Информационная безопасность
       

Анализ стойкости функций безопасности, как пример выполнения количественных оценок


В ОК и ОМО применение количественных показателей предусматривается при анализе стойкости функций безопасности ОО, реализованных вероятностными и/или перестановочными механизмами.

В процессе анализа оценщик определяет минимальный потенциал нападения, требуемый нарушителю, чтобы осуществить нападение, и приходит к заключению относительно возможностей ОО противостоять нападению. В Таб. 1 демонстрируются и далее описываются взаимосвязи между анализом СФБ и потенциалом нападения.

Таблица 1. Стойкость функции безопасности и потенциал нападения

>

Уровень СФБ

Адекватная защита от нарушителя с потенциалом нападения:

Недостаточная защита от нарушителя с потенциалом нападения:

высокая СФБ

высокий

Не применимо — успешное нападение за пределами практически возможного

средняя СФБ

умеренный

высокий

базовая СФБ

низкий

умеренный

Анализ стойкости функции безопасности ОО выполняется только для функций безопасности, реализуемых вероятностными или перестановочными механизмами, за исключением тех из них, которые основаны на криптографии. Более того, при анализе предполагается, что вероятностный или перестановочный механизм безопасности реализован безупречно и что функция безопасности используется при нападении с учетом ограничений ее проекта и реализации. Как показано в Таб. 1, уровень СФБ также отражает нападение, описанное в терминах потенциала нападения, для защиты от которого спроектирована функция безопасности.

Потенциал нападения является функцией от мотивации, компетентности и ресурсов нарушителя.

При анализе стойкости функции безопасности предполагается наличие уязвимости в механизмах реализации этой функции безопасности ОО. Чтобы нарушитель мог использовать уязвимость, ему необходимо ее сначала идентифицировать, а затем только использовать. Это разделение может показаться тривиальным, но является существенным.

В ходе анализа потенциала нападения, требуемого для использования уязвимости, необходимо учитывать следующие факторы:

  1. Идентификация:
    1. время, затрачиваемое на идентификацию уязвимости;
    2. техническая компетентность специалиста;
    3. знание проекта и функционирования ОО;
    4. доступ к ОО;
    5. аппаратные средства/программное обеспечение ИТ или другое оборудование, требуемое для анализа.
  2. Использование:
    1. время, затрачиваемое на использование уязвимости;
    2. техническая компетентность специалиста;
    3. знание проекта и функционирования ОО;
    4. доступ к ОО;
    5. аппаратные средства/программное обеспечение ИТ или другое оборудование, требуемое для использования уязвимости.




Фактор "Время" — это время, обычно затрачиваемое нарушителем на непрерывной основе, чтобы идентифицировать или использовать уязвимость. Данный фактор может иметь следующие значения: "за минуты" (при нападении идентификация и использование уязвимости занимает менее получаса); "за часы" (менее чем за день); "за дни" (менее, чем за месяц) и "за месяцы" (нападение требует, по меньшей мере, месяца).

Фактор "Компетентность специалиста" относится к уровню общих знаний прикладной области или типа продукта (например, операционной системы, протоколов Интернета). Идентифицированными уровнями компетентности являются следующие:

  1. "Эксперты" хорошо знакомы с основными алгоритмами, протоколами, аппаратными средствами, структурами и т.п., реализованными в типе продукта или системы, а также с применяемыми принципами и концепциями безопасности;
  2. "Профессионалы" хорошо осведомлены в том, что касается режима безопасности продукта или системы данного типа;
  3. "Непрофессионалы" слабо осведомлены, по сравнению с экспертами или профессионалами, и не обладают специфической компетентностью.


Фактор "Знание ОО" указывает на определенный уровень знаний об ОО. Оно отличается от общей компетентности, хотя и связано с ней. Идентифицированными уровнями знания ОО являются следующие:

  1. "Отсутствие информации" об ОО, кроме его назначения;
  2. "Общедоступная информация" об ОО (например, полученная из руководства пользователя);
  3. "Чувствительная информация" об ОО (например, сведения о внутреннем содержании проекта).


"Доступ к ОО" также является важным фактором и имеет отношение к фактору "Время". Идентификация или использование уязвимости могут требовать продолжительного доступа к ОО, что может увеличить вероятность обнаружения. Некоторые нападения могут требовать значительных автономных усилий и лишь краткого доступа к ОО для использования уязвимости. Доступ также может быть необходим непрерывный или в виде нескольких сеансов.



Фактор "Аппаратные средства/ программное обеспечение ИТ или другое оборудование" указывает на оборудование, которое требуется для идентификации или использования уязвимости.

В качестве значений данного фактора рассматриваются следующие виды оборудования:

  1. стандартное оборудование — это оборудование либо для идентификации уязвимости, либо для нападения, которое легко доступно нарушителю. Это оборудование может быть частью самого ОО (например, отладчик в операционной системе) или может быть легко получено (например, программное обеспечение, загружаемое из Интернета);
  2. специализированное оборудование не является общедоступным нарушителю, но может быть приобретено нарушителем без значительных усилий. Оно может включать покупку небольшого количества оборудования (например, анализатора протоколов) или разработку более сложных сценариев и программ нападения;
  3. заказное оборудование — это оборудование, которое либо может потребовать его специальной разработки (например, очень сложное программное обеспечение), либо настолько специализированное, что его распространение контролируется и, возможно, даже ограничено, либо очень дорогое оборудование. Использование сотен персональных компьютеров, связанных через Интернет, как правило, относится к этой категории.


В Таб. 2 значениям (диапазонам значений) рассмотренных факторов поставлены в соответствие числовые значения по двум аспектам: идентификации уязвимости и использованию уязвимости.

Таблица 2. Вычисление потенциала нападения


>

Название фактора

Диапазон

Значение при идентификации уязвимости

Значение при использовании уязвимости



Затрачиваемое время



< 0.5 часа



0



0



>		< 1 день



2



3



>		< 1 месяц



3



5



>		> 1 месяц



5



8



>		Не практично



*



*



Компетентность



Непрофессионал



0



0



>		Профессионал



2



2



>		Эксперт



5



4



Знание ОО



Отсутствие информации



0



0



>		Общедоступная информация



2



2



>		Чувствительная информация



5



4



Доступ к ОО



< 0.5 часа или не обнаруживаемый доступ





0



0



>		< 1 день



2



4



>		< 1 месяц



3



6



>		> 1 месяц



4



9



>		Не практично



*



*



Оборудование



Отсутствует



0



0



>		Стандартное



1



2



>		Специализированное



3



4



>		Заказное



5



6



* Означает, что нападение невозможно в пределах тех временных рамок, которые были бы приемлемы для нарушителя. Любое значение "*" указывает на противостояние нарушителю с высоким потенциалом нападения.



При определении потенциала нападения для данной уязвимости из каждого столбца (столбцы 2 и 3 Таб. 2) для каждого фактора следует выбрать определенное значение (10 значений). При выборе значений должна учитываться предопределенная среда ОО. Выбранные 10 значений суммируются, давая итоговое значение. Это значение затем сверяется с Таб. 3 для определения рейтинга уязвимости и соответственно по Таб. 1 — уровня СФБ. Полученный уровень стойкости функции безопасности говорит о том, нарушителю с каким потенциалом противостоит ОО.

Таблица 3. Рейтинг уязвимостей


>

Диапазон значений

ОО противостоит нарушителю с потенциалом нападения:



< 10



Нет рейтинга



10-17



Низкий



18-24



Умеренный



> 25



Высокий



Когда значение фактора оказывается близким к границе диапазона, то оценщику следует подумать об использовании значения, усредняющего табличные. Например, если для использования уязвимости требуется доступ к ОО в течение одного часа или если доступ обнаруживается очень быстро, то для этого фактора может быть выбрано значение между 0 и 4.

Для конкретной уязвимости может возникнуть необходимость сделать несколько проходов (Таб. 2) для различных сценариев нападения (например, попеременно использовать разные значения компетентности в сочетании с определенными значениями факторов времени или оборудования). При этом ориентироваться нужно на наименьшее значение, полученное для этих проходов.

В случае уязвимости, которая уже идентифицирована и информация о которой общедоступна, значения "при идентификации уязвимости" нарушителем (столбец 3 Таб. 2) следует выбирать, исходя из раскрытия этой уязвимости в общедоступных источниках, а не из начальной ее идентификации нарушителем.


Содержание раздела