Методы обмана на службе защиты информации. Часть 1.

         Приветствую всех! Сегодня речь пойдет о методах обмана применяемых для защиты информации. Такие системы еще называют "обманными системами защиты информации" или просто ОБС. Посвятить статью данной тематике меня натолкнула конечно же практическая задача, которая требует применения ОБС.

Итак, в чем же суть этих самых ОБС? По задумке такие системы должны вовлечь нарушителя в своего рода "игру", посредством эмуляции различного рода уязвимостей, которых в реальности не существует. Нарушитель пытаясь реализовать атаки на эмулированные уязвимости тратит время и выдает себя. Вкратце перечислим некоторые механизмы обмана, основываясь на классификации Даннигана и Ноуфи: сокрытие, камуфляж, дезинформация и целесообразно добавить методы провокаций (подталкивания).

          В области информационной безопасности наибольшее распространение получил первый метод - сокрытие. Примером использования этого метода в целях обеспечения информационной безопасности можно назвать сокрытие сетевой топологии при помощи межсетевого экрана. Примером камуфляжа можно назвать использование Unix-подобного графического интерфейса в системе, функционирующей под управлением операционной системы Windows. И, наконец, в качестве примера дезинформации можно назвать использование заголовков (banner), которые бы давали понять нарушителю, что атакуемая им система уязвима. 

     Обманная система может быть реализована двумя способами. Первый вариант представляет собой эмуляцию некоторых сервисов или уязвимостей только на том компьютере, на котором запущена обманная система (The Deception Toolkit - DTK). Цель ввести в заблуждение средства анализа защищенности путем создания ложных уязвимостей, что позволит своевременно обнаружить попытки НСД, и возможно, обнаружить атакующего. DTK представляет собой набор программ, реализующих описанные выше механизмы обмана нарушителей. Эти программы могут быть модифицированы под конкретные нужды пользователей. DTK может функционировать под управлением любой ОС, поддерживающей стек протоколов TCP/IP.  В частности, под управлением большого числа различных Unix-систем. Второй класс систем эмулирует не отдельные сервисы, а сразу целые компьютеры и даже сегменты, содержащие виртуальные узлы (Cyber Cop Sting, Man Trap). Подобного рода сервисы «создают» виртуальную сеть на выделенном узле, работающем под управлением различных операционных систем. Каждый из виртуальных узлов имеет один или несколько IP-адресов, на которые можно посылать сетевой трафик и получать вполне «реальный» ответ. В более сложных случаях виртуально созданный узел может выступать в роли ретранслятора пакетов на невидимый, но реальный компьютер, который и отвечает на все запросы злоумышленника. Главное достоинство такого рода систем в том, что для моделирования «приманки» для нарушителя не требуется большого количества компьютеров и маршрутизаторов, все реализуется на единственном компьютере (спасибо технологии виртуализации)

Другим способом размещения ОБС, является размещение такой системы в контролируемом сегменте сети. Хост с обманной системой подключается к тому же коммутатору что и рабочие станции и имеет адрес из того же диапазона что рабочие хосты.

Итак, с теорией с большего разобрались. Конечно же интересно оценить эффективность применения ОБС. Для этого нам необходимо провести математическое моделирование, а после подтвердить или опровергнуть полученные результаты на практике.

Первым что бы я хотел знать это вероятность того, что моя информационная сеть будет взломана. Примем, что в информационной сети из средств защиты применяется только ОБС. Для упрощения расчетов при моделировании воспользуемся аналитическим аппаратом Марковского случайного процесса с дискретными состояниями и дискретным временем с учетом, что в моделируемой информационной сети количество ложных хостов из состава ОБС не больше количества целевых хостов информационной сети интересующих нарушителя. Граф состояний имеет вид

       На графе изображены состояния системы и вероятности переходов из состояния в состояние. Интересующее нас состояние S4 соответствует полному контролю нарушителя над информационной сетью. Эффективность будет определять как разность вероятностей информационной сети оказаться в состоянии S4 без применения ОБС и с применением ОБС. Следовательно, в случае отсутствия ОБС вероятность информационной сети оказаться в состоянии S4 равна 1.

Конечная формула для расчетов имеет вид:

       После всех расчетов мы получим, что разность между вероятностями оказаться в состоянии S4  без ОБС и с ОБС = 0,169036 или примерно 17%. Данный результат говорит о том, что определенный эффект от применения имеется. Следовательно, более детально смоделируем ситуацию для дальнейшего анализа. Для практического этапа спустимся немного на землю и прикинем на небольшом количестве рабочих станций и серверов. Пусть в составе информационной сети имеется  Nr=15 истинных объектов из которых Ni=3 целевых, ОБС формирует Nf = 15  ложных объектов.

Вероятность того, что нарушитель за k шагов сумеет получить доступ к i целевым объектам в условиях применения ОБС, а также считая исходную вероятность доступа к объектам  P на каждом шаге равной 0,9 получим:

В конечном итоге эффективность:

Уф... я думаю на этом хватит математики. Вот некоторые мысли, которые для меня уже прояснились:

• после достижения определенного количества ложных объектов в ОБС уменьшение вероятности взлома существенно замедляется. Это позволит выбрать целесообразное количество эмулируемых ложных объектов в зависимости от заданных условий. 
• применение ОБС накладывает требования по точному эмулированию ложных информационных объектов, так как неточности могут быть демаскирующими факторами, которые помогут противнику обойти ОБС.
• полученные соотношения и зависимости позволяют оценивать эффективность ОБС и влияние на нее при условии, что ложные объекты, эмулируемые ОБС, абсолютно идентичны истинным (целевым) объектам. Если это условие не выполняется, то необходимо оценивать вероятность распознавания ложных объектов и дискредитации таким образом самой ОБС.
• приведенная оценка эффективности ОБС правомерна для статических информационных сетей, состав и параметры которых не меняются в процессе защиты, а в реальных сетях состав функционирующих объектов часто меняется. Все это обусловливает необходимость оценки эффективности применения ОБС, учитывая как возможности распознавания ложных и истинных объектов, так и динамику функционирования самой защищаемой информационной сети.  
• для правильного развертывания ОБС необходимы имитационные модели, позволяющие, обосновывать состав демаскирующих признаков ложных объектов, создаваемых в виртуальной среде, и истинных объектов в составе информационной сети, определять допустимый уровень затрат вычислительных ресурсов информационной сети на функционирование ОБС, определять временные характеристики доступа нарушителя или запущенного им процесса как к целевым, так и к ложным объектам. только на основании результатов моделирования можно однозначно определиться с необходимым количеством ложных объектов, которые будут применяться в ОБС.

       На этом сегодня все. Очень надеюсь, что не слишком намудрил и материал окажется интересным для читателей. Жду комментариев и отзывов на статью. По мере запуска реально функционирующей ОБС буду выкладывать практический материал по настройке этого чуда. Следующая тема будет посвящена управлению программным обеспечением как активом.