Методы и модели оценки уязвимости информации кратко

Обновлено: 06.07.2024

В приведенной таблице D.2 даны примеры уязвимостей в различных сферах безопасности, включая примеры угроз, которые могут использовать эти уязвимости. Эти перечни могут быть полезными во время оценки угроз и уязвимостей для определения сценария значимого инцидента. Следует подчеркнуть, что в некоторых случаях эти уязвимости могут использоваться и другими угрозами.

Таблица D.1 - Примеры уязвимостей и угроз

Недостаточное техническое обслуживание/неправильная установка носителей данных

Нарушение ремонтопригодности информационных систем

Отсутствие программ периодической замены

Ухудшение состояния носителей данных

Чувствительность к влажности, пыли, загрязнению

Образование пыли, коррозия, замерзание

Чувствительность к электромагнитному излучению

Отсутствие эффективного контроля изменений конфигурации

Ошибка в использовании

Чувствительность к колебаниям напряжения

Чувствительность к колебаниям температуры

Хищение носителей данных или документов

Небрежное (безответственное) размещение

Хищение носителей данных или документов

Хищение носителей данных или документов

Отсутствующее или недостаточное тестирование программных средств

Широко известные дефекты программных средств

Отсутствие "завершения сеанса" при уходе с рабочего места

Списание или повторное использование носителей данных без надлежащего удаления информации

Отсутствие "следов" аудита

Неверное распределение прав доступа

Широко распределенное программное обеспечение

Применение прикладных программ для несоответствующих, с точки зрения времени, данных

Сложный пользовательский интерфейс

Ошибка в использовании

Ошибка в использовании

Неправильные параметры установки

Ошибка в использовании

Ошибка в использовании

Отсутствие механизмов идентификации и аутентификации, таких, как аутентификация пользователей

Незащищенные таблицы паролей

Плохой менеджмент паролей

Активизация ненужных сервисов

Нелегальная обработка данных

Недоработанное или новое программное обеспечение

Сбой программных средств

Нечеткие или неполные спецификации для разработчиков

Сбой программных средств

Отсутствие эффективного контроля изменений

Сбой программных средств

Неконтролируемая загрузка и использование программных средств

Тайные действия с программными средствами

Отсутствие резервных копий

Тайные действия с программными средствами

Отсутствие физической защиты здания, дверей и окон

Хищение носителей данных или документов

Отказ в обеспечении отчетов по менеджменту

Неавторизованное использование оборудования

Отказ в осуществлении действий

Незащищенные линии связи

Незащищенный чувствительный трафик

Плохая разводка кабелей

Отказ телекоммуникационного оборудования

Единая точка отказа

Отказ телекоммуникационного оборудования

Отсутствие идентификации и аутентификации отправителя и получателя

Ненадежная сетевая архитектура

Передача паролей в незашифрованном виде

Неадекватный сетевой менеджмент (устойчивость маршрутизации)

Насыщение информационной системы

Незащищенные соединения сети общего пользования

Неавторизованное использование оборудования

Нарушение работоспособности персонала

Неадекватные процедуры набора персонала

Разрушение оборудования или носителей данных

Недостаточное осознание безопасности

Ошибка в использовании

Ненадлежащее использование программных и аппаратных средств

Ошибка в использовании

Отсутствие осведомленности о безопасности

Ошибка в использовании

Отсутствие механизмов мониторинга

Нелегальная обработка данных

Безнадзорная работа внешнего персонала или персонала организации, занимающегося уборкой

Хищение носителей данных или документов

Неавторизованное использование оборудования

Место функционирования организации

Неадекватное или небрежное использование физического управления доступом к зданиям и помещениям

Ухудшение состояния носителей данных

Размещение в местности, предрасположенной к наводнениям

Нестабильная электрическая сеть

Отсутствие физической защиты здания, дверей и окон

Отсутствие формальной процедуры для регистрации и снятия с регистрации пользователей

Отсутствие формального процесса для пересмотра (надзора) прав доступа

Отсутствие или недостаточные условия (касающиеся безопасности) в договорах с клиентами и/или третьими сторонами

Отсутствие процедуры, касающейся мониторинга средств обработки информации

Отсутствие регулярных аудитов (надзора)

Отсутствие процедур идентификации и оценки риска

Неадекватная ответственность за техническое обслуживание

Нарушение обслуживания информационной системы

Отсутствующее или неудовлетворительное соглашение об уровне сервиса

Нарушение обслуживания информационной системы

Отсутствие процедуры контроля изменений

Нарушение обслуживания информационной системы

Отсутствие формальной процедуры контроля документации, касающейся системы менеджмента ИБ

Отсутствие формальной процедуры надзора за записями системы менеджмента ИБ

Отсутствие формального процесса санкционирования общедоступной информации

Данные из ненадежных источников

Отсутствие надлежащего распределения обязанностей по обеспечению информационной безопасности

Отказ в осуществлении деятельности

Отсутствие планов обеспечения непрерывности бизнеса

Отсутствие политики по использованию электронной почты

Ошибка в использовании

Отсутствие процедур введения программного обеспечения в операционные системы

Ошибка в использовании

Отсутствие записей в журнале регистрации администратора и оператора

Ошибка в использовании

Отсутствие процедур для обработки секретной

Ошибка в использовании

Отсутствие обязанностей по обеспечению информационной безопасности в должностных инструкциях

Ошибка в использовании

Отсутствие или недостаточные условия (касающиеся информационной безопасности) в договорах со служащими

Нелегальная обработка данных

Отсутствие оговоренного дисциплинарного процесса в случае инцидента безопасности

Отсутствие формальной политики по использованию портативных компьютеров

Отсутствие контроля над активами, находящимися за пределами организации

Отсутствующая или неудовлетворительная политика "чистого стола и пустого экрана"

Хищение носителей информации или документов

Отсутствие авторизации средств обработки информации

Хищение носителей информации или документов

Отсутствие установленных механизмов мониторинга нарушений безопасности

Хищение носителей информации или документов

Отсутствие регулярных проверок, проводимых

Неавторизованное использование оборудования

Неавторизованное использование оборудования

Отсутствие процедур, обеспечивающих соблюдение прав на интеллектуальную собственность

Использование контрафактных или копированных программных средств

D.2 Методы оценки технических уязвимостей

Профилактические методы, такие, как тестирование информационной системы, могут быть использованы для эффективного выявления уязвимостей в зависимости от критичности системы информационных и телекоммуникационных технологий (ИКТ) и доступных ресурсов (например, выделенных фондов, доступной технологии, лиц, имеющих опыт проведения тестирования). Методы тестирования включают:

- автоматизированные инструментальные средства поиска уязвимостей;

- тестирование и оценка безопасности;

- тестирование на проникновение;

Автоматизированные инструментальные средства поиска уязвимостей используются для просмотра группы хостов или сети на предмет наличия известных уязвимых сервисов (например, система разрешает использование анонимного протокола передачи файлов, ретрансляцию отправленной почты). Следует, однако, отметить, что некоторые из потенциальных уязвимостей, идентифицированных автоматизированными инструментальными средствами поиска уязвимостей, могут не представлять реальных уязвимостей в контексте системной среды. Например, некоторые из этих средств поиска определяют потенциальные уязвимости, не учитывая среду и требования сайта. Некоторые из уязвимостей, отмеченных автоматизированными инструментальными средствами поиска уязвимостей, могут в действительности не быть уязвимостями для конкретного сайта, а быть сконфигурированными таким образом, как этого требует среда. Таким образом, этот метод тестирования может давать ошибочные результаты исследования.

Другим методом, который может использоваться для выявления уязвимостей системы ИКТ во время процесса оценки риска, является тестирование и оценка безопасности. Он включает в себя разработку и осуществление плана тестирования (например, сценарий тестирования, процедуры тестирования и ожидаемые результаты тестирования). Цель тестирования безопасности системы состоит в тестировании эффективности мер и средств контроля и управления безопасности системы ИКТ, которые были применены в операционной среде. Задача заключается в том, чтобы удостовериться, что применяющиеся меры и средства контроля и управления соответствуют утвержденной спецификации безопасности для программных и аппаратных средств, обеспечивают реализацию политики безопасности организации или соответствуют отраслевым стандартам.

Тестирование на проникновение может использоваться как дополнение к проверке мер и средств контроля и управления безопасности и обеспечение защиты различных аспектов системы ИКТ. Когда тестирование на проникновение используется в процессе оценки риска, оно может применяться для оценки способности системы ИКТ противостоять умышленным попыткам обойти защиту системы. Его задача состоит в тестировании системы ИКТ с точки зрения источника угрозы и выявлении потенциальных сбоев в структурах защиты системы ИКТ.

Проверка кодов является наиболее тщательным (но также и самым дорогостоящим) способом оценки уязвимостей.

Результаты этих видов тестирования безопасности помогут выявить уязвимости системы.

Важно отметить, что методы и средства тестирования на проникновение могут давать ложные результаты, если уязвимость не была успешно использована. Чтобы использовать конкретную уязвимость, нужно знать точную систему/приложение/исправления, установленные на тестируемой системе. Если во время тестирования эти данные неизвестны, успешное использование конкретной уязвимости может быть невозможным (например, достичь удаленного обратного соединения), однако по-прежнему возможно взломать или перезапустить тестируемый процесс или систему. В таком случае тестируемый объект тоже должен считаться уязвимым.

image

Целью документа является освещение основных понятий в отношении оценки уязвимости, читатель должен обладать некоторыми базовыми техническими знаниями в области информационных технологий для того, чтобы понять содержание статьи, тем не менее, настоящий документ не углубляется в глубокие технические познания.

Что это?

Риск безопасности классифицируется как уязвимость, если признаётся, что в результате его наличия можно совершить атаку. Риск безопасности в совокупности с одним или более известных примеров работоспособных и полностью завершённых атак, классифицируется как эксплойт. Конструкции на языках программирования, которые сложно правильно использовать, могут являться крупным источником уязвимостей.

Оценка уязвимости может быть выполнена по отношению ко многим объектам, не только компьютерным системам/сетям. Например, физические здания могут быть подвергнуты оценке, по результатам которой будет понятно, какие части здания имеют изъяны. Если взломщик может обойти охранника у парадной двери и проникнуть внутрь здания через заднюю дверь – это, определённо, уязвимость. Если он на самом деле сделает это – это эксплойт. Физическая безопасность – один из наиболее важных аспектов, которым нужно придавать значение. Если взломщик получит физический доступ к серверу – сервер уже больше не ваш! Потому что, если сервер украден, атакующему не нужно обходить IDS (система обнаружения вторжений), не нужно обходить IPS (система предотвращения вторжений), не нужно думать над способом, с помощью которого можно передать 10 ТБ данных, – они уже здесь, на сервере. Полное шифрование диска может помочь, но обычно его не используют на серверах. Убедитесь достоверно в том, что на всех ваших ноутбуках проведено FDE (Full Disk Encryption, полное шифрование диска), также известное как WDE (Whole Disk Encryption, шифрование диска целиком).

Достаточно обнаружить одну критическую уязвимость, и вся сеть будет подвержена риску, это как если одно звено в цепи порвано, и значит, порвана вся цепь:


Рисунок 1: Результат единственной критической уязвимости

Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким. [1]

Отчётность

Способность создавать отчёты очень важна для администраторов в ориентированном на документацию бизнесе, но вы должны не только быть способными выполнять свою работу, но также предоставлять письменное подтверждение того, каким образом это было сделано. В самом деле, опрошенные в исследовании Sunbelt показали, что способность составления гибких отчётов с расставленными приоритетами – их преимущество номер один.

Результатом сканирования могут являться сотни и тысячи результатов, но эти данные невозможно использовать до тех пор, пока они не будут преобразованы в такой вид, который можно будет воспринять. Это означает, что в идеале вы должны иметь возможность сортировать и делать перекрёстные ссылки на данные, экспортировать их в другие программы и форматы (такие как CSV, HTML, XML, MHT, MDB, Excel, Word и/или Lotus), просматривать их различными способами, а также легко сравнивать их с результатами предыдущих сканирований.

Всесторонние, гибкие и настраиваемые отчёты будут использоваться в вашем отделе для предоставления рекомендаций по техническим шагам, которые вы должны предпринять, но это ещё не всё. Хорошие отчёты также предоставляют вам инструменты, которые понадобятся для оправдания затрат на обеспечение необходимых мер безопасности перед руководством.

Почему оценка уязвимости?

Организации имеют огромные возможности по использованию информационных технологий для увеличения производительности. Обеспечение защиты информации и систем передачи информации будет необходимым фактором для получения преимуществ от использования дополнительных возможностей для увеличения коммуникабельности, скорости и информационных потоков. Тем не менее, никакие меры обеспечения безопасности не будут гарантировать полную защиту от рисков в окружении, в котором производится работа. В сущности, многим организациям потребуется предоставлять более лёгкий доступ пользователям к частям их информационных систем, вследствие чего возрастает потенциальная опасность. Ошибки администратора, например, являются одной из основных причин уязвимостей, которые могут эксплуатироваться начинающим хакером, при этом неважно, находится он вне организации или является инсайдером. Обычное использование инструментов анализа уязвимости наряду с непосредственным реагированием на обнаруженные проблемы снижают этот риск. Из этого следует, что применение оценки уязвимости должно быть стандартным элементом политики безопасности каждого предприятия. Оценка уязвимости используется для того, чтобы обнаружить, какие системы имеют недостатки и произвести соответствующие действия для снижения риска. Некоторые промышленные стандарты, такие как DSS PCI, обязывают организации производить оценки уязвимости их сетей. Давайте кратко посмотрим, что такое соответствие DSS PCI:

Соответствие DSS PCI

PCI DSS расшифровывается как Payment Card Industry Data Security Standard (Стандарт безопасности информации в индустрии платёжных карточек). Этот стандарт был разработан лидирующими компаниями, производящими кредитные карточки для того, чтобы помочь защитить приватные данные кредитных карт, принадлежащих клиентам. До этого каждая компания-производитель кредитных карт имела похожий стандарт защиты данных клиентов на стороне продавца. Любая компания, которая совершает транзакции с использованием кредитных карт, должна соответствовать PCI. Одно из требований соответствия PCI – регулярное тестирование безопасности систем и процессов, что может быть достигнуто с помощью оценки уязвимости. Маленькие компании, которые проводят небольшое количество транзакций, имеют возможность проводить собственную оценку с помощью анкетирования. Крупные компании, которые проводят большое количество транзакций, обязаны проходить независимый аудит. [2]

Тестирование на проникновение против Оценки уязвимости

Известно, что в индустрии безопасности существует некоторая доля замешательства по поводу отличий между тестированием на проникновение и оценкой уязвимости, они часто классифицируются как одно и то же, хотя на самом деле это не так. Тестирование на проникновение звучит более захватывающе, но большинству людей в действительности нужна оценка уязвимости, а не тестирование на проникновение; многие проекты маркируются как тесты на проникновение, хотя фактически они на 100% являются оценкой уязвимости. Тестирование на проникновение, как правило, включают в себя оценку уязвимости, но это лишь один из дополнительных шагов таких тестов. Тестирование на проникновение – это метод оценки безопасности компьютерной системы или сети посредством симуляции атаки злоумышленника. Данный процесс включает активный анализ системы на наличие любых недостатков, технических изъянов или уязвимостей. Этот анализ проводится с позиции потенциального злоумышленника, и будет включать в себя активную эксплуатацию уязвимостей безопасности. Любые обнаруженные проблемы в безопасности будут представлены владельцу системы вместе с оценкой их серьёзности и часто с планом для уменьшения риска или с техническим решением. Оценка уязвимости – это то, что обычно делают большинство компаний, так как системы, которые они тестируют, находятся в активном производственном процессе, и их работа не может быть нарушена активными эксплойтами, которые могут вывести систему из строя. Оценка уязвимости – это процесс определения и квалификации уязвимостей системы. Система, которая изучается, может являться физическим оборудованием, таким как атомная электростанция, компьютерной системой или более крупной системой (например, инфраструктурой системы связи или водной инфраструктурой округа). Оценка уязвимости содержит в себе множество вещей в совокупности с оценкой риска. Оценка обычно содержит в себе следующие шаги:

  1. Каталогизация возможностей и производительности (ресурсов) системы
  2. Определение в количественном выражении ценности и важности ресурсов
  3. Определение уязвимостей или потенциальных угроз для каждого ресурса
  4. Снижение уровня или устранение большинства серьёзных уязвимостей для большинства ценных ресурсов

В основном это всё, для чего компании заключают договор с компаниями, работающими в области безопасности, для того, чтобы определить перспективу, а не для того, чтобы на самом деле заниматься проникновением в системы, также чтобы оценить и документировать возможные уязвимости и получить рекомендации по применению оздоровляющих мер и улучшений. Определение уязвимости, уменьшение риска, извещение об инцидентах, а также процесс исправления недостатков связаны следующим образом [3]:


Рисунок 2: Цикл снижения ущерба от уязвимости

Надписи на рисунке 2:

Detection – Определение

Isolation – Изоляция

Remediation – Исправление

Notification – Извещение

Цель оценки уязвимости

Теоретическая цель сканирования сети – это повышение уровня безопасности всех систем или создание во всей сети минимального стандарта работы. Следующая диаграмма показывает, как полноценность использования соотносится с распространённостью:


Рисунок 3: Соотношение Полноценность использования – Распространённость

HIPS – Host-Based Intrusion Prevention System, система предотвращения вторжений на конечных точках

NIDS – Network-Based Intrusion Detection System, сетевая система обнаружения вторжений

AV – Anti-Virus, антивирус

NIPS – Network-Based Intrusion Prevention System, сетевая система предотвращения вторжений

Надписи на рисунке 3:

Firewalls – межсетевые экраны,

Usefulness – полноценность использования

Ubiquity – распространённость

Emergent – редко используемый

Dominant – превалирующий

Esoteric – сложный в использовании

Dormant – исключённый из использования

Построение карты сети


Рисунок 4: Интерфейс командной строки Nmap

Zenmap – это официальный Nmap Security Scanner GUI (графический интерфейс сканера безопасности Nmap). Это мульти-платформенное (Linux, Windows, Mac OS X, BSD и т.д.) бесплатное приложение с открытым исходным кодом, целью которого является более лёгкое использование Nmap начинающими пользователями, тем не менее, предоставляя расширенный функционал для опытных пользователей Nmap. Часто проводимые сканирования могут быть сохранены в виде профилей для того, чтобы облегчить их неоднократный запуск. Генератор команд позволяет в интерактивном режиме создавать командные строки для запуска Nmap. Результаты сканирования могут быть сохранены и просмотрены позже. Сохранённые результаты сканирования могут подвергаться сравнению с другими результатами для того, чтобы увидеть различия между ними. Результаты недавних сканирований сохраняются в базе данных, по которой организован поиск.


Рисунок 5: Графический пользовательский интерфейс Zenmap

Некоторые системы могут быть отсоединены от сети. Очевидно, если система не подсоединена ни к одной сети вообще, это она будет иметь наименьший приоритет для сканирования. Тем не менее, она не должна потеряться во мраке и остаться непросканированной вообще, потому что могут существовать другие недостатки, которые не связаны с сетью, например, firewire (синоним – интерфейс IEEE 1394, стандарт интерфейса для скоростной передачи данных) может быть использован для доступа к системе Windows XP SP2. Эксплойт работает примерно так: злоумышленник подходит к заблокированной станции Windows XP SP2, подсоединяет к fireware-кабель и использует специальные команды для разблокировки заблокированной машины. Эта техника возможна вследствие того, что firewire имеет прямой доступ к ОЗУ. Система примет любой пароль и разблокирует компьютер. [6]

Выбор правильных сканеров

Сканеры сами по себе не решают проблему, сканирование должно использоваться только как отправная точка в оценке уязвимости. Начните с одного сканера, но рассмотрите больше, чем один. Хорошей практикой является использование более чем одного сканера. Таким образом, вы можете сравнить результаты нескольких из них. Некоторые сканеры больше фокусируются на специфических сервисах и/или серверах. Архитектура типового сканера показана ниже:


Рисунок 6: Архитектура типового сканера

Надписи на рисунке 6:

Vulnerability Database – база данных уязвимостей

User configuration console – пользовательская конфигурационная консоль

Scanning engine – сканирующий движок

Current active scan knowledge base – база знаний текущего активного сканирования

Results repository and report generating – хранилище результатов и создание отчёта

Target – цель

Например, Nessus – известный сканер общего назначения, но сканеры, ориентированные на веб-приложения, такие как HP Web Inspect [7] или Hailstorm [8] проведут работу лучше при сканировании веб-серверов. В идеальной ситуации сканеры не требуются, потому что каждый будет обслуживать хорошо пропатченные и протестированные хосты, роутеры, шлюзы, рабочие станции и сервера. Тем не менее, в действительности мы склонны забывать устанавливать обновления, ставить патчи на систему и/или правильно конфигурировать систему. Вредоносный код всегда будет находить путь в вашу сеть! Если система подключена к сети, значит, что система может быть инфицирована в один из моментов в будущем. Шансы могут быть выше или ниже, в зависимости от уровня обслуживания, который получает система. Но система никогда не будет защищена на 100%. Нет такой вещи, как 100%-ная безопасность, для хорошо обслуживаемой системы может быть 99,9999999999% безопасности, но 100% не будет никогда. Есть шутка про то, что если вы хотите сделать компьютер защищённым, вы должны отключить его от сети и от розетки, а затем положить его в сейф под замок. Систему при этом невохможно будет использовать, но тем не менее она будет защищена не на 100%, потому что мошенники, использующие социальную инженерию, могут позвонить вашим сотрудникам и попросить достать эту систему из сейфа и подключить её обратно к сети. [9]

Централизованное сканирование против Локального сканирования

Возникает вопрос – должны ли мы сканировать локально или централизованно? Должны ли мы сканировать всю сеть целиком зараз, или же мы должны сканировать сеть по суб-доменам и виртуальным сетям? Нижеследующая таблица показывает преимущества и недостатки каждого подхода.

Централизованное управление и доступ

Ответственные за сканирование могут проводить его, когда им удобно

Медленно, большинство сканирований должно быть поставлено в очередь

Часто невозможно отслеживать обновления сканеров

Локальное сканирование с проверкой в виде централизованного сканирования. Центральное сканирование подходит для проверочного аудита. Возникает вопрос – должны ли мы сканировать локально или централизованно? Ответ – надо использовать оба типа. Центральные сканирования дают общую картину в сети. Локальные сканирования могут дать лучшую видимость в локальной сети. Сканеры, запускаемые централизованно, используются как основа. Сканеры, запускаемые локально – ключ к снижению уязвимости. Сканирующие утилиты должны поддерживать обе методологии. Ответственные за сканирование должны быть наделены полномочиями контролировать ситуацию в зоне своей ответственности и приводить политики в исполнение. Так что будет являться целью хакеров? Скрипт-кидди (хакеры, использующие инструменты, написанные другими людьми, не понимая при этом механизмов их работы) будут нацелены на легко эксплуатируемую систему, тогда как опытные хакеры могут быть нацелены на некоторые локальные сети/организации:

Кто является целью?

Данная публикация является первой частью справочного руководства “Что такое оценка уязвимости?” Во второй части будут рассмотрены стратегии эшелонированной защиты, инструменты для оценки уязвимости, меры, препятствующие сканированию сети, и многое другое.

Список цитированной литературы

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Боитесь что ANONYMOUS опустошат ваши счета ? Хакеры объявили Кибервойну России! Узнай первым , как выжить в цифровом кошмаре!


Приведённый ознакомительный фрагмент книги Методы и модели защиты информации. Часть 1. Моделироваание и оценка предоставлен нашим книжным партнёром — компанией ЛитРес.

1 Анализ классификаций и математических методов описания уязвимостей

1.1 Постановка задачи

В области информационной безопасности под уязвимостью понимается недостаток в вычислительной системе, используя который возможно нарушить ее целостность и вызвать некорректную работу.

Попытка реализации уязвимости называется атакой.

Цель данной главы — проведение обзора способов классификаций и математических моделей систем защиты информации от утечки информации.

Для достижения поставленной цели, необходимо провести обзор:

· и анализ классификаций уязвимостей автоматизированных систем;

· базы данных уязвимостей NVD (National Vulnerability Database) и ее компонент;

· множества протоколов SCAP (Security Content Automation Protocol) как средства управления уязвимостями базы данных NVD, и языка Open Vulnerability Assessment Language как справочной реализации подмножества SCAP;

· математических моделей систем защиты информации.

1.2 Классификации уязвимостей автоматизированных систем

С целью изучения и анализа уязвимостей, а также способов их реализации в автоматизированных системах, исследователи предлагают различные виды классификации уязвимостей и их реализаций. Формально, задача классификации состоит в создании системы категорирования, а именно, — в выделении категорий и создании классификационной схемы, как способа отнесения элемента классификации к категории.

В области защиты информации выделяют три группы таксономий:

К проблеме классификации атак имеется несколько подходов. Классически атаки разделяют на категории в зависимости от производимого эффекта,:

— нарушение конфиденциальности информации;

— нарушение целостности информации;

— отказ в обслуживании (нарушение доступности информации).

Главным недостатком подобной классификации является слабая информативность (а, следовательно, и применимость), так как по информации о классе атаки практически невозможно получить информацию об ее особенностях. Однако, эффект атаки является важным ее свойством и данный параметр в том или ином виде применяется в ряде таксономий (,,).

Другим подходом к классификации является классификация уязвимостей аппаратного и программного обеспечения информационно—вычислительных и телекоммуникационных систем. Одним из первых исследований в этом направлении является работа Атанасио, Маркштейна и Филлипса. Частично деление по типу уязвимости было использовано Ховардом и Лонгстаффом. Далее этот подход получил продолжение, которое в результате предлагает исследователям достаточно подробную классификация уязвимостей. Однако данный подход является слишком узким и зачастую не отражает в должной мере специфику атаки, поэтому применяется, в основном, лишь для специальных классов задач (при тестировании программного обеспечения и др.).

Другим возможным вариантом классификации является деление на основе начального доступа, которым обладает атакующий. Примером подобного подхода является матрица Андерсона. В своей работе Джеймс Андерсон (James P. Anderson) предложил основу классификации как наличие или отсутствие возможности доступа, атакующего к вычислительной системе (ВС) или к ее компонентам. Таким образом, категория, к которой принадлежит атака, зависит от начальных привилегий атакующего. Таксономия Андерсона предлагает матрицу 2 на 2.

Из приведенной таблицы (таблица 1) можно сделать заключение, что все атаки разделяются на три категории. Ситуация, когда атакующий имеет право запуска или использования программы в отсутствии доступа к вычислительной системе, — невозможен.

Таблица 1 — Матрица таксономии Андерсона


Категория B подразделяется Андерсоном дополнительно на три подкатегории. Следовательно, полный список категорий атак имеет следующий вид:

— Masquerader — ложный пользователь.

— Legitimate user — легальный пользователь.

— Clandestine user — скрытый пользователь.

Главным отличием между ложным, легальным и скрытым пользователями заключается в том, что ложный пользователь маскируется под легального пользователя, и, с точки зрения вычислительной системы, неотличим от него. Скрытый пользователь ориентируется на работу с вычислительной системой, при которой он остается незамеченным для систем обнаружения вторжений.

Рассматривая развитие классификационных подходов во времени, можно заметить, что ряд исследователей старались абстрагироваться от свойств состава атак, с целью создания общего списка типов атак. Наиболее известны в данном направлении работы Ноймана и Паркера. Аналогичную цель преследовал в своей работе Саймоном Хансмэном. Важным достоинством данного подхода является прикладная составляющая, так как в большинстве случаев информация о специфики атаки дает существенно больше, нежели знание каких—либо ее свойств. Однако недостатком данного подхода является наличие сильно пересекающихся категорий атак, а полнота классов зачастую недостижима.

В своей работе, П. Нойман и Д. Паркер представили 9 категорий способов вторжений (табл. 2).

Таблица 2 — Категории способов вторжения


На основе данных категорий П. Нойман разработал 26 видов атак (табл. 3)

Таблица 3 — Виды атак



В силу необходимости практической применимости таксономий, наиболее выгодными считаются комбинированные подходы, которые в некоторой степени реализуют все вышеописанные методы. Однако, способы комбинирования методов могут быть различны.

Иной подход к созданию таксономий заключается в виде использования списочных структур. Таксономии, основанные на списочных структурах, представляются как совокупность списков категорий атак. С одной стороны, возможна организация общих классов категорий атак, с другой — возможно создание объемного количества списков, каждый из которых детально описывает уникальный класс категорий. Данные подходы также слабо применяются на практике, так как для первого случая организуются наборы крайне обобщенных категорий атак, а во—втором случае, детализация списков категорий бесконечна.

1. Первое (базовое) измерение используется для категорирования атаки относительно классов атак на основе вектора атаки. Под вектором атаки понимается метод, с помощью которого атака достигает своей цели. При отсутствии подходящего вектора, атака классифицируется в ближайшую по смыслу категорию (табл. 4).

Таблица 4 — Значения вектора атак таксономии

Хэнсмэна по уровням детализации


2. Вторым измерением, атака классифицируется по цели атаки. Степень детализированности измерения достигается указанием конкретной версии продукта, например Linux Kernel 3.5.1rc—1, или же покрывается определенным классом возможных целей, например Linux Kernel (табл. 5).

Таблица 5 — Список целей атак таксономии

Хэнсмэна по уровням детализации


3. Третье измерение используется для описания уязвимостей и эксплоитов, которыми реализуется данная атака. Измерение представляется списоком номеров CVE (Common Vulnerabilities and Exposures) известных уязвимостей по классификации проекта CVE [12].

Идея проекта CVE была предложена Мэнном (Mann) и Кристли (Christley) [24] и предлагает унифицированный способ представления определений уязвимостей. На данный момент, проект является стандартом де—факто описания уязвимостей, и его применение является желательным в таксономиях прикладного направления.

Дополнительно, в таксономии Хэнсмэна предполагается ситуация, когда на момент классификации атаки не существует ее описания (CVE—номера) уязвимости. В этом случае, предлагается использовать общие классы категорий атак процессной таксономией компьютерных и сетевых атак Ховарда [13], — уязвимость в реализации (логические ошибки в текстах программ), уязвимость в проекте, уязвимость в конфигурации. В данной таксономии рассматривается в качестве центрального понятия инцидент — совокупность атакующего, атаки и цели атаки. Главным ее отличием является наличие структурных элементов: инцидентов и события, — совокупности действия и целевого объекта. Предусматривается возможность комбинирования событий. Таким образом, в инциденте возможно вложение последовательность атак. Полезным свойством таксономии Ховарда является возможность описания неатомарных (составных) атак и учет их сценариев проведения. Однако, как указывается в тезисах докторской диссертации Лауфа, процессная таксономия привносит двусмысленность при классификации атаки на практике, так как нарушается свойство взаимного исключения.

В качестве классов категорий полезной нагрузки, Хэнсмэн выделяет:

— Полезная нагрузка первого измерения — собственно полезная нагрузка является атакой;

— Кража сервиса (подмена сервиса);

— Subversion — полезная нагрузка предоставляет контроль над частью ресурсов цели и использует их в своих целях.

— Природа уязвимости — описывается природа ошибки в категориях протекционного анализа;

— Время появления уязвимости;

— Область применения — что может быть получено через уязвимость;

— Область воздействия — на что может повлиять уязвимость;

— Минимальное количество — минимальное количество этапов, необходимых для атаки;

— Источник — источник идентификации уязвимости.

Важной основой для разработки новых таксономий уязвимостей в области информационной безопасности послужили работы Бисби (Bisbey) и Холлингворса (Hollingworth), посвященные протекционному анализу [25], а также работы по исследованию защищенных операционных систем (RI SOS) Аббота (Abbott), Вебба (Webb) и др. [4]. Обе таксономии фокусируют внимание на классифицировании ошибок в программном обеспечении и приблизительно схожи между собой.

Непригодность практического применения таксономий [25], [4] в своей дальнейшей работе описали Бишоп и Бэйли [11]. Проблемой предложенных таксономии является двусмысленность в определениях своих классов, то есть в определениях нескольких классов некоторые уязвимости равносильны, что приводит к нарушению правила взаимоисключения между классами, и тем самым представляются малопригодными в прикладном смысле. Однако, данные работы [25], [4] заложили основу ценным концепциям, которые получили свое развитие в последующих исследованиях [10], [26], [].

Комбинированный подход к классификации уязвимостей прослеживается и в нормативно—распорядительной документации ФСТЭК России. В классификации уязвимостей, предлагаемой базовой моделью угроз ИСПДн (рисунок 1), также применяется комбинированный подход, основанный на идеях работ Ховарда, Хэнсмэна, Бишопа и др.

Более того, для систематизации уязвимостей в соответствии с классификацией на практике, в документах предлагается использовать существующие зарубежные базы данных (БД) уязвимостей в качестве источников информации. Наиболее распространенной базой данных об уязвимостях является БД National Vulnerability Database (NVD), которая основывается на объединении информации из более ранних баз данных (CPE, CVE, и др.)

1.3 Математические модели систем защиты информации

В работе [23] рассматривается вероятностная модель, в которой система защиты информации (СЗИ) представлена неконтролируемыми преградами вокруг предмета защиты. В общем случае модель элементарной защиты предмета может быть в виде защитных колец (рисунок 2). В качестве предмета защиты выступает один из компонентов информационной системы (ИС).


Рисунок 2 — Модель элементарной защиты

Вероятность невозможности преодоления преграды нарушителем обозначается как Рсзи, вероятность преодоления преграды нарушителем через Рнр соответственно сумма вероятностей двух противоположных событий равна единице, то есть:



В модели рассматриваются пути обхода преграды. Вероятность обхода преграды нарушителем обозначается через Робх, которое представляется в виде:


В случае, когда у преграды несколько путей обхода:


где — k количество путей отхода.

Для случая, когда нарушителей более одного, и они действуют одновременно (организованная группа) по каждому пути, это выражение с учетом совместности событий выглядит как:


Выражение прочности многозвенной защиты из неконтролируемых преград, построенной для противостояния одному нарушителю, представлено в виде:


где — Рсзи прочность i—й преграды, Робх — вероятность обхода преграды по k — му пути.


Рисунок 3 — Модель многозвенной защиты

Выражение для прочности многозвенной защиты, построенной из неконтролируемых преград для защиты от организованной группы квалифицированных нарушителей—профессионалов, с учетом совместности событий представляется в виде:


В случае, когда какие—либо преграды дублируются, а их прочности равны соответственно Р123,…,Рi то вероятность преодоления каждой из них нарушителем соответственно равна (1 — Р1), (1 — Р2), (1 — Р3),…, (1 — Рi).

Учитывая, что факты преодоления этих преград нарушителем события совместные, вероятность преодоления суммарной преграды нарушителем формально представляется в виде:


Вероятность невозможности преодоления дублирующих преград (прочность суммарной преграды) как противоположное событие определяется выражением:


где — i порядковый номер преграды, Pi прочность i — й преграды.

Также в работе представлена модель многоуровневой системы защиты (рисунок 4).


Рисунок 4 — Модель многоуровневой защиты

При расчете суммарной прочности нескольких оболочек (контуров) защиты в формулу (7) вместо Pi, включается Pki — прочность каждой оболочки (контура), значение которой определяется по одной из формул (4), (5) и (6):


При Pki = 0 данная оболочка (контур) в расчет не принимается. При Pki = 1, остальные оболочки защиты являются избыточными. Данная модель справедлива лишь для замкнутых оболочек защиты, перекрывающих одни и те же каналы несанкционированного доступа к одному и тому же предмету защиты.

В случае контролируемой преграды, т.е. когда преграда связана с каким—либо тревожным датчиком, который может подать сигнал в случае попытки преодоления преграды.

Исходя из данной временной диаграммы процесса контроля и обнаружения несанкционированного доступа (НСД) (рисунок 5), в работе [27] приводятся формулы для расчета вероятности обнаружения и блокировки НСД Робл и Ротк вероятности отказа системы обнаружения:



где λ — интенсивность отказов группы технических средств, составляющих систему обнаружения и блокировки НСД, t — рассматриваемый интервал времени функционирования системы обнаружения и блокировки НСД.


Рисунок 5 — Временная диаграмма процесса контроля НСД

(T — период опроса датчиков; Tоб — время передачи сигнала и обнаружения НСД; Тбл — время блокировки доступа; Тобл — время обнаружения и блокировки; — время простоя)

Учитывая, что отказ системы контроля и НСД могут быть совместными событиями, формула прочности контролируемой преграды для элементарной защиты принимает вид:


где Робл и Ротк определяются соответственно по формулам (9) и (10), Робх и количество путей обхода к определяются экспертным путем на основе анализа принципов построения конкретной системы контроля и блокировки НСД.

Выражение для прочности многозвенной защиты с контролируемыми преградами для защиты от одного нарушителя будет в следующем виде


где Рсзиkn прочность n—й преграды, Робхn — вероятность обхода преграды по j — му пути.

Формула для расчета прочности защитной оболочки с контролируемыми преградами для защиты от организованной группы нарушителей представлена в виде:


В работе [28] приводится вероятностная модель оценки уязвимости информации. В данной модели выделяется пять зон, в которых возможны несанкционированные действия:

Уязвимость информации, т.е. нарушение установленного статуса и требуемого уровня ее защищенности есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в СОД средства защиты не в состоянии оказать достаточного противодействия проявлению угроз нежелательного их воздействия на защищаемую информацию. Модель уязвимости информации в СОД в самом общем виде представлена на рис. 2.6.


Рис. 2.6. Общая модель процесса уязвимости информации

Приведенная модель детализируется при изучении конкретных видов уязвимости информации: нарушения целостности, несанкционированной модификации, несанкционированного получения, несанкционированного размножения.

При детализации общей модели основное внимание акцентируется на то обстоятельство, что подавляющее большинство нарушений целостности информации осуществляется в процессе ее обработки на различных участках технологических маршрутов. При этом целостность информации в каждом объекте СОД существенно зависит не только от процессов, происходящих на объекте, но и от целостности информации, поступающей на его вход.

Основную опасность представляют случайные дестабилизирующие факторы (отказы, сбои и ошибки компонентов СОД), которые потенциально могут проявиться в любое время, и в этом отношении можно говорить о регулярном потоке этих факторов. Из стихийных бедствий наибольшую опасность представляют пожары, опасность которых в большей или меньшей степени также является постоянной. Опасность побочных явлений практически может быть сведена к нулю путем надлежащего выбора места для помещений СОД и их оборудования. Что касается злоумышленных действий, то они связаны главным образом с несанкционированным доступом к ресурсам СОД. При этом наибольшую опасность представляет занесение вирусов.

С точки зрения несанкционированного получения информации принципиально важным является то обстоятельство, что в современных СОД несанкционированное получение информации возможно не только путем непосредственного доступа к базам данных, но и многими путями, не требующими такого доступа. При этом основную опасность представляют злоумышленные действия людей. Воздействие случайных факторов само по себе не ведет к несанкционированному получение информации, оно лишь способствует появлению; КНПИ, которыми может воспользоваться злоумышленник. Структурированная схема потенциально возможных злоумышленных действий в современных СОД для самого общего случая представлена на рис. 2.7.


Рис. 2.7. Структурная схема потенциально возможных злоумышленных действий в СОД

Выделенные на рисунке зоны характеризуются следующим образом:

внешняя неконтролируемая зона — территория вокруг СОД, на которой персоналом и средствами СОД не применяются никакие средства и не осуществляются никакие мероприятия для защиты информации;

зона контролируемой территории — территория вокруг помещений СОД, которая .непрерывно контролируется персоналом или средствами СОД;

зона помещений СОД — внутреннее пространство тех помещений, в которых расположены средства системы:

зона ресурсов СОД — та часть помещений, откуда возможен непосредственный доступ к ресурсам системы;

зона баз данных — та часть ресурсов системы, с которых возможен непосредствен­ный доступ к защищаемым данным.

Злоумышленные действия с целью несанкционированного получения информации в общем случае возможны в каждой из пе­речисленных зон. При этом для несанкционированного получения информации необходимо одновременное наступление следующих событий:

нарушитель должен получить доступ в соответствующую зону;

во время нахождения нарушителя в зоне в ней должен проявиться (иметь место) соответствующий КНПИ;

соответствующий КНПИ должен быть доступен нарушителю соответствующей категории;

в КНПИ в момент доступа к нему нарушителя должна находиться защищаемая информация.

Рассмотрим далее трансформацию общей модели уязвимости с точки зрения несанкционированного копирования информации. Принципиальными особенностями этого процесса являются следующие:

любое несанкционированное копирование есть злоумышленное действие;

несанкционированное копирование может осуществляться в организациях-разработчиках компонентов СОД, непосредственно в СОД и сторонних организациях, причем последние могут получать носитель, с которого делается попытка снять копию как законным, так и незаконным путем.

Попытки несанкционированного копирования информации у разработчика и в СОД есть один из видов злоумышленных действий с целью несанкционированного ее получения и поэтому имитируются приведенной выше (см. рис. 2.7.) моделью. Если же носитель с защищаемой информацией каким-либо путем (законным или незаконным) попал в стороннюю организацию, то для его несанкционированного копирования могут использоваться любые средства и методы, включая и такие, которые носят характер научных исследований и опытно-конструкторских разработок. Тогда модель процесса размножения в самом общем виде может быть представлена так, как показано на рис. 2.8.


Рис. 2.8. Общая модель процесса несанкционированного копирования информации

Для определения значений показателей уязвимости информации должны быть раз­работаны методы, соответствующие природе этих показателей и учитывающие все факторы, влияющие на их значение. На основе этих методов должны быть разработаны модели, позволяющие рассчитывать значения любой совокупности необходимых показателей и при любых вариантах архитектурного построения СОД, технологии и условий ее функционирования.

В процессе развития теории и практики защиты информации сформировалось три методологических подхода к оценке уязвимости информации: эмпирический, теоретический и теоретико-эмпирический.

Сущность эмпирического подхода заключается в том, что на основе длительного сбора и обработки данных о реальных проявлениях угроз информации и о размерах того ущерба, который при этом имел место, чисто эмпирическим путем устанавливаются зависимости между потенциально возможным ущербом и коэффициентами, характеризующими частоту проявления соответствующей угрозы и значения имевшего при ее проявлении размера ущерба. Наиболее характерным примером моделей рассматриваемой разновидности явля­ются модели, разработанные специалистами американской фирмы IBM.

Теоретический подход основывается на знании законов распределения всех случайных величин, характеризующих процессы защиты, и построении на этой основе строгих зависимостей.

Теоретико-эмпирический подход основывается на житейски-естественном представлении процессов негативного воздействия на информацию и выражении этих процессов с использованием основных положений теории вероятностей.

Свидетельство и скидка на обучение каждому участнику

Зарегистрироваться 15–17 марта 2022 г.

Методы и модели оценки уязвимости информации

Описание презентации по отдельным слайдам:

Методы и модели оценки уязвимости информации

Методы и модели оценки уязвимости информации

Уязвимость информации есть событие, возникающее как результат такого стечения.

Уязвимость информации есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в автоматизированных системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

Данная модель детализируется при изучении конкретных видов уязвимости информа.

Данная модель детализируется при изучении конкретных видов уязвимости информации: нарушения физической или логической целостности, несанкционированной модификации, несанкционированного получения, несанкционированного размножения. При детализации общей модели основное внимание акцентируется на том, что подавляющее большинство нарушений физической целостности информации имеет место в процессе ее обработки на различных участках технологических маршрутов. При этом целостность информации зависит не только от процессов, происходящих на объекте, но и от целостности информации, поступающей на его вход.

Рассмотрим далее трансформацию общей модели уязвимости с точки зрения несанкц.

Рассмотрим далее трансформацию общей модели уязвимости с точки зрения несанкционированного размножения информации. Принципиальными особенностями этого процесса являются: - любое несанкционированное размножение есть злоумышленное действие; - несанкционированное размножение может осуществляться в организациях-разработчиках компонентов автоматизированной системы обработки данных, непосредственно в автоматизированной системе обработки данных и сторонних организациях, причем последние могут получать носитель, с которого делается попытка снять копию как законным, так и незаконным путем.

Методики выборочного исследования М. э. и. зависят от наличия адекватных и эф.

Методики выборочного исследования М. э. и. зависят от наличия адекватных и эффективных методик выборочного исследования, обеспечивающих получение надежных и валидных данных, которые можно было бы обоснованно и без утраты смысла распространить на совокупности, из которых эти репрезентативные или, по крайней мере, близко аппроксимирующие их выборки были извлечены. Хотя большинство статистических методов, применяемых для анализа эмпирических данных, предполагают по существу случайный отбор и/или случайное распределение испытуемых по экспериментальным условиям (группам), случайность per se не является главным вопросом. Скорее, он заключается в нежелательности использования в качестве испытуемых преим. или исключительно тех, кто составляет чрезвычайно ограниченные или рафинированные выборки, как в случае приглашения принять участие в исследованиях добровольцев студентов колледжей, что широко практикуется в психологии и др. соц. и поведенческих науках. Такой подход сводит на нет преимущества эмпирического исследования перед другими исследовательскими методологиями.

Читайте также: