На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Метод уровневого контроля списков санкционированных событий

Ранее в книге рассматривались механизмы разграничительной политики доступа к ресурсам. Обсуждались различные приемы. Вырабатывалось оп­тимальное решение, а также рекомендации и требования к нему. Однако в общем случае задача защиты должна строиться в предположении потенци­альной уязвимости механизмов защиты, реализующих разграничительную политику доступа к ресурсам защищаемого объекта. Исходя из этого, в си­стеме защиты должны быть предусмотрены следующие механизмы:
» Контроль (мониторинг) корректности функционирования механизмов за­щиты. Этот контроль должен позволять анализировать корректность работы как самих механизмов защиты, так и корректность работы пользователя с этими механизмами, что позволит уже на предвари­тельном этапе вырабатывать реакцию системы защиты и отсекать попытки несанкционированных действий пользователей по отноше­нию к ней.
» Контроль целостности файловых объектов. Если предыдущий меха­низм защиты призван препятствовать преодолению разграничитель­ной политики доступа, то данный механизм исходит из того, что эта политика была преодолена. В соответствии с этим контроль целост­ности призван свести к минимуму возможные потери от свершивше­гося НСД. При этом он контролирует целостность заданных файло­вых объектов и в случае необходимости может восстановить файловые объекты в соответствии с эталонами.
С целью решения данной задачи в функциональную модель системы защиты (см. главу 2) введен дополнительный уровень защиты. Этот уро­вень как раз и призван осуществлять контроль (мониторинг) корректно­сти функционирования механизмов управления доступом, а также конт­роль целостности файловых объектов.
Кстати, вышеуказанные механизмы могут применяться как для усиления механизмов добавочной защиты, так и для усиления встроенных в ОС
механизмов защиты. Ведь и те и другие в общем случае могут иметь ошибки в реализации и ошибки в настройке при их администрировании.
Основы метода уровневого контроля списков санкционированных событий
В качестве возможного способа противодействия ошибкам и закладкам в системном и прикладном ПО, а также контроля (мониторинга) кор­ректности функционирования механизмов, реализующих разграничитель­ную политику доступа к ресурсам защищаемого объекта, рассмотрим метод уровневого контроля списков санкционированных событий (МУКССС).
Ранее было сказано, что контроль корректности должен реализовывать как контроль функционирования самой системы защиты, так и контроль за действиями пользователей. Рассмотрим, как оба этих направления ре­ализуются предлагаемым методом уровневого контроля списков.
Контроль за действиями пользователей
В общем случае получение пользователем доступа к ресурсу можно пред­ставить набором некоторых событий. Например, какой пользователь об­ращается к ресурсу, какой процесс запущен пользователем, к какому ресурсу обращается пользователь и т.д.
Таким образом, доступ пользователя к ресурсу представляет собой неко­торую последовательность действий, каждое из которых может быть оха­рактеризовано соответствующим списком санкционированных (разрешен­ных), либо несанкционированных (запрещенных) событий. Такими списками, например, могут быть:
* список зарегистрированных в системе пользователей;
* список разрешенных к запуску процессов;
* список запрещенных событий в системе;
список ключей реестра ОС, разрешенных для изменения;
* список устройств, к которым разрешен доступ пользователям, и т.д.
Анализируя известные атаки, прежде всего, с использованием знания
ошибок в ПО, можно показать, что большинство преодолений политики
доступа к ресурсам осуществляется с использованием события, которое не определено как санкционированное. Таким образом, контролируя текущие события системы в соответствии со списками разрешенных со­бытий (списками санкционированных событий), можно контролировать корректность работы пользователя в системе. При этом в случае выпол­нения пользователем несанкционированных действий будет вырабатывать-
ся соответствующая реакция системы защиты: завершение несанкциони­рованного процесса, завершение сеанса несанкционированного пользо­вателя в системе и т.п.
Отличительной особенностью рассматриваемого подхода является то, что в принципе неважно, каким образом злоумышленник пытается осуще­ствить несанкционированный доступ к информации, т.к. фиксируются не конкретные описания, а косвенные признаки атаки -- несанкциониро­ванные для системы события. Принципиально важным является то, что
рассматриваемый подход позволяет противодействовать скрытым угрозам,
а также использованию злоумышленником ошибок и закладок в систем­ном, функциональном и прикладном программном обеспечении без не­обходимости выявления последних.
Контроль корректности функционирования системы защиты
Контроль корректности функционирования системы защиты производится так же как и контроль за действиями пользователей. Только при этом рег­ламентируются действия не пользователей, а самой системы защиты. При
этом также составляются списки санкционированных событий-эталонов, с которыми периодически сравниваются текущие события. Система защиты считается нарушенной в случае расхождения эталонной копии и оригина­ла. В ответ на это вырабатывается соответствующая реакция системы.
Для системы защиты также составляется и контролируется список обя­зательных событий. В общем случае нарушение этого списка также рас­ценивается как нарушение защиты и влечет за собой ответную реакцию системы.
Общие принципы построения и функционирования механизма уровневого контроля списков санкционированных событий
Общие принципы реализации уровневого контроля
Механизм уровневого контроля базируется на расширении технологии
аудита. Происходящие (зарегистрированные) события анализируются ав­томатически (без участия администратора) в реальном масштабе време­ни. В зависимости от результатов анализа принимаются те или иные
решения, влияющие на функционирование системы, то есть вырабаты­вается реакции системы защиты.
Как уже отмечалось, изначально в системе выделяются те события, ко­торые нужно контролировать. При большом количестве таких событий они объединяются в группы (списки) по функциональному признаку или
другому общему свойству. Затем создается эталонная копия свойств дан­ной группы (списка). Таким образом, каждый из списков формирует отдельный уровень системы. Свойства системы считаются нарушенны­ми в случае расхождения эталонной копии и оригинала.
В процессе работы защищаемой системы осуществляется ее периодичес­кий контроль путем сравнения эталонных копий списков и их реальных значений. Проверка списков осуществляется последовательно. При этом проверка следующего уровня в общем случае зависит от результатов про­верки на предыдущем уровне. В случае расхождения оригинала с этало­ном генерируется состояние нарушения безопасности системы, реакци­ей на которое может быть восстановление нарушенного списка или выполнение какого-либо другого сценария, предусмотренного в системе.
списки (группы) выбираются и составляются таким образом,
чтобы контроль, по возможности, не требовал большого количества вы­числительных ресурсов. Также условием выбора и составления списков является косвенная (реже прямая) зависимость безопасности системы от события, включаемого в список.
В общем случае нарушение события по одному конкретному списку может еще не являться прямым доказательством нарушения безопасности сис­темы, но указывает на повышение вероятности такого события. Таким образом, при быстрой проверке косвенных признаков нарушения безо­пасности системы, в случае обнаружения расхождений с проверяемым списком санкционированных событий можно немедленно запустить вне­очередную проверку других более важных для безопасности системы со­бытий. Обычно проверка таких событий требует больших затрат произ­водительности и производится уже при фиксировании каких-либо некорректностей в функционировании системы.
При правильном выборе списков и их взаимодействия (зави-
симости проверок) можно утверждать, что если при проверках уровне-
вых списков не выявлено расхождений, то безопасность системы соблю­дена на данный момент времени.
Таким образом, контроль списков санкционированных событий
представляет собой подход к защите информации, основанный на опреде­лении событий, происходящих при доступе к ресурсу, выявлении списков санкционированных событий и непрерывном контроле происходящих в про­цессе функционирования системы событий на соответствие заданным эта­лонным спискам.
Обобщенная схема механизма уровневого контроля
Обощенная иллюстрация реализации механизма уровневого контроля.
Схема реализации рассматриваемого механизма защиты состоит из трех основных типов блоков:
* Блок (блоки) контроля списков санкционированных событий соот­ветствующих уровней. Число таких блоков определяется числом кон­тролируемых событий. Механизмы, реализуемые данными блоками, могут существенно различаться.
Блок диспетчеризации, который реализует управление схемой с учетом реализуемой дисциплины обслуживания (либо иных условий). В его функции входит активизация соответствующих механизмов контроля. » Блок реакции системы защиты, который осуществляет выработку ре­акции при обнаружении расхождения текущих событий с эталонным списком.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика