IT Manager: Моя оборона, або Моделювання як «скляне око» інформаційної безпеки

IT Manager Безпека управління ІБ

| 06.07.2017

Пластмасовий світ переміг,

Макет виявився сильніше ...

Група «Громадянська оборона»

З одного боку, моделювання можна назвати модним трендом в сфері інформаційної безпеки. З іншого - «модель порушника» і «модель загроз» не тільки теми постійного обговорення, але і джерело захоплень для неофітів і нервових розладів середньої тяжкості для діючих фахівців безпеки.

Розглянемо кілька проблем: що таке модель (і, відповідно, моделювання) в області інформаційної безпеки, яка мета такого моделювання (і, відповідно, створення моделей), яка ціна і ефективність створених моделей. І кому ці моделі потрібні. При цьому неясно, яка з проблем більш актуальна.

модель повна

Для початку розберемо «класичні» моделі. «Модель загроз безпеки інформації повинна містити опис інформаційної системи і її структурно-функціональних характеристик, а також опис загроз безпеки інформації, що включає опис можливостей порушників (модель порушника), можливих вразливостей інформаційної системи, способів реалізації загроз безпеці інформації та наслідків від порушення властивостей безпеки інформації », - читаємо в 17-му наказі ФСТЕК.

Помилки, пов'язані з побудовою моделі загроз з точки зору регулятора (ФСТЕК), вельми повно описують у своїх блогах і статтях багато фахівців, зокрема Олексій Лукацький, і цієї теми ми торкатися не будемо. Подивимося на фразу «... повинна містити опис інформаційної системи і її структурно-функціональних характеристик». При цьому практично не висувається жодних вимог до даного опису.

В одній з робіт, присвячених побудові моделі загроз, є хороша фраза: «Опис інформаційної системи має розкладати її по поличках настільки детально, наскільки це можливо». Але чи дасть нам що-небудь просто «максимально повний опис системи»? Наприклад, колір корпусу сервера, розумні слова про його функціональне призначення (за проектом). Наведемо аналогію в області економічної безпеки: інформація про колір дитсадівського нічного горщика контрагента може у виняткових випадках послужити цінним елементом моделі безпеки, але у випадках дуже виняткових, і за досить високу ціну. При вельми сумнівної ефективності. Але замовник часто все одно хоче «повну інформацію».

Те ж саме можна сказати про «максимально повному» описі системи в рамках моделі загроз, коли велика кількість «інформаційного сміття» підміняє дійсно важливі, але, можливо, нестандартні або незвичні чинники.

модель дволика

При спробі розібратися з поняттям «модель» ми стикаємося з тим, що цей термін як мінімум двузначен, що викликає певну плутанину.

У першому випадку «модель» - це деяка спрощена імітація моделюється сутності, її план, схема, карта. Тут модель несе перш за все «пояснювальні» і описові функції. У другому випадку «модель» несе Інтелектуальне функції, тобто дозволяє передбачати поведінку модельованої системи в різних ситуаціях і виявляти її неявні властивості. Подивимося на моделі з іншого боку і побачимо той же дуалізм.

Ще один погляд на моделі - модель бойових дій. В одному випадку ми маємо справу з макетом театру бойових дій, скажімо, міського кварталу або іншого ТВД, виконаним із пластику в певному масштабі, що включає макети рельєфу, будівель і споруд, солдат, бойової техніки.

В іншому випадку перед нами імітаційна або інша математична модель, що дозволяє провести оцінку та оптимізацію процесів, проаналізувати взаємовплив факторів, виявивши ключові, зімітувати розвиток процесів бойових дій в різних умовах.

модель звична

Повернемося до звичної нам моделі загроз. Спочатку задумана як засіб передбачення можливих наслідків реалізацій вразливостей, аналізу можливої ​​поведінки об'єктів захисту в умовах атаки і вироблення оптимальних методів реагування та протидії, ця модель поступово виродилася (особливо в разі моделі загроз персональних даних) в жорстко формальний систематизований перелік загроз безпеки (в даному випадку загроз безпеки персональних даних). У більшості ситуацій модель загроз є зліпком з результатів аудиту захищається ІС і дозволяє оцінити відповідність системи формальних правил регулятора. Але ні в якому разі не захиститися від нових, нестандартних атак і впливів.

В якості однієї з таких нестандартних загроз можна привести, наприклад, клас так званих семантичних атак. Семантична атака по Мартіну Лібікі [1] - ситуація, при якій неправомірне втручання здійснюється не в діяльність і алгоритми атакується системи, а в вихідні, що надходять для обробки і аналізу дані, що при знанні алгоритмів роботи системи може привести до видачі завідомо неправильних результатів. Справедливості заради скажемо, що задовго до Лібікі можливість такої атаки спрогнозували брати Стругацькі. (Читаємо «Великий КРІ»: «Діти, - сказав старий, - цей шахрай зробив в програмі маленьку поправку. У задачі" Буриданов баран "він показав, що у барана сім ніг. Мало того, цей інтелектуальний пірат прибрав з програми все, що стосується мозочка барана! »)

Ще цікавіша ситуація з моделлю порушника. Така модель, принципово дозволяє істотно зменшити ризики будь-якого вторгнення, сьогодні використовується в першу чергу для вирішення питання про вибір рівня криптографічного захисту інформації. Фактично це один з необхідних класифікаторів, які забезпечують вибір засобів захисту, але не більше того. Моделі порушника, відповідно до регламентуючими документами ФСБ, використовуються з метою визначення необхідного рівня її криптографічного захисту, якщо для захисту інформації потрібно застосування засобів криптографічного захисту. Тобто аналізується здатність порушника до компрометації ЗКЗІ, але не більше того.

Модель vs стандарт

Справедливості заради треба сказати, що регулятори в сфері ІБ застосовують кращі світові практики. Побудова моделей безпеки тісно пов'язане з положеннями ДСТУ ISO / IEC 18045, заснованого на «Загальних умовах».

Але є один цікавий момент. У більшості випадків все, що стосується моделей ІБ - будь то модель загроз або модель порушника, - виявляється жорстко формалізованим класифікатором, переліком систем, погроз і шляхів реагування та попередження, «відлитий у бронзі» нормативно-методичним документом, фактичним стандартом ... і в той Водночас пластиковим макетом «театру запобігання загрозам» (за аналогією з театром військових дій), що дозволяє забезпечити надійний захист від відомих загроз і атак (якщо, звичайно, при підготовці моделі не були забуті скільки-небудь важливі ф ктор і їх взаємодія), але безсилим перед звичайними подіями або їх незвичайною сукупністю.

Є ще один гідний уваги момент. Існуючі методики підготовки моделей ІБ містять жорсткий і ефективний перелік вимог до змісту моделі, але не дають ніякого механізму верифікації такої моделі, виявлення діючих факторів і їх верифікації, аналізу адекватності моделі. Все за принципом «написаному - вірити».

модель потрібна

При цьому відповісти на питання: «Яка модель нам потрібна?» - в загальному вигляді не представляється можливим. Хоча б тому, що спочатку треба сформулювати, хто це «ми» в конкретному випадку, хто є реальним замовником і споживачем результатів моделювання, з якої точки зору ми дивимося на проблему безпеки.

У багатьох ситуаціях дійсно досить «фанерного макету». Це не добре і не погано. І немає сенсу, принаймні в рамках цієї статті, обговорювати доцільність і ефективність вимог регулятора. Зупинимося на тому, що пропоновані стандартні моделі ефективні (можливо, на обмеженому просторі), безумовно необхідні. Але недостатні для забезпечення безпеки об'єкта захисту в умовах швидко мінливого світу.

Окреме питання: а що ми захищаємо або збираємося захищати? Фрази типу «захищати безпеку інформації» нагадують «сонячний зайчик скляного ока» агресивно-депресивної лірики Єгора Лєтова. Захист заради захисту при хорошій аранжуванні виробляє належне враження, але може привести до того, що серйозний удар противника (або тієї самої випадковості) буде пропущений в самий невідповідний час і призведе до сумних результатів.

У найзагальнішому випадку мета захисту можна визначити як недопущення небажаних наслідків, пов'язаних з можливою реалізацією вразливостей і загроз на об'єкті захисту. А в якості загроз може виступити і пряме попадання метеорита в ЦОД, і хакерська атака, і порушення корпоративної етики працівниками, і неадекватна поведінка адміністратора.

Ігнорування випадковостей, нестандартних і неявних подій за рахунок подання максимально повної картини - можливо, ефективно, але ... Як сказав Сталін після краху аеровагона, в якому загинули інженер Абаковскій, Артем і кілька іноземних комуністів, «якщо випадковість має політичні наслідки, то до такої випадковості потрібно придивитися ».

модель сучасна

Отже, ми прийшли до того, що до недоліків існуючих базових моделей ІБ слід віднести їх формальний характер, неможливість змоделювати поведінку системи в різних ситуаціях, неможливість автоматично проаналізувати опис модельованої системи і набір діючих (що впливають) факторів в їх взаємодії. Для забезпечення реальної захищеності хочеться додати всі ці можливості.

Що нам пропонує сучасна наука і техніка? Залишимо поки поза увагою цілий ряд дисертацій, традиційно починаються словами «візьмемо інтеграл» або «при знаходженні згорток значення деяких критеріїв необхідно попередньо інвертувати», що відрізняються, ймовірно, науковою новизною, але мало придатних для практичної діяльності безпечники, і подивимося на набір добре зарекомендували себе методів, таких як системна динаміка, Агентне і мультиагентних моделювання, когнітивне моделювання та аналіз.

Ці методи дійсно здатні вирішити зазначені проблеми, тобто створити систему імітаційного моделювання систем захисту інформації та інформаційної безпеки, що дозволяють будувати моделі різного типу, оцінювати ефективність впливу на об'єкти захисту і протидії таким діям. Наприклад, не складає великих труднощів змоделювати проходження впливів і впливів різного типу на складні системи і мережі (як то вірусні атаки, DDoS, атаки на сервіси і т. П.) Або оцінити вплив різних чинників на вразливість і захищеність об'єктів захисту, побудувавши відповідні когнітивні карти і моделі. Існують інструменти, що дозволяють без принципових труднощів реалізувати ці функції.

Взагалі кажучи, спочатку цю статтю планувалося присвятити саме аналізу існуючих методів, систем і інструментів моделювання в додатку до ІБ (і така стаття буде підготовлена), але в процесі написання сталося кілька невеликих подій, що змінили тему.

Зокрема, один з керівників організації (і за сумісництвом автор цієї статті) дав команду відключити неправомірно (відповідно до регламенту) створений акаунт нового співробітника, який не пройшов перевірку службою безпеки, працівники технічного підрозділу виконали наступні дії (в суворій відповідності з помилками в регламенті ):

·

  • Провели перевірку і з'ясували, що обліковий запис новому співробітникові не створювався і повідомлення він відправляв з приватного адреси.

  • Отримали підтвердження системи сервіс-деск про офіційне розпорядженні керівника про відключення аккаунта <співробітника> (десь тут об'єкт «співробітник» зник з ланцюжка виконання).

  • Зрозуміли, що завдання «відключити аккаунт N за розпорядженням керівника» нездійсненна в зв'язку з відсутністю аккаунта N.

  • Усунули проблему, звівши завдання до здійсненною «відключити аккаунт <керівника> за розпорядженням керівника».

І виконали завдання, практично не порушивши регламент. «Пластмасовий світ переміг, макет виявився сильніше ... Пластмасовий світ переміг, радіє картонний набат», - грав програвач в приміщенні техслужби.

Дмитро Омський, експерт з інформаційної безпеки, Калінінград

Михайло Єлагін, радник директора ГАУ РК "ЦІТ", Калінінград


[1] «Що таке інформаційна війна», 1995 г.


Ключові слова: безпеку , кіберзагрози

Гарячі теми: Загрози і ризики ІБ

Журнал IT-Manager № 06/2017 [ PDF ] [ Підписка на журнал ]

Але чи дасть нам що-небудь просто «максимально повний опис системи»?
Окреме питання: а що ми захищаємо або збираємося захищати?
Що нам пропонує сучасна наука і техніка?