Полная версия

Главная arrow Информатика arrow ЗАЩИТА ИНФОРМАЦИИ: ОСНОВЫ ТЕОРИИ

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

Реализация защиты на основе контроля санкционированности событий

Теперь сформулируем основные требования к построению сканеров безопасности как СЗИ повышенного уровня защиты, основанных на контроле санкционированности происходящих в системе событий.

Основу построения подобных сканеров, как отмечали ранее, составляет обнаружение I1CB (происходящих в системе несанкционированных событий — опасных событий), по которым может быть идентифицирована атака (вторжение).

Как следствие, построение сканера безопасности для некоторой угрозы атаки предполагает определение несанкционированного события (или набора подобных событий), осуществляемого посредством анализа угрозы атаки, возникновение в системе которого (которых) позволяет выявить факт реализации атаки на ИС (вторжение). Возникновение подобных несанкционированных событий должно контролироваться сканером безопасности в процессе функционирования ИС.

Требование. Для каждой актуальной для И С угрозы атаки должно быть посредством системного анализа угрозы атаки определено несанкционированное событие (в общем случае, набор подобных событий различных типов), возникновение в системе которого (которых) позволяет выявить осуществление атаки на ИС (вторжение).

Требование. Возникновение подобных событий должно выявляться сканером безопасности, на обнаруженное подобное событие им должна осуществляться соответствующая автоматическая (в реальном времени) реакция, направленная на завершение выявленного события.

Будем называть это локальной реакцией (ЛР).

Принципиальным отличием сканера безопасности является то, что он позволяет не предотвращать опасные события, а выявлять факты их возникновения, в результате чего завершать эти события. Это предполагает, что в каком-то объеме какие-либо НСВ на систему при реализации атаки будут осуществлены. Как следствие, в общем случае реализации сканером безопасности ЛР на обнаруженное и завершенное несакционированное событие недостаточно.

Необходима еще и реализация общей реакции (ОР) в масштабе защищаемой ИС в целом. К таким автоматическим реакциям можно отнести временную, до выяснения обстоятельств, блокировку работы ИС, осуществление контроля наличия и целостности критичных системных файлов и объектов реестра ОС, критичных к подобным атакам файлов, используемых для хранения неизменных данных, и т.д. ОР может быть и автоматизированной, предполагающей немедленное (в реальном времени) уведомление администратора безопасности об обнаруженном и завершенном СЗИ несанкционированном событии.

Требование. При обнаружении несанкционированного события сканер безопасности должен реализовать как автоматическую локальную реакцию, направленную на завершение подобного события, так и автоматическую или автоматизированную общую реакцию, направленная на устранение последствий частично реализованной атаки на ИС.

В результате выполнения данных требований получаем обобщенную схему построения сканера безопасности, приведенную на рис. 9.4, предполагающую возможность выявления несанкционированных событий одного типа.

Обобщенная схема построения сканера безопасности с выявлением несанкционированных событий одного типа

Рис. 9.4. Обобщенная схема построения сканера безопасности с выявлением несанкционированных событий одного типа

На данной схеме (см. рис. 9.4) рассмотрено построение СЗИ, реализованной в виде сканера безопасности, осуществляющего контроль (К) несанкционированных событий одного типа — контролируемых событий (КС), с возможностью автоматической реализации им ЛР и ОР.

В общем случае одно и тоже контролируемое несанкционированное событие может характеризовать несколько угроз атак.

• Под различными угрозами атак, с точки зрения возможной их однозначной идентификации сканером безопасности, будем понимать угрозы атак, характеризуемые различными наборами несанкционированных событий, порождаемых ими.

Обобщенная схема построения сканера безопасности с выявлением несанкционированных событий двух типов приведена на рис. 9.5. Рассмотрим особенности работы сканера безопасности в данном случае.

Обобщенная схема построения сканера безопасности с выявлением несанкционированных событий двух типов

Рис. 9.5. Обобщенная схема построения сканера безопасности с выявлением несанкционированных событий двух типов

Таких особенностей две.

  • 1. Общая реакция, по крайней мере автоматическая, может осуществляться только в том случае, если сканером безопасности обнаружено в системе возникновение несанкционированных событий обоих типов. Если обнаружены только события одного тина, можно предположить, что реализованная автоматическая реакция на возникшее несанкционированное событие этого типа успела предотвратить последующее осуществление атаки.
  • 2. Для различных угрозами атак, с точки зрения возможной их однозначной идентификации сканером безопасности, могут устанавливаться различные общие реакции, поскольку при однозначной идентификации осуществляемой атаки предсказуемы цель атаки и действия потенциального нарушителя по ее осуществлению.

В общем случае можно определить две стратегии построения сканеров безопасности (рассматриваем применительно к защите от атак, вторжений).

1. Минимизация влияния на загрузку вычислительного ресурса (все средства контроля априори ресурсозатратны). Сформулируем требование к построению сканера безопасности в рамках реализации данной стратегии их построения.

Требование. При построении сканера безопасности, обеспечивающего минимальное влияние на загрузку вычислительных ресурсов, требуется минимизировать набор несанкционированных событий, позволяющих идентифицировать событие атаки (вторжения).

Таким образом, при данной стратегии каждая актуальная угроза атаки, с точки зрения возможности идентифицировать событие осуществления атаки (вторжения) сканером безопасности, будет идентифицироваться несанкционированным событием только одного типа, причем чем больше угроз атак будет идентифицироваться событием только одного типа, тем лучше.

Но это неминуемо скажется на оперативности реализации иных общих реакций, нежели временное приостановление работы системы. Число однозначно идентифицируемых сканером безопасности угроз атак может оказаться недостаточным. Как следствие, в большинстве случаев общая реакция будет автоматизированной. Кроме того, при этом администратору безопасности не будет предоставляться возможность определить, какую угрозу атаки пытался реализовать потенциальный нарушитель, в том числе выявить новую угрозу атаки.

2. Альтернативная стратегия построения сканера безопасности заключается в том, чтобы максимально точно идентифицировать реализуемые угрозы атак. Это необходимо для повышения оперативности реализации общих реакций, которые для различных угроз атак уже могут быть автоматическими. Сформулируем требования к построению сканера безопасности в рамках реализации этой стратегии их построения.

Требование. При построении сканера безопасности, обеспечивающего максимально точную идентификацию реализуемых угроз атак, для каждой угрозы атаки требуется таким образом выбрать набор несанкционированных событий, позволяющих идентифицировать событие осуществления атаки (вторжения), чтобы число различных угроз атак при этом было максимальным с точки зрения возможной их однозначной идентификации сканером безопасности.

Требование. Сканер безопасности должен анализировать не каждое выявленное в системе несанкционированное событие, а выявленные совокупности событий, с целью однозначной идентификации реализуемой угрозы атаки. Причем в том случае, если одно выявленное несанкционированное событие (выявленная группа событий) требует в рамках осуществления атаки возникновения еще, по крайней мере, одного несанкционированного события, автоматическая локальная реакция на предшествующие ему события осуществляться нс должна. В противном случае не сможет быть однозначно идентифицирована реализуемая угроза атаки с целью выработки автоматической общей реакции СЗИ на эту атаку.

Как видим, при реализации данной стратегии построения сканера безопасности в сто состав доджей быть включен анализатор совокупности возникающих в системе несанкционированных событий, целью которого является однозначная идентификация реализуемой угрозы атаки по заданным правилам.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>