Основные этапы управления рисками

Можно предложить и другие формализмы для управления рисками. Предположим, имеется M пар (актив, угроза). Для каждой такой пары риск вычисляется по обычной формуле

Rk = Pi * Ij

Здесь k — номер пары, Pi — вероятность  реализации угрозы по отношению к "парному" активу, Ij — воздействие реализации этой угрозы на актив, Rk — величина риска.

Пусть, далее, риски считаются допустимыми, если для всех k Rk <= Ra, где Ra — порог допустимости. Избыточные риски, которые требуется нейтрализовать, можно выразить соотношениями вида:  

           / Rk — Ra, если Rk > Ra

rk =  

           \ 0, если Rk <= Ra

Пусть N — число положительных rk, то есть число пар (актив, угроза), риски которых нуждаются в нейтрализации. Отбросим нулевые избыточные риски и перенумеруем оставшиеся. Можно вычислить среднее значение избыточного риска rMean, воспользовавшись формулой

rMean = ((сумма по k от 1 до N) rk) / N

Значение rMean можно рассматривать не только как средний избыточный риск, но и как оценку безопасности информационной системы в целом. Эту оценку можно нормализовать, воспользовавшись формулой

rMeanNrorm = rMean / (Rmax — Ra)

где Rmax — максимальный из возможных  рисков Rk, то есть произведение максимального  из возможных значений Pi и Ij в выбранной  шкале измерений.

Значения rMeanNrorm, близкие к 0, характеризуют  уровень информационной безопасности ИС как весьма высокий. Близкие к 1 значения, напротив, характерны для слабо защищенных информационных систем. При желании отрезок [0, 1] можно разбить на интервалы, выделив тем самым нужное число уровней безопасности.

Кроме среднего арифметического, можно вычислить среднее квадратичное значение положительных избыточных рисков:

sigma = кв.корень (((сумма по k от 1 до N) (rk*rk)) / N)

Как и средний избыточный риск, среднее квадратичное значение можно  нормализовать:

sigmaNorm = sigma / (Rmax — Ra)

Нормализованное среднее квадратичное значение, как и величину rMeanNrorm, можно  напрямую использовать для оценки уровня информационной безопасности организации, если разбить отрезок [0, 1] на соответствующее  число интервалов. Значения, близкие  к 0, свидетельствуют о высоком уровне защищенности, близкие к 1 — о низком. Преимущество среднего квадратичного значения по сравнению со средним арифметическим в том, что первое более устойчиво к добавлению пар с небольшими избыточными рисками и более чувствительно к аномально высоким рискам.

Рассмотрим пример. Пусть вероятности  и воздействия оцениваются по шестибалльной шкале, от 0 до 5, а приемлемым считается риск, равный 8. Тогда Ra = 8, Rmax = 25 (5*5). Пусть, далее, имеются две  организации. Для первой из них рассматриваются следующие пары (актив, угроза) и ассоциированные с ними характеристики (см. Таб. 3).

Таблица 3. Таблица рисков для первой организации.

Актив / угроза	Уровень вероятности	Уровень воздействия	Риск	Избыточный риск
Отдел кадров / вирусы	3	5	15	7
Отдел кадров / физический доступ сотрудников	2	5	10	2
Отдел кадров / физический доступ внешних  лиц	5	5	25	17
Бухгалтерская система / шпионское ПО	2	5	10	2
Бухгалтерская система / поломка	1	1	1	0

Пусть для второй организации аналогичная  таблица выглядит так (см. Таб. 4).

Таблица 4. Таблица рисков для второй организации.

Актив / угроза	Уровень вероятности	Уровень воздействия	Риск	Избыточный риск
Отдел кадров / вирусы	3	5	15	7
Отдел кадров / физический доступ сотрудников	3	5	15	7
Отдел кадров / физический доступ внешних  лиц	3	4	12	4
Бухгалтерская система / шпионское  ПО	4	4	16	8

Средние значения рисков сведены в  Таб. 4. Видно, что нормализованные средние арифметические значения избыточных рисков у двух организаций близки, в то время как нормализованное среднее квадратичное значение у первой организации заметно выше (а уровень безопасности, соответственно, ниже). Причина в аномально высоком риске внешнего физического вторжения, то есть в наличии ярко выраженного слабого звена.

Таблица 5. Средние значения избыточных рисков для рассматриваемых организаций.

Средние значения избыточных рисков	Организация 1	Организация 2
Среднее арифметическое	7	6.5
Нормализованное среднее арифметическое	0.41	0.38
Среднее квадратичное	9.30	6.67
Нормализованное среднее квадратичное	0.55	0.39

Для оценки прогресса организации  в области информационной безопасности важны не абсолютные значения рисков, а их уменьшение в результате выбора и реализации контрмер. При этом в качестве количественной меры риска может быть использовано время, требующееся на успешную атаку системы при заданных мотивации и квалификации злоумышленника. Увеличение этого времени свидетельствует о повышении уровня безопасности.

Рассматриваются два варианта информационной системы — первоначальный и укрепленный, то есть полученный в результате выбора и реализации контрмер. Методология  оценки времени, требующегося на успешную атаку, включает следующие шаги:

формирование анализируемой  конфигурации системы;

формирование количественной модели рисков для анализируемой конфигурации системы;

формирование и ранжирование требований безопасности для анализируемой  конфигурации системы;

идентификация уязвимостей;

категорирование уязвимостей каждого  компонента системы по типу компрометации;

оценка времени компрометации  каждого компонента системы;

генерация графа компрометации  и путей атаки;

нахождения путей атак с минимальным  временем;

повторение предыдущих шагов для  первоначальной и укрепленной конфигурации системы;

получение оценки снижения рисков.

На первом шаге, при формировании анализируемой конфигурации системы предлагается ограничиться двумя типами компонентов.

К первому относятся граничные  устройства, то есть устройства, входящие в систему и непосредственно (без  маршрутизации, экранирования, фильтрации и т.п.) доступные из внешних сетей. Во второй тип входят основные цели потенциальных злоумышленников, то есть устройства, контроль над которыми дает атакующим нужную степень контроля над всей ИС организации.

Количественная модель рисков базируется на стандартной формуле 

R = P * D

где R — величина риска, P — вероятность  успешной атаки, D — ущерб от нее.

Вероятность P можно представить  в виде произведения следующих условных вероятностей:

P = Pi * Pa * Pb * Pc * Pd

где

Pi — вероятность того, что данная  информационная система попадет в список возможных целей злоумышленника;

Pa — вероятность того, что система  будет выбрана из списка и  атакована;

Pb — вероятность того, что будут  взломаны граничные компоненты;

Pc — вероятность того, что атака  окажется успешной, то есть достигшей  основных целей;

Pd — вероятность того, что злоумышленником  будет нанесен предполагаемый  ущерб.

Снижение рисков путем выбора и  реализации контрмер воздействует на вероятности Pb и Pc взлома граничных и целевых систем; их и требуется оценить. Предполагается, что укрепление системы не влияет ни на другие вероятности, ни на размер ущерба. Далее, можно считать, что вероятность успешной атаки обратно пропорциональна времени, которое на подобную атаку требуется (чем длительнее атака, тем больше шансов обнаружить и пресечь ее). Таким образом, в конечном счете снижение рисков определяется увеличением общего времени, требующегося на успешные атаки цепочки компонентов ИС, начинающейся граничным устройством и оканчивающейся основной целью.

Формирование и ранжирование требований безопасности для анализируемой  конфигурации системы необходимо для  того, чтобы определить понятие успешной атаки. Обычно требования выражаются в  терминах доступности, конфиденциальности и целостности. Например, для систем управления на первом плане находятся доступность и целостность; конфиденциальность не имеет особого значения.

Идентификация уязвимостей может  выполняться с помощью средств  анализа защищенности и путем анализа общедоступных источников соответствующей информации. В специфических случаях требуется привлечение специальных знаний об особенностях системы и ее конфигурации.

Категорирование уязвимостей каждого  компонента системы по типу компрометации  необходимо для того, чтобы связать  с каждым ребром графа компрометации  набор уязвимостей, делающих переход  по данному ребру возможным. Граф компрометации — это направленный граф, вершины которого соответствуют стадиям атаки, а ребра — переходам между стадиями; с каждым ребром связывается время, требующееся на успешное проведение очередной стадии атаки.

Каждая вершина графа компрометации  относится к одному из следующих типов:

Старт. На этой стадии злоумышленник  ничего не знает об устройстве целевой  системы. Это — единственная входная  вершина графа.

Начало атаки. Собрано достаточно данных, чтобы начать разработку программ использования уязвимостей или применить известные средства взлома. Для каждого граничного устройства в графе имеется один узел этого типа (точка развертывания потенциальной атаки).

Получение привилегий обычного пользователя. Это состояние относится к конкретной машине, на которой атакующий сумел стать обычным пользователем. Для каждой машины целевой информационной системы имеется только одно состояние этого типа.

Получение привилегий суперпользователя. Это состояние относится к конкретной машине, на которой атакующий сумел стать суперпользователем. Для каждой машины целевой информационной системы имеется только одно состояние этого типа.

Целевой узел. Любое состояние, означающее успех атаки.

Ребра графа представляют этапы успешной компрометации и помечаются длительностью этапа, которая зависит от сложности эксплуатации имеющихся уязвимостей (с учетом квалификации злоумышленника). Естественно считать, что вероятность перехода по данному ребру обратно пропорциональна ассоциированной с ним длительности. Ребра (и уязвимости, позволяющие осуществлять соответствующие переходы между состояниями) подразделяются на следующие типы:

Разведка (зондирование) (Р).

Нарушение (взлом) (Н). Это ребра, выходящие  из узла начала атаки.

Проникновение (П). Это ребра, выходящие  и из узлов с привилегиями обычного пользователя или суперпользователя, и входящие в узлы того же типа.

Эскалация (Э). Эти ребра означают получение дополнительных привилегий на той же машине.

Нанесение ущерба (У). Эти ребра  входят в целевой узел.

Оценка времени компрометации  каждого компонента системы (T) означает оценку времени на получение атакующим  каких-либо пользовательских привилегий на данном устройстве. Компрометация моделируется случайным процессом, который подразделяется на три подпроцесса:

Подпроцесс 1 осуществляется в ситуации, когда известна по крайней мере одна уязвимость, и атакующий располагает средствами ее использования.

Подпроцесс 2 осуществляется в ситуации, когда имеются известные уязвимости, но атакующий не располагает средствами их использования.

Подпроцесс 3 состоит в идентификации  новых уязвимостей и средств  их эксплуатации. Он может функционировать в фоновом режиме параллельно с подпроцессами двух первых типов. Злоумышленник может быть пользователем или участником подпроцессов данного типа, то есть он может ждать, когда станет известно о новых уязвимостях и средствах их эксплуатации, или разрабатывать и пробовать их.

Каждый из перечисленных подпроцессов характеризуется своим распределением вероятностей. Подпроцессы 1 и 2 являются взаимоисключающими. Подпроцесс 3 можно  считать непрерывным.

Для оценки времени T можно воспользоваться  следующей формулой:

T = t1 * P1 + t2 * (1 — P1) * P2 + t3 * (1 — P1) * (1 — P2)

здесь

t1 — ожидаемое время завершения  подпроцесса 1 (обычно — 1 день);

t2 — ожидаемое время завершения  подпроцесса 2, которое вычисляется  по эмпирической формуле:

t2 = 5.8 * (ожидаемое число неудачных попыток взлома), причем ожидаемое число неудачных попыток взлома обратно пропорционально числу имеющихся уязвимостей и прямо пропорционально среднему числу уязвимостей, для которых средства использования могут быть найдены или созданы злоумышленником с данным уровнем квалификации;

t3 — ожидаемое время завершения  подпроцесса 3, которое можно считать  прямо пропорциональным числу  имеющихся уязвимостей и обратно  пропорциональным среднему числу  уязвимостей, для которых средства  использования могут быть найдены или созданы злоумышленником с данным уровнем квалификации;

P1 — вероятность успешного завершения  подпроцесса 1;

P2 — вероятность успешного завершения  подпроцесса 2.

Генерация графа компрометации  и путей атаки выполняется  с использованием полученных оценок.

Нахождения путей атак с минимальным  временем означает оценку максимального  риска. Подобный путь всегда проходит через компонент ИС с наибольшим числом уязвимостей.

На Рис. 5 приведен пример фрагмента графа компрометации. Время указано в днях. Кратчайший путь показан сверху.