1
y
4
x
2
y
4
x
4
y
1
x
3
y
2
x
3
x
4
x
4
x
1
x
1
x
4
x
3
x
2
=0,
12. f
17
g
2
: x
1
y
4
x
4
y
1
x
4
x
4
x
1
x
1
x
2
x
1
=0,
13. f
18
g
0
g
2
: x
1
y
3
x
4
y
3
x
4
y
1
x
4
x
1
x
3
x
1
=0,
14. f
19
g
0
: x
1
y
2
x
4
y
3
x
3
x
1
=0,
15. f
20
g
2
: x
1
y
1
x
4
y
1
x
4
x
4
x
1
=0,
16. f
21
g
1
g
3
: y
4
y
3
x
2
y
4
x
2
x
1
x
1
x
3
x
1
x
3
x
2
=0,
17. f
22
g
2
: y
4
y
2
x
4
y
1
x
4
x
2
x
2
x
1
x
3
x
1
x
3
x
2
x
4
x
2
x
4
x
3
=0,
18. f
23
g
1
g
2
g
3
g
4
: y
4
y
1
x
2
y
4
x
3
y
2
x
3
x
4
x
3
=0,
19. f
24
g
1
g
2
g
3
g
4
: y
3
y
2
x
2
y
4
x
3
y
2
x
3
x
4
x
2
x
1
x
2
x
4
x
2
x
1
1=0,
20. f
25
: y
3
y
1
x
1
x
3
x
3
x
1
x
4
x
4
x
1
x
4
x
3
1=0,
21. f
26
g
1
: y
2
y
1
y
4
x
2
x
4
x
3
x
3
x
3
x
1
x
4
x
4
x
1
1=0.
При анализе приведенного выше 21 уравнения видно, что все они
линейно независимые и для всех удовлетворяется deg=2.
Приведенный в данной статье метод построения алгебраической системы
уравнений может быть использован как одно из средств для повышения
229
эффективности применения алгебраического метода криптоанализа к блочным
симметричным алгоритмам шифрования.
Литература
1.
Courtois N., Pieprzyk J. Cryptanalysis of block ciphers with overdefined
systems of equations // ASIACRYPT, 2002. – P. 267-287.
2.
Бабенко Л.К., Ищукова Е.А. Анализ симметричных криптосистем //
Известия ЮФУ. Технические науки. – 2012. – № 12 (137). – С. 136-147.
3.
Бабенко Л.К., Маро Е.А. Алгебраический криптоанализ упрощенного
алгоритма шифрования Rijndael // Известия ЮФУ. Технические науки. – 2009. –
№ 11 (100). – С. 187-199.
4.
Бабенко Л.К., Маро Е.А. Анализ стойкости блочных алгоритмов
шифрования к алгебраическим атакам // Известия ЮФУ. Технические науки. –
2011. – № 12 (125). – С. 110-119.
5.
Грушо А.А., Тимонина Е.Е., Применко Э.А. Анализ и синтез
криптоалгоритмов. Курс лекций. – Йошкар-Ола: Изд-во МФ МОСУ, 2000. +5+
6.
Маро Е.А. Разработка и исследование алгоритмов алгебраического
криптоанализа // Материалы I Всероссийской молодежной конференции по
проблемам информационной безопасности ПЕРСПЕКТИВА − 2009. −
Таганрог: Изд-во ТТИ ЮФУ, 2009.− С. 259 − 265.
Лившиц И.И.
ФОРМИРОВАНИЕ КОНЦЕПЦИИ МГНОВЕННЫХ АУДИТОВ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ООО «Газинформсервис», Санкт-Петербург, Российская Федерация
Введение. Проблема выполнения аудитов (как процесс оценки) для больших
и/или сложных систем рассматривалась в классических трудах Н. Винера, Р.
Кини, Х. Райфа, И. Пригожина [1 – 3]. В настоящее время представлены
230
различные материалы по актуальной проблеме противодействия угрозам
«нулевого дня» (“zero-day”). В частности отмечается, что «любые процессы,
управляемые людьми, ненадёжны», поэтому крупнейшие поставщики средств
ИБ
предлагают
«единственный»
вариант
–
только
постоянное
совершенствование технических средств защиты информации (СрЗИ), в
частности, Check Point Threat Emulation и Qualys Continuous Monitoring [4 – 6].
Подобная оценка представляется коммерчески выгодной, но весьма далекой от
решения хорошо известной технической проблемы – противостояния СрЗИ как
«брони» и угроз – как «снаряда».
Очевидно, что «гонка вооружения» между целевыми (таргетированными)
атаками (“advanced persistent threats”, APT) не приведет в ближайшем времени к
повышению уровня защищенности объектов, и это отмечается многими
экспертами [8 – 9]. В этой ситуации предлагается применять не только
технический подход (СрЗИ) для противодействия угрозам «нулевого дня», но
предложить комбинированный метод, основанный на концепции мгновенных
аудитов ИБ. Методической базой концепции мгновенных аудитов является
семейство стандартов ISO серии 27001, дополненное множеством
(расширяемым) метрик ИБ для формирования количественной оценки уровня
защищенности объекта [7]. Для формирования концепции мгновенных аудитов
ИБ, как средства противодействия АТР, представляется полезным применить
известное математическое понятие предела функции, точнее, предела слева,
которое позволит формировать количественные оценки защищенности в
процессе выполнения аудитов ИБ.
Постановка задачи. Реализация требований ИБ в предлагаемой концепции
дополняется еще одним важным параметром – требуемой частотой выполнения
аудитов с целью максимального повышения осведомленности и скорости
принятия адекватных решений об уязвимостях, которые могут быть
использованы злоумышленниками для реализации АТР, об объективной оценке
текущего уровня обеспечения ИБ. В этих условиях постановка задачи
231
формулируется следующим образом – разработка концепции мгновенных
аудитов ИБ на методической базе риск-ориентированных стандартов ISO, с
целью обеспечения комплексного подхода для оценивания защищенности
ценных для бизнеса объектов с любой требуемой частотой.
Обоснование практической ценности мгновенных аудитов. Практическая
ценность предлагаемой концепции мгновенных аудитов основана на известных
фактах, что порядка 96% успешных взломов можно было бы избежать, если бы
был внедрен ряд простых мер ИБ, а более 75% атак использовали уже
известные уязвимости, которые могли бы быть «закрыты» регулярными
патчами безопасности [4 – 6]. При этом отмечается, что 85% реально
произошедших вторжений были обнаружены спустя месяцы (среднее время
обнаружения – 5 месяцев) [4 – 6].
В качестве мер противодействия угрозам «нулевого дня» в настоящее
время применяются различные подходы, направленные, в основном, на
пресечение последствий потенциально возможных угроз, но не на выявление и
устранение уязвимостей, например:
1.
«Песочницы», имитирующие рабочие станции организации,
2.
Анализ аномальной сетевой активности,
3.
Поведенческий анализ рабочих станций.
Соответственно, для атак «нулевого дня» (реакция на которые крайне
критична по времени) указанные выше примеры дают известный эффект только
при постоянном наращивании вычислительных ресурсов для сокращения
времени «аналитических» проверок СрЗИ в режиме, близком к режиму
реального времени. При этом не инициируется объективный анализ всей
совокупности потенциальных уязвимостей и не затрагивается уровень
технологических, программных и иных уязвимостей [8, 9].
Важным
преимуществом
предложенной
концепции
является
акцентирование именно на получении численных оценок, а не простого
«соответствия» или «несоответствия». Именно периодическое систематическое
232
получение измеримых численных оценок ИБ, представляется практически
полезным для лиц, принимающих решение (ЛПР).
Концепция мгновенных аудитов СМИБ. Концепция мгновенных аудитов
предполагает реализацию принципа выполнения аудитов ИБ с частотой,
определяемой высшим менеджментом (ЛПР) и зависящей от предыдущего
состояния «слева» уровня защищенности объекта [8, 9]. Иными словами, если
предыдущий Аудит_1 ИБ, проведенный, предположим, месяц назад (отметка t
0
)
выявил ряд несоответствий (в терминах [7]) и показал, что 40% компьютеров
по-прежнему работают под Windows ХР с SP2, на 60% рабочих станций
пользователи обладают правами администратора, на 70% ноутбуков
обновление антивируса не выполняются и/или отключены, то оценка (отметка
t
1
) текущего уровня защищенности R
base
| t
1
<= R
base
| t
0
, т.е. не выше
предыдущей (см. рис. 1).
Рис. 1. Оценка достижения уровней защищенности
Обоснование математической базы концепции мгновенных аудитов. Для
формирования оценки защищенности по результатам аудитов ИБ необходимо
применять достоверные математические понятия, дающие обоснование
предложенной концепции, в частности одностороннего предела (точнее,
предела функции слева).
lim
∆x → 0
=
f (x + ∆x) − f (x)
∆x
= lim
d
dx
f(x) = f
′
(x)
233
Соответствующий односторонний предел называют левой производной,
обозначают
f
−
′
(x) [10]. Левая производная позволяет оценить требуемый
интервал, на котором допустимо (по времени) могут быть выполнены
необходимые изменения в СМИБ и обосновано проведение нового аудита ИБ.
Для цели противодействиям угрозам «нулевого дня» рассмотрим
действительную функцию переменных:
y = f (
??????
1
, ??????
2
, ??????
3
, … , ??????
??????
)
где, например, первые 4 переменные описывают атрибуты аудитов ИБ:
x
1
– частота проведения аудитов, определяемая как отношение кол-ва
аудитов в СМИБ к наблюдаемому периоду;
x
2
– объем программы аудитов, определяемый как отношение кол-ва
охваченных процессов к общему кол-ву процессов в заявленной области
сертификации СМИБ;
x
3
– метрика достижения уровня защищенности, определяемая как мера
результативности СМИБ R
base
/ R
Max
;
x
4
– метрика выполнения корректирующих действий, запланированных на
интервал проведения аудитов ИБ.
Для одной изменяемой переменной
x
1
(например, частоты проведения
аудитов ИБ) оценим практическое значение частной производной (при
неизменности иных переменных), получаем оценку скорости роста уровня
защищенности СМИБ:
∂
∂x
1
= f ′x
1
(x
1
, x
2
, x
3
, … . , x
n
) =
∆R
k
∆ t k
Реализация концепции мгновенных аудитов для оценки защищенности
ценных для бизнеса активов с любой требуемой частотой, может быть
продемонстрирована как сокращение периода (увеличение частоты) проведения
аудитов ИБ при использовании предела слева функции переменных. При этом
объективно повышается способность системы (СМИБ или ИСМ) эффективно
234
противодействовать угрозам «нулевого дня» в режиме, близком к режиму
реального времени. В примере для одной переменной
x
1
продемонстрировано
увеличение скорости роста уровня защищенности СМИБ
∆R
k
∆ t k
при известных
переменных процесса аудитов ИБ (см. рис. 2).
Рис. 2. Пример увеличения скорости роста уровня защищенности
Литература
1.
Винер Н. Кибернетика, или управление и связь в животном и машине. – 2-е
издание. – М.: Наука; Главная редакция изданий для зарубежных стран,
1983. – 344 с.
2.
Р.Л. Кини, Х. Райфа. Принятие решений при многих критериях:
Предпочтения и замещения: Пер. с англ./ Под ред. И.Ф. Шехнова. – М.:
Радио и Связь. 1981. – 560 с.
3.
Пригожин И., Стенгерс И. Время. Хаос. Квант. К решению парадокса
времени. М.: Едиториал УРСС, 2003. – 240 с.
4.
Сотников Павел. Защита Информации 2.0, непрерывный аудит
безопасности Qualys http://www.infosecurityrussia.ru/2013/expo/qualys (дата
обращения 07.07.2015)
5.
An Osterman Research White Paper «Dealing with Data Breaches and Data
Loss Prevention», Published March 2015, Osterman Research, Inc.
235
6.
Wall Street Journal, 9/18/14 “Chinese Hacked U.S. Military Contractors, Senate
Panel Say”, опубликовано http://www.slideshare.net/SelectedPresentations/08-
smorodinsky, дата обращения 23.03.2015
7.
Information technology – Security techniques – Information security
management systems – Requirements: ISO/IEC 27001:2013, International
Organization for Standardization, 2013. – 23 pages.
8.
Лившиц И.И. Совместное решение задач аудита информационной
безопасности и обеспечения доступности информационных систем на
основании требований международных стандартов BSI и ISO //
Информатизация и Связь, 2013, вып. 6; с. 62 – 67;
9.
Лившиц И.И. Практические применимые методы оценки систем
менеджмента информационной безопасности // Менеджмент качества,
2013, вып. 1; с. 22 – 34;
10.
Г. Корн, Т. Корн, Справочник по математике для научных работников и
инженеров, М.: Наука, 1978. — 832 с.
Лившиц И.И., Танатарова А.Т.
ПОВЫШЕНИЕ УРОВНЯ ОБЕСПЕЧЕНИЯ ИБ ПРИ ВНЕДРЕНИИ СМИБ
В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ГОСТ Р ИСО/МЭК 27001
ООО «Газинформсервис», Санкт-Петербург, Российская Федерация;
НЭУ им. Т. Рыскулова, Алматы, Республика Казахстан
Введение. Актуальность проблемы повышения уровня ИБ является
закономерным следствием увеличения количества и серьезности последствий
угроз (внешних и внутренних) для защищаемых активов, а также постоянным
ростом сложности требований, в том числе соответствия комплексу требований
«регуляторов». Для решения поставленной проблемы для высшего руководства
организации рекомендуется в качестве оптимального способа обеспечения
безопасности
бизнес-процессов
рассматриваться
внедрение
систем
236
менеджмента
информационной
безопасности
(СМИБ).
При
оценке
результативности СМИБ должны быть приняты во внимание требования
стандартов ГОСТ Р ИСО/МЭК 27001 и отраслевых стандартов.
Статистика сертификации СМИБ. Традиционно высокий рейтинг в мире
стандартов ISO/IEC серии 27000 отмечается в ежегодных отчетах ISO. Из
данных отчета «The ISO Survey of Management System Standard Certifications –
2013» (октябрь 2014 г.), следует, что в мире насчитывалось свыше 22.000
сертификатов, выданных органами по сертификации на соответствие
требованиям ISO/IEC 27001:2005. Динамика прироста сертификатов по
сравнению с предыдущим годом составляет 14% (см. рис.1). Стандарт ISO
27001 несколько лет подряд демонстрирует двузначный стабильный рост.
Соответственно, высший менеджмент решает проблему обеспечения
безопасности либо внедрением СМИБ по «целевому» стандарту ISO 27001 как
отдельно, так и составе ИСМ.
Рис. 1 Динамика сертификации в мире по стандартам ISO
Предпосылки для разработки и внедрения СМИБ. В соответствии с
требованиями стандарта ISO 27001 в СМИБ должен реализовываться цикл
постоянного улучшения PDCA (в новой версии 2013 г. п. 10.2) и выполняться
анализ со стороны руководства на периодической основе (в новой версии 2013
г. п. 9.3). Этот принцип постоянного улучшения (известный также как принцип
Дёминга) наилучшим образом способствует адекватной реакции на изменение
экономической ситуации и отражения политики СМИБ, целей в области ИБ и
237
менеджмента рисков применительно к выбранным значимым (существенным
для бизнеса) активам СМИБ.
Проблема оценки результативности СМИБ в соответствии с требованиями
стандартов ГОСТ Р ИСО/МЭК серии 27001 является достаточно известной,
особенно для СМИБ, созданных с учетом дополнительных отраслевых
стандартов. В случае, когда высшее руководство организации принимает
решение о внедрении (сертификации) СМИБ, представляется необходимым
выработать решение о комплексе мероприятий, которые следует предпринять
для целей обеспечения соответствия СМИБ требованиям стандарта ISO. Одним
из важнейших требований, включенных в цикл PDCA, является требование
постоянного повышения результативности. Эти достоверные оценки должны
быть представлены высшему руководству для принятия адекватных
управленческих решений. Для реализации управляемых условий данного
процесса в СМИБ предлагается несколько примеров расчета результативности
СМИБ, прошедших практическую апробацию.
Расчет результативности СМИБ. Для расчета результативности СМИБ
можно рекомендовать к применению формулы, учитывающие раздельно
события ИБ и инциденты ИБ. В этом варианте особую роль приобретает
техническая
оснащенность
службы
безопасности,
позволяющая
«селектировать» из многих тысяч событий в режиме, близком к режиму
реального времени. На этапе проектирования СМИБ эти вопросы должны
рассматриваться при определении области распространения ( scope).
Соответственно, результативность СМИБ рассчитывается следующим образом:
Расчет результативности событий ИБ:
К с = (?????? − (
С тек.
С ??????????????????
)) ∗ ??????????????????%
(1)
Где:
Кс – коэффициент результативности по идентификации событий ИБ;
С тек – идентифицированное количество событий ИБ в конфигурации scope;
238
Сmax – максимально возможное количество событий ИБ за предыдущий
период.
Расчет результативности инцидентов ИБ:
К и = (?????? − (
И тек.
И ??????????????????
)) ∗ ??????????????????%
(2)
Где:
Ки – коэффициент результативности по идентификации инцидентов ИБ;
И тек – идентифицированное количество инцидентов ИБ в конфигурации
scope;
И max – максимально возможное количество инцидентов ИБ за предыдущий
период.
С учетом положений (1) и (2) общий показатель результативности СМИБ
рассчитывается:
К смиб = (К с ∗ ?????? + К и ∗ ??????)
(3)
Где:
К смиб – общий показатель результативности СМИБ
Кс – коэффициент результативности по идентификации событий ИБ;
Ки – коэффициент результативности по идентификации инцидентов ИБ;
α – весовой коэффициент для определения важности идентификации Кс;
β – весовой коэффициент для определения важности идентификации Ки.
В качестве практических метрик ИБ рекомендуются к применению
дополнительно:
Кс = (1 – С тек * 100% / С max) – для оценки динамики событий ИБ;
Кр = (1 – Кс (повторных) * 100% / Кс) – для оценки динамики повторных
событий ИБ (рецидив);
Кд = (С max – С тек) / (К max – К тек) – для оценки динамики
приращений событий ИБ и инцидентов ИБ.
239
Рассмотрим пример графического расчета результативности СМИБ при
равной важности событий ИБ и инцидентов ИБ; α = β = 0,5 (рис. 2)
Достарыңызбен бөлісу: |