Software & Systems

Процесс предотвращения или снижения критичности грозящих вычислительной системе опасностей состоит из трех этапов:

-    классификация угроз безопасности, грозящих системе;

-    определение методов защиты от опасностей;

-    выбор технологии защиты.

Для классификации угроз безопасности (первый этап) может быть использована классификация, называемая STRIDE, по первым буквам английских названий категорий (см.: М. Ховард, Д. Лебланк. «Защищенный код», 2004).

·     Подмена сетевых объектов (Spoofing identity) – атаки подобного типа позволяют взломщику выдавать себя за другого пользователя или подменять настоящий сервер подложным.

·     Модификация данных (Tampering with data) – атаки этого типа предусматривают злонамеренную порчу данных.

·     Отказ от авторства (Repudiation) – контрагент отказывается от совершенного им действия (или бездействия), пользуясь тем, что у другой стороны нет никакого способа доказать обратное.

·     Разглашение информации (Information disclosure) – подразумевается раскрытие информации лицам, доступ к которой им запрещен.

·     Отказ в обслуживании (Denial of service) – в атаках такого типа взломщик пытается лишить доступа к сервису правомочных пользователей.

·     Повышение привилегий (Elevation of privilege) – в данном случае непривилегированный пользователь получает привилегированный доступ, позволяющий ему взломать или даже уничтожить систему.

Модель STRIDE разработана фирмой «Micro­soft» и успешно применяется для определе- ния опасностей, грозящих разрабатываемым системам.

На втором этапе следует определить методы защиты от угроз безопасности. Для решения данной задачи авторами статьи был проведен анализ атак на объекты вычислительных систем и определены возможные методы защиты. Результаты исследований можно свести к следующим ме- тодам: аутентификация, авторизация, защита от несанкционированного доступа, аудит, фильтрация.

Для выбора одного из предложенных методов желательно выполнить количественную оценку риска опасности для конкретной вычислительной системы. Как правило, применяют следующие методы количественной оценки риска.

1. Способ оценки риска (Risk) – умножить важность (величина потенциального ущерба) уязвимого места на вероятность того, что им воспользуются. Критичность и вероятность оценивают по шкале от 1 до 10: =<Потенциальный ущерб>*<Ве­роятность возникновения>. Чем больше полученное число, тем больше угроза системе. Так, максимально возможная оценка риска (произведение максимальной важности (10) и вероятность возникновения (10)) равна 100.

2. Способ оценки риска – DREAD назван так по первым буквам английских названий описанных далее категорий.

·     Потенциальный ущерб (Damage poten­tial) – мера реального ущерба от успешной атаки. Наивысшая степень опасности (10) означает практически беспрепятственный взлом средств защиты и выполнение практически любых операций.

·     Воспроизводимость (Reproducibility) – мера возможности реализации опасности. Некоторые бреши доступны постоянно (оценка 10), другие – только в зависимости от ситуации, их доступность непредсказуема.

·     Подверженность взлому (Exploitability) – мера усилий и квалификации, необходимых для атаки. Так, если атаку может реализовать неопытный программист на домашнем компьютере – оценка опасности 10. Если же для ее проведения надо потратить 100 000 000 долларов, оценка опаснос- ти – 1. Атака, для которой можно написать алгоритм (а значит, распространить в виде сценария среди любителей), также оценивается в 10 баллов.

·     Круг пользователей, попадающих под удар (Affected users) – доля пользователей, работа которых нарушается из-за успешной атаки. Оценка выполня­ется на основе процентной доли: 100 % всех пользователей соответствует оценка 10, а 10 % – 1 балл.

·     Вероятность обнаружения (Discoverabi­lity) – самая сложная для определения оценка. Как правило, любая опасность поддается реализации, поэтому можно ставить всегда 10 баллов.

Суммарная DREAD-оценка равна арифметическому среднему всех оценок (то есть надо их просуммировать и поделить на 5).

Авторы данной статьи предлагают включить в методику DREAD еще один показатель – затраты всевозможных ресурсов на устранение последствий успешной атаки, – условно названный X (eXpense). Таким образом, для количественной оценки риска используется модель DREADX и суммарная DREADX-оценка, равная сумме всех оценок, деленной на 6.

На третьем этапе производится выбор конкретной технологии защиты. Краткое описание технологий защиты, применяемых только в ОС Windows, приведено в таблице.

Подробное описание приведенных технологий можно найти в специальной литературе (например: Д.М. Ахмад, И. Дубровский, Х. Флинн и др. «Защита от хакеров корпоративных сетей», 2005).