2015-08-12
2345
Разработка математической модели нарушителя (естественно, потенциального нарушителя) информационной системы требуется для корректного формирования количественной характеристики актуальности угрозы атаки для конкретной информационной системы. Необходимо, исходя из каких-то соображений, сформировать требование, причем – количественную меру, на основании которого та или иная потенциальная угроза атака для информационной системы будет, либо нет, отнесена к актуальной при проектировании. Естественно, к актуальным для конкретной информационной системы следует отнести те угрозы атаки, которые потенциально захочет и сможет реализовать потенциальный нарушитель.
Замечание. Под потенциально возможной атакой мы здесь понимаем атаку, технически реализуемую на информационную систему, что определяется архитектурой системы, используемыми программными и аппаратными средствами и т.д. В том числе, реализуемость атаки учитывается и при моделировании уязвимости (об этом говорили ранее), например, сложность эксплуатации уязвимости какого-либо типа, требующей создания программного средства, позволяющего эксплуатировать эту уязвимость, можно, задавая в качестве параметра интенсивности выявления уязвимостей (соответствующего типа уязвимостей) λ, интенсивности выявления только эксплуатируемых на рассматриваемом интервале времени уязвимостей, например, если говорить об ошибках программирования, то тех из них, для которых были разработаны и использовались соответствующие эксплойты.
Отметим, что получение некой количественной оценки (характеристики), используемой для формирования множества актуальных угроз атак на множестве потенциально возможных угроз атак на конкретную информационную систему - это ключевой вопрос проектирования системы защиты информационной системы. Строить защиту от всех потенциально возможным угроз атак на информационную систему, без учета потенциальной заинтересованности и возможности реализации атаки на эту систему потенциальным нарушителем, крайне избыточно и бессмысленно. Если же для определения актуальных угроз атак использовать эвристический подход - экспертные оценки, то, исходя из каких соображений, и кто будет осуществлять подобный анализ (сразу возникает вопрос о критериях (о составе и корректности) отнесения угрозы атаки к актуальным для конкретной информационной системы, вопрос квалификации эксперта, и где его найти с такой квалификацией, как следствие, вопрос доверия к подобной оценке). Попытки некой формализации подобного эвристического подхода, нет-нет и появляются в различных документах, например, в [2]. К слову сказать, любопытно оценить, насколько изменились критерии оценки, при переходе от документа [2] к документу [3] - вот она, эвристическая оценка! Кстати сказать, и данные подходы имеют свои достоинства, правда лишь когда речь идет о массовости построения систем защиты (для чего они и рассчитаны – в частности для реализации защиты персональных данных всеми операторами), но говорить о каком-либо проектировании (о построении оптимальной системы защиты для конкретной информационной системы), о профессиональном подходе в данном случае не приходится.
Модель нарушителя (естественно, имеет смысл говорить о построении модели нарушителя, применительно к конкретной системе - для различных информационных систем модель нарушителя может кардинально различаться) должна учитывать достаточно много факторов, не все из которых поддаются формализованному описанию - это, прежде всего, уровень заинтересованности в получении несанкционированного доступа к конкретной информации, это уровень квалификации злоумышленника, позволяющий ему осуществить ту или иную атаку, его информированность о выявлении и устранении различно рода уязвимостей, наличие соответствующих инструментальных средств для осуществления атаки, информированность о реализованных в конкретной информационной системе технологиях, в том числе, технологиях защиты информации, используемом программном обеспечении, регламентах и другое. Сложность учета всех этих (итак трудно формализуемых) факторов обусловливается не только их количеством и разнородностью, но и сложно формализации каких-либо зависимостей между ними (например, злоумышленник может нанять высоко квалифицированного специалиста для осуществления атаки, может приобрести соответствующие автоматизированные средства осуществления атаки - реализовать сложную атаку, не обладая при этом должной квалификацией, и т.д.). Вместе с тем, нам необходима некая интегральная оценка, причем количественная, позволяющая учесть все эти факторы, иначе невозможно приступить к проектированию. Крайне важным является и следующий момент. Атаки крайне разнородны по своей природе (локальные, сетевые, предполагающие внедрение вредоносной программы, использование ошибки в приложении, в системном драйвере и многое другое). Как следствие, необходим такой подход к оцениванию, который бы позволил ввести некую единую шкалу оценивания актуальности угроз атак, вне зависимости от их природы.
Задумаемся над следующим. В чем, в конце концов, находят свое отражение все эти разнородные факторы? Ответ на этот вопрос оказывается достаточно прост - в сложности реализуемых злоумышленником атак на конкретную информационную систему (сложность реализуемых злоумышленником атак зависит и от заинтересованности, и от квалификации, и от технических возможностей злоумышленника, от его информированности об информационной системе, и т.д.). Говоря же о конкретной информационной системе, подразумеваем, что речь идет об информационной системе, обрабатывающей определенную конкретную (содержание, объем) информацию, поскольку именно к обрабатываемой информации злоумышленником и осуществляется несанкционированный доступ. Развивая эту мысль, введем понятие подобной информационной системы, под которой будем понимать систему, обрабатывающую подобную (содержание, объем), в идеале, аналогичную, информацию. Отметим, что в той или иной мере подобная система при проектировании системы защиты конкретной информационной системы, может быть определена (всегда, с той или иной достоверностью, можно найти некий аналог).
Исходя из того, что нарушитель информационной системы может быть охарактеризован сложностью реализуемых им атак на эту систему, определимся с тем, как количественно оценить сложность атаки (сложность реализации угрозы атаки для злоумышленника). С этой целью обратимся к основам теории информации (в интересующей нас здесь ее части [20]), понимая, что для осуществления успешной атаки на уязвимость, злоумышленник должен обладать соответствующей информацией в отношении этой уязвимости - информацией о том, что такая уязвимость выявлена и не устранена, т.е. неким количеством информации в отношении уязвимости [23]. Отметим, что в отношении уязвимости нас интересует исключительно вероятность того, что уязвимость присутствует в информационной системе, как учесть сложность эксплуатации уязвимости мы рассмотрели ранее, при этом возможны два исхода – уязвимость присутствует, либо нет, как следствие, количество информации в данном случае следует рассматривать, как вероятностную меру.
В соответствии с [20], вероятностная мера количества информации I(в рассматриваемом случае - в одном сообщении) определяется по формуле:
где 
– вероятность i -го исхода.
В нашем случае неопределенность можно рассматривать в отношении любой уязвимости, которая может использоваться злоумышленником при осуществлении атаки, вероятность присутствия которой в системе определяется, как 
. Злоумышленник, для осуществления успешной атаки на уязвимость, должен обладать соответствующей информацией, в отношении присутствия уязвимости в системе, т.е. получить сведения, уменьшающие неопределенность в отношении данной уязвимости [23].
Утверждение. Сложность реализации атаки на уязвимость, обозначим ее 
, определяется по следующей формуле:
Доказательство. Данное утверждение доказывается тем, что количество информации, 
которой должен обладать злоумышленник в отношении уязвимости, а = 
, определяется следующим образом:
Например, сравним сложность реализации атаки на две уязвимости, пусть для одной из них значение характеристики 
составляет 0,7, для другой 0,99. Видим, что в первом случае 
= 1,74, во втором случае 
6,64, т.е. реализация успешной атаки на вторую уязвимость для злоумышленника в 3,82 раза сложнее, чем на первую (ему понадобится в 3,82 раза больше количества информации об уязвимости (с целью снятия неопределенности в отношении уязвимости) для осуществления успешной атаки на вторую уязвимость, чем на первую).
Замечание. Единица сложности реализации атаки на уязвимость: 
задается условием: 
, определяющим то, что уязвимость с равной вероятностью присутствует в системе, либо нет.
Утверждение. Использование метрики 
для оценки сложности реализации атаки на уязвимость корректно, = 
Доказательство. Корректность использования данной метрики для оценки сложности реализации атаки на уязвимость обосновывается использованием логарифмической функции (в нашем случае по основанию 2, поскольку у события возможны только два исхода), позволяющей соответствующим образом учесть нелинейность функции изменения сложности атаки от изменения вероятности того, что информационная система в любой момент времени готова к безопасной эксплуатации в отношении уязвимости, 
: = 
Утверждение. Поскольку атака в общем случае должна рассматриваться, как последовательность использования злоумышленником выявленных и не устраненных в системе уязвимостей, сложность реализации атаки для злоумышленника, последовательно использующей несколько уязвимостей, определяется суммарной сложностью реализации атаки на каждую используемую атакой уязвимость.
Доказательство. Если рассмотретьатаку, как последовательность использования злоумышленником выявленных и не устраненных в системе уязвимостей, имеющих характеристики 
и 
r=1,…,R, можно вести характеристику сложности реализации атаки 
, обозначим ее 
, где = , которая определяется количеством информации, которым должен обладать злоумышленник, для осуществления успешной атаки, использующей R выявленных в системе и не устраненных уязвимостей:
Используя же соответствующее свойство логарифмов, получаем:
С учетом всего сказанного, под моделью нарушителя информационной системы будем понимать [23] орграф реализованных угроз атак (в том числе, частично реализованных - отраженных на определенных этапах средствами защиты) на подобную информационную систему, вершинами которого являются уязвимости, использованные при атаке злоумышленником, характеризуемые («взвешенные») значением вероятности того, что информационная система в любой момент времени готова к безопасной эксплуатации в отношении этой уязвимости, , а дуги графа определяют последовательность использованных злоумышленником уязвимостей (направленного перехода между вершинами) при осуществлении им атаки. Т.е. в данном случае мы уже говорим о построении орграфа не потенциальных (потенциально возможных) угроз атак на конкретную информационную систему, а о построении орграфа реализованных атак на подобную информационную систему, выявленных в процессе ее эксплуатации. Данный орграф внешне полностью совпадает с орграфом потенциально возможных угроз атак (в данном случае атак, осуществленных на подобную информационную систему). Единственное отличие состоит в том, что последней вершиной в графе совершенной злоумышленником атаки может быть не ресурс (несанкционированный доступ к которому является целью осуществления атаки), а вершина, соответствующая последней использованной злоумышленником уязвимости, в случае, если атака была отражена при попытке использования злоумышленником последующей уязвимости.
Крайне важным моментом при представлении модели нарушителя орграфом является то, что данная модель позволяет не просто учесть некий набор уязвимостей, которыми захотел и смог воспользоваться злоумышленник, а учесть последовательности использования уязвимостей злоумышленником при осуществлении атаки, т.е. учесть именно сложность реализованной им атаки.
Математическая же модель нарушителя (количественная интегральная оценка заинтересованности и возможности реализации злоумышленником атаки на конкретную информационную систему) при этом определяется следующим образом:
где 
– максимальная сложность реализованных (в том числе, и отраженных) в подобной информационной системе атак, определяемая на множестве выявленных совершенных атак на подобную информационную систему в процессе ее эксплуатации 
.
Универсальность данной количественной оценки обусловливается тем, что она позволяет, количественно сравнивать между собою сложности атак, основанный на различных принципах реализации, в общем случае использующих совершенно различные уязвимости, в том числе, по своему происхождению.
К слову сказать, выявление попыток осуществления атак (в том числе, предотвращенных атак) и анализ инцидентов (успешно осуществленных атак) является прямой обязанностью администратора безопасности, в том числе, регламентируемой соответствующими руководящими документами, например [3]. С этой целью им должны использоваться средства аудита, входящие в состав системы защиты информационной системы.
