ISSN 0236-235X (P)
ISSN 2311-2735 (E)
1

16 Марта 2024

Построение модели угроз безопасности информации в автоматизированной системе управления критически важными объектами на основе сценариев действий нарушителя

DOI:10.15827/0236-235X.115.042-050
Дата подачи статьи: 16.03.2016
УДК: 004.056

Дроботун Е.Б. (drobotun@xakep.ru) - Военная академия воздушно-космической обороны им. Маршала Советского Союза Г.К. Жукова (докторант), Тверь, Россия, кандидат технических наук, Цветков О.В. (drobotun@xakep.ru) - Военная академия воздушно-космической обороны им. Маршала Советского Союза Г.К. Жукова (начальник службы защиты государственной тайны ), Тверь, Россия
Ключевые слова: критическая информационная система, угроза безопасности информации, нарушитель безопасности информации, модель угроз, модель нарушителя
Keywords: critical information system, nformation security threat, security information violator, threat model, violator’s model


     

Одной из основных задач обеспечения безопасности информации в АСУ критически важными объектами (КВО) является определение перечня угроз безопасности информации с оценкой рисков воздействия актуальных угроз на защищаемую АСУ КВО. Решение данных задач позволяет определить требования к системе защиты АСУ КВО, сформировать перечень защитных мер и в итоге определить оптимальную структуру системы защиты АСУ КВО от различного рода информационно-технических воздействий.

Согласно ГОСТ Р 50922-2006, под угрозой безопасности информации понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

Поскольку при обеспечении безопасности АСУ КВО, помимо конфиденциальности, целостности и доступности информации, необходимо, в первую очередь, обеспечить безопасность производственного или технологического процесса, реализуемого АСУ КВО [1], при определении угроз безопасности информации первоочередное внимание необ- ходимо уделять оценке угроз, связанных с целе- направленными воздействиями на АСУ КВО, реализуемыми посредством программных (программно-технических) средств и предпринимаемыми в целях нарушения или прекращения их функциони- рования (компьютерные атаки).

Процесс оценки угроз безопасности информации и формирования перечня угроз, актуальных для защищаемой АСУ КВО, называется моделированием угроз безопасности информации, а результатом этого процесса является модель угроз, которая представляет собой физическое, математическое или описательное представление свойств или характеристик угроз безопасности информации.

Целью моделирования угроз безопасности информации является определение системы конкретных требований к защите информации в АСУ КВО, обеспечивающих ее безопасное функционирование, и создание на основе этих требований адекватной системы защиты информации в АСУ КВО (рис. 1).

Исходные данные для моделирования угроз безопасности информации в АСУ КВО: модель нарушителя безопасности информации, информация об АСУ КВО, БД угроз безопасности информации и уязвимостей компонентов информационно-вычислительных систем (в том числе и АСУ КВО).

Модель нарушителя безопасности информации. В качестве нарушителей информационной безопасности АСУ КВО могут выступать лица

-     осуществляющие преднамеренные действия с целью доступа к информации (воздействия на ин- формацию), содержащейся в АСУ КВО, или нару- шения функционирования АСУ КВО или обслужи- вающей ее инфраструктуры (преднамеренные угрозы безопасности информации);

-     имеющие доступ к АСУ КВО, непреднамеренные действия которых могут привести к нарушению безопасности информации (непреднамеренные угрозы безопасности информации).

Целью моделирования нарушителя безопасности информации является формирование предположений о потенциальных возможностях реальных нарушителей при реализации ими угроз безопасности информации в АСУ КВО.

Результатом моделирования нарушителя безо­пасности информации является его модель, которая входит в модель угроз безопасности АСУ КВО в качестве одной из составных частей (рис. 2) и содержит:

-     уровень физического доступа (PhL) к информации и (или) к компонентам АСУ КВО;

-     уровень логического доступа (LogL) к информации и (или) к компонентам АСУ КВО;

-     уровень компетенции (C) нарушителя безо­пасности информации;

-     уровень оснащенности (A) нарушителя безо­пасности информации;

-     мотивацию (M) нарушителя безопасности информации.

Общая запись модели нарушителя производится в виде строки PhL:[x]/LogL:[x]/C:[x]/A:[x]/ /M:[x], где вместо [x] записывается значение соответствующего параметра.

Уровень физического доступа определяется исходя из наличия возможностей физического доступа к информации и (или) компонентам АСУ КВО. С учетом этого можно выделить два уровня нарушителей безопасности информации в АСУ КВО [2–4]:

-     внутренние нарушители (In) – лица, имеющие возможность постоянного или разового доступа к информационной системе или ее отдельным компонентам;

-     внешние нарушители (Out) – лица, не имеющие возможности доступа к информационной системе или к ее отдельным компонентам и реализующие угрозы безопасности информации дистанционно (удаленно), находясь вне информационной системы.

Уровень логического доступа определяется с учетом прав доступа субъектов (физических лиц) к объектам АСУ КВО [2, 4]. Исходя из этого можно выделить следующие уровни логического доступа:

-     лица, не имеющие доступа к объектам АСУ КВО (L0);

-     зарегистрированные пользователи АСУ КВО, имеющие ограниченный доступ к объектам АСУ КВО с автоматизированного рабочего места (L1);

-     зарегистрированные пользователи АСУ КВО, имеющие доступ к объектам АСУ КВО с полномочиями системного администратора АСУ КВО (L2);

-     зарегистрированные пользователи АСУ КВО, имеющие доступ к объектам АСУ КВО с полномочиями администратора безопасности АСУ КВО (L3).

Уровень компетенции нарушителя безопасности информации определяется исходя из предположений об общих технических знаниях нарушителя и его осведомленности об особенностях построения и эксплуатации атакуемой АСУ КВО, а также из специфики ее функционирования.

Общие технические знания нарушителя (CIQ) (по ГОСТ Р ИСО/МЭК 18045-2008) оцениваются тремя уровнями:

-     высокий – нарушитель имеет высокую осведомленность о способах и средствах защиты информации, применяемых в различных информационных системах, а также обладает знаниями о методах выявления уязвимостей и реализации угроз безопасности в различных автоматизированных системах;

-     средний – нарушитель имеет осведомленность о способах и средствах защиты информации, применяемых в различных автоматизированных системах;

-     низкий – нарушитель имеет слабую осведомленность о способах и средствах защиты информации, применяемых в различных информационных системах, и не обладает знаниями о реализации угроз безопасности.

Каждому из вышеуказанных уровней общих технических знаний присваивается численное значение. Так, численные значения характеристик уровней общих технических знаний нарушителя безопасности информации АСУ КВО следующие: высокий уровень – 5, средний – 2, низкий – 0.

Осведомленность нарушителя об особенностях построения и эксплуатации атакуемой АСУ КВО (CSYS) также оценивается тремя уровнями:

-     высокий – нарушитель имеет возможность получения доступа к сведениям о структуре и функциональных связях в АСУ КВО, системе защиты информации в АСУ КВО, а также к сведениям из проектной, конструкторской и эксплуатационной документации;

-     средний – нарушитель имеет возможность получения доступа к сведениям о целях и задачах, решаемых АСУ КВО, а также к сведениям из эксплуатационной документации;

-     низкий – нарушитель не имеет возможности получения доступа к сведениям о структуре и функциональных связях в АСУ КВО, системе защиты информации в АСУ КВО, а также к сведениям из проектной, конструкторской и эксплуатационной документации.

Каждому из вышеуказанных уровней осведомленности нарушителя об особенностях реализации атакуемой АСУ КВО присваивается численное значение. Так, численные значения характеристик уровней осведомленности нарушителя об особенностях реализации атакуемой АСУ КВО следующие: высокий уровень – 5, средний – 2, низкий – 0.

Общий уровень компетенции (С) нарушителя безопасности информации в АСУ КВО оценивается исходя из суммы численных значений CIQ и CSYS следующим образом:

Мотивация – действенный фактор потенциала нарушителя, который может быть использован для описания различных аспектов, относящихся к нарушителю, а также к ресурсам АСУ КВО, интересующим нарушителя. Мотивация может подразумевать определенную вероятность нападения: из угрозы, оцененной как высокомотивированная, можно предположить, что атака на АСУ КВО неизбежна или что вследствие немотивированной угрозы нападения не ожидается.

В целом мотивация нарушителя безопасности информации в АСУ КВО может быть оценена тремя уровнями:

-     высокая (H) – имеются сведения об устремлениях нарушителей к конкретной информаци- онной системе, отдельным ее компонентам или имеются сведения, полученные от органов исполнительной власти, о намерениях нарушителя осуществить неправомерные действия в отношении АСУ КВО или информации, содержащейся в ней;

-     повышенная (M) – нарушитель действует из каких-либо личных побуждений (любопытство, желание самоутвердиться и т.п.);

-     отсутствует (N) – нарушения безопасности информации происходят вследствие непреднамеренных, неосторожных (ошибочных) или неквалифицированных действий.

Оснащенность нарушителя характеризует возможность его доступа к программным и (или) программно-аппаратным средствам, которыми он может воспользоваться при реализации угроз безо­пасности в АСУ КВО:

-     стандартное (штатное) оборудование (St) – программные и (или) программно-аппаратные средства, легкодоступные для нарушителя (эти средства могут входить в состав самой АСУ КВО, а также могут быть легко получены, как, например, известные и доступные программные средства, которые можно загрузить из Интернета);

-     специализированное оборудование (Sp) – программные и (или) программно-аппаратные средства, ограниченно доступные нарушителю, но которые он может приобрести без значительных усилий;

-     заказное оборудование (Ord) – программные и (или) программно-аппаратные средства, не доступные широкому кругу, поскольку либо может потребоваться их специальная разработка, либо распространение данных средств является контролируемым и ограниченным, либо данные средства имеют очень высокую стоимость;

-     отсутствует (N) – доступ к каким-либо программным и (или) программно-аппаратным сред- ствам у нарушителя отсутствует.

Возможности нарушителя по логическому доступу к компонентам системы, уровень его компетенции и оснащенности, а также его мотивация определяют базовый потенциал (PtBASE), которым обладает нарушитель безопасности информации в АСУ КВО и который используется на этапе мо- делирования угроз при оценке вероятностей их реализации. Оценка предварительного базового потенциала нарушителя производится на основе числовых значений уровней компетенции и оснащенности в соответствии с таблицей 1.

Таблица 1

Численные значения характеристик уровней компетенции нарушителя и его оснащенности

Table 1

Numerical values of violator’s competence level characteristics and his equipment status

Уровень

Показатель возможностей нарушителя

Численное значение характеристики

Уровень компетенции (C)

низкий

0

средний

2

высокий

5

Уровень оснащенности (A)

отсутствует

0

стандартное оборудование

1

специализированное оборудование

3

заказное оборудование

5

Полученные из таблицы 1 значения суммируются, и определяется предварительный базовый потенциал нарушителя:

Далее в соответствии с таблицей 2 определяется базовый потенциал нарушителя с учетом уровней его логического доступа к объектам АСУ КВО.

В случае высокой мотивации потенциал нарушителя переходит на следующий уровень (от низкого к среднему или от среднего к высокому), в случае отсутствия мотивации потенциал от среднего или высокого переходит к низкому. В случае отсутствия у нарушителя возможностей для реализации угроз (базовый потенциал имеет уровень «отсутствует») независимо от мотивации нарушителя базовый потенциал остается на уровне «отсутствует».

Примеры описания различных категорий нарушителей в соответствии с предлагаемой моделью нарушителя безопасности информации в АСУ КВО приведены в таблице 3.

Информация об АСУ КВО. При моделировании угроз безопасности информации в АСУ КВО необходимо учитывать ее структуру, включая наличие уровней (сегментов), решаемые задачи, состав, физические, логические, функциональные и технологические взаимосвязи, взаимодействие с другими автоматизированными (информационными) системами и информационно-телекоммуникационными сетями, режимы функционирования АСУ КВО, а также критичность ресурсов (информации и компонентов АСУ КВО), подлежащих защите.

В АСУ КВО объектами защиты (см. http://www.fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/110-prikazy/864-prikaz-fstek-rossii-ot-14-marta-2014-g-n-31), как правило, являются следующие:

-     информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса: входная (выходная), управляющая (командная), контрольно-измерительная, иная критически важная (технологическая) информация;

-     программно-технический комплекс, включающий технические средства (в том числе авто- матизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), ПО (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.

В [1] показано, что критически важными в АСУ КВО являются закрепленная в документации технологическая информация, воздействия на которую могут привести к нарушению функционирования автоматизированной системы, а также сведения непосредственно о самой АСУ КВО, которые (в случае их хищения) могут быть использованы для деструктивных воздействий на автоматизированную систему. При этом под технологической понимается

-     оперативная (динамическая) информация (телеметрия, телеизмерения, телеуправление) о протекании управляемого технологического (производственного) процесса;

-     архивная (статическая) информация (нормативно-техническая, проектная и эксплуатационная документация, параметры технологических (производственных) процессов и другая архивная информация).

Критичность ресурсов АСУ КВО определяется степенью возможного ущерба или степенью негативных последствий от воздействия на каждый из ресурсов АСУ КВО:

-     высокая: воздействие на ресурс АСУ КВО повлекло нарушение штатного режима функционирования АСУ КВО, при этом возможны существен- ные негативные последствия (АСУ КВО не может выполнять функции контроля и управления технологическими (производственными) процессами);

-     средняя: воздействие на ресурс АСУ КВО повлекло нарушение штатного режима функционирования АСУ КВО, при этом возможны умеренные негативные последствия (АСУ КВО не может выполнять хотя бы одну из функций контроля и управления технологическими (производственными) процессами);

-     низкая: воздействие на ресурс АСУ КВО повлекло нарушение штатного режима функционирования АСУ КВО, при этом возможны незначительные негативные последствия (АСУ КВО может выполнять функции контроля и управления технологическими (производственными) процессами с потерей эффективности или выполнение функций возможно с привлечением дополнительных сил и средств);

-     отсутствует: воздействие на ресурс АСУ КВО не повлекло никаких негативных последствий.

Моделирование угроз безопасности информации в АСУ КВО. Результатом процесса моделирования угроз безопасности информации в АСУ КВО является перечень актуальных для конкретной системы угроз в виде их формального описания. Угрозы безопасности информации определяются по результатам

-     оценки возможностей нарушителя безопасности информации (в соответствии с моделью нарушителя безопасности информации в АСУ КВО);

-     анализа возможных уязвимостей АСУ КВО (с использованием различных источников и БД об уязвимостях [5–7]);

-     анализа возможных способов (сценариев) реализации угроз безопасности информации в АСУ КВО (с использованием банка данных угроз информационной безопасности [8]);

-     анализа последствий реализации угроз безо­пасности информации.

Каждая угроза безопасности информации в АСУ КВО описывается следующим образом:

TБИi = [нарушитель, уязвимости, сценарий реализации угрозы, объекты воздействия, последствия реализации угрозы].

Наиболее простым и наглядным способом моделирования и описания возможных сценариев реализации угрозы безопасности информации является применение аппарата деревьев атак.

Деревья атак – достаточно мощный и гибкий инструмент для решения множества проблем, связанных с безопасностью, включая корреляцию и предотвращение воздействий на информацию, а также реакцию на них [9, 10].

В данном случае под атакой следует понимать действия, направленные на реализацию угроз несанкционированного доступа к информации, путем воздействия на нее или на ресурсы автоматизированной системы с применением программных и (или) программно-технических средств (ГОСТ Р 50.1.053-2005).

Деревья атак в связи с их графовой структурой наглядно представляют варианты информационно-технического воздействия на автоматизированную систему и по аналогии с деревом неисправностей (по ГОСТ Р 51901.13-2005) являются организованным графическим представлением условий или других факторов, вызывающих нежелательное событие, называемое вершиной событий.

По каждым возможным для конкретной АСУ КВО угрозе и нарушителю строится свое дерево атак. Вершиной этого дерева является реализация угрозы безопасности информации. Для достижения вершины дерева нарушителю безопасности информации необходимо выполнить некоторое количество условий на различных уровнях АСУ КВО, которые будут являться промежуточными вершинами дерева атак. На рисунке 3 показан пример двухуровневого дерева атак для угрозы подмены информации от датчиков полевого уровня (исходя из многоуровневой структуры АСУ КВО), из которого видно, что угроза будет реализована, если нарушителю удастся выполнить хотя бы одно из условий второго уровня («ИЛИ-декомпозиция» угрозы безопасности информации [9]).

Аналогично может быть изображена «И-декомпозиция», обеспечивающая возможность достижения цели при одновременном выполнении всех условий на низшем уровне дерева, и «ИЛИ-НЕ-декомпозиция», при которой достижение цели возможно при выполнении только одного из условий на низшем уровне.

Количество уровней при построении дерева атак определяется исходя из требуемого уровня детализации сценария реализации угрозы безопасности в АСУ КВО. На рисунке 4 показан пример детализации на более низком уровне угрозы подмены информации от датчиков полевого уровня при реализации сценария подмены информации на операторском уровне АСУ КВО (в АРМ оператора).

Сценариями реализации угрозы безопасности являются все возможные пути от элементов самого нижнего уровня до конечной цели на первом уровне в построенном дереве атак.

Например, для дерева атак, изображенного на рисунках 3 и 4, одним из сценариев реализации угрозы подмены информации от датчиков полевого уровня будет такой путь: Т 3.1®Т 2.1®Т 1.

Основной проблемой построения деревьев атак является масштабируемость [11], то есть возможность построения деревьев атак для информационных или автоматизированных систем, имеющих сложную структуру с большим количеством ком- понентов и связей между ними с высокой степенью детализации (то есть на самом нижнем уровне дерева атаки будут отражены условия, не подлежащие дальнейшей детализации).

Для снижения сложности анализа и времени построения деревьев атак для АСУ КВО, имеющих сложную структуру и большое количество компонентов, детализацию на более низком уровне необходимо производить только для актуальных (применительно к данной АСУ КВО) сценариев (путей) реализации угрозы.

Степень актуальности сценария (пути) реализации угрозы зависит от вероятности того, что нарушитель будет использовать именно этот путь, и от степени возможного ущерба, вызванного последствиями реализации угрозы.

Сценарий (W) реализации угрозы является актуальным, если для автоматизированной системы (с заданными структурой, связями между компонентами и особенностями функционирования) существует ненулевая вероятность (P) реализации угрозы рассматриваемым сценарием нарушителем с соответствующим потенциалом, а реализация самой угрозы приведет к неприемлемым негативным последствиям (ущербу) (X): Wij=[Pij, Xi], где i – номер рассматриваемой угрозы безопасности информации в АСУ КВО;  j – номер возможного сценария (пути) реализации рассматриваемой угрозы безо­пасности информации в АСУ КВО.

Вероятность реализации i-й угрозы j-м сценарием (Pij) определяется исходя из базового потенциала нарушителя, его уровня физического доступа к компонентам АСУ КВО и необходимостью физического доступа к компонентам АСУ КВО при реализации угрозы рассматриваемым путем, а также наличия и уровня опасности уязвимостей, способствующих реализации угрозы рассматриваемым сценарием (табл. 4, 5). Уровень опасности уязвимостей оценивается исходя из методики оценки CVSS [12].

Оценка актуальности j-го сценария (пути) при реализации i-й угрозы безопасности информации определяется исходя из вероятности реализации i-й угрозы j-м сценарием (путем) и степени возможного ущерба (Xi) от воздействий этой угрозы на ресурсы АСУ КВО (табл. 6).

Если по результатам оценки какой-либо сценарий реализации угрозы оказывается неактуальным, его дальнейшая детализация на низших уровнях не производится. После оценки актуальности всех возможных сценариев реализации уязвимости вплоть до самого низшего уровня детализации производится оценка актуальности (для рассматриваемой АСУ КВО) угрозы в целом. Если хотя бы один из всех возможных сценариев реализации уязвимо- сти является актуальным, эта угроза считается ак- туальной для рассматриваемой АСУ КВО и включается в результирующий перечень актуальных угроз.

Таким образом, общая последовательность моделирования угроз представляется в следующем виде:

-     моделирование нарушителя безопасности информации в рассматриваемой АСУ КВО;

-     построение множества всех возможных угроз для рассматриваемой АСУ КВО;

-     построение дерева атак для каждой угрозы с выявлением актуальных сценариев реализации угрозы для нарушителей с различным базовым потенциалом;

-     формирование множества (перечня) актуальных угроз для рассматриваемой АСУ КВО.

Предлагаемая методика моделирования угроз для АСУ КВО позволит, во-первых, за счет исключения из анализа неактуальных сценариев реализации угрозы сократить время построения перечня актуальных (для рассматриваемой АСУ КВО) угроз, а во-вторых, учесть возможность реализации одной и той же угрозы в АСУ КВО несколькими сценариями нарушителями с разным базовым потенциалом.

Методика может использоваться для определения требований к системе защиты информации АСУ КВО или формирования комплекса технических и организационных мероприятий по обеспечению безопасности информации в АСУ КВО.

Литература

1.     Горбачев И.Е., Глухов А.П. Моделирование процессов нарушения информационной безопасности критической инфраструктуры // Тр. СПИИ РАН. 2015. Вып. 1 (38). С. 112–135.

2.     Жуков В.Г., Жукова М.Н., Стефаров А.П. Модель нарушителя прав доступа в автоматизированной системе // Программные продукты и системы. 2012. № 2 (98). С. 75–78.

3.     Гришина Н.В. Модель потенциального нарушителя объекта информатизации // Изв. ЮФУ. Технич. науки. 2003. № 4. Т. 33. С. 356–358.

4.     Климов С.М. Методы и модели противодействия компьютерным атакам. Люберцы: КАТАЛИТ, 2008. 316 с.

5.     Банк данных угроз информационной безопасности. Список уязвимостей. URL: http://www.bdu.fstec.ru/vul (дата обращения: 25.02.2016).

6.     National Vulnerability Database. URL: http://www.nvd. nist.gov (дата обращения: 25.02.2016).

7.     Open Source Vulnerability Database. URL: http://www. osvdb.org (дата обращения: 25.02.2016).

8.     Банк данных угроз информационной безопасности. Список угроз. URL: http://www.bdu.fstec.ru/threat (дата обращения: 25.02.2016).

9.     Полаженко С. Деревья атак и их применение при анализе проблемы безопасности и защищенности программных продуктов. URL: http://www.software-testing.ru/library/testing/security/140-attack-trees (дата обращения: 25.02.2016).

10.  Чечулин А.А. Методика оперативного построения, модификации и анализа деревьев атак // Тр. СПИИ РАН. 2013. Вып. 3 (26). С. 40–53.

11.  Колегов Д.Н. Проблемы синтеза и анализа графов атак. URL: http://www.securitylab.ru/contest/299868.php (дата обращения: 25.02.2016).

12.  Калькулятор CVSS. URL: http://www.bdu.fstec.ru/calc (дата обращения: 25.02.2016).



http://swsys.ru/index.php?id=4176&lang=.&page=article


Perhaps, you might be interested in the following articles of similar topics: