Теоретичні основи захисту

інформації

Лекції 6-7
План лекції
 Поняття загрози інформації
 Загрози порушення конфіденційності
 Загрози порушення цілісності
 Загрози порушення доступності
 Загрози порушення спостережності
 Дестабілізуючі фактори
 Модель загроз для криптографічних
середовищ
 Узагальнений підхід щодо побудови моделі
загроз
Поняття загрози інформації
Послуги безпеки
Загрози невиконання послуг
безпеки (1)
 Загрози порушення конфіденційності
 Загрози при керуванні потоками інформації
 Загрози існування прихованих (безконтрольних) каналів
 Загрози при експорті/імпорті інформації через
незахищене середовище
 Загрози порушення цілісності
 Загрози при керуванні потоками інформації
 Неможливість повернення захищеного об’єкта у вихідний
стан
 Загрози при експорті/імпорті інформації через
незахищене середовище
Загрози невиконання послуг
безпеки (2)
 Загрози порушення доступності чи відмови в
обслуговуванні
 Порушення безпеки при керуванні послугами і ресурсами
користувача
 Порушення стійкості до відмов
 Порушення безпеки у процесі модернізації системи або
гарячої заміни її компонент
 Порушення безпеки під час відновлення після збоїв
 Загрози порушення спостережності або
керованості
 Порушення реєстрації небезпечних дій
 Порушення ідентифікації та автентифікації
 Загрози несанкціонованого використання
інформаційних ресурсів
Загрози порушення
конфіденційності
 Означення. Загроза порушення конфіденційності – це можливість
реалізації певної множини доступів для ознайомлення з
інформацією користувачам і (або) процесам, які не мають на це
відповідних повноважень
 Один з можливих формальних виразів загрози порушення
конфіденційності tc:
t  N 0 , p  Rc , Rc  R  , U i , O  Ot , U i 
p
O * , O  Ot U j , i  j.
 У певний момент часу існує деяка непорожня підмножина видів
доступу p, можливих для певного i-го користувача, до об’єкта, який
створив інший j-ий користувач
 Множина Rc містить доступи, які дозволяють лише ознайомитися з
інформацією – саме вони є каналами витоку
 Приклад реалізації каналу витоку – spyware (атака типу “троянський
кінь”)
 Захист від загроз порушення конфіденційності – послуги
конфіденційності
Загрози порушення
цілісності
 Означення. Загроза порушення цілісності – це можливість
реалізації певної множини доступів для модифікації інформації
користувачам і (або) процесам, які не мають на це відповідних
повноважень
 Принципова відмінність загроз цілісності від загроз
конфіденційності полягає у тому, що для їх реалізації необхідно
здійснити активний вплив на інформацію з боку порушника
 Таким чином, замість каналу витоку зручно ввести поняття каналу дії
на цілісність
 Один з можливих формальних виразів загрози порушення цілісності
t i:
t  N 0 , a  Ri , U i , O  Ot , U i 

a
O * , O  Ot U j , i  j.
 Множина Ri містить доступи, які дозволяють здійснити модифікацію
інформації
 Приклад реалізації каналу дії на цілісність – комп’ютерний вірус або
“троянський кінь”
 Захист від загроз порушення цілісності – послуги цілісності
Загрози порушення
доступності
 Означення. Загроза порушення доступності інформації – це
можливість реалізації певної множини заходів, які не дозволяють
її використовувати за вимогами користувачів і (або) процесів, що
мають на це відповідні повноваження
 Загрози доступності виникають тоді, коли або взагалі немає
доступу до об’єктів або ресурсів ІТС, або коли доступ є, але з
порушенням вимог користувача (час, місце, форма)
 Результатом реалізації загроз доступності є відсутність каналів
доступу, що формально можна представити таким чином:
t  N 0 , a  Ra , U i , O  Ot , U i 

a
O * , O  Ot U j , i  j.
а також
t  N 0 , p  Rc   a  Ri  U i , O  Ot , O  Ot U i .
 Доступність в ІТС забезпечується послугами цілісності
Загрози порушення
спостережності
 Означення. Загроза порушення спостережності – це можливість
реалізації певної множини заходів, які не дозволяють фіксувати
діяльність користувачів і процесів, використання об’єктів, і (або)
однозначно встановлювати ідентифікатори причетних до певних
подій користувачів і процесів
 Дія будь-якої загрози порушення спостережності зводиться до
неможливості її реалізувати, тобто до відсутності каналів доступу,
що формально можна представити таким чином:
t  N 0 , p  Ra  R, U i , O  Ot , U i 
 O * , O  Ot U j , j ,
де Ra – підмножина доступів, що дозволяють спостерігати за
процесами або об’єктами
 Спостережність в ІТС забезпечується послугами спостережності
Дестабілізуючі фактори
 На будь-якому об’єкті будь-якої ІТС можуть виникати обставини,
події, чинники, які перешкоджатимуть реалізації конкретних
захисних механізмів і заходів, створюючи тим самим загрози
інформації
 Вони об’єктивно існують
 Вони не зводяться до загроз (той самий чинник в одному випадку
призводить до загроз, в іншому – ні)
 Їх можна явно описати і класифікувати
 Для кожного такого чинника можна встановити, з якими саме видами
загроз він пов’язаний
 Для кожного такого чинника існує можливість визначити канали витоку
інформації
 Виникає можливість здійснювати конкретні дії щодо протидії загрозам
 Означення. ДФ – це такі явища або події, які можуть з’являтись на
будь-якому етапі життєвого циклу ІТС і наслідком яких можуть бути
загрози інформації і/або нанесення збитку компонентам ІТС
Дестабілізуючі фактори 1
 Кількісна недостатність (Q1)
 Фізична нестача компонентів ІТС для забезпечення
необхідного рівня захищеності
 Якісна недостатність (Q2)
 Недосконалість конструкції або організації компонентів
ІТС, внаслідок чого не забезпечується необхідний рівень
захищеності
 Відмова елементів ІТС (R)
 Порушення працездатності елементів ІТС, яке
призводить до неможливості виконання ними своїх
функцій
 Збій елементів ІТС (T)
 Тимчасове порушення працездатності елементів ІТС, яке
призводить до неправильного виконання ними своїх
функцій у цей момент
Дестабілізуючі фактори 2
 Помилки елементів ІТС (Ee)
 Неправильне (одноразове або систематичне) виконання
елементами ІТС своїх функцій унаслідок специфічного
(постійного або тимчасового їх стану
 Стихійні лиха (D)
 Неконтрольовані явища, що виникають випадково і
призводять до фізичних руйнувань
 Зловмисні дії (V)
 Дії людей, навмисно спрямовані на порушення
захищеності інформації
 Побічні явища (S)
 Явища, які супутні виконанню елементом ІТС своїх
функцій
Джерела виникнення
дестабілізуючих факторів
 Персонал (P)
 Люди, що мають будь-яке відношення до функціонування
ІТС
 Технічні засоби (M)
 Моделі, алгоритми, програми (A)
 Технологія функціонування (F)
 Сукупність засобів, прийомів, правил, заходів і угод, які
використовуються в процесі обробки інформації
 Зовнішнє середовище (E)
 Сукупність елементів, що не входять до складу ІТС, але
можуть впливати на захищеність інформації в ІТС
 Класифікація
дестабілізуючих факторів
Джерела ДФ
Типи ДФ Технічні
Моделі Технологія Зовнішнє
Персонал алгоритми функціону- середо-
засоби
програми вання вище
Кількісна недостатність Q1P Q1M Q1A Q1F —
Якісна недостатність Q2P Q2M Q2A Q2F —
Відмови елементів RP RM RA RF —
Збої елементів TP TM TA TF —
Помилки елементів EeP EeM EeA EeF —
Стихійні лиха DP DM DA DF DE
Зловмисні дії VP — — — VE
Побічні явища SP SM SA SF SE
Модель загроз для
криптографічних середовищ
 Зловмисник може
 Перехопити будь-яке повідомлення
 Є законним користувачем мережі і може входити у контакт з
будь-яким іншим користувачем
 Отримати повідомлення від будь-якого користувача
 Надсилати повідомлення будь-якому користувачу, маскуючись
під іншого користувача
 Зловмисник не може
 Вгадати випадкове число із досить великого ключового
простору
 Відновити відкритий текст за його зашифрованим варіантом і,
навпаки, правильно зашифрувати повідомлення, якщо він не
має вірного таємного ключа
 Знайти таємний ключ, який відповідає заданому відкритому
ключу
 Не має доступу до багатьох закритих зон обчислювального
середовища, наприклад, до пам’яті обчислювального засобу
користувача
Вихідні поняття для
побудови моделі загроз
 Надалі під загрозою будемо розуміти мету порушення
безпеки інформації у разі навмисних дій порушника або
результат несприятливих для безпеки інформації
ненавмисних дій
 Загрози з часом можуть виникати і зникати

Вважаємо, що час є дискретним: tN0, N0={0,1,2,…}.

Позначимо множину загроз у деякий момент часу tN0 через
T(t), тобто Tl(t)T(t), l=1,2,…,L.
 Атакою називатимемо сукупність дій порушника, спрямованих на
реалізацію загрози

Нехай A(t) – множина атак у деякий момент часу tN0, Ai(t)A(t),
i=1,2,…,I.
 Вразливістю називатимемо якісну і (або) кількісну
недостатність компонентів ІТС, що відповідають за захист
інформації

Позначимо множину вразливостей у деякий момент часу tN0
через V(t), Vk(t)V(t), k=1,2,…,K.
Вихідні поняття для
побудови моделі загроз 2
 Дестабілізуючі фактори – явища або події, виникнення
яких на певному етапі життєвого циклу ІТС може призвести
до реалізації загроз

Множину ДФ у деякий момент часу tN0 позначимо через D(t),
Dj(t)D(t), j=1,2,…,J.
 Об’єкт загрози – пасивний об’єкт або об’єкт-процес, на
вихід якого із захищеного стану спрямована загроза
 Суб’єкт загрози – об’єкт-користувач або об’єкт-процес, що
безпосередньо реалізує загрозу
 Множини O(t) об’єктів загроз і S(t) суб’єктів загроз є
підмножинами множини об’єктів ІТС у деякий момент часу
 При цьому виключаються з розгляду джерела загроз (суб’єкти), що
не є об’єктами цієї ІТС
 Доцільно розширити множину суб’єктів загроз за межі ІТС
Приклади класифікацій
розглянутих множин
 Загрози можуть розрізнятися:
 За метою реалізації (порушення конфіденційності,
цілісності, доступності, спостережності)
 За ступенем збитку, який може бути нанесений внаслідок
реалізації загрози
 За типом прояву (збій, відмова, помилка, витік,
модифікація)
 Атаки можна класифікувати за такими ознаками:
 За тривалістю (одноразова або така, що повторюється)
 За місцезнаходженням джерела (локалізована або
розподілена)
 За засобами, що використовуються (з використанням
штатних засобів ІТС, або із залученням допоміжних)
 За принципом реалізації (локальна або віддалена)
 За об’єктом впливу
Приклади класифікацій
розглянутих множин 2
 Уразливості можуть розрізнятися:
 За причиною виникнення (якісна або кількісна
недостатність)
 За ознакою навмисності (випадкова або навмисна)
 За тривалістю існування (тимчасова або систематична)
 За часом виникнення щодо етапу життєвого циклу ІТС
(технологічна, експлуатаційна)
 За характером (програмна, апаратна, програмно-
апаратна, адміністративна, організаційно-правова)
 Дестабілізуючі фактори можуть розрізнятися:
 За природою (об’єктивна, суб’єктивна)
 Суб’єктивні – за ознакою навмисності (випадкові або
навмисні)
 За типом прояву (стихійні лиха, відмова компонентів,
збої устаткування, помилки персоналу)
Схеми взаємодії елементів
множин
 Необхідно визначити можливі послідовності
(схеми) взаємодій елементів множин T(t), A(t), D(t),
V(t), O(t), S(t) tN0.
 Критерії для вибору схеми:
 У будь-якій схемі не обов’язково повинні брати участь
елементи усіх без винятку множин
 Можуть використовуватись лише деякі елементи з деяких
множин
 Порядок взаємодії елементів наведених множин не
встановлюється
 Можуть бути схеми з довільним порядком проходження
елементів
 У будь-якій схемі можуть використовуватися не один, а
декілька елементів будь-якої множини
 Елементи деяких множин можуть брати участь у схемах
повторно
Приклади схем
1. Ai(t)  Dj(t)  Vk(t)  Tl(t)
 Атака порушника, використовуючи певний ДФ, активізувала
певну вразливість, що призвело до реалізації загрози
 Дії порушника спрямовані на виведення з ладу системи
енергопостачання (створення ДФ)
 Уразливість – відсутність або вичерпання ресурсу ДБЖ
 Результат – втрата доступності, а можливо і цілісності
2. Ai(t)  Vk(t)  Dj(t)  Tl(t)
 Порушник атакує, використовуючи існуючу вразливість і ДФ
для реалізації загрози
 Атака – дії порушника щодо підключення до мережі передачі
даних і моніторинг трафіка
 Вразливість – недосконалість протоколів передачі даних і
відсутність системи запобігання вторгненням
 ДФ – передача по мережі атрибутів доступу у відкритому вигляді
 Результат - порушення конфіденційності чутливої інформації
Приклади схем (2)
3. Ai(t)  Vk(t)  Tl(t)
 DoS-атака порушника на публічний веб-ресурс
 Результат – втрата доступності
4. Ai(t)  Dj(t)  Tl(t)
 Активізація ДФ без видимих вразливостей
 Через помилку користувача (введення пароля у поле
логіна) порушник дізнався атрибути доступу до системи
 Результат - порушення конфіденційності чутливої
інформації
5. Ai(t)  Tl(t)
 Атака без ДФ і вразливостей
 Адміністратор реалізував загрозу доступу до інформації
 Захист – лише організаційні заходи
Приклади схем (3)
6. Dj(t)  Vk(t)  Tl(t)
 Реалізація загрози під впливом ДФ, але без порушника
 Стихійне лихо
 Уразливість – відсутність або неефективність системи
резервного копіювання
 Результат – порушення доступності і (ймовірно) цілісності
7. Dj(t)  Tl(t)
 ДФ призводить до реалізації загрози без видимих
(врахованих) уразливостей
 Збій (“зависання”) системного або прикладного ПЗ
 Результат - порушення доступності інформації

 А тепер пригадуємо формалізм об’єктно-суб’єктної моделі

ІТС
Sm(t)  Ai(t)  Vk(t)  Dj(t)  Tl(t)  On(t)
Побудова моделі загроз
 Етапи процесу побудови моделі загроз
1. Визначення переліку ДФ, які можуть виникати протягом
життєвого циклу ІТС
2. Визначення джерел ДФ і можливих ініціаторів атак
3. Визначення та аналіз можливих уразливостей системи
захисту ІТС
4. Формування переліку всіх можливих загроз інформації в
ІТС, суб’єктів і об’єктів загроз
5. Визначення відносин між множинами ДФ, уразливостей і
загроз
 Практичне ускладнення: формальний опис множин
може бути неоднозначним, оскільки іноді важко
визначити чіткі грані між поняттями ДФ,
уразливості і загрози
Приклад узагальненої моделі
загроз в ІТС
Назва
№ Суб’єкт Об’єкт Можлива Уразли-
і тип ДФ
п/п загрози загрози атака вість
загрози
1 Tl(t) Sm(t) On(t) Ai(t) Dj(t) Vk(t)
2 … … … … … …