7.

КЛАСИФІКАЦІЯ ЗАГРОЗ ВРАЗЛИВОСТЕЙ І РІВНІВ ЗАХИСТУ

(ЗАХИЩЕНОСТІ)
Розглянемо класифікацію загроз вразливостей з метою визначення
об'єктів моделювання і об'єктів ЗІ, виходячи з того, що завдання СЗІ в
загальному випадку полягає у підвищенні надійності безпеки ІС за допомогою
резервування погрозами вразливостей СЗІ загроз вразливостей ІС. Дана
класифікація необхідна для того щоб визначитися, які види вразливостей слід
нейтралізувати за допомогою СЗІ (вирішувати відповідне завдання
резервування, в термінології надійності безпеки), а які використовувати при
моделюванні надійнисних параметрів і характеристик (далі - параметрів і
характеристик) безпеки. Також введемо класифікацію рівнів захищеності ІС і
захисту СЗІ, необхідну для розуміння того, які завдання захисту повинні
вирішуватися при проектуванні систем захисту ІС різних рівнів захищеності.
Зауваження. Природно, що в рамках викладу основ теорії захисту
інформації ми не будемо розглядати уразливості, викликані некоректністю
настройки і експлуатації СЗІ.
• Під загрозою технологічних вразливостей будемо розуміти
технологічний недолік побудови ІС і (або) СЗІ, що складається у відсутності
необхідних в достатньому обсязі коректно реалізованих функцій ЗІ, що не
дозволяють забезпечити необхідну розмежувальну політику доступу.
Зауваження. Під захистом інформації тут і далі будемо розуміти її захист
від несанкціонованого доступу.
Нехай ІС не має подібних технологічних недоліків - набір засобів захисту
в ній достатній, а реалізовані вони коректно. У цьому випадку потенційний
порушник вже може скористатися погрозами, пов'язаними з помилками
реалізації, в тому числі з помилками програмування системних і програмних
засобів.
У порядку ілюстрації розглянемо деякі приклади актуальних загроз атак,
що використовують відповідні загрози вразливостей. Наприклад, атака на
підвищення привілеїв пов'язана з можливістю виконання на комп'ютері
створеного інтерактивним користувачем файлу з системними правами.
Природно, що в штатному режимі функціонування (без виникнення відповідних
умов) ця штатна можливість (можливість виконання системним користувачем
створених інтерактивними користувачами файлів) не може розглядатися як
технологічна вразливість або будь-який недолік реалізації захисту. Однак при
виявленні (за умови) відповідних помилок програмування в системних засобах
ця можливість уже може розглядатися в якості загрози технологічної
вразливості.
Інший приклад. У сучасних системах відсутня можливість завдання
різних прав доступу до об'єктів для різних процесів, що запускаються з одного і
того ж облікового запису, - всі ці процеси успадковують права доступу до
об'єктів, задані для цього облікового запису. У штатному режимі
функціонування (без виникнення відповідних умов) ця можливість не може
розглядатися в якості технологічної вразливості або помилки - недостатності
або некоректності реалізації функцій захисту. Однак при виявленні відповідних
помилок програмування (в першу чергу в додатках) ця можливість уже може
розглядатися в якості відповідної загрози технологічної вразливості. Те ж
можна сказати, наприклад, і про проблему наділення додатків шкідливими
властивостями в результаті прочитання ними шкідливих командних файлів.
Подібних прикладів можна навести досить багато. Загальним для них є те,
що якась властивість системи або додатки, що не є технологічною вразливістю
при штатному функціонуванні системи і додатків, стає подібною уразливістю
при виникненні деяких умов, в тому числі умови виявлення відповідних
помилок програмування в цих засобах. Вкрай важливим при цьому є те, що
подібні технологічні уразливості в даних умовах вже можуть розглядатися в
якості відповідних недоліків ЗІ.
З урахуванням сказаного введемо наступні визначення.
• Під загрозою безумовних технологічних вразливостей будемо
розуміти загрозу технологічних вразливостей, присутню в ІС і (або) в СЗІ без
виникнення будь-яких додаткових умов і факторів.
З метою запобігання виникнення загроз безумовних технологічних
вразливостей при побудові СЗІ повинні бути сформульовані і виконуватися
вимоги до коректності реалізації методів ЗІ (вимоги до побудови безпечної
системи, про які ми поговоримо далі).
Таким чином, загрози безумовних технологічних вразливостей, якщо вони
не нейтралізовані СЗІ, постійно присутні в системі, створюючи реальну загрозу
атаки.
• Під загрозою умовних технологічних вразливостей будемо розуміти
загрозу технологічних вразливостей, що виникає в ІС і (або) в СЗІ при деяких
додаткових умовах, без яких відповідна штатна можливість системи не несе в
собі загрози безпеки.
Загроза даних вразливостей пов'язана з можливістю наділення
відповідних процесів шкідливими властивостями.
• Під загрозою вразливостей реалізації будемо розуміти помилки
реалізації використовуваних в ІС і (або) в СЗІ коштів або деякі штатні
можливості системних засобів і (або) додатків, що створюють умови
виникнення в системі реальної загрози умовних технологічних вразливостей.
Дане визначення загроз вразливостей реалізації також дозволяє
відповідним чином їх класифікувати.
• Під загрозою безумовних вразливостей реалізації будемо розуміти
штатні можливості системних засобів і (або) додатків, що створюють умови
виникнення в системі реальної загрози умовних технологічних вразливостей.
Дані уразливості реалізації можна віднести до помилок творців даних
коштів, так як в даному випадку мова йде про усвідомлену реалізації
розробником відповідних функцій, які за певних умов можуть експлуатуватися
потенційним порушником для реалізації атак.
• Під загрозою умовних вразливостей реалізації будемо розуміти
помилки реалізації (помилки програмування) використовуються в ІС і (або) в
СЗІ засобів, що створюють умови виникнення в системі реальної загрози
умовних технологічних вразливостей.
Таким чином, уразливості реалізації припускають можливість
використання потенційним порушником виникає при цьому в системі реальної
загрози умовної технологічної вразливості.
Загрози умовних вразливостей реалізації відрізняються від всіх інших
тим, що такі уразливості виникають і усуваються в ІС і в СЗІ.
• Під виникненням умовної уразливості реалізації будемо розуміти
виявлення в системі відповідної помилки програмування, під усуненням -
виправлення цієї помилки.
Принципова відмінність реалізації умовної технологічної вразливості від
безумовної полягає в необхідності створення потенційним порушником
«інструменту» для реалізації атаки. Подібним інструментом в ІС є процес, який
для реалізації атаки на умовну технологічну уразливість потрібно тим або
іншим способом наділити необхідними для цього шкідливими властивостями
(використовуючи безумовну або умовну вразливість реалізації).
Зауваження. Під процесом тут і далі будемо розуміти виконувану
програму.
Виходячи з розглянутої класифікації загроз вразливостей, можна ввести
класифікацію рівнів захищеності ІС і, відповідно, рівнів захисту СЗІ.
• Під повністю незахищеною будемо розуміти ІС, яка характеризується
наявністю в ній принаймні однієї безумовної технологічної уразливості, що
дозволяє реалізувати НСД до оброблюваної в ній інформації без будь-яких
додаткових умов.
Припускаємо, що реалізація успішної атаки на повністю незахищену ІС не
вимагає використання будь-якого додаткового інструменту потенційним
порушником (наявності в системі вразливостей реалізації).
• Під ІС базового рівня захищеності будемо розуміти систему, яка
характеризується відсутністю в ній безумовних технологічних вразливостей.
 Припускаємо, що реалізація успішної атаки на ІС базового рівня захисту
можлива тільки з використанням уразливості реалізації, відповідно, тільки при
використанні відповідних умовних технологічних вразливостей.
• Будемо говорити, що система має підвищений рівень захищеності при
відсутності в ній як безумовних, так і умовних технологічних вразливостей.
Для такої системи припускаємо, що реалізація успішної атаки на неї
неможлива з використанням як безумовних, так і умовних технологічних
вразливостей, незважаючи на наявність в системі вразливостей реалізації.
Зауваження. Природно, кажучи про відсутність безумовних і умовних
технологічних вразливостей в СЗІ і визначаючи її рівень захищеності, можна
враховувати наявність в системі лише відомих на момент проектування системи
захисту технологічних вразливостей. Тому правильніше буде тут говорити про
умовну відсутность (в сенсі наявності інформації про них) технологічних
вразливостей.
Відповідним чином можуть бути визначені і рівні захисту СЗІ,
використання яких забезпечує відповідні рівні захищеності ІС.
 • Під системою захисту базового рівня захисту будемо розуміти
систему, що реалізовує захист від атак на безумовні технологічні
уразливості.
 • Під системою захисту підвищеного рівня захисту будемо розуміти
систему, що реалізовує захист від атак, як на безумовні, так і на умовні
технологічні уразливості.
Якщо ж говорити про побудову ефективної СЗІ в сучасних умовах, слід
мати на увазі побудова СЗІ підвищеного рівня захисту.

ОБ'ЄКТИ ЗАХИСТУ І ОБ'ЄКТИ МОДЕЛЮВАННЯ

Виходячи з наведеної класифікації загроз вразливостей, в загальному
випадку можна виділити наступні їх види - загрози безумовних і умовних
технологічних вразливостей, загрози безумовних і умовних вразливостей
реалізації.
Природно, що на виникнення та усунення в системі загроз умовних
вразливостей реалізації застосування СЗІ жодним чином вплинути не може -
подібні уразливості (мова йде про помилки програмування) повинні
усуватися розробниками відповідних програмних засобів.
Зовсім інша справа - загрози технологічних вразливостей, як
безумовних, так і умовних.
Що стосується даним загрозам вразливостей СЗІ повинна вирішуватися
завдання їх нейтралізації в ЗСИ.
 • Під нейтралізацією загрози технологічних вразливостей в
загальному випадку будемо розуміти реалізацію технічних заходів,
спрямованих на усунення відповідних технологічних недоліків побудови
системи, що дозволяють здійснити НСД до оброблюваної інформації.
Відзначимо, що в рамках даної інтерпретації загрози атаки
нейтралізація системою захисту загрози технологічних вразливостей ІС
полягає в зниженні ймовірності виникнення реальної загрози атаки,
створюваної даної загрозою вразливостей за допомогою її резервування
загрозою (погрозами) вразливостей СЗІ. В результаті цього вводиться
додаткова умова - для виникнення реальної загрози атаки в цьому випадку
необхідно виникнення в системі відповідних уразливостей реалізації СЗІ.
Зауваження. Стосовно до СЗІ, зі зрозумілих причин, можна говорити
про відсутність в ній загроз безумовних вразливостей реалізації.
Нейтралізація ж СЗІ відповідної загрози безумовних технологічних
вразливостей ІС полягає в перекладі даної загрози безумовних технологічних
вразливостей ІС в категорію умовних (загроза атаки в цьому випадку вже
характеризується параметрами і характеристиками безпеки СЗІ), оскільки
вводиться додаткова умова виникнення реальної загрози атаки - виникнення
відповідних уразливостей реалізації СЗІ .
Дещо в іншому полягає завдання захисту стосовно погроз безумовних
вразливостей реалізації, які завжди реальні. У цьому випадку мова йде про
захист від наділення шкідливими властивостями додатки, що
характеризується наявністю реальної загрози безумовних вразливостей
реалізації. Таким чином, завдання нейтралізації загроз вразливостей при
цьому не вирішується, необхідний ефект досягається зовсім іншим способом.
Ці питання ми далі розглянемо окремо, в загальному ж випадку будемо
говорити про рішення СЗІ завдання нейтралізації загроз безумовних і
умовних технологічних вразливостей.
• Під надійнісними параметрами загроз вразливостей (загроз умовних
вразливостей реалізації) будемо розуміти інтенсивність виникнення
вразливостей X і інтенсивність усунення вразливостей р.
Зауваження. Надійнісні параметри загроз вразливостей повинні
розглядатися в якості параметрів моделі при математичному моделюванні
надійнмснмх параметрів і характеристик безпеки ІС.
Таким чином, завдання математичного моделювання загроз
вразливостей полягає в моделюванні загроз умовних вразливостей реалізації,
математичне ж моделювання загроз атак передбачає розгляд при
моделюванні загрози атаки як сукупності (послідовність використання при
реалізації атаки, як зазначали раніше, тут не важлива) створюючих її загроз
умовних вразливостей реалізації .
У разі реалізації ЗІ загроза атаки на СЗІ при моделюванні
характеризується сукупністю створюють її загроз вразливостей реалізації вже
СЗІ, а при моделюванні загрози атаки на ЗІС - сукупністю створюють її
загроз умовних вразливостей реалізації і ІС, і загроз вразливостей реалізації
СЗІ (в даному випадку загрози умовних вразливостей реалізації І С
резервуються погрозами вразливостей реалізації СЗІ).
Зауваження. При побудові ІС базового рівня захищеності в рамках
вирішення завдань математичного моделювання загроз безпеці повинні
розглядатися загрози вразливостей реалізації виключно СЗІ, які
використовуються для нейтралізації загроз безумовних технологічних
вразливостей ІС.
З урахуванням сказаного можемо таким чином визначити завдання
моделювання надійних параметрів і характеристик безпеки інформації.
Під моделюванням надійнисних параметрів і характеристик безпеки
будемо розуміти моделювання процесу виникнення і усунення відмов
безпеки, що виникають в результаті виникнення умовних вразливостей
реалізації, що дозволяють використовувати присутні в ІС загрози умовних
технологічних вразливостей для реалізації відповідних атак.