четверг, 21 июля 2011 г.

Оценка рисков нарушения ИБ (подход научный)

На досуге почитал труд, скорее всего, двух ученых: Радько Н.М. и Скобелев И.О. "Риск-модели информационно-телекоммуникационных систем (ИТКС) при реализации угроз удаленного и непосредственного доступа". Книгу можно купить тут.
Так как подход является научным и с первого раза можно не понять о чем идет речь, то я постараюсь перевести всем понятный язык. В книге есть много интересных моментов, начиная от классификации угроз и заканчивая возможностью управления рисками с помощью существующей нормативно-методической базы ФСТЭК России по защите конфиденциальной информации. Сферой моих интересов является оценка рисков ИБ поэтому только о ней я и буду говорить.

Что предлагают авторы:
1. Описание информационно-телекоммуникационной системы.
Фактически, необходимо выбрать к какому из предлагаемых авторами типов ИТКС относится Ваша система. Выделяют 5-ть типов ИТКС: изолированная - локальная сеть без выхода в сеть интернет и обрабатывающая данные "секретного" (вообще говоря секретная - это тип гос тайны ;), поэтому не совсем понял этот термин) характера; корпоративная государственная - обрабатывает гос тайну; корпоративная коммерческая - обрабатывает коммерческую тайну; управляющая - система удаленного управления технологическими процессами; справочная - система, которая обрабатывает пользовательские запросы. Каждый из пяти типов может иметь различную структуру: односегментную, многосегментную и распределенную. Не могу не отметить таблички "актуальные виды угроз для исследуемых типов ИТКС", например для изолированной ИТКС актуальной является только угроза конфиденциальности!? а как же угрозы непосредственного доступа внутренними нарушителями с изменением информации в целях скрыть или подменить результаты исследования (для примера с научно-исследовательскими центрами).

2. Определение угроз удаленного и непосредственного доступа.
Одной из составляющей угроз в предлагаемой модели является способ НСД (атака), поэтому в дальнейшем авторы проводят классификацию угроз в разрезе атак непосредственного и удаленного доступа. Из классификации можно четко выделить три класса атак непосредственного доступа (вредоносное ПО, взлом системы идентификации и аутентификации, повышение привилегий пользователя) и 7 классов угроз удаленного доступа (если Вы возьмете базовую модель угроз ПДн в ИСПДн ФСТЭК России, то все эти сетевые угрозы Вы там найдете, внедрение ложного объекта, ложного DNS, анирование и т.д.).

3. Определение видов ущерба от реализации атак.
Для меня, самый непонятный и сомнительный этап. Авторы, в своей модели, принимают за величину ущерба - количество успешно реализованных атак. Для систем в которых есть статистика по таким атакам проблем не возникнет, а вот если такой статистики нет или система  вновь создаваемая - что тогда? Ответа я не нашел :(.

4. Определение взаимосвязи между атаками и их отношения к видам ущерба.
Некоторые атаки могут быть одним из звеньев в крупномасштабной атаке, пример от авторов, сканирование портов не является атакой наносящей ущерб, но является важнейшей составляющей в реализации различных удаленных атак.

5. Определение вероятности реализации атак.
Вероятность реализации атаки зависит от интенсивности ее возникновения, т.е. среднего количества атак на интервале времени. Если есть статистика по атакам, то все рассчитывается хорошо, если нет статистики, то видимо, надо привлекать экспертов для оценки возможного количества атак данного типа в единицу времени (это мои соображения :), так как авторы об этом умолчали). Конечное значение интенсивности атаки авторы предлагают рассчитывать с учетом некого коэффициента активности злоумышленника, который определяется на основании таких характеристик как: опыт, навыки, знание об объекте и т.д. Шкалу такой активности я не нашел, видимо авторы оставляют ее разработку на усмотрение конкретной организации. В тех случаях когда атаки взаимосвязаны между собой, то итоговая интенсивность считается как интенсивность реализации атаки + сумма интенсивностей взаимосвязанных атак. 
Подводя итог, по формуле представленной в разделе 5 рассчитываем вероятность реализации атак на определенном временном интервале + авторы определяют закон распределения вероятности реализации атак и строят графики плотности распределения атак для различных примеров.

6. Расчет рисков реализации угроз непосредственного и удаленного доступа к элементам информационно-телекоммуникационной системы.
Представлены функции распределения ущерба для различных классов атак и в целом по угрозам нарушения конфиденциальности целостности и доступности. Смотрите графики и делайте выводы. Единственное, что меня смущает, что эта оценка для ИТКС без учета существующих средств защиты, а на практике таких к сожалению практически не бывает ;). Да и шкалы оценки полученных результатов риска нет, например риск 1,7 - количество успешно реализованных атак несанкционированного входа в систему с правами легального пользователя - 18. Возникает вопрос - это хорошо или плохо? А если количество успешных атак 5 или 10 или 30?! Все эти вопросы остаются за кадром.

7. Расчет рисков реализации угроз, наносящих различный ущерб.
Расчет рисков по этапу 7 основан на математическом подходе моделирования процессов сетей Петри-Маркова. Основной смысл закладываемый авторами в том, что существует три состояния атаки: действие атаки не началось, действие атаки началось и действие атаки закончилось. Далее, применяя теорию сетей, происходит моделирование и расчет рисков нарушения ИБ в ИТКС. 

Преимущества:
- приведена актуальная классификация угроз удаленного и непосредственного доступа;
- в процессе оценки рисков учитывается взаимосвязь между атаками;
- введен коэффициент активности нарушителя;
- используются математические методы моделирования процессов сетей Петри-Маркова.

Недостатки:
- оценка интенсивностей возникновения угроз, в случае отсутствия накопленной статистики невозможна, что делает настоящий подход не более чем грамотный теоретический материал;
- отсутствие шкалы для оценки коэффициента активности возлагает дополнительные требования к знаниям специалиста, работающего с настоящей методикой;
- хотелось бы увидеть настоящий подход в действие на реальном объекте и посмотреть на полученные результаты, это я к вопросу об адекватности модели :) (войти несанкционированно в систему 30 раз - это конечно сильно :));
- отсутствие автоматизированной системы, реализующей настоящий подход, существенно затрудняет его использование на практике;
- ущерб - это количество успешно реализованных атак!? Как-то это не вписывается в классическое понимание :).

PS: книга интересная и помимо подхода к оценки рисков включает довольно большое количество интересного материала с иллюстрациями и практическими примерами различных атак. Так же в книге есть раздел по выбору и оценки средств защиты, который заслуживает отдельного внимания ;). 

2 комментария:

Ригель комментирует...

Угроза отключения электропитания, скажем, есть?

Сергей Ерохин комментирует...

Нет, и еще много чего нет. Авторы рассматривают только два типа угроз: непосредственного доступа к/в ОС и удаленного.