Автор работы: Пользователь скрыл имя, 19 Октября 2012 в 16:11, реферат
Использование информационных систем связано с определенной совокупностью рисков. Когда риск (возможный ущерб) неприемлемо велик, необходимо принять экономически оправданные защитные меры. Периодическая (пере)оценка рисков необходима для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
С количественной точки зрения размер риска является функцией вероятности реализации определенной угрозы (использующей некоторые уязвимости), а также величины возможного ущерба.
Рисунок 5. Фрагмент графа компрометации.
Повторение предыдущих шагов для первоначальной и укрепленной конфигурации системы требует генерации двух графов компрометации. Если в укрепленной системе уязвимостей меньше, а кратчайший путь успешной атаки имеет большую длину для произвольной квалификации злоумышленников, можно переходить к оценке снижения рисков.
Получение оценки снижения рисков основывается на предположении, что вероятность успешной атаки на укрепленную систему задается следующим соотношением:
Pnew = Pold * ("Старое_время" / "Новое_время")
где
Pold — вероятность успешной атаки на ИС в базовой (старой) конфигурации;
"Старое_время" — ожидаемое время успешной атаки с минимальной длительностью на ИС в базовой (старой) конфигурации;
"Новое_время" — ожидаемое
время успешной атаки с
Нормализованное снижение риска определяется как
dR = 1 — (Pnew / Pold) = 1 — ("Старое_время" / "Новое_время")
Оно стремится к 1, если "Новое_время" стремится к бесконечности. Напротив, если "Новое_время" и "Старое_время" совпадают, снижение риска оказывается нулевым.
Время успешной атаки имеет постоянную и переменную составляющие. К первой относятся длительности разведки и нанесения ущерба, ко второй — нарушение (взлом), проникновение и эскалация. Можно предположить, что укрепление системы влияет только на переменную часть. Если постоянная часть велика, существенного снижения рисков добиться не удастся, но это означает лишь то, что система и так хорошо защищена (в эшелонированной обороне имеются хорошо укрепленные рубежи — первый и последний).
Укрепление системы может
На риски и уменьшающие их контрмеры можно смотреть не только со стороны защищающейся организации, но и со стороны атакующего злоумышленника. Чем сильнее регуляторы безопасности затрудняют вредоносную активность, тем более удачным можно считать их выбор. В качестве формализма, поддерживающего данный подход, целесообразно использовать графы атак, вершины которых помечены возможными контрмерами и их количественной экономической оценкой с точки зрения защищающегося и атакующего.
Однократный ущерб на ресурс будем определять по формуле
SLE = AV * EF
где AV — ценность ресурса, в которую входят все виды затрат на него (установка, сопровождение и т.п.), а EF — доля этой величины, утрачиваемая в результате вредоносного действия (относительный ущерб от однократной компрометации ресурса).
Поскольку не все угрозы равновероятны, введем годичную частоту реализации угрозы (ARO). Тогда ожидаемый годовой ущерб от данной угрозы будет вычисляться по формуле
ALE = SLE * ARO
Оценка значения ARO может производиться на основе анализа статистики нарушений информационной безопасности.
Экономический эффект от реализации контрмеры (то есть от расходов на информационную безопасность) можно оценить по формуле
ROI = ((ALE * RM) — CSI) / CSI
где RM — коэффициент уменьшения риска в результате реализации контрмеры (лежит в промежутке от 0 до 1), а CSI — стоимость этой реализации. При положительном значении ROI реализация регулятора безопасности является экономически оправданной; в противном случае в ней нет смысла. ROI — это инструмент экономической оценки эффективности действий (защищающейся) организации в области информационной безопасности. Цель состоит в максимизации значения ROI.
Экономическая эффективность действий атакующего оценивается с помощью величины ROA, вычисляемой по формуле
ROA = GI / (EBS + EAS)
где GI — ожидаемая выгода от успешной атаки, EBS — затраты на компрометацию ресурса до реализации контрмеры S, EAS — дополнительные затраты на компрометацию после реализации контрмеры S. Цель защищающейся организации состоит в минимизации значения ROA, то есть в уменьшении привлекательности ресурсов организации как объектов возможных атак.
Атаки проводятся путем использования уязвимостей. В графах атак уязвимости ассоциируются с концевыми вершинами, то есть вершинами, из которых не выходит ни одного ребра. С этими же вершинами ассоциируются контрмеры, ликвидирующие или уменьшающие уязвимости.
Графы атак называют также И-ИЛИ графами, так как для успешного проведения атаки может быть достаточно одного из нескольких условий (связка ИЛИ), либо требуется одновременное выполнение всех условий из некоторого множества (связка И). Из технических соображений (упрощения перебора различных сценариев атак) графы атак целесообразно представлять в дизъюнктивной нормальной форме, при которой связка И может относиться только к концевым вершинам. Преобразование к дизъюнктивной нормальной форме основывается на логическом тождестве
(A ИЛИ B) И C = (A И C) ИЛИ (B И C)
Рассмотрим пример компрометации конфиденциальных данных путем кражи сервера, на котором они хранятся (см. Рис. 6). Чтобы украсть сервер, нужно сначала проникнуть в серверную комнату, а затем незаметно вынести сервер. Чтобы проникнуть в серверную комнату, можно взломать дверь или раздобыть (подобрать) ключи.
Рисунок 6. Фрагмент графа атак, аннотированного контрмерами и показателями экономической эффективности.
Пусть стоимость сервера составляет 100000 условных единиц, относительный ущерб от однократной компрометации (EF) при взломе двери и применении ключей равняется, соответственно, 0.9 и 0.93 (умный злоумышленник, сумевший заполучить в свое распоряжение ключи от серверной комнаты, опаснее прямолинейного вредителя, идущего к цели в буквальном смысле напролом), а годичная частота реализации угрозы (ARO) — 0.1. Тогда SLE составит, соответственно, 90000 и 93000 у.е., а ALE — 9000 и 9300 у.е.
В качестве контрмер против проникновения в серверную комнату можно установить надежный замок, к которому трудно подобрать ключи (RM = 0.2, CSI = 300 у.е.) или поставить стальную дверь, которую трудно взломать (RM = 0.7, CSI = 1500 у.е.). Чтобы противодействовать незаметному выносу сервера, можно установить аппаратуру видеонаблюдения (RM = 0.1, CSI = 3000 у.е.) или учредить пост охраны (RM = 0.5, CSI = 12000 у.е.). Значение ROI для каждой из контрмер вычисляется по приведенной выше формуле. Например, для стальной двери оно составит:
ROI = ((ALE * RM) — CSI) / CSI = ((9000 * 0.7) — 1500) / 1500 = 3.20
Чтобы противодействовать всем возможным (идентифицированным) атакам необходимо установить регуляторы безопасности на каждом пути в графе атак от концевых вершин к целевой (точнее, как минимум одна контрмера нужна для каждой связки И), отдавая предпочтение контрмерам с максимальным значением ROI. Если один регулятор безопасности противодействует нескольким атакам, затраты на него следует поделить поровну между соответствующими вариантами атак.
При рассмотрении ситуации с точки зрения атакующего предположим, что экономическая выгода от кражи сервера (GI) составляет 30000 у.е., затраты на первый вариант атаки (взломать дверь) (EBS) — 4000 у.е., затраты на второй — 4200 у.е. Для проведения успешной атаки при применении контрмеры в виде стальной двери от злоумышленника потребуется дополнительно 2000 у.е. (EAS), на борьбу с надежным замком понадобится дополнительно 200 у.е., с аппаратурой видеонаблюдения — 1000 у.е., с постом охраны — 1500 у.е. Таким образом, показатель экономической эффективности (ROA) первого варианта атаки после установки стальной двери составит:
ROA = GI / (EBS + EAS) = 30000 / (4000 + 2000) = 5.00
Анализ
экономической эффективности
Для первой атаки (взломать дверь) контрмера c1 доминирует остальные, поскольку на ней достигается максимум ROI и минимум ROA. Для второй атаки (добыть ключи) доминирующей контрмеры нет: на c4 достигается максимум ROI, на c6 — минимум ROA. Отметим, что регулятор безопасности "установить пост охраны" уменьшает риск обеих атак и минимизирует ROA для второй атаки, но у него слишком мал показатель ROI, поэтому в данном случае целесообразно предпочесть комбинацию контрмер c1 и c4: поставить стальную дверь с надежным замком.
Заключение
Большинство организаций на собственном опыте осознали актуальность и важность проблем информационной безопасности. Следующим шагом должен стать количественный подход к их решению, основанный на управлении рисками.
Первым этапом в этом процессе является сбор данных о расходах на безопасность, об имевших место нарушениях ИБ и ущербе от них. Базируясь на этих данных, организация может построить количественную модель рисков для своей информационной системы, запланировать меры по усилению защиты слабых мест, сформировать обоснованный бюджет для защитных мероприятий.
Регулярная переоценка рисков позволит поддерживать данные о безопасности ИС организации в актуальном состоянии, оперативно выявлять новые опасные риски и нейтрализовывать их экономически целесообразным образом.