Эксплуатационные характеристики безопасности

Сложность реализации угрозы безопасности

Сформулируем требования к моделированию характеристики сложности реализации угрозы атаки, исходя из того, что она создается совокупностью угроз уязвимостей [ 19]. Она должна:

• 1) определяться количественно для возможности ее последующего использования при моделировании эксплуатационных параметров и характеристик безопасности;
• 2) быть универсальной — применимой к оценке разнородных угроз атак, что позволит использовать для них единую шкалу сложности реализации;
• 3) нелинейно зависеть от вероятности возникновения реальной угрозы атаки при значительном опережении ее роста в области высокой готовности ИС к безопасной эксплуатации в отношении угрозы атаки;
• 4) определяться суммарной сложностью реализации создающих ее угроз уязвимостей.

Ранее мы говорили о том, что в современных условиях не имеет смысла оценивать квалификацию потенциального нарушителя, его практические навыки, обладание соответствующими техническими возможностями и т. д., поскольку существует и активно развивается нелегальный рынок услуг и средств реализации угроз атак. В этих условиях, в предположении о технической реализуемости угрозы атаки, существуют лишь два параметра безопасности, в равной мере определяющих сложность реализации угрозы атаки для потенциального нарушителя: это интенсивность возникновения и продолжительность устранения реальной угрозы атаки.

Высокая интенсивность возникновения позволяет потенциальному нарушителю прогнозировать появление в скором времени соответствующей актуальной угрозы атаки в И С. Как следствие, это дает ему возможность заранее подготовиться к реализации реальной угрозы именно этой атаки, в том числе предварительно получить всю необходимую для этого информацию об объекте атаки — об ИС.

Большая же продолжительность устранения реальной угрозы атаки позволяет реализовать реальную угрозу соответствующей атаки без скольконибудь значимой предварительной подготовки. Пусть подобная реальная угроза атаки редка, но она дает возможность осуществить все необходимые подготовительные этапы ее реализации уже после возникновения этой реальной угрозы атаки.

Оба этих параметра безопасности информации учитываются одной характеристикой — долей времени присутствия в системе реальной угрозы атаки, по крайней мере одной (отказа безопасности), определяемого с использованием рассмотренных ранее моделей вероятностью готовности системы к безопасной эксплуатации в отношении угроз атак.

Обозначим эксплуатационную характеристику безопасности «сложность реализации угрозы атаки» через S, соответственно сложность реализации угрозы атаки на угрозу уязвимостей реализации через S_y, а сложность реализации угрозы атаки, создаваемой соответствующей совокупностью угроз уязвимостей реализации, через 5_а.

Как следствие, можем говорить о том, что S = /(Р_0у), 5_а =/(Р_0а), где Р_0у и Р_0а — это надежностные вероятностные характеристики безопасности, соответственно угрозы уязвимостей реализации и угрозы атаки.

Как видим, сложность реализации угрозы атаки характеризуется тем, насколько неопределенным для потенциального нарушителя будет возникновение и присутствие в системе события — угроза атаки реальна. Это позволяет следующим образом определить характеристику сложности реализации угрозы атаки.

• Под эксплуатационной характеристикой безопасности «сложность реализации угрозы атаки» будем понимать меру неопределенности (неожиданности или, наоборот, ожидаемое™) для потенциального нарушителя присутствия в системе реальной угрозы этой атаки.

Мера неопределенности исхода некоторого события X (опыта) в теории информации характеризуется энтропией (информационной энтропией), которая определена К. Шенноном следующим образом [8]: при п возможных исходов случайного события, определяемых вероятностями каждого исхода события Р_п i = 1,…, /?, энтропия, или неопределенность исхода события Н (Х)

Шеннон предположил, что прирост информации равен утраченной неопределенности, и задал требования к ее измерению:

• • мера должна быть непрерывной, т. е. изменение значения величины вероятности на малую величину должно вызывать малое результирующее изменение функции;
• • в случае, когда все варианты равновероятны, увеличение количества вариантов должно всегда увеличивать значение функции;
• • должна быть возможность сделать выбор в два шага, в которых значение функции конечного результата должно являться суммой значений функций промежуточных результатов.

При этом Шеннон показал, что единственная функция, удовлетворяющая этим требованиям, имеет приведенный выше вид (вид логарифмической функции).

В любой момент времени ИС может находиться в одном из двух состояний — в состоянии отказа безопасности либо в состоянии отсутствия отказа безопасности.

• Иод энтропией состояния отказа безопасности ИС будем понимать меру неопределенности присутствия в системе отказа безопасности.

Замечание. Под состоянием отказа безопасности здесь понимаем возникновение в системе хотя бы одной реальной угрозы уязвимостей одного тина, если отказ безопасности рассматривается в отношении угрозы уязвимостей, либо возникновение в системе хотя бы одной реальной угрозы атаки одного типа, если отказ безопасности рассматривается в отношении угрозы атаки.

Поскольку энтропия является функцией состояния отказа безопасности ИС, то, применительно к состоянию возникновения в системе реальной угрозы атаки, она нс зависит от того, как осуществлен переход из одного состояния системы в другое, а определяется только начальным и конечным состояниями системы.

Для определения энтропии состояния отказа безопасности ИС для потенциального нарушителя в отношении угрозы безопасности в расчетной формуле энтропии целесообразно (но для последующих расчетов не обязательно, что рассмотрим далее) использовать логарифм по основанию 2.

Обоснуем сказанное. Поскольку в данном случае моделируется неопределенность состояния системы, а количество возможных состояний равно 2¹ = 2 (это возможные состояния отказа безопасности, присутствие либо отсутствие в ИС реальной угрозы отказа безопасности), определять энтропию, как и при определении информационной энтропии, единицей измерение которой является бит информации, целесообразно с использованием логарифма по основанию 2. Определяемая таким образом единица энтропии называется «двоичной единицей», так как при наличии в системе двух равновероятных состояний имеем.

С учетом сказанного энтропия состояния отказа безопасности ИС для потенциального нарушителя в отношении угрозы безопасности, вероятность возникновения которого обозначили через Р, должна определяться следующим образом:

Энтропия (или средняя энтропия) Н (Х) интерпретируется как математическое ожидание частных энтропий 1(Х):

где частная энтропия 1(Х) при двух исходах случайного события определяется с использованием логарифма по основанию 2 следующим образом:

Содержательный смысл частной энтропии состояния отказа безопасности ИС — это мера неожиданности возникновения и присутствия, поскольку требуется учитывать и продолжительность восстановления отказа безопасности — устранения реальной угрозы атаки. Чем меньше вероятность события, тем выше его частная энтропия, т. е. тем неожиданнее появление события. Если средняя энтропия (или просто энтропия) отражает неопределенность всей системы и рассчитывается как среднее значение (математическое ожидание) частных энтропий всех ее состояний (в нашем случае двух), то частная энтропия отражает неопределенность именно одного отдельного состояния системы — состояния отказа безопасности.

Таким образом, неопределенностью или неожиданностью для потенциального нарушителя является присутствие события отказа безопасности — возникновения и присутствия в системе по крайней мере одной реальной угрозы уязвимостей соответствующего типа, вероятность присутствия которой в системе определяется как 1 — P_0v, либо по крайней мере одной реальной угрозы атаки соответствующего типа, вероятность присутствия которой в системе определяется как 1 — Р_0а. При этом рассматриваем восстанавливаемую систему — все возникающие в ИС уязвимости должны устраняться.

Сложность реализации угрозы как мера неопределенности или неожиданности для потенциального нарушителя присутствия в системе реальной угрозы безопасности с учетом сказанного ранее может быть определена следующим образом:

Проанализируем данный подход к моделированию рассматриваемой эксплуатационной характеристики безопасности в части выполнения сформулированных выше требований к моделированию.

Для этого сначала рассмотрим, насколько реализованы первые три сформулированные требования к сложности реализации угрозы безопасности при определении ее через частную энтропию.

• 1. Характеристика сложности реализации угрозы безопасности определятся количественно, что обусловливает возможность ее последующего использования при моделировании эксплуатационных характеристик безопасности.
• 2. Характеристика сложности реализации угрозы безопасности универсальна в том смысле, что применима к оценке разнородных угроз безопасности, что позволяет использовать для них единую меру — шкалу сложности реализации. При ее оценке используются исключительно надежностные параметры безопасности угроз уязвимостей реализации.

Проанализируем вид функции 5_V (рис. 7.1). Аналогичный вид имеет и функция 5_а.

Рис. 7.1. Вид функции 5_у =/(Р_0у).

Как видим, сложность реализации угрозы безопасности нелинейно зависит от вероятности ее возникновения, при значительном опережении ее роста в области высокой готовности ИС к безопасной эксплуатации, причем при Р_0у = 0 имеем S_y = 0, а при Р_0у —? 1 имеем S_y

Единица сложности реализации угрозы отказа безопасности S_y = I (P_0y) = 1, соответственно, 5_а = /(Р_0а) = 1, задается условием Р_0у = 0,5 (см. рис. 7.1), соответственно Р_0а = 0,5, определяющим равную вероятность события, реальна или нет соответствующая угроза отказа безопасности.

Замечание. Именно подобная интерпретация единицы сложности реализации угрозы безопасности возможна при использовании для определения энтропии состояния отказа безопасности в расчетной формуле логарифма по основанию 2.

В качестве примера количественной оценки данной эксплуатационной характеристики безопасности сравним сложность реализации угрозы атаки на две угрозы уязвимостей реализации. Пусть для угрозы одной из них значение характеристики Р_0у составляет 0,7, для угрозы другой — 0,99. Видим, что в первом случае 5_у1 = 1,74, во втором случае 5 ₂ = 6,64, т. е. реализация успешной атаки на вторую угрозу уязвимостей для потенциального нарушителя в 3,82 раза сложнее, чем на первую, в то время как отношение значений вероятностей для рассматриваемых угроз уязвимостей реализации P_0v составляет всего 1,41. Как видим, присутствует и достаточно существенен при больших значениях P_0v опережающий рост значения характеристики сложности реализации угрозы безопасности.

Теперь остановимся на последнем сформулированном ранее требовании к данной характеристике — характеристика сложности реализации угрозы атаки должна определяться суммарной сложностью реализации создающих ее угроз уязвимостей.

Ранее мы показали, что при моделировании, реализуемом для оценки актуальности угроз атак, вероятность Р_0л того, что И С готова к безопасной эксплуатации в отношении угрозы атаки (стационарная вероятность, интерпретируемая как доля времени пребывания системы в соответствующем состоянии), создаваемой R угрозами уязвимостей реализации с соответствующими стационарными вероятностями готовности системы к безопасной эксплуатации в их отношении Р₀

Замечание. Как показали раньше, сказанное корректно применительно к моделям, в которых для обслуживания заявок различных типов используются различные обслуживающие приборы, т. е. в том случае, если в системе обслуживание заявок различных типов не зависимо.

Утверждение. Корректным и единственно возможным способом определения сложности реализации угрозы безопасности как меры неопределенности или неожиданности для потенциального нарушителя события отказа безопасности (присутствия в системе реальной угрозы) является определение сложности реализации угрозы частной энтропией 1{Х).

Доказательство. Вновь обратимся к требованию: характеристика сложности реализации угрозы атаки должна определяться суммарной сложностью реализации создающих ее угроз уязвимостей.

Исходя из того, что система готова к безопасной эксплуатации в отношении угрозы атаки с вероятностью Р_0а, которую мы определили выше, при вероятностях готовности к безопасной эксплуатации в отношении угроз уязвимостей реализации Р_0/., создающих угрозу этой атаки, г = 1,…, Р, сложность реализации угрозы атаки 5_а определяется следующим образом:

С учетом этого, используя соответствующее свойство логарифмов, можем записать:

Как видим, при использовании логарифмической функции для определения сложности реализации угрозы атаки соответствующее требование выполняется корректно. То, что это единственно корректный способ определения сложности реализации угрозы безопасности, следует из соответствующего доказательства Шеннона, о чем говорили выше.

С учетом сказанного характеристика сложность реализации угрозы безопасности может быть определена следующим образом.

• Под эксплуатационной характеристикой «сложность реализации угрозы безопасности» будем понимать частную энтропию 1(Х).

Сложность реализации угрозы уязвимостей рассчитывается по формуле (7.1), сложность реализации угрозы атаки — по формулам (7.2) и (7.3).

Таким образом, моделирование характеристики сложность реализации угрозы атаки в моделях, где для обслуживания заявок различных типов используются различные обслуживающие приборы (т.е. в том случае, если в системе обслуживание заявок различных типов независимо), состоит в моделировании сложностей реализации угроз уязвимостей, создающих эту угрозу атаки, с последующим сложением их значений.

Замечание. При моделировании сложности реализации угрозы уязвимостей следует моделировать угрозу отказа безопасности, т. е. использовать модель с объединенным состоянием, характеризующим присутствие в системе как минимум одной реальной угрозы уязвимостей соответствующего типа. При этом характеристика P_0v будет определяться следующим образом: P_0v = 1 — Х/л, где.

X и ц — интенсивности возникновения и устранения уязвимостей соответствующего типа. Как строятся подобные модели, мы рассмотрели ранее.