Интерпретация угрозы атаки. 
Понятие надежности безопасности, параметры и характеристики безопасности

Ранее мы говорили о том, что угрозу атаки создает совокупность угроз уязвимостей, одновременное выявление и присутствие которых в ИС является необходимым условием успешной реализации этой атаки.

Отметим, что если атака предполагает реализацию НСД к нескольким средствам в какой-либо очередности, то угрозу атаки создает совокупность угроз уязвимостей всех этих средств.

Угроза атаки на ИС как последовательность используемых потенциальным нарушителем выявленных и присутствующих в системе уязвимостей, создающих возможность успешной реализации этой атаки, может быть представлена соответствующим ориентированным графом (орграфом), показанным на рис. 2.1, где под орграфом угрозы атаки понимается орграф, вершинами которого выступают угрозы уязвимостей, дуги отображают последовательность использования уязвимостей при реализации атаки [19]. Вершины орграфа взвешены характеристиками угроз уязвимостей P_0w,

Рис. 2.1. Ориентированный граф (орграф) угрозы атаки на ИС.

r= 1, R — значениями вероятностей отсутствия в системе уязвимостей (P_0v, — вероятность готовности ИС к безопасной эксплуатации в отношении угрозы r-й уязвимости).

Утверждение. Угроза атаки на ИС может интерпретироваться схемой параллельного резервирования угроз уязвимостей, резервируемыми и резервирующими элементами которой являются угрозы уязвимостей (рис. 2.2).

б.

Рис. 2.2. Интерпретация угрозы атаки схемой параллельного резервирования создающих ее угроз уязвимостей:

а — орграф угрозы атаки; 6 — схема параллельного резервирования угроз уязвимостей.

Доказательство. Доказывается утверждение тем, что каждая угроза уязвимостей, присутствующая в системе с вероятностью Р_0уг, может рассматриваться в качестве резервирующего элемента, так как с вероятностью P_0v,. предотвращает атаку, с учетом того, что для реализации угрозы атаки в системе должны одновременно возникнуть и быть не устраненными все R уязвимостей, используемых атакой, т. е. должно выполняться условие: P_0vr = О, r=l,…, R.

Замечание. Корректность преобразования, проиллюстрированного на рис. 2.2, обусловливается независимостью случайных событий возникновения и устранения соответствующих уязвимостей, что обоснуем далее.

Утверждение. Угроза атаки при ее интерпретации схемой параллельного резервирования угроз уязвимостей характеризуется исключительно набором (совокупностью) создающих ее угроз уязвимостей.

Доказательство. Как следует из рис. 2.2, б, угрозы атак, характеризуемые одинаковым набором (совокупностями) угроз уязвимостей, независимо от последовательности использования уязвимостей при реализации атаки потенциальным нарушителем, могут быть представлены одной и той же схемой (совпадающими схемами) параллельного резервирования угроз уязвимостей.

Замечание. Сказанное является принципиальным отличием моделирования угрозы атаки от моделирования атаки, определяемой как последовательность, т. е. определенная очередность ДВ на ИС потенциальным нарушителем.

Следствие. Применительно к моделированию угрозы атаки в качестве объекта моделирования должен рассматриваться случайный процесс возникновения и устранения реальных угроз атак в ИС. Причем при моделировании угрозы атаки должна учитываться исключительно совокупность создающих ее угроз уязвимостей, при этом не важно, в каком порядке используются эти уязвимости потенциальным нарушителем при реализации той или иной атаки.

Замечание. Если атака предполагает реализацию НСД к нескольким средствам в какой-либо очередности, некоторые из которых характеризуются одной и той же угрозой уязвимостей, данная угроза уязвимостей в угрозе атаки должна учитываться единожды.

Определение. Атаки будем считать различными в том случае, если ими реализуются различные угрозы атак — наборы (совокупности) создающих их угроз уязвимостей, в противном случае будем говорить об одной и той же атаке.

Поскольку конкретная атака предполагает определенную очередность реализации ДВ потенциального нарушителя на ИС (конкретную очередность использования реальных угроз уязвимостей), одна и та же реальная угроза атаки в общем случае может реализовываться различным образом.

Следствие. С учетом сказанного можем заключить, что угроз атак как объектов моделирования существенно меньше, чем атак, что значительно упрощает задачу моделирования угроз атак по сравнению с задачей моделирования атак за счет существенного уменьшения числа возможных объектов моделирования.

• Под резервированием угроз уязвимостей будем понимать существование (создание) условий, при которых реализация атаки возможна только при использовании ею нескольких одновременно присутствующих в ИС уязвимостей — резервируемой и резервирующей.

Вывод. В рамках представленной интерпретации угроза атаки должна моделироваться как случайный процесс ее возникновения (возникновение реальной угрозы) и устранения в И С, причем этот процесс никоим образом не связан с последовательностью Д В на И С потенциальным нарушителем.

Характеристикой P_0vr = 0, г = 1,…, R (вероятность готовности ИС к безопасной эксплуатации в отношении угрозы уязвимостей) определяется вероятностная характеристика (вероятностная мера) безотказной работы ИС в отношении угрозы уязвимостей, что позволяет ввести понятия отказа и восстановления безопасности ИС в отношении угрозы уязвимостей.

• • Под отказом безопасности ИС в отношении угрозы уязвимостей будем понимать возникновение в системе уязвимости.
• • Под восстановлением безопасности ИС в отношении угрозы уязвимостей будем понимать устранение присутствующей в системе уязвимости.

Характеристикой Р_0а (вероятность готовности ИС к безопасной эксплуатации в отношении угрозы атаки) определяется вероятностная характеристика (вероятностная мера) безотказной работы ИС в отношении угрозы атаки, создаваемой угрозами уязвимостей с вероятностными характеристиками Р_0уг = 0, г = 1,…, R.

• • Под отказом безопасности ИС в отношении угрозы атаки будем понимать возникновение в системе одновременно всех уязвимостей, создающих реальную угрозу атаки.
• • Под восстановлением безопасности ИС в отношении угрозы атаки будем понимать устранение, по крайней мере, одной из одновременно присутствующих в системе уязвимостей, создающих реальную угрозу атаки.

Характеристикой Р_0нс (вероятность готовности ИС к безопасной эксплуатации в целом) определяется вероятностная характеристика (вероятностная мера) безотказной работы ИС в отношении всех возможных для И С угроз атак, характеризуемых вероятностными характеристиками Р_0а/, / = 1,…, L.

• • Под отказом безопасности ИС в целом будем понимать возникновение в системе, по крайней мере, одной реальной угрозы атаки.
• • Под восстановлением безопасности ИС в целом будем понимать устранение всех одновременно присутствующих в системе реальных угроз атак.

Таким образом, при подобной интерпретации угрозы атаки, по аналогии с теорией надежности [6], информационная безопасность (ИБ) характеризуется следующими свойствами — отказ и восстановление безопасности, резервирование (в данном случае по угрозам уязвимостей). То есть характеристики безопасности Р_0уг, Р_0а, Р_0ис могут интерпретироваться как надежностные характеристики безопасности, определяющие способность выполнять И С требуемые функции в безопасном режиме. Соответствующим образом могут быть введены и определены надежностные параметры угроз безопасности.

Угроза безопасности ИС в целом может быть представлена аналогично угрозе атаки (см. рис. 2.1) соответствующим орграфом, объединяющим в себе орграфы всех возможных угроз атак на И С, создающих угрозу безопасности ИС в целом. Пример графа (для наглядности вершины угроз уязвимостей не взвешиваем) угрозы безопасности ИС в целом показан на рис. 2.3.

Пример графа, вершины которого пронумерованы в соответствии с нумерацией угроз уязвимостей, наглядно иллюстрирует зависимость угроз атак по угрозам уязвимостей. Одна и та же угроза уязвимостей, например под номером 4 (см. рис. 2.3), может оказывать влияние на создание множества различных угроз атак, что должно учитываться при моделировании угрозы безопасности ИС в целом (этот вопрос рассмотрим далее). В качестве.

Рис. 2.3. Пример графа угрозы безопасности ИС в целом

примера подобной угрозы можно привести угрозу внедрения и исполнения вредоносной программы.

Замечание. В силу зависимости угроз атак по угрозам уязвимостей интерпретация угрозы безопасности ИС в целом схемой резервирования угроз атак, в данном случае уже последовательного, не корректна.

• Под надежностными параметрами безопасности будем понимать интенсивности возникновения и устранения в ИС реальных угроз безопасности.

Как видим, в приведенных определениях используются термины теории надежности — отказ и восстановление соответствующей характеристики, в данном случае — характеристики безопасности информации, резервирования. Обратимся к определению надежности. Как следует из работы [3], надежность — это свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания, хранения и транспортирования. Следуя данному определению, проводя моделирование в рамках рассмотренной интерпретации угрозы атаки, можем говорить об определении надежностных параметров и характеристик безопасности И С, а в общем случае — о свойстве надежности безопасности [19].

• Под надежностью безопасности будем понимать свойство И С сохранять во времени в установленных пределах значения всех характеристик безопасности, определяющих способность выполнять ИС требуемые функции обработки информации в безопасном режиме.

Замечание. В ГОСТе [3] под безопасностью понимается несколько иное свойство объекта — свойство объекта при изготовлении и эксплуатации и в случае нарушения работоспособного состояния не создавать угрозу для жизни и здоровья людей, а также для окружающей среды. При этом в данном документе отмечается, что хотя безопасность не входит в общее понятие надежности, однако при определенных условиях тесно связана с этим понятием, например если отказы могут привести к условиям, вредным для людей и окружающей среды сверх предельно допустимых норм.

Мы в данном случае говорим совсем об иной области безопасности — об информационной безопасности, совсем иным образом интерпретируем понятие отказа: не как события, состоящего в нарушении работоспособного состояния объекта, а как события возникновения реальной угрозы безопасности И С, остающейся при этом работоспособной. Таким образом, говоря далее о безопасности (угроза безопасности, отказ и восстановление безопасности, параметры и характеристики безопасности и т. д.), будем понимать, что речь идет об информационной безопасности.

Приведенная интерпретация угрозы атаки, позволяющая говорить о надежности безопасности, как следствие, позволяет в той или иной мере применить (об отличиях поговорим далее) математический аппарат, используемый в теории надежности (естественно, с учетом отличительных свойств объектов и решаемых задач моделирования). Она важна и тем, что при использовании соответствующего математического аппарата могут быть определены не только вероятностные, но и временные характеристики безопасности, такие как среднее время наработки на отказ безопасности, среднее время наработки до отказа безопасности и среднее время восстановления безопасности (восстановления после отказа безопасности) [6].

• • Под вероятностной надежностной характеристикой безопасности будем понимать характеристику вероятности готовности ИС к безопасной эксплуатации в отношении угрозы безопасности.
• • Под временными надежностными характеристиками безопасности будем понимать характеристики среднего времени между отказами безопасности, наработки между отказами безопасности, среднего времени наработки до отказа безопасности и среднего времени восстановления безопасности.

Замечание. В теории надежности используется характеристика среднего времени между отказами безопасности, мы же, в том числе, говорим о характеристике среднего времени именно наработки между отказами безопасности. Об их отличии, обусловливаемом различием свойств объектов моделирования, поговорим далее.

Использование вероятностных и временных надежностных характеристик безопасности возможно применительно к угрозам уязвимостей, угрозам атак, к угрозе безопасности ИС в целом.

• • Под надежностной мерой актуальности угрозы безопасности будем понимать совокупность вероятностной и временных характеристик безопасности, характеризующих соответствующую угрозу безопасности — угрозу уязвимостей, угрозу атаки, угрозу безопасности ИС в целом.
• • Под моделированием надежностных параметров и характеристик безопасности будем понимать моделирование случайного процесса возникновения и устранения отказов безопасности, с целью получения надежностной оценки актуальности угроз безопасности.

Угроза атаки на СЗИ может интерпретироваться, но полной аналогии с интерпретацией угрозы атаки на ИС, т. е. соответствующим орграфом угрозы атаки, где в качестве вершин уже должны рассматриваться угрозы уязвимостей СЗИ, и соответствующей схемой параллельного резервирования угроз уязвимостей СЗИ (см. рис. 2.2).

Исходя же из того, что угрозы уязвимостей выступают в качестве резервирующих элементов (параллельный резерв), можем определить в рамках рассматриваемой интерпретации угрозы атаки в общем случае задачу СЗИ.

Применительно к подобной постановке задачи ЗИ можно построить, по аналогии с тем, как это сделано на рис. 2.1, орграф угрозы атаки на ЗИС, в который включены (каким образом и исходя из каких соображений, рассмотрим далее) взвешенные вершины угроз уязвимостей ИС и взвешенные вершины уязвимостей СЗИ.

• Под задачей СЗИ в общем случае будем понимать задачу повышения надежности безопасности ИС, решаемую резервированием угрозами уязвимостей СЗИ угроз уязвимостей ИС.

Следствие. В рамках интерпретации задачи реализации ЗИ как задачи резервирования по угрозам (угрозами) уязвимостей ИС системой ЗИ может быть сформулировано фундаментальное требование к построению СЗИ — угрозы уязвимостей ИС и угрозы уязвимостей СЗИ должны быть различными, так как в противном случае не решается требуемая задача резервирования, но угрозам уязвимостей.

Поясним данное требование. Атака на ИС, как говорилось выше, это не некое случайное событие (как отказ в теории надежности), а целенаправленное осмысленное ДВ потенциального нарушителя на ИС. Естественно, исходя из сказанного, можно заключить, что если угрозы атаки на ИС и на СЗИ будут создаваться одной и той же совокупностью угроз уязвимостей, то в данном случае можно говорить об угрозе одной атаки, которая может быть реализована и на ИС, и на СЗИ — защита посредством резервирования по угрозам уязвимостей в данном случае не реализуется.

Замечание. Говоря далее о реализации ЗИ и об угрозах атак на ЗИС, будем полагать, что угрозы уязвимостей ИС и СЗИ различны, т. е. решается соответствующая задача резервирования, но угрозам уязвимостей.