Информационные системы: оценка рисков

Информационные системы: оценка рисков

А.И. Захаров, ведущий специалист
по информационной безопасности Securance Technologies, к.т.н.

Сегодня, несмотря на впечатляющий рост отрасли информационной безопасности в целом, количество инцидентов безопасности продолжает расти. Одной из причин является кризис общесистемных разработок, нацеленных на решение актуальных задач.

Можно выделить следующие активно развивающиеся направления:

• системы ограничения и контроля доступа;
• системы защиты от "зловредного" ПО;
• системы криптозащиты, в том числе технологии VPN;
• системы аудита и раннего оповещения;
• системы управления угрозами и рисками.

В связи с ростом масштабов и сложностью задач обеспечения безопасности компьютерных систем их эффективное решение не может быть достигнуто без целенаправленного управления процессами обеспечения информационной безопасности, основанного на системном методологическом подходе.

Любая попытка систематизации накопленного опыта должна опираться на достоверность и достаточность используемых знаний.

Для подтверждения этих слов обратимся к теории обеспечения информационной безопасности как процессу управления рисками.

Оценка рисков

Известно, что риск — это вероятность реализации угрозы информационной безопасности. В классическом представлении оценка рисков включает в себя оценку угроз, уязвимостей и ущерба, наносимого при их реализации.

Риск определяется как произведение трех составляющих:

Рассмотрим процесс формирования каждой из них.

Threat. Оценка вероятности реализации угроз опирается на известную статистику возникновения аналогичных инцидентов безопасности в прошлом. Искомая вероятность определяется на основе экстраполяции имеющихся данных. На практике полученное значение чаще всего интерпретируется с помощью более привычной дискретной шкалы.

Vulnerability. Оценка уязвимостей необходима для определения того, каким иммунитетом обладают компоненты инфраструктуры к выявленным угрозам. Данная оценка формируется на основе совокупности сведений о наличии, качестве и количестве известных технических ошибок и недоработок в защищаемой системе.

Impact. Оценка ущерба включает в себя не только калькуляцию прямых убытков вследствие реализации угроз. Удобнее говорить о степени нанесенного ущерба в диапазоне от незначительного до высокого.

Несмотря на кажущуюся простоту подхода, практическая задача вычисления рисков наталкивается на множество проблем. Основными из них являются недостаточность сведений:

• о единых стандартах и классификациях;
• об известных угрозах безопасности;
• о качественной оценке уязвимостей;
• о системах технической экспертизы.

Сложившаяся ситуация означает, что в подавляющем большинстве случаев процесс управления информационной безопасностью основан на оценке рисков, существующих при принятой политике безопасности и с учетом имеющихся средств защиты. При этом часть рисков, связанных с недостаточной надежностью самих элементов информационной системы, просто не учитывается из-за отсутствия достоверных сведений.

В результате компании несут расходы, требуемые для снижения известных рисков, а неизвестные риски так и остаются за рамками внимания. Применительно к формуле оценки рисков можно говорить об отсутствии достаточных сведений об уязвимостях (Vulnerabilities) при определенных угрозах и ущербе (Threats и Impact).

Как полноценно использовать имеющуюся модель управления рисками?

В первую очередь необходимо устранить пробел, связанный с недостатком сведений об актуальных уязвимостях информационных систем. Это означает, что в основу модели управления должна быть положена база знаний, не только содержащая исчерпывающие сведения об известных брешах безопасности, но и демонстрирующая связь этих уязвимостей возможностью реализации конкретных угроз. Кроме того, база знаний должна содержать сведения о принятой классификации опасности уязвимостей, а также указания на методику оценки влияния специфики информационного окружения.

Сегодня столь серьезным требованиям удовлетворяют лишь некоторые специализированные базы данных (БД). Практически все они являются закрытыми и не предполагают предоставление полного доступа к информации даже на коммерческой основе.

Необходимость стандартизации

Поскольку большинство разработчиков БД придерживается своего собственного подхода к оценке ключевых показателей уязвимостей, то получаемая оценка является несколько субъективной, отчего могут возникать проблемы.

Необходимость стандартизации в этой области назрела уже давно, однако существенные шаги в этом направлении были сделаны только в последние годы.

В 2004 г. был создан консорциум, целью которого является разработка единой системы классификации и оценки опасности уязвимостей Common Vulnerabilities Scoring System (CVSS). В консорциум вошли не только ведущие игроки на рынке информационной безопасности (такие, как Cisco и ISS), но и лидеры рынка программного обеспечения Microsoft и Symantec. Немаловажно и то, что в работе группы приняло участие американское государственное подразделение US-CERT, занимающееся координацией работ по разработке методов защиты от киберугроз. Кроме того, в результате реструктуризации подразделения Национального института стандартов и технологий США (NIST), отвечающего за безопасность, путем объединения его с вышеупомянутым US-CERT, организована публичная Национальная база данных уязвимостей (NVD), содержащая достоверную и актуальную информацию об известных ошибках и недоработках в программном обеспечении.

Решения по управлению уязвимостями

Изучая существующие решения, необходимо упомянуть и о классических системах управления уязвимостями (Vulnerability Management). Задача этого класса систем — предоставить администратору безопасности удобные инструменты для выявления, сопровождения и устранения известных проблем безопасности в информационной системе. Несмотря на хорошую реализацию модели управления жизненным циклом уязвимостей, такие системы имеют ограниченные возможности по их выявлению. Как правило, основным инструментом аудита выступает сканер безопасности, предназначенный лишь для выявления активных брешей безопасности, которые можно эксплуатировать напрямую. По статистике, наибольшую угрозу представляют как раз пассивные уязвимости, которые проявляются лишь при совокупном воздействии нескольких факторов — как внешних, так и внутренних.

Наиболее эффективными решениями по управлению уязвимостями могут похвастаться компании ISS и PatchLink: первая - благодаря собственной базе уязвимостей X-Force и привязке результатов работы к основным регулирующим американским стандартам Sarbanes-Oxley, HIPAA, SCADA; вторая — за счет наилучшей реализации управления патчами в гетерогенных сетях, а также возможности импорта результатов работы наиболее распространенных сканеров безопасности, поддерживающих стандарт CVE. Как известно, каждый из сканеров имеет свои сильные и слабые стороны.

Одной из попыток решения проблемы выявления пассивных уязвимостей можно назвать проект OVAL, использующий в работе сигнатуры информационной системы. Сущность подхода заключается в сборе локальной информации, когда помимо сведений о наименовании и версии программного обеспечения учитываются такие важные факторы, как особенности конфигурации системы, а также наличие информации об уже установленных обновлениях. К настоящему моменту OVAL работает на платформах Windows 2000/XP, RedHat и Solaris9, однако количество известных сигнатур оставляет желать лучшего.

Подобные решения не новы, но на сегодняшний день только Microsoft имеет зрелый продукт (Microsoft Baseline Security Analyzer) для всестороннего анализа безопасности своих систем.

Подводя итог сказанному, нужно отметить, что современные средства управления уязвимостями в гетерогенном окружении все еще несовершенны. Несмотря на то что техническая возможность выявления всего спектра уязвимостей существует, остается нерешенным вопрос интеграции данного процесса с системами управления рисками. Это, конечно, не ставит крест на самом процессе управления, однако предъявляет высокие требования к достаточности, достоверности и актуальности сведений, касающихся выявления проблем безопасности в информационных системах. Наиболее логичным решением здесь видится разработка методики, релизующей недостающие звенья в цепочке управления. Последовательный подход должен включать в себя всесторонний сбор сведений об инфраструктуре, выявление всех известных уязвимостей и угроз, классификацию их по уровням распространенности, актуальности и опасности, калькуляцию рисков информационной системы, связанных с наличием выявленных брешей, наконец, выработку управленческих решений, согласующихся с принятой политикой информационной безопасности.