Математическая морфология.

Электронный математический и медико-биологический журнал. - Т. 7. -

Вып. 4. - 2008. - URL:

http://www.smolensk.ru/user/sgma/MMORPH/TITL.HTМ

http://www.smolensk.ru/user/sgma/MMORPH/N-20-html/TITL-20.htm

http://www.smolensk.ru/user/sgma/MMORPH/N-20-html/cont.htm

 

 

УДК 004.056

 

КОЛИЧЕСТВЕННАЯ ОЦЕНКА БЕЗОПАСНОСТИ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ

 

Ó 2008 г. Малашенкова И. В., Панкратова Е. А., Семенова О. В.

 

(malashenkova-3.doc)

 

В статье содержится анализ классификации угроз безопасности STRIDE и   предложены методы борьбы с угрозами безопасности.   Для выбора эффективного метода защиты в статье рассматриваются методики количественной оценки риска опасности для конкретной вычислительной системы. В качестве основной методики берется методика оценки риска DREAD. В данной статье  предлагают включить в методику DREAD еще один показатель – затраты финансов и ресурсов на устранение последствий успешной атаки. В данной статье также  приведено краткое описание   технологий защиты

Ключевые слова: подмена сетевых объектов, модификация данных, отказ от авторства, разглашение информации, отказ в обслуживании, повышение привилегий, STRIDE, потенциальный ущерб, воспроизводимость, подверженность взлому, круг пользователей, попадающих под удар, вероятность обнаружения,  DREAD, аутентификация, авторизация, аудит.

 

Процесс предотвращения  или снижения критичности грозящих вычислительной системе опасностей состоит из трех этапов:

1.       Классификация угроз безопасности, грозящих системе;

2.       Определение методов защиты от опасностей;

3.       Выбор технологии защиты.

Для  классификации угроз безопасности (первый этап) может быть использована  классификация, называемая  STRIDE,  по первым буквам английских названий категорий [1]:

·          Подмена сетевых объектов (Spoofing identity) Атаки подобного типа по­зволяют взломщику выдавать себя за другого пользователя или подменять настоящий сервер подложным. Пример подмены личности пользователя — использование чужих аутентификационных данных (имени пользователя пароля) для атаки на систему. Типичный пример подобной бреши  - применение ненадежных методов аутентификации.

·          Модификация данных (Tampering with data) Атаки этого типа предусмат­ривают злонамеренную порчу данных. Примеры: несанкционированные изме­нения постоянных данных (например, хранящихся в базе данных), а также информации, пересылаемой между компьютерами через открытую сеть (на­пример, Интернет).

·          Отказ от авторства (Repudiation) Контрагент отказывается от совершенного им действия (или бездействия), пользуясь тем, что у другой стороны нет ни­какого способа доказать обратное. Например, в системе, где не ведется аудит, пользователь может выполнить запрещенную операцию и отказаться от ее «авторства», а администратору не удастся ничего доказать. Невозможность отрицания авторства (nonrepudiation) — это способность системы противо­стоять такой опасности.

·          Разглашение информации (Information disclosure) Подразумевается рас­крытие информации лицам, доступ к которой им запрещен, например, про­чтение пользователем файла, доступ к которому ему не предоставлялся, а так­же способность злоумышленника считывать данные при передаче между ком­пьютерами.

·          Отказ в обслуживании (Denial of service) В атаках такого типа взломщик пытается лишить доступа к сервису правомочных пользователей, например, сделав Web-сервер временно недоступным или непригодным для работы. Не­обходимо защищаться от определенных видов DoS-атак — это повысит доступ­ность и надежность системы.

·          Повышение привилегий (Elevation of privilege) В данном случае непри­вилегированный пользователь получает привилегированный доступ, позволя­ющий ему «взломать» или даже уничтожить систему. К повышению привиле­гий относятся и случаи, когда злоумышленник удачно проникает через защит­ные средства системы и становится частью защищенной и доверенной под­системы.

Модель  STRIDE разработана фирмой Microsoft и успешно применяется для определения опасностей, грозящих разрабатываемым системам.

На втором этапе следует определить методы защиты от  угроз безопасности. Для решения данной задачи авторами статьи  был проведен анализ атак на объекты вычислительных систем и определены возможные методы защиты.  Результаты исследований авторов приведены в таблице 1, в которой  перечислены методы, применяемые для борьбы с опасностями, описанными в модели STRIDE [1].

 

Таблица 1. Основные методы  борьбы с опасностями

 

Тип опасности 

Средства борьбы

Подмена сетевых объектов (S)

·       Надежный механизм аутентификации

·       Защита секретных данных

·       Отказ от хранения секретов     

Модификация данных   (T)                 

·       Надежный механизм авторизации

·       Использование хешей

·              МАС-коды

·       Цифровые подписи

·       Протоколы, предотвращающие прослушивание трафика

Отказ от авторства (R)                              

·       Цифровые подписи

·       Метки даты и времени

·       Контрольные следы

Разглашение информации  (I)

·       Авторизация

·       Протоколы с усиленной защитой от несанкциони­рованного доступа

·       Шифрование

·       Защита секретов

·       Отказ от хранения секретов                     

Отказ в обслуживании   (D)

·       Надежный механизм аутентификации

·       Надежный механизм авторизации

·       Фильтрация

·       Управление числом входящих запросов

·       Качество обслуживания

Повышение уровня привилегий  (E)

·       Выполнение с минимальными привилегиями

     Предложенные в таблице 1 средства борьбы  с опасностями можно свести к следующим:

·          Аутентификация;

·          Авторизация;

·          Защита от несанкционированного доступа;

·          Аудит;

·          Фильтрация.

Для выбора одного из предложенных методов  желательно  выполнить количественную оценку риска опасности для конкретной вычислительной системы. Как правило,  применяют следующие методы количественной оценки риска:

1. Способ оценки риска (Risk) — умножить важность (величина потенциального ущерба) уязвимого места на вероятность того, что им воспользуются. Критичность и вероятность оценивают по шкале от 1 до 10:

<Risk>=<Потенциальный ущерб> * <Вероятность возникновения>

чем больше полученное число, тем больше угроза системе. Так, максимально возможная оценка риска равна 100 — произведению максимальной важности (10)  и вероятности возникновения (10).

2. Еще один способ оценки риска –DREAD назван так по первым буквам английских названий описанных далее категорий:

·          Потенциальный ущерб (Damage potential) — мера реального ущерба от успешной атаки. Наивысшая степень (10) опасности означает практически беспрепятственный взлом средств защиты и выполнение практически любых операций. Повышению привилегий обычно присваивают оценку 10. В других  ситуациях оценка зависит от ценности защищаемых данных. Для медицинс­ких, финансовых и военных данных она обычно высока.

·          Воспроизводимость (Reproducibility) — мера возможности реализации опасности. Некоторые бреши доступны постоянно (оценка — 10), другие — только в зависимости от ситуации, и их доступность непредсказуема, то есть нельзя наверняка знать, насколько успешной окажется атака. Бреши в устанавливаемых по умолчанию функциях характеризуются высокой воспроизводи­мостью.

·          Подверженность взлому (Exploitability) — мера усилий и квалификации необходимых для атаки. Так, если ее может реализовать неопытный програм­мист на домашнем компьютере - 10. Если же для ее проведения надо потратить 100 000 000 долларов, оценка опасности - 1. Атака, для которой можно написать алгоритм (а значит, распростра­нить в виде сценария среди любителей), также оце­нивается в 10 баллов. Следует также учитывать необходимый для атаки уро­вень аутентификации и авторизации в системе. Например, если это доступно любому удаленному анонимному пользователю,  подобная опасность оценива­ется 10 баллами. А вот атака, доступная только доверенному локальному пользо­вателю, менее опасна.

·          Круг пользователей, попадающих под удар (Affected users) — доля пользо­вателей, работа которых нарушается из-за успешной атаки. Оценка выполня­ется на основе процентной доли: 100% всех пользователей соответствует оценка 10, а 10% — 1 балл. Иногда опасность становится реальной только в системе, сконфигурированной особым образом. Чрезвычайно важно проводить границу между сервером и клиентским компьютером: от ущерба, нанесенного серверу, пострадает больше клиентов и, возможно, другие сети. В этом случае балл зна­чительно выше, чем оценка атаки только на клиентские компьютеры.Также не следует забывать о размерах рынка и абсолютном, а не только процентном, количестве пользователей. Один процент от 100 млн. пользователей — это все равно много.

·          Вероятность обнаружения (Discoverability) — самая сложная для опреде­ления оценка. Как правило,  любая опасность поддается реализации, поэтому  можно ставить всегда 10 баллов. Суммарная DREAD-оценка равна арифметическому среднему всех оценок (то есть надо их просуммировать и поделить на 5). Способ оценки риска DREAD предложен М. Ховардом  и  Д. Лебланком.

Авторы данной статьи  предлагают включить в методику DREAD еще один показатель - затраты денег и ресурсов на устранение последствий успешной атаки, условно названный X (eXpense). Таким образом,  для  количественной оценки риска используется модель DREADX и суммарная DREADX-оценка равна сумме всех оценок деленной на 6).

На третьем этапе производится выбор конкретной технологии защиты. Краткое описание   технологий защиты приведено в таблице 2. В таблице 2 рассмотрены только технологии, применяемые в ОС Windows [2].

 

Таблица 2. Выбор  технологии защиты

 

Средства борьбы с опасностями

Технология защиты

Аутентификация

ОС WINDOWS поддерживает следующие методы аутентификации:

·       Базовая аутентификация;

·       Аутентификация на основе хеша;

·       Аутентификация на основе форм;

·       Аутентификация  Microsoft Pfssport;

·       Стандартная аутентификация Windows;

·       Аутентификация по протоколу NTLM;

·       Аутентификация по протоколу  Kerberos 5;

·       Аутентификация на основе сертификатов X.509;

·       Протокол IPSec;

·       RADIUS.

Авторизация

ОС WINDOWS поддерживает следующие методы авторизации:

·       Списки управления доступом ACL;

·       Привилегии;

·       IP-ограничения;

·       Серверные  разрешения.

Технологии защиты от несанкционированного доступа

Для защиты от несанкционированного доступа применяются следующие технологии:

·       SSL/TLS;

·       IPSec;

·       DCOM и RPC;

·       Файловая система с шифрованием EFS;

·       Использование библиотеки CryptoAPI.

Аудит

В ОС WINDOWS  аудит реализован в виде журнала событий Windows, Web-журналов IIS и журналов различных приложений (SQL-сервера и и т.п.)

Фильтрация

Для фильтрации используются межсетевые экраны, которые могут выполнять различные функции по защите информации, в том числе:

·       Идентификация;

·       Ограничение числа анонимных подключений;

·       Обеспечение качества обслуживания, например, приоритетное обслуживание некоторых типов трафика

 

Подробное описание приведенных технологий можно найти в специальной литературе.

ЛИТЕРАТУРА

 

1.       Ховард М., Лебланк Д.  Защищенный код. Пер. с англ. – 2-е  изд., испр. М.:  Издательско-торговый дом «русская редакция», 2004. – 704 стр.: ил.

2.       Ахмад Д.М., Дубровский И., Флинн Х  и др.  Защита от хакеров корпоративных сетей. Пер. с англ. – 2-е  изд. М.:  Компаний АйТи; ДМК- Пресс, 2005. – 864 стр.: ил.

 

QUANTITATIVE SECURITY RATING OF COMPUTATION SYSTEM

 

Malashenkova I. V., Pankratova H. A., Semenova O. V.

 

The article contains an analysis of STRIDE-security threat classification and offers techniques of  a security threat strife. The article deals with quantitative risk assessment methods for a certain computer system. The basic technique is a DREAD risk assessment. In this article it’s offered to include one more parameter to the DREAD- technique – financial costs for the elimination of successful attack’s consequences. A brief description of protection technology is also adduced in the article.

Key words: Spoofing identity, tampering with data, repudiation, Information disclosure, denial of service, elevation of privilege, STRIDE, damage potential, reproducibility, exploitability, affected users, probability of detection,  DREAD, authentification,  authorization , audit.

 

Филиал ГОУ ВПО «МЭИ (ТУ)» в г. Смоленске

Поступила в редакцию 8.12.2008.