Статті та публікації
"Електрозв'язок", № 6, червень, 2014
Стаття Олексія Сабанова, заступника генерального директора "Аладдін Р.Д."
Оцінюється можливість застосування модифікованих методів управління ризиками до процесів аутентифікації при віддаленому електронному взаємодії. Показана можливість застосування всіх п'яти розглянутих методів, при цьому для управління ризиками аутентифікації найприйнятнішим і наочним є метод аналізу ймовірних небезпечних подій.
Вступ. Сьогодні багато організацій стикаються з необхідністю оцінки ризику для зниження кількості небезпечних подій і досягнення поставлених цілей. Сучасні системи управління бізнесом все частіше включають в себе менеджмент ризиків як одну з основних складових управління бізнесом і життєдіяльністю підприємства. Зокрема, управління ризиками є основою створення і вдосконалення систем інформаційної безпеки (ІБ). До ключових сервісів ІБ відноситься аутентифікація, призначена для підтвердження автентичності пред'явлених суб'єктом ідентифікаторів і докази приналежності цих ідентифікаторів конкретного суб'єкта. Розвиток систем ідентифікації і аутентифікації (СІА), як і всіх сервісів безпеки, повинно супроводжуватися аналізом ризиків, що об'єднує ідентифікацію та порівняльну оцінку ризиків. Безумовно, аналіз ризиків аутентифікації є частиною загальної оцінки ризиків організації. Метою даної роботи є демонстрація можливості управління ризиками аутентифікації. Аналіз застосовності методів оцінки ризиків до процесів ідентифікації і аутентифікації користувачів при віддаленому електронному взаємодії (УЕВ) наводиться в роботі [1].
Результати оцінювання ризиків аутентифікації можуть використовуватися в якості вихідних даних для ітеративного процесу аналізу ризиків та їх зниження до прийнятного рівня, тобто в процесі управління ризиками.
Чи підходять методи управління ризиками для процесів аутентифікації? Виявилося, що для застосування здебільшого методів управління ризиками до поставленого завдання (аутентифікації) потрібно їх модифікація. Сенс модифікації полягає в тому, що якщо в класичній задачі управління ризиками кінцевими цілями аналізу ризиків є виявлення небезпечних подій і оцінка збитку в результаті реалізації цих подій конкретному активу організації, то в разі аналізу ризиків аутентифікації потрібно оцінити ймовірність і збитки організації внаслідок реалізації небезпечної події в порушення безпеки функціонування підсистеми аутентифікації, зокрема авторизації зловмисника під виглядом (з правами) легального користувача.
Отже, метою даної роботи є аналіз застосовності модифікованих методів управління ризиками до процесів аутентифікації при УЕВ. Дана стаття є логічним продовженням роботи [1].
Основні методи управління ризиками. Розглянемо найбільш широко використовувані методи управління ризиками для ІС та їх застосовність до аналізу ризиків ІБ для СІА.
Метод 1. Аналіз імовірності небезпечного події (ВОС). Згідно [2], розмір ризику може бути оцінений по формулі
,
де Ui - небезпечна подія i; P (Ui) - ймовірність настання i-го небезпечного події; L (Ui) - збиток від настання i-го небезпечного події; М - кількість ймовірних небезпечних подій.
Покажемо можливість застосування даного методу на прикладі небезпечних подій, розглянутих в [3]. Наведемо приклад попереднього ранжирування перерахованих небезпечних подій на основі ймовірності P появи небезпечного події в рік і відносного значення ризику (Табл. 1). Умовою нормування є
.
Тут М - кількість ймовірних небезпечних подій.
Таблиця 1. Приклад ранжирування ризиків аутентифікації при УЕВ
№ВОС
Опис ймовірного небезпечного події
1
Вплив шкідливого ПО
10-3
0,1479
2
Ризик добровільної передачі носія ключа і АІ
10-3
0,1332
3
фішинг
10-3
0,1183
4
Помилки або цілеспрямовані дії при зміні АІ
10-4
0,1109
5
Заволодіння зловмисником АІ легального користувача
10-4
0,0962
6
Використання вразливостей СІА
10-4
0,0886
7
помилки валідації
10-5
0,0769
8
Spoofing (підміна) довіреної сторони
10-5
0,0695
9
Допомога інсайдера
10-5
0,0563
10
Реєстрація зловмисника під виглядом легального користувача
10-6
0,0518
11
Атака "вхід під примусом"
10-6
0,0326
12
Помилки в ухваленні рішення "свій-чужий"
10-6
0,0178
Результати ранжирування представлені на рис. 1 у вигляді пронумерованих точок, що позначають номер події в табл. 1, в площині параметрів { , ( )}.
Мал. 1. Ілюстрація підходів управління ризиками за допомогою технічних засобів.
Управління ризиками в наведеному прикладі 1 може проводитися як організаційними, так і технічними засобами. Наприклад, з метою зниження ймовірності реалізації ВОС 10 (реєстрація зловмисника під виглядом легального користувача), необхідний комплекс певних заходів [3, 4]. Мається на увазі підвищення рівня безпеки та достовірності ідентифікації суб'єкта в процедурах реєстрації нового користувача: тільки особиста явка суб'єкта в центр реєстрації, ретельна перевірка не менше двох дійсних документів суб'єкта, документована перевірка пред'явлених ідентифікаторів на актуальність у відповідних базах даних державних органів, використання довірених механізмів перевірки і зберігання ідентифікаторів, суворе дотримання регламентів щодо формування облікового запису відповідно до ро ллю користувача, з видачі аутентифікатора і сертифіката доступу під особистий розпис.
Цей комплекс заходів, згідно [3], допомагає знизити ймовірність реалізації ВОС 10 приблизно на два порядки: з 10-5 до 10-7. Зауважимо, що частка населення нашої країни, що бере активну участь в УЕВ, оцінюється в 107. Безумовно, при цьому зміниться не тільки ймовірність (горизонтальна стрілка на рис.1), а й величина можливого збитку. Внесення будь-яких змін завжди несе необхідність перерахунку результатів (наступна ітерація аналізу ризиків), тим не менше, в більшості випадків такі заходи можуть перевести даний ВОС з червоної зони з високим рівнем ризиків в зелену зону з низьким рівнем ризиків. Отже, наведений комплекс заходів дозволяє вирішити поставлену задачу.
Приклад 2. Для зниження ВОС 3 (фішинг - підміна сайту, на який користувачеві необхідно надати доступ) досить перейти з парольної аутентифікації на технологію захищеного доступу SSL (Secure Socket Layer) з двосторонньою взаємної аутентифікації на основі застосування цифрових SSL-сертифікатів на стороні сервера і клієнта, що веде до зниження ймовірності підміни сайту приблизно на два порядки (з 10-4 до 10-6). Ще приблизно на два порядки можна знизити ймовірність фішинговою атаки за рахунок застосування технології зберігання закритого ключа і клієнтського сертифіката в пристрої класу SSCD (Secure Signature Creation Design - пристрій генерації ключів електронного підпису [4]). Підсумкове зниження ВОС в рік за рахунок зазначених заходів в даному прикладі може змінитися до 10-8.
Приклад 3. Розглянемо ВОС 5 - заволодіння зловмисником аутентификационной інформацією (АІ) користувача. Сама по собі крадіжка АІ не така страшна, але вельми сумними можуть виявитися наслідки використання зловмисником АІ під виглядом легального користувача. Можна організаційними і технічними заходами боротися за зниження ймовірності появи самої крадіжки як такої, однак є й інший, більш ефективний шлях - знизити ймовірність успішного використання АІ легального користувача зловмисником, застосувавши технологію електронного підпису в якості єдиного механізму аутентифікації в комбінації з пристроями аутентифікації класу SSCD і політиками безпеки, що обмежують число спроб введення неправильного PIN-коду.
У той же час зниження ризиків в розглянутих прикладах може проводитися у відношенні не тільки частоти реалізації ВОС, а й розміру ризику. Як механізми зниження ризиків використовуються традиційні способи забезпечення доступності, цілісності і конфіденційності інформації, засновані на формуванні концепції інформаційної безпеки, моделях загроз і порушника, застосування організаційних і технічних заходів захисту, таких як системи захисту інформації (СЗІ) та системи криптографічного захисту інформації (СКЗИ ). При цьому ризики у вигляді точок на площині параметрів { , ( )} Будуть знижуватися (у вертикальному напрямку) до певного рівня. Так, можна знизити ризики за рахунок впровадження СЗІ (див. Рис. 1: ВОС 1 - установка антивірусного програмного забезпечення; ВОС 2 - перехід на смарт-карти з технологією Match-on-Card; ВОС 6 - впровадження СЗІ в СІА). При досягненні прийнятних рівнів по частоті (в горизонтальному напрямку) і розміром (у вертикальному напрямку) ідентифікованих ризиків процес управління ризиками можна вважати виконаним.
Якщо прийнятних рівнів для залишкових ризиків досягти не вдається, необхідно підключати такі механізми управління ризиками, як ухилення від ризику (ліквідація причин і / або наслідків ризику), обмеження (нейтралізація) ризику (наприклад, шляхом реалізації контрзаходів, що зменшують вплив загроз безпеки), перенесення ризику на сторонню організацію (страхування ризиків).
До переваг даного методу стосовно аналізу ризиків аутентифікації можна віднести наочність проведеного аналізу. Недоліком є необхідність великого обсягу попередньої роботи по виявленню ВОС, найчастіше в умовах відсутності фактичного матеріалу у вигляді статистичних даних або результатів моніторингу за досить тривалий період часу. Стандарт [5] в таких випадках рекомендує скористатися методом експертних оцінок. Однак в цілому можна рекомендувати цей метод як один з можливих для управління ризиками СІА.
Метод 2. Аналіз дерева вразливостей, загроз і контрзаходів. В даному методі ризики представляються у вигляді дерева вразливостей і загроз, на які накладаються відповідні плановані або застосовуються контрзаходи. В якості вхідного параметра використовується ініціює подія і середньорічна ймовірність його реалізації, в якості вихідного параметра - результуюче подія і ймовірність реалізації. Як правило, розглядаються параметри в такому аналізі нормуються.
Для ймовірностей Р реалізації подій умова нормування можна записати у вигляді
,
де n - число можливих станів системи при реалізації однієї події.
Приклад такого аналізу на основі результатів роботи [6] для події у вигляді авторизації зловмисника в якості легального користувача системи наводиться на рис. 2.
Мал. 2. Приклад аналізу дерева подій
До переваг методу відноситься наочність ланцюжка подій, які можуть бути реалізовані в даній системі. Його істотний недолік стосовно до задачі аутентифікації - великий обсяг визначення ймовірностей подій (гілок дерева подій). В цілому метод не дуже зручний для управління ризиками аутентифікації при УЕВ.
Метод 3. Управління ризиками попарного аналізу "загроза - захист", що враховує ступінь тяжкості наслідків від втрати властивостей ІБ. Метод, який можна застосовувати за умови щодо повного набору виявлених загроз для конкретної розглянутої системи і умов її функціонування, досить розвинений і затребуваний у багатьох сферах економіки [2], зокрема, він є основою методики оцінки ризиків, затвердженої Банком Росії [7].
Суть методу - управління ризиками при розгляді пар "загроза - ступінь тяжкості наслідків від втрати властивостей ІБ". У формалізованому вигляді це виглядає наступним чином:
,
де - розмір ризику від реалізації загрози р; - ймовірність реалізації загрози р; - ступінь тяжкості наслідків від втрати властивостей ІБ, обумовлена реалізацією загрози р на властивість безпеки i; k - число властивостей.
ризики вважаються допустимими, якщо ≤ Ra, де Ra - допустимий рівень ризиків. В основі методу лежить аналіз надлишкових ризиків, підсумувавши для всіх випадків - Ra> 0. Нехай число надлишкових ризиків одно N. Тоді можна визначити "обезразмеренное" середнє значення надлишкового ризику:
,
де - максимальне значення ризику.
величина як середній надлишковий ризик дозволяє визначити стан ІБ в цілому. Так, при близьких до нуля значеннях систему аутентифікації можна оцінити як захищену з точки зору ІБ, а при прагненні до одиниці СІА - як слабо захищену. Одним з явних переваг методу є можливість розбиття відрізка [0, 1] значень на інтервали, здатні виконувати функції необхідного числа рівнів ІБ. До його недоліків слід віднести необхідність ретельного аналізу загроз і вразливостей СІА.
В цілому даний метод може застосовуватися для управління ризиками аутентифікації. Модифікацією даного методу є оцінка не тільки середнього надлишкового ризику, а й нормалізованого середнього квадратичного відхилення, аналіз якого більш чутливий до аномально високих ризиків і більш стійкий до додавання пар з низьким надлишковим ризиком [2].
Метод 4. графові метод управління ризиками по зміні часу, необхідного для реалізації атаки апріорі вважається одним з найефективніших при проектуванні і побудові інформаційних систем і СІА як частини ІС. Метод заснований на базисних положеннях класичної теорії надійності механізмів і машин. Розглянуто в [8] стосовно до задачі моделювання СІА для оцінки надійності її функціонування. Для опису процесів використовуються марковские і напівмарковських методи аналізу [9] в припущенні, що умови застосовності цих методів дотримуються [10]. Суть методу в формалізованому вигляді стосовно аналізу ризиків можна подати так.
Кількісні методи оцінки ризиків базуються на формулі R = P * D, де R - розмір ризику; Р - ймовірність настання небезпечної події; D - ступінь тяжкості наслідків від його реалізації.
Спрямований граф станів системи, вершини якого характеризують можливі стану системи, а ребра відповідають переходам з одного стану в інший, дозволяє оцінити час переходу з i -го стану в j -е. Одним з результатів застосування графового методу є те, що він дозволяє розрахувати час, необхідний для виконання окремих переходів з одного ймовірного стану системи в інше, в тому числі оцінюється ймовірність переходу в небезпечний стан.
У деяких моделях час і досяжність кінцевої мети можуть бути досить швидко оцінені методом Петрі-Маркова, приклад наведено в роботі [11]. При введенні засобів захисту можливий шлях і, відповідно, час, змінюються. Оцінити нормалізоване зниження ризиків можна за формулою: dR = 1 - told / tnew, де told - час без урахування введення нових СЗІ; tnew - час функціонування СІА з урахуванням введених СЗІ. Чим ближче до одиниці значення dR, тим більше захищеною буде система з введеної СЗІ.
Перевагою даного методу є його наочність і універсальність; до числа недоліків слід віднести необхідність розуміння процесів і вміння застосовувати, а в ряді випадків і будувати математичні моделі СІА, що для непідготовленого фахівця не просте завдання.
Метод 5. Економічний метод управління ризиками. Метод полягає в підвищенні вартості реалізації атаки при можливому зниженні вартості установки додаткових СЗІ для реалізації контрзаходів. У формалізованому вигляді шкоди SAL від одноразової реалізації загрози SAL = AV * EF, де AV - вартість об'єкта атаки; EF - відносний збиток від успішної реалізації однієї атаки. Якщо прийняти до розгляду середньорічну частоту реалізації загрози AWO, то очікуваний річний збиток SYL може бути оцінений по формулі SYL = SAL * AWO. При цьому значення AWO визначається з статистичних даних про порушення ІБ в СІА або експертними оцінками.
Економічний ефект від реалізації заходів щодо зниження ймовірності даної загрози ROI = (AWO * RM - CZI) / CZI, де RM - коефіцієнт зниження ризику в результаті впровадження заходів щодо зниження ймовірності реалізації загрози, CZI - вартість зазначених заходів. При позитивному значенні ROI реалізація заходів економічно виправдана. ROI є інструментом економічної оцінки ефективності роботи служби ІБ, метою якої є збільшення ROI.
Економічний ефект дій атакуючого ROA може бути оцінений по формулі ROA = WI / (ERS + EAS), де WI - очікувана вигода від успішної атаки; ERS - витрати на атаку до впровадження СЗІ, що знижує ймовірність реалізації даної загрози; EAS - додаткові витрати на подолання захисних функцій СЗІ. Метою служби захисту інформації є мінімізація значення ROA, що виражається в зниженні привабливості ІС як об'єкта атак.
Перевагою даного методу є простота і прозорість організації протидії реалізацій загроз. При цьому потрібно дуже добре вміти моделювати шляхи реалізації загроз і розуміти методи протидії.
Систематизація проведеного аналізу представлена у вигляді підсумкової табл. 2. У ній коротко показані основні плюси і мінуси розглянутих методів управління ризиками, зручність їх застосування до аналізу та управління ризиками аутентифікації.
Таблиця 2. Застосування методів управління ризиками до аутентифікації при УЕВ
Метод управління ризиками
плюси
мінуси
застосовність
1. Аналіз ВОС
Наочність процесу управління ризиками
Великий обсяг підготовчої роботи
так
2. Аналіз дерева вразливостей, загроз і контрзаходів
Наочність ланцюжка подій
Незручність в значному обсязі гілок дерева подій (загроз, вразливостей, заходів)
Так, з істотними обмеженнями
3. попарно аналіз "загроза-захист"
Дозволяє оцінювати захищеність системи і вводити рівні захищеності
Необхідність розглядати всі пари. Відкритим є питання повноти ідентифікованих загроз
+/-
4. графові метод
Наочність, простота алгоритму
Для побудови графів треба детально знати всі процеси
+/-
5. Економічний метод
Простота оцінки ефективності впровадження СЗІ
Складність моделювання способів реалізації загроз
+/-
З таблиці випливає, що всі представлені методи управління ризиками застосовні до аналізу процесів аутентифікації. Найбільш зручним і наочним інструментом управління ризиками аутентифікації, на думку автора, є метод аналізу можливих небезпечних подій.
Таким чином, розглянуті всі основні етапи дослідження, що становлять метод аналізу ризиків аутентифікації при УЕВ, включаючи один з раніше недостатньо вивчених питань управління ризиками.
Висновок. Робота присвячена дослідженню застосовності найбільш широко використовуваних методів управління ризиками для аналізу та управління ризиками аутентифікації. Спочатку розробники для аналізу наслідків атак на актив організації, в ході аналізу вони були модифіковані стосовно до задачі аутентифікації.
Результати дослідження можуть бути корисні при проведенні практичних робіт з управління ризиками аутентифікації (проектування і експлуатація систем ідентифікації і аутентифікації). Надалі планується досліджувати особливості оцінки надійності аутентифікації для розробки методів оцінки надійності та якості аутентифікації при УЕВ, маючи кінцевою метою розробку рекомендацій для внесення змін до нормативної бази з регулювання процесів ідентифікації і аутентифікації, а також рекомендацій для обліку вимог безпеки і надійності при проектуванні і побудові систем ідентифікації і аутентифікації.
література
- Сабанов А.Г. Аналіз застосовності методів оцінки ризиків до процесів аутентифікації при віддаленому електронному взаимодейсвтия // Електрозв'язок. - 2014. №5.
- Управління ризиками: огляд уживаних підходів. - Електронний ресурс: http://www.iso27000.ru/chitalnyi-zai/upravlenie-riskami-informacionnoi-bezopasnosti/upravlenie-riskami-obzor-upotrebitelnyh-podhodov .
- Сабанов А.Г. Методика ідентифікації ризиків аутентифікації // Докл. Томського держ. університету систем управління і радіоелектроніки. - 2013. - № 4 (30). - С. 136-141.
- Сабанов А.Г. Багаторівневий аналіз загроз безпеки процесів аутентифікації // Питання захисту інформації. - 2014. - № 1 (104). - С. 13-22.
- ДСТУ ISO / IEC 13335-1-2006. Інформаційна технологія. Методи і засоби забезпечення безпеки. Ч. 1. Концепція та моделі менеджменту безпеки інформаційних і телекомунікаційних технологій.
- Сабанов А.Г. Методика аналізу ризиків аутентифікації при віддаленому електронному взаємодії / Докл. на XVI Міжнародній конференції "Рускріпто-2014". - 25-28 березня 2014. - Електронний ресурс: http://www.ruscrypto.ru/accotiation/archive/rc2014 .
- Методика оцінки ризиків порушення інформаційної безпеки. Прийнята розпорядженням Банку Росії від 11 листопада 2009 р № Р-1190. Електронний ресурс: http://www.zakonprost.ru/content/base/part/648065 .
- Сабанов А.Г. Концепція моделювання процесів аутентифікації // Докл. Томського держ. університету систем управління і радіоелектроніки. - 2013. - № 3 (29). - С. 71-75.
- Сабанов А.Г. Моделі для дослідження безпеки та надійності процесів аутентифікації // Електрозв'язок. - 2013. - №10. - С. 38-42.
- Шубинский І.Б. Структурна надійність інформаційних систем. Методи аналізу / Львів: Друкарський двір, 2012.
- Миронова В.Г., Шелупанов А.А. Мережі Петрі-Маркова як інструмент створення аналітичних моделей для основних видів несанкціонованого доступу в інформаційній системі // Докл. Томського держ. університету систем управління і радіоелектроніки. - 2012. - № 1 (25). - С. 20-24.