Соответствие моделей и программного кода

Предложенная нами простая модель имеет множество преимуществ. В то же время модель – это еще не программный код, и здесь нам хотелось бы иметь возможность работать по двум сценариям. Первый – когда у нас уже имеется тело программы, но для него не создана ни модель угроз, ни диаграмма потоков данных DFD (такая ситуация может возникнуть, например, после приобретения программного продукта). Мы бы хотели иметь возможность быстро создавать модели, используя исходный код, и тем самым ускорять процесс моделирования угроз. Второй вариант возникает, когда мы имеем и модели угроз, и программный код, и хотим сравнить их друг с другом. Отражает ли модель все границы доверия и точки входа, имеющиеся в коде? Содержит ли исходный код связи, важные для моделирования, но отсутствующие в модели?

Некоторая работа по решению этих вопросов уже была проделана [1]; в ней использовались модели Reflexion Models для полуавтоматического генерирования моделей на основе программного кода и сравнения их с пользовательскими моделями. Однако еще многое нужно сделать для того, чтобы перейти к полностью автоматическому получению моделей из исходного кода. В частности, огромная доля существующих программ написана на языках C и C++, а эти языки являются очень трудными для моделирования и анализа. Впрочем, полученные преимущества могли бы окупить все затраты.

Введение в модели контроля данных

Одно из самых распространенных правил в обеспечении безопасности звучит так: «принимайте только те данные, которые явно разрешены». Подразумевается, что инженер знает, что под этим подразумевается, и сможет отбросить все остальные входные сообщения. В частных случаях это действительно верно; большая часть данных, поступающих в систему, уже были проверены и занесены в список надежных источников или получили соответствующую отметку, например «допустимый IP-пакет» или «допустимое POP3-сообщение». Однако такие данные не являются надежными вообще, они считаются допустимыми лишь для некоторых целей. Процесс определения списка таких целей может быть простым для небольших задач, но его трудно представить в общем виде. Было бы очень удобно иметь возможность пользоваться специальными языками для описания таких целей, а также инструментами, использующими подобную информацию для повышения эффективности программирования и/или анализа модели средств защиты.

Количественная оценка моделей угроз

Сегодня нами создается огромное количество моделей угроз. Существует несколько тривиальных параметров, которые мы МОЖЕМ измерить количественно (число элементов, различные меры полноты и словесного наполнения). Гораздо более сложными являются вопросы о том, какие параметры мы ДОЛЖНЫ измерять и ПОЧЕМУ. Какие свойства модели угроз наиболее точно показывают, достигнуты ли поставленные нами цели анализа, обеспечения безопасности и обучения? Говоря иначе, какие параметры системы соответствуют определенным целям и как они с этими целями связаны? Какие затраты потребуются для измерения таких параметров? (Небольшой пример: в одну из наших групп по обсуждению проблем обеспечения безопасности поступило электронное письмо с вопросом о том, как решить определенную проблему. Несколько человек ответило на него; после короткого обсуждения группа выбрала один из предложенных вариантов. Вряд ли какое-то из этих решений было когда-либо формально описано и зафиксировано. Сделанный выбор полностью оправдал себя: мы смогли с небольшими затратами повысить уровень безопасности. Таким образом, документирование повторяющихся решений не имеет особого смысла.) Существует ли возможность проанализировать модель и определить вероятность, с которой она повторяется? Какие еще подходы к измерению параметров могут быть полезны для разработчиков и специалистов, занимающихся принятием решений?

Благодарности

Я бы хотел поблагодарить рецензентов Шона Хернана (Shawn Hernan), Стивена Липнера (Steven Lipner), Дж. Д. Мейера (J.D. Meier) и Гленна Питвея (Glenn Pittaway) за ценные замечания по черновикам моей работы, а также своих многочисленных коллег (перечислить всех поименно здесь просто невозможно) за познавательные разговоры о вопросах моделирования угроз.

Заключение

В настоящей статье вкратце описана история развития моделирования угроз в Microsoft. Приведены некоторые детали современной состояния вопроса, а также накопленный нами опыт. Кроме того, предложены несколько важных тем для дальнейших исследований, которые, как мы надеемся, могут заинтересовать членов научного сообщества.

Список литературы

1. Marwan Abi-Antoun, DanielWang and Peter Torr, Checking Threat Modeling Data Flow Diagrams for Implementation Conformance and Security, ASE'07, 2007. Atlanta, Georgia, USA
2. Lorrie Faith Cranor, A Framework for Reasoning About the Human in the Loop, Symposium on Usable Privacy and Security, 2008. Pittsburgh, Pennsylvania, USA
3. Carl Ellison, Ceremony Analysis, Microsoft ThinkWeek paper, January 24, 2005. A version of this paper appears as Cryptography ePrint 2007/399, October 2007. http://eprint.iacr.org/2007/399
4. Shawn Hernan, Scott Lambert,Tomasz Ostwald and Adam Shostack, Uncover Security Design Flaws Using The STRIDE Approach, MSDN magazine, November 2006
5. Michael Howard and David LeBlanc, Writing Secure Code, Microsoft Press, 2001
6. Michael Howard and David LeBlanc, Writing Secure Code, 2nd edition Microsoft Press, 2002
7. Michael Howard and Steven Lipner, The Security Development Lifecycle, Microsoft Press, 2006
8. Oxford English Dictionary Online, visited July 14, 2008
9. Craig Rubens, Cleantech Terror Alert: Hacking the Grid, Earth2Tech, June 26, 2008, http://earth2tech.com/2008/06/26/cleantech-terror-alert-hacking-the-grid/
10. Adam Shostack, Reinvigorate your Threat Modeling Process, MSDN Magazine, July 2008
11. Frank Swiderski and Window Snyder, \Threat Modeling," Microsoft Press, 2004

----------

Методы защиты информации

 

З ащита информации в компьютерных системах обеспечивается созданием комплексной системы защиты. Комплексная система защиты включает:

• правовые методы защиты;
• организационные методы защиты;
• методы защиты от случайных угроз;
• методы защиты от традиционного шпионажа и диверсий;

методы защиты от электромагнитных излучений и наводок;

• методы защиты от несанкционированного доступа;
• криптографические методы защиты;
• методы защиты от компьютерных вирусов.

Среди методов защиты имеются и универсальные, которые являются базовыми при создании любой системы защиты. Это, прежде всего, правовые методы защиты информации, которые служат основой легитимного построения и использования системы защиты любого назначения. К числу универсальных методов можно отнести и организационные методы, которые используются в любой системе защиты без исключений и, как правило, обеспечивают защиту от нескольких угроз.

Методы защиты от случайных угроз разрабатываются и внедряются на этапах проектирования, создания, внедрения и эксплуатации компьютерных систем. К их числу относятся:

• создание высокой надёжности компьютерных систем;
• создание отказоустойчивых компьютерных систем;
• блокировка ошибочных операций;
• оптимизация взаимодействия пользователей и обслуживающего персонала с компьютерной системой;
• минимизация ущерба от аварий и стихийных бедствий;
• дублирование информации.

При защите информации в компьютерных системах от традиционного шпионажа и диверсий используются те же средства и методы защиты, что и для защиты других объектов, на которых не используются компьютерные системы. К их числу относятся:

• создание системы охраны объекта;
• организация работ с конфиденциальными информационными ресурсами;
• противодействие наблюдению и подслушиванию;
• защита от злоумышленных действий персонала.

Все методы защиты от электромагнитных излучений и наводок можно разделить на пассивные и активные. Пассивные методы обеспечивают уменьшение уровня опасного сигнала или снижение информативности сигналов. Активные методы защиты направлены на создание помех в каналах побочных электромагнитных излучений и наводок, затрудняющих приём и выделение полезной информации из перехваченных злоумышленником сигналов. На электронные блоки и магнитные запоминающие устройства могут воздействовать мощные внешние электромагнитные импульсы и высокочастотные излучения. Эти воздействия могут приводить к неисправности электронных блоков и стирать информацию с магнитных носителей информации. Для блокирования угрозы такого воздействия используется экранирование защищаемых средств.

Для защиты информации от несанкционированного доступа создаются:

• система разграничения доступа к информации;
• система защиты от исследования и копирования программных средств.

Исходной информацией для создания системы разграничения доступа является решение администратора компьютерной системы о допуске пользователей к определённым информационным ресурсам. Так как информация в компьютерных системах хранится, обрабатывается и передаётся файлами (частями файлов), то доступ к информации регламентируется на уровне файлов. В базах данных доступ может регламентироваться к отдельным её частям по определённым правилам. При определении полномочий доступа администратор устанавливает операции, которые разрешено выполнять пользователю. Различают следующие операции с файлами:

• чтение (R);
• запись;
• выполнение программ (E).

Операции записи имеют две модификации:

• субъекту доступа может быть дано право осуществлять запись с изменением содержимого файла (W);
• разрешение дописывания в файл без изменения старого содержимого (A).

Система защиты от исследования и копирования программных средств включает следующие методы:

• методы, затрудняющие считывание скопированной информации;
• методы, препятствующие использованию информации.

Под криптографической защитой информации понимается такое преобразование исходной информации, в результате которого она становится недоступной для ознакомления и использования лицами, не имеющими на это полномочий. По виду воздействия на исходную информацию методы криптографического преобразования информации разделяются на следующие группы:

• шифрование;
• стенография;
• кодирование;
• сжатие.

Вредительские программы и, прежде всего, вирусы представляют очень серьёзную опасность для информации в компьютерных системах. Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия.

Компьютерные вирусы - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения в компьютерных системах. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в компьютерных системах. В процессе распространения вирусы могут себя модифицировать.

Все компьютерные вирусы классифицируются по следующим признакам:

• по среде обитания;
• по способу заражения;
• по степени опасности вредительских воздействий;
• по алгоритму функционирования.

По среде обитания компьютерные вирусы подразделяются на:

• сетевые;
• файловые;
• загрузочные;
• комбинированные.

Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размещаются в исполняемых файлах. Загрузочные вирусы находятся в загрузочных секторах внешних запоминающих устройств. Комбинированные вирусы размещаются в нескольких средах обитания. Например, загрузочно-файловые вирусы.

По способу заражения среды обитания компьютерные вирусы делятся на:

• резидентные;
• нерезидентные.

Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания в оперативную память компьютера. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешённые только операционной системе, заражают среду обитания и при выполнении определённых условий реализуют вредительскую функцию.

Нерезидентные вирусы попадают в оперативную память компьютера только на время их активности, в течение которого выполняют вредительскую функцию и функцию заражения. Затем они полностью покидают оперативную память, оставаясь в среде обитания.

По степени опасности для информационных ресурсов пользователя вирусы разделяются на:

• безвредные;
• опасные;
• очень опасные.

Безвредные вирусы создаются авторами, которые не ставят себе цели нанести какой-либо ущерб ресурсам компьютерной системы. Однако такие вирусы всё-таки наносят определённый ущерб:

• расходуют ресурсы компьютерной системы;
• могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов;
• вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы при модернизации операционной системы или аппаратных средств.

Опасные вирусы вызывают существенное снижение эффективности компьютерной системы, но не приводят к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах.

Очень опасные вирусы имеют следующие вредительские воздействия:

• вызывают нарушение конфиденциальности информации;
• уничтожают информацию;
• вызывают необратимую модификацию (в том числе и шифрование) информации;
• блокируют доступ к информации;
• приводят к отказу аппаратных средств;
• наносят ущерб здоровью пользователям.

По алгоритму функционирования вирусы подразделяются на:

• не изменяющие среду обитания при их распространении;
• изменяющие среду обитания при их распространении.

Для борьбы с компьютерными вирусами используются специальные антивирусные средства и методы их применения. Антивирусные средства выполняют следующие задачи:

• обнаружение вирусов в компьютерных системах;
• блокирование работы программ-вирусов;
• устранение последствий воздействия вирусов.

Обнаружение вирусов и блокирование работы программ-вирусов осуществляется следующими методами:

• сканирование;
• обнаружение изменений;
• эвристический анализ;
• использование резидентных сторожей;
• вакцинирование программ;
• аппаратно-программная защита.

Устранение последствий воздействия вирусов реализуется следующими методами:

• восстановление системы после воздействия известных вирусов;
• восстановление системы после воздействия неизвестных вирусов.