РАЗРАБОТКА МОДЕЛИ ПОГРАНИЧНЫХ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

IMPLEMENTATION OF A MODEL OF A BORDER THREATS TO INFORMATION SECURITY

Philipp Nesteruk

Ph.D., Candidate of Sciences, Professor Assistant (Docent), LIMTU Academy (IFMO), RAS expert,

Russia, St.Petersburg

Lesya Nesteruk

Ph.D., Candidate of Sciences, "STCK SPIIRAS" Ltd., Senior Researcher,

Russia, St.Petersburg

АННОТАЦИЯ

По факту проведенного анализа существующих моделей угроз и нарушителей информационной безопасности и других связанных аспектов, не смотря на все присущие им достоинства и недостатки, было выявлено, что в них не учитываются, в явном виде, пограничные угрозы информационной безопасности, формально уменьшающие полноту (покрытия поля вероятных угроз) различных моделей угроз. В работе представлена модель пограничных угроз информационной безопасности (Модель), введены новые понятия в терминологическое и смысловое поле информационной безопасности, приведены примеры внедрения Модели, вынесены предложения по использованию разработанной Модели, описаны идеи по её дальнейшему развитию.

ABSTRACT

Upon the analysis of the existing models of threats and intruders of information security and other related aspects, despite all the inherent advantages and disadvantages, it was revealed that they do not explicitly take into account the border threats to information security that formally reduce the completeness (field coverage possible threats) of different threat models. The paper presents a model of border threats to information security (Model), introduced new concepts in the terminological and semantic field of information security, gives examples of the introduction of the Model, made suggestions on the use of the developed model, and describes ideas for its further development.

Ключевые слова: Пограничная зона / граница / состояние, пограничная угроза / нарушитель, статическая пограничная угроза, динамическая пограничная угроза, модель пограничных угроз информационной безопасности.

Keywords: border zone, border threat / intruder, static border threat, dynamic border threat, border threat model, model of a border threats to information security.

Введение

Актуальность проблемы защиты информационных систем (ИС), обусловлена сложностью программного и аппаратного обеспечения, постоянным наличием уязвимостей, нарушителей и угроз, и несовершенством механизмов защиты.

Специалисты по информационной безопасности (ИБ) повсеместно строят модели угроз и нарушителей согласно стандартам, шаблонам, нормативно-правовым актам, законам РФ. Существующие шаблоны моделей постоянно актуализируются. Модель пограничных угроз информационной безопасности (Модель) и её элементы предназначены, в том числе, для актуализации других существующих моделей, а также учёта / отображения неучтённых угроз границы (пограничной зоны) организации (системы) для которой она построена.

Сравнительный анализ подходов к обеспечению ИБ систем, и некоторых моделей угроз ИБ. В разрезе поиска существующих понятий со смысловой нагрузкой: «пограничная зона / граница ИБ», «пограничная угроза / нарушитель ИБ», «Модель пограничных угроз ИБ», в области существующих моделей угроз, нарушителей, других аспектов ИБ – ничего подобного обнаружено не было, несмотря на проведенный анализ следующих областей ИБ: 1) Предпосылки уязвимостей систем, в частности; 1.1) Сложность (Растущая сложность систем); 1.2) Специфичность (Закрытость бизнес-приложений), 1.3) Недостаток квалифицированных специалистов (понимание угроз систем со стороны службы безопасности часто поверхностно), 1.4) Недостаток инструментов для аудита безопасности (Ручной аудит), 1.5) Большое количество тонких настроек (использование шаблонных настроек), 2) Проблемы сетевой и локальной защиты информации (ЗИ) систем; 2.1) Сетевой уровень (перехват, модификация трафика, уязвимости протоколов шифрования или аутентификации, уязвимости сетевых протоколов), 2.2) Уровень ОС (программные уязвимости ОС, слабые пароли ОС, небезопасные настройки ОС), 2.3) Уязвимости СУБД (переполнение буфера, format string, пароли, Cursor snarfing), 2.4) Уязвимости приложений (уязвимости веб-приложений, переполнения буфера, format string в веб-серверах и application-серверах), 3) Сравнительный анализ моделей угроз / нарушителей; Банка России (в т.ч. анализ отчетов и др. материалов аудитов ИБ Банков) [1, 2], ФСБ [3, 4], ФСТЭК [4, 5], при обеспечении ИБ систем (Подходы Регуляторов к формированию модели нарушителя отличаются; ФСБ регулирует в области криптографии ‑ методика в основном служит для выбора класса криптосредств, соответственно при описании нарушителя рассматриваются возможности нарушителя по атакам на криптосредства и среду их функционирования, используется понятие «контролируемая зона», методика ФСТЭК шире ‑ описывает возможности нарушителя по атакам на систему в целом [4]), 4) Средства ЗИ в системах [6]; 4.1) Управление доступом на основе ролей (наиболее распространена модель RBAC (Role-Based Access Control — управление доступом на основе ролей)), 4.2) Разделение полномочий (Разделение полномочий (Separation/Segregation of Duties, SoD — концепция невозможности пользователя совершить транзакцию без других пользователей)), 4.3) Сканеры безопасности систем (анализирует конфигурацию системы на небезопасные параметры аутентификации, контроля доступа, шифрования, компоненты системы, проверяет, установлены ли последние версии компонентов, создает отчеты и т.д., например Rapid 7 NeXpose [7, 8] ‑ можно совмещать функциональность NeXpose и других модулей Metasploit’а, например: искать компьютеры с некой уязвимостью и в тоже время эксплуатировать ее с помощью соответствующего модуля Metasploit..., или отечественный XSpider 7 [9] позволяющий настраивать как общие параметры для сетевого анализа, так и содержащий поведение сканера для конкретных протоколов), 4.4) Системы защиты от несанкционированного доступа (СЗИ НЗД), например СЗИ НСД «АУРА 1.2.4», «АУРА» + система гарантированного уничтожения информации «СГУ-2» ‑ эффективные для защиты как информационных систем обработки персональных данных (ИСПДн) до 1 уровня защищённости персональных данных включительно, так и для защиты автоматизированных систем до класса 1Б включительно [10], 4.5) комбинирование методов ЗИ [11], 5) Нормативно-правовые аспекты обеспечения ЗИ систем [12] (со вступления в силу закона «О персональных данных (ПДн)» в РФ, согласно которому компании, осуществляющие обработку ПДн, должны обрабатывать и хранить ПДн граждан РФ на территории России, база данных (БД), в которых содержатся ПДн, должны находиться на серверах РФ, рассмотрены общие принципы и варианты планирования архитектуры при внедрении систем в России, предложены 4 варианта организации системы, в т.ч. – возможно, наиболее надежный вариант в рамках ФЗ о ПДн, подразумевающий, что сервер, с расположенной на нём БД, располагается в пределах РФ, при этом в БД содержатся ПДн россиян; т.о. может быть реализовано путём: 1. физический сервер, находящийся в офисе компании + 2. физический сервер в дата-центре + 3. арендованный виртуальный сервер (например, Azure Pack), 6) интеллектуальные, высокоуровневые и академические подходы к вопросам ИБ [13, 14], 7) некоторые смежные области (например погранология [15] - рассмотрена модель безопасности, определяемая через дихотомию ценностей развития и сохранения, кооперации и конкуренции, в интересах оценки параметров модели и ее верификации использованы исторические, статистические и аналитические данные, характеризующие безопасность государств, объединений государств и регионов, размеры территорий, и т.д.), 8) общение с организаторами и специалистами в области ИБ на интересных обучающих (коммуникационных) мероприятиях по ЗИ; 8.1) курсы повышения квалификации (Академия ЛИМТУ (Университет ИТМО) [16] – подготовка высококвалифицированных специалистов, в т.ч. системных администраторов работающих с ПО 1С, академия АйТи [17] – проводящая в т.ч. курсы повышения квалификации и профессиональной переподготовки по ИБ), 8.2) конференции и выставки (КОД ИБ [18], Автоматизация [19], Sfitex (securika) [20], PHDays [21]), 8.3) организации за обучение вопросам ЗИ (TS Solution [22] – предоставляя услуги и решения в области ЗИ, планово проводит разноформатное обучения ИБ для специалистов по ЗИ).

Разработка Модели пограничных угроз информационной безопасности.

В результате проведенного анализа существующих моделей угроз / нарушителя ИБ, не смотря на все присущие им достоинства и недостатки, было выявлено, что в них не учитываются, в явном виде, пограничные угрозы ИБ, формально уменьшающие полноту (покрытия поля вероятных угроз, нарушителей, атак, источников / приемников атак) различных моделей угроз.

1) Для удобства определения Модели был введен ряд новых (в данном разрезе) понятий в терминологическое и смысловое поле ИБ:

1. Пограничная зона (ПЗ) / граница / состояние ИБ (Information Security (IS) border zone) – зона разделяющая 2 различающиеся, с точки зрения информационной безопасности, среды (внутренней и внешней).

2. Пограничная угроза (ПУ) / нарушитель ИБ (IS border threat / intruder) – любая угроза / нарушитель информационной безопасности (вероятная или реализованная) в пограничной зоне.

3. Статическая пограничная угроза ИБ (IS static border threat) ‑ любая угроза информационной безопасности (вероятная или реализованная) в пограничной зоне, не изменяющая своих свойств.

4. Динамическая пограничная угроза ИБ (IS dynamic border threat) –‑ любая угроза информационной безопасности (вероятная или реализованная) в пограничной зоне, изменяющая свои свойства.

5. Модель пограничных угроз ИБ (IS border threat model) – модель любой угрозы информационной безопасности (вероятная или реализованная) в пограничной зоне.

6. Пограничное состояние ИБ (IS border condition), применительно к программному коду – такое пограничное (переходное) состояние программного кода, в котором осуществляется атака (её функция).

2) Разработана концептуальная Модель пограничных угроз ИБ (МПУ ИБ):

сутью пограничной угрозы (ПУ) ИБ является её пограничное положение (место) в модели угроз, обычно разделенной на внешние и внутренние угрозы (У), при этом без учета самой границы / ПЗ (Формат 1. МПУ ИБ): 

внешняя У->|пограничная (не учтенная зона<ПУ-атака>)|<-внутренняя У.

В рассмотренных моделях угроз пограничные зоны (ПЗ) ИБ не учитывались, не упоминались. В то же время, не учтенное в модели пограничное место может являться источником или приёмником самых разнообразных угроз. Под угрозой в МПУ ИБ подразумевается: любая угроза ИБ (физическая, техническая, аппаратная, программная и т.д.), нарушитель ИБ, любой источник или приёмник угроз ИБ.

ПУ может реализоваться в моменты переходов из одного состояния в другое  и наоборот, например, переходное/пограничное состояние 0 (ПС), в момент перехода из внутреннего состояния 1 во внешнее 2, за время которого реализованная угроза может перерасти в последствия атаки, и при этом не будет учтено в состоянии 2, ввиду того что это не внутреннее и не внешнее, а ПС 0 (Формат 2. Не учтенная пограничная угроза в пограничном состоянии):

(состояние 1)--->(состояние 0 < ПУ/атака>)--->(состояние 2).

Пограничные угрозы могут быть статическими (устройства съема информации несанкционированно установленные или подконтрольные злоумышленникам в пограничной зоне) и динамическими (захват ПЗ, скрытый контроль устройств ПЗ, программные коды и закладки, выполненные в ПЗ/ ПС и т.п.). Динамическая угроза, перейдя в состояние 2, может оказаться уже вне ПЗ в своём новом состоянии, минуя средства контроля ИБ.

Примеры реальных угроз пограничной зоны следующие: нарушитель – физ. лицо пересекающее пограничную зону ИБ, реализующий угрозу ИБ, взлом пароля Wifi-сети организации в ПЗ, захват ПЗ заинтересованными нарушителями, скрытый контроль видеокамеры / компьютера ПЗ, сложные распределенные атаки типа APT (advanced persistent threat — развитая устойчивая угроза / целевая кибератака), компонент(ы) которой установлены в ПЗ / ПС.

Во всем перечисленном заключается создание Концептуальной МПУ ИБ.

Примеры внедрения Модели пограничных угроз ИБ в существующие модели угроз / нарушителей. 1) Проведена модификация модели угроз и нарушителей ИБ Кредитной организации (Банка), построенной на базе модели угроз и нарушителей стандарта Банка России СТО БР ИББС 1.0-2014, путём введения в неё модели пограничных угроз ИБ (выделено курсивом по тексту далее), приведём фрагмент: «…3.3.7. Модель нарушителей. Нарушители бывают: внешние (лица, разрабатывающие/распространяющие вирусы и другие вредоносные программные коды; лица, организующие DoS, DDoS и иные виды атак; лица, осуществляющие попытки НСД и НРД), пограничные (внешние и внутренние, определенным образом присутствующие в пограничной зоне в определенный момент времени), внутренние (персонал, имеющий права доступа к аппаратному оборудованию, в том числе сетевому, администраторы серверов, сетевых приложений и т.п.), комбинированные (внешние, пограничные, внутренние нарушители ИБ, действующие совместно и/или согласованно)…».

2) Проведена модификация частной модели угроз и нарушителей ФСТЭК для ERP системы 1С, путём введения в неё МПУ ИБ (выделенной курсивом по фрагменту частной модели угроз, далее): … «5.1.   Внешний нарушитель. В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны… 5.0.    пограничные нарушители – физические лица (могут быть как внутренними так и внешними), моделирующие или осуществляющие целенаправленное деструктивное воздействие, пребывающие на пограничной территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн. 5.2.   Внутренний нарушитель. К такому виду нарушителя могут относиться (список лиц должен быть уточнен в соответствии с группами пользователей описанных в Политике ИБ – сотрудники)…» [1-5, 23, 24].

Предложения по использованию разработанной модели пограничных угроз ИБ. По результатам проделанной работы предлагается использовать / включить разработанные элементы: 1) модель пограничных угроз ИБ (МПУ ИБ) и / или её модификации, 2) термины и определения и / или их модификации: пограничная зона (border zone), пограничная угроза / нарушитель (border threat / intruder), статическая пограничная угроза (static border threat), динамическая пограничная угроза (dynamic border threat), модель пограничных угроз (border threat model) ‑

в разрабатываемых моделях, показателях, стандартах, и др. элементах и нормативных документах по информационной безопасности: Банком России, ФСТЭК, Регулирующими, аудиторскими, и другими организациями, и физическими лицами, работающими с ИБ и ЗИ. [1-33].

Идеи будущих работ в области Модели пограничных угроз ИБ. Планируется исследования применения МПУ ИБ в других практических областях, например: 1) для нечётких баз знаний для адаптивных систем ИБ [25], 2) нейросетевой классификации в системах защиты информации [26], 3) МПУ ИБ программного кода, пограничных состояний ИБ программного кода на примере фрагмента кода T-SQL; сутью пограничных состояний информационной безопасности программного кода: является такое пограничное (переходное) состояние динамического кода, во время которого осуществляется атака или её функция. При переходе же в конечное состояние, автоматизированная ИС, или оператор ИС уже не обнаруживают источника атаки.

Рассмотрим общий пример: при выполнении программного кода, его динамическая часть переходит из состояния 1 (исходное) в состояние 2 (конечное). Можно предположить, что существует такой пограничный момент перехода из состояния 1 в состояние 2 – состояние 0, в момент которого происходит неучтенная атака, например проведена SQL-инъекция при внедрении кода SQL (вредоносный код вставляется в строки, передающиеся затем в экземпляр SQL Server для синтаксического анализа и выполнения).

Любая процедура, создающая инструкции SQL, должна рассматриваться на предмет уязвимости к внедрению кода, так как SQL Server выполняет все получаемые синтаксически правильные запросы [27]. Параметризованные данные также могут стать предметом манипуляций опытного злоумышленника.

Список литературы:

1. Банк России. ИБ организаций БС РФ. / Стандарты Банка России. URL: http://www.cbr.ru/credit/Gubzi_docs/ (дата обращения: 05.12.2017).
2. Лившиц И.И., Рахимов М.Н., Нестерук Ф.Г. К вопросу повышения уровня обеспечения информационной безопасности кредитных организаций в соответствии с требованиями СТО БР ИББС // Вопросы защиты информации. 2015. № 4. С. 52-58.
3. ФСБ. Методические рекомендации ФСБ по моделированию угроз URL: http://www.fsb.ru (дата обращения: 05.12.2017).
4. Шамсутдинов Булат. Методика разработки модели нарушителя: как скрестить ежа и ужа. URL: https://www.securitylab.ru/blog/personal/crypto-anarchist/148064.php?R=1 (дата обращения: 05.12.2017).
5. ФСТЭК. Проект методики определения угроз. URL: http://fstec.ru (дата обращения: 04.12.2017).
6. Википедия. Безопасность систем ERP. URL: https://ru.wikipedia.org/wiki/Безопасность_систем_ERP (дата обращения: 05.12.2017).
7. Сканер безопасности. Rapid 7 NeXpose. URL: 7-www.rapid7.com (дата обращения: 04.12.2017).
8. No name detected. Лучшие инструменты пен-тестера: сканеры безопасности //Хакер. 2010. URL: https://xakep.ru/2010/04/13/51777/#toc10 (дата обращения: 05.12.2017).
9. Сканер безопасности. XSpider 7. URL: www.ptsecurity.ru/xs7download.asp) (дата обращения: 04.12.2017).
10. Система защиты от несанкционированного доступа СЗИ НСД «АУРА 1.2.4». «АУРА». Система гарантированного уничтожения информации «СГУ-2». URL: http://cobra.ru/ (дата обращения: 05.12.2017).
11. Котенко И.В., Нестерук Ф.Г., Чечулин А.А. Комбинирование механизмов обнаружения сканирования в компьютерных сетях // Вопросы защиты информации. 2011. № 3. С. 30-34.
12. Ермаков. А. Закон о хранении персональных данных: новые трудности для ERP систем // 2016. URL: https://www.awaragroup.com/ru/blog/personal-data-protection-law-new-challenges-in-russia-for-storing-erp-database/ (дата обращения: 05.12.2017).
13. Котенко И.В., Саенко И.Б., Юсупов Р.М. Новое поколение систем мониторинга и управления инцидентами безопасности // Научно-технические ведомости Санкт-Петербургского государственного политехнического университета. Информатика. Телекоммуникации. Управление. 2014. № 3 (198). С. 7-18.
14. Нестерук Г.Ф., Осовецкий Л.Г., Харченко А.Ф. Информационная безопасность и интеллектуальные средства защиты информационных ресурсов (Иммунология систем информац. технологий) / Г.Ф. Нестерук, Л.Г. Осовецкий, А.Ф. Харченко; М-во образования Рос. Федерации. Гос. образоват. учреждение высш. проф. образования "С.-Петерб. гос. ун-т экономики и финансов". [СПб.], 2003.
15. Шумов В.В. Модель национальной безопасности и анализ мировых процессов интеграции и дезинтеграции URL:http://e-notabene.ru/nb/article_14812.html (дата обращения: 05.12.2017).
16. Академия ЛИМТУ (Университет ИТМО) URL: http://limtu.ifmo.ru/ (дата обращения: 05.12.2017).
17. Академия АйТи URL: https://www.academy.it.ru/ (дата обращения: 05.12.2017).
18. Конференции и выставки. КОД ИБ. URL: codeib.ru (дата обращения: 05.12.2017).
19. Конференции и выставки. Автоматизация. URL: http://automation-expo.ru/ (дата обращения: 05.12.2017).
20. Конференции и выставки. Sfitex (securika). URL: http://securika-spb.ru/ru-RU/ (дата обращения: 05.12.2017).
21. Конференции и выставки. PHDays. URL: https://www.phdays.com/ru/ (дата обращения: 05.12.2017).
22. Организация информационной безопасности. TS Solution. URL: https://tssolution.ru/ (дата обращения: 05.12.2017).
23. Колледж связи №54. Модель угроз ИСПДн 1C / Москва. 2012. URL: https://www.google.ru/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwj3j7KXxtXXAhXBPZoKHVXkAsoQFggmMAA&url=https%3A%2F%2Fwww.ks54.ru%2Fassets% 2Fcollege_docs%2Fit%2F152fz%2Fmodel_ugroz_ispdn_1c.doc&usg=AOvVaw3xONQ4wr191phk8F5tC9HO (дата обращения: 05.12.2017).
24. Рахимов М.Н., Лившиц И.И., Нестерук Ф.Г. Методические аспекты проведения аудита кредитных организаций в соответствии с требованиями стандартов СТО БР ИББС // Менеджмент качества. 2015. № 4. С. 300-309.
25. Nesteruk P., Nesteruk L., Kotenko I. Creation of a fuzzy knowledge base for adaptive security systems // В сборнике: Proceedings - 2014 22nd Euromicro International Conference on Parallel, Distributed, and Network-Based Processing, PDP 2014 2014. С. 574-577.
26. Нестерук Ф.Г., Молдовян А.А., Нестерук Г.Ф., Нестерук Л.Г. Квазилогические нейронечеткие сети для решения задачи классификации в системах защиты информации // Вопросы защиты информации. 2007. № 1. С. 23-31.
27. Ed Macauley, Olprod, OpenLocalizationService, Saisang Cai. Атака путем внедрения кода SQL. / Microsoft. 2017. URL: https://docs.microsoft.com/ru-ru/sql/relational-databases/security/sql-injection (дата обращения: 05.12.2017).
28. Фаткиева Р.Р. Модель обнаружения атак на основе анализа временных рядов // Труды СПИИРАН. 2012. № 2 (21). С. 71-79.
29. Нестерук Ф.Г., Суханов А.В., Нестерук Л.Г., Нестерук Г.Ф. Адаптивные средства обеспечения безопасности информационных систем. СПб: Изд-во Политехн. ун-та, 2008. 626 с.
30. Симаворян С.Ж., Симонян А.Р., Улитина Е.И., Симонян Р.А. Исследование интеллектуального противоборства злоумышленников и службы защиты информации в АСОД // Известия Сочинского государственного университета. 2014. № 4-1 (32). С. 15-23.
31. Котенко И.В., Саенко И.Б., Скорик Ф.А., Бушуев С.Н. Нейросетевой подход к прогнозированию состояния элементов сети интернет вещей // Международная конференция по мягким вычислениям и измерениям. 2015. Т. 1. С. 395-399.
32. Гатчин Ю.А., Теплоухова О.А. Анализ эффективности системы защиты информации // Вестник компьютерных и информационных технологий. 2015. № 7. С. 29-32.
33. Котенко И.В., Нестерук Ф.Г., Шоров А.В. Концепция адаптивной защиты информационно-телекоммуникационных систем на основе парадигм нервных и нейронных сетей // Труды СПИИРАН. 2012. № 4 (23). С. 100-115.
34. Dagar P., Gaur D., Jatain A. Medical diagnosis system using fuzzy logic toolbox // В сборнике: International Conference on Computing, Communication and Automation, ICCCA 2015. 2015. С. 193-197.