- •Введение
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с непосредственным доступом к ее элементам
- •Механизмы взаимодействия элементов иткс
- •Понятие угрозы информационной безопасности иткс
- •Уязвимости иткс
- •Уязвимости иткс в отношении угроз непосредственного доступа
- •Классификация и описание процессов реализации угроз непосредственного доступа к элементам иткс
- •Классификация атак
- •Классификация атак, связанных с непосредственным доступом в операционную среду компьютера
- •Описание атак как процессов реализации угроз
- •Описание процессов реализации угроз непосредственного доступа в операционную среду компьютера
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным доступом к элементам иткс
- •Общее понятие о мерах и средствах защиты информации. Выбор актуальных направлений для защиты иткс от исследуемых атак
- •Меры контроля физического доступа к элементам иткс
- •Меры аутентификации
- •Аутентификация с помощью пароля
- •Протокол Kerberos
- •Аутентификация посредством цифровых сертификатов
- •Аутентификация с помощью аппаратных средств
- •Аутентификация на основе биометрических особенностей
- •Применение систем обнаружения вторжений
- •Понятие системы обнаружения вторжений
- •Классификация систем обнаружения вторжений
- •Архитектура систем обнаружения вторжений
- •Уровни применения систем обнаружения вторжений
- •Сетевой уровень
- •Системный уровень
- •Методы обнаружения вторжений
- •Сигнатурный метод
- •Метод обнаружения аномалий
- •Реакция систем обнаружения вторжений на проявления атак исследуемых классов
- •Анализ эффективности систем обнаружения атак
- •Анализ систем, использующих сигнатурные методы
- •Анализ систем, использующих методы поиска аномалий в поведении
- •Глава 3. Определение объектов защиты от угроз непосредственного доступа
- •Определение множества объектов защиты
- •Определение множества типов иткс с учетом их назначения и специфики функционирования
- •Определение функциональных требований к иткс различных типов
- •Определение характеристик атак, реализуемых в отношении иткс различных типов
- •Определение множеств мер защиты, применимых для иткс различных типов
- •Обоснование требований безопасности для иткс различных типов
- •Рекомендации по реализации защиты иткс различных типов
- •Определение комплексов мер защиты иткс различных типов
- •Выявление соответствия применяемых мер защиты функциональным требованиям к иткс
- •Определение отношения рассматриваемых мер защиты к противодействию исследуемым атакам
- •Глава 4. Аналитическое моделирование процессов реализации угроз непосредственного доступа к элементам иткс
- •Моделирование процессов реализации угроз непосредственного доступа в операционную среду компьютера
- •Непосредственный доступ в операционную среду компьютера при помощи подбора паролей
- •Непосредственный доступ в операционную среду компьютера при помощи сброса паролей
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз непосредственного доступа к элементам иткс
- •Выбор параметров для осуществления количественного анализа рисков иткс
- •Определение видов ущерба иткс при реализации угроз непосредственного доступа к ее элементам
- •Определение взаимосвязей между атаками и их отношения к видам наносимого ущерба
- •Определение вероятностей реализации атак
- •Выбор закона Пуассона в качестве закона распределения вероятностей возникновения атак
- •Расчет интенсивности возникновения атак
- •Расчет вероятности реализации атак
- •Расчет рисков реализации угроз непосредственного доступа к элементам иткс
- •Расчет рисков реализации угроз, наносящих различный ущерб
- •Оценка ущерба от реализации атак
- •Оценка вероятностей реализации атак
- •Нахождение распределения вероятностей нанесения ущерба в условиях воздействия нескольких атак
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам непосредственного доступа к элементам иткс
- •Понятие эффективности защиты информации
- •Алгоритм оценки эффективности применения комплексов мер
- •Введение функции соответствия исследуемого показателя требованиям
- •Расчет общей эффективности применения комплексов мер защиты иткс
- •Оценка соответствия функциональным требованиям при применении комплексов мер защиты
- •Оценка эффективности защиты иткс
- •Оценка вероятностных параметров реализации атак
- •Расчет рисков иткс при использовании мер противодействия угрозам непосредственного доступа
- •Численная оценка эффективности защиты иткс
- •Оценка эффективности защиты иткс при фиксированной активности злоумышленника
- •Оценка защищенности иткс как функции от активности злоумышленника
- •Оценка общей эффективности применения комплексов мер защиты иткс
- •Заключение
- •Библиографический список
- •Оглавление
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с непосредственным доступом к ее элементам 6
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным доступом к элементам иткс 21
- •Глава 3. Определение объектов защиты от угроз непосредственного доступа 67
- •Глава 4. Аналитическое моделирование процессов реализации угроз непосредственного доступа к элементам иткс 95
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз непосредственного доступа к элементам иткс 111
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам непосредственного доступа к элементам иткс 154
- •394026 Воронеж, Московский просп., 14
Расчет интенсивности возникновения атак
Для оценки интенсивности атак целесообразно исходить из сложности их реализации и необходимых навыков и инструментария. Поскольку в общем случае определить уровень каждого потенциального нарушителя не представляется возможным, положим соотношения между интенсивностями рассматриваемых атак постоянными, причем сами значения интенсивностей обратно пропорциональными сложности их реализации, и присвоим им соответствующие значения:
00.1 — непосредственный доступ путем сброса пароля,
00.2 — непосредственный доступ путем хищения файла паролей,
01.1 — сниффинг пакетов в сети без коммутаторов,
01.2, 02.2 — сканирование портов,
01.3, 02.3 — SYN-flood,
01.4, 02.4 — внедрение ложного объекта на основе недостатков алгоритма удаленного поиска,
01.5, 02.5 — внедрение ложного объекта путем навязывания ложного маршрута,
01.6, 02.6 — подмена доверенного объекта,
01.7 — подмена доверенного объекта (перехват сессии),
01.8, 02.8 — внедрение ложного DNS-сервера.
Также необходимо отметить тот факт, что активность злоумышленников относительно разных ИТКС может варьироваться в достаточно широких пределах и может зависеть от назначения и масштаба атакуемой системы, степени ее открытости, а также психологических и иных факторов. Таким образом, необходимо ввести такой параметр как коэффициент активности злоумышленника, который характеризует среднее число атак на ИТКС за единицу времени вне зависимости от их сложности. В рассматриваемой задаче этот коэффициент представляет собой множитель для всех приведенных выше начальных значений интенсивности
iKа0i. (5.5)
Для адекватной оценки интенсивности атак, а также исходя из особенностей применения возможных мер противодействия, целесообразно разделить злоумышленников по признаку их местоположения на внешних и внутренних. Внешний злоумышленник способен осуществлять только межсегментные удаленные атаки, поскольку не имеет физического доступа ни к атакуемым хостам, ни к любым другим объектам атакуемой подсети. Внутренний же злоумышленник имеет возможность получать доступ к таким объектам и, следовательно, способен реализовать как внутрисегментные удаленные атаки, так и атаки, связанные с непосредственным доступом.
Таким образом введем два различных коэффициента активности злоумышленника для внешнего Kex и внутреннего Kin, таких, что Kex характеризует внешнюю по отношении к ИТКС агрессивную среду и является коэффициентом для интенсивностей межсегментных атак 02.2, 02.3, 02.4, 02.5, 02.6, 02.7,02.8, а Kin — внутреннюю, и является коэффициентом для непосредственных и внутрисегментных атак 00.1, 00.2, 01.1, 01.2, 01.3, 01.4, 01.5, 01.6, 01.7, 01.8.
Рассчитаем вероятности реализации злоумышленником каждой из рассматриваемых атак с учетом их сложности и взаимозависимости. Отметим, что интенсивность возникновения каждой из атак является суммой интенсивностей ее проведения в качестве самостоятельной атаки и в качестве этапа более сложной атаки, т.е.
(5.6)
Для каждой из атак получим следующие исходные значения интенсивности:
— для атаки «сниффинг сети», являющейся также этапом атаки «подмена доверенного объекта на основе перехвата сессии»:
1.11.11.7; (5.7)
— для атаки «сканирование портов», не имеющей самостоятельного значения, но являющейся этапом всех удаленных атак внутрисегментная и межсегментная соответственно:
1.21.31.41.51.61.7, (5.8)
2.22.32.42.52.6; (5.9)
— для атаки «отказ в обслуживании», являющейся также возможным этапом атаки «подмена доверенного объекта» внутрисегментная и межсегментная соответственно:
1.31.31.6, (5.10)
2.32.32.6. (5.11)
Для остальных атак значение фактической интенсивности совпадает со значением интенсивности появления в качестве самостоятельной атаки.
Таким образом, полученные интенсивности принимаются в качестве параметра для распределения вероятностей атак каждого типа. Однако эти распределения показывают вероятность возникновения атак, т.е. распределение вероятностей числа попыток злоумышленника провести атаку и не имеют отношения к их эффективной реализации.