Защита информации: анализ рисков
6 ноября 2004 LANLAN / Журнал сетевых решений
Октябрь, 2004 г.
Павел Покровский
Открытые Технологии, аналитик по информационной безопасности.
Четкой методики количественного расчета величин рисков как не было, так и нет. Это связано в первую очередь с отсутствием достаточного объема статистических данных о вероятности реализации той или иной угрозы. В результате наибольшее распространение получила качественная оценка информационных рисков.
В спорах на тему оценки информационных рисков или экономического обоснования инвестиций в информационную безопасность сломано немало копий. В настоящее время идет активное накопление данных, на основании которых можно было бы с приемлемой точностью определить вероятность реализации той или иной угрозы. К сожалению, имеющиеся справочники опираются на зарубежный опыт и потому с трудом применимы к российским реалиям. К тому же определение величины стоимости информационного ресурса (будь то физический сервер или файлы и записи СУБД) тоже зачастую затруднено. К примеру, если владелец ресурса (в предположении, что таковой идентифицирован) может назвать стоимость оборудования и носителей, то указать точную стоимость находящихся в его ведении данных он практически никогда не в состоянии. Поэтому наиболее распространенной остается качественная оценка информационных рисков, когда при отсутствии точных данных значения параметров устанавливает проводящий анализ рисков эксперт.
Построение модели нарушителя
Модель нарушителя представляет собой некое описание типов злоумышленников, которые намеренно или случайно, действием или бездействием способны нанести ущерб информационной системе. Чаще всего по глобальному признаку они ранжируются на внешних и внутренних (соответственно, категории А и В). Однако такое деление не является достаточным. Поэтому ранжирование проводится с диверсификацией указанных категорий на подкатегории. Например, к внешним злоумышленникам причисляются нарушители из следующих групп: клиенты, которые могут нанести ущерб намеренно или по незнанию; подрядчики, нанятые на выполнение тех или иных работ (они в свою очередь, также могут совершать как намеренное, так и ненамеренное нарушение); квалифицированные хакеры и т. д. Внутренние злоумышленники подразделяются на тех, кто причиняет ущерб намеренно и ненамеренно; кроме того, данная категория может диверсифицироваться по признаку назначенных привилегий в информационной системе.
В идеале, если в компании имеется положение, где описываются категории пользователей информационной системы (как внешних, так и внутренних), модель нарушителя может быть составлена на основании этого положения, дабы впоследствии результаты проведенной оценки рисков интегрировать в общую концепцию информационной безопасности компании. Модель нарушителя рекомендуется составлять в виде таблицы (см. Таблицу 1).
Идентификатор | Наименование | Описание возможностей |
А1 | Внешний легальный пользователь Internet-банкинга | Отсутствие достаточной квалификации для обнаружения и эксплуатации уязвимостей. Знание по крайней мере одного легального имени доступа в систему. |
Идентификация угроз
Для управления рисками требуется идентифицировать возможные опасности, угрожающие обследуемой информационной системе. Таковыми могут являться, например, наводнение, отключение электропитания или атаки злоумышленников с последствиями разной степени тяжести. На данном этапе рекомендуется учесть все риски, однако оценивать лишь те, реализация которых возможна исходя из принятой модели нарушителя. Таким образом, после идентификации угрозу следует соотнести с моделью нарушителя c целью определения соответствующей категории нарушителя и последующей оценки вероятности реализации данной угрозы. Например, если модель нарушителя не описывает категорию удаленных пользователей (в компании не предусмотрен удаленный доступ), то вероятность утечки информации в результате доступа к ней извне ничтожно мала, и ею можно пренебречь при расчете рисков.
Расчет информационных рисков
Формула, чаще всего используемая при расчете рисков, представлаяет собой произведение трех параметров:
- стоимость ресурса (Asset Value, AV). Указанная величина характеризует ценность ресурса. При качественной оценке рисков стоимость ресурса чаще всего ранжируется в диапазоне от 1 до 3, где 1 — минимальная стоимость ресурса, 2 — средняя стоимость ресурса и 3 — максимальная стоимость ресурса. К примеру, сервер автоматизированной банковской системы имеет AV = 3, тогда как отдельный информационный киоск, предназначенный для обслуживания клиента, имеет AV = 1 по отношению к информационной банковской системе;
- мера уязвимости ресурса к угрозе (Exposure Factor, EF). Этот параметр показывает, в какой степени тот или иной ресурс уязвим по отношению к рассматриваемой угрозе. Например, с точки зрения банка ресурс автоматизированной банковской системы имеет наибольшую доступность. Таким образом, атаки с целью реализации отказа в обслуживании (Denial of Service, DoS) представляют для него максимальную угрозу. При качественной оценке рисков данная величина также ранжируется в диапазоне от 1 до 3, где 1 — минимальная мера уязвимости (слабое воздействие), 2 — средняя (ресурс подлежит восстановлению), 3 - максимальная (ресурс требует полной замены после реализации угрозы);
- оценка вероятности реализации угрозы (Annual Rate of Occurrence, ARO) демонстрирует, насколько вероятна реализация определенной угрозы за определенный период времени (как правило, в течение года) и также ранжируется по шкале от 1 до 3 (низкая, средняя, высокая).
На основании полученных данных выводится оценка ожидаемых потерь (уровень риска):
- оценка ожидаемого возможного ущерба от единичной реализации определенной угрозы (Single Loss Exposure, SLE) рассчитывается по формуле: SLE = AV x EF;
- итоговые ожидаемые потери от конкретной угрозы за определенный период времени (Annual Loss Exposure, ALE) характеризуют величину риска и рассчитывается по формуле: ALE = SLE x ARO.
Таким образом, конечная формула расчета рисков представляет собой произведение: ALE = ((AV x EF = SLE) x ARO).
Полученные результаты излагаются в табличной форме (см. Таблицу 2).
Ресурс | AV | Угроза (механихм реализации) | Модель нарушителя | EF | ARO | SLE | ALE |
Пограничной маршрутизатор | 3 | Разглашение информации (внедрение в сетевое соединение, подмена сетевого адреса, навязывание ложных серверов ARP и DNS) | A3 (неквалифицированный сотрудник подрядчика) A5 (квалифицированный злоумышленник) |
3 | 9 | 1 | 9 |
Как видим, большинство из описанных параметров принимается на основе мнения эксперта. Это связано с тем, что количественная оценка вероятности реализации угрозы затруднена ввиду относительной новизны информационных технологий и, как следствие, отсутствия достаточного количества статистических данных. В случае оценки стоимости ресурса (AV) количественная оценка (например, в денежном эквиваленте) чаще всего не проводится, и тогда оценка параметра SLE затруднена.
Методики управления рисками
После проведения первичной оценки рисков полученные значения следует систематизировать по степени важности для выявления низких, средних и высоких рисков. Методика управления рисками подразумевает несколько способов действий.
Риск может быть:
- принят (assumption), т. е. пользователь согласен на риск и связанные с ним потери, поэтому работа информационной системы продолжается в обычном режиме;
- снижен (mitigation) — с целью уменьшения величины риска будут приняты определенные меры;
- передан (transference) — компенсацию потенциального ущерба возложат на страховую компанию, либо риск трансформируют в другой риск - с более низким значением - путем внедрения специальных механизмов.
Некоторые методики дополнительно предусматривают еще один способ управления – "упразднение" (avoidance). Он подразумевает принятие мер по ликвидации источника риска. Например, удаление из системы функций, порождающих риск, либо выведение части системы из эксплуатации. Однако, на мой взгляд, такой подход неконструктивен ввиду того, что, если величина риска достаточно велика, порождающий его компонент критичен для информационной системы и, следовательно, не может быть удален. При низких значениях риска данный метод трансформируется в метод снижения риска (mitigation).
После ранжирования рисков определяются требующие первоочередного внимания; основным методом управления такими рисками является снижение, реже — передача. Риски среднего ранга могут передаваться или снижаться наравне с высокими рисками. Риски низшего ранга, как правило, принимаются и исключаются из дальнейшего анализа. Диапазон ранжирования рисков принимается исходя из проведенного расчета их качественных величин. Так, например, если величины рассчитанных рисков лежат в диапазоне от 1 до 18, низкие риски находятся в диапазоне от 1 до 7, средние — в диапазоне от 8 до 13, высокие — в диапазоне от 14 до 18.
Таким образом, управление рисками сводится к снижению величин высоких и средних рисков до характерных для низких рисков значений, при которых возможно их принятие. Снижение величины риска достигается за счет уменьшения одной или нескольких составляющих (AV, EF, SLE) путем принятия определенных мер. В основном это возможно применительно к EF и SLE, так как AV (стоимость ресурса) — фиксированный параметр. Однако возможно и его снижение. Например, если хранящаяся на сервере информация относится к конфиденциальной, но проверка выявила, что гриф "конфиденциально" в силу каких-либо причин может быть снят. В результате стоимость ресурса автоматически уменьшается. В системе Internet-банкинга, например, параметр EF можно уменьшить путем фиксации ответственности сторон в договорном порядке. В этом случае считается, что стороны предупреждены об ответственности, которую может повлечь за собой нарушение правил эксплуатации системы, и, таким образом, фактор уязвимости снижается.
Снижение параметра SLE, т. е. вероятности реализации угрозы, может быть достигнуто за счет технических мер. Например, при наличии угрозы кратковременного отключения электропитания установка источника бесперебойного питания снижает вероятность се реализации.
Возникшие (оставшиеся) после применения методики управления риски называются остаточными, и именно они применяются для обоснования инвестиций в информационную безопасность. Перерасчет рисков производится в отношении всех рисков, если они оценены как высокие и средние.
Результаты расчета остаточных рисков сводятся в таблицу (см. Таблицу 3).
Ресурс | AV | Угроза | Исходный риск | Остаточный риск | Снижение риска (%) |
Пограничный маршрутизатор | 3 | Разглашение информации | 9 | 3 | 66,67 |
Обоснование экономических инвестиций
Сама по себе качественная оценка рисков не позволяет аргументировать инвестиции, так как не содержит конкретных цифр для определения затрат на снижение рисков. Для обоснования затрат требуется идентифицировать меры, применение которых позволит снизить данные риски до приемлемых величин. Меры снижения рисков, как правило, вполне конкретны (техническими или организационными), и в этом случае уже можно говорить о стоимости. Оценка требуемых мер в денежном эквиваленте производится после составления бюджета. Таким образом качественная оценка рисков выступает основанием для привлечения инвестиций.
Пример качественного расчета информационных рисков
Показательный расчет качественных значений информационных рисков проведен на примере сервера Web торговой компании, занимающейся продажей компьютерной техники через собственный Internet-магазин. Предположим, что годовой торговый оборот составляет юо тыс. долларов США в год. В качестве сервера Web используется ПО Microsoft IIS и СУБД Microsoft SQL Server. Для упрощения расчета примем две модели нарушителей: внешний легальный пользователь и внешний хакер. Первого обозначим как A1, a второго — А2.
Таким образом, категории A1 свойственны следующие черты нарушителя:
- достаточная квалификация для эксплуатации возможностей Internet-магазина;
- отсутствие цели нанести ущерб компании.
Для категории А2 характерны следующие черты нарушителя:
- необходимые технические познания для эксплуатации возможностей Internet-магазина;
- навыки и опыт использования уязвимостей и недекларированных возможностей ОС, распространенного прикладного ПО;
- опыт взлома подобных систем;
- намерение нанести ущерб компании.
В отношении сервера Web могут быть идентифицированы следующие угрозы:
- нарушение целостности информации, хранящейся в СУБД Internet-магазина;
- нарушение доступности сервера Web;
- нарушение конфиденциальности информации, хранящейся в СУБД Internet-магазина.
Угроза нарушения целостности может возникнуть в результате реализации следующих механизмов:
- проведение атаки SQL Injection;
- проведение атаки Cross-Site Scripting;
- эскалация привилегий злоумышленника в системе в результате переполнения буфера ОС или СУБД.
Угроза нарушения конфиденциальности возможна вследствие реализации следующих механизмов:
- проведение атаки SQL Injection;
- проведение атаки Cross-Site Scripting;
- эскалация привилегий прав злоумышленника в системе в результате переполнения буфера ОС или СУБД.
Угроза нарушения доступности возникнет, если будут реализованы следующие механизмы:
- эскалация привилегий прав злоумышленника в системе в результате переполнения буфера ОС или СУБД;
- создание шторма сетевых пакетов против сервера Web;
- формирование некорректных пакетов, направленных на сервер Web и влекущих за собой крах службы.
Таким образом идентифицированы следующие механизмы реализации угроз:
- проведение атаки SQL Injection;
- проведение атаки Cross-Site Scripting;
- эскалация привилегий прав злоумышленника в системе в результате переполнения буфера ОС или СУБД;
- создание шторма сетевых пакетов, направленных на сервер Web;
- формирование некорректных пакетов, направленных на сервер Web и влекущих за собой крах службы.
Атака наподобие SQL Injection может быть намеренно осуществлена злоумышленником категории А3, но не может быть проведена ни при каких обстоятельствах злоумышленником категории A1.
Атака Cross-Site Scripting также может быть предпринята злоумышленником категории А2, но ни в коем случае не злоумышленником категории A1.
Эскалация привилегий прав злоумышленника в системе может произойти в результате намеренных действий злоумышленника категории А2 и ненамеренных действий злоумышленника категории A1.
Создание шторма сетевых пакетов, направленных на сервер Web, может стать следствием намеренных действий злоумышленника категории А2 и ненамеренных действий злоумышленника категории A1 (например, вследствие частого нажатия кнопки "Обновить" обозревателя Internet).
Формирование некорректных пакетов, направленных на сервер Web, влекущих за собой крах службы, может произойти в результате намеренных действий злоумышленника категории А2, но ни при каких обстоятельствах не случится в результате действий злоумышленника категории A1. Результаты идентификации угроз и построения модели нарушителя сведены в Таблицу 4.
Ресурс | (AV) | Угроза (механизм реализации) | Модель нарушителя | EF | ARO | SLE | ALE |
Сервер Web Internet-магазина | 3 | Угроза нарушения целостности (SQL Injection, Cross-Site Scripting, эскалация привилегий) | A1 | 3 | 2 | 9 | 18 |
Угроза нарушения конфиденциальности (SQL Injection, Cross-Site Scripting, эскалация привилегий) | A1 | 3 | 2 | 9 | 18 | ||
Угроза нарушения доступа целостности (эскалация привелегий, создание шторма пакетов, формирование некорректных пакетов) | A1, A2 |
2 | 3 | 6 | 18 |
Ресурс сервера Web является критичным для функционирования компании, поэтому ему присвоено значение AV=3. Мере уязвимости ресурса к угрозе нарушения целостности (EF) тоже назначено максимальное значение (3), так как нарушение целостности хранимых в СУБД данных влечет за собой срыв поставок, если, например, удалены данные об оформленных, но еще не проведенных заказах. Вероятность реализации угрозы нарушения целостности оценена как средняя ввиду того, что не исключается эксплуатация широко известных уязвимостей и недостатков программирования (SQL Injection, Cross-Site Scripting). Параметры EF и ARO в отношении угроз нарушения конфиденциальности и доступности рассчитывались аналогично. Большинство параметров (кроме AV), как можно видеть, принимались исходя из экспертного мнения аудитора. Все идентифицированные риски являются высокими, поскольку реализация порождающих эти риски угроз неизбежно нанесет существенный ущерб компании. Таким образом, дальнейшие меры подразумевают снижение идентифицированных рисков.
Для снижения меры уязвимости (EF) в части реализации угрозы нарушения доступности рекомендуется пересмотреть исходный код сценариев Internet-магазина и добавить в него функции фильтрации запросов SQL с целью предотвращения внедрения запросов SQL в запросы HTTP GET. Сходные меры могут быть предприняты в отношении атаки Cross-Site Scripting. Что касается эскалации привилегий злоумышленника, то на этот случай могут быть приняты такие меры, как установка недавно вышедших обновлений безопасности службы сервера Web, а также постоянный аудит и периодический пересмотр учетных записей пользователей и прав доступа на системном уровне. В результате этих действий автоматически снижается параметр ARO, установка обновлений безопасности уменьшает вероятность реализации описанных угроз.
Снижение степени уязвимости и вероятности реализации угрозы в части нарушения конфиденциальности достигается аналогично.
Риск нарушения доступности понижается путем установки обновлений безопасности, размещения межсетевого экрана перед сервером Web с учетом топологии сети и ограничения количества одновременных соединений со службой сервера Web с одного IP-адреса.
После идентификации перечисленных мер произведем расчет остаточных рисков и сведем их в таблицу, аналогичную предыдущей (см. Таблицу 5). На ее основе можно сформировать таблицу снижения рисков (см. Таблицу 6). Как видим, риск снижен на величину от 66 до 83%, что является приемлемым уровнем.
Ресурс | (AV) | Угроза (механизм реализации) | Модель нарушителя | EF | ARO | SLE | ALE |
Сервер Web Internet-магазина | 3 | Угроза нарушения целостности (SQL Injection, Cross-Site Scripting, эскалация привилегий) | A1 | 2 | 1 | 6 | 6 |
Угроза нарушения конфиденциальности (SQL Injection, Cross-Site Scripting, эскалация привилегий) | A1 | 2 | 2 | 6 | 6 | ||
Угроза нарушения доступа целостности (эскалация привелегий, создание шторма пакетов, формирование некорректных пакетов) | A1, A2 |
1 | 1 | 3 | 3 |
Ресурс | AV | Угроза | Исходный риск | Остаточный риск | Снижение риска (%) |
Сервер Web Internet-магазина | 3 | Угроза нарушения целостности | 18 | 6 | 66,67 |
Угроза нарушения конфиденциальности | 18 | 6 | 66,67 | ||
Угроза нарушения доступности | 18 | 3 | 83,33 |
В завершение остается рассчитать затраты на внедрение описанных мер. Например, доработка сценариев сервера Web повлечет трудозатраты в 56 человекочасов, а финансовые вложения составят 5000 долларов США. Установка межсетевого экрана: трудозатраты в 112 человекочасов и 15 тыс. долларов. Таким образом, общие затраты на внедрение предложенных мер — 168 человекочасов и 15 тыс. долларов. По сравнению с годовым оборотом Internet-магазина в 100 тыс. долларов эти затраты хоть и высоки, но вполне оправданы.
Предыдущая новость:
Мультисервисная сеть с пропиской в Красноярске
Следующая новость:
Укрупнение масштабов