Антонюк А.О. Теоретичні основи захисту інформації
Подождите немного. Документ загружается.
81
відповідність між загрозами T={t
c
, t
i
, t
a
, t
s
} і мн о ж и н ам и ДФ з поданої таблиці,
тобто побудувати відображення ДФ↔T.
3.4. Модель загр о з дл я к р и пт о гр а ф іч н и х с ер ед о ви щ
Відзначимо ще один тип чинників або ДФ, досить розповсюджених в
останні часи і характерних саме для криптографічних середовищ.
Користуючись попередньою класифікацією (таблицею 1), цей вид ДФ можна
віднести до комірки «Зловмисні дії – персонал».
Дійсно, зазвичай крупні мережі, що складаються з багатьох комп’ютерів та
інших засобів , є відкритими системами. Ц е означає, що всі об’єкти м ер ежі, в
ролі яких може виступати комп’ютер, засіб, ресурс, провайдер, людина або їх
сукупність, можуть приєднуватися до системи для передавання та отриман ня
повідомлень від інших користувачів, що входять до системи, без дозволу
«головного» адміністратора системи (мережі). З цього виникає, щ о в мережі
можуть посилатися та передаватися будь-які повідомлення, зокрема, і від ЗЛ.
Зловмисником може бути і окремий індивідуум, і їх коаліцією, і, в особих
випадках, законним користувачем.
Звичайно вважається, що ЗЛ добре знається на засобах, які
використовуються у відкритій мережі. Його дії непередбачені, оскільки він діє
таємно. Більше того, у випадку дій коаліції зловмисників можливе
контролювання декількох вузлів мережі, причому географічно вони можуть
бути розподіленими. О тже, можна говорити про чинникі або ДФ, що можуть
призвести до реалізації загроз конфіденційності та цілісності, а в деяких
випадках і доступності.
Саме для такого потужного ворога в такому уразливому середовищі, як
відкрита мережа, Долев (Dolev) і Яо (Yao) [77] запропонували м оде ль загроз
(threat model), яка широко використовується в криптографічних протоколах .
Фактично це не є моделлю в повному сенсі цього слова, а лише деякі загальні
рекомендації, на основі яких можна будувати захист інформації в мережах.
Наведемо основні її положення.
82
Отже, в рамках цієї моделі вважається, що зловмисник володіє наступними
характеристиками:
• може перехопити будь-яке повідомлення;
• є законним кори стувачем мережі і м оже вступати в контакт з будь-
яким іншим користувачем;
• може отримати повідомлення від будь-якого користувача;
• може надсилати повідомлення будь-якому іншому користувачу,
маскуючись під будь-якого іншого користувача.
Таким чином, в даній моделі загроз основним припущенням є те, що будь -
яке повідомлення, яке п ередається мережею, попадає до зловмисника. Це
означає, що завжди існує загроза, що будь-яке повідомлення, яке отримує
певний користувач, спочатку було перехоплено зловмисником, а потім
надіслано за адресою. Тобто фактично вважається, що зловмисник має повний
контроль над всією мережею або інакше – вся відкрита мережа є зловмисником.
На перший погляд здається, що таке припущення перекреслює бу дь-які
можливості законного користувача щодо захисту своєї інформації.
Проте, незважаючи на наведені досить широкі можливості зловмисника,
він все ж не є всемогутнім. Тобто є речі, які зловмисник зробити не здатен,
навіть якщо під його маскою ховається ціла коаліція ворогів, що мають велику
кількість комп’ютерів і можуть виконувати навіть паралельні обчислення у
відкритій мережі. Слід зазначити, згадані речі базуються на використанні
користувачем системи шифрування з відкритим клю чем. Нагадає м о, що це
системи, у яких процес шифрування реалізується за допомогою відкритого
ключа (відомого усім, зокрема, і зловмиснику), а процес дешифрування – за
допомогою закритого (таємного і відомого лише каристувачу). Причому ці два
ключі математично зв'язані, проте задача визначення одного ключа за знанням
іншого є такою ж с кл ад н ою задачею як розшифрування т ек сту з а до п о м о го ю
прямого перебору усіх можливих ключів.
Ось ті речі, які фактично «не під силу» будь-якому зловмиснику:
83
• зловмисник не може вгадати випадкове число із досить великого
ключового простору;
• не маючи правильного таємного ключа, зловмисник не може
відновити відкритий текст за його зашифрованим варіантом і, навпаки, не
зможе правильно зашифрувати вихідне по відомлен ня за допомо гою алгоритму
шифрування;
• зловмисник не здатен знай ти таємний ключ, який відповідає заданому
відкритому ключу;
• контролюючи крупну відкриту частину дій користувачів та засобів
зв’язку, зловм исни к все ж не має доступ у до багатьох закритих зон
обчислювального середовища, наприклад, до пам’яті обчислювального засобу
автономного користувача.
Звичайно, для конкретних мереж можливі ще деякі додаткові чинники
подібного характеру. Саме на наявності наведених чинників можна будувати
свій захист як кожному окремому користувачу, так і їх можливим коаліціям.
Модель загроз Долева-Яо є досить загальною та універсальною і може
застосовуватися практично до всіх криптографічни х прото колів.
3.5. Узагальнен и й п ід хід щодо побудо в и моделі загроз
Аналіз загроз інформації є одним з найважливіших етапів при розробці
комплексних систем захисту інформації в ІТС і проводиться на підставі
заздалегідь розробленої моделі загроз. Н а п ідставі мо делі загр оз тако ж
формується ПБ, в якій знаходять віддзеркалення питання захисту від
сформульованих загроз з урахуванням ризиків їх реалізації.
Від чіткості і повноти моделі загроз, перш за все, залежать правильний
вибір засобів, технологій і заходів по захисту інформації, а, відповідно, і рівень
захищеності ІТС.
Існуючі підходи і рекоменд ації до побудови моделі загроз в основній своїй
масі є приватними, суперечливими, різнорідними, оперуючими різною
термінологією і поняттями. Нижче розглядається спроба вн ести ясність в
84
процес побудови моделі загроз і, можливо, закласти якусь науково-
методологічну базу для її подальшого використання при розробці КСЗІ в ІТС.
Приведене в [1] визначення загрози можна розглянути з дещо іншої точки
зору. Зокрема, надане ран іше визначення загрози узагальн имо наступним
чином.
Надалі під загрозою розумітимемо мету порушення безпеки інформації у
разі навмисних дій порушника або результат несприятливих для безпеки
інформації ненавмисних дій. Нижче розглядаються необхідні і на й ва ж л и в іш і
умови і засоби для досягнення мети.
Розгляд базується на моделі ІТС, що наведена раніше. Тоді, зокрема,
приймалося, що компоненти, які становлять будь-яку ІТС, є змінними з часом.
У зв'язку з цим природно припустити, що з часом і загрози можуть виникати і
зникати. Це означає, що кожній загрозі можна ставити у відповідність щ ось на
зразок її життєвого циклу – від зародження загрози до повної її реалізації.
Виникає природне питання про конкретні етапи, які повинні включатися в
такий життєвий цикл, а також про будь-які інші поняття, що можуть м ати якесь
відношення до загроз. Як показує практичний досвід і теоретичні дослідження,
окрім поняття загрози, історично сформувалися і визначені в літературі такі
важливі поняття як атака, уразливість ІТС, ДФ і ін.
Для розгляду процесу реалізації загроз визначимо найважливіші поняття,
без яких не може реалізуватися загроза.
Передбачається, що в будь-якій ІТС всі ком понен ти міняються в часі,
причому час є дискретним і приймає значення з множини N
0
={0,1,2,…}, t∈N
0
.
Позначимо множину загроз в деякий момент часу t∈N
0
через T(t), тобто
T
l
(t)∈T(t), l=1,…,L.
Очевидно, що в процесі реалізації загрози її здійсненню може передувати
деяка підготовча діяльність зловмисника. Атакою називатимемо сукупність дій
порушника, скерованих на реалізацію загрози. Нехай А(t) – множина атак в
деякий момент часу t∈N
0
, А
i
(t)∈А(t), i=1,…,I.
85
Атака завжди скерована на отримання конкретного результату в
конкретній ІТС. Це означає, що для цього поруш ник може скористатися якими-
небудь недоліками або уразливостями системи захисту інформації в ІТС, які
завжди мають місце. Останнє зауваження в ипли ває з пр инц ипу н емож ли вості
створення абсолютного захисту.
Саме активізація (або використання) деякої уразливості в ІТС дозволяє
подолати існуючі механізми захисту інформації і виконувати операції, що
скеровані на порушення її безпеки. Уразливістю називатимемо якісну і/або
кількісну недостатність комп онен тів ІТС, що відповідають за захист
інформації. Позначи м о множ и ну уразл и в о сте й в деякий момент часу t∈N
0
через
V(t), V
k
(t)∈V(t), k=1,…,K.
Помітимо, проте, що не тільки уразливості в системі заходів і засобів
захисту інформації дозволяють здійснювати загрози, а і випадкові або
об'єктивні обставини, чинники або події, які перешкоджають реалізації
захисних механізмів і заходів. Вище досить детально вивч алося п оняття Д Ф –
явища або події, виникнення якої на деякому етапі ж иттєвого ц иклу ІТС може
привести до реалізації загрози. Слід відзначити, що в даному контексті можна
розглядати ДФ як інструментарій зовнішньої дії на ІТС, що може привести до
активізації ур азлив ості і реалізації загрози. Множин у ДФ в деякий момент часу
t∈N
0
позначимо через D(t), D
j
(t)∈D(t), j=1,…,J.
Очевидно, що окрім приведених понять, що мають безпосереднє
відношення до процесу реалізації загрози, слід визначити, хто і кому загрожує.
Це досягається шляхом визначення понять об'єкт і суб'єкт загрози. На га да єм о ,
як раніше було введено, під об'єктом загрози розумітимемо пасивний об'єкт
або об'єкт-процес, на вихід якого із захищеного стану (стани «безпеки» [18])
скерована загроза. Суб'єктом загрози у такому разі є об'єкт-користувач або
об'єкт-процес, що безпосередньо реалізує загрозу. Очевидно, що множини О(t)
об'єктів загроз і S(t) суб'єктів загроз є підмно жин ами множ ин и об'єктів самої
ІТС в деякий момент час у. Пом ітим о, щ о в так ій схем і викл ю чаю т ьс я з
розгляду суб'єкти, що не є об'єктами даної ІТС. Для того, щоб включити всі
86
можливі причини порушення безпеки, доцільно розширити множину суб'єктів
загроз за меж і ІТС. У такому разі в моделі загро з можуть фігуру вати елементи
середовища функціонув ання ІТС, фізичні об'єкти, зовнішні програмні і апаратні
засоби.
Для кожної з перерахованих множин може бути запропонована довільна
класифікація, що, до речі, і реалізується в багатьох публікаціях.
Зокрема, загрози можуть розрізнятися:
• за метою реалізації (порушенн я конфіденційності, цілісності,
доступності або спостереженості);
• за ступенем збитку, який може бути нанесени й унаслідок реалізації
загрози;
• за типом прояву (збій, відмова, помилка, витік, модифікація, ін.) і т.д.
Атаки можна класифікувати за наступними ознаками:
• за тривалістю (однократна або що повторюється);
• за місцезнаходженням джерела (локалізована або розподілена);
• за засобами, що викори стовую ться (з вико ристан ням штатних засобів
ІТС або із залученням допоміжн их);
• за принципом реалізації (локальна або видалена);
• за об'єктом дії.
Уразливості можуть розрізнятися:
• унаслідок виникнення (якісна або кількісна недостатність);
• за ознакою навмисності (випадкова або навмисна);
• за тривалістю існування (тимчасова або систематична);
• за часом виникнення що до етапу жи ттєвого циклу ІТС (технологічна,
експлуатаційна);
• за характером (програмна, апаратна, програмно-апаратна,
адміністративна, організаційно-правова).
ДФ можуть мати як об'єктивну, так і суб'єктивну природу. Останні також
можна класифікувати по ознаці навмисності (випадкові або навмисні). По типу
87
прояву ДФ можуть виражатися як в стихійних лихах, так і відмові компонентів
ІТС, збоях устаткування, пом ил ках перс она лу і т.д.
Суб'єкти і об'єкти загроз перш за все розрізняються за ступенем
активності. Детал ьна класифікація їх залеж ить від класифікації, при йнято ї в
конкретній ІТС. Проте, як суб'єкти загрози можна виділити людей, технічні
засоби, програмні засоби, зовнішнє середовище. Дана задача повною мірою
розв’язується в процесі побудови моделі порушника.
Приведена класифікація є досить умовною і природно не враховує всі
можливі ознаки розмежування тих або інших аспектів, проте експерт в області
безпеки інформації має право використовувати будь-яку зручну для нього
класифікацію при побудові моделі загроз для конкретної ІТС.
Тепер необхідно з'ясувати, яким чином можуть взаємодіяти елементи
введених вище множин в процесі реалізації загрози, тобто формально
визначити можливі послідовності взаємодій елементів множин T(t), А(t), D(t),
V(t), О(t), S(t) в буд ь-який момент часу t∈N
0
.
Перш за все необхідно вирішити питання послідовностей реалізації
елементів даних множин. Для визначення можливих послідовностей (або схем)
елементів ц их множин, що мають реальний практичний сенс,
користуватимемося наступними загальними міркуваннями (критеріями), що
базуються на практичному досвіді:
• в будь-якій схемі зовсім не обов'язково повинні брати участь елементи
всіх без винятку множ ин – можуть використовуватися лише деякі елементи з
деяких множин;
• порядок взаємодії елементів наведених множин не встановлюється –
можуть бути схеми із довільним порядком проходження елементів;
• в будь-якій схемі може використовуватися не один, а декілька
елементів будь-якої множини;
• елементи деяких множин можуть брати участь в схемах повтор но.
З метою підтвердження можливої практичної реальності для кожної з
розглянутих нижче схем наводиться конкретний приклад з відповідними
88
коментарями. Наявність індексів означає, що використовуються окремі
елементи відповідних множин.
Отже, розглянемо приклади наступних схем (послідовностей).
1) A
i
(τ) → D
j
(τ) → V
k
(τ) → T
l
(τ).
В даній схемі атака порушника, використовуючи певний ДФ, активізувала
певну уразливість, що призвело до реалізації загрози.
Як ілюстрацію розглянемо такий приклад: атака порушника складається з
дій по виведенню з ладу си стеми енергопостачанн я ІТС. Відсутність
електроживлення у такому разі буде ДФ – це може бути наслідком збою,
відмови і т.д. При цьому може активізуватися така уразливість системи захисту
інформації, як відсутність безперебійн и х джерел живл ен н я або вичерпан н я їх
ресурсу у зв'язку з тривалим використанням. Це може призвести до
непрацездатності компонентів ІТС і, як наслідок, до реалізації загрози
порушення доступності, а можливо і цілісності інформації.
2) A
i
(τ) → V
k
(τ) → D
j
(τ) → T
l
(τ).
Звернемо увагу на те, що дана схема відрізняється від попередньої лише
порядком двох чинників. Проте це призводить до нової її інтерпретації. Тепер
порушник атакує, використовує існуючу уразливість і ДФ для реалізації
загрози.
Наведемо як приклад спуфінг пакетів в мережі передачі даних. Атакою
вважаємо дії порушника по підключенню до мережі передачі дан их і
моніторингу трафіку. При цьому використовується уразливість, яка виражаєься
в недосконалості протоколів передачі даних і відсутності систем виявлення і
запобігання вторгнень. ДФ буде те, що по мер ежі передається інформація у
відкритому вигляді (наприклад, атрибути доступу) – це можна вважати якісною
недостатностю компонент ІТС. У разі перехоплення цих даних порушник
реалізує загрозу порушення конфіденційності інформації.
3) A
i
(τ) → V
k
(τ) → T
l
(τ).
Тут уже використані не всі чинники, тобто вважається, що загрози можуть
реалізовуватися і без активізації ДФ. Прикладом даної ситуації може бути DoS-
89
атака поруш ника на публічний веб-ресурс. Уразливість засобів захисту від атак
типу «відмова в обслуговуванні» може призвести до реалізації загрози
порушення доступності інформації.
4) A
i
(τ) → D
j
(τ) → T
l
(τ).
Така схема ілюструє реалізацію загрози за допомогою активізації
зловмисником ДФ при видимій відсутності уразливостей. Слова «видимій
відсутності» підкреслюють те, що уразливості в будь-якій ІТС завжди присутні,
але про них або не завжди щось відомо зловмиснику або він використовує інші
можливості для атаки.
Доречним прикладом тут буде ситуація, коли порушник здійснює
діяльність по підгляданню пароля, що вводиться користувачем з клавіатури.
Унаслідок випадковості пароль може бути набраний в іншому полі, що
дозволить зчитати його з екрану монітора у відкритом у вигляді. У такий спосіб
може реалізуватися загроза порушення конфіденційності.
5) A
i
(τ) → T
l
(τ).
Дана ситуація характеризує можливість реалізації загрози без активізації
уразливостей і ДФ.
Наприклад, якщо користувач володіє повноваженнями адміністратора або
суперкористувача, він може реалізувати бу дь-яку загрозу інформації. Запобігти
реалізації подібних загроз можна лише організаційними заходами, проте
людський чинник є визначаючим.
6) D
j
(τ) → V
k
(τ) → T
l
(τ).
Дана схема ілюструє реалізацію загрози навіть за відсутності порушника,
тобто ненавмисні дії по порушенню безпеки інформ а ції. Виникнення ДФ за
умови наявності певної уразливості може призвести до здійснення загрози.
Наприклад, як ДФ можна розглядати стихійне лихо у вигляді пожежі.
Уразливість, що виявилася у відсутності системи пожежогасінні і резервного
копіювання, може призвести до реалізації загрози п орушенн я цілісності або
доступності інформації.
7) D
j
(τ) → T
l
(τ).
90
Ця схема подібна попередньої за винятком відсутності уразливості при
реалізації загрози.
Як ДФ можна розглянути помилку системного або прикладного
програмного забезпечення (наприклад, «зависання»). В результаті може
реалізуватися загроза порушення доступності інформації.
Наведені вище схеми ілюструють можливі варіанти взаємодії множин у
випадках реалізації загрози. Звичайно, подібних варіантів та їх інтерпретацій
можна навести набагато більше.
Проте, подібні міркування справедливі навіть і в тих випадках, коли
загроза не реалізується, наприклад в схемах типу A
i
(τ) → V
k
(τ) → D
j
(τ)
(обставини або засоби захисту дозволили запобігти загрозі, хоча атака уже
починалася). Окрім цього, дані ланцюжки є базовими, і на їх основі можуть
формуватися складніші схеми, використовуючі різні комбінації, наприклад
A
i
(τ) → V
k
(τ) → D
j
(τ) → → D
j+m
(τ) → V
k+1
(τ) → T
l
(τ).
Включення в розглянуті схеми об'єктів загроз, від яких переважно
виходять інформаційні потоки, і суб'єктів загроз, до яких ці потоки скеровані,
дозволить описати процес реалізації загроз в рамках формалізму об'єктно-
суб'єктної моделі ІТС
S
m
(τ) → A
i
(τ) → V
k
(τ) → D
j
(τ) → T
l
(τ) → O
n
(τ).
Інтерпретація атаки як послідовн ост і п роц есів, а уразливос ті – як
діяльність деякого об'єкту, дозволяє в певному наближенні перейти до
представлення процесу реалізації загрози у вигляді ланцюжка доступів.
Процес побудови моделі загроз тепер можна умовно розбити на наступні
етапи:
1) визначення переліку ДФ, які можуть виникати протягом життєвого
циклу ІТС;
2) визначення джерел ДФ і можливих ініціаторів атак;
3) визначення та аналіз можливих уразливостей системи захисту ІТС;
4) формування переліку всіх можливих загроз інформації в ІТС, суб'єктів
і об'єктів загроз;