Полная версия

Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ: ОСНОВЫ ТЕОРИИ

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Моделирование угроз атак с отложенной реализацией

Ранее мы говорили о том, что реальную угрозу атаки создает одновременное присутствие в системе всех уязвимостей, необходимых для осуществления этой атаки. В определенных случаях можно говорить об угрозах атак, для которых не требуется одновременного присутствия в системе всех уязвимостей, совокупность угроз которых создает угрозу этой атаки.

Например, возвращаясь к рассмотренной ранее угрозе атаки на повышение привилегий, можно говорить о том, что в данном случае атака может быть осуществлена за два этапа. Сначала потенциальный нарушитель, используя какую-либо уязвимость (говорим о защищенной системе), внедряет вредоносную программу с правами интерактивного пользователя. Для этого ему не требуется наличия в системе соответствующей уязвимости реализации системного средства. После этого он ожидает возникновения подобной уязвимости, используя которую, уже запускает вредоносную программу с системными правами.

• Под угрозой атаки с отложенной реализацией будем понимать угрозу атаки, реализация которой не требует одновременного присутствия в системе всех уязвимостей, угрозы которых создают угрозу этой атаки.

Принципиальное отличие моделирования таких угроз атак состоит в том, что устранение возникшей уязвимости, позволяющей использовать результаты реализации на нее атаки впоследствии, не приводит к восстановлению безопасности системы.

Покажем, как это учесть при моделировании. С этой целью преобразуем модель, представленную на рис. 4.6, а, предполагая, что уязвимость первого типа может быть отложенно использована при осуществлении атаки, т.е. уже после устранения этой уязвимости. В результате получим модель, приведенную на рис. 4.6, б.

Построение модели с уязвимостями, отложенно используемыми при осуществлении атаки

Рис. 4.6. Построение модели с уязвимостями, отложенно используемыми при осуществлении атаки:

а — исходная модель; б — модель системы с отложенным использованием уязвимостей

Как видим, особенность объекта моделирования в данном случае состоит в том, что устранение уязвимости первого типа не предполагает устранения ее реальной угрозы, что, применительно к модели, не переводит систему в иные состояния (см. рис. 4.6, б).

Совсем иным образом, применительно к подобным уязвимостям, интерпретируются как собственно моделируемый случайный процесс, так и, соответственно, состояния системы. Моделируется уже не процесс возникновения и устранения в системе уязвимостей, а процесс возникновения и устранения в системе ДВ на ИС, создаваемых в результате возникновения в системе соответствующих уязвимостей реализации, которые впоследствии могут быть использованы при осуществлении атаки с отложенным использованием уязвимостей.

В частности, состояние 510 в модели, приведенной на рис. 4.6, б, интерпретируется как состояние, характеризуемое наличием в системе ДВ, созданных при возникновении соответствующей уязвимости, а стационарная вероятность данного состояния может интерпретироваться как доля времени, в течение которого эти воздействия присутствуют в системе.

Возникновении при этих условиях второй уязвимости приведет к отказу безопасности — угроза атаки станет реальной, система окажется в состоянии 5И.

Отметим, что состояния 5{М) и 501 модели, приведенной на рис. 4.6, б, являются несущественными [7], так как в них система уже не сможет возвратиться, попав в одно из состояний 510 или Su. Вследствие этого модель, представленная на рис. 4.6, б в стационарном режиме, сводится к модели с двумя состояниями 510 и Sn, для которой можем записать:

Вывод. Угрозами уязвимостей реализации, характеризующимися их отложенным использованием при осуществлении атаки, задача резервирования иных угроз уязвимостей реализации не решается, поскольку в данном случае не требуется одновременного присутствия в системе соответствующих уязвимостей для осуществления атаки.

Построение подобных моделей позволяет определить функциональную задачу сканеров безопасности, реализуемых соответствующими механизмами контроля, о которых говорили ранее.

Данная задача состоит в выявлении и устранении сканером безопасности ДВ на ИС, создаваемых в результате возникновения в системе соответствующих уязвимостей реализации, которые впоследствии могут быть использованы при осуществлении атаки с отложенным использованием уязвимостей.

Рассмотрим, как учесть использование сканера безопасности в модели угрозы безопасности. Предположим, что сканер безопасности запускается случайным образом (в случайные моменты времени) с некоторой интенсивностью ХсУ а продолжительность сканирования, включая устранение результатов ДВ на систему, пренебрежимо мала и не сказывается на результатах моделирования, что имеет место на практике.

Замечание. Условия запуска процедуры сканирования могут быть различными. Например, это может быть завершение работы каких-либо критичных процессов, характеризуемых высокой вероятностью их наделения вредоносными свойствами, начало или, наоборот, завершение работы пользователя в том или ином защищенном режиме обработки информации — роли или сессии, и т.д.

При моделировании угрозы безопасности применительно к решению данной задачи следует рассматривать два условия. Первое предполагает, что интенсивность сканирования ниже, чем интенсивность устранения уязвимости, т.е. для модели, приведенной на рис. 4.6, бу выполняется условие Хс< р,. В этом случае возврат из состояния, характеризующего отложенное использования уязвимостей, определяется интенсивностью сканирования Хс.

Включение в модель системы с отложенным использованием уязвимостей модели сканера безопасности, с учетом сделанных выше допущений, показано на рис. 4.7. Полученная в результате соответствующего преобразования модель приведена на рис. 4.7, б.

Если же выполняется условие Хс > возврат из состояния, характеризующего состояние отложенного использования уязвимостей, уже опреде-

Построение модели со сканером безопасности при условии Х

Рис. 4.7. Построение модели со сканером безопасности при условии Хс<

а — модель системы с отложенным использованием уязвимостей;

6 — модель системы со сканером безопасности ляется интенсивностью восстановлении возникших уязвимостей, для рассматриваемого примера р,

Это обусловливается тем, что сканером безопасности решается задача выявления и устранения ДВ на ИС, которые впоследствии могут быть использованы при осуществлении атаки с отложенным использованием уязвимостей. Однако, поскольку собственно уязвимость не устранена, соответствующие ДВ на ИС вновь могут быть осуществлены потенциальным нарушителем.

На рис. 4.8 показано включение в модель системы с отложенным использованием уязвимостей (рис. 4.8, а) модели сканера безопасности с учетом сделанных выше допущений, полученная в результате соответствующего преобразования модель приведена на рис. 4.8, б.

Построение модели со сканером безопасности при условии Х > щ

Рис. 4.8. Построение модели со сканером безопасности при условии Хс > щ:

а — модель системы с отложенным использованием уязвимостей; б — модель системы со сканером безопасности

В случае реализации в ИС сканирования безопасности при выполнении условия Хс > р, (см. рис. 4.8, б) для угрозы атаки получаем ту же модель (те же характеристики системы), что и для угрозы атаки, создаваемой угрозами уязвимостей реализации, не предполагающими отложенное их использование при осуществлении атаки.

Вывод. Безопасность ИС в отношении угроз атак, предполагающих отложенное использование уязвимостей реализации, может быть повышена за счет использования сканеров безопасности при выполнении следующего требования к интенсивности сканирования — она должна превышать интенсивность устранения угроз соответствующих уязвимостей реализации, характеризующихся возможностью их последующего использования при осуществлении атаки.

Следствие. Под функциональной задачей сканера безопасности в ИС как средства ЗИ можно рассматривать задачу выявления и устранения сканером безопасности ДВ на И С, которые впоследствии могут быть использованы при осуществлении атаки с отложенным использованием уязвимостей.

Замечание. Ранее функциональную задачу сканера безопасности мы рассматривали применительно к защите от атак, не использующих отложенную реализацию ДВ на ИС, создаваемых при возникновении в ней соответствующих уязвимостей реализации.

Рассмотрим предельный случай выполнения условия Хс > р,,т.е. в пределе Хс —? оо. В этом случае (см. рис. 4.7, б) можно говорить о том, что стационарные вероятности пребывания системы в состояниях 510 и 5И пренебрежимо малы, и ими можно пренебречь. В результате этого получаем модель с двумя состояниями 510 и Sп, следовательно, можем говорить о том, что реальная угроза атаки в подобной системе не возникает (вероятностью ее возникновения можно пренебречь).

Как видим, потенциально сканеры безопасности могут быть достаточно эффективны при реализации защиты от рассматриваемого вида угроз атак. Однако рассмотрим условие, при котором об этом можно говорить.

Утверждение. Сканер безопасности позволяет улучшить характеристики безопасности ИС в отношении угрозы атаки с отложенным использованием уязвимостей только при том условии, что им гарантированно выявляются и устраняются все потенциально возможные ДВ на ИС, реализованные в результате возникновения соответствующей уязвимости реализации, которые впоследствии могут быть использованы при осуществлении атаки с отложенным использованием уязвимостей.

Доказательство. Если это не так, и в результате сканирования будет не выявлено по крайней мере одно потенциально возможное ДВ на ИС, которое впоследствии может быть использовано при осуществлении атаки с отложенным использованием уязвимостей, то это событие может быть интерпретировано как отказ безопасности в отношении соответствующей угрозы уязвимостей. Как следствие, уровень безопасности И С при использовании подобного сканера безопасности не повышается, а угроза соответствующей атаки описывается моделью, представленной (для рассмотренного выше примера) на рис. 4.6, б.

При этом несложно показать, что в стационарном режиме (см. модель на рис. 4.6, б) система будет находиться только в одном из двух состояний - 5*10 и Sп, интенсивность возникновения в системе реальных угроз атак будет определяться как А,2, а интенсивность их устранения — как р2, т.е. угроза атаки в этом случае в среднем через интервал времени 1 { функционирования системы будет создаваться только одной угрозой уязвимостей — второго типа.

Следствие. Оценивая эффективность сканера безопасности, следует давать оценку не тому, какие ДВ на ИС и с какой вероятностью им выявляются и устраняются (например, те, которые впоследствии могут быть использованы при осуществлении атаки с отложенным использованием уязвимостей), а тому, полностью ли потенциально возможные ДВ выявляются и устраняются при каждом сканировании.

К слову сказать, это в полной мере относится к системам антивирусной защиты, которые могут быть отнесены к сканерам безопасности.

Таким образом, можно говорить о том, что в задачи построения сканеров безопасности входит задача реализации требования к корректности их построения, в части выявления при сканировании всех потенциально возможных ДВ на ИС, которые могут создаваться в системе при возникновении соответствующих угроз уязвимостей реализации.

Один и тог же сканер безопасности может контролировать и устранять ДВ на ИС при возникновении в системе нескольких уязвимостей различных типов, что, как правило, и реализуется на практике.

Рассмотрим, как изменится модель, приведенная на рис. 4.6, б, при условии, что уязвимости обоих типов предполагают возможное отложенное их

а б

Построение модели с уязвимостями нескольких типов с использованием для контроля одного сканера безопасности

Рис. 4.9. Построение модели с уязвимостями нескольких типов с использованием для контроля одного сканера безопасности:

а — модель системы с отложенным использованием уязвимостей одного типа; б — модель системы с отложенным использованием уязвимостей обоих типов

использование потенциальным нарушителем, при этом сканером безопасности контролируются и устраняются ДВ на ИС, создаваемые при возникновении уязвимостей обоих типов, что показано на рис. 4.9.

Отличие этой модели состоит в том, что в результате сканирования система из состояния Sn сразу переходит в состояние S00.

Ранее мы отмечали, что потенциально эффективен (при условии выполнения соответствующего требования к корректности реализации) сканер безопасности может быть при выполнении условия Хс —? °о. Выполнение этого условия предполагает существенное влияние на загрузку вычислительного ресурса ИС, что значительно ограничивает использование сканеров безопасности в качестве самостоятельных СЗИ.

Вместе с тем подобные средства защиты, как ранее отмечали, могут использоваться в дополнение к СЗИ, решающим задачи контроля доступа как в части их функционального резервирования, так и с целью выявления неизвестных ранее угроз атак, и в той или иной мере (поскольку опасные события обнаруживаются уже после их возникновения в системе) реализации защиты от них.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>