностей, связанных с отсутствие сведений о путях и способах реализации угроз, а также сведения о динамике реализации угроз в конкретных ИС и их программных и программно-аппаратных элементах может быть достигнуто, во-первых, моделированием процессов реализации угроз, методологические основы которого рассмотрены.
Во-вторых, сегодня необходим сбор таких сведений применительно к типовым ИС и основным классам угроз, в том числе в условиях применения известных мер и средств защиты.
Следует подчеркнуть важность автоматизации анализа угроз безопасности информации в ИС и оценки эффективности защиты от них для парирования возникающих сложностей при таком анализе и оценке. Это обусловлено как большим объемом, так и значительной трудоемкостью требуемых при этом расчетов.
