Предварительная оценка рисков удалённой аутентификации. Часть 2
<br>Статья Алексея Сабанова, заместителя генерального директора компании "Аладдин Р.Д."
Объект исследования. Описание типовой схемы аутентификации. Основываясь на рекомендациях [19] сначала рассмотрим исследуемую систему. В общем случае процесс удалённой аутентификации может содержать четыре основных этапа:
- регистрация;
- верификация (собственно обмен защищёнными сообщениями между клиентом и сервером – challenge response);
- валидация;
- принятие решения об авторизации пользователя.
Одной из самых критичных с точки зрения безопасности и ненормируемых процедур является процедура регистрации пользователя ИСОП (информационные системы общего пользования). В отличие от закрытых (корпоративных) систем, в которых пользователи (сотрудники) связаны договорными отношениями (например, трудовым договором) и за идентификацию пользователя отвечает кадровая служба (идентификация проводится по нескольким предъявленным идентификаторам – паспорт, трудовая книжка, ИНН, СНИЛС, диплом об окончании ВУЗа, диплом ученой степени, повышения квалификации и т.д.) в ИСОП может обратиться любой гражданин, и не только россиянин. Для того, чтобы существенно снизить вероятность мошенничества класса "маскарад" необходимо введение строгого регламента по проверке предъявленных идентификаторов. Как минимум, можно воспользоваться опытом некоторых банков, которые перед выдачей, например, средств доступа к системе ДБО проверяют его паспортные данные в нескольких базах данных.
Рассмотрим процедуру регистрации более подробно (рис.4).
Рис.4 Процесс регистрации пользователя на примере ЕСИА
Как видно из рисунка, исследуемая среда состоит из нескольких информационных систем с присутствием человеческого фактора во всех системах. Когда потенциальный пользователь обращается в центр регистрации (ЦР), связанный доверенными (трастовыми) отношениями с удостоверяющим центром (УЦ), уполномоченный сотрудник ЦР посылает запрос в соответствующие ведомства (ПФР, ФНС, ФМС и др.) на наличие у данного гражданина предъявленных им идентификаторов (СНИЛС, ИНН, паспортные данные) и на их действительность (наличие и совпадение в реестре) на момент проверки. Этот запрос идет через единую систему идентификации и аутентификации (ЕСИА). В случае положительных результатов проверки (и положительных ответов на запросы) ЦР создает новую учетную запись субъекта, издает его электронное удостоверение (ЭУ) и регистрирует секрет (аутентификатор) для проведения последующих сеансов аутентификации или просто фиксирует его наличие (для механизма аутентификации, реализованного путем применения технологии электронной подписи). В более подробном и наглядном виде процедуры, составляющие процесс аутентификации представлены в табл.1.
Табл.1 Основные процессы удалённой аутентификации
Также в данной таблице рассмотрена критичность (подверженность атакам) основных процедур и место, где эти процедуры производятся (на сервере или на клиентском месте).
Краткий анализ атак. Перечислим возможные атаки:
- прослушивание (sniffing);
- воспроизведение;
- онлайн угадывание (например, криптографических ключей);
- перехват сеанса (Session Hijacking);
- имитация проверяющей стороны (например, подмена сайта- phishing);
- подмена доверенного субъекта или объекта (spoofing);
- "человек посредине" (Man-in-the-Middle) в различных элементах системы (клавиатурных перехват, сетевой перехват и т.д.);
- "маскарад" – под именем гражданина регистрируется мошенник, под чужим идентификатором входит в систему в качестве регистратора;
- кража закрытого ключа и сертификата для доступа под чужим именем;
- атаки на систему управления доступом;
- атаки на протоколы аутентификации.
В "облаке" особенно актуальны "маскарад" (человек выдает себя за легального пользователя – при регистрации и работе), "человек посредине", атаки на систему управления доступом, систему разграничения и управления данными в облаке (возможны атаки от соседей-арендаторов) – это мало касается аутентификации, атаки инсайдеров из состава сотрудников провайдера, атаки на закрытый ключ доступа и главное – на ключ подписи, фишинг (подмена портала), отказ в обслуживании DoS (Denial of Service), угрозы от вредоносных программ. Другие типы атак либо не слишком часто встречаются, либо трудно осуществимы. Так, в работе [24] показано, что вероятность успешных атак на протоколы аутентификации чрезвычайно мала.
Методика оценки рисков аутентификации. Описание рассматриваемой сложной системы, безусловно, может быть более подробным. Уровень подробности описания системы может зависеть от шага итераций оценки рисков согласно [7], [8], [19].
В качестве основной цели исследования рисков по рекомендациям [19] примем разработку требований к аутентификации. За основу критериев оценки возьмем обеспечение конфиденциальности, доступности и целостности информации при организации доступа с применением исследуемых способов аутентификации. Основными задачами первого шага являются: описание рассматриваемой системы, выработка целей и критериев анализа рисков и идентификация рисков.
На втором шаге попробуем выбрать набор известных методов исследования рисков для рассматриваемой системы. Учитывая основные положения по менеджменту рисков [19] и то, что аутентификация является сложным процессом, в который включены люди, аппаратное и программное обеспечение нескольких систем, сначала попробуем оценить высокоуровневые риски с помощью качественных методов.
Для проведения глубокого анализа рисков применительно к развитым информационным системам при наличии ценных для бизнеса информационных активов следует применить количественные оценки рисков и обработать полученные риски.
При необходимости предлагается провести дополнительный анализ процесса аутентификации с помощью построения дерева событий, дерева неисправностей и вида отказов, изложенных в [16].
Идеальным подспорьем, который мог бы существенно помочь оценке рисков аутентификации, могла стать математическая модель, адекватно отражающая структуру и поведенческие характеристики хотя бы типовых систем удалённой аутентификации. Результаты поиска такой аналитической модели планируется изложить в следующей работе.
Пример предварительных оценок рисков. Проиллюстрируем предложенную методику для приведенного в табл.2 примера. Так, в развитие анализа рисков на основе процессного подхода попытаемся качественно оценить угрозы и уязвимости основных процедур аутентификации. При этом будем учитывать, что процедуры первого блока с 1.1 по 1.6 являются разовыми, а процедуры 2.1 – 4.1 являются многократными. Обозначим усреднённые уязвимости с высокой степенью реализации (р=0,9–1) буквой В, со средней вероятностью (р?0,5) буквой С, с низкой вероятностью (р?0,1) буквой Н. также для оценки наиболее вероятных угроз примем обозначение В, для средней вероятности реализации угроз – С, для низкой вероятности – Н. Известно, что реализации методов и механизмов аутентификации достаточно многообразны. Тем не менее, для рассматриваемого примера ЕСИА применяется всего два аутентификатора – пароль и закрытый ключ. По мнению ряда экспертов наиболее уязвимыми на сегодня являются процедуры проверки предъявленных гражданином идентификаторов (существует вероятность "маскарада"), процедуры хранения секрета (рассмотрим наихудший случай с точки зрения безопасности, когда роль секрета выполняет код активации, то есть пароль) и предъявления пароля проверяющей стороне, который в общем случае может быть подвержен клавиатурным атакам, подсматриванию и т.д.
По мнению ряда экспертов по безопасности в настоящее время наиболее подвержены угрозам со стороны мошенников процедуры проверки актуальности идентификаторов и хранения паролей пользователей. Результаты грубого анализа оценки уязвимостей и угроз в процедурах удалённой аутентификации собраны в табл.2.
Табл.2 Оценки уязвимостей и угроз процедур удалённой аутентификации
|
процесс |
уязвимости |
угрозы |
1. |
Регистрация |
С |
С |
1.1. |
субъект предъявляет свои идентификаторы (удостоверения или ЭУ) |
Н |
С |
1.2. |
ЦР проверяет предъявленные субъектом идентификаторы |
С |
В |
1.3. |
ЦР создаёт учётную запись субъекта |
Н |
Н |
1.4. |
ЦР регистрирует/создаёт секрет (аутентификатор) и издаёт ЭУ |
Н |
С |
1.5. |
ЦР делегирует права доступа субъекта к другим ИС |
Н |
Н |
1.6. |
ЦР выдаёт секрет и ЭУ на руки субъекту |
Н |
Н |
2. |
Подтверждение подлинности |
С |
С |
2.1. |
Субъект хранит секрет и ЭУ |
С |
В |
2.2. |
Субъект предъявляет секрет и ЭУ доверяющей стороне (ДС) |
С |
С |
3. |
Валидация |
Н |
Н |
3.1. |
ДС проверяет цепочку сертификатов, срок и область действия ЭУ |
Н |
Н |
4. |
Принятие решения |
Н |
Н |
4.1. |
ДС принимает решение о результате аутентификации |
Н |
Н |
Представленные предварительные результаты могут служить некоторым ориентиром дальнейших исследований и уточнений, в том числе с применением предложенной методики.
Заключение. В разделе 11.5.2. стандарта [25] сказано: "Строгость идентификации и аутентификации пользователя должна соответствовать важности информации, к которой будет предоставляться доступ". Этот постулат говорит о том, что предложенная типовая методика, построенная на общих принципах и нуждающаяся в адаптации к конкретной информационной системе, предназначена для тех информационных систем, где информационные активы играют существенную роль для предприятий – владельцев этих активов. В силу сложности процесса аутентификации представленный анализ не может претендовать на полноту. Скорее всего, как и все новое, он будет развиваться и уточняться, особенно при анализе различных подходов к аутентификации, например, при внимательном рассмотрении появившихся в последние годы "облегчённых" методов аутентификации (примером которых является [26], посвящённая возможности использования простых способов аутентификации на основе анализа рисков и больших массивов данных по истории аутентификации и поведенческих характеристик пользователей).
Для предприятий и учреждений с развитой инфраструктурой ИТ в последние годы весьма модной темой обсуждения является риск-ориентированный метод управления информационной безопасностью. Для таких организаций представленный в статье анализ может представлять практический интерес. Также результаты работы могут быть использованы для анализа надёжности аутентификации и качества предоставления доступа к приложениям при переходе к облачным вычислениям.
Литература
- Сарбуков А., Грушо А. Аутентификация в компьютерных системах // Системы безопасности. – 2003. - №5 (53).
- Сабанов А.Г. Аутентификация как составляющая Единого пространства доверия // Электросвязь. – 2012. - №8.
- Сабанов А.Г. Методы исследования надёжности удалённой аутентификации // Электросвязь. – 2012. - №10.
- ISO 17799-2002.
- NIST SP 800-30. July 2002.
- AZ/NZS 4360 Risk Management Standard с обновлениями 1999 и 2004г.
- ISO 17799-2002
- ISO 13335.
- ISO 31000:2009 Risk Management – Principles and Guidelines.
- ISO 20000.
- BS 25999.
- ISO 22301.
- Федеральный закон от 27декабря 2002г. №184-ФЗ "О техническом регулировании".
- Федеральный закон от 21 июля 2011г. №255-ФЗ "О внесении изменений в Федеральный закон "О техническом регулировании".
- Федеральный закон от 30 ноября 2011г. №347-ФЗ "О внесении изменений в Федеральный закон "О техническом регулировании".
- ГОСТ Р 51901.1-2002.
- ГОСТ Р ИСО/МЭК 15408.
- ГОСТ Р 50992-2006.
- ГОСТ Р ИСО/МЭК 27005-2010.
- Методика оценки рисков нарушения ИБ, принятая Банком России от 11.11.2009 №Р-1190.
- ГОСТ Р 54505-2011 "Управление рисками на железнодорожном транспорте".
- Thomas R. Peltier. Information Security Risk Analysis. January 2001. 296p.
- Moghissi A. A., Narland R. E., Congel F. J. Eckerman K. F. Methodology for environmental human exposure and health risk assessment. - Dyn.Exposure and Hazard Assessment Toxic chem. Ann Arbor.Michigan, USA 1980 p. 471-489.
- Зубов А.Ю. Математика кодов аутентификации. – М.: Гелиос АРВ, 2007.
- ISO/IEC 27002:2005 Информационные технологии. Свод правил по управлению защитой информации.
- http://www.emc.com/about/news/press/2013/20130226-01.htm