вернуться в библиотеку

2006 г.

Защита информации в корпоративных приложениях. Частные решения

Источник: http://citforum.ru/security/articles/corp-net/

А. Щеглов, А. Оголюк
"Экспресс Электроника"

Сегодня мало кто ставит под сомнение необходимость дополнительной защиты современных ОС семейства Windows. Однако возникают вопросы: какие задачи должно решать дополнительное средство защиты, в какой части и каким образом следует усиливать встроенные механизмы ОС?

Все многообразие угроз компьютерной безопасности можно свести к двум большим группам: внутренние и внешние IT- угрозы.

Появление понятия внутренних IT-угроз для ОС Windows связано с началом использования ОС семейства Windows для обработки конфиденциальной информации в корпоративных приложениях. Конфиденциальная информация априори является потенциальным объектом несанкционированного доступа (НСД), так как обладает потребительской стоимостью для злоумышленников, то есть является товаром.

С учетом же того, что в основе архитектуры защиты современных универсальных ОС семейства Windows (не будем забывать, что это универсальные ОС, изначально созданные как персональные для домашнего использования) лежит принцип полного доверия к пользователю, некоторые ключевые механизмы защиты, встроенные в современные ОС Windows, по этой причине не могут обеспечить эффективного противодействия внутренним IT-угрозам — угрозам НСД к информации со стороны санкционированных пользователей (инсайдеров — пользователей, допущенных к обработке конфиденциальной информации в рамках выполнения своей служебной деятельности), именно санкционированные пользователи и несут в себе наиболее вероятную угрозу хищения конфиденциальных данных предприятия. Как следствие, эта задача сегодня не решается встроенными механизмами защиты ОС Windows, поэтому ее решение должно быть возложено на добавочные средства защиты. Понятие внешних IT-угроз для ОС Windows появилось гораздо раньше, но опять же в полной мере проявилось с началом использования ОС семейства Windows для обработки конфиденциальной информации в корпоративных приложениях, что опять же связано с высокой потребительской стоимостью конфиденциальных данных для злоумышленников. И здесь ключевой причиной, на наш взгляд, является исторический подход к созданию универсальных ОС. Несмотря на то что архитектура защиты при переходе от версии к версии претерпевает заметные изменения, она и по сей день имеет принципиальные архитектурные недостатки (например, ошибки в приложениях никак не должны сказываться на уровне безопасности информации, защиту которой осуществляет ОС). Другая проблема кроется в систематически обнаруживаемых ошибках программирования. Здесь, вообще говоря, получается некий замкнутый круг. Очевидно, необходимо кардинально менять архитектуру защиты, что требует времени и серьезной проработки решений, но рынок требует обратного — необходимо максимально быстро создавать и поставлять на рынок решения с новыми потребительскими свойствами, а это возможно лишь при условии максимального использования существующего программного кода. Когда же речь заходит о потребительских свойствах, то в первую очередь разработчиком расширяются те свойства продукта, которые максимально востребованы (если изделие максимально ориентируется на использование частными лицами, то отнюдь не обеспечиваемый уровень информационной безопасности становится его основным потребительским свойством).

В результате получаем следующую статистику уязвимости ОС Windows. В 2005 году в ОС Windows было выявлено 812 «дыр» (исследования US-CERT). Специалисты из McAfee отмечают, что из 124 «дыр», обнаруженных в Windows XP Professional на сайте Secunia (Security Provider), 29 так и остались не устраненными, что дало компании основание присвоить Windows статус критически опасной ОС. Действительно, наличие уязвимостей (или «дыр») в системе делает ее защиту просто бесполезной — что толку в том, сколько и каких механизмов защиты реализовано, если есть известный канал НСД к информации?

Вывод: на сегодняшний день в корпоративных приложениях при защите конфиденциальной информации в равной мере актуальны задачи противодействия и внутренним, и внешним IT- угрозам.

Таким образом, на основании данного вывода можно заключить, что добавочное средство защиты конфиденциальной информации, используемое в корпоративных приложениях, должно быть комплексным — должно решать задачи защиты информации в части противодействия как внутренним, так и внешним IT- угрозам.

Несмотря на это очевидное требование, сегодня на рынке средств защиты появляется все больше систем, ориентированных на решение частных задач, в том числе призванных оказывать противодействие внутренним IT-угрозам. Однако, этот эффект (как мы покажем далее) порою может достигаться за счет снижения эффективности противодействия внешним IT- угрозам, что, на наш взгляд, недопустимо.

Для иллюстрации сказанного будем рассматривать вопросы реализации лишь одного механизма защиты (правда, отметим, ключевого в части решения задач противодействия внутренним IT-угрозам) — механизма контроля доступа к ресурсам.

Назначение механизма контроля доступа к ресурсам

Ключевым механизмом защиты информации является контроль доступа к ресурсам, основанный на задании и реализации правил разграничения доступа к ресурсам для пользователей. Задаваемые правила доступа всегда могут быть представлены соответствующей моделью (или матрицей доступа).

Пусть множества С = {С1,…, Ск} и О = {О1,…, Оk} — соответственно линейно упорядоченные множества субъектов и объектов доступа. В качестве субъекта доступа

Сi, i = 1,…, k

рассматривается как отдельный субъект, так и группа субъектов, обладающих одинаковыми правами доступа (заметим, что на практике это могут быть как различные пользователи, так и один и тот же пользователь, обладающий различными правами доступа при различных режимах обработки информации), соответственно, в качестве объекта доступа
Оi, i = 1,…, k

может также рассматриваться как отдельный объект, так и группа объектов, характеризуемых одинаковыми правами доступа к ним.

Пусть S = {0, Чт, Зп} — множество прав доступа, где «0» обозначает отсутствие доступа субъекта к объекту, «Чт» — разрешение доступа для чтения объекта, «Зп» — разрешение доступа для записи в объект.

Каноническую модель контроля доступа (модель контроля доступа, реализующая базовые требования к механизму защиты) можно представить матрицей доступа D, имеющей следующий вид:

f1.gif

Под канонической моделью контроля доступа для линейно упорядоченных множеств субъектов (групп субъектов) и объектов (групп объектов) доступа понимается модель, описываемая матрицей доступа, элементы главной диагонали которой «Зп/Чт» задают право полного доступа субъектов к объектам, остальные элементы «0» задают запрет доступа субъектов к объектам.

Заметим, что каноническая модель контроля доступа описывает режим изолированной обработки информации, при котором объекты не могут служить каналами взаимодействия субъектов.

Сегодня при реализации частных решений по противодействию внутренним IT-угрозам широко используется полномочный контроль доступа. Его практическое использование в данных приложениях обусловлено тем, что в корпоративных системах, как правило, на одном и том же компьютере обрабатывается различная по уровню конфиденциальности информация, что позволяет ее категоризовать («открытая», «конфиденциальная», «строго конфиденциальная» и т. д.), при этом необходимо обеспечить различные режимы обработки информации разных категорий на основе задания соответствующих полномочий субъектам доступа (откуда и название) к категоризованным объектам.

Основу полномочного контроля доступа составляет способ формализации понятий «группа пользователей» и «группа объектов», на основании вводимой шкалы полномочий. Наиболее широко на практике используется способ иерархической формализации отношения полномочий, состоящий в следующем. Иерархическая шкала полномочий вводится на основе категоризования данных (открытые, конфиденциальные, строго конфиденциальные и т. д.) и прав допуска к данным пользователей (по аналогии с понятием «формы допуска»). Будем считать, что чем выше полномочия субъекта и категория объекта, тем соответственно, меньше их порядковый номер в линейно полномочно упорядоченных множествах субъектов и объектов —

С = {С1,…, Ск}

и
О = {О1,…, Оk}).

Соответствующая формализация правил доступа субъектов к объектам при этом, как правило, сводится к следующему:

Матрица доступа D, описывающая полномочную модель контроля доступа, имеет следующий вид:

f2.gif

Таким образом, основная задача, решаемая при реализации данного способа контроля доступа, состоит в предотвращении возможности понижения категории информации при ее обработке. Иногда дополнительно вводится правило, разрешающее запись информации более низкой категории в объекты более высокой категории, что также не противоречит идее противодействия понижению категории информации; матрица доступа D, описывающая полномочную модель контроля доступа, при этом имеет следующий вид:

f3.gif

Возможность работы одного и того же пользователя с данными различных категорий большинством известных реализаций полномочного контроля доступа обеспечивается тем, что в системе реализуются динамические полномочия пользователя, изменяемые применительно к тому, с документом какой категории пользователь работает. Корректность реализации полномочного контроля здесь обеспечивается тем, что разрешается изменять категорию лишь в сторону ее повышения

(Ck Ck–1, …С1)

— после чтения открытого документа пользователю разрешается сохранять данные в объект категории «открыто», после чтения конфиденциального документа пользователю разрешается сохранять данные в объект категории «конфиденциально», причем все открытые ранее документы категории «открыто» также разрешается сохранять только в объект категории «конфиденциально».

В порядке замечания отметим, что само это решение уже существенно снижает эффективность защиты информации, не позволяя обеспечить разные режимы обработки информации различных категорий. Поясним сказанное, при этом не будем забывать, что основу разграничительной политики доступа к ресурсам в ОС Windows составляет назначение атрибутов доступа объектам и привилегий пользователям. Среди этих привилегий есть очень важные, например, разрешить только локальный вход в систему и др. Привилегии назначаются учетной записи. При рассмотренном же подходе к решению задачи (полномочный контроль доступа), доступ к информации различных категорий осуществляется под одной и той же учетной записью, что делает невозможным при таком решений назначать различные привилегии пользователю при обработке информации различной категории. На наш взгляд, уже этого достаточно, чтобы признать подобное решение не самым удачным. Однако в статье речь пойдет о другом.

Задачи антивирусной защиты в корпоративных приложениях

Классически задача защиты информации состоит не только в защите от нарушения ее конфиденциальности, но и в обеспечении ее доступности и целостности. А в этой части особое внимание следует обратить на противодействие возможному ее «заражению» макровирусами, что является уже задачей противодействия внешним IT-угрозам.

Проиллюстрируем, в чем состоит особенность рассматриваемых приложений (обработка информации на предприятии).

  1. Обработка категоризованной информации (например, «конфиденциально» и «открыто») априори предполагает, что в первую очередь объектом защиты является информация более высоких категорий (в частности, в первую очередь следует защищать конфиденциальную информацию, работа с открытой информацией в данных приложениях является опциональной, и ее защита не столь важна).
  2. Обработка категоризованной информации (например, «конфиденциально» и «открыто») априори предполагает различные режимы создания, обработки и хранения информации различных категорий, причем, чем выше категория информации, тем более жесткие ограничения накладываются на ее обработку (в частности, конфиденциальную информацию, как правило, разрешается создавать только на вычислительных средствах предприятия, причем определенным набором приложений, хранение и обмен данной информацией по сети либо с использованием мобильных накопителей также осуществляется между вычислительными средствами корпоративной сети, которые должны быть защищены, что требует обработка конфиденциальных данных, открытая же информация может поступать из непроверенных источников, не предполагающих реализации каких-либо регламентов по ее созданию, обработке и хранению).
    Как следствие, вероятность того, что «заражен» макровирусом открытый документ на порядки выше, чем конфиденциальный, соответственно, чем выше категория документа (жестче регламенты на режимы его обработки), тем меньше вероятность того, что документ «заражен» макровирусом.

Из всего сказанного можем сделать очень важный вывод: чем ниже категория документа, тем менее он нуждается в защите от «заражения», что, в том числе, сказывается на реализуемых режимах его обработки, как следствие, тем большей вероятностью быть «зараженным» он характеризуется.

С учетом же того, что на одном и том же компьютере обрабатывается как открытая (которая имеет большую вероятность «заражения»), так и конфиденциальная (которую необходимо защищать от «заражения») информация, может быть сформулирована задача антивирусной защиты в следующей постановке: обеспечить защиту конфиденциальных данных от макровирусов, которыми с большой вероятностью могут быть «заражены» открытые документы, то есть предотвратить распространение вируса на конфиденциальные данные. В общем же случае (при наличии нескольких категорий конфиденциальности) задача может быть сформулирована следующим образом: предотвратить распространение вируса на данные более высокой категории конфиденциальности.

Модель вероятностного контроля доступа к ресурсам

Как и ранее, будем считать, что чем выше полномочия субъекта и категория объекта, тем соответственно, меньше их порядковый номер в линейно полномочно упорядоченных множествах субъектов и объектов —
С = {С1,…, Ск}

и
О = {О1,…, Оk}).

Обозначим же через Pi вероятность того, что документ i-й категории «заражен» макровирусом, при этом (как было сказано выше) априори имеем:
P1 < P2 <…< Pk.

Беря во внимание тот факт, что макровирус начинает действовать (что может нести в себе угрозу «заражения») лишь после прочтения его соответствующим приложением и что предотвращать следует возможность «заражения» документа более высокой категории макровирусом из документа более низкой категории (после его прочтения приложением), получаем следующую матрицу доступа F, описывающую вероятностную модель контроля доступа, реализуемую для антивирусного противодействия:

f4.gif

Видим, что при реализации данной модели контроля доступа разрешается запись документов, имеющих меньшую вероятность заражения макровирусом в объекты, документы в которых имеют большую вероятность заражения макровирусом — обратное запрещено, то есть предотвращается повышение вероятности «заражения» документов более высокой категории конфиденциальности, за счет того, что одновременно с ними на одном и том же компьютере могут создаваться, обрабатываться и храниться документы более низкой категории, вероятность «заражения» макровирусом которых выше.

Видим, что при реализации данной схемы вероятность «заражения» документа более высокой категории, например, O1 (P1) не изменяется в связи с тем, что на том же компьютере обрабатывается информация более низкой категории, например, Ok (Pk). При этом будем понимать, что режимы обработки информации различных категорий могут кардинально различаться (например, при обработке на одном компьютере открытой Оk и конфиденциальной информации О1, имеем:

Pk >> P1,

причем в зависимости от реализованных правил и организационных мер по обработке конфиденциальных данных это отношение может составлять сотни, тысячи и более раз, то есть именно во столько раз можно снизить вероятность «заражения» конфиденциальных данных макровирусами, хранящимися в открытых данных, для которых порою, Pk = 1).

Недостатки частного решения. Комплексный подход к реализации контроля доступа к ресурсам в корпоративных приложениях

Сравним матрицы D и F. Видим, что они полностью противоречат друг другу, то есть требования к реализации полномочного контроля доступа при решении альтернативных задач защиты информации не то чтобы были различны — они противоречивы.

С точки зрения противодействия внешним IT-угрозам (в части антивирусной защиты) практическое использование механизмов полномочного контроля доступа недопустимо. Это обусловливается тем, что, как видно из проведенного исследования, при реализации частного решения, основанного на использовании полномочного контроля доступа, кардинально снижается эффективность противодействия внешним IT-угрозам.

В порядке замечания отметим, что повышение вероятности вирусного воздействия на конфиденциальные данные — это не единственная причина снижения эффективности противодействия внешним IT-угрозам при реализации полномочного контроля доступа. В этом случае повышается и вероятность успешной сетевой атаки, так как сетевые службы в этом случае запускаются под учетной записью, имеющей доступ к конфиденциальной информации, и др.

Прежде рассмотрим, какую информацию мы категоризуем, применительно к решению задачи антивирусной защиты. Естественно, что качественное отличие в обработке имеет открытая информация и конфиденциальная информация, то есть мы можем выделить две основные категории: «открыто» и «конфиденциально». При этом обработка конфиденциальной информации различных категорий, в части вероятности быть исходно «зараженной» макровирусом, уже отличается не столь существенно. С учетом сказанного на практике имеет смысл рассматривать прежде всего следующее отношение вероятностей того, что документ i-й категории «заражен» макровирусом, обозначив категорию «открыто», как k, имеем:

P1 = P2 =…=Pk–1 << Pk.

Естественно, что если мы не можем разрешить ни чтения, ни запись (так как эти требования противоречивы в матрицах доступа), то остается лишь одно решение, связанное с полным запретом доступа. С учетом сказанного получаем модель полномочного контроля доступа, реализация которой позволяет решать рассмотренные альтернативные задачи в комплексе, описываемую матрицей доступа D(F):

f5.gif

Заметим, что при таком подходе к реализации полномочного контроля доступа обработка открытых данных по сути полностью изолируется от обработки конфиденциальных данных. Результатом такого решения, никак не противоречащего идее обработки данных на основе полномочий пользователей и категорий объектов, является то, что повышение вероятности «заражения» макровирусом открытых данных никак не сказывается на вероятности «заражения» макровирусом конфиденциальных данных, что определяется условием:

P1 = P2 = … = Pk–1 << Pk.

Важным здесь является тот момент, что если на вероятность «заражения» макровирусом открытых данных повлиять практически невозможно, кроме как уменьшить ее значение, за счет применения специализированных антивирусных средств защиты (что, с одной стороны, не даст решения в общем виде, так как сигнатурный анализ позволяет находить только известные макровирусы, с другой стороны, в данных приложениях выглядит несколько странным — защищаем открытые данные, вообще говоря не очень и нуждающиеся в защите, чтобы в конечном счете уберечь от «заражения» конфиденциальные данные), то вероятность «заражения» макровирусом конфиденциальных данных можно существенно снизить (на порядки — в сотни, в тысячи, а может быть, и более раз, реализовав соответствующие организационные мероприятия по их обработке (которые и так априори должны быть реализованы, но уже с целью противодействия понижению их категории)).

Если под отдельной учетной записью реализуется доступ во внешнюю сеть, причем под этой учетной записью не разрешен доступ к конфиденциальным данным, то значительно снижается и вероятность несанкционированного доступа к конфиденциальной информации и из сети.

Матрица D(F) иллюстрирует тот факт, что при обработке на компьютере информации только двух категорий («открыто» и «конфиденциально» — наиболее распространенный случай), с точки зрения решения задачи защиты информации в комплексе использование полномочного контроля доступа недопустимо (а это ведь самый распространенный случай категоризования информации на практике).

В порядке замечания отметим, что в общем случае, используя рассмотренный подход (запрещая соответствующие права доступа), можно формировать различные правила контроля доступа (различные варианты защиты от «заражения» макровирусом конфиденциальных данных). Один из примеров соответствующей матрицы (изолируется обработка данных, наивысшей категории) доступа представлен ниже:

f6.gif

В порядке замечания отметим, что при условии:

P1 << P2 <<…<< Pk–1 << Pk

должна быть реализована каноническая модель контроля доступа.

Видим, что при реализации комплексного подхода к решению уже не целесообразна какая-либо жестко заданная формализация отношений на основе меток безопасности (или категорий и полномочий), в данном случае целесообразно задание правил разграничения доступа субъектов к объектам на основе матрицы доступа, что позволяет реализовать необходимые для конкретных условий использования средства защиты информации правила разграничения доступа, обеспечивающие эффективное противодействие как внутренним, так и внешним IT-угрозам.

Заключение

В заключение отметим, что средство защиты должно решать в комплексе необходимый набор задач защиты, актуальных для конкретного приложения, в частности, применительно к защите конфиденциальной информации — обеспечивать противодействие как внутренним, так и внешним IT-угрозам.

Реализация же частных решений не должна снижать результирующей эффективности защиты информации, что возможно ввиду того, что решения для альтернативных типов угроз могут взаимно исключать друг друга, вследствие чего реализация частного решения может приводить к повышению эффективности противодействия одной группе угроз за счет снижения эффективности противодействия другой группе угроз.