549_Sovremennye_problemy_telekommunikatsij_
.pdfВ результате из каталога CAPEC для каждой схемы атаки для оценки ИБ ТКС выбраны элементы, перечисленные в таблице 1.
Таблица 1. Элементы каталога CAPEC, необходимые для оценки ИБ ТКС
Необходимый элемент |
|
Поле в каталоге CAPEC [9] |
Условное |
|
|
|
обозначение |
1 |
|
2 |
3 |
Название атаки |
|
Name |
А |
Описание атаки |
|
Description |
- |
Фазы атаки |
|
Attack_Phases |
АФН |
Шаги атаки |
|
Attack_Steps |
АШM |
Свойственная тяжесть атаки |
Typical_Severity |
У |
|
Свойственная |
вероятность |
Typical_Likelihood_of_Exploit |
В |
использования атаки |
|
|
|
Воздействие |
на |
Confidentiality_Impact, |
УК, УЦ и УД |
конфиденциальность, |
|
Integrity_ImpactиAvailability_Impact |
|
целостность, доступность |
|
|
|
Предпосылки |
|
Attack_Prerequisites |
П |
Умения или знания, требуемые |
Attacker_Skills_or_Knowledge_Required |
ТЗУ |
|
злоумышленнику |
|
|
|
Требуемые ресурсы |
|
Resources_Required |
ТР |
Мотивирующие последствия |
Attack_Motivation-Consequences |
ПМ |
|
атаки |
|
|
|
Соответствующие требования |
Relevant_Security_Requirements |
ТБ |
|
безопасности |
|
|
|
Соответствующие шаблоны |
Relevant_Design_Patterns |
ШП |
|
проектирования |
|
|
|
Соответствующие шаблоны |
Relevant_Security_Patterns |
ШБ |
|
безопасности |
|
|
|
Связанные принципы |
|
Related_Security_Principles |
ПБ |
безопасности |
|
|
|
Связанные руководящие |
Related_Guidelines |
РД |
|
документы |
|
|
|
Решения и методы снижения |
Solutions_and_Mitigations |
МСП |
|
последствий |
|
|
|
3. Описание параметров оценки, используемых в методике
Каждый параметр оценки ИБ ТКС будет задан в виде интервала принимаемых значений и описания условий, при выполнении которых параметр равен верхнему или нижнему значению. Все промежуточные значения между заданными значениями границ определяются, исходя из степени выполнения условия, описывающего верхнюю или нижнюю границу параметра.
Пусть П изменяется от нуля до единицы и равно единице, если все необходимые предпосылки к атаке выполнены, и равно нулю, если предпосылки не выполнены.
Пусть ТЗУ изменяется от нуля до единицы и равно единице, если злоумышленник обладает всеми требующимися знаниями и умениями, и равно нулю, если не обладает.
Пусть ТР изменяется от нуля до единицы и равно единице, если злоумышленник обладает всеми требующимися ресурсами, и равно нулю, если не обладает.
593
Пусть У изменяется от нуля до единицы, и равно единице, если данная атака способна нанести максимальный ущерб ИБ ТКС, и равно нулю, если данная атака не способна нанести максимальный ущерб ИБ ТКС.
Пусть УК изменяется от нуля до единицы, и равно единице, если данная атака способна нанести максимальный ущерб конфиденциальности ТКС, и равно нулю, если данная атака не способна нанести максимальный ущерб конфиденциальности ТКС.
Пусть УЦ изменяется от нуля до единицы, и равно единице, если данная атака способна нанести максимальный ущерб целостности ТКС, и равно нулю, если данная атака не способна нанести максимальный ущерб целостности ТКС.
Пусть УД изменяется от нуля до единицы, и равно единице, если данная атака способна нанести максимальный ущерб доступности ТКС, и равно нулю, если данная атака не способна нанести максимальный ущерб доступности ТКС.
Пусть В изменяется от нуля до единицы, и равно единице, если вероятность использования атаки равна единице, и равно нулю, если вероятность использования атаки равна нулю.
Пусть ТБ изменяется от нуля до единицы, и равно единице, если выполняются все требования безопасности, которые снижают У, УК, УЦ, УД или В данной атаки, и равно нулю, если требования безопасности не выполняются.
Пусть ШП изменяется от нуля до единицы, и равно единице, если проектирование производится на основе шаблонов проектирования, которые снижают У, УК, УЦ, УД или В данной атаки, и равно нулю, если шаблоны проектирования не используются при проектировании.
Пусть ШБ изменяется от нуля до единицы, и равно единице, если при проектировании используются шаблоны безопасности, которые снижают У, УК, УЦ, УД или В данной атаки, и равно нулю, если шаблоны безопасности не используются.
Пусть ПБ изменяется от нуля до единицы, и равно единице, если выполняются все принципы безопасности, которые снижают У, УК, УЦ, УД или В данной атаки, и равно нулю, если принципы безопасности не выполняются.
Пусть РД изменяется от нуля до единицы, и равно единице, если применяются положения руководящих документов, которые снижают У, УК, УЦ, УД или В данной атаки, и равно нулю, если положения – не применяются.
Пусть МСП изменяется от нуля до единицы, и равно единице, если выполняются все решения и методы снижения последствий, которые снижают У, УК, УЦ, УД или В данной атаки, и равно нулю, если решения и методы снижения последствий не выполняются.
Пусть оценка ИБ ТКС при воздействии атаки будет обозначена О и будет изменяться от нуля до единицы, и равна единице, если системе не будет нанесен максимальный ущерб от данной атаки, и равна нулю, если системе будет нанесен максимальный ущерб от данной атаки.
Пусть оценка конфиденциальности ТКС при воздействии атаки будет обозначена ОК и будет изменяться от нуля до единицы, и равна единице, если конфиденциальности системы не будет нанесен максимальный ущерб от данной атаки, и равна нулю, если конфиденциальности системы будет нанесен максимальный ущерб от данной атаки.
Пусть оценка целостности ТКС при воздействии атаки будет обозначена ОЦ и будет изменяться от нуля до единицы, и равно единице, если целостности системы не будет нанесен максимальный ущерб от данной атаки, и равна нулю, если целостности системы будет нанесен максимальный ущерб от данной атаки.
Пусть оценка доступности ТКС при воздействии атаки будет обозначена ОД и будет изменяться от нуля до единицы, и равно единице, если доступности системы не будет нанесен максимальный ущерб от данной атаки, и равна нулю, если доступности системы будет нанесен максимальный ущерб от данной атаки.
594
4. Описание методики оценки ИБ ТКС на основе CAPEC
Согласно разработанной методике оценки ИБ ТКС О, оценки конфиденциальности ТКС ОК, оценки целостности ТКС ОЦ и оценки доступности ТКС ОД при воздействии атаки из каталога CAPEC определяются следующим образом:
Если П∙ТЗУ∙ТР=1 То |
|
Если У∙В≥(ТБ+ШП+ШБ+ПБ+РД+МСП)/6 То |
|
О=1-(У∙В-(ТБ+ШП+ШБ+ПБ+РД+МСП)/6) |
|
Если У∙В<(ТБ+ШП+ШБ+ПБ+РД+МСП)/6 То О=1 |
|
Если П∙ТЗУ∙ТР≠1 То О=1, |
(1) |
ЕСЛИ П∙ТЗУ∙ТР=1 То |
|
Если УК∙В≥(ТБ+ШП+ШБ+ПБ+РД+МСП)/6 То |
|
ОК=1-(УК∙В-(ТБ+ШП+ШБ+ПБ+РД+МСП)/6) |
|
Если УК∙В<(ТБ+ШП+ШБ+ПБ+РД+МСП)/6 То ОК=1 |
|
Если П∙ТЗУ∙ТР≠1 То ОК=1, |
(2) |
Если П∙ТЗУ∙ТР=1 То |
|
Если УЦ∙В≥(ТБ+ШП+ШБ+ПБ+РД+МСП)/6 То |
|
ОЦ=1-(УЦ∙В-(ТБ+ШП+ШБ+ПБ+РД+МСП)/6) |
|
Если УЦ∙В<(ТБ+ШП+ШБ+ПБ+РД+МСП)/6 То ОЦ=1 |
|
Если П∙ТЗУ∙ТР≠1 То ОЦ=1, |
(3) |
Если П∙ТЗУ∙ТР=1 То |
|
Если УД∙В≥(ТБ+ШП+ШБ+ПБ+РД+МСП)/6 То |
|
ОД=1-(УД∙В-(ТБ+ШП+ШБ+ПБ+РД+МСП)/6) |
|
Если УД∙В<(ТБ+ШП+ШБ+ПБ+РД+МСП)/6 То ОД=1 |
|
Если П∙ТЗУ∙ТР≠1 То ОД=1, |
(4) |
В тоже время злоумышленник может использовать комплекс атак. Зависимости между атаками можно представить в виде модифицированного дерева атак на основе расширенного дерева атак из [9], в котором подцелями являются атаки из каталога CAPEC, каждая из подцелей имеет атрибут Время Жизни, подцели могут быть связаны связью типа «ИЛИ», «И», «У-И» для достижения конечной цели – цели комплекса атак. Вместо атрибута Степень Конфиденциальности из [10] в модифицированном дереве атак используется оценка ИБ каждой подцели, которая равна оценке ИБ ТКС при воздействии соответствующей атаки из каталога CAPEC, полученной по формуле (4).
Пусть итоговая оценка ИБ ТКС при воздействии комплекса атак будет обозначена О∑ и будет изменяться от нуля до единицы, и равна единице, если ИБ ТКС не будет нанесен максимальный ущерб от данного комплекса атак, и равна нулю, если ИБ ТКС будет нанесен максимальный ущерб от данного комплекса атак.
Пусть итоговая оценка конфиденциальности ТКС при воздействии комплекса атак будет обозначена ОК∑ и будет изменяться от нуля до единицы, и равна единице, если конфиденциальности системы не будет нанесен максимальный ущерб от данного комплекса атак, и равна нулю, если конфиденциальности системы будет нанесен максимальный ущерб от данного комплекса атак.
Пусть итоговая оценка целостности ТКС при воздействии комплекса атак будет обозначена ОЦ∑, и будет изменяться от нуля до единицы, и равна единице, если целостности системы не будет нанесен максимальный ущерб от данного комплекса атак, и равна нулю, если целостности системы будет нанесен максимальный ущерб от данного комплекса атак.
595
Пусть итоговая оценка доступности ТКС при воздействии комплекса атак будет обозначена ОД∑, и будет изменяться от нуля до единицы, и равна единице, если доступности системы не будет нанесен максимальный ущерб от данного комплекса атак, и равна нулю, если доступности системы будет нанесен максимальный ущерб от данного комплекса атак.
Если все атаки в комплексе связаны связью типа «И», при которой для достижения итоговой цели комплекса атак, необходимо выполнение всех атак, при этом вероятность выполнения одной атаки не зависит от вероятности выполнения другой, то итоговая оценка ИБ ТКС при воздействии комплекса из К атак будет вычисляться по формуле (5). Итоговые оценки конфиденциальности, целостности и доступности ТКС при воздействии комплекса из К атак будут вычисляться по формулам (5) – (8).
О"И" 1 1 О |
1 О |
|
1 О |
, |
|
(5) |
||||
|
|
|
1 |
2 |
|
|
К |
|
|
|
О"И" |
1 |
1 О |
|
1 О |
|
|
1 О |
|
, |
(6) |
К |
|
К1 |
|
К2 |
|
КК |
|
|
||
ОЦ"И" 1 |
1 ОЦ1 |
1 ОЦ2 |
1 ОЦК , |
(7) |
||||||
О"ДИ" 1 |
1 ОД1 |
1 ОД2 |
1 ОДК , |
(8) |
||||||
где – О1, О2, ОК – соответствующие оценки ИБ ТКС при воздействии одной из К атак, входящих в комплекс;
ОК1, ОК2, ОКК – оценки конфиденциальности ТКС при воздействии одной из К атак, входящих в комплекс;
ОЦ1, ОЦ2, ОЦК – оценки целостности ТКС при воздействии одной из К атак, входящих в комплекс;
ОД1, ОД2, ОДК – оценки доступности ТКС при воздействии одной из К атак, входящих в комплекс.
Если все атаки в комплексе связаны связью типа «ИЛИ», при которой для достижения итоговой цели комплекса атак, достаточно выполнить одну атаку, при этом вероятность выполнения одной атаки не зависит от вероятности выполнения другой, то итоговая оценка ИБ ТКС при воздействии комплекса из К атак будет вычисляться по формуле (9). Итоговые оценки конфиденциальности, целостности и доступности ТКС при воздействии комплекса из К атак будут вычисляться по формулам (9) – (12).
О"ИЛИ" О1 О2 |
ОК , |
(9) |
|
ОК"ИЛИ |
" ОК1 ОК2 |
ОКК , |
(10) |
ОЦ"ИЛИ |
" ОЦ1 ОЦ2 |
ОЦК , |
(11) |
О"ДИЛИ |
" ОД1 ОД2 |
ОДК , |
(12) |
где – О1, О2, ОК – оценки ИБ ТКС при воздействии одной из К атак, входящих в комплекс;
ОК1, ОК2, ОКК – оценки конфиденциальности ТКС при воздействии одной из К атак, входящих в комплекс;
596
ОЦ1, ОЦ2, ОЦК – оценки целостности ТКС при воздействии одной из К атак, входящих в комплекс;
ОД1, ОД2, ОДК – оценки доступности ТКС при воздействии одной из К атак, входящих в комплекс.
Если все атаки в комплексе связаны связью типа «У-И», при которой для достижения итоговой цели комплекса атак необходимо выполнение всех атак в нужной последовательности, при этом вероятность выполнения одной атаки не зависит от вероятности выполнения другой, то итоговая оценка ИБ ТКС при воздействии комплекса из К атак будет вычисляться по формуле (13). При этом в данной дипломной работе примем, что выполнения атак в различных последовательностях являются равновероятными. Итоговые оценки конфиденциальности, целостности и доступности ТКС при воздействии комплекса из К атак будет вычисляться по формулам (13) – (16).
"У И" |
|
1 |
|
1 О1 1 О2 |
1 ОК |
, |
|
|
(13) |
||||
О |
|
|
|
|
|
К! |
|
|
|||||
"У И" |
1 |
|
1 ОК1 1 ОК2 |
1 ОКК |
|
, |
(14) |
||||||
О |
|
|
|
|
|
|
К! |
||||||
К |
|
|
|
|
|
|
|
|
|
|
|
|
|
О"У И" |
1 1 |
ОЦ1 |
1 ОЦ2 |
1 |
ОЦК |
|
, |
(15) |
|||||
Ц |
|
|
|
|
|
|
|
|
|
К! |
|
|
|
О"ДУ И" 1 1 |
ОД1 |
1 ОД2 |
1 |
ОДК К!, |
(16) |
||||||||
где – О1, О2, ОК – оценки ИБ ТКС при воздействии одной из К атак, входящих в комплекс;
ОК1, ОК2, ОКК – оценки конфиденциальности ТКС при воздействии одной из К атак, входящих в комплекс;
ОЦ1, ОЦ2, ОЦК – оценки целостности ТКС при воздействии одной из К атак, входящих в комплекс;
ОД1, ОД2, ОДN – оценки доступности ТКС при воздействии одной из К атак, входящих в комплекс.
Если атаки комплекса атак связаны различными типами связей, то итоговая оценка ИБ ТКС вычисляется соответствующей комбинацией формул (5), (9) и (13).
Литература
1.Рябинин И.А., Черкасов Г.Н. Логико-вероятностные методы исследования надежности структурно-сложных систем. М.: Радио и связь, 1981. – 264с.
2.Соложенцев Е.Д. Особенности логико-вероятностной теории риска с группами несовместных событий // АиТ. 2003. - №7. С. 187-203.
3.Назаров А.Н. Логико-вероятностные модели оценки уровня информационной безопасности современных инфокоммуникационных сетей// Телекоммуникации, 2008. - № 3. – С. 38-42.
4.Назаров А.Н. Оценка уровня информационной безопасности типовой корпоративной сети// Электросвязь, 2009. - № 8. – С. 23-25.
5.Балашов П.А., Кислов Р.И., Безгузиков В.П. Оценка рисков информационной безопасности на основе нечеткой логики. // Защита информации. Конфидент. 2003. №5. С. 56-59
6.Иванов В.А., Комашинский В.В., Беляев Д.Л., И.В. Иванов И.В. Прогнозирование состояния защищенности компьютерных систем на основе нечетких множеств, аппарата
597
управляемых цепей Маркова и экспертно – рискового метода. //Телекоммуникации. 2009. №6. С. 33-35
7.Котенко И.В., Степашкин М.В. Метрики безопасности для оценки уровня защищенности компьютерных сетей на основе построения графов атак. // Защита информации.INSIDE. 2006. №3. С. 36-45
8.Киселев А.А., Поморцев А.С. Анализ методов оценки защищенности телекоммуникационных систем // Материалы РНТК «Обработка информационных сигналов и математическое моделирование», Сибирское научно-технической общество радиотехники, электроники и связи им. Попова, Новосибирск. – 2012. – с. 146.
9.Common Attack Pattern Classification and Enumeration [сайт]. URL: https://capec.mitre.org/
(дата обращения 01.03.2015)
10.Липатов А.Л. Методы обеспечения информационной безопасности ключевых систем с использованием деревьев атак: автореферат диссертации на соискание ученой степени кандидата технических наук. СПб., 2009. 18 с.
Корзун Олеся Викторовна
Выпускник кафедры безопасности и управления в телекоммуникациях СибГУТИ, e-mail: korzun.olesya.v@gmail.com.
Киселев Антон Анатольевич
Старший преподаватель кафедры БиУТ ФГОБУ ВПО «СибГУТИ», e-mail: a.kiselev@ngs.ru
Technique of an assessment of information security of telecommunication systems on the basis of the list and classification of well-known schemes of attacks
Korzun O., Kiselev A.
In this article the technique of an assessment of information security of telecommunication systems is presented. The technique is developed on the basis of the list and classification of well-known schemes of attacks (Common Attack Pattern Enumeration and Classification).
Keywords: assessment of information security, list and classification of well-known schemes of attacks, logiko-probabilistic method, trees of attacks.
598
угроз из сети Интернет. Непосредственным источником является сеть Интернет, однако вследствие недостаточной защиты на маршрутизаторе, эти угрозы будут направлены на все устройства в данной сети, поддерживающие протокол IP. Типы этих угроз могут быть различными – от DDoS атак, имеющих целью «завалить» канал в Интернет путем создания множества одновременных вызовов, тем самым лишив обычных абонентов совершать нормальные звонки, до целенаправленных вторжений в телефонную инфраструктуру VoIP провайдера (SIP-сервер, IP-шлюз, SIP-телефоны). При этом такие вторжения обычно не являются массовыми (т.е. не создают аномальной нагрузки на эту инфраструктуру), что не позволяет обнаружить их обычными средствами, а требует приобретения, настройки и постоянного сопровождения специализированного ПО, например, ПО SBC.
Коммутатор ЛВС может как предотвращать часть угроз, например, с помощью ограничения и изоляции трафика в данной сети с помощью виртуальных подсетей – VLAN и правильно организованной защиты на базе списков доступа (ACL – Access List Classes), так и служить источником угроз, в случае недостаточно настроенной защиты.
SIP-телефоны (как программные, например, Brio, 3CX и т.п., устанавливаемые на любом персональном компьютере, так и аппаратные). Эти телефоны могут быть источниками угроз как вследствие умышленных действий сотрудников компании провайдера VoIP, так и вследствие недостаточной защиты этих телефонов (путем взлома паролей доступа к настройкам SIP-телефона). С таких телефонов можно совершать телефонные звонки как через сеть Интернет, так и через сеть оператора ТфОП по маршруту – SIP-телефон в сети провайдера VoIP, локальная сеть провайдера VoIP, коммутатор ЛВС, IP-шлюз, коммутатор потоков, Учрежденческая АТС (PBX), Е1- интерфейс, сеть ТфОП.
Устройства серверной инфраструктуры провайдера VoIP (SIP-proxy, шлюз VoIP). SIP- сервер, позволяет производить регистрацию телефонных абонентов как в своей локальной сети, так и предоставлять услуги телефонии внешним абонентам, находящимся как в сети ТфОП, так и в сети IP. SIP-сервер является основным элементов сети VoIP, реализующим управление телефонными вызовами как в IP-сети, так и в ТфОП. Именно на него в первую очередь направляются угрозы из сети Интернет (сканирование портов 5060, 5061, закрепленных за протоколом SIP, подбор паролей доступа к Web-управлению SIP-сервером, что позволяет регистрировать сторонних абонентов, разрешать им вызовы в любую сеть – ТфОП или IP, а также совершать любые другие несанкционированные действия). По этой причине требуется особое отношение к защите управления SIP-сервером, что обычно не входит в стандартное ПО обычных маршрутизаторов и требует дополнительных расходов на приобретение, настройку и последующее сопровождение специализированного ПО.
Маршрутизатор, позволяющий организовать пропуск трафика из IP-сети (сети Интернет или корпоративной провайдера VoIP) в ТфОП, так и из ТфОП в сеть IP.
2.Краткий анализ угроз услугам VoIP.
К типичным угрозам, направленным как на объекты сетевой инфраструктуры так и на конечные устройства (терминала пользователей, серверы VoIP) можно отнести:
отказ в обслуживании;
подмена номера;
взлом аккаунтов и генерация дорогого международного трафика через ТфОП от имени абонента со взломанным аккаунтом;
несанкционированное изменение конфигурации;
600