Факторы уязвимости вычислительных систем

Ошибки в программах (или конструкции оборудования). Значительная часть реализующихся угроз связана с ошибками при проектировании и реализации программных компонентов ВС, реже — аппаратных. Эти ошибки могут носить рутинный характер (невнимательность программиста) или концептуальный характер (ложные предположения об условиях эксплуатации системы, явно или неявно принимаемые разработчиками). В подавляющем большинстве случаев на момент реализации такой угрозы использованная злоумышленником уязвимость уже известна, и ее реализация связана с тем, что компонент не был своевременно обновлен или выведен из эксплуатации.

Ошибки оператора и администратора, человеческий фактор в целом. Значительная часть угроз реализуется из-за ошибок пользователя, а также ошибок в администрировании системы. Человеческий фактор, связанный с неспособностью или нежеланием персонала следовать установленным регламентам, настолько важен, что должен рассматриваться отдельно.

Вредоносные программы. Существование так называемых «вредоносных программ» не является отдельным фактором уязвимости, скорее это «усилитель уязвимости». К ним относятся: Иксплойты (от англ. «exploit» — «проделка», «проказа») — программы, реализующие известный сценарий атаки, обычно удаленно, посредством сетевого доступа. Иксплойт не открывает новой уязвимости, однако позволяет эксплуатировать ее широкому кругу лиц с квалификацией на порядки ниже, чем требуется для ее обнаружения или написания вредоносной программы.

Другой группой вредоносных программ являются вирусы и черви — программы, способные к «размножению» (самовоспроизведению), часто наносящие и иной, нежели потребление ресурсов, ущерб. Написать вирус легко, однако успешно «размножаться» он будет лишь в приспособленной для этого среде, которую образуют некоторые операционные системы и низкая квалификация администраторов (приводящая, в частности, к несвоевременному обновлению программ, уязвимость которых к конкретным вирусам уже обнаружена и широко известна). Оценка совокупного ущерба, наносимого «вирусами» (самой распространенной категорией вредоносных программ) колеблются в пределах от десятков миллиардов до триллионов долл. США в год. Оборот отрасли «антивирусных программ», существующей благодаря уязвимости вычислительных систем, исчисляется миллиардами долл. в год.

«Троянские кони» — программы, скрытно от оператора выполняющие иные функции, нежели объявлено в документации, и, как правило, не способные к «саморазмножению».

Мероприятия и средства повышения безопасности вычислительных систем

Человеческий фактор

«Человеческий фактор» остается основной проблемой обеспечения безопасности вычислительных систем (так же, как и любых других технических систем).

Люди плохо приспособлены к рутинному выполнению обязательных процедур в строго установленном порядке. Люди часто ошибаются в восприятии рисков, в особенности, если существует фундаментальная неопределенность в их оценке. Кроме того, людям свойственен ряд качеств, крайне полезных вообще, но создающих проблемы в данном конкретном случае:

· концентрация на сути выполняемого дела, а не на привходящих обстоятельствах;

· желание выполнить работу в срок и с надлежащим качеством, обходя мелочную регламентацию;

· доверчивость (в особенности) к коллегам или близким людям;

· солидарность с коллегами, желание быть им полезным.

Эксплуатация этих человеческих качеств с целью обхода процедур обеспечения компьютерной безопасности называется «социальными махинациями». Кевин Митник, известный успешным проникновением в сотни вычислительных систем, включая высокозащищенные корпоративные, правительственные и военные сети, свидетельствовал перед Конгрессом США, что «…лишь изредка был вынужден прибегать к техническим атакам... Компании могут тратить миллионы долларов на техническую защиту, и все это зря, если можно позвонить кому-нибудь по телефону и убедить его сделать с компьютером что-то, что снизит уровень его защиты или раскроет необходимые сведения».

Для радикального снижения негативного влияния человеческого фактора на безопасность технических систем нет иного пути, нежели разъяснения сути вопроса и, более широко, переподготовка кадров.

Моделирование угроз и планирование противостояния им

Любые мероприятия, направленные на повышение безопасности ВС, малоосмысленны без моделирования угроз. Модели угроз должны включать:

· сценарий реализации определенного типа угрозы;

· методику оценки возможного ущерба от нее;

· методику оценки мероприятий по противодействию ей.

Моделирование угроз не должно быть лишь стадией в проектировании и реализации системы, оно должно быть включено в ее сопровождение. Модели угроз должны адаптироваться по мере того, как у владельца системы появляются сведения о новых типах угроз или уязвимостей.

Стратегия повышения безопасности системы включает определение принципов, снижающих риски реализации угрозы, в том числе:

· разделение подсистем (экранирование отдельных подсетей, изоляция отдельных компьютеров и сетей);

· обнаружение и усиление слабейшего звена в безопасности системы на каждый момент;

· мониторинг системы (отслеживание типичных сценариев атаки или мониторинг «необычного» поведения ВС);

· многоуровневая защита («защита в глубину»);

· обеспечение понимания принципов и следования им персоналом.

Отслеживание сведений об уязвимости компонентов системы и реализованных в ней проектных решений, своевременное обновление (модификация) системы и ее компонентов.

Обнаружение и расследование реализовавшейся угрозы.

Разумные меры, направленные на преследование нарушителя (административное наказание, сотрудничество с правоохранительными органами и т.п.).

Ликвидация уязвимости, выявленной в ходе расследования реализовавшейся угрозы.

Разграничение доступа и идентификация

Одним из основных средств обеспечения безопасности ВС является разграничение полномочий вычислительных процессов, реализуемое всеми универсальными операционными системами (ОС) и большинством систем управления базами данных (СУБД).

Распределение полномочий означает, что каждой паре «процесс–данные» («субъект» действия–«объект» действия) сопоставляется список допустимых действий.

Полномочия прикладных процессов определяются полномочиями оператора, а для того, чтобы система могла определить, какой оператор запустил процесс, ОС и СУБД реализуют механизмы идентификации в системе. В простейшем случае идентификация осуществляется вводом оператора по приглашению системы регистрационного имени и пароля (слова или фразы, предположительно известных только данному лицу).

Криптография

Криптография — построение и практическая реализация вычислительных методов и протоколов, обеспечивающих нужные свойства в части секретности и достоверности данных. Криптографические приложения обильны и разнообразны. Мы рассмотрим в общих чертах реализацию трех базовых задач.

Шифрование с секретным ключом (симметричное шифрование) является классическим криптографическим методом. При симметричном шифровании фрагмент специально подготовленных данных (секретный ключ) должен быть доступен двум сторонам, вступающим в конфиденциальную коммуникацию и недоступен любой третьей стороне.

Шифрование с открытым ключом. При шифровании с открытым ключом каждая взаимодействующая сторона генерирует по определенным математическим правилам ключевую пару: открытый ключ и закрытый ключ. Открытый ключ должен быть доступен второй стороне, вступающей в коммуникацию, и может быть передан ей по открытому каналу, т.к. открытый ключ имеет «стойкость к разглашению». Закрытый ключ хранится сгенерировавшей его стороной в секрете и никому не передается. Недостатком асимметричного шифрования является необходимость защиты открытого ключа от подмены (преодолевается разворачиванием инфраструктуры доверия или сертификационной иерархии.

Цифровая подпись. Методы асимметричной криптографии позволяют также решить задачу идентификации отправителя сообщения, контроля аутентичности содержимого сообщения.

В интернет-сетях стандартизовано шифрование трафика в сетевом (стандарт IPSec) и прикладном (стандарты SSL/TSL, PGP/MIME, S/MIME) слоях сетевой модели (в терминах пятислойной модели интернет-сетей).

При шифровании на сетевом уровне шифрованию подвергается весь трафик (обмен данными) между установившими соединение узлами сети. IPSec предусматривает использование «транспортного» режима, осуществляющего шифрование полезной нагрузки IP-пакетов в той же сети, в которой установлено соединение, и режим «туннелирования», в котором поверх сети установлено соединение. Разворачивается еще одна виртуальная сеть с отдельным адресным пространством, и ее пакеты «упаковываются» в пакеты сети, в которой устанавливается защищенное соединение.

При туннелировании шифрованию и/или контролю аутентичности подвергается не только полезная нагрузка пакетов, но и адреса узлов отправителя и получателя, а также другая служебная информация.

На прикладном уровне шифрованию и/или контролю аутентичности подвергаются данные, которыми обмениваются прикладные программы. Такими данными могут быть, например, страница гипертекста или сообщение электронной почты, сеанс удаленной связи.

Реализация криптографически защищенных файловых систем (на уровне отдельных файлов или томов файловой структуры), а также систем управления базами данных представляет на сегодняшний день совокупность нестандартизованных и несовместимых технических решений.

До сего дня не существует официальных международных стандартов на базовые криптографические примитивы (алгоритмы шифрования, цифровой подписи, стойкого хеширования). На практике это означает, что большинство популярных реализаций содержит примитивы, стандартизованные на самом большом — американском — рынке ВТ.

Поиск по сайту: