Методический анализ информационной безопасности для оценки защищенности

Аннотация. В статье рассматриваются вопросы совершенствования подхода к анализу информационной безопасности для оценки защищенности. Предложены новые подходы к оценке защищенности и  выбору защитных мер,  основанные на комплексной системе показателей и алгоритмов их вычисления, которые позволят учитывать различные характеристики компьютерных  атак и выбирать наиболее эффективные защитные меры.

Ключевые слова: Информационная безопасность, защитные меры, оценка защищенности, анализ.

Информационная безопасность задача комплексная и реализуется проектированием и внедрением системы безопасности с использованием современных средств защиты информации. Проблема защиты информации обусловлена возрастающей ролью информации в общественной жизни и является многоплановой которая охватывает ряд важных задач.

Действующие нормативные правовые акты не предусматривают эффективную защиту информации и только комплекс мер способен обеспечить полную защиту информации и снизить риски.

Сегодня в большинстве коммерческих и государственных организаций от которых может зависить в том числе безопасность граждан, используются компьютерные сети (КС), что создает возможность для осуществления угроз в отношении информационных систем, с целью получения коммерческой выгоды или другими целями. Этот факт подтверждается высоким уровнем киберпреступности в мире. В настоящее время в области информационной безопасности (ИБ) предпринимаются серьезные мероприятия, раскрываемость киберпреступлений остается достаточно низкой.

Серьезную проблему в обеспечении ИБ представляют открытые распределенные сети с большим количеством узлов, доступ к информационнымсистемам большого количества разного характреа устройств, а также уязвимости программного обеспечения (ПО), что обеспечивает благоприятную среду для реализации атак. Причина роста числа реализованных атак чаще всего является рост количества уязвимостей в ПО.

В стандарте ГОСТ Р ИСО/МЭК ТО 13335-3-2007 сказано «если организация не уверена в том, что функционирование ее систем информационных технологий абсолютно не критично к внешним угрозам, она может впоследствии встретиться с серьезными проблемами.» Примером этого может служить атака Massive Data Exfiltration via SQL Injection на XYZ National Bank, когда одно незащищенное поле стоило компании примерно 200000 $. Причем базовое сканирование логов и предупреждений помогло бы обнаружить SQL-инъекцию и инцидент обошелся бы в 24980 $. А если бы уязвимость к SQL-инъекции была устранена в процессе разработки, то компания бы не понесла убытков. Поэтому очень важной задачей для обеспечения ИБ в организации является выявление уязвимостей ПО для исключения возможности их использования в компьютерных атаках. В наше время для исключения возможности реализации компьютерных атак успешно применяются графы атакующих действий, но приведенный выше пример показывает, что важно не только уметь выявить уязвимости, которые могут использоваться для атаки на КС, но и осуществить оценку их возможного влияния на бизнес-процессы организации.

В связи с увеличением различных приложений для компьютеров, необходимых для осуществления бизнес-процессов в организации, и развитием концепции сервис-ориентированных архитектур, не просто определить как именно уязвимость может повлияеть на бизнес-процесс в деятельности организации.

Дополнительно еще одной проблемой в современных ИС является большое количество информации в разных форматах и событий информационной безопасности. Среднее количество сообщений, генерируемых различными устройствами за один день может быть от нескольких десятков (приложения, прокси серверы, системы контроля доступа, системы обнаружения вторжений и реагирования на вторжения) и сотен тысяч (межсетевые экраны, маршрутизаторы, центральные процессоры) до нескольких миллионов (базы данных). Осуществить обработку такого количества информации ручным способом практически невозможно. Надо понимать, что в случае, если система подвергается атаке, важным становится временной аспект. Следовательно возникает проблема автоматизации обработки этой информации, ее представления в удобном виде для администратора (оператора) и автоматизация выбора защитных мер в короткие сроки. Для решения этой проблемы в настоящее время активно развиваются системы мониторинга безопасности и управления инцидентами (Security Information and Events Management, SIEM). SIEM-системы обычно включают базовые показатели, оценивающие количество уязвимостей, инцидентов. Такие показатели не дают полной картины информационных и бизнес-рисков, порождаемых потенциальными угрозами, и не позволяют принять обоснованное решение по выбору и внедрению защитных мер (контрмер).

Подход к оценке защищенности КС и выбору защитных мер, основанный на комплексной системе показателей и алгоритмов их вычисления с применением графов атак, зависимостей сервисов, которые позволят учитывать различные характеристики компьютерных атак и различные аспекты функционирования защищаемой системы, приведет к существенному повышению эффективности реагирования на инциденты ИБ и выбору эффективных защитных мер и поможет повысить защищенность программных продуктов и бизнес-процессов.

Для оценки защищенности КС, анализа рисков и выбора защитных мер посвящено большое количество государственных стандартов, документов, коммерческих стандартов, и работ. Анализ этих работ показал, что текущие исследования предлагают для оценки защищенности и выбора контрмер большое количество различных показателей и методик их вычисления, в том числе на основе графов атак и зависимостей сервисов, но не существует единого подхода к выбору, определению и вычислению показателей защищенности,  позволяющего  учитывать различные данные при формировании показателей, и осуществлять оценку защищенности на различных этапах функционирования системы. Из этого можно выявить первое противоречие - необходимость количественного обоснования затрат на управление безопасностью на основе измерения текущего уровня защищенности системы с целью выбора эффективных защитных мер, и отсутствие четкого подхода к определению и вычислению показателей защищенности.

На данный момент существует большое количество исследований в области выбора защитных мер для реагирования на компьютерные атаки, но не существует коммерческого решения в рамках SIEM-систем, использующего все их возможности. Предлагаемые методики ограничиваются детальным исследованием только одного из наборов характеристик атак и принимаемых защитных мер, например, уровнем навыков атакующего, потенциалом атаки, возможным ущербом. По этому, второе противоречие состоит в необходимости измерения и оценки защищенности на основе адекватных количественных показателей с учетом множества данных, предоставляемых SIEM системами, и автоматизированного выбора защитных мер на основе комплекса данных показателей, и отсутствии таких показателей и методик в современных SIEM-системах.

Разрешение двух описанных противоречий поможет повысить защищенность программных продуктов и бизнес-процессов. Предлагаемый подход предполагает разработку комплексной системы показателей и алгоритмов их вычисления на основе графов атак и зависимостей сервисов. Он подразумевает использование более сложных алгоритмов вычисления показателей при статическом режиме работы, учет информации о событиях безопасности в режиме, близкому к реальному времени, а также быстрый перерасчет показателей на основе новой поступающей информации, что позволит отслеживать направление и уровень сложности атаки, ее цели и характеристики атакующего и выбирать наиболее эффективные защитные меры. Этот подход в целом приведет к существенному повышению эффективности реагирования на инциденты ИБ и выбора защитных мер.