Забезпечення гарантiй виконання вимог полiтик безпеки |
63 |
3)пiдхiд формування “дерева атак”;
4)мiжнароднi стандарти (наприклад ISO 17799, 13335);
5)державнi стандарти (BSI, НД ТЗI);
6)спецiалiзованi методики (CRAMM, OCTAVE, IAM, SP 80030, STRIDE/DREAD, ASM).
Зточки зору аналiзу ризику функцiонування найбiльш важливими на сьогоднiшнiй час є наступнi пiдходи:
базовий аналiз за стандартом ISO 17799;
детальний аналiз за методикою CRAMM (Великобританiя);
методологiя IAM (NSA’s InfoSec Assessment Methodology), використана при розробленнi NIST SP 800-37 + SSE-CMM;
керiвництво з управлiння ризиком NIST Risk Management Guide for Information Technology, SP 800-30;
аналiз ризику з використанням дерева атак;
аналiз ризику за методикою OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), розроблена Carnegie Mellon University;
методологiя проектування систем безпеки Agile Security Modeling, розроблена Carnegie Mellon University;
методика оцiнки вразливостей програмного забезпечення STRIDE/DREAD, розроблена компанiєю Microsoft;
BSI |
(Bundesamt |
fur |
Sicherheit |
in |
der |
Informati- |
||
onstechnik). |
IT |
Baseline |
Protection |
|
Manual |
|||
(http://www.bsi.de/gshb/english/menue.htm); |
|
|
|
|||||
Information |
Technology |
Security |
(ITS) |
Mi- |
||||
nimum |
|
Baseline |
Protective |
|
Requirements |
|||
(http://esdis.dsfo.nasa.gov/SECURITY/REQ/BASEREQ/bas ereqlist.html).
4.2.6 Методика використання дерева атак
Ця методика є подальшим розвитком пiдходу до опису атак з використанням матричних схем, запропонованого Ландвером (Landwehr) [44]. Методика була узагальнена та запропонована Б. Шнайером [47, п.п 2.4] i складається з наступних етапiв:
1) формування дерева атак (на основi життєвого циклу) (рис.
4.2, 4.3);
64 |
Роздiл 4 |
2)надання важелiв листям (вагових коефiцiєнтiв) (рис. 4.4);
3)скорочення дерева доки не залишаться тiльки актуальнi листя (рис. 4.5);
4)визначення вiдповiдних мiр захисту (рис. 4.5);
5)аналiз та оптимiзацiя дерева та мiр захисту.
Рис. 4.2. Приклад дерева атак
4.2.7 Методика STRIDE / DREAD
Основнi риси:
1)управлiння ризиком для програмних прикладень, розроблена компанiєю Microsoft;
2)легко адаптується пiд iншi платформи (GNU/Linux, Symbian, Java, Apache та iн.);
3)є безкоштовне програмне забезпечення.
Основнi етапи:
1)визначення цiнних ресурсiв;
2)формування архiтектури об’єкту аналiзу;
3)декомпозицiя об’єкту аналiзу;
Забезпечення гарантiй виконання вимог полiтик безпеки |
65 |
Рис. 4.3. Приклад дерева атак
Рис. 4.4. Надання важелiв листям
4)визначення загроз;
5)опис загроз;
6)оцiнка ризику (методика DREAD).
Методика STRIDE/DREAD розроблена компанiєю Microsoft, для моделювання загроз та аналiзу технологiям оброблення iнформацiї в обчислювальних системах.
66 |
Роздiл 4 |
Рис. 4.5. Скорочення дерева та визначення мiр захисту
Етап 1. Визначення потокiв iнформацiї та побудова дiаграм потокiв даних (рис. 4.6).
Етап 2. Класифiкацiя загроз за методикою STRIDE по категорiях:
Пiдмiна об’єктiв доступу (мережних) (Spoofing identity).
Модифiкацiя даних (якi передаються та обробляються) (Tampering with data)
Вiдмова вiд авторства повiдомлень (Repudiation).
Розголошення iнформацiї (Information disclosure).
Вiдмова в обслуговуваннi (Denial of service).
Пiдвищення привiлеїв (Elevation of privilege).
Етап 3. Для виявлених загроз побудова “дерева загроз” (рис.
4.7).
Етап 4. Розподiлення загроз в залежностi вiд їх небезпечностi. Оцiнка небезпеченостi загроз за методикою DREAD.
Категорiї, що використовуються:
Потенцiйний збиток (Damage potential).
Вiдтворюванiсть (Reproducibility).
Схильнiсть до зламу (Exploitability).
Коло користувачiв, яким буде нанесено збиток (A ected users)
Ймовiрнiсть виявлення факту (Discoverability)
Для кожної загрози за даними категорiями дається експертна
оцiнка за обраною числовою шкалою (наприклад вiд 1 до 10). Оцiн-
Забезпечення гарантiй виконання вимог полiтик безпеки |
67 |
Рис. 4.6. Приклад дiаграми потокiв даних
ка небезпечностi дається як середьоарифметичне вiд оцiнок за категорiями.
Етап 5. Вибiр можливих шляхiв реакцiї:
нiчого не робити;
попередити користувачiв;
лiквiдувати причини появи вразливостi в системi;
лiквiдувати причини появи загрози.
Етап 6. Якщо система змiнилася заново виконати Етапи 1-5.
Якщо результат є задовiлним процес закiнчується.