Метод анализа возможностей реализации угроз на основе теории графов
Одним из вариантов решения задачи оценки достижимости объекта в составе ИС при реализации угрозы безопасности информации является применение аппарата теории графов, с помощью которых могут быть представлены возможные сценарии процесса реализации угроз. Чаще всего этот аппарат применяется сегодня при анализе сетевых атак в ИС [58, 82].
Анализ существующих методов [58-62], которые применяются для моделирования атак на ИС, показал, что для выявления возможных сочетаний действий, приводящих к воздействию на защищаемую информацию в ИС, наиболее приемлемым оказывается графовый метод. В этом случае не учитывается временной фактор, который, несомненно, существенно влияет на возможность проведения атак, однако для его учета сначала нужно определить всю совокупность действий, которая должна быть выполнена для проведения атаки по тому или иному сценарию в соответствии со структурнофункциональными особенностями защищаемой ИС.
При этом должно учитываться следующее.
1. Компьютерные атаки на ИС могут быть выполнены:
- во-первых, путем несанкционированного доступа в операционные среды хостов ИС;
- во-вторых, путем нарушения (изменения, блокирования) трафика, передаваемого в ИС или из ИС во внешние сети.
При несанкционированном доступе в операционные среды хостов ИС циркулирующая в них системная и прикладная информация (команды, функции, программы, данные, используемые протоколы обмена данными и др.) может быть уничтожена, модифицирована, подменена, заблокирована.
Изменение или блокирование трафика достигается заменой пакетов с передаваемыми по ИС данными и управляющей информацией, если такая передается, перегрузкой линий передачи данных и буферов обмена ими в хостах ИС (в том числе в коммуникационных элементах).
2. Доступ в операционную среду хостов ИС возможен из другого хоста (в том числе коммуникационного элемента), если предусмотрено взаимодействие между ними в ходе функционирования ИС. Это дает возможность несанкционированного доступа к атакуемому хосту через цепочку других хостов, в том числе тех, которые непосредственно не взаимодействуют с атакуемым хостом, при этом осуществляется несанкционированное проникновение в их операционные среды.
3. Доступ в операционную среду хоста ИС возможен из внешней сети (например, сети Internet), если имеется подключение к ней.
Далее полагается, что две атаки являются разными, если они различаются хотя бы одним из элементов описания: объектом атаки (атакуемым хостом), источником угрозы атаки, исходным хостом, с которого начинается атака (исходной точкой атаки), используемой уязвимостью и способом ее эксплуатации, а также содержанием несанкционированного (деструктивного) действия с защищаемой информацией.
При формировании графа, определяющего совокупность действий при выполнении атаки, сначала определяются возможные объекты атаки - хосты ИС. Далее выявляется защищаемая информация (системные файлы операционной системы, прикладные программы и данные и т.п.), относительно которой в ходе атаки могут быть выполнены несанкционированные (деструктивные) действия (например, уничтожение системного файла, изменение исполняемого файла прикладной программы), в результате чего может нарушиться функционирование хоста или системы в целом. Затем определяется, какой источник угрозы атаки может иметь место: внешний или внутренний.
После определения указанных элементов описания атаки формируется путь или маршрут атаки, то есть последовательность хостов, которые могут быть задействованы при атаке. Для этого анализируется структурнофункциональная схема сети и выявляются хосты, которые могут быть подвержены атакам. Пример схемы офисной ИС, относительно которой могут иметь место атаки из сети Internet, приведен на рисунке 4.14.
Наиболее удобным и наглядным является представление маршрута атаки в виде ориентированного графа. Алгоритмы формирования графов маршрутов атак на хосты ИС в случаях, когда источник угрозы атаки является внешним или внутренним, приведены соответственно на рисунках 4.15 и 4.16.
При построении дерева маршрутов компьютерных атак на к -й хост ИС ак, учитываются все атаки, возможность которых обусловлена наличием функциональной взаимосвязи атакуемого хоста с другими хостами ИС.
Такая взаимосвязь может быть представлена в виде ориентированного
графа G^G^.G^J, где G^ =jgj^j,к =1,^ - множество вершин графа (Kt -
количество вершин графа), = ^^,к = \,K2,j = \,К2 - множество
ориентированных дуг (последовательность индексов п и j указывает направление дуги), при этом взаимосвязи определяются необходимостью приема и передачи сообщений (команд, данных, иной информации) между хостами ИС в ходе обеспечения ее функционирования (К2 - количество ориентированных дуг в графе).
Применительно к ИС, приведенной на рисунке 4.14, дерево маршрутов атак с внешнего источника угрозы показано, при этом полагается, что объектами атаки могут быть и межсетевой экран, и маршрутизаторы.
Далее в соответствии с графом G^G^,G(2)J выявляются все смежные
элементы, из которых может быть получен доступ к хосту ак - объекту атаки, с учетом выявленных уязвимостей.
Для этого используется матрица смежности Ма = {ть},к = \,К,п = \,К
для графа G^G^.G^J, где К - количество хостов ИС, с которых может
проводиться атака. Пример графа и его матрицы смежности приведен.
Локальная сеть №2.
Пример фрагмента офисной сети организации, атакуемой из глобальной сети Internet.
Алгоритм формирования дерева маршрутов атак на хосты ИС в случае внешнего источника угрозы атак.
Алгоритм формирования деревьев маршрутов атак на хосты ИС в случае внутреннего источника угрозы атаки.
Дерево маршрутов атак с хоста внешнего нарушителя на хосты И С в соответствии со схемой, приведенной.
Формально правило, в соответствии с которым доступ в операционную среду хоста ИС из смежного хоста считается возможным, записывается следующим образом:
За„[ть, *Q&{3h{hk еНк,ап =>at)}],«,к = А', (4.26)
где hk уязвимость к -го хоста ак из множества уязвимостей Нк (например, его системного или прикладного программного обеспечения), эксплуатация которой позволяет получить доступ из смежного хоста ап в операционную среду хоста ак.
То есть доступ возможен, если, во-первых, имеется связь двух хостов (mhl Ф О) во-вторых, существует уязвимость в атакуемом хосте, позволяющая получить доступ в его операционную среду (ял =^> ак ) и имеется возможность эксплуатации этой уязвимости (использования соответствующего эксплойта, штатной программы или заблаговременно внедренной вредоносной программы ).
На основе графа взаимосвязей для каждого хоста строится граф достижимости, полагая, что две вершины ап и ак являются связанными, если на ориентированном графе существует маршрут длиной s(an,at), в котором концами являются вершины ап и ак, то есть имеется путь непосредственно из вершины ап в вершину ак.
Порядок построения графов достижимости для всех хостов сводится к следующему:
Граф взаимосвязей и соответствующая ему матрица смежности хостов ИС, фрагмент схемы которой приведен.
1) для вершины ак (соответствующей атакуемому хосту) выбираются все смежные вершины с номерами а„, для которых элементы матрицы смежности отличны от нуля, то есть имеется путь к вершине ак: тпк Ф 0;
2) для каждой вершины Яя, смежной с вершиной ак, аналогичным образом находятся свои смежные вершины аг1 = \,К , с выполнением условия mnk Ф 0, при этом at Фак\
3) с завершением охвата всех вершин, из которых есть путь к вершине ак, строится граф достижимости для элемента, соответствующего этой вершине, представляющей дерево («обратное дерево»), в котором корнем является вершина ак, а ветви соответствуют цепочкам - маршрутам от вершин - источников угроз к корневой вершине;
4) процедура повторяется для всех вершин графа взаимосвязей, в результате чего формируется множество деревьев, называемое лесом.
В качестве примера приведено одно из деревьев такого леса маршрутов для графа взаимосвязей, показанного.
Граф достижимости для хоста с номером 3 в соответствии со схемой ИС.
Важным в графовом методе описания угроз проведения атак является:
- наглядность представления последовательности действий при реализации угроз;
- связь проводимых действий с аппаратными элементами ИС, через которые проходит атака и исключение из рассмотрения тех элементов, через которые она не проходит;
- возможность аналитической записи дерева и леса атак и достаточно простая программная реализация такой записи.
