Анализ применимости методов управления рисками к процессам аутентификации при удалённом электронном взаимодействии

Оценивается возможность применения модифицированных методов управления рисками к процессам аутентификации при удаленном электронном взаимодействии. Показана применимость всех пяти рассмотренных методов, при этом для управления рисками аутентификации самым приемлемым и наглядным является метод анализа вероятных опасных событий.

Введение. Сегодня многие организации сталкиваются с необходимостью оценки риска для снижения количества опасных событий и достижения поставленных целей. Современные системы управления бизнесом всё чаще включают в себя менеджмент рисков как одну из основных составляющих управления бизнесом и жизнедеятельностью предприятия. В частности, управление рисками служит основой создания и совершенствования систем информационной безопасности (ИБ). К ключевым сервисам ИБ относится аутентификация, предназначенная для подтверждения подлинности предъявленных субъектом идентификаторов и доказательства принадлежности этих идентификаторов конкретному субъекту. Развитие систем идентификации и аутентификации (СИА), как и всех сервисов безопасности, должно сопровождаться анализом рисков, объединяющим идентификацию и сравнительную оценку рисков. Безусловно, анализ рисков аутентификации является частью общей оценки рисков организации. Целью данной работы является демонстрация возможности управления рисками аутентификации. Анализ применимости методов оценки рисков к процессам идентификации и аутентификации пользователей при удалённом электронном взаимодействии (УЭВ) приводится в работе [1].

Результаты оценивания рисков аутентификации могут использоваться в качестве исходных данных для итеративного процесса анализа рисков и их снижения до приемлемого уровня, т.е. в процессе управления рисками.

Подходят ли методы управления рисками для процессов аутентификации? Оказалось, что для применения большей части методов управления рисками к поставленной задаче (аутентификации) требуется их модификация. Смысл модификации состоит в том, что если в классической задаче управления рисками конечными целями анализа рисков являются обнаружение опасных событий и оценка ущерба в результате реализации этих событий конкретному активу организации, то в случае анализа рисков аутентификации требуется оценить вероятность и ущерб организации вследствие реализации опасного события в нарушении безопасности функционирования подсистемы аутентификации, в частности авторизации злоумышленника под видом (с правами) легального пользователя.

Итак, целью данной работы является анализ применимости модифицированных методов управления рисками к процессам аутентификации при УЭВ. Данная статья является логическим продолжением работы [1].

Основные методы управления рисками. Рассмотрим наиболее широко используемые методы управления рисками для ИС и их применимость к анализу рисков ИБ для СИА.

Метод 1. Анализ вероятности опасного события (ВОС). Согласно [2], размер риска может быть оценен по формуле

,

где U_i – опасное событие i; P(U_i)– вероятность наступления i-го опасного события; L(U_i)– ущерб от наступления i-го опасного события; М – количество вероятных опасных событий.

Покажем применимость данного метода на примере опасных событий, рассмотренных в [3]. Приведём пример предварительного ранжирования перечисленных опасных событий на основе вероятности P появления опасного события в год и относительного значения риска  (табл. 1). Условием нормировки является

.

Здесь М – количество вероятных опасных событий.

Таблица 1. Пример ранжирования рисков аутентификации при УЭВ

Результаты ранжирования представлены на рис. 1 в виде пронумерованных точек, обозначающих номер события в табл. 1, в плоскости параметров {,( )}.

Рис. 1. Иллюстрация подходов управления рисками с помощью технических средств.

Управление рисками в приведённом примере 1 может производиться как организационными, так и техническими средствами. Например, в целях снижения вероятности реализации ВОС 10 (регистрация злоумышленника под видом легального пользователя), необходим комплекс определённых мер [3, 4]. Имеется в виду повышение уровня безопасности и достоверности идентификации субъекта в процедурах регистрации нового пользователя: только личная явка субъекта в центр регистрации, тщательная проверка не менее двух действительных документов субъекта, документированная проверка предъявленных идентификаторов на актуальность в соответствующих базах данных государственных органов, использование доверенных механизмов проверки и хранения идентификаторов, строгое соблюдение регламентов по формированию учётной записи в соответствии с ролью пользователя, по выдаче аутентификатора и сертификата доступа под личную роспись.

Этот комплекс мер, согласно [3], помогает снизить вероятность реализации ВОС 10 примерно на два порядка: с 10^-5 до 10^-7. Заметим, что доля населения нашей страны, активно участвующая в УЭВ, оценивается в 10⁷. Безусловно, при этом изменится не только вероятность (горизонтальна стрелка на рис.1), но и величина возможного ущерба. Внесение каких-либо изменений всегда несёт необходимость пересчёта результатов (следующая итерация анализа рисков), тем не менее, в большинстве случаев такие меры могут перевести данный ВОС из красной зоны с высоким уровнем рисков в зелёную зону с низким уровнем рисков.  Следовательно, приведенный комплекс мер позволяет решить поставленную задачу.

Пример 2. Для снижения ВОС 3 (фишинг – подмена сайта, на который пользователю необходимо предоставить доступ) достаточно перейти с парольной аутентификации на технологию защищённого доступа SSL (Secure Socket Layer) с двусторонней взаимной аутентификацией на основе применения цифровых SSL-сертификатов на стороне сервера и клиента, что ведёт к снижению вероятности подмены сайта приблизительно на два порядка (с 10^-4 до 10^-6). Ещё примерно на два порядка можно снизить вероятность фишинговой атаки за счёт применения технологии хранения закрытого ключа и клиентского сертификата в устройстве класса SSCD (Secure Signature Creation Design – устройство генерации ключей электронной подписи [4]). Итоговое снижение ВОС в год за счёт указанных мер в данном примере может измениться до 10^-8.

Пример 3. Рассмотрим ВОС 5 – завладение злоумышленником аутентификационной информацией (АИ) пользователя. Сама по себе кража АИ не так страшна, но весьма печальными могут оказаться последствия использования злоумышленником АИ под видом легального пользователя. Можно организационными и техническими мерами бороться за снижение вероятности появления самой кражи как таковой, однако есть и другой, более эффективный путь – снизить вероятность успешного использования АИ легального пользователя злоумышленником, применив технологию электронной подписи в качестве единственного механизма аутентификации в комбинации с устройствами аутентификации класса SSCD и политиками безопасности, ограничивающими число попыток введения неправильного PIN-кода.

В то же время снижение рисков в рассмотренных примерах может проводиться в отношении не только частоты реализации ВОС, но и размера риска. В качестве механизмов снижения рисков используются традиционные способы обеспечения доступности, целостности и конфиденциальности информации, основанные на формировании концепции информационной безопасности, моделях угроз и нарушителя, применении организационных и технических мер защиты, таких как системы защиты информации (СЗИ) и системы криптографической защиты информации (СКЗИ). При этом риски в виде точек на плоскости параметров {,( )} будут снижаться (в вертикальном направлении) до определенного уровня. Так, можно снизить риски за счёт внедрения СЗИ (см. рис. 1: ВОС 1 – установка антивирусного программного обеспечения; ВОС 2 – переход на смарт-карты с технологией Match-on-Card; ВОС 6 – внедрение СЗИ в СИА). При достижении приемлемых уровней по частоте (в горизонтальном направлении) и размеру (в вертикальном направлении) идентифицированных рисков процесс управления рисками можно считать выполненным.

Если приемлемых уровней для остаточных рисков достичь не удаётся, необходимо подключать такие механизмы управления рисками, как уклонение от риска (ликвидация причин и/или последствий риска), ограничение (нейтрализация) риска (например, путём реализации контрмер, уменьшающих воздействие угроз безопасности), перенос риска на стороннюю организацию (страхование рисков).

К достоинствам данного метода применительно к анализу рисков аутентификации можно отнести наглядность проводимого анализа. Недостатком является необходимость большого объёма предварительной работы по выявлению ВОС, зачастую в условиях отсутствия фактического материала в виде статистических данных или результатов мониторинга за достаточно продолжительный период времени. Стандарт [5] в таких случаях рекомендует воспользоваться методом экспертных оценок. Однако в целом можно рекомендовать этот метод как один из возможных для управления рисками СИА.

Метод 2. Анализ дерева уязвимостей, угроз и контрмер. В данном методе риски представляются в виде дерева уязвимостей и угроз, на которые накладываются соответствующие планируемые или применяемые контрмеры. В качестве входного параметра используется инициирующее событие и среднегодовая вероятность его реализации, в качестве выходного параметра – результирующее событие и вероятность реализации. Как правило, рассматриваемые параметры в таком анализе нормируются.

Для вероятностей Р реализации событий условие нормировки можно записать в виде

,

где n – число возможных состояний системы при реализации одного события.

Пример такого анализа на основе результатов работы [6] для события в виде авторизации злоумышленника в качестве легального пользователя системы приводится на рис. 2.

Рис. 2. Пример анализа дерева событий

К достоинствам метода относится наглядность цепочки событий, которые могут быть реализованы в рассматриваемой системе. Его существенный недостаток применительно к задаче аутентификации – большой объём определения вероятностей событий (ветвей дерева событий). В целом метод не слишком удобен для управления рисками аутентификации при УЭВ.

Метод 3. Управление рисками попарного анализа "угроза – защита", учитывающего степень тяжести последствий от потери свойств ИБ. Метод, применимый при условии относительно полного набора выявленных угроз для конкретной рассматриваемой системы и условий её функционирования, достаточно развит и востребован во многих сферах экономики [2], в частности, он является основой методики оценки рисков, утвержденной Банком России [7].

Суть метода – управление рисками при рассмотрении пар "угроза – степень тяжести последствий от потери свойств ИБ". В формализованном виде это выглядит следующим образом:

,

где  – размер риска от реализации угрозы р;   – вероятность реализации угрозы р;  – степень тяжести последствий от потери свойств ИБ, обусловленная реализацией угрозы р на свойство безопасности i; k – число свойств.

Риски  считаются допустимыми, если ≤ R_a, где R_a  – допустимый уровень рисков. В основе метода лежит анализ избыточных рисков, просуммированных для всех случаев– R_a>0. Пусть число избыточных рисков равно N. Тогда можно определить "обезразмеренное" среднее значение избыточного риска:

,

где  – максимальное значение риска.

Величина  как средний избыточный риск позволяет определить состояние ИБ в целом. Так, при близких к нулю значениях систему аутентификации можно оценить как защищённую с точки зрения ИБ, а при стремлении  к единице СИА – как слабо защищённую. Одним из явных достоинств метода является возможность разбиения отрезка [0, 1] значений  на интервалы, способные выполнять функции необходимого числа уровней ИБ. К его недостаткам следует отнести необходимость тщательного анализа угроз и уязвимостей СИА.

В целом данный метод может применяться для управления рисками аутентификации. Модификацией рассматриваемого метода является оценка не только среднего избыточного риска, но и нормализованного среднего квадратичного отклонения, анализ которого более чувствителен к аномально высоким рискам и более устойчив к добавлению пар с низким избыточным риском [2].

Метод 4. Графовый метод управления рисками по изменению времени, необходимого для реализации атаки априори считается одним из самых эффективных при проектировании и построении информационных систем и СИА как части ИС. Метод основан на базисных положениях классической теории надёжности механизмов и машин. Рассмотрен в [8] применительно к задаче моделирования СИА для оценки надёжности её функционирования. Для описания процессов используются марковские и полумарковские методы анализа [9] в предположении, что условия применимости этих методов соблюдаются [10]. Суть метода в формализованном виде применительно к анализу рисков можно представить следующим образом.

Количественные способы оценки рисков базируются на формуле R=P*D, где R – размер риска; Р – вероятность наступления опасного события; D – степень тяжести последствий от его реализации.

Направленный граф состояний системы, вершины которого характеризуют вероятные состояния системы, а ребра соответствуют переходам из одного состояния в другое, позволяет оценить время перехода из i-го состояния в j-е. Одним из результатов применения графового метода является то, что он позволяет рассчитать время, необходимое для выполнения отдельных переходов из одного вероятного состояния системы в другое, в том числе оценивается вероятность перехода в опасное состояние.

В некоторых моделях время и достижимость конечной цели могут быть достаточно быстро оценены методом Петри-Маркова, пример приведен в работе [11]. При введении средств защиты возможный путь и, соответственно, время, изменяются. Оценить нормализованное снижение рисков можно по формуле: dR = 1 – t_old/t_new, где t_old  – время без учёта введения новых СЗИ; t_new – время функционирования СИА с учётом введенных СЗИ. Чем ближе к единице значение dR, тем более защищённой будет система с введенной СЗИ.

Достоинством данного метода является его наглядность и универсальность; к числу недостатков следует отнести необходимость понимания процессов и умение применять, а в ряде случаев и строить математические модели СИА, что для неподготовленного специалиста не простая задача.

Метод 5. Экономический метод управления рисками. Метод заключается в повышении стоимости реализации атаки при возможном снижении стоимости установки дополнительных СЗИ для реализации контрмер. В формализованном виде ущерб SAL от однократной реализации угрозы SAL= AV*EF, где AV – стоимость объекта атаки; EF – относительный ущерб от успешной реализации одной атаки. Если принять в рассмотрение среднегодовую частоту реализации угрозы AWO, то ожидаемый годовой ущерб SYL может быть оценен по формуле SYL=SAL*AWO. При этом значение AWO определяется из статистических данных о нарушениях ИБ в СИА или экспертными оценками.

Экономический эффект от реализации мер по снижению вероятности данной угрозы ROI=(AWO*RM-CZI)/CZI, где RM – коэффициент снижения риска в результате внедрения мер по снижению вероятности реализации угрозы, CZI – стоимость указанных мер. При положительном значении ROI реализация мер экономически оправданна. ROI представляет собой инструмент экономической оценки эффективности работы службы ИБ, целью которой является увеличение ROI.

Экономический эффект действий атакующего ROA может быть оценен по формуле ROA=WI/(ERS+EAS), где WI – ожидаемая выгода от успешной атаки; ERS – затраты на атаку до внедрения СЗИ, снижающего вероятность реализации данной угрозы; EAS – дополнительные затраты на преодоление защитных функций СЗИ. Целью службы защиты информации является минимизация значения ROA, выражающаяся в снижении привлекательности ИС как объекта атак.

Достоинством данного метода является простота и прозрачность организации противодействия реализациям угроз. При этом требуется очень хорошо уметь моделировать пути реализации угроз и понимать методы противодействия.

Систематизация проведённого анализа представлена в виде итоговой табл. 2. В ней кратко показаны основные плюсы и минусы рассмотренных методов управления рисками, удобство их применения к анализу и управлению рисками аутентификации.

Таблица 2. Применимость методов управления рисками к аутентификации при УЭВ

Из таблицы следует, что все представленные методы управления рисками применимы к анализу процессов аутентификации. Наиболее удобным и наглядным инструментом управления рисками аутентификации, по мнению автора, является метод анализа возможных опасных событий.

Таким образом, рассмотрены все основные этапы исследования, составляющие метод анализа рисков аутентификации при УЭВ, включая один из ранее недостаточно изученных вопросов управления рисками.

Заключение. Работа посвящена исследованию применимости наиболее широко используемых методов управления рисками для анализа и управления рисками аутентификации. Изначально разрабатываемые для анализа последствий атак на актив организации, в ходе анализа они были модифицированы применительно к задаче аутентификации.

Результаты исследования могут быть полезны при проведении практических работ по управлению рисками аутентификации (проектирование и эксплуатация систем идентификации и аутентификации). В дальнейшем планируется исследовать особенности оценки надёжности аутентификации для разработки методов оценки надёжности и качества аутентификации при УЭВ, имея конечными целями разработку рекомендаций для внесения изменений в нормативную базу по регулированию процессов идентификации и аутентификации, а также рекомендаций для учёта требований безопасности и надёжности при проектировании и построении систем идентификации и аутентификации.

Литература

1. Сабанов А.Г. Анализ применимости методов оценки рисков к процессам аутентификации при удалённом электронном взаимодейсвтии//Электросвязь. – 2014. №5.
2. Управление рисками: обзор употребительных подходов. – Электронный ресурс: http://www.iso27000.ru/chitalnyi-zai/upravlenie-riskami-informacionnoi-bezopasnosti/upravlenie-riskami-obzor-upotrebitelnyh-podhodov.
3. Сабанов А.Г. Методика идентификации рисков аутентификации //Докл. Томского гос. университета систем управления и радиоэлектроники. – 2013. – № 4(30). – С. 136–141.
4. Сабанов А.Г. Многоуровневый анализ угроз безопасности процессов аутентификации //Вопросы защиты информации. – 2014. – № 1(104). – С. 13–22.
5. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Ч. 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
6. Сабанов А.Г. Методика анализа рисков аутентификации при удалённом электронном взаимодействии /Докл. на XVI Международной конференции "Рускрипто-2014". – 25–28 марта 2014. – Электронный ресурс: http://www.ruscrypto.ru/accotiation/archive/rc2014.
7. Методика оценки рисков нарушения информационной безопасности. Принята распоряжением Банка России от 11 ноября 2009 г. № Р-1190. Электронный ресурс: http://www.zakonprost.ru/content/base/part/648065.
8. Сабанов А.Г. Концепция моделирования процессов аутентификации //Докл. Томского гос. университета систем управления и радиоэлектроники. – 2013. – № 3(29). – С. 71–75.
9. Сабанов А.Г. Модели для исследования безопасности и надёжности процессов аутентификации // Электросвязь. – 2013. – №10. – С. 38–42.
10. Шубинский И.Б. Структурная надёжность информационных систем. Методы анализа /Ульяновск: Печатный двор, 2012.
11. Миронова В.Г., Шелупанов А.А. Сети Петри-Маркова как инструмент создания аналитических моделей для основных видов несанкционированного доступа в информационной системе //Докл. Томского гос. университета систем управления и радиоэлектроники. – 2012. – № 1(25). – С. 20–24.