Общий подход к построению марковских моделей процессов возникновения и реализации угроз безопасности информации с дискретными состояниями и непрерывным временем
Угроза безопасности информации в ИС может быть реализована на сетевом, системном и прикладном уровнях [26, 35].
Угрозы, реализуемые на микропрограммном уровне, в данной работе не рассматриваются
На сетевом уровне реализация угроз направлена:
на перехват сообщений (перехват трафика), передаваемых по сетям общего пользования;
на нарушение функционирования узлов и коммуникационных элементов как внешних сетей, через которые осуществляется передача сообщений из защищаемой ИС, что приводит или к невозможности использования ею информационно-телекоммуникационной сети общего пользования, или к нарушению функционирования самой ИС.
Такие угрозы реализуются путем:
1) создания ложных узлов с последующем перенаправлением на них перехватываемого трафика;
2) создания на узле, доверенном для атакуемой ИС (хоста ИС), режима удаленного терминала;
3) внедрения в коммуникационные элементы по пути трафика атакуемого хоста или в доверенные для него узлы программных средств перехвата пакетов сообщений («снифферов»);
4) подмены доверенного хоста в сети общего пользования.
Если угроза реализуется в сети общего пользования (Internet), то динамика ее реализации определяется динамикой передачи перехватываемых сообщений, а меры защиты, как правило, связаны с криптографической защитой трафика и в данной работе далее не рассматриваются.
Если угроза реализуется в самой ИС, то процесс ее реализации будет определяться возможностью создания нарушителем ложного объекта или внедрения «сниффера», включения режима удаленного терминала и подмены физического адреса хоста ИС и др. Все эти действия осуществляются, как правило, заблаговременно и не связаны с динамикой реализации угрозы перехвата трафика в ИС, которая будет определяться, в основном, динамикой передачи сообщений в ИС. В этих условиях, как правило, вряд ли целесообразно моделировать процессы передачи подлежащих перехвату сообщений в ИС.
На системном и прикладном уровнях угрозы реализуются путем проникновения в операционную среду ИС (хоста ИС), то есть доступа к командам его ОС, к прикладным программам, к учетным записям, к системному реестру и т.д., а также с получением отклика на специально посылаемые пакеты сообщений, обрабатываемые ОС хостов. При этом на системном уровне для реализации угроз используются уязвимости ОС (в том числе драйверов, системных утилит и т.п.), а на прикладном уровне - уязвимости прикладных программ (программ пользователей, систем управления базами данных и т.п.).
Как правило, такие угрозы направлены:
на хищение (копирование или просмотр) или модификацию пользовательской информации (текстовых, графических, видеофайлов, в том числе записей в базах данных);
на выявление технологической информации, в том числе сетевого и физического адреса, типа ОС, состава установленных прикладных программ, состава и типажа подключенного периферийного оборудования и т.п.;
на выявление паролей доступа;
на изменение учетных записей;
на выявление директорий и каталогов с представляющей интерес информацией с целью последующего ее копирования;
на выявление состава принятых мер защиты информации и настроек применяемых средств защиты с целью последующего использования для реализации угроз хищения информации в данном компьютере;
на уничтожение, перемещение или нарушение доступности пользовательских файлов (текстовых, графических, видеофайлов, прикладных программ);
на внедрение вредоносных программ;
на несанкционированный запуск приложений;
на изменение настроек ОС, в том числе программных и программноаппаратных средств защиты с целью обеспечения возможности скрытного доступа с другого компьютера этой же ИС или из внешней сети, если компьютер подключен к ней и т.д.
Кроме того, угрозы могут быть направлены на нарушение функционирования компьютера или отдельных прикладных программ.
Процесс реализации угрозы сетевой атаки в общем случае состоит из четырех этапов [26]:
- сбора информации;
- вторжения (проникновения в операционную среду);
- реализации деструктивных действий;
- ликвидации следов атаки.
Моделирование процесса реализации угроз, как правило, осуществляется в основном для этапов вторжения и реализации деструктивных действий. В этом случае процесс реализации угрозы за время t в отношении т -го блока защищаемой информации (файла, папки, директории, записи в базе данных и др.) может быть формально записан
ад={Уѵ,)}®^ла./=, (5-73)
где Y'j - j -е действие случайной продолжительности t., направленное на
проникновение в операционную среду хоста, входящее во множество действий мощностью = Jug, необходимых для выполнения gm –го несанкционированного действия случайной продолжительности т в
отношении m -го блока защищаемой информации при реализации и -й угрозы; Ѳ - знак совокупности рассматриваемых действий;
АС - общее количество блоков защищаемой информации в хосте, относительно которого может быть выполнено g-e несанкционированное действие, соответствующее и -й угрозе.
Общая продолжительность процесса реализации угрозы является суммой времен выполнения парциальных действий, в том числе g -го несанкционированного действия с информацией.
При этом каждое действие начинается после окончания предыдущего действия и не зависит от времени выполнения всех ранее выполненных действий, то есть процесс реализации угрозы обладает свойством марковского процесса, когда будущее процесса не зависит от его прошлого, а определяется только его настоящим.
Если плотности распределения вероятностей указанных величин равны соответственно /(г^)и/(rff'j, то плотность распределения вероятности для их суммы находится из соотношения:
f(0 = L-^f[z(s^yx(s,r^, (5-75)
где x(s,T[fr) ) и j - характеристические функции случайных величин
( Рг) ( я)
т) и ПТ соответственно;
L1 - обратное преобразование Лапласа с параметром s.
Плотность распределения вероятностей указанных случайных величин, как правило, неизвестны, но поскольку эти величины являются положительно определенными, то плотности распределения могут быть аппроксимированы с любой точностью гамма-распределением [96, 92].
Для плотностей распределения в виде гамма-функции характеристические функции имеют вид где k(f] , kg - параметры соответствующих у -распределений.
В общем виде вероятность реализации угрозы за время t может быть рассчитана из соотношения [97] где Н[р,\ Н2Р’ \ H[s) - вспомогательные функции, определяемые по сходной для всех формуле, где вместо индекса д; подставляется один из индексов для случайных величин.
В простейшем случае экспоненциальных распределений и двух действиях в ходе проникновения в операционную среду (например, подбор
пароля и изменение учетных записей) параметры к[р \ к[р'< a kg равны единице, а вероятность того, что за время t угроза будет реализована относительно m -го блока информации, имеет вид.
Тем не менее, рассчитывать вероятность реализации угрозы по громоздким формулам затруднительно, поэтому целесообразно использовать приближенную формулу, основанную на экспоненциальной зависимости, которая, как правило, с достаточной для практики точностью описывает поведение функции Pmu(t) , где математическое ожидание времени реализации угрозы относительно т -го блока информации, определяемой ф общем случае по фрмуле (5.75); Так (рг) (g) как все суммируемые величины т\ ' иг^; независимы, то среднее суммарное время реализации угрозы определяется по формуле (5.74) для одного да-го блока информации.При этом следует иметь в виду, что другое несанкционированное действие относительно рассматриваемого блока защищаемой информации соответствует другой угрозе.
Если рассматривать множество угроз, отличающихся только объектом воздействия (с одинаковым источником угроз, эксплуатируемой уязвимостью, способом реализации, содержанием несанкционированного действия), то математическое ожидание времени их реализации относительно множества блоков защищаемой информации с учетом формулы (5.75) определяется из соотношения.
При этом вероятность реализации угрозы оценивается по формуле (5.82), где вместо подставляется величина.
Если угроз безопасности информации, связанных с проникновением в операционную среду хоста, много, то при анализе возможности их реализации сначала необходимо провести их группирование по сходным элементам описания следующим образом.
1. Все угрозы разделяются на две группы, в одну из которых включаются угрозы с внешним источником, в другую - с внутренним источником.
2. Далее угрозы, входящие в каждую из двух групп, разделяют по подгруппам, соответствующим применяемым сходным (одинаковым) способам проникновения в операционную среду хоста.
3. Затем каждую подгруппу делят на подмножества, каждое из которых соответствует своему несанкционированному действию (независимо от того, какой блок информации будет подвергнут воздействию).
В результате будут образованы подмножества угроз, каждое из которых характеризуется одинаковыми источником, способом проникновения и деструктивным действием. Это позволяет существенно сократить объем работ по анализу возможностей реализации угроз относительно любого или всей совокупности блоков защищаемой информации в хосте ИС.
Пусть для г-й группы угроз может иметь место Sr способов проникновения в операционную среду, то есть имеется Sr подгрупп угроз. Каждая подгруппа делится на G(sr) несанкционированных действий, которые могут быть выполнены относительно блоков защищаемой информации в хосте. Тогда применительно к одному т -му блоку защищаемой информации, sr -му способу проникновения и g(sr) несанкционированному
действию (g(sr).
А для всего множества блоков информации M^[g(z.)], относительного которых выполняется одинаковое несанкционированное действие g (яг), математическое ожидание времени реализации угроз составит величину.
При этом вероятность реализации угрозы рассчитывается по формуле (5.82) с подстановкой вместо случае воздействия только на один т-й блок информации величины и в случае воздействия на множество Min/[g(^r)] блоков информации – величины.
