Антонюк А.О. Теоретичні основи захисту інформації

Подождите немного. Документ загружается.

181

зміни на нове значен ня, якщ о інформація, що закрита даним способом,

постійно зберігається у її власника. Можливі й інші обставини, що впливають

на ймовірність обходу криптографічного захисту.

Можливо також, що у однієї перешкоди може бути кілька шляхів обходу.

Тоді вираз (6.5) набуває такого вигляду

сзі

=(1–Р

под

)∪(1–Р

обх1

)∪(1–Р

обх2

)∪…∪(1–Р

обхk

), (6.6)

де k – кількість шляхів обходу перешкоди, тобто стійкість перешкоди

дорівнює найменшому значенню, одержаному після визначення та порівняння

величин

(1–Р

под

), (1–Р

обх1

), (1– Р

обх2

), …, (1–Р

обхk

). (6.7)

При масованих атаках ТЗІ, тобто при можливій одночасності подолання

первинної перешкоди ТЗІ і використання усіх каналів її обходу, вираз (6.6)

можна подати у такому вигляді (максимальна загроза НСД через первинну

перешкоду ТЗІ)

∏

−−=

обхподсзі

PРР ),1(1

(6.8)

де Р

сзі

– оцінюється ймовірністю неподолання та необходу перешкоди ТЗІ

по жодному із каналів НСД.

У тому разі, коли інформація, що підлягає захисту, не старіє або

періодично оновлюється, тобто коли виконується нерівність t

постійно або

ж коли забезпечити t

з якихось причин неможлив о, звичайно

використовується постійна перешкода ТЗІ, яка виявляє та блокує доступ

порушника ТЗІ до об'єкта захисту. Таким захистом може бути людина або

спеціальна автоматизована система виявленн я під управ лінням адміністратора

безпеки (автоматизована перешкода ТЗІ).

Для більш повного подання стійкості перешкоди у вигляді автоматизованої

системи ви явленн я та блокування загроз НСД необхідно врахов увати

надійність функціонування та шляхи можливого обходу її порушником ТЗІ.

Аналізуючи ці співвідношення можна сформулювати таке узагальнене

концептуальне правило захисту будь-якого об'єкта ТЗІ від загроз НСД:

182

стійкість захисної перешкоди ТЗІ від загроз НСД є достатньою, якщо

очікуваний термін подолання її порушником ТЗІ є тривалішим за термін

життєвого циклу (старіння, обмеженості, цінності) інформації, або триваліший

за термін виявлення та блокування несанкціонованого доступу до неї та її носіїв

при відсутності шляхів потайного обходу цієї перешкоди.

6.6. Модель вия в ле н ня п о р у ш е н ь

Один з шляхів реалізації складної політики безпеки, в якій рішення про

доступи ухвалюються з урахуванням передісторії функціонування системи –

аналіз даних аудиту. Якщо такий аналіз можливо пров одити в реал ьном у

масштабі часу, то аудиторська інформація (АІ) спільно з системою ухвалення

рішень перетворюються на могутній засіб підтримки політики безпеки. Такий

підхід представляється перспективним з погляду використання

обчислювальних засобів загального призначення, які не можуть гарантовано

підтримувати основні захисні механізми. Але, навіть не в реальному масштабі

часу, АІ і експертна система, що дозволяє вести аналіз АІ, є важливим

механізмом виявлення порушень або спроб порушення політики безпеки,

оскільки реалізують механізм відповідальності користувачів за свої дії в

системі.

Виявлення вторгнень (аб о порушень) залишається обл астю активних

досліджень вже протягом останніх двох десятиліть. Вважається, що початок

цьому напряму, зроблено в 1980 р. статтею Джеймса Андерсона «Моніторинг

загроз комп'ютерній безпеці». Декілька пізніше, в 1987 р. цей напрям був

розвинений публікацією статті «Про модель виявлення вторгнення» Дороті

Деннінг. Вона забезпечила методологічний підхід, який надихнув багато

дослідників і заклав основу для створення ком ерційних продуктів в області

виявлення вторгнень.

Вивчення методів виявлення аномалій базувалася на наступній аксіомі.

Аксіома 7. На основі аналізу даних передісторії функціонування ІТС

завжди можна отримати достатньо інформації, щоб відрізняти законних

користувачів від користувачів, що маскуються під законних.

183

Під дану аксіому підпадають дані аудиту, які кори сні для ідентифікації не

тільки порушників, що різними способами добувають інформацію про

ідентифікацію і автентифікацію і застосовують її для маскування під

авторизованих користувачів, але також і сами х авторизованих користу вачів, що

виконують несанкціоновані дії, тобто що зловживають своїми п рив ілеями. Як

відомо, за статистикою бл изько 80% зломів проводиться зсередин и, тобто

співробітниками самої організації [41].

Системи виявлення вторгнень (IDS – Intrusion Detection Systems) – один з

найважливіших елементів систем інформаційної безпеки мереж будь-якого

сучасного підприємства. Зростання останніми роками числа пробл ем,

пов'язаних з комп'ютерною безпекою, привело до того, що системи виявлення

вторгнення дуже швидко стали ключовим компонентом будь-якої стратегії

мережевого захисту. За останні декілька років їх по пул ярність зн ачно зросла,

оскільки продавці засобів захисту значно поліпшили якість і сумісність своїх

програм [41].

Системами виявлення вторгнень (IDS) називають множину р ізних

програмних і апаратних засобів, що об'єднуються однією загальною

властивістю – вони займаються аналізом використання ресурсів ІТС і, у разі

виявлення яких-небудь підозрілих або просто нетипових подій, здатні робити

деякі самостійні дії по виявленню, ідентифікації і усуненню їх причин.

Але IDS є лише одним з інструментів захисного арс ен ал у і вона не повинна

розглядатися як заміна для будь-якого з інших захисних механізмів. Захи ст

інформації є ефективним, коли в ІТС підтримується багаторівневий захист.

Тобто IDS – це лише одна з компонент забезпечення безпеки мережі в

багаторівневій стратегії її захисту.

IDS розрізняються за характеристиками аналізатора. Коли IDS

використовує інформацію про нормальну поведінку контрольованої системи,

вона називається поведінковою. Коли ж IDS працює з інфо рм ац ією про атаки,

вона називається інтелектуальною.

184

Поведінка ж після виявлення указує на реакцію IDS на атаки. Реакція може

бути активною – IDS робить корегуючи дії (у сув ає лазівки або закриває доступ

для можливих порушн иків, роблячи недоступними сервіси). Якщо IDS тільки

видає попередження, її називають пасивною.

Розташування джерел результату аудиту підрозділяє IDS залежно від виду

початкової інформації, яку вони аналізують. Вхідними даними для них можуть

бути результати аудиту, системні реєстраційні файли або мережеві пакети.

Частота використання відображає або безперервний моніторинг

контрольованої системи з боку IDS, або відповідні п еріодичні запуски IDS для

проведення аналізу.

Класифікувати IDS можна також за декількома параметрами [41]. За

способами реагування розрізняють статичні і динамічні IDS. С татичні засоби

роблять «знімки» (snapshot) середовища і здійснюють їх аналіз, розшукуючи

уразливе ПО, помилки в конфігураціях і т.д. Статичні IDS перевіряють версії

додатків, що працюють в системі, на наявн ість відомих уразливостей і слабких

паролів, перевіряють вміст спеціальних файлів в директоріях користувачів або

перевіряють конфігурацію відкритих мережевих сервісів. С татичні IDS

виявляють сліди вторгнення. Динамічні IDS здійснюють моніторинг в

реальному часі всіх дій, що відбуваються в системі, проглядаючи файли аудиту

або мережеві пакети, передавані за певний проміжок часу. Динамічні IDS

реалізують аналіз в реальному часі і дозволяють постійно стежити за безпекою

системи.

За способом збо ру інформації розрізняють мережеві і системні IDS.

Мережеві (NIDS) контролюють пакети в мережевому оточенні і виявляють

спроби зловмисника про никну ти всередину системи, що захищається, або

реалізувати атаку «відмова в обслуговуванні». Ці IDS працюють з мережевими

потоками даних. Типовий приклад NIDS – система, яка контролює велике

число TСP-запитів на з'єднання з багатьма портами на вибраному комп'ютері,

виявляючи, таким чином, що хтось намагається здійснити сканування TCP-

портів. Мережева IDS може запускатися або на окремому комп'ютері, який

185

контролює свій власний трафік, або на виділеному комп'ютері, що прозоро

переглядає важливий трафік в мережі (концентратор, маршрутизатор).

Мережеві IDS контролюють багато комп'ютерів, тоді як інші IDS контролюють

тільки один. IDS, які встановлюються на хості і виявл яють зловмисні дії н а

ньому, називаються хостовими або систем ним и IDS. П рикл адами хостових IDS

можуть бути системи контролю цілісності файлів (СКЦФ), як і пе рев іряю ть

системні файли з метою визначення, коли до них були внесені зміни. Монітори

реєстраційних файлів (Log-file monitors, LFM) контролюють реєстраційні

файли, щ о створюються мережевими сервісами і службами. Обманні системи

працюють з псевдосервісами, мета яких полягає у відтворенні добре відомих

вразливостей для обману зловмисників.

За методами аналізу IDS ділять на дві групи: IDS, які порівнюють

інформацію з передвстан о вл е но ю базою сигнатур атак і IDS, що контролюють

частоту подій або виявлення статистичних аномалій.

Аналіз сигнатур був першим методом, застосованим для виявлення

вторгнень. Він базується на пр о сто м у п о н ят ті з біг у послідовност і із зразком. У

вхідному пакеті є видимим байт за байтом і порівнюється з сигнатурою

(підписом) – характерним рядком програми, що вказує на характеристику

шкідливого трафіку. Такий підпис може містити ключову фразу або команду,

яка пов'язана з нападом. Якщо збіг знайдений, оголошується тривога.

Системи аналізу сигнатури мають декілька важливих сильних сторін. По-

перше, вони дуже швидкі, оскільки повний аналіз пакету – відносно важке

завдання. П равил а легко написати, зрозуміти і надбудувати . Крім того, є просто

фантастична підтримка комп'ютерного співтовариства в швидкому виробництві

сигнатур для нових небезпек. Ц і системи перевершують всі інші п ри вилові

хакерів на первинному етапі: прості атаки мають звичку використовувати якісь

попередні дії, які легко розпізнати. Нарешті, аналіз, заснований на сигнатурі,

точно і швидко повідомляє, що в системі все нормально (якщо це дійсно так),

оскільки повинні відбутися якісь особливі події для оголошення тривоги.

186

З іншого боку IDS, що грунтується тільки на аналізі сигнатур, має і певні

слабкості. Будучи спочатку дуже шви дкою, з часом швидкість її роботи

сповільнюватиметься, оскільки зростає число сигнатур, що перевіряються. Це –

істотна про бл е ма , оскільки ч ис л о сигнатур, що перевіряються, може рости дуже

швидко. Фактично, кожна нова атака або дія, придумана для атаки, збільшу є

список сигнатур, що перевіряються. Н е допоможуть навіть еф ективн і методи

роботи з даними і пакетами: величезна кількість злегка змінених атак можут ь

прослизнути через таку систему.

Є і інша сторони проблеми: оскільки система працює, порівнюючи список

наявних сигнатур з даними пакету, така IDS може виявити тільки вже відомі

атаки, сигнатури яких є.

Але необхідно відзначити, що знову ж згідно статистиці 80% атак

відбувається за давно відомими сценаріями. Наявність в системі виявлення

сигнатур відомих атак дає високий відсоток виявлення вторгн ень.

Другий метод аналізу полягає в розгляді строго форматованих даних

трафіку мережі, відомих як протоколи. Кожен пакет супроводжується різними

протоколами. Автори IDS, знаючи це, упровадили інструменти, які розгортають

і огл яд аю т ь ці прот о ко л и, згідн о до стандартів. Кожен проток ол має декіл ьк а

полів з очікуваними або нор мальн ими значеннями. Якщо що-небудь порушує ці

стандарти, то ймовірна зловмисність. IDS проглядає кожне поле всіх

протоколів вхідних пакетів: IP, TCP, і UDP. Якщо є порушення протоколу,

наприклад, якщо він містить несподіване значення в одному з полів,

оголошується тривога.

У разі аналізу протоколів теж є свої достоїнства і недоліки. Із-за

передпроцесів, що вимагають ретельної експертизи протоколів, аналіз

протоколу мож е бути досить повільним. Крім того, правила перевірки для

системи протоколу важко написати і зрозуміти. Можн а навіть сказати, що в

цьому випадку доводиться сподіватися на сумлінність виробника програми,

оскільки правила відносно складні і важкі для самостійної надбудови.

187

На перший погляд, IDS на основі аналізу протоколу працюють повільніше,

ніж системи на основі сигнатури, вони «грунтовніші» в сенсі м а сш т абн о с ті і

результатів.

У систем виявлення вторгнень доцільно розрізняти локальну і глобальну

архітектуру. В рамках локальної архітектури реалізую ться елемен тарні

складові, які потім можуть бути об'єднані для обслуговування корпо ративн их

систем [23].

Первинний збір даних зазвичай здійснюють агенти, зван і також сенсорами.

Реєстраційна інформація може витягуватися з системних або прикладних

журналів (технічно нескладно отримувати її і безпосередньо від ядра ОС), або

здобуватися з мережі за допомогою відповідних механізмів активного

мережевого устаткування або шляхом перехоплення пакетів за допомогою

встановленої в режим моніторингу мережевої карти.

Уже на рівні агентів (сенсорів) може виконуватися фільтрація даних з

метою зменшення їх об'єму. Це вимагає від агентів деякого інтелекту, але

розвантажує решту компонентів системи.

Агенти передають інформацію в центр розподілу, який приводить її до

єдиного формату, можливо, здійснює подальш у ф ільтрацію, зберігає в базі

даних і направляє для аналізу статистичному і експертному компонентам. Один

центр розподілу може обслуговувати декілька сенсорів.

Змістовний активний аудит починається із статистичного і експертного

компонентів. Якщо в процесі статистичного або експертного аналізу

виявляється підозріла активність, відповідне повідомлення прямує до

вирішувача, який визначає, чи є тр ив о га виправдан о ю , і вибир ає спосіб

реагування.

Хороша система виявлення вторгнень повинна уміти виразно пояснити,

чому вона підняла тривогу, наскільки серйозна ситуація і які рекомендовані

способи дії. Якщо вибір п овин ен залишатися за лю дин ою , то хай він зводиться

до декількох елементів меню, а не до вирішення концептуальних проблем.

188

Розглянемо приклад організації аналізу виявлення порушеннь безпеки

(навіть у випадках, я кі не в раховуються політикою безпеки), я ки й відомий з

літератури під назвою «Модель виявлення порушення безпеки» і який базисом

створення експертної системи IDES дл я вирішення завдань виявлення

порушень безпеки.

Модель включає 6 основних компонент:

• суб'єкти, які ініціюють діяльніс ть в с и ст ем і, за зв и ча й – це користувачі;

• об'єкти, які складають ресурси системи – файли, команди, апаратна

частина;

• АІ – записи, що породжені діями або поруш еннями доступів суб'єктів

до об'єктів;

• профілі – це структури, які характеризують поведінку суб'єктів

відносно об'єктів в термінах статистичних і поведінкових моделей;

• аномальні дані, які характеризують виявлені випадки ненормальної

поведінки;

• правила функціонування експертної системи при обробці інформації,

управління.

Основна ідея моделі – визначити нормальну поведінку системи з тим, щоб

на її фоні виявляти ненормальні факти і тенденції. Зупинимося докладніше на

опісі елементів моделі.

АІ – це сукупність записів, кожна з яких в моделі представляє 6-мірний

вектор, компоненти якого несуть наступну інформацію:

• АІ

= (суб'єкт; дія; о б'єкт; умови для надання виклю чення; лист

використання ресурсів; час), де дія – це операція, яку здійснюють суб'єкт і

об'єкт;

• умови для надання виключення – якщо вони присутні, то визначають,

що додатково треба зробити суб'єкту, щоб дістати необхідний доступ;

• лист використання ресурсів – може містити, наприклад, число

строчок, надрукованих принтером, час зайнятості центрально го проц есора і

т.д.;

189

• час – унікальна мітка часу і дати, коли відбулася дія.

Оскільки АІ пов'язана з суб'єктами і об'єктами, то в цілому дані АІ подібні

по організації до матриці доступу, де вказані права доступу кожного суб'єкта до

будь-якого об'єкту. У матриці АІ в клітках описана активність суб'єкта по

відношенню до об'єкту.

Приклад. Розглянемо ситуацію, коли користув ач S використовує команду

Copy для того, щоб скопіювати файл Game в бібліотеку; проте копіювання не

виконане, оскільки S не має права писати в бібліотеку Library. Тоді АІ, що

відповідає цьому прикладу може складатися із записів:

(S, execute, Library Сору.ехе, 0, CPU = 00002, 11.05.08.21678),

(S, Read, S Game.exe, 0, Records = 0, 11.05.08.21679),

(S, Write, Library Game.exe, Write – violation, Records = 0, 11.05.08.21680).

Розглянемо тепер поняття профілю. Профілі описують звичайну поведінку

суб'єктів по відношенню до об'єктів у вигляді певної структури. Ця поведінка

характеризується набором статистичних характеристик, обчислених за

спостереженнями за діями суб'єкта по відношенню до об'єкту, а також деякою

статистичною моделлю такої поведінки. Приведемо приклади таких

статистичних характеристик:

1. Частоти подій, що зустрічаються. Наприклад, частота заданої

команди, що зустрічається протягом години роботи системи і т.д.

2. Довжина часового проміжку між здійсненням деяких подій.

3. Кількість ресурсів, які були витрачені у зв'язку з якою-небудь подією.

Наприклад, час роботи центрального процесора при запуску деякої програми,

число задіяних елементів апаратної частини і ін.

Статистичні моделі будуються за спостереженими значеннями

статистичних характеристик з урахуванн ям статисти чної о бробки даних.

Наприклад, деякий процес характеризується стійким середнім числом даної

команди, що зустрічається, яка може бути упевнено поміщена в довірчий

інтервал в 3σ, д е σ – стандартне відхилення частоти події, що зустрічається.

190

Найчастіше статистичні моделі є багатовимірними і визначаються

багатовимірними статистичними м етодами. Найбільш складні моделі – це

випадкові процеси, характеристики моделей є деякими функціоналами від

випадкових процесів. Наприклад, моменти зупинки програми і т.д.

У нормальних умовах статистичні характеристики знаходяться у межах

своїх значень. Якщо відбувається ненормальне явище, то можливо спостерігати

статистично значуще відхилення від сер едніх пар аметрів статистичних

моделей.

Опис профілю або його структура складається з 10 компонентів, які, окрім

власне статистичної моделі, визначають АІ, з нею зв'язану. Структура профілю

може бути представлена наступним вектором:

(Ім'я змінної; в ідби ван і дії; наявні викл ю че ння ; дані використання

ресурсів; період вимірювань; тип статистики; поріг допустимих значень;

суб'єкт; об'єкт; значення останнього спостереження моделі).

На жаль, аналіз на рівні суб'єкт – об'єкт в значній мірі утруднений. Т ому

аналогічні структури (профілі) створ юю ться для агрегованих суб'єктів і

об'єктів. Наприклад, для деякої фіксованої множини суб'єктів відносно всіх

можливих об'єктів. Інший приклад: дії всіх користувачів відносно даного

об'єкту.

Основною складністю при впровадженні цій моделі є вибір і побудова

профілів.

Приклад. Розглянемо систему з 1000 користувачами; у кожного

користувача в середньому 200 файлів, що дає 200000 файлів в системі. Тоді

маємо 200 млн. можливих комбінацій: користувач-файл. Навіть, якщо

припустити, що кожен користувач здійснює доступ до 300 файлів, то необхідно

створити 300000 профілів.

Останній приклад показує, що необхідно застосовувати спеціальні

прийоми для скорочення інформації.