МЕТОДИКА АНАЛИЗА ЗАЩИЩЕННОСТИ В ИНТЕРНЕТЕ
Т.А. Биячуев
Научный руководитель - доктор технических наук, профессор Л.Г. Осовецкий
В статье представлен подход к разработке методики анализа защищенности в Интернете, основанной на положениях корпоративной теории информации. Рассмотрены этапы методики, полученные результаты и перспективные направления дальнейших исследований.
Введение
Целью статьи является представление подхода к методике анализа защищенности в сети Интернет на основе корпоративной теории информации, предложенной в [1]. Глобальная сеть Интернет в ее нынешнем виде является сложной многосубъектовой системой. По некоторым оценкам, а дать точные цифры здесь практически невозможно, сеть Интернет составляют около 300 миллионов узлов. Конечно, даже такое большое количество подключенных компьютеров не делает Интернет сложной системой в понятиях общей теории систем. Однако три года назад ученые из японских университетов ТБикиЬа и №Ьоп обнаружили ряд общих черт между возникновением пиков трафика в Интернете и землетрясениями [2]. Ими было показано, что и землетрясения и «ин-тернетотрясения» - так ученые назвали периодически возникающие заторы в Интернете - подчиняются теории сложных систем. Как и в любой многосубъектовой системе, здесь имеет место конкуренция за конечное количество ресурсов. В процессе взаимодействий происходит образование групп субъектов - в корпоративной теории информации они называются корпорациями, целью которых является перераспределение ресурсов для контроля над ними. Рассмотрим основные этапы анализа защищенности для данной модели, приложенные к сети Интернет. Отметим, что актуальность задачи обусловлена тем, что Интернет как часть киберпространства становится в настоящее время важнейшей сферой конфликтного информационного взаимодействия различных объединений субъектов [3].
Методика анализа защищенности в Интернете
Считается, что наиболее эффективной системой защиты является такая, которая обладает комплексом средств защиты информации и при этом способна не только отражать угрожающие воздействия, но и прогнозировать их появление для принятия упреждающих мер [4]. Это общий принцип стратегической защиты, в отличие от наиболее распространенного подхода применения разрозненных или комплексных средств защиты для противодействия текущим угрозам безопасности информации. Определим формализованное понятие системы защиты в виде тройки (£,Р,Е), где -
реализованные механизмы защиты, Р - подсистема прогнозирования поля угроз для объекта защиты, Е - некоторая функция от ^и Р, определяющая способность механизмов защиты £ противостоять угрозам безопасности. Задача подсистемы прогнозирования угроз заключается в предупреждении возникновения возможных опасностей на заданном периоде упреждения (¿ь?2), где Ь - текущий момент времени, ¿2 - предельный момент времени, на который распространяется прогноз. Тогда, если функция Е(£,Р)>0 для " е , ¿2 ], то система защиты (£,Р,Е) является «стратегической» в смысле способности выполнения заданных функций для актуального поля угроз в течение заданного времени. Таким образом, для решения задачи построения стратегической защиты в Интернете требуется провести комплексный анализ необходимых мер и средств. Декомпозиция исходной задачи приводит нас к методике анализа защищенности в сети Интернет, представленной на рис. 1.
Рис. 1. Методика анализа защищенности в Интернете
Первым этапом анализа является определение источника угрозы. Современные информационно-телекоммуникационные сети предоставляют широкие возможности для эффективных, удаленных и анонимных атак. Поэтому важно разработать или улучшить существующие подходы к наиболее достоверному определению источника атаки. Следующей фазой, предваряющей ответные меры, согласно логике должны быть разведывательные действия относительно субъекта - источника атаки. Эти действия включают изучение противника, анализ его защищенности и уязвимых мест в защите. Здесь важна, с одной стороны, скрытность проведения подобных действий, а с другой -максимальная достоверность и полнота добываемой информации. Собрав доступную информацию, можно перейти к завершающей стадии - активному ответу, целью которого является прекращение вредоносной деятельности субъекта атаки.
Применение данной методики целесообразно не только после произошедшего инцидента, но также и при моделировании угроз со стороны потенциальных противников. Как констатируется в китайских стратагемах войны, манипуляции и обмана - друзей и союзников нет, есть только враги - явные, скрытные и потенциальные [5]. И здесь неизбежно поднимается вопрос стратегической защиты, которая предусматривает прогнозирование угроз и анализ выигрышной стратегии. Эти задачи выполняются по данной методике с помощью комплекса инструментальных средств стратегического анализа угроз. Раскроем последовательно этапы методики.
Исследование и анализ источников атак
В настоящее время актуальной задачей является не только отражение сетевой атаки (вирусной, хакерской), но и идентификация ее источника. Современные системы защиты умеют обнаруживать атаки, блокировать или обезвреживать их, а самые передовые, так называемые проактивные (proactive defense) или превентивные (intrusion prevention systems) системы защиты умеют также предотвращать некоторые типы атак, например, путем избирательной блокировки уязвимых портов. В отдельных применяемых на практике системах защиты предусмотрено обнаружение источника атаки и блокирование сетевых взаимодействий с ним [6]. В рамках конфликтного взаимодействия требуется рассмотреть проблему определение источника атаки и причин, вызвавших данные воздействия с его стороны. Задача достоверного определения источника атаки важна также потому, что в случае ошибочного определения ответные действия могут быть направлены против невиновных субъектов. При этом следует принять во внимание противодействие атакующего субъекта, затрудняющего свое обнаружение.
Атакованный субъект, достоверно определив источник атаки, проводит рекогносцировку, которая может осуществляться скрытно (пассивными методами) или частично скрытно (активными методами). Источником атаки в общем случае может быть любой сетевой узел, и следует рассматривать все варианты. Однако в связи с широким распространением службы web, число атак, обусловленных уязвимостями в программном обеспечении (ПО) веб-браузеров, имеет тенденцию к устойчивому росту в последние несколько лет [7]. Веб-сайты являются главным источником вредоносного ПО (malware), такого как троянские программы и программы-шпионы SpyWare (AdWare). В этой связи следует отметить проект Strider Honey Monkeys Exploit Detection Systems, запущенный в 2003 году исследовательским отделением компании Microsoft - лабораторией Microsoft Research в Редмонде, США. В исследовании используется система активных приманок (honeypots), путешествующих по вебу с целью обнаружения сайтов, которые являются источниками заражения вредоносным ПО. За год функционирования системы были обнаружены сотни сайтов - источников атак, а также, что особенно важно, «0-day» эксплойты, т.е. вредоносное ПО, использующее неизвестные пока широкой общественностиуязвимости [8].
На кафедре безопасных информационных технологий (БИТ) СПбГУ ИТМО проводится ряд исследования в этой области, в том числе по механизмам пассивной разведки, т.е. максимально скрытного сбора информации на основе открытых источников без привлечения внимания. Также с 2003 г. нами проводится исследование веб-сайтов российского и внегосударственного (международного) сегментов Интернета в области анализа отдельных аспектов защиты, применяемых на веб-сайтах. Результаты исследования показали, что в целом уровень безопасности в российском сегменте в три раза меньше среднего международного уровня [9].
Рис. 2. Динамика средней защищенности веб-сайтов в российском и внегосударствен-ном сегментах сети Интернет в 2003-2004 гг.
Методы активного ответа
Под активным ответом здесь понимаются целенаправленные действия по отношению к источнику атаки для прекращения вредоносного воздействия с его стороны. В зависимости от ситуации возможные адекватные меры могут включать как индивиду-
альное, так и распределенное ответное воздействие, в том числе и с участием других субъектов. Здесь, в отличие от предыдущего этапа, важна уже не скрытность, а скорость устранения угрозы.
Аналитические средства стратегического анализа угроз
Применение современных средств защиты информации носит индивидуальный, а зачастую и фрагментарный характер. Типовая схема защиты включает установку антивирусного средства для защиты от вирусных угроз, межсетевого экрана для защиты от сетевых атак и т.д. Сложившаяся ситуация представляет собой тактическую схему защиты от отдельных текущих угроз, в то время как комплексная защита должна выражать стратегическую направленность, а стратегия защиты включает прогнозирование поля угроз и адекватное реагирование. На кафедре БИТ исследования в данном направлении ведутся уже несколько лет, и на настоящий момент разработаны аналитические инструментальные комплексы «Морской бой» и «36 китайских стратагем». В много-субъектовом комплексе «Морской бой» реализованы модели рефлексивного взаимодействия субъектов, позволяющие в конкретных ситуациях выбрать оптимальную стратегию, а в комплексе «36 китайских стратагем» стратегии, применявшиеся в Древнем Китае в военном деле и политике и получившие название стратагем, формализованы в алгебре Лефевра и адаптированы для субъектов сетевых взаимодействий. Дальнейшие исследования в области стратегического анализа угроз будут расширены, в том числе и в направлении прогнозирования вирусных угроз совместно и на основе обширного опыта лаборатории Касперского, сотрудничество которой с СПбГУ ИТМО нашло отражение в организации тестовой антивирусной лаборатории на базе кафедры безопасных информационных технологий.
Заключение
С точки зрения информационной безопасности рассмотренный в настоящей статье подход к анализу защищенности в сети Интернет в соответствии с идеологией корпоративной теории информации обеспечивает стратегическую защищенность субъектов и открывает большие перспективы в создании принципиально новых средств защиты.
Литература
1. Осовецкий Л.Г., Немолочнов О.Ф., Твердый Л.В., Беляков Д.А. Основы корпоративной теории информации. СПб: СПбГУ ИТМО, 2004. 85 с.
2. Sumiyoshi Abe, Norikazu Suzuki. Omori's law in the Internet traffic. // Europhysics Letters. Bologna. 2003, №61 (6). P. 852-855.
3. Гриняев C.H. Информационная война: история, день сегодняшний и перспектива. СПб: Арлит, 2001. 240 с.
4. Расторгуев С.П. Инфицирование как способ защиты жизни. Вирусы: биологические, социальные, психические, компьютерные. М.: Изд-во агентства "Яхтсмен", 1996. 336 с.
5. Воеводин А.И. Стратагемы - стратегии войны, манипуляции, обмана, Красноярск: Кларетианум, 1999. 362 с.
6. Никишин А. Проактивная защита как она есть. // Internet URL http://www.viruslist.com/ru/analysis?pubid=170273483, 2005. 11 с.
7. Symantec Internet Security Threat Report. Trends for July 04 - December 04 // Internet URL http://www.securityfocus.com/corporate/products/tc.shtml, 2005. 96 p.
8. Yi-Min Wang, Doug Beck, Xuxian Jiang, Roussi Roussev. Automated Web Patrol with Strider HoneyMonkeys: Finding Web Sites That Exploit Browser Vulnerabilities, Microsoft Research, Redmond, 2004. 12 p.
9. Биячуев Т. А., Осовецкий Л.Г. Защищенность Web-сайтов. // Системы безопасности, 2003. №5. C. 124-126.