Содержание к диссертации
Введение
Глава 1. Современное состояние проблемы анализа защищенности компьютерных сетей 18
1.1. Место и роль анализа защищенности компьютерных сетей 18
1.2. Методы и средства анализа защищенности компьютерных сетей 27
1.3. Требования к системам анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации 45
1.4. Постановка задачи исследования 50
Выводы по главе 1 55
Глава 2. Модели для анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации 57
2.1. Модель анализируемой компьютерной сети 58
2.2. Модели компьютерных атак и нарушителя 66
2.3. Модель формирование дерева атак 76
2.3 1. Объекты дерева атак 76
2.3.2. Алгоритм формирования дерева атак 80
2.4. Модель оценки уровня защищенности компьютерных сетей 83
Выводы по главе 2 97
Глава 3. Методика анализа защищенности компьютерных сетей и анализ ее эффективности 99
ЗА. Методика анализа защищенности компьютерных сетей 99
3.2. Программный прототип системы анализа защищенности компьютерных сетей 105
3.3. Оценка сложности разработанных алгоритмов и эффективности применения предложенной методики анализа защищенности компьютерных сетей 116
3.4. Предложения по использованию методики анализа защищенности компьютерных сетей 132
Выводы по главе 3 133
Заключение 135
Список литера туры и электронных ресурсов
- Требования к системам анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации
- Модели компьютерных атак и нарушителя
- Алгоритм формирования дерева атак
- Оценка сложности разработанных алгоритмов и эффективности применения предложенной методики анализа защищенности компьютерных сетей
Введение к работе
Актуальность темы диссертационной работы. Задача анализа защищенности компьютерных сетей на различных этапах их жизненного цикла, основными из которых являются этапы проектирования и эксплуатации, все чаще становится объектом обсуждения на специализированных конференциях, посвященных обеспечению информационной безопасности [53]. Такое пристальное внимание к данной задаче объясняется тем, что анализ защищенности необходим при контроле и мониторинге защищенности компьютерных сетей, при аттестации автоматизированных систем (компьютерных сетей) и сертификации средств вычислительной техники по требованиям действующих нормативных документов (ГОСТ Р ИСО/МЭК 15408-2002, ІБОЛЕС 17799, руководящих документов Гостехкомиссии РФ) и требует обработки большого объема данных в условиях дефицита времени.
Защищенностью компьютерной сети определяется как степень адекватности реализованных в ней механизмов защиты информации (такие, как идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование) существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности информации [3], т.е. способность механизмов защиты обеспечить конфиденциальность, целостность и доступность информации. Защищенность может оказывать и зачастую оказывает решающее влияние на показатели эффективности функционирования компьютерных сетей. Под угрозой понимается совокупность условий и факторов, определяющих потенциальную или реально существующую опасность возникновения инцидента, который может привести к нанесению ущерба функционированию автоматизированной системы (компьютерной сети), защищаемым активам или отдельным лицам [80], Угрозы могут классифицироваться по различным признакам. В частности, по характеру происхождения угрозы делятся на две группы: (1) умышленные и (2) естественные. Основными умышленными угрозами считаются: (а) подключение нарушителя к каналам связи; (б) несанкционированный доступ; (в) хищение носителей информации. К основным естественным угрозам относятся: (а) несчастные случаи (пожары, аварии, взрывы); (б) стихийные бедствия (ураганы, наводнения, землетрясения); (в) ошибки в процессе обработки информации (сбои аппарату ры) [61], При анализе защищенности компьютерных сетей во внимание следует принимать все разновидности угроз, однако наибольшее внимание должно быть уделено тем из них, которые связаны с действиями человека, злонамеренными или иными [18]. Поэтому естественные угрозы в данной работе не рассматриваются.
Выделяют два уровня анализа защищенности [58]: (1) базовый и (2) детальный.
Базовый анализ защищенности используется при аттестации АС и сертификации СВТ и представляет собой проверку экспертами выполнения функциональных требований обеспечения безопасности согласно стандартам ГОСТ Р ИСО/МЭК 15408-2002, ISO/IEC 17799 и руководящих документов Гостехко-миссии РФ (теперь ФСТЭК). Под аттестацией ЛС понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России [5]. Аттестация АС, согласно действующему законодательству, обязательна для некоторых категорий АС. В их число входят АС, предназначенные для обработки информации, составляющей государственную тайну, для управления экологически опасными объектами, для ведения секретных переговоров. Для остальных категорий АС (включая и коммерческие системы) аттестация носит добровольный характер. Определенные в руководящих документах Гостехкомиссии множества требований по защите автоматизированных систем или средств вычислительной техники от несанкционированного доступа к информации формируют классы защищенности, к одному из которых относят АС при ее аттестации. Для проведения базового анализа защищенности необходимо предоставить экспертам полную документацию по АС или СВТ, включая исходные тексты программного обеспечения, что не всегда возможно. Поэтому, когда информации о реализуемых в АС функциях недостаточно для базового анализа, эксперты вынуждены проводить детальный анализ защищенности, одной из стратегий которого является анализ сценариев атак и процессов функционирования АС.
В общем случае, под атакой понимается «несанкционированная попытка использования уязвимого места» [95]. Однако, как правило, атака состоит из множества действий нарушителя, выполняемых в определенной последовательности. Таким образом, необходимо различать атомарное действие нарушителя (запуск на выполнение программного средства по получению информации об атакуемом объекте, по использованию уязвимости и тлі.), которое будем называть атакующим действием, и множество атакующих действий, выполняемых в определенном порядке и позволяющим нарушителю достичь некоторой общей цели (как правило, это — цель, достигаемая последним атакующим действием, например, нарушение доступности определенного сетевого сервиса), которое будем называть атакой. Множество атакующих действий, составляющих атаку, и порядок их выполнения составляют трассу (или сценарий) атаки. Формальным представлением возможных атакующих действий нарушителя, позволяющим наглядно продемонстрировать трассы атак, могут служить граф или дерево атак.
Заметим, что большинство используемых в организациях компьютерных сетей из-за отсутствия полной информации о программном и аппаратном обеспечении не могут пройти аттестацию (а также периодически подвергаться контролю и мониторингу защищенности) на основе базового анализа защищенности. Именно поэтому 10. С. Васильев и П. Д. Зегжда выделили совершенствование и автоматизацию методов и средств (детального) анализа защищенности программно-аппаратных комплексов с учетом отсутствия полной информации о них, в том числе анализ программ в отсутствии исходных текстов, в качестве особого направления обеспечения информационной безопасности [24].
Таким образом, проявляется следующее противоречие. С одной стороны проектировщик компьютерной сети и (или) системный администратор должны постоянно и оперативно проводить анализ защищенности проектируемой или эксплуатируемой сети, т.е. проверять, насколько планируемые для применения или уже используемые механизмы защиты информации и средства обеспечения безопасности, удовлетворяют принятой политике безопасности. С другой стороны трудоемкость проведения (а, следовательно, и время выполнения) детального анализа защищенности, которая напрямую зависит от количества выполняемых сценариев атак, возрастает в связи с наблюдаемым в настоящее время резким увеличением числа уязвимостей в программном и аппаратном обеспечении [12S] и сложности реализации механизмов защиты в межсетевых экранах, серверах аутентификации, системах разграничения доступа и т.п. Т.е. ана лиз защищенности администраторам (проектировщикам) проводить необходимо постоянно и оперативно, лри этом по независимым от них причинам трудоемкость (время выполнения) A3 возрастает.
Необходимость анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации диктуется также недопустимо низким уровнем эффективности существующих средств обеспечения информационной безопасности. Так, например, по статистическим данным Национального отделения ФБР США по компьютерным преступлениям, «величина вероятности предотвращения несанкционированного проникновения в информационные системы составляет в среднем около 0,12» [94], В то же самое время «во многих прикладных областях, где обеспечению безопасности процессов и объектов уделяется серьезное внимание, нормы безопасности, изложенные в соответствующих документах, имеют порядок 0,9» [94],
Ситуация в данной области исследований усугубляется тем, что несмотря на обилие публикаций [5, 24,109, 57, 66, ПО, 156, 136,152,153,186 и др.], в настоящее время не существует в достаточной степени апробированных методик анализа защищенности компьютерных сетей, выполнение которых возможна на этапах проектирования и эксплуатации. В работах А. М. Астахова [3, 4] предложена типовая методика анализа защищенности компьютерных сетей на этапе эксплуатации, которая предусматривает проведение как активного, так и пассивного тестирования системы защиты. Активное тестирование системы защиты заключается в имитации атакующих действий нарушителей для преодоления механизмов защиты. Пассивное тестирование предполагает анализ конфигурации операционных систем и приложений по шаблонам с привлечением чек-листов. Недостатками данной методики является использование активного тестирования системы защиты, которое может привести к нежелательным последствиям, например, затруднению или невозможности работы пользователей, выходу из строя оборудования или программного обеспечения и т.п., а также невозможность применения на этапе проектирования компьютерной сети.
На основе вышеизложенного актуальной является разработка подхода, объединяющего множество моделей и методику? дли реализации детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, основанного на имитации действий нарушителя, построении и ана лизе деревьев атак. Достижение данной цели остро необходимо, так как использование средств автоматизации детального анализа защищенности будет способствовать созданию и эксплуатации более безопасных компьютерных сетей.
Объектом исследования в настоящей работе является анализ защищенности компьютерных сетей на лапах проектирования и эксплуатации (а также программные средства для его автоматизации).
В качестве предмета исследования выступают множество логико-лингвистических моделей, применяемых для детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, В данной работе для оценки уровня защищенности используются только те угрозы, которые связаны с действиями человека, злонамеренными или иными [18]. Естественные угрозы (несчастные случаи, стихийные бедствия ошибки в процессе обработки информации) не рассматриваются. Так как задача формирования полного и систематизированного перечня атакующих действий в диссертационном исследовании не ставилась, для анализа использовались только известные атаки, характеристики которых доступны из открытых баз данных (например, NVD[161]).
Цель работы и задачи исследования- Основной целью диссертационной работы является повышение эффективности анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации на основе разработки и использования моделей компьютерных атак, нарушителя, анализируемой компьютерной сети, формирования дерева атак, оценки уровня защищенности и методики анализа защищенности компьютерных сетей.
Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи:
1) анализ существующих методов и средств анализа защищенности КС на этапах проектирования и эксплуатации для выделения их достоинств и недостатков, определения требований к ним;
2) построение моделей для анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации (моделей компьютерных атак и нарушителя, анализируемой компьютерной сети, формирования дерева атак, оценки уровня защищенности на основе дерева атак), использование которых позволит устранить недостатки существующих средств;
3) формирование автоматизированной методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации;
4) разработка программного средства для автоматизации анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, позволяющего оценить эффективность предложенной методики;
5) оценка эффективности методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации.
На защиту выносятся следующие результаты: 1) модели компьютерных атак и нарушителя;
2} модели формирования дерева атак и оценки уровня защищенности компьютерных сетей;
3) методика анализа защищенности КС на этапах проектирования и эксплуатации, базирующаяся на построении дерева атак и его анализе.
Используемые методы исследования. Для решения поставленных задач в работе используются методы теории множеств, графов, а также экспертного, системного и объектно-ориентированного анализа.
Научная новизна диссертационной работы состоит в следующем:
1) Разработаны модели компьютерных атак и нарушителя, служащие для описания возможных атакующих действий и формирования сценариев их выполнения с учетом множества параметров, характеризующих нарушителя. Модель компьютерных атак имеет вид иерархической структуры, состоящей из трех уровней; уровня параметризации процесса анализа защищенности и учета характеристик нарушителя, сценарного и уровня атакующих действий. Такая структуризация позволила использовать для формирования сценарного уровня экспертные знания, а для уровня атакующих действий — внешние базы данных уязвимостей. Другой особенностью данной модели, отличающей ее от существующих, является возможность генерации сценариев атак с учетом характеристик нарушителя: его положения в сети (внешний или внутренний нарушитель), уровня знаний и умений, первичных знаний об атакуемой сети.
2) Разработаны модели формирования дерева атак и оценки уровня защищенности. Вершины дерева атак в модели его формирования, в отличие от существующих моделей, представляются в виде тройки состояние сети, атакующее действие, атакуемый обьект , а разработанный алгоритм, являющийся составной частью модели формирования дерева атак, позволяет определять ис пользуемые в ней понятия «трасса атаки» и «угроза». За счет распространения подхода Common Vulnerability Scoring System (CVSS [129]) па понятия «трасса» атаки и «угроза» (определение для них показателя «сложность в доступе») и использования модифицированной методики качественной оценки рисков Facilitated Risk Analysis and Assessment Process [134] (расчет степени возможности реализации угроз и их уровней критичности) стало возможным определение множества показателей защищенности сети, включающего в себя и качественный интегральный показатель,
3) Разработана методика детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, базирующаяся на представленных в диссертационной работе моделях и алгоритмах и обладающая следующими особенностями, подчеркивающими ее новизну; а) используется единый подход (к построению и анализу дерева атак) как для этапа проектирования сети, так и для этапа ее эксплуатации; б) основные этапы методики автоматизированы за счет разработанных автором диссертации алгоритмов; в) не за-действуются программные средства активного анализа защищенности, способные нарушить функционирование отдельных сервисов или сети в целом. Использование систем анализа защищенности, реализующих данную методику, позволяет удовлетворить требования пользователей, основными из которых являются функционирование систем на различных этапах жизненного цикла сети, учет политики безопасности, конфигурации сети и модели нарушителя, расчет множества показателей защищенности, выявление «узких» мест, формирование рекомендаций, направленных на повышение уровня защищенности.
Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в данной области [38, 47, 50], подтверждается согласованностью теоретических результатов с результатами, полученными при компьютерной реализации и при выполнении анализа защищенности для существующих компьютерных сетей, а также апробацией основных теоретических положений диссертации в печатных трудах и докладах на научных конференциях.
Практическая ценность диссертационной работы. Разработанные модели и методика детального анализа защищенности компьютерных сетей предназначены для создания новых (или расширения функциональных возможностей существующих) средств (систем) анализа защищенности (САЗ), осно ванных на имитации атакующих действий нарушителя. Подобные средства предназначены для определения множества показателей защищенности, характеризующих безопасность анализируемой компьютерной сети на этапах проектирования и эксплуатации, обоснования решений по составу используемых (или планируемых к использованию) средств защиты информации.
Унификация входных данных, используемых при анализе защищенности, для различных этапов жизненного цикла компьютерных сетей, обеспечивается за счет формирования спецификаций конфигурации сети (описывает топологию, состав используемого ПО и АО) и реализуемой политшш безопасности (описывает правила фильтрации сетевого трафика, аутентификации, авторизации и т. п.). В качестве языка представления данных спецификаций в диссертационной работе предлагается использовать язык XML. На этапе проектирования данные спецификации формируются проектировщиком, на этапе эксплуатации — получаются при анализе сети в автоматическом режиме с использованием специализированных программных средств.
Системы анализа защищенности компьютерных сетей, базирующиеся на предложенных моделях и методике, позволят проектировщику и (или) системному администратору сети определять не только известные уязвимости в используемом программном и аппаратном обеспечении, но и определять трасы возможных атак (последовательности выполняемых нарушителем атакующих действий), выявлять «узкие» места в безопасности компьютерной сети, моделировать поведение нарушителей, определяемых множеством параметров (например, внешних и внутренних нарушителей), принимать обоснованные решения по составу используемых (или планируемых к использованию) средств обеспечения безопасности.
Реализация результатов работы. Отраженные в диссертационной работе исследования проведены в рамках следующих научно-исследовательских работ: проекта шестой рамочной программы Европейского сообщества (Research Project of the European Community sixth framework programme) «Policy-based Security Tools and Framework (POSIT1F)» (Contract # IST-2G02-0G2314, 2004-2007); проекта «MIND— Machine Learning for Intrusion Detection», поддерживаемого Федеральным Министерством образования и науки Германии (грант 01ISC40A, 2004-2006); «Разработка прототипа программных средств ложной информационной системы», поддерживаемого ФГУП «Центр инфор мационных технологий и систем органов исполнительной власти— ЦИТиС» (2003-2004); Российского фонда фундаментальных исследований (РФФИ) «Математические модели и методы защиты информации в компьютерных сетах, основывающиеся на многоагентных технологиях, и их экспериментальная оценка» {проект №01-01-00108, 2001-2003); Российского фонда фундаментальных исследований (РФФИ) «Моделирование процессов защиты информации в компьютерных сетях в антагонистической среде: формальный подход, математические модели, многоагентная архитектура, программный прототип и экспериментальная оценка» (проект №04-01-00167, 2004-2006); программы фундаментальных исследований отделения информационных технологий и вычислительных систем (ОИТВС) Российской академии наук «Математические модели активного анализа уязвимостей, обнаружения вторжений и противодействия сетевым атакам в компьютерных сетях, основывающиеся на многоагентных технологиях» (контракт № 3.2/03,2003-2007) и др.
Апробации результатов работы. Основные положения и результаты диссертационной работы докладывались на следующих научных конференциях: «International Conference on Security and Cryptography (SECRYPT-2006)» (Сетубал, Португалия, 2006); «The 10th IFIP Conference on Communications and Multimedia Security (CMS-2006)» (Хераклион, Греция, 2006); XII, XIII, XIV, XV общероссийские научно-технические конференции «Методы и технические средства обеспечения безопасности информации (МТСОБИ)» (Санкт-Петербург, 2003-2006); Международная научная школа «Моделирование и анализ безопасности и риска в сложных системах (МАБР-2006)» (Санкт-Петербург, 2006); «X Национальная конференция по искусственному интеллекту с международным участием (КИИ-2006)» (Обнинск, 2006); Международные научно-технические конференции «Интеллектуальные системы» (AIS) и «Интеллектуальные САПР» (CAD) (Дивноморское, 2004-2006); «Пятая общероссийская конференция «Математика и безопасность информационных технологий (МаБИТ-2006)» (Москва, 2006); «Third International Workshop on Mathematical Models, Methods and Architectures for Computer Network Security-2005» (Санкт-Петербург, 2005); Вторая всероссийская научно-практическая конференция по имитационному моделированию и его применению в науке и промышленности «Имитационное моделирование. Теория и практика. ИММОД-2005» (Санкт-Петербург, 2005); III и IV Санкт-Петербургские межрегиональные конференции «Информационная безопасность регионов России (ИБРР)» (Санкт-Петербург, 2003, 2005); VIII и IX международные конференции «Региональная информатика» (Санкт-Петербург, 2004, 2002); VI Международная конференция по мягким вычислениям и измерениям. SCM-2003 (Санкт-Петербург, 2003).
Публикации, По материалам диссертационной работы опубликовано 17 статей, в том числе 4 ([36, 45, 46, 47]) из «Перечня ведущих рецензируемых научных журналов и изданий, выпускаемых в Российской Федерации, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени доктора наук (2001-2005)», утвержденном Высшей аттестационной комиссией [65] («Проблемы информационной безопасности. Компьютерные системы», «Известия высших учебных заведений. Приборостроение»).
Структура и объем диссертационной работы. Диссертационная работа объемом 149 машинописные страницы, содержит введение, три главы и заключение, список литературы, содержащий 187 наименований, 14 таблиц, 46 рисунков. В приложениях приведен глоссарий, примеры использования разработанного программного прототипа системы анализа защищенности и спецификации тестовых компьютерных сетей, используемых для оценки сложности предложенных в работе алгоритмов.
Краткое содержание работы. В первой главе диссертации рассмотрено современное состояние проблемы анализа защищенности компьютерных сетей. Приведены основные определения и обзор действующих в настоящее время нормативных документов (ГОСТ Р ИСО/МЭК 15408-2002, ISO/IEC 17799, РД Гостехкомиссии РФ), регламентирующих анализ защищенности компьютерных сетей. Описаны существующие методы и средства анализа защищенности компьютерных сетей (RiskWatch, Microsoft Baseline Security Analyzer, Ncs-sus Security Scanner a т.д.) на различных этапах их жизненного цикла. Показано, что на этапе проектирования для анализа защищенности используются различные подходы к анализу рисков (по двум и по трем факторам). Используемые на этапе эксплуатации методы и средства условно разделяются на две группы: пассивные (например, сбор и анализ информации с хостов) и активные (например, «тестирование на проникновение»). Выявлены недостатки существующих средств анализа защищенности и показано, что одним из перспективных на правлений устранения данных недостатков является создание систем анализа защищенности, базирующихся на имитации атакующих действий нарушителей, построении и анализе дерева атак. Для создания подобных перспективных систем анализа защищенности необходимо разработать множество моделей, включая модели компьютерных атак и нарушителя, модель анализируемой компьютерной сети, модели формирования дерева атак и оценки уровня защищенности, а также разработать методику анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации. Представлены основные подходы к построению необходимых моделей, выявлены их недостатки. На базе сравнительного анализа методов и средств анализа защищенности определены требования к системам анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации. Представлена постановка задачи исследования.
Во второй главе описывается обобщенная архитектура системы анализа защищенности, удовлетворяющая предъявляемым к данным системам требованиям. Представлены разработанные в рамках диссертационной работы модели компьютерных атак, нарушителя, анализируемой компьютерной сети, формирования дерева атак и оценки уровня защищенности компьютерных сетей, используемые основными модулями системы анализа защищенности. Модель компьютерных атак описывает возможные действия нарушителя и формирует сценарии выполнения этих действий. Модель нарушителя конкретизирует, кто, какими средствами и с использованием каких знаний может реализовывать угрозы и наносить ущерб объекту защиты. Модель анализируемой компьютерной сети состоит из трех компонентов; (1) компонент, с помощью которого описывается конфигурация (используемое программное и аппаратное обеспечение) компьютерной сети; (2) компонент распознавания действий нарушителя, определяющий по последовательности сетевых пакетов или команд ОС высокоуровневый идентификатор атакующего действия; (3) компонент реакции компьютерной сети, формирующий отклик (в частном случае — изменение конфигурации) сети при получении высокоуровневого идентификатора атакующего действия. Представлены модели формирования дерева атак, описывающего все возможные варианты выполнения атакующих действий нарушителем, и оценки уровня защищенности, охватывающая множество показателей защищенности и правил (формул), используемых для их расчета. Показано, что общий уровень защищенности сети может определяться по дереву атак на базе оценки серьез ности (критичности) атакующего действия, рассчитываемой с использованием подхода Common Vulnerability Scoring System (CVSS) [129], при помощи модифицированной методики анализа рисков Facilitated Risk Analysis and Assessment Process (FRAAP) [134]. Использование подхода, основанного на построений дерева атак, позволило производить расчет показателей защищенности (оценку защищенности компьютерных сетей) как на этапе их эксплуатации, так и на этапе проектирования.
Третья глава посвящена методике анализа защищенности компьютерных сетей, использующей построение дерева атак и его анализ, и оценке эффективности ее применения с использованием разработанного прототипа системы анализа защищенности. Выделены и охарактеризованы четыре этапа данной методики: (1) подготовительный этап; (2) инициализация; (3) построение дерева атак и его анализ; (4) анализ полученных результатов и выполнение рекомендаций. Действия, проводимые в рамках методики разделены на две группы: (1) действия проектировщика (администратора) и (2) действия, выполняемые системой анализа защищенности. Проведена оценка качества и сложности алгоритмов построения дерева атак и его анализа. Описана архитектура разработанного прототипа САЗ, приведены UML диаграмма модели анализируемой компьютерной сети и структура используемой базы данных уязвимостей. Оценка эффективности применения предложенной методики анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации по основным свойствам эффективности (своевременность, обоснованность и ресурсопотребление) позволяет признать ее соответствующей предъявляемым требованиям. Сформулированы предложения по использованию методики.
Положения, выносимые на защиту
1- Модель компьютерных атак, представленная в иерархическом виде и состоящая из трех уровней: уровня параметризации процесса анализа защищенности и учета характеристик нарушителя, сценарного и уровня атакующих действий. Модель нарушителя позволяет учесть такие его характеристики как первоначальное положение в сети (по данной характеристике нарушителей можно разделить на две группы; внешние и внутренние), первичные знания об атакуемой компьютерной сети (например, нарушителю может быть известна топология сети, но не известно используемое программное обеспечение), уровень зна ний и умений (данный параметр позволяет определить перечень известных нарушителю уязвимостеЙ и программных средств, реализующих их)- Особенностями модели компьютерных атак являются: а) выделение трех уровней позволило использовать для формирования сценарного уровня экспертные знання, а для уровня атакующих действий — внешние базы данных уязвимостеЙ; б) возможность генерации сценариев атак с учетом характеристик нарушителя.
2. Модели формирования дерева атак и оценки уровня защищенности на базе анализа данного дерева. В качестве вершин дерева атак выступают атакующие действия (с учетом целей выполнения данных действий), ребра служат для определения последовательности выполнения атакующих действий. Дерево атак позволяет представить возможные атакующие действия нарушителя, уточнить понятия «трасса атаки» и «угроза». Распространение подхода Common Vulnerability Scoring System на данные понятия (определение для них показателя «сложность в доступе») и использование модифицированной методики качественной оценки рисков Facilitated Risk Analysis and Assessment Process (расчет степени возможности реализации угроз и их уровней критичности) позволило определить множество показателей защищенности сети, включающего в себя и качественный интегральный показатель.
3. Методика детального анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, базирующаяся на представленных в диссертационной работе моделях и алгоритмах и обладающая следующими особенностями: а) используется единый подход (к построению и анализу дерева атак) как для этапа проектирования сети, так и для этапа ее эксплуатации; б) основные этапы методики автоматизированы за счет разработанных автором диссертации алгоритмов; в) не задействуются программные средства активного анализа защищенности, способные нарушить функционирование отдельных сервисов или сети в целом.
Требования к системам анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации
Основными недостатками данной методики являются: (1) жесткая ориентация только на этап эксплуатации компьютерной сети; (2) относительно долгий процесс анализа (привлечение списков проверки, заполняемых вручную и т.п.); (3) использование программных средств активного анализа защищенности, способных нарушить функционирование отдельных сервисов или сети в целом.
Таким образом, одним из перспективных направлений построения систем анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации является создание подхода, базирующегося на имитации действий нарушителя, последовательность которых можно представить в виде графа (или дерева) атак. Вычисление различных показателей, характеризующих защищенность компьютерной сети, в данном подходе производится при помощи анализа полученного графа (дерева) атак.
Использование графов для представления атакующих действий нарушителя носит более универсальный характер (например, появляется возможно использования циклов), однако при этом существенно усложняются алгоритмы их (графов) формирования и анализа по сравнению с аналогичными алгоритмами, работающими с деревьями атак. По этой причине в данной диссертационной работе для представления атакующих действий нарушителя используются деревья атак,
Сравнительный анализ методов и средств A3 позволил определить требования к САЗ компьютерных сетей на этапах проектирования и эксплуатации, в основу реализации которых должен быть положен модельно-методический аппарат разрабатываемый в настоящей работе. Множество требований разделено на две группы: функциональные и нефункциональные. Функциональные требования представляют собой перечень функций (сервисов), которые должна выполнять система. Нефункциональные требования описывают целевые характеристики системы, такие как временные ограничения, перечень используемых стандартов и т.д. [і 11].
Определим множество функциональных требований к САЗ следующим образом:
1) система должна реализовывать анализ защищенности компьютерных сетей на различных этапах их жизненного цикла (при проектировании сети должны учитываться требования на защищенность, определяемые ее владельцем; на этапе эксплуатации необходимо постоянно производить мониторинг защищенности);
2) система должна учитывать не только конфигурацию анализируемой сети (топологию, состав программного и аппаратного обеспечения), но и реализуемую в пей политику безопасности, включающую правила фильтрации, аутентификации, авторизации и др. Демонстрацией важности данного требования может служить следующий пример. Пусть СЛЗ обнаружила уязвимость в одном из общедоступных сетевых сервисов. Администратор может устранить ее путем установки пакета программных коррекций («заплатки»). Однако если производитель уязвимого ПО не успел выпустить «заплатку», то для того, чтобы уровень защищенности сети не понизился, администратор вынужден временно закрыть для внешних пользователей доступ к данному сервису путем добавления правила фильтрации (изменения политики безопасности) на корпоративный межсетевой экран;
3) система должна использовать внешние базы данных уязвимостей для обновления внутренних баз и поддержки их в актуальном состоянии. Для всеобъемлющего анализа защищенности необходимо учитывать все известные на текущий момент уязвимости. Существует несколько баз данных уязвимостей, поддерживаемых коммерческими компаниями и сообществом специалистов в области защиты информации. Одной из наиболее известных является National Vulnerability Database (NVDB)[161], представляющей собой совокупность XML-файлов, что обеспечивает простоту использования при разработке средств защиты информации и анализа защищенности. Пример описания уязвимости из базы NVDB представлен на рис, 10. Таким образом, для качественного анализа защищенности САЗ должна обладать механизмом автоматического обновления внутренней базы уязвимостеи с использованием внешних баз;
4) система должна учитывать модель нарушителя, в частности, учитывать следующие его характеристики: (1) первоначальное положение (может задаваться в виде хоста, на котором находится нарушитель перед реализацией атакующих действий; данный параметр позволяет моделировать внешних и внутренних нарушителей); (2) уровень знаний и умений (данный параметр позволяет определить перечень известных нарушителю уязвимостеи и программных средств, реализующих их); (3) первичные знания об анализируемой сета (данный параметр позволяет моделировать ситуацию, когда нарушителем были предварительно получены некоторые данные о топологии сети или составе ПО и АО с использованием таких методов, как социальная инженерия)
Модели компьютерных атак и нарушителя
Модель компьютерных атак используется для описания действий нарушителя и формирования сценариев выполнения этих действий. С моделью компьютерных атак тесно связана модель нарушителя [69], позволяющая учесть такие его характеристики, как і первоначальное положение в сети, первичные знания об атакуемой компьютерной сети, уровень знаний и умений.
Создание модели компьютерных атак начинается с формирования концептуальной модели, которая затем формализуется.
При разработке концептуальной модели компьютерных атак были использованы следующие результаты, представленные в работах, рассмотренных в разделе 2: (1) показанная в работе [124] необходимость формирования атак, выполняемых одновременно несколькими нарушителями, позволила выделить компонент модели, описывающий уровень параметризации процесса A3 и учета характеристик нарушителя; (2) работа [175] позволила определить перечень основных этапов сценария реализации атакующих действий (компонент, описывающий сценарный уровень); (3) использование в работе [336] онтологии, нижним уровнем которой являются представления атак в виде последовательности сетевых пакетов или команд ОС, позволило определить компонент модели, описывающий атакующие действия.
Таким образом, концептуальная модель компьютерных атак имеет вид иерархической структуры, состоящей из следующих уровней (рис. 16): (1) уровень параметризации процесса A3 и учета характеристик нарушителя; (2) сценарный уровень и (3) уровень атакующих действий.
Уровень параметризации процесса A3 и учета характеристик нарушителя позволяет задать множество пар (объект, цель атаки). Такую пару назовем целью уровня параметризации процесса A3 и учета характеристик нарушителя. На данном уровне может быть обеспечено согласование нескольких целей, которые реализуются группой нарушителей. В качестве примера подобного взаимодействия двух нарушителей можно привести атаку на один хост, состоящую из двух этапов: (1) разведка и (2) реализация угрозы отказа в обслуживании. Уровень 1: параметризации процесса A3 и учета характеристик нарушителя Высокоуровневые цепи, параметры, модель нарушителя Сокрытие следов
Пусть каждый нарушитель выполняет действия одного этапа. Реакцией атакуемой сети на проведение первым нарушителем этапа разведки может быть изменение правил фильтрации сетевого трафика таким образом, чтобы пакеты с его хоста отбрасывались на граничном хосте сети и не попадали на атакуемый хост (т.е., в данном случае, нарушитель, выполнив этап разведки, не сможет непосредственно реализовать угрозу отказа в обслуживании). Тогда первый нарушитель сообщает полученную им на этапе разведки информацию второму, который беспрепятственно реализует данную угрозу. Данный пример демонстрирует то, как декомпозиция общей цели на составляющие (разведку и реализацию угрозы на нарушение доступности) позволяет обойти используемые в анализируемой сети средства защиты информации. На уровне параметризации процесса A3 и учета характеристик нарушителя модели компьютерных атак задаются характеристики нарушителя, учет которых осуществляется на уровне атакующих действий.
Сценарный уровень позволяет формировать множество различных сценариев (последовательности атакующих действий) с учетом цели, заданной на уровне параметризации процесса A3 и учета характеристик нарушителя. Каждый этап сценария концептуальной модели компьютерных атак (рис. 16) может быть детализирован, согласно достигаемым данным этапом сценарием целям, например, этап «Разведка» разбивается на «Определение функционирующих хостов», «Определение типа ОС» и т.д. В свою очередь «Определение типа ОС» разбивается на «Активное исследование стека» и «Пассивное исследование стека». Сценарный уровень модели компьютерных атак формируется экспертами.
Уровень атакующих действий концептуальной модели компьютерных атак описывает действия нарушителя, которые разбиваются на две группы: (1) действия, использующие уязвимости ПО и АО (например, использование уязвимости land) и (2) обычные действия легитимного пользователя системы (в том числе действия по использованию утилит получения информации о хосте или сети), такие как «удаление файла», «остановка сервиса ОС» и т.п. Такое разделение действий нарушителя необходимо по следующей причине: множество атакующих действий, использующих различные уязвимости, может обновляться автоматически на основе общедоступных баз данных уязвимостей, например, NVDB [161], а для создания базы данных обычных действий легитимных пользователей необходимо прибегнуть к помощи экспертов.
Формальная модель компьютерных атак МКА представляется следующим образом; М =(м ,М М У где М— компонент, описывающий уровень параметризации процесса A3 и учета характеристик нарушителя; М — компонент, описывающий сценарный уровень; М — компонент, описывающий атакующие действия. Взаимосвязь данных компонентов представлена на рис» 17
Алгоритм формирования дерева атак
Модель оценки уровня защищенности охватывает множество различных показателей защищенности и правил (формул), используемых для их расчета [105], В соответствие с существующими методами анализа защищенности, определение значений отдельных показателей и общая оценка уровня защищенности анализируемой компьютерной сети может производиться с использованием количественных или качественных шкал [92]. Например, при использовании количественных шкал вероятность проведения атаки может выражаться числом в интервале [0,1], а ущерб от атаки — задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешной атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Достоинства и недостатки каждого из подходов сведены в табл. 3 [139].
Так как использование качественных шкал носит более универсальный характер при разработке методики анализа защищенности, то в диссертационной работе рассматривается второй подход— использование качественной шкалы для определения уровня защищенности анализируемой компьютерной сети.
Множество всех ПЗ строится на базе полностью сформированного дерева атак» ПЗ могут характеризовать защищенность как базовых, так и составных объектов дерева атак, поэтому, все ПЗ можно классифицировать по следующим признакам: (1)но разделению объектов дерева атак на базовые и составные; (2) в соответствии с порядком вычислений. Кроме этого, так как основной целью анализа защищенности является получение уровня защищенности анализируемой компьютерной сети, ПЗ могут быть классифицированы в соответствии с тем, используются ли они для получения данного уровня или нет.
Б соответствии с разделением объектов дерева атак на базовые и составные, множество всех показателей защищенности можно подразделить на следующие группы [50]: (1) ПЗ, формируемые по базовым объектам (ПЗ по хостам, ПЗ по атакующим действиям); (2) ПЗ, формируемые по составным объектам (ПЗ по трассам атак, ПЗ по угрозам, ПЗ по дереву атак)»
Б соответствии с порядком вычислений все ПЗ можно разделить на две группы [51]: (1) первичные и (2) вторичные. Первичные ПЗ получаются непосредственно из дерева атак с использованием параметров атакующих действий, атакуемых хостов и анализируемой сети в целом (например, критичность атакующего действия, трассы, хоста); вторичные — рассчитываются с использованием первичных (например, размер ущерба, вызванного реализацией атакующего действия с учетом уровня критичности атакуемого хоста),
В соответствии с тем, используются ли показатели для определения уровня защищенности анализируемой компьютерной сети, выделим основные и вспомогательные показатели. Основные показатели непосредственно используются для получения качественной оценки уровня защищенности анализируемой сети. Вспомогательные показатели служат для построения «детальной картины» защищенности сети, требуемой, например, для выявления «узких» мест в защите и выработки рекомендаций по повышению защищенности. Например, анализ показателя А (массив количества трасс, проходящих через каждый хост дерева), позволит выявить те хосты, через которые проходит максимальное количество трасс атак, т.е. являющиеся «узкими местами» в защите,
В качестве основных определим следующие показатели (получение уровня защищенности компьютерной сети с использованием данных показателей описано ниже): критичность хоста h (Criticality{h)); уровень критичности атакующего действия a (Severity(a))\ размер ущерба, вызванного выполнением атакующего действия с учетом уровня критичности атакуемого хоста (MortaIity{a,h)); размер ущерба при выполнении трассы S и угрозы Т
(Mortallty S) и Mortality {Т))\ «сложность а доступе» для атакующего действия, трассы и угрозы (AccessComplexity a), AccessCompIexity(S), AccessComplexity{T)); степень возможности реализации угрозы Т (Realization(T)); уровень риска угрозы Т (RiskLevel(T)); уровень защищенности анализируемой компьютерной сети (SecurityLevel).
Некоторые основные показатели защищенности (например, Severity(a)) и значительная часть вспомогательных показателей рассчитываются с использованием Common Vulnerability Scoring System (CVSS) [38],
Индексы CVSS разделены на три основные группы, по каждой из которых рассчитывается интегральный индекс [129]: (1) базовые; (2) временные и (3) связанные с окружением. Базовые индексы определяют критичность атакующего действия, реализующего конкретную уязвимость. Временные индексы определяют актуальность уязвимости є заданный момент времени. Индексы, связанные с рабочим окружением, должны использоваться организациями для расстановки приоритетов при планировании действий по устранению уязвимо-стсй. Значения всех индексов CVSS (кроме интегральных) устанавливаются экспертным путем. Допустимые значения индексов и их назначение перечислены в [129]. Формулы для расчета интегральных индексов CVSS приведены на рис, 22, рис. 23, рис. 24 [129].
Оценка сложности разработанных алгоритмов и эффективности применения предложенной методики анализа защищенности компьютерных сетей
Спецификации тестовых компьютерных сетей на языке SDL приведены на стр. 177. Результаты измерений сведены в табл. 10 и представлены на рис. 44.
—проводилось три эксперимента, результаты которых приведены че рез символ «/»(в скобках указано среднее время по трем экспериментам)
Сравним теоретические расчеты сложности алгоритма формирования дерева атак и полученные практические результаты для тестовых сетей с уяз-вимостями. Для этого рассмотрим три отношения сложности, рассчитанной аналитически: F]9/F9 F /F{9, F39/F9 (где индекс обозначает число анализируемых хостов в сети) и три отношения времени построения дерева атак для конфигураций network-20.vuln.sdl и nctwork-10.vuln.sdl, network-40.vuln.sdl и network-20.vuln.sdl, network-40.vuln.sdl и network-10.vuln.sdL Данные отношения представлены на рис» 45.
Используя формулу (3-2) для расчета сложности алгоритма построения дерева атак, получаем:
Необходимо отметить, что расхождение теоретических и практических оценок сложности данного алгоритма построения дерева атак может возникнуть по следующим причинам: (1) аналитические выражения выведены при предположении о том, что анализируемая сеть не делится на сегменты (на практике формирование дерева атак осуществляется с учетом доступности хостов); (2) программный прототип САЗ использует запросы к БД уязвимостей «SELECT», которые кэшируются и оптимизируются системой управления БД (СУБД). Учитывая эти два обстоятельства, можно утверждать, что в некоторых случаях практическая сложность может быть значительно ниже теоретической. Принимая во внимание данное утверждение, можно сделать вывод о соответст 124
вии аналитических формул для оценки сложности алгоритма формирования дерева атак полученным практически результатам.
Приведенные выше расчеты показывают, что сложность предложенного в диссертационной работе подхода к анализу защищенности компьютерных сетей растет пропорционально факториалу количества хостов, на которые нарушитель может перейти при реализации атакующих действий. Следовательно, данный подход не может быть использован для больших сетей без соответствующей модификации. Для уменьшения сложности можно предложить использование следующих подходов:
1) разбиение сети на фрагменты, распараллеливание вычислений для каждого фрагмента и последующее объединение решений;
2) использование агрегирования и абстрагирования представлений атакующих действий и (или) объектов сети (по атакующим действиям; по объектам сети; комбинирование различных подходов к использованию агрегирования и абстрагирования);
3) комбинирование распараллеливания, агрегирования и абстрагирования. свойство, характеризующее ее приспособленность к выполнению поставленной перед ней задачи (свойство соответствовать цели) [16], т.е. свойство обеспечивать выработку своевременной и обоснованной информации о защищенности компьютерной сети. Оценка эффективности включает выбор номенклатуры свойств и показателей эффективности, определение значений данных показателей и сравнение их с требованиями.
Рассмотрим следующие свойства эффективности: своевременность, обоснованность и ресурсопотребление,
В методике анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации выделяется четыре этапа: (1) подготовительный; (2) этап инициализации; (3) этап построения дерева атак н его анализа; (4) этап анализа полученных результатов и выполнения рекомендаций.
Предложим методику определения своевременности, основанную на использовании методов сетевого планирования и управления. Процесс анализа защищенности компьютерных сетей представляет собой технологически увязанные операции (работы), представленные в табл. 11, В этом случае его удобно представлять сетевым графом с различной степенью детализации (совокупность операций образует этап)»
В общем случае время реализации методики анализа защищенности компьютерных сетей на этапе проектирования и эксплуатации будет складываться из продолжительности операций рассматриваемых этапов: С ИГ +І +ІІ . где i=5 8 = =2.в да выражении первые два слагаемых описывают продолжительность операций первого этапа, третье — со второго по четвертый этапы включительно.
Продолжительности реализации операций рассматривается как величина случайная, вероятность которой подчиняется нормальному закону распределения [62]. На практике наибольшее распространение для оценки продолжительности операций получил закон бета-распределения в интервале [/тіп шч] с ПЛОТНОСТЬЮ [63]
