Моделирование эксплуатационных характеристик безопасности с учетом целей реализуемых атак на информационную систему

Нарушение конфиденциальности информации

Особенности объекта и задача моделирования. Рассмотрим особенности объекта моделирования реализуемости угроз атак, направленных на нарушение конфиденциальности обрабатываемой информации. Здесь следует рассматривать две в общем случае различные задачи моделирования.

С одной стороны, это моделирование реализуемости угрозы атаки на ИС. С позиций данной задачи моделирования в качестве объекта моделирования имеем собственно ИС — в данном случае это система с отказами и восстановлениями безопасности информации.

Реализация угрозы атаки, приведшая к нарушению конфиденциальности (хищение) обрабатываемой информации, не приведет к тому, что ИС будет выведена из эксплуатации. Система будет далее эксплуатироваться. Как следствие, моделирование реализуемости угрозы атаки применительно к ИС здесь ничем не отличается от рассмотренного ранее подхода к моделированию в общем случае.

Применительно же к обрабатываемой в ИС информации, реализация потенциальным нарушителем угрозы атаки может рассматриваться как фатальный отказ безопасности — нарушение конфиденциальности обрабатываемой на момент реализации атаки информации, поскольку в результате подобной атаки защищаемая информация будет похищена. В данном смысле уже нельзя говорить о восстанавливаемости безопасности информации, о восстанавливаемости конфиденциальности похищенных данных.

• Под эксплуатационной безопасностью обрабатываемой информации

будем понимать свойство ИС сохранять во времени в установленных пределах значения характеристики конфиденциальности информации в условиях реализации атак на ИС потенциальным нарушителем в процессе ее эксплуатации.

При этом очень важно отметить то, что возникновение в системе первой же реализуемой реальной угрозы атаки приведет к фатальному отказу. Другими словами, в этом смысле реализуемость и реализация угрозы атаки могут рассматриваться как идентичные понятия.

Следствие. В рамках моделирования характеристики конфиденциальности обрабатываемой информации следует моделировать реализуемость угроз атак с возникновением фатального отказа безопасности системы, определяющего нарушение конфиденциальности обрабатываемой информации, при возникновении в ней первой же реализуемой реальной угрозы атаки.

Моделирование реализуемости угроз атак, направленных на нарушение конфиденциальности обрабатываемой информации. Моделирование фатального отказа безопасности (отказа безопасности информации) может быть проведено с использованием в марковских моделях реализуемости угроз атак поглощающих состояний — состояний, из которых нет перехода. Попадая в такое состояние, случайный процесс завершается. Это уже задача моделирования невосстанавливаемой системы.

Принципиальным отличием модели в данном случае будет отсутствие стационарного режима. Как следствие, вероятности состояний определить не удастся, а искомой характеристикой безопасности уже будет временная эксплуатационная характеристика — среднее время наработки системы до отказа (до первого и единственного отказа, поскольку в данном случае он интерпретируется как фатальный — конфиденциальность обрабатываемой информации нарушена и не может быть восстановлена).

Проиллюстрируем моделирование реализуемости угрозы атаки в данном случае (моделирование системы с фатальным отказом) на примере построения счетной модели системы, в которой угроза атаки создается угрозами уязвимостей одного типа, с двумя обслуживающими приборами и накопителем неограниченной емкости (рис. 8.14). Заметим, что, поскольку модель

Модель реализуемости угрозы атаки

Рис. 8.14. Модель реализуемости угрозы атаки, направленной на нарушение конфиденциальности обрабатываемой информации счетная, состояния не объединены, моделируется реализуемость угрозы уязвимостей, а не отказа безопасности, создаваемой этими угрозами уязвимостей.

В модели, приведенной на рис. 8.14, использованы следующие обозначения: Si состояние, характеризующее присутствие в системе одновременно i реальных угроз уязвимостей, ни на одну из которых потенциальный нарушитель не готов реализовать успешную атаку (они не будут реализованы); SA поглощающее состояние реализуемости угрозы атаки, направленной на нарушение конфиденциальности обрабатываемой информации (состояние фатального отказа), при переходе системы в это состояние процесс завершается; Р — вероятность реализации потенциальным нарушителем атаки на возникающую реальную угрозу уязвимостей (характеристика опасности потенциального нарушителя для ИС).

Как видим, моделируемая система — это система с отказами и восстановлениями безопасности ИС в отношении не реализуемых потенциальным нарушителем угроз уязвимостей и одновременно система с отказами (не восстанавливаемая) в отношении реализуемой угрозы атаки. При этом происходит нарушение конфиденциальности обрабатываемой информации.

Как отмечали ранее, для решения задачи моделирования, т.е. для вычисления среднего времени пребывания системы в каждом z-м состояний Tjf в системе уравнений Колмогорова нужно положить нулю все производные Р'(Р' = 0) кроме, например, Р0 (считаем, что в начальный момент вероятность первого состояния Р{) = 1), и кроме уравнения для поглощающего состояния, левая часть которого должна быть равна единице. В правых частях уравнений вместо Р{ подставляются Tjf и относительно них решается система алгебраических уравнений.

С учетом сказанного для рассматриваемого примера применительно к модели, приведенной на рис. 8.14, имеем

Рассчитав же значения Tt и просуммировав их для состояний, не являющихся поглощающими S-, вычислим среднее время Гдо наработки до отказа безопасности (фатальный отказ) ИС в отношении угрозы атаки, направленной на нарушение конфиденциальности обрабатываемой информации.

Как ранее обосновали, среднее время наработки до отказа безопасности должно моделироваться как математическое ожидание средних времен наработки до отказа безопасности для всех возможных вариантов задания начальных условий на полной группе несовместных событий — состояний системы. Это обусловливается особенностью объекта моделирования — система может быть введена в эксплуатацию при любом числе присутствующих в ней реальных угроз уязвимостей (атак).

С этой целью требуется определить вероятности введения в эксплуатацию ИС при тех или иных начальных условиях, т.е. вероятности того, что система будет введена в эксплуатацию в том или ином возможном состоянии.

Данные вероятности можно определить как стационарные вероятности для соответствующей восстанавливаемой системы, при этом в данном случае уже должна определяться эксплуатационная вероятностная характеристика безопасности — моделироваться реализуемость угрозы атаки. Как это сделать, мы рассмотрели в этой главе ранее.

Проиллюстрируем на примере моделирование реализуемости угрозы атаки (фатального отказа) с учетом применения рассмотренного ранее аналитического метода преобразования счетной модели в корректную конечную модель.

Используя сформулированное ранее правило объединения состояний для построения корректной конечной модели (в данном случае реализуемости угрозы атаки, направленной на нарушение конфиденциальности обрабатываемой информации), преобразуем исходную счетную модель (рис. 8.15, а, рассматриваем модель с одним абстрактным обслуживающим прибором, поскольку моделируем актуальность угрозы атаки) в корректную конечную (рис. 8.15, б). В результате подобного преобразования здесь объединенное состояние системы 50 характеризует отсутствие в системе реализуемых уязвимостей (в данном случае реализуемых реальных угроз атак, так как угроза атаки создается угрозами уязвимостей одного типа).

Построение конечной модели реализуемости угрозы атаки, направленной на нарушение конфиденциальности информации

Рис. 8.15. Построение конечной модели реализуемости угрозы атаки, направленной на нарушение конфиденциальности информации:

а — исходная счетная модель; б — корректная конечная модель

Для модели, приведенной на рис. 8.15, б можем записать: откуда

Замечание. На этом примере можем наглядно показать, что левая часть уравнения для поглощающего состояния должна быть равна единице. Построим с учетом сказанного уравнение для поглощающего состояния, оно будет иметь вид

из которого корректно определяется Т0.

Физический смысл полученного результата достаточно очевиден. Исследуемая модель может быть охарактеризована следующим образом - первая же возникающая в системе реализуемая реальная угроза атаки, в том случае, если система не находится в состоянии отказа, приводит к фатальному отказу безопасности — к нарушению конфиденциальности обрабатываемой информации.

Полученный результат полностью соответствует экспоненциальному (или показательному) закону надежности, который на практике применяется для моделирования надежности невосстанавливаемых систем [6|.

Экспоненциальный закон надежности справедлив для описания надежности систем при постоянной интенсивности отказов, при этом предполагается, что все элементы имеют экспоненциальное распределение отказов, а их поток отказов является простейшим; применим в условиях, при которых имеют место лишь случайные отказы.

Экспоненциальный закон надежности формулируется следующим образом. Если интенсивность отказов системы постоянна, обозначим Ха = (t) = const, то вероятность нахождения системы в течение времени t в исправном состоянии P(t):

Соответственно, вероятность отказа определяется, как 1 - P(t). Интересующая же нас характеристика среднего времени наработки системы до отказа Гдо:

Таким образом, для определения искомой характеристики Гдо требуется определить параметр А,0 — интенсивность возникновения в системе отказов.

В эксплуатацию система может быть введена как в состоянии S0, так и в состоянии Sр т.е. при наличии в ней любого количества реальных угроз уязвимостей, в том числе угроз атак, что, как отмечали ранее, является особенностью объекта моделирования. Это никак не связано с фатальным отказом, это эксплуатационные характеристики ИС, которые должны учитываться при моделировании фатального отказа.

Вероятность (стационарная вероятность) того, что система вводится в эксплуатацию, находясь в состоянии 50, определяется (этот вопрос рассматривали ранее) как 1 - РХ/х. Исходя из того, что в случае ввода системы в эксплуатацию в состоянии J9, атака на нее осуществляется мгновенно (мы моделируем реализуемость угрозы атаки), характеристика Гдо, рассчитываемая как соответствующее математическое ожидание, определяется для этой модели следующим образом:

Замечание. С вероятностью PX/i имеем Гдо = 0.

Изложенный подход к моделированию позволяет построить модель реализуемости угрозы атаки, направленной на нарушение конфиденциальности обрабатываемой информации, любой сложности. Приведем пример моделирования системы, угроза атаки (угроза фатального отказа безопасности) которой создается угрозами уязвимостей двух типов. Поскольку моделирование проводим с целью оценки актуальности угрозы атаки, рассматриваем при построении модели два абстрактных прибора, каждый из которых устраняет уязвимости соответствующего типа.

Получение искомой модели при данных условиях из соответствующей модели реализуемости угрозы атаки приведено на рис. 8.16.

Построения модели реализуемости угрозы атаки, направленной на нарушение конфиденциальности информации с созданием угрозы атаки угрозами уязвимостей двух типов

Рис. 8.16. Построения модели реализуемости угрозы атаки, направленной на нарушение конфиденциальности информации с созданием угрозы атаки угрозами уязвимостей двух типов:

а — исходная модель; 6 — преобразованная модель Фатальный отказ (нарушение конфиденциальности обрабатываемой информации) в данной модели характеризует состояние Sx.

В данном случае система уже может вводиться в эксплуатацию, находясь в одном из девяти состояний. При вводе системы в эксплуатацию в состоянии S.x стационарная вероятность Ра (для ее определения используем изложенный ранее подход к упрощению задачи моделирования) равна

имеем Тло = 0. Со стационарной вероятностью Р00, равной

система вводится в эксплуатацию в состоянии 500.

Очевидно, что максимальное значение характеристики Тло (обозначим как Гдотах) достигается при условии Р00 = 1.

Под полностью безопасным состоянием системы будем понимать такое ее состояние, при котором в системе отсутствуют уязвимости (реальные угрозы уязвимостей).

Если система вводится в эксплуатацию в полностью безопасном состоянии, т.е. в состоянии S00 (см. рис. 8.16), то для нее справедливо Р00 = 1, как следствие: Тло = ГчйШах.

Сказанное позволяет сформулировать следующее требование к вводу систем в эксплуатацию.

Требование. Информационная система должна вводиться в эксплуатацию в полностью безопасном состоянии, при отсутствии в ней уязвимостей.

Однако, как видим, даже при выполнении данного важнейшего требования задача моделирования остается весьма трудоемкой, так как требует составления и решения соответствующей (при выполнении рассмотренного требования уже только одной) системы линейных уравнений, которая на практике может характеризоваться большой размерностью.

Рассмотрим возможность упрощения данной задачи моделирования. Она основывается на отличительной особенности объекта моделирования, состоящей в том, что случайные события возникновения и устранения уязвимостей никак не связаны с вводом ИС в эксплуатацию. Применительно к ним можно и следует рассматривать стационарный режим функционирования. Это позволяет сделать предположение о том, что если ИС (с учетом данной особенности объекта моделирования) вводится в эксплуатацию в полностью безопасном состоянии, то среднее время ее наработки до отказа безопасности совпадет со средним временем между отказами безопасности соответствующей восстанавливаемой системы.

Подтвердим данное предположение следующим образом. Построим для модели невосстанавливаемой системы (рис. 8.17) соответствующее уравнение для поглощающего состояния с учетом ее соответствующей интерпретации, рассмотренной ранее, — состояния системы взвешены соответствующим временем пребывания в них системы в процессе некоторого времени ее эксплуатации Тэ.

Модель невосстанавливаемой системы

Рис. 8.17. Модель невосстанавливаемой системы

Это уравнение, левая часть которого равна единице, представим в следующем виде:

В данном уравнении вероятности — это стационарные вероятности, определяемые как доли времени пребывания системы в соответствующих состояниях восстанавливаемой системы. Как выше отмечали, случайные событий возникновения и устранения уязвимостей никак не связаны с вводом ИС в эксплуатацию. Перемножением такой стационарной вероятности на время Тэ определяем в представленном уравнении время нахождения системы в соответствующем состоянии в течение некоторого рассматриваемого времени ее эксплуатации Тл.

Умножением этой величины на интенсивность X определяем среднее число возникших за это время уязвимостей, применительно к рассматриваемому состоянию.

Поскольку моделируем невосстапавливаемую систему, их суммарное значение, переводящее систему в состояние 5а, как показали ранее, должно равняться единице.

Время Тэ для модели, представленной на рис. 8.17, определяется следующим образом:

где Ti} это время пребывания системы в соответствующих состояниях Ti}.

Очевидно, что время Тэ это, с учетом всего сказанного, среднее время наработки системы до отказа безопасности (моделируется невосстанавли- ваемая система), т.е. Тэ = Гдо. Преобразуем соответствующим образом анализируемое уравнение:

решая которое, получим

Напомним, как мы ранее моделировали среднее время наработки между отказами безопасности восстанавливаемой системы Г0уа:

где Ха интенсивность возникновения в системе отказов безопасности, определяемая следующим образом:

Как видим, характеристики ^Ova и Гдо совпадают.

Сказанное позволяет сделать следующий вывод.

Вывод. Эксплуатационную характеристику «среднее время наработки системы до отказа безопасности невосстанавливаемой системы», применительно к моделированию характеристики нарушения конфиденциальности обрабатываемой информации — наработки системы до возникновения события реализуемости (а в данном случае, как ранее показали, и реализации) на нее успешной атаки потенциальным нарушителем, при условии, что ИС вводится в эксплуатацию в полностью безопасном состоянии, можно моделировать как характеристику «среднее время между отказами эксплуатационной безопасности» соответствующей ей восстанавливаемой системы.

Это обусловливается тем, что в данном случае нет так называемого периода приработки, рассматривается период нормальной работы системы |6|.

Теперь, поскольку речь здесь идет о нарушении конфиденциальности обрабатываемой информации, кратко рассмотрим вопрос моделирования реализуемой угрозы атаки при условии использования в ИС криитографического средства ЗИ. Подробное рассмотрение этого вопроса выходит за рамки данного курса, так как криптографическая ЗИ — это самостоятельная научная дисциплина, решающая совершенно иные задачи с использованием иного математического аппарата.

Принципиальный момент практического использования средств криптографической защиты обрабатываемой информации состоит в том, что она в общем случае реализуется только при хранении и передаче информации. Обрабатывается же информация в незашифрованном виде (хранится в оперативной памяти, в буфере обмена, вводится с клавиатуры, отображается на дисплее и т.д.). Как следствие, в данном случае присутствуют реализуемые угрозы атак, направленных на нарушение конфиденциальности информации, находящейся в системе, как в зашифрованном, так и в незашифрованном виде. Это угрозы совершенно различных атак.

Применительно к моделированию реализуемости угроз атак, направленных на нарушение конфиденциальности информации, находящейся в системе в незашифрованном виде, искомой является характеристика Тло, определяемая так, как это было описано выше. Применительно же к моделированию реализуемости угроз атак, направленных на нарушение конфиденциальности информации, находящейся в системе в зашифрованном виде, аналогично тому, как это было описано выше, определяется характеристика Гдо, но для определения среднего времени до нарушения конфиденциальности информации значение Тяо увеличивается на значение среднего времени расшифрования похищенной информации. Естественно, что использование в ИС средств криптографической ЗИ предполагает обязательное использование и средств ЗИ от НСД. При этом в первую очередь они должны нейтрализовать угрозы атак, направленных на нарушение конфиденциальности информации, находящейся в системе в незашифрованном виде.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >