Text (PDF):
Read
Download
Введение
Развитие цифровых технологий и усложнение информационной инфраструктуры сопровождается ростом количества киберпреступлений [1, 2]. Вопросы, связанные с управлением рисками искажения информации, простоя деловых процессов в результате совершения киберпреступлений, приобретают все большую актуальность. Сведения о динамике киберпреступлений приведены в [1, 2]. Реали-зация киберпреступлений возможна посредством осуществления компьютерных атак, в том числе массированных. Вопросы тестирования и мониторинга защищенности информационных систем
от компьютерных атак рассматривались в работах В. В. Кульбы, С. И. Макаренко, И. И. Лившица,
А. С. Маркова и др. Отдельные результаты исследований приведены в [3–7].
В рамках настоящей статьи под компьютерной атакой (КА) понимается целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или про-граммно-аппаратных средств [8]. Страхование перечисленных рисков, связанных с реализацией КА, выглядит разумным способом обеспечения информационной безопасности (ИБ), в основе которого лежит экономический фактор [9]. Сама по себе процедура страхования рисков ИБ предполагает участие, помимо страхователя и страховщика, аудитора ИБ. Задача аудитора – дать объективную
и независимую оценку информационных рисков
и подготовить исходные данные для обоснования принимаемого решения по их страхованию. При этом аудитор должен обладать достоверными, научно обоснованными методиками, которые позволили бы оценить устойчивость функционирования страхуемого объекта информатизации (ОИ)
в условиях массированных компьютерных атак (МКА). Важным условием является то, что в силу доказанной достоверности и полноты аудиторского заключения ему доверяют одновременно и заказчик аудита (страхователь), и страховщик. Общие вопросы организации и проведения аудита ИБ рассмотрены в работах [3–8, 10].
Постановка задачи исследования
Задача оценки устойчивости функционирования ОИ, как и технических средств обработки информации, входящих в его состав и обладающих временной избыточностью, формулируется следующим образом.
Определены исходные данные, характеризующие:
– интенсивность МКА, = {F, n}, где F – множество функций распределения случайных интервалов времени i, до очередной i-й КА,
F = {Fi(t)}, где Fi(t) – функция распределения случайного i интервала времени до i-й КА,
i = 1, 2, …, n, n – число КА в составе МКА;
– надежность функционирования ОИ в штатных условиях и защищенность ОИ от КА (варьируемые характеристики) – u = {Tн, P}, где Tн – наработка между отказами в штатных условиях эксплуатации; P – множество значений вероятно-стей поражения ОИ в результате МКА,
P = {pi}, где pi – вероятность поражения ОИ при
i-й КА. Оценка вероятностей pi осуществляется экспертным путем в соответствии с подходами, приведенными в [11–13], методиками, опубликованными в [14, 15], и зарегистрированными Роспатентом программными средствами [16, 17];
– способность ОИ к восстановлению работоспособности (варьируемые характеристики),
r = {Tв, G}, где Tв ={вiн, вiв} – множество прогнозируемых интервалов времени восстановления;
G – множество функций распределения случайных интервалов времени восстановления ОИ после i-й атаки; G = {Gi(t)}, i = 1, 2, …, n, n – число атак;
вiн – оценка нижней границы времени восстановления ОИ после i-й атаки, вiв – оценка верхней границы времени восстановления ОИ после i-й КА. Оценка параметров {вiн, вiв} осуществляется
с помощью методики, опубликованной в [14],
и программных средств [16, 17].
Требуется разработать общую процедуру и исследовать частные случаи определения наименьшего значения vm функции устойчивости ОИ на заданном интервале времени нанесения МКА (0, T]:
где t – текущий момент времени оценки функции живучести; λ, r, u – исходные данные (см. предыдущий раздел).
Функция устойчивости ОИ на заданном интервале времени (0, T], согласно [18], будет иметь вид (1)
где Kг – коэффициент готовности ОИ в штатных условиях эксплуатации; – функция живучести ОИ в условиях МКА.
Алгоритмы точных аналитических моделей основаны на общей процедуре оценивания коэффициента готовности, в основе которых лежат математические модели известных функций распределения Fi(t) и Gi(t), приведенных в [18]. Значение коэффициента готовности ОИ определяется с помощью соотношения, приведенного в [19]:
Kг = Тн (Тн + Тв)–1,
где Тн, Тв определяются на основании статистики, полученной в условиях штатной эксплуатации ОИ. Для большинства случаев Kг ≥ 0,99, а наименьшее значение функции живучести m << Kг, поэтому Kг в формуле (1) можно пренебречь, тогда функция устойчивости упрощается и сводится к
m m = φ(t, λ, r, u).
Задача решается в два этапа:
1) определение оператора A: (t) = A{F, G, P, n};
2) определение минимума функционала
Результаты экспериментальных исследований позволяют утверждать, что наиболее сложным является первый этап, в ходе которого рассматриваются различные виды операторов A и осуществляется выбор подходящего:
– оператора A0, определяемого при произвольных законах распределения элементов множеств {Fi(t)}
и {Gi(t)} и различных {Pi}. В этом случае представляется возможным процесс функционирования ОИ характеризовать как общий полумарковский;
– оператора A1, определяемого при одинаковых законах распределения элементов множеств {Fi(t)} и {Gi(t)} и равных {Pi} = P. Процесс функционирования ОИ можно характеризовать как частный полумарковский;
– оператора A2, определяемого при экспоненциальных законах распределения F(t) = 1 – e–t
и G(t) = 1 – e–t и равных {Pi} = P. В этом случае процесс можно характеризовать как марковский;
– оператора A3, определяемого при однократной КА n = 1.
Модели функционирования ОИ в условиях МКА можно разделить на 3 подгруппы:
– точная математическая модель;
– приближенная аналитическая модель;
– статистическая модель, в основу которой положен метод Монте-Карло.
В зависимости от принятой модели строится
и сам алгоритм моделирования. Вывод математических моделей для определения A2, A3 приведен
в [18, 19]. Точные аналитические методы целесообразно использовать при относительно небольшом числе КА, при n ≤ 2. Это обусловлено тем, что при увеличении числа n для вычисления функции живучести (t) требуются достаточно сложные, громоздкие и трудноинтерпретируемые аналитические выражения.
Алгоритмы приближенных аналитических моделей основаны на использовании различных аппроксимирующих зависимостей, упрощающих аналитические выражения для вычисления функций Fi(t), Gi(t) и (t), позволяющие с достаточной, для оценочных суждений, точностью описать усеченные нормальные законы распределения случайных величин i и i. Для этого требуется применение законов Эрланга высших порядков.
Алгоритм статистического моделирования целесообразно применять при больших значениях n, когда аналитические выражения для отображения (t) имеют громоздкий и трудноинтерпретируемый вид.
Для статистического моделирования каждой j-й реализации zj(t) случайного процесса z(t) сопоставляется последовательность состояний атакуемого элемента (ОИ), zij(t) = zj(ti), i = 1, 2, …, m, определяемых в дискретные моменты времени ti = i t. Значения m вычисляяются в соответствии с заданным интервалом времени моделирования [0, T)
и единичным интервалом t по формуле m = T / t.
С учетом сказанного выше процедура статистического моделирования будет включать следующие укрупненные этапы:
1. Задается число s требуемых реализаций zj(t) случайного процесса z(t), i = 1, 2, …, s.
2. Формируется последовательность моментов времени ti, i = 1, 2, …, m.
3. Определяется последовательность возможных моментов времени атак и восстановлений работоспособности моделируемого элемента:
Twvj = {0, Tw1j, Tv1j, Tw2j, Tv2j, …, Twnj, Tvnj},
где Tw1j = Tv(i-1)j + ij*; Tv1j = Twij + ij*; i = 1, 2, …, n, Tv0j = 0; n – число КА; ij* – i-я реализация случайной величины , формируемая с помощью датчика случайных чисел в соответствии с выбранным законом распределения Fi(t); ij* – i-я реализация случайной величины , формируемая с помощью датчика случайных чисел в соответствии с выбранным законом распределения Gi(t).
4. Для каждой реализации j определяется событие успешности КА в соответствии с условием: если Rnd() > P (где Rnd() – значение датчика случайных чисел на интервале (0, 1), распределенных по заданному закону распределения случайной величины), то атака считается неуспешной.
5. Последовательно формируются реализации zj(t) = {zij} в силу условий:
zij = 1, если Rnd() > P;
zij = 1, если Rnd() < P и Tv(i-1)j ≤ ti ≤ Twij;
zij = 0, если Rnd() < P и Twij ≤ ti ≤ Tvij;
i = 1, 2, …, m.
6. Осуществляется суммирование полученных значений соответствующих состояний zij по всем реализациям и определяется оценка *(ti) значений функции живучести в моменты времени ti по
формуле
где i = 1, 2, …, m.
Алгоритм реализован с помощью программы для ЭВМ [20, 21], позволяющей получить функцию живучести ОИ для условий МКА при произвольном количестве воздействий и произвольных законах распределения случайных величин и .
Результаты моделирования в зависимости от числа реализаций приведены на рис. 1, где (t) –значение функции живучести – безразмерная величина от 0 до 1; t – время, ч.
а б в
Рис. 1. Вид функций живучести (t) в зависимости от числа реализаций:
а – 2 000 реализаций; б – 500 реализаций; в – 100 реализаций
Fig. 1. Type of survivability function depending (t) on the number of realizations:
a – 2, 000 implementations; б - 500 implementations; в - 100 implementations
С ростом числа реализаций функция живучести приобретает более сглаженный вид, причем локальные минимумы ее можно наблюдать уже на 500 реализациях (рис. 1, б). В результате моделирования появляется возможность определить нижнюю и верхнюю границы времени восстановления объекта МКА, обеспечивающие заданное значение показателя живучести; функцию живучести ОИ
в процессе МКА; неблагоприятные интервалы времени, в течение которых функция живучести минимальна или может оказаться ниже требуемой.
Алгоритм решения задачи. Допустим, что страховая компания (страховщик) установила понижающие коэффициенты страхового тарифа по страхованию информационных рисков в зависимости от оценки минимального значения функции живучести m: (m < 0,79; страхование риска ИБ для страховщика убыточно) (0,79 m < 0,8; k = 1); 0,8 m < 0,9;
k = 0,7; 0,9 m < 0,95; k = 0,5; (m > 0,95; k = 0,45, причем для обеспечения m > 0,95 требуется значительный ресурс, что убыточно для страхователя), где k – коэффициент снижения страховой премии
в зависимости от защищенности ОИ от КА.
Лицо, управляющее рисками ИБ, приняло решение, что рациональным является вариант 2 (m 0,8 m;
k = 0,7). Руководство ОИ и страховщика для оценки защищенности ОИ от МКА решили обратиться за аудиторским заключением к независимой аудиторской компании, чтобы по итогам аудита (аудиторского заключения) принять решение о целесообразности страхования финансовых рисков, связанных
с возможным нарушением непрерывности бизнеса
в результате МКА.
Для оценки уровня защищенности от МКА аудиторская компания спланировала эксперимент со статистической моделью, для чего:
– был сформирован и согласован с заказчиками аудита сценарий МКА;
– был изучен план обеспечения непрерывности бизнеса ОИ (План) и получены исходные данные для моделирования.
Характеристики МКА на ОИ (фиксированные переменные):
– прогнозируемое число МКА – 4;
– прогноз интенсивности КА – одна КА в течение 12 ч;
– прогнозируемый период осуществления МКА – 2 сут.
Моменты нанесения КА характеризуются слу-чайными числами i, i = 1, 2, 3, 4, распределенными по равномерному закону. Первая и последующие КА осуществляются в случайные моменты времени: 1 (1н = 0, 1в = 12 ч]; 2 (2н = 12,
2в = 24 ч]; 3 (3н = 24, 3в = 36 ч]; 4 (4н = 36, 4в = 48 ч], где iн, iв – нижняя и верхняя границы равномерного закона распределения времени i-й КА.
Характеристики плана поддержания непрерывности бизнеса ОИ (управляемые переменные):
– оценка вероятности поражения ОИ P = 0,4;
– согласно плану восстановления непрерывности бизнеса ОИ н – минимально возможное время восстановления работоспособности ОИ после КА – составляет 6 ч (0, 25 сут), а максимально допустимое в = 12 ч (0,5 сут). Случайная величина распределена по равномерному закону в пределах нижней – н – и верхней – в – границ указанного диапазона (варьируемые переменные).
Ограничения: восстановление осуществляется методом сканирования серверного оборудования
и рабочих станций с помощью антивируса, удаления вредоносного файла и восстановления пораженных файлов; планом поддержания непрерывности бизнеса предусмотрено, что наименьшее значение функции живучести ОИ не должно опускаться ниже 0,8, т. е. m 0,8.
Требуется установить, удовлетворяют ли заданные характеристики плана восстановления непрерывности бизнеса при заданных характеристиках МКА установленному требованию – (m 0,8, чтобы получить скидочный коэффициент k = 0,7). Если требования не выполняются, то путем корректирования значений варьируемых переменных найти такие их значения, при которых требования выполняются и при этом требуется минимальный ресурс – Rπ; подобная постановка задачи приведена в [17].
Rπ – требуемый ресурс для реализации π-го плана поддержания непрерывности бизнеса ОИ, π , – множество планов поддержания непрерывности бизнеса ОИ, удовлетворяющих условию 0,8 m
0,81. Ограничение сверху функции живучести ОИ, 0,81, мотивируется тем, что необходимо: а) снизить размерность задачи поиска рационального Плана;
б) исключить избыточную ресурсоемкость Плана.
Если значение функции живучести для заданного Плана удовлетворяет требованиям (0,8 m 0,81;
k = 0,7), то формируется аудиторское заключение
о соответствии Плана требованиям. В противном случае задача усложняется и осуществляется поиск рационального варианта Плана. Если функция живучести значительно превосходит требования, то формируется аудиторское заключение об избыточной ресурсоемкости Плана. Если функция живучести меньше требований, то формируется аудиторское заключение о недостаточном уровне защищенности ОИ от МКА.
Для решения задачи был спланирован и проведен эксперимент со статистической моделью поведения ОИ в условиях МКА. Модель была построена средствами Excel. Полученный результат представлен в виде графика (рис. 2).
Рис. 2. Изменение функции живучести φ(t) в зависимости от вероятности поражения объекта компьютерной атаки
при фиксированных исходных данных (усреднено 2 000 реализаций)
Fig. 2. Changing the survivability function depending (t) on probability of damaging the object of a computer attack
at fixed initial data (averaged over 2, 000 realizations)
На рис. 2 представлены графики функций живучести ОИ в условиях МКА. Задача поиска решается графически. Так, если функция живучести ниже допустимого предела (m 0,8; k = 0,7), то либо фиксируется P и уменьшаются нижний н и верхний в пределы времени восстановления работоспособности, либо при фиксированных н и в принимаются меры по уменьшению вероятности (повышается защищенность) поражения ОИ при нанесении КА. Требуемый ресурс оценивается и сравнивается
с выгодой от получаемого коэффициента снижения страховой премии.
Для графика н = 0,25 сут и в = 0,5 сут значение m 0,68 не удовлетворяет требованиям для получения снижающего коэффициента (0,9 m 0,8;
k = 0,7). Последовательно уменьшая н и в, осу-ествляя статистическое моделирование и отображая результаты графически, осуществляем поиск варианта, когда m 0,81, т. е. незначительно превышает требуемое значение. Искомое решение –
н = 0,1 сут (2,4 ч) и в = 0,2 сут (4,8 ч). Для достижения такого результата потребуется увеличение ресурса, выделяемого для поддержания защищенности ОИ и наращивания возможностей системы восстановления работоспособности ОИ.
Приведенная модель может быть использована для определения неблагоприятных моментов времени, когда функция живучести будет иметь локальные минимумы. Для исходных данных предыдущего примера, когда н = 0,25 сут (6 ч) и в = 0,5 сут (12 ч), получаем, что первый локальный минимум будет в окрестности точки t1 = 0,5 от начала МКА, при t2 = 12 ч m 0,81, при t3 = 24 ч m 0,8. Знание этих моментов позволит лицу, принимающему решение (ЛПР), сосредоточить усилия на обеспечении живучести ОИ другими способами. Результаты моделирования для обозначенных выше исходных данных приведены на рис. 3.
Рис. 3. График функции живучести (t) для плана поддержания непрерывности бизнеса,
удовлетворяющая требованиям (усреднено 2 000 реализаций)
Fig. 3. Survivability features (t) for business continuity plan meeting
the requirements (averaged 2, 000 implementations)
Также построенную модель можно использовать для проверки соответствия результатов аналитического и статистического моделирования функции живучести ОИ для различных планов поддержания непрерывности деловых процессов. Проверка может осуществляться с целью оценки: а) корректности выведенных аналитических выражений для функ-ции живучести; б) точности результатов статистического моделирования. Если вероятность поражения объекта атаки неизвестна, то рекомендуется выбирать ее значение 0,5.
В результате внедрения вышерассмотренной статистической модели стало возможным моделирование альтернирующих процессов для законов распределения, отличных от экспоненциальных. Метод применим для моделирования при организации аудита ИБ.
Моделирование сценариев массированных компьютерных атак
Представляет практический интерес применение
метода Монте-Карло для моделирования процессов функционирования ОИ в условиях МКА с учетом важности объекта КА в составе вычислительной сети (ВС), для чего в состав модели был введен блок задания различных сценариев реализации атак.
Вербальная постановка задачи:
Дано:
а) структура (0 – N) – полюсного ОИ, где N – количество элементов, представляющих конечные вершины, 0 – индекс управляющего элемента – вершина сети; от 1 до N – элементы, конечные вершины;
б) требования к коэффициенту готовности ОИ;
в) подмножество управляемых элементов, которые включены в технологическую цепочку (характерную для периода атаки) и являются элементами ОИ.
Требуется: обеспечить обмен технологической информацией между ЛПР и объектами управления (конечные вершины ОИ).
Цель атакующего – нанести максимальный ущерб управляемости ОИ (минимизировать число конечных вершин ОИ, имеющих связи с ЛПР).
Постановка частной задачи:
Исходные данные:
а) n – число атак;
б) структура (1-N), 1 – полюс ЛПР, N – полюса управляемых объектов (УО);
в) пороговое число управляемых объектов Nтр, имеющих хотя бы одну связь с ЛПР, при котором обеспечивается управляемость АСУ ТП;
г) структура сети связи ОИ – SОИ = (V, E), где:
– V = {vi} – множество узловых элементов ОИ,
vi = 1, если элемент находится в работоспособном состоянии, vi = 0 в ином случае, i = 0, 1, 2, …, K,
K – число узловых элементов ВС, i = 0, индекс полюса ЛПР, i = 1 до K – индексы узловых элементов ОИ;
– E = {eij} – множество линий связей между узловыми элементами V, eij = 1, если связь между i-м и j-м узлами предусмотрена, eij = 0, если связь между узлами не предусмотрена, i = 1, 2, …, K-1,
j = 2, 3, …, K, K – число элементов множества V, включая управляющий элемент и N – управляемых элементов;
– V* = {v*} V – подмножество управляемых объектов, которые находятся под управлением ЛПР.
Сценарии МКА:
1. Атакующему неизвестна принадлежность элементов вычислительной сети к ОИ.
2. Источнику КА неизвестна структура вычислительной сети ОИ – SОИ, но имеются сведения
о принадлежности к ОИ.
3. Источнику КА известна SОИ, он способен оценить структурную важность элементов
Sвч и спланировать первую и последующие КА
с учетом структурной важности элементов
SОИ. Компьютерная атака планируется по критерию убывания wi, где wi – коэффициент структур-ной важности элемента, который рассчитывается согласно [18].
4. Источнику атаки известен результат предыдущей атаки, что позволяет ему скорректировать первоначальный сценарий атаки. Например, атака оказалась неуспешной, в результате цель атаки осталась непораженной (работоспособной), этот объект может быть снова включен в план атаки.
Ограничения:
1. Вероятность поражения элементов SОИ – субъективная вероятность – задается посредством экспертных оценок [11–13] или находится с помощью статистической модели, приведенной выше.
2. Элементы SОИ изменяют свое состояние (переходят из работоспособного состояния в пораженное и обратно) в момент времени ti, где i = 0 + t,
t – шаг дискретизации событий статистической модели.
3. Затраты на успешную атаку вершинного элемента (ЛПР) несоизмеримо велики по сравнению
с успешными атаками на элементы SОИ.
4. Управляемые объекты – элементы множества V* – равноценные.
С помощью лабораторного стенда [22]:
1. Вводятся исходные данные: а) о защищенности объекта атаки; б) о возможностях атакующего.
2. Обобщаются результаты реализаций моделирования.
3. Оценивается коэффициент оперативной готовности ОИ.
4. Осуществляется интерпретация полученного результата в условиях принятия решений при многих критериях [18] и в терминах, понятных ЛПР.
Таким образом, в статье описано решение актуальной научной задачи по оценке устойчивости объекта информатизации для условий МКА, имеющей практическое значение при страховании информационных рисков. Предлагаемый подход реализован как составная часть учебно-методического комплекса по подготовке аудиторской группы [22]. Исходные данные для планирования эксперимента с моделью приведены в [23].
Заключение
Получены частные выводы, которые представляют интерес для планирования дальнейших научных исследований в направлении совершенствования процессов выработки решений по обеспечению устойчивости функционирования ОИ в условиях целенаправленных агрессивных воздействий (МКА):
а) случайные атаки по рассматриваемой структуре вычислительной сети являются наименее эффективными;
б) зная структуру вычислительной сети, противник может наносить КА с учетом важности элементов. Данный способ реализации атаки является более эффективным по сравнению со случайными атаками;
в) зная структуру сети и имея план атаки с учетом структурной важности элементов, противник может нанести серьезный ущерб вычислительной сети меньшими затратами;
г) защита конфиденциальности структуры сети связи ОИ является обоснованной мерой обеспечения его живучести в условиях МКА.