Многофакторная система обнаружения внутренних нарушителей в информационной системе

Страницы 1 2 3

---

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ
Глава 1. Модель угроз и модель нарушителя
1.1 Описание объекта защиты
1.2 Модель угроз
1.2.1 Угрозы непосредственного доступа в операционную среду обработки КИ
1.2.2 Угрозы безопасности КИ, реализуемых с использованием протоколов межсетевого взаимодействия
1.2.3 Угрозы программно-математических воздействий
1.2.4 Угрозы, связанные с нетрадиционными информационными каналами
1.3 Модель нарушителя
1.3.1 Описание нарушителей
1.3.2 Предположения об имеющейся у нарушителя информации
1.3.3 Описание каналов атак
1.3.4 Описание объектов атак
1.3.5 Описание целей атак
1.3.6 Предположения об имеющихся у нарушителя средствах атак
1.4 Определение вероятностей реализации атак
1.4.1 Выбор закона Пуассона в качестве закона распределения вероятностен возникновения атак
1.4.2 Расчет интенсивности возникновения атак
1.4.3 Расчет вероятности реализации атак
1.5 Нормативно-правовая база расследования внутренних нарушений
Глава 2. Методы обнаружения нарушителей
2.1 Модель разграничения доступа
2.2 Мониторинг системы
2.4 Система предотвращения потери данных
2.5 InfoWatch Traffic Monitor Enterprise
Глава 3. Динамическая система наблюдения за действиями пользователя
3.1 Информационный почерк пользователя
3.2 Алгоритм идентификации пользователя
3.3 Обнаружение аномальных действий пользователя
3.5 Пример построения система обнаружения нарушителя
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

ВВЕДЕНИЕ

Во все времена информация, полученная своевременно и в нужном объеме, ценилась дороже золота. Так для государственных и коммерческих организаций информация является одним из важнейших ресурсов
За последние несколько лет, как в России, так и в ведущих зарубежных странах имеет место тенденция увеличения числа информационных атак, приводящих к значительным финансовым и материальным потерям. При этом, как отмечают многие исследовательские центры, более 80% всех инцидентов, связанных с нарушением информационной безопасности, вызваны внутренними угрозами, источниками которых являются легальные пользователи системы. Считается, что одной из наиболее опасных угроз является утечка хранящейся и обрабатываемой внутри АИС конфиденциальной информации. Как правило, источниками таких угроз являются недобросовестные или ущемленные в том или ином аспекте сотрудники компаний, которые своими действиями стремятся нанести организации финансовый или материальный ущерб. Все это заставляет более пристально рассмотреть, как возможные каналы утечки конфиденциальной информации, так и дать возможность ознакомиться со спектром технических решений, позволяющих предотвратить утечку данных.
Проблема защиты от внутренних нарушителей крайне сложна в разрешении. В сложных ситуациях (например, если на организацию проводится спланированная атака конкурентов) понадобится напряжение всех сил, как служб информационной безопасности организации, так и юридической службы, и высшего руководства компании. Организация при этом проходит проверку на прочность как в части технической инфраструктуры, так и (даже в большей степени) в части морального климата внутри коллектива.
Усилия служб информационной безопасности должны быть направлены в равной степени, как на выявление фактов утечки, так и на сбор доказательств причастности сотрудников к этим утечкам. Ситуация, когда и виновный в утечке не найден, и работа организации нарушена нервозностью в коллективе, более чем возможна. Нарушитель, имеющий, хотя бы среднюю квалификацию способен обойти многие системы защиты.
Таким образом, имеет смысл рассмотреть комплексный подход к обнаружению внутреннего нарушителя.
Объектом исследования является многофакторная система обнаружения внутренних нарушителей ИС.
Предметом исследования являются методы, алгоритмы выявления обнаружения внутренних нарушителей ИС.
Цель и задачи исследования. Целью является повышение качества подготовки студентов в области информационной безопасности.
Практическая значимость работы. В данной работе будет предложена комплексная система обнаружения внутреннего нарушителя основная на следующих компонентах:
— мониторинг системы;
— идентификация пользователя с помощью информационного почерка;
— обнаружение аномальных действий пользователя.
Методология и методы исследования. Для решения поставленной задачи в работе применяются методы системного анализа, методы математической статистики, факторного анализа.
Апробация работы.
Соответствие темы исследования паспорту специальности. Выпускная квалификационная работа по своему содержанию соответствует пунктам 2 (формализация и постановка задач системного анализа, оптимизации, управления, принятия решений и обработки информации), 4 (разработка методов и алгоритмов решения задач системного анализа, оптимизации, управления, принятия решений и обработки информации) паспорта специальности 10.04.01.

 

Глава 1. Модель угроз и модель нарушителя

Рассмотрим модель внутреннего нарушителя на примере информационной системы (ИС) ИСПЛ. Модели угроз и нарушителя разработаны в соответствии с нормативными документами ФСТЭК и государственными стандартами [1-7].

1.1 Описание объекта защиты

ИС ИСПЛ предназначен для обработки в автоматизированном режиме поступающего массива информации и выдачи результатов обработки заказчику.
ИСПЛ состоит из следующих подсистем:
 терминал ввода, регистрации, распределения и вывода информации (ТИ);
 терминалы обработки информации (ТОИ-х);
 сервера хранения (СХ);
 система контроля доступа пользователей (КП);
 сетевая среда.
Гриф секретности обрабатываемой информации – «для служебного пользования» пользователи каждого ТОИ имеют равные права доступа к информации в рамках одной подсети и, пользователям различных ТОИ могут назначаться различные права доступа. ИСПЛ относится к информационным системам класса 2Б. Размер контролируемой зоны (КЗ) для объекта размещения ИСПЛ составляет 87 кв. метров. Помещения для размещения ИСПЛ не имеют средств охранной сигнализации. Для прохода в КЗ ИСПЛ необходимо предоставить пропуск на входе.
Описание подсистем ИСПЛ ТИ обеспечивает:
 ввод, анализ и распределение поступающей информации для последующей обработки на ТОИ-х;
 управление процессом обработки информации;
 хранение данных, необходимых для функционирования ИСПЛ;
 вывод результатов обработки информации;
 сбор, подготовку и вывод служебной информации о ходе обработки информации;
 передача информации в СХ
 взаимодействие с КП.
ТИ содержит следующие технические средства и программное обеспечение:
 рабочие станции на базе различных ноутбуков с предустановленной ОС Windows;
 сервер на базе процессора Intel Core2Quad Q8400;
 управляемый коммутатор Fast Ethernet;
 ·общесистемные программные средства;
 Microsoft Windows Server 2003 Enterprise Edition;
 Microsoft Office 2003;
 программно-аппаратные межсетевые экраны (МЭ).
ТОИ-х обеспечивают:
 прием информации от СХ;
 обработка информации, поступающей с СХ;
 выдача результатов для ТИ.
ТОИ-х содержит следующие технические средства и программное обеспечение:
 рабочие станции на базе различных ноутбуков с предустановленной ОС Windows;
 Microsoft Windows 7 Professional;
 Microsoft Office 2010;
 различные программы для обработки поступившей информации;
 программные межсетевые экраны (МЭ).
Сетевая среда обеспечивает высокоскоростную передачу информации и включает:
 кабельная сеть состоит из витой пары категории 6;
 комплекты активного сетевого оборудования различных фирм-производителей;

1.2 Модель угроз
1.2.1 Угрозы непосредственного доступа в операционную среду обработки КИ

Угрозы доступа (проникновения) в операционную среду компьютера и несанкционированного доступа к КИ связаны с доступом [3, 5]:
 к информации и командам, хранящимся в базовой системе ввода/вывода (BIOS) ИС, с возможностью перехвата управления загрузкой операционной системы и получением прав доверенного пользователя;
 в операционную среду, то есть в среду функционирования локальной операционной системы отдельного технического средства ИС с возможностью выполнения несанкционированного доступа путем вызова штатных программ операционной системы или запуска специально разработанных программ, реализующих такие действия;
 в среду функционирования прикладных программ (например, к локальной системе управления базами данных);
 непосредственно к информации пользователя (к файлам, текстовой, аудио- и графической информации, полям и записям в электронных базах данных) и обусловлены возможностью нарушения ее конфиденциальности, целостности и доступности.

1.2.2 Угрозы безопасности КИ, реализуемых с использованием протоколов межсетевого взаимодействия

а. Анализ сетевого трафика
Эта угроза [3, 14] реализуется с помощью специальной программы- анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль. В ходе реализации угрозы нарушитель изучает логику работы сети – то есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней, перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой операционной системы, для извлечения конфиденциальной или идентификационной информации (например, статических паролей пользователей для доступа к удаленным хостам по протоколам FTP и TELNET, не предусматривающим шифрование), ее подмены, модификации и т.п.
б. Сканирование сети
Сущность процесса реализации угрозы [3, 14] заключается в передаче запросов сетевым службам хостов ИС и анализе ответов от них. Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.
в. Угроза выявления пароля
Цель реализации угрозы [3, 14] состоит в получении несанкционированного доступа (НСД) путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.
г. Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа
Такая угроза [3, 14] эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу.
Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.
В результате реализации угрозы нарушитель получает права доступа, установленные его пользователем для доверенного абонента, к техническому средству ИС – цели угроз.
д. Навязывание ложного маршрута сети
Данная угроза [3, 14] реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть нарушителя, где можно войти в операционную среду технического средства в составе ИС. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение.
е. Внедрение ложного объекта сети
Эта угроза [3, 14] основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно- адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети.
ж. Отказ в обслуживании
Эти угрозы [3, 14] основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.
Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к конфиденциальной информации в ИС. Передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИС, какое максимально может «вместить» трафик (направленный «шторм запросов»), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.
з. Удаленный запуск приложений.
Угроза [3] заключается в стремлении запустить на хосте ИС различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, «сетевые шпионы», основная цель которых – нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

1.2.3 Угрозы программно-математических воздействий

Программно-математическое воздействие [3, 5] – это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:
 скрывать признаки своего присутствия в программной среде компьютера;
 обладать способностью к само дублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;
 разрушать (искажать произвольным образом) код программ в оперативной памяти;
 выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирование, уничтожение, блокирование и т.п.);
 сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
 искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.
Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИС, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИС с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИС.
Основными видами вредоносных программ являются [3, 5]:
 программные закладки;
 классические программные (компьютерные) вирусы;
 вредоносные программы, распространяющиеся по сети (сетевые черви);
 другие вредоносные программы, предназначенные для осуществления НСД.

1.2.4 Угрозы, связанные с нетрадиционными информационными каналами

Нетрадиционный информационный канал [3] – это канал скрытной передачи информации с использованием традиционных каналов связи и специальных преобразований передаваемой информации, не относящихся к криптографическим.
Для формирования нетрадиционных каналов могут использоваться методы [3]:
 компьютерной стеганографии;
 основанные на манипуляции различных характеристик ИС, которые можно получать санкционировано (например, времени обработки различных запросов, объемов доступной памяти или доступных для чтения идентификаторов файлов или процессов и т.п.).

1.3 Модель нарушителя
1.3.1 Описание нарушителей

По наличию права постоянного или разового доступа в КЗ ИСПЛ нарушители подразделяются на два типа [3]:
 нарушители, не имеющие доступа к ИСПЛ, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;
 нарушители, имеющие доступ к ИСПД, включая пользователей ИСПД, реализующие угрозы непосредственно в ИСПД, – внутренние нарушители (далее будут рассматриваться только внутренние нарушители).
Предполагается, что внешним нарушителем может являться субъект с высоким уровнем технических знаний, имеющий возможность использовать в своих целях любой набор инженерно-технических средств.
Внешними нарушителями могут быть [3]:
 разведывательные службы государств;
 криминальные структуры;
 конкуренты (конкурирующие организации);
 недобросовестные партнеры;
 внешние субъекты (физические лица).
Внешний нарушитель имеет может осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений и осуществлять несанкционированный доступ через сеть Интернет.
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ИСПЛ и контролю порядка проведения работ.
Нарушители классифицируются по уровню возможностей, предоставляемых им штатными техническими средствами. В ИСПЛ можно выделить четыре уровня этих возможностей.
Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего [4, 5]:
 Первый уровень определяет самый низкий уровень возможностей нарушителя в ИСПЛ — запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
 Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации. Созданные программы и технические средства выполняют обращение к объектам доступа в обход средств защиты.
 Третий уровень определяется возможностью управления функционированием автоматизированных систем, т.е. возможность управления функционированием автоматизированных систем (воздействовать на базовое ПО системы и на состав и конфигурацию ее оборудования). Также способен модифицировать средства защиты, что позволяет осуществить НСД.
 Четвертый уровень определяется знанием нарушителем структуры, функции и механизма действия средств защиты, их сильные и слабые стороны. Нарушитель способен внедрить в СВТ или АС программные и / или технические механизмы, нарушающие предполагаемую структуру и функции СВТ или АС и позволяющие осуществить НСД.
В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.

1.3.2 Предположения об имеющейся у нарушителя информации

Нарушитель информационной безопасности ИСПЛ может иметь [3, 5, 7, 9]:
 данные об организации работы, структуре и используемых технических, программных и программно-технических средствах ИСПЛ, в том числе тождественные проектной, конструкторской, программной и эксплуатационной документации (в частности, на систему и средства защиты);
 сведения об информационных ресурсах ИСПЛ: порядок и правила создания, хранения и передачи информации, структура и свойства информационных потоков;
 данные об уязвимостях ИСПЛ, включая данные о недокументированных (не декларированных) возможностях программных, аппаратных и программно-аппаратных средств;
 данные о реализованных в системе и средствах защиты принципах и алгоритмах, включая описания алгоритмов и протоколов;
 исходные тексты программного обеспечения ИСПЛ;
 сведения о возможных для ИСПЛ каналах атак;
 информацию о способах (методах) атак.
Нарушитель может эффективно использовать всю имеющуюся у него информацию при подготовке и проведении атак.

1.3.3 Описание каналов атак

Основными каналами атак на ИСПЛ являются [4, 9]:
 каналы непосредственного доступа к объекту атаки
 (акустический, визуальный, физический);
 штатные средства ИСПЛ;
 съемные носители информации;
 носители информации, выведенные из употребления;
 каналы передачи данных.

1.3.4 Описание объектов атак

Основными объектами атак в ИСПЛ являются [6]:
 защищаемая информация:
 информационные элементы;
 регистрационная информация;
 служебная информация;
 программное обеспечение;
 конфигурационная информация ПО и ТС;
 средства и система защиты;
 аппаратное обеспечение.

1.3.5 Описание целей атак

Основными характеристиками безопасности любого объекта атаки являются [3, 14]:
 конфиденциальность (защищённость от несанкционированного раскрытия информации об объекте атаки);
 целостность (защищённость от несанкционированной модификации объекта атаки);
 вход в систему с правами легального пользователя.

1.3.6 Предположения об имеющихся у нарушителя средствах атак

Нарушитель информационной безопасности ИСПЛ может использовать следующие средства атак [3, 5]:
 штатные средства ИСПЛ:
 программное и аппаратное обеспечение автоматизированных рабочих мест операторов;
 программное и аппаратное обеспечение серверов обработки информации;
 доступные в свободной продаже программные, аппаратные и программно-аппаратные средства;
 специально разработанные программные, аппаратные и программно-аппаратные средства.

Таблица 1.1 — Отношение атак к возможным видам наносимого ущерба [3, 14]

 

1.4 Определение вероятностей реализации атак
1.4.1 Выбор закона Пуассона в качестве закона распределения вероятностен возникновения атак

Адекватная оценка рисков ИС при реализации атак подразумевает анализ функционирования системы на некотором промежутке времени Т [14]. С точки зрения рисков для ИС этот период характеризуется количеством и типом атак, реализованных на данном интервале.
Распределение Пуассона моделирует случайную величину, представляющую собой число событий, произошедших за фиксированное время, при условии, что данные события происходят с некоторой фиксированной средней интенсивностью и независимо друг от друга [16].
В большинстве случаев входящий поток неуправляем и зависит от ряда случайных факторов. Число атак, возникающих в единицу времени, является случайной величиной. Случайной величиной является также интервал времени между соседними атаками. Однако среднее количество атак, возникающих в единицу времени, и средний интервал времени между соседними атаками предполагаются заданными [16].
Среднее число атак на ИС за исследуемый интервал времени, назовем приведенной интенсивностью атак и определим соотношением [14]

где Т0 — среднее значение временного интервала между атаками, т.е. интенсивность имеет смысл среднего числа атак, возникающих на исследуемом интервале времени.
Для многих реальных процессов поток событий (требований) достаточно хорошо описывается законом распределения Пуассона. Такой поток называется простейшим. Простейший поток обладает несколькими важными свойствами [16]:
Свойство стационарности. Выражает неизменность вероятностного режима потока по времени. Это значит, что число событий, поступающих в равные промежутки времени, в среднем должно быть постоянным. Если рассматривать достаточно большой промежуток времени (например, более месяца), то в отсутствие серьезных изменений в ИС и среде ее функционирования это свойство справедливо для данной задачи.
Свойство отсутствия последействия. Обуславливает взаимную независимость поступления того или иного числа событий в непересекающиеся промежутки времени. Это значит, что число событий, поступающих в данный отрезок времени, не зависит от числа поступивших в предыдущем промежутке времени.
Свойство ординарности. Выражает практическую невозможность одновременного поступления двух или более событий (вероятность такого события неизмеримо мала по отношению к рассматриваемому промежутку времени, когда последний устремляют к нулю).
На практике условия простейшего потока не всегда строго выполняются [14]. Часто имеет место нестационарность процесса (в различные часы дня и различные дни месяца поток событий может меняться, он может быть интенсивнее утром или в последние дни месяца). Существует также наличие последействия, когда количество атак в конце интервала времени зависит от их эффективности в начале интервала. Наблюдается и явление неоднородности, когда несколько злоумышленников одновременно реализуют однотипные атаки. Однако в целом пуассоновский закон распределения с достаточно высоким приближением отражает многие процессы массового обслуживания, а, следовательно, применим для использования при распределении вероятностей возникновения атак.
Такое предположение в ряде важных случаев оказывается верным, что доказывается общей теоремой А.Я. Хинчина, которая представляет
исключительную теоретическую и практическую ценность [16]. Эта теорема имеет место в случае, когда входящий поток можно представить в виде суммы большого числа независимых потоков, ни один из которых не является сравнимым по интенсивности со всем суммарным потоком. В данной задаче общий поток атак можно разбить на потоки атак каждого типа, реализуемых каждым отдельным злоумышленником [14].
При простейшем потоке распределение возникающих атак подчиняется закону распределения Пуассона [16]. В общем случае целесообразно применять формулу, учитывающую длину выбранного интервала Т функционирования ИС [14]:

В этом случае интенсивность λо равна числу атак в единицу времени, соответствующую единице измерения выбранного интервала Т. Однако, если ввести величину:
λ = λ0Т,
то формулу можно упростить, тогда вероятность того, что за время Т произойдет именно k атак (при среднем числе атак л) на данном интервале вычисляется по формуле [14]

Для расчета ущербов необходимо разделить общий поток атак на потоки атак по каждому из видов ущерба [14].

 

1.4.2 Расчет интенсивности возникновения атак

Для оценки интенсивности атак целесообразно исходить из сложности их реализации и необходимых навыков и инструментария. Поскольку в общем случае определить уровень каждого потенциального нарушителя не представляется возможным, положим соотношения между интенсивностями рассматриваемых атак постоянными, причем сами значения интенсивностей обратно пропорциональными сложности их реализации, и присвоим им соответствующие значения [3, 14]:
λ01 — непосредственный доступ в операционную среду,
λ02 — непосредственный доступ в среду функционирования прикладных программ,
λ03 — доступ к командам BIOS
λ04 — непосредственный доступ к информации пользователя,
λ05 — анализ сетевого трафика,
λ06 — сканирование сети
λ07 — подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа,
λ08 — навязывание ложного маршрута сети,
λ09 — внедрение ложного объекта сети,
λ010 — отказ в обслуживании,
λ011 — удаленный запуск приложений.
λ012 — угроза выявления пароля
λ013 — программные закладки
λ014 — классические программные (компьютерные) вирусы;
λ015 — вредоносные программы, распространяющиеся по сети (сетевые черви)
λ016 — другие вредоносные программы, предназначенные для осуществления НСД
λ017 — применение компьютерной стеганографии
λ018 — основанные на манипуляции различных характеристик ИС
Также необходимо отметить тот факт, что активность злоумышленников относительно разных ИС может варьироваться в достаточно широких пределах и может зависеть от назначения и масштаба атакуемой системы, степени ее открытости, а также психологических и иных факторов. Таким образом, необходимо ввести такой параметр как коэффициент активности нарушителя [14], который характеризует среднее число атак на ИС за единицу времени вне зависимости от их сложности. В рассматриваемой задаче этот коэффициент представляет собой множитель для всех приведенных выше начальных значений интенсивности:
λi = Ka λ0i
Таким образом, введем коэффициент активности нарушителя Кin [14] Вероятности реализации злоумышленником каждой из рассматриваемых атак рассчитывается с учетом их сложности и взаимозависимости. Интенсивность возникновения каждой из атак является суммой интенсивностей ее проведения в качестве самостоятельной атаки и в качестве этапа более сложной атаки [14], т.е.

Для каждой из атак получим следующие исходные значения интенсивности [3, 14]:
λ1 = λ1 + λ2 + λ4 + λ14 + λ18 — непосредственный доступ в операционную среду,
λ2 = λ2 — непосредственный доступ в среду функционирования прикладных программ,
λ3 = λ3 — непосредственный доступ к командам BIOS,
λ4 = λ4 — непосредственный доступ к информации пользователя,
λ5 = λ5 + λ7 + λ12 — анализ сетевого трафика,
λ6 = λ7 + λ8 + λ9 + λ10 + λ11 + λ12 — сканирование сети,
λ7 = λ7 — подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа,
λ8 = λ8 — навязывание ложного маршрута сети,
λ9 = λ9 — внедрение ложного объекта сети,
λ10 = λ9 + λ8 + λ6 + λ7 — отказ в обслуживании,
λ11 = λ11 + λ14 + λ6 — удаленный запуск приложений,
λ12 = λ12 — угроза выявления пароля,
λ13 = λ13 – программные закладки,
λ14 = λ14 – классические программные (компьютерные) вирусы,
λ15 = λ15 – вредоносные программы, распространяющиеся по сети (сетевые черви),
λ16 = λ16 — другие вредоносные программы, предназначенные для осуществления НСД,
λ17 = λ17 – применение компьютерной стеганографии,
λ18 = λ18 — основанные на манипуляции различных характеристик ИС.
Таким образом, полученные интенсивности принимаются в качестве параметра для распределения вероятностей атак каждого типа [14]. Однако эти распределения показывают вероятность возникновения атак, т.е. распределение вероятностей числа попыток нарушителя провести атаку и не имеют отношения к их эффективной реализации.
1.4.3 Расчет вероятности реализации атак
Исходная формула закона распределения Пуассона подразумевает стопроцентную реализацию всех атак, возникающих с интенсивностью л. Однако при pр < 1, где pр − вероятность реализации атаки, возникает ситуация, при которой из некоторого числа m возникших атак реализованы будут k < m. Задача сводится к нахождению закона распределения вероятностей p(pi, k, m), где pi − вероятность успешной реализации атаки, k — число успешно реализованных атак, m — число возникших атак с найденной вероятностью [14]:

для каждого m > k. В данном случае справедлива формула, описывающая схему Бернулли [16], согласно которой

тогда общая вероятность реализации лi атак равна сумме по всем m > k (с учетом вероятности того, что на данном интервале времени при интенсивности λi возникло именно m атак):

Причем такой учет вероятности реализации атаки является равносильным перемножению интенсивности возникновения атак λi на данную вероятность pi, т.е.

Найдем вероятности реализации всех рассматриваемых сложных атак. Успешная реализация сложной атаки определяется успешной реализацией всех ее этапов, а потому имеет место произведение вероятностей реализации этапов. Введем параметр вероятности реализации для атак [3, 14]:
p1 — непосредственный доступ в операционную среду,
p2 — непосредственный доступ в среду функционирования прикладных программ,
p3 — Доступ к командам BIOS
p4 — непосредственный доступ к информации пользователя,
p5 — Анализ сетевого трафика,
p6 — Сканирование сети
p7 = p6p10p`7 — Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа,
p8 = p6p`8 — Навязывание ложного маршрута сети,
p9 = p6p`8 — Внедрение ложного объект
p10 = p6p`10 — Отказ в обслуживании,
p11 = p6p`11 — Удаленный запуск приложений.
p12 = p5p6p`12 — Угроза выявления пароля
p13 – программные закладки
p14 = p6p11p`14 – классические программные (компьютерные) вирусы;
p15 = p6p15 – вредоносные программы, распространяющиеся по сети (сетевые черви)
p16 = p1p`16 — другие вредоносные программы, предназначенные для осуществления НСД
p17 = p1p`17 – применение компьютерной стеганографии
p18 = p6p5p`18 — основанные на манипуляции различных характеристик ИС
где pi — вероятность реализации этапов данной сложной атаки, не представляющих собой более простые атаки из рассматриваемых.
Зная вероятности реализации простых и сложных угроз, возможно получить выражения для ущербов. Предположим, что любое прослушивание трафика злоумышленником влечет одинаковый ущерб u0c1, независимо от типа атаки. Ущерб от нарушения конфиденциальности информации в ИС, согласно таблице 1.1, может быть нанесен посредством реализации атак 1, 2, 4, 5, 7, 9. Таким образом, интенсивность реализации всех перечисленных атак является суммой интенсивностей реализации каждой из них, поскольку общий поток атак на подсистему аутентификации ИС представим в виде суммы потоков каждой из этих атак [14].
Для получения распределения вероятностей необходимо определить общую интенсивность нанесения ущерба, она будет равна [14]

где C — множество атак на конфиденциальность трафика ИС. Соответственно, закон распределения примет вид:

Полагая uc = kuо, перейдем к распределению вероятности нанесения ущерба от нарушения конфиденциальности информации в системе [14]:

Предположим, что любой вход в систему с правами легального пользователя наносит системе одинаковый ущерб u0a вне зависимости от типа атаки, результатом которой он является. Ущерб данного вида, согласно данным таблицы 1, может быть нанесен в результате конечного успеха атак 7, 8, 9, 10, 18. Аналогично, интенсивность реализации всех перечисленных атак является суммой интенсивностей реализации каждой из них. Для адекватной оценки необходимо учесть тот факт, что атаки на конфиденциальность трафика могут повлечь несанкционированный вход в систему только при успешном перехвате и выделении пароля данного пользователя, следовательно, необходимо ввести вероятность выделения пароля из анализируемых пакетов pВ, которая может существенно варьироваться в зависимости от используемых средств защиты трафика и от того, как часто передается пароль по сети [14]:

Соответственно, закон распределения примет вид:

Полагая ua = ku0a перейдем к распределению вероятности нанесения ущерба от несанкционированного входа в систему [14]:

Предположим, что любая атака, нарушающая доступность информации в ИС влечет одинаковый ущерб us0, независимо от типа атаки. Ущерб от нарушения доступности информации в ИС, согласно таблице 1.1, может быть нанесен посредством реализации атак 3, 9, 11, 12, 13, 18. Интенсивность реализации всех перечисленных атак является суммой интенсивностей реализации каждой из них [14]:

Закон распределения примет вид:

Полагая u = ku0, можно перейти к распределению ущерба от нарушения доступности информации в ИС [14]:

 

1.5 Нормативно-правовая база расследования внутренних нарушений

В России право на тайну переписки гарантируется любому гражданину Российской Федерации в соответствии со статьёй 23 пункта 2 Конституции РФ и подтверждается статьёй 138 уголовного кодекса РФ («Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений граждан»). Ограничение этого права, возможно, только судебным решением. В настоящее время не существует такого закона, который однозначно определяет право юридического лица на просмотр электронной корреспонденции сотрудника с целью защиты КТ и своей информационной системы.
Вместе с тем действуют:
 Федеральный закон «Об информатике, информатизации и защите информации», который дает организации-• владельцу информации право на ее защиту;
 Федеральный закон «О коммерческой тайне»;
 Трудовой кодекс РФ, имеющий статус Федерального закона (197- ФЗ от 30.12.2001), в котором говорится, что «в трудовом договоре могут предусматриваться условия: о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной)» (ст. 57);
 Уголовный кодекс РФ статья 273 («Создание, использование и распространение вредоносных компьютерных программ»);
 Основы законодательства «Об архивном фонде российской федерации и архивах»;
 Федеральный закон «О персональных данных».

Рисунок. 1.1 — Структура документов, составляющих основу информационной безопасности

В качестве примера можно взять электронную почту. Необходимость защиты от электронных угроз вступает в конфликт с неотчуждаемыми правами граждан, закрепленными в Конституции РФ. Чем глубже интеграция информационных технологий в повседневную жизнь любой организации, тем более насущным становится вопрос разрешения этого противоречия, поскольку от него зависит законность используемых систем защиты и, как следствие, нормальная работа пользователя.

---

Страницы 1 2 3