На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Риск

Лишь после точного определения (согласно классификации) уязвимого места для него устанавливается соответствующий уровень риска. Если риск связан с кон­кретной ошибкой или просчетом, то предприятие вполне может подсчитать сумму, необходимую для снижения риска. С другой стороны, злоумышленник тоже может использовать те же данные для оценки перспектив использования в своих целях того или иного уязвимого места. Очевидно, что некоторые уязвимые места дешевле до­пустить, а некоторые дешевле исправить.
Риск определяет вероятность того, что какое-либо действие или комбинация дей­ствий приведет к нарушению работы программного обеспечения или системы, в ре­зультате чего будет нанесен неприемлемый ущерб ресурсам. До некоторой степени любое действие сопряжено с потенциальной возможностью неправильного обраще­ния с программным обеспечением. Допустимый уровень "уязвимости" программно­го обеспечения при внешнем воздействии определяется надежностью этого про­граммного обеспечения и результатами контроля качества, проведенного для той или иной программы и среды исполнения программного обеспечения.
Просчеты и ошибки приводят к возрастанию риска, однако риск — это еще не взлом. Риск только отражает вероятность того, что уязвимое место может быть ис­пользовано для взлома (нам нравится для оценки риска использовать определения высокий, средний и низкий, а не цифровые коэффициенты). С помощью показателя риска также можно оценить потенциальный ущерб, который может быть нанесен. Очень высокий риск означает не только высокую вероятность взлома, но и то, что этот взлом приведет к серьезным последствиям. Для управления риском могут ис­пользоваться как технические, так и другие средства. При управлении риском про­граммного обеспечения учитываются риски взлома программ и возможность управ­лять риском в зависимости от конкретной ситуации.
Далее кратко рассмотрим принципы оценки риска использования программного обеспечения в конкретной среде. Обратите внимание, что в отличие от других по­добных методов оценки риска, мы не учитываем способностей злоумышленника, а оцениваем только атакуемое программное обеспечение. Подобные описания можно найти во многих других книгах. Таким образом, в нашем уравнении для оценки рис­ка использования программного обеспечения учитывается только возможный ущерб и предполагается присутствие достаточно опытного и умелого хакера.

Потенциальный ущерб
Согласно нашей модели, если атакуемое программное обеспечение уязвимо для взлома и брандмауэр никак не защищает это приложение, то риск использования этой программы будет максимальным. Важно понимать, что в данном случае риск оценивает только вероятность выхода из строя этой программы. Мы не пытаемся определить материальную стоимость этого сбоя или ошибки. Другими словами, мы пытаемся определить стоимость информации взломанной базы данных. При на­стоящей оценке риска всегда должна определяться стоимость ошибки. Это лишь первый шаг в оценке риска — сбор информации о потенциальной ошибке в про­граммном обеспечении, а не конкретный подсчет (активы х стоимость), оценка по­тенциальной возможности наложения ошибок и управления ущербом.
Исходя из наших определений, уравнение для оценки потенциального ущерба будет выглядеть следующим образом:
Эффективность атаки в диапазоне от 1 до 10 х
воздействие на цель (предположительно равное 100%) от 0 до 1,0 = потенциальный ущерб (результат в диапазоне от 1 до 10) х 10
Потенциальный ущерб — это количественная величина. Например, если атака оценивается 10 баллами по шкале от 1 до 10 баллов и программное обеспечение пол­ностью открыто для атаки (коэффициент 1,0), то потенциальный ущерб атаки на один узел составляет 10x10=100%. Это означает, что имущество (или активы) на­ходится под угрозой 100 %-й компрометации или уничтожения.
У каждой атаки есть реальный потенциал для нанесения ущерба. Мы оцениваем этот потенциал, определяя эффективность атаки. Ясно, что высокоэффективные атаки способны причинить очень серьезные проблемы в работе приложений (т.е. это могут заметить пользователи), а низкоэффективные атаки не приводят к заметным проблемам.
Воздействие и эффектность
Благодаря характеристике под названием воздействие (exposure) можно оценить, насколько просто или сложно провести атаку. Степень "уязвимости" тоже может быть определена как количественная величина. Если атака блокируется брандмау­эром, то говорят о низком уровне ее воздействия, т.е. протестировав брандмауэр, мы можем определить воздействие для конкретной атаки.
По определению, высокоэффективные атаки приводят к заметным проблемам. Атаки с высоким уровнем воздействия и высоким потенциалом (высокоэффектив­ные) приводят к выходу системы из строя, но высокоэффективные атаки этого вида обычно означают, что просто плохо настроен брандмауэр, т.е. во многих случаях по­добные проблемы можно устранить с помощью правильных настроек брандмауэра.
Атаки со средним уровнем воздействия, в свою очередь, могут привести к серьез­ным проблемам, что уже указывает на возможность легкой компрометации цель. По определению, эти атаки нельзя остановить только с помощью правил фильтрации на брандмауэре, т.е. подобные атаки могут оказаться просто "прекрасным средством" для осуществления взлома программного обеспечения. Высокоэффективными ата­ками со средним уровнем воздействия можно назвать атаки перехвата аутентифика-ционных данных, атаки на протоколы и спровоцированные ситуации пиковых на­ грузок. Как уже говорилось, эти атаки только иногда могут быть заблокированы с помощью брандмауэров, систем обнаружения вторжений и других распространен­ных методов обеспечения безопасности в сетях. Однако обратите внимание, что эти атаки довольно просто можно предотвратить с помощью конкретного программного приложения, поскольку в данном случае используются уязвимые места на коммуни­кационном уровне.
Атаки, связанные с вводом данных на уровне приложений, обычно характеризу­ются высоким уровнем воздействия, т.е. они легко обходят брандмауэры или другие средства безопасности. Существует множество вариантов этих атак. Среди наиболее популярных: некорректные поля, манипуляции входными переменными и др. Во­обще, при подобных атаках осуществляются попытки подбора вредоносных входных данных для программы.
Выше уже говорилось о двух важных величинах, которые могут быть измерены при оценке риска: воздействии и эффектности. В любом случае, хотя бы одна из этих величин может быть измерена и использована в простом уравнении, представленном в следующем разделе. Поскольку точное вычисление значений переменных требует определенных затрат, то вполне возможен вариант, когда измеряется только одна из этих величин, а вторая может быть принята равной 100 %.
Действительный риск
Даже если вы полностью открыты для атаки (уровень воздействия соответствует 100%), но атака никак не влияет на ваши ресурсы, то такой атакой можно пренеб­речь. В области оценки риска это называется измерением опасности (impact). Дей­ствительный риск указывает на эффективность атаки и то же время учитывает по­тенциальный ущерб. Если программное обеспечение полностью открыто для атак доступа к информации базы данных, то потенциальный ущерб может составить 100%. Но если в базе данных не хранится никакой информации, то опасность равна нулю, т.е. и действительный риск равен нулю. В этом случае вполне логичным пред­ставляется следующий вывод: атака возможна и будет полностью успешна, но она бесполезна, поскольку в базе данных не содержится никаких сведений.
Уравнение для определения действительного риска выглядит следующим образом:
потенциальный ущерб (результат в диапазоне от 0 до 10) х опасность (от 0 до 1) = действительный риск х 10
Оценка потенциального риска не требует серьезных затрат и выполняется до­вольно легко, поскольку для этого достаточно проанализировать брандмауэры и другие сетевые устройства с возможностями фильтрации. Все сетевое окружение может быть проанализировано с одного шлюза. Однако, обратите внимание, что час­то конфигурация брандмауэра или шлюза позволяет прохождение трафика уровня приложений, например запросов к Web-приложениям. Вот здесь и пригодится вто­рой множитель уравнения, благодаря которому можно узнать о том, действительно ли нанесет атака ущерб. Сюрпризом может оказаться то, что при тестировании кон­кретного узла по отношению к атаке, от которой предполагается нулевой или весьма незначительный ущерб, конечный результат ущерба оказывается огромным.
Наши уравнения весьма пригодятся на практике, поскольку они отражают истин­ную картину в реальной ситуации. Например, если определяется высокоэффективная атака, то для снижения ущерба можно уменьшить воздействие атаки. Во многих слу­чаях для этого достаточно добавить новое правило брандмауэра — относительно деше­вое решение. Безусловно, с помощью брандмауэра не удастся защититься от всех атак уровня приложений. Альтернативой является исправление приложения, чтобы сни­зить эффективность конкретной атаки против этого приложения.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика