УДК 623.1
ФОРМАЛЬНАЯ МОДЕЛЬ ПОЛНОГО МНОЖЕСТВА РЕАЛИЗАЦИЙ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В.А. Хвостов, М.А. Багаев, А.А. Кисляк, А.В. Даурцев, Д.В. Солод
Проведен анализ вербального описания методов реализации полного множества угроз информационной безопасности (ИБ) автоматизированных систем (АС), содержащейся в специализированной литературе. Построена формальная модель полного множества угроз ИБ с использованием логических деревьев атак Б. Шнайера и присвоением дугам дерева числовых коэффициентов, имеющих временной смысл
Ключевые слова: информационная безопасность, модель угроз, дерево атак, сценарий атаки
Одним из важнейших этапов проектирования систем защиты информации (СЗИ) от несанкционированного доступа (НСД),
обеспечивающих оптимизацию проектируемой системы в возможно большей степени является синтез. При этом задача синтеза может быть сформулирована в следующем виде [1-3]: найти такую систему 8, которая удовлетворяет совокупности {У,08,СК,Ок} исходных данных и
обладает при этом значением совокупности (вектора) показателей качества К = (к1,...к^,
наилучшим в смысле заранее выбранного критерия. В формальной постановке задачи синтеза системы введены следующие обозначения: у —
совокупность условий применения системы; О ------
совокупность ограничений, накладываемых на структуру и параметры проектируемой системы; СК — состав совокупности вектора качества системы; Ок — ограничения, накладываемые на показатели
качества. Как видно из формулировки задачи синтеза, условия применения проектируемой системы являются определяющими в задаче синтеза, от которой зависит оптимальность. Существующие в настоящее время модели реализации угроз НСД базируются в основном на вербальном описании. При этом особое внимание уделяется полноте классификации угроз. Примером вербального классификационного подхода к формированию модели угроз ИБ могут служить [4-8].
Использование научных методов синтеза при проектировании СЗИ наряду с требованием полноты рассмотрения угроз ИБ (совокупности условий применения системы) выдвигает проблемы, требующие формального описания для
Хвостов Виктор Анатольевич - ФСТЭК России, канд. техн. наук, тел. 8-950-761-83-14
Багаев Максим Александрович - МГТУ им. Н.Э. Баумана, докторант, канд. техн. наук, тел. 8-904-211-13-33 Кисляк Алексей Алексеевич - ВГТУ, аспирант, тел. 8-910-345-00-50
Даурцев Антон Вадимович - ВГТУ, аспирант, тел. 8-950-779-06-92
Солод Дмитрий Валерьевич - ВГТУ, соискатель, тел. 8-904-211-13-33
использования методов количественной оценки вариантов СЗИ.
Таким образом, целью статьи является разработка формальных моделей полного множества угроз ИБ, обеспечивающих решение задачи технического синтеза СЗИ.
Для построения формальных моделей реализаций угроз в [10] предложено использовать логические деревья атак Б. Шнайера [11] с присвоением дугам дерева числовых коэффициентов, имеющих временной смысл.
В качестве основополагающей конструкции здесь выступает иерархическое дерево О = (Ь, Е), где Ь = {11} — множество вершин дерева, Е={е8}, Е е{ь2} - множество дуг дерева. Каждая вершина дерева О ассоциируется с определенным действием нарушителя, при этом корень дерева обозначает конечную цель информационной атаки, реализация которой может нанести значительный ущерб АС. Таким образом, на графе в имеется возможность составить множество возможных путей вр = ^рг},
где каждый путь §рг представляет собой
последовательность дуг (вх, в2,...вп) вида
= (/, /^), /, /^ е Ь, при этом конечная вершина
дуги /i. одновременно является начальной
вершиной дуги /+1. В качестве начальной вершины
пути могут выступать листья дерева О, а в качестве конечной вершины — корень дерева О.
Деревья атак могут изображаться как в графическом, так и в текстовом виде. Корень этого дерева — вершина /0 е Ь — обозначает действие
нарушителя. Для выполнения этого действия злоумышленник первоначально должен
осуществить все операции, которые обозначаются элементами {/. е Ь}.[1п]. При этом
последовательность действий, выполняемых нарушителем, определяется индексами вершин {/1 е Ь}.[1 ], т.е. первым выполняется действие,
ассоциированное с вершиной /1 е Ь, а последним —
1п е Ь .
Предложенная модель угроз ИБ построена в терминах математического аппарата теории деревьев и позволяет моделировать сложные
сценарии атак, предусматривающих несколько вариантов реализации. Для проведения количественного анализа угроз каждой дугой дерева сопоставляется параметр, имеющий смысл времени реализации действий по реализации этапа угрозы ИБ, соотнесенного с дугой.
Таким образом формальная модель угрозы ИБ будет иметь следующий вид:
О = (Ь, Е, Та);
Ь {0 ,11,12,..-1п };
Е = {(/0,11, ^01)(10,12 , ^02),...(1г,)};
где їу - время реализации, соответствующее дуге дерева атаки іу .
ТО - среднее время реализации всего дерева атаки.
С использованием предложенной формальной модели построим формальную модель полного множества реализаций угроз ИБ с использованием вербальной модели. Вербальная модель полного множества реализаций НСД к средствам вычислительной техники представлена в документе [12], разработанном Министерством юстиции США в качестве руководящего документа для широкого круга специалистов в области ИБ.
В соответствии с данным документом традиционно выделяются три принципиально отличных друг от друга случая реализации угроз ИБ: с использованием существующих уязвимостей на базе отдельного средства вычислительной техники (СВТ); с использованием внедренных уязвимостей на базе отдельного СВТ; с использованием способов, связанных с
уязвимостями протоколов межсетевого
взаимодействия и каналов передачи данных.
Дерево атак, соответствующее случаю с использованием существующих уязвимостей на базе отдельного СВТ представлено на рис. 1.
уязвимостей на базе отдельного СВТ
Словесное описание дерева атаки с использованием существующих уязвимостей на базе отдельного СВТ можно представить в следующем виде.
С1 - Реализация угрозы безопасности информации в АС на базе автономного АРМ путем использования существующей уязвимости АС; или С1.1 - обхода СЗИ;
или С 1.1.1 - загрузка нештатной
операционной системы;
или С1.1.1.1 загрузка нештатной операционной системы с жесткого магнитного диска;
С1.1.1.2 - загрузка нештатной операционной системы с
гибкого магнитного диска; С1.1.1.3 - загрузка нештатной операционной системы с
привода оптических носителей информации, сетевые
устройства удаленной загрузки; С1.1.1.4 - загрузка нештатной операционной системы с
устройства, подключаемые к ШВ порту;
С1.1.1.5 - загрузка нештатной операционной системы при наличии программной или программно-аппаратной закладки с использованием любого устройства или порта ввода/вывода информации
компьютера;
С 1.1.2 - работа системы в
незащищенном режиме; или С1.1.2.1 - при инициализации операционной системы;
С1.1.2.2 - при работе
процессора в незащищенном режиме;
С1.1.2.3 - при обработке
информации в режиме работы ядра операционной системы; С1.1.2.4 - при обработке
информации с правами администратора системы или с правами доступа к защищаемой информации;
С 1.1.3 - доступ в систему через вредоносную программу или
программно-аппаратную закладку; или С1.1.3.1 - в результате ошибки переполнения буфера;
С1.1.3.2 - в результате
программной закладки;
С1.1.3.3 - в результате
программного люка;
С 1.2 - деструктивное воздействия на СЗИ; и С 1.2 - изучение (исследование) функционирования алгоритма защиты;
С 1.2 - корректировка кода программы защиты или имитация запрашиваемых и идентифицируемых программой защиты данных;
С 1.3 - вскрытие или перехват пароля
(ключа);
или С 1.3.1 - простым перебором или
перебором по словарю;
С1.3.2 - путем использования
системных файлов, в которых хранится информация о паролях;
С1.3.3 - в результате перехвата в процессе функционирования системы вредоносной программой
контролирующей устройства
ввода/вывода информации;
С1.4 - способы, связанные с использованием уязвимостей протоколов межсетевого взаимодействия и каналов передачи данных; С1.5 - использование остаточной, неучтенной информации;
или С 1.5.1 - данные виртуальной памяти операционной системы на жестком диске; С1.5.2 - данные на магнитных и оптических носителях после стирания; С1.6 - использование нетрадиционных
(стеганографических) каналов передачи информации
или С1.6.1 данные в текстовых файлах;
С1.6.2 данные в файлах, содержащих рисунок;
С1.6.3 данные в неиспользуемых местах отчуждаемых носителей.
Дерево атак, соответствующее случаю с использованием внедренных уязвимостей на базе отдельного СВТ представлено на рис. 2.
Рис. 2 Дерево атаки с использованием внедренных уязвимостей на базе отдельного СВТ
Словесное описание дерева атаки с
использованием внедренных уязвимостей на базе отдельного СВТ можно представить в следующем виде.
С2 - Реализация угрозы безопасности информации в АС на базе автономного АРМ путем использования внедренной уязвимости АС;
или С2.1 - на этапе проектирования и разработки АС;
С2.2 - на этапе эксплуатации; или С2.2.1 - путем использования
нештатного программно-аппаратного обеспечения;
или С2.2.1.1 - программно-аппаратная закладка;
С2.2.1.2 - вредоносная
программа С2.2.2 - с использованием штатных средств;
или С2.2.2.1 - путем обмена
программами и данными,
содержащими выполняемые модули (скрипты, макросы и т.д.), с
доверенными системами и
пользователями;
С2.2.2.2 - путем изменения
конфигурации программноаппаратного обеспечения; С2.2.2.3 - путем модификации программного обеспечения и данных;
С2.2.2.4 - разработкой
вредоносных программ;
С2.2.2.5 - путем публикации, разглашения защищаемых
сведений;
С2.3 - на этапе сопровождения
(модернизации);
С2.4 - на этапе утилизации АС или ее элементов;
Дерево атак, соответствующее случаю
использования способов, связанных с уязвимостями
протоколов межсетевого взаимодействия и каналов передачи данных представлено на рис. 3.
связанных с уязвимостями протоколов межсетевого взаимодействия и каналов передачи данных
Словесное описание дерева атаки с использованием способов, связанных с
уязвимостями протоколов межсетевого
взаимодействия и каналов передачи данных можно представить в следующем виде.
С1.4 - Реализация угрозы безопасности с
использованием способов, связанных с
использованием уязвимостей протоколов
межсетевого взаимодействия и каналов передачи данных;
или С1.4.1 - перехват информации;
и С 1.4.1.1 - сбор информации;
С1.4.1.2 - сетевая атака и доступ к ресурсам удаленной вычислительной
системы;
С1.4.1.3 - реализация деструктивных действий;
С1.4.1.4 - ликвидация следов,
идентифицирующих субъекта доступа; С1.4.2 - модификация передаваемых данных (дезинформация); и С1.4.2.1 - сбор информации;
С1.4.2.2 - сетевая атака и доступ к ресурсам удаленной вычислительной
системы;
С1.4.2.3 - реализация деструктивных
действий;
С1.4.2.4 - ликвидация следов, идентифицирующих субъекта доступа;
С1.4.3 - перегрузка ресурсов (отказ в
обслуживании);
и С1.4.3.1 - сбор информации;
С1.4.3.2 - сетевая атака и доступ к ресурсам удаленной вычислительной системы;
С1.4.3.3 - реализация деструктивных
действий;
С1.4.3.4 - ликвидация следов,
идентифицирующих субъекта доступа; С1.4.4 - внедрение вредоносных программ; и С1.4.4.1 - сбор информации;
С1.4.4.2 - сетевая атака и доступ к ресурсам удаленной вычислительной
системы;
С1.4.4.3 - реализация деструктивных
действий;
С1.4.4.4 - ликвидация следов, идентифицирующих субъекта доступа;
С1.4.5 - удаленный несанкционированный доступ в систему; и С1.4.5.1 - сбор информации;
С1.4.5.2 - сетевая атака и доступ к ресурсам удаленной вычислительной
системы;
С1.4.5.3 - реализация деструктивных
действий;
С1.4.5.4 - ликвидация следов, идентифицирующих субъекта доступа;
С1.4.6 - разглашение и утечка информации на незащищенные рабочие места вычислительной сети; и С1.4.6.1 - сбор информации;
С1.4.6.2 - сетевая атака и доступ к ресурсам удаленной вычислительной
системы;
С1.4.6.3 - реализация деструктивных
действий;
С1.4.6.4 - ликвидация следов, идентифицирующих субъекта доступа. Разработанные формальные модели полного множества угроз ИБ обладают следующими достоинствами. В связи с использованием в качестве
исходных данных вербальной модели,
охватывающей полное множество угроз ИБ, формальная модель также характеризуется полнотой. Разработанная модель может быть использована для оценки среднего времени реализации полного множества реализаций угроз, в соответствии с математическими зависимостями, представленными в [10] и, в дальнейшем, при решении задачи технического синтеза СЗИ.
Литература
1. Гуткин Л.С. Оптимизация радиоэлектронных устройств по совокупности показателей качества. - М.: Сов. радио. 1975 г. 368 с.
2. Квейд Э. Анализ сложных систем. - М.: Сов. Радио, 1969 г. - 522 с.
3. Месарович М., Такахара Я. Общая теория систем. Математические основы. - М. Мир. 1978 г. - 311 с.
4. Гостехкомиссия РФ. Руководящий документ. Концепция защиты средств вычислительной техники от несанкционированного доступа к информации. - М.: Воениздат, 1992.
5. ГОСТ Р ИСО/МЭК 15408-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. - М.: ИПК Издательство стандартов, 2002.
6. Герасименко В. А. Защита информации в автоматизированных системах обработки данных: В 2 кн.: Кн. 1. - М.: Энергоатомиздат, 1994. - 400 с.
7. Мельников В.В. Защита информации в компьютерных системах. - М.: Финансы и статистика; Электроинформ, 1997. - 368 с.
8. Щербаков А.Ю. Введение в теорию и практику компьютерной безопасности. - М.: издатель Молгачева С.В., 2001 г. — 352 с.
9. Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире. — СПб.: Питер, 2003. — 367 с.
10. Метод построения формальных моделей
реализации угроз информационной безопасности автоматизированных систем / Макаров О.Ю., Хвостов В.А., Хвостова Н.В. // Вестник Воронежского
государственного технического университета. 2010. Т.6 №11 С. 22 - 25
11. Б. Шнайер Секреты и ложь. Безопасность данных в цифровом мире СПб.: Питер, 2003 г. - 367 с.
12. Department of Justice, “Guidelines for Searching and Seizing Computers” 1994 155 p.
Федеральная служба по техническому и экспортному контролю России Московский государственный технический университет им. Н.Э. Баумана Воронежский государственный технический университет
FORMAL MODEL OF FULL SET OF REALIZATIONS OF THREATS INFORMATION SECURITY OF THE AUTOMATED SYSTEMS V.A. Khvostov, M.A. Bagaev, A.A. Kislyak, A.V. Daurzhev, D.V. Solod
The analysis of the verbal description of methods of realization of full set of threats of information safety the automated systems, containing in the specialized literature is carried out. The formal model of full set of threats information safety, with use of logic trees of attacks of B.Shnajera and assignment to arches of a tree of the numerical factors having time sense is constructed
Key words: information safety, model of the threats, tree of the attacks, scenario of the attack