DETAILED ALGORITHM OF SET REALIZATIONS OF THREATS INFORMATION SAFETY TO TECHNOLOGICAL MEDICAL INFORMATION SYSTEMS

Full Text

Актуальность. Современное состояние развития технологических медицинских информационных систем (МИС) можно охарактеризовать все более широким внедрением в практику средств вычислительной техники (СВТ) в непосредственный процесс оказания медицинской помощи, приближением непосредственно к пациенту и углублению зависимости качества предоставления медицинских услуг от надежности их функционирования и, в большой мере, их защищенности от несанкционированного доступа (НСД). Примером использования технологических МИС, от состояния БИ которых напрямую зависит жизнь пациента, является роботыиспользуемые в телехирургии [1]. Экстремальные условия, в которых должен работать робот, требуют связь с сетями общего пользования. Злоумышленник может получить доступ к СВТ и препятствовать работе медицинского персонала при проведении операции. При этом применяемое для обеспечения БИ шифрование соединений не обеспечивает от атаки «человек посередине», которая позволяет злоумышленникам перехватывать трафик и манипулировать им. При этом необходимо отметить отсутствие к настоящему времени нормативной и методической основы решения задачи обеспечения БИ применительно к рассматриваемому классу информационных систем. Отсутствие требований к защите информации в технологических МИС не связанных с обработкой персональных данных приводит к ряду проблем обусловленных возможностью открытого доступа к их оборудованию и, соответственно, высокими рисками для пациентов. В качестве примера можно привести неаутентифицированныйTelnet-порт в инфузионном насосе, предназначенном для вливания лекарственных препаратов пациенту [2]. Таким образом, обоснование требований к системам обеспечения БИ является одним из ключевых вопросов организации эксплуатации технологических МИС. Материал и методы исследования. Классификационные методы обоснования требований к БИ, применяемые при защите персональных данныхв МИС, обладают рядом недостатков. В частности классификационные методы не позволяют применять методы технического синтеза в области БИ при проектировании технологических МИС, широко используемые при их проектировании по другим аспектам. В этой связи перспективным видится переход от классификационных подходов к подходам, основанным на оценке эффективности систем защиты информации (СЗИ), нормировании требований [3]. При этом традиционная периметровая модель защиты, основанная на вербальном умозрительном описании реализации угроз БИ, не удовлетворяет требованиям метода нормирования. Исходя и из потребности научных основ технического синтеза при проектировании технологических МИС, целью статьи является разработка детального типового алгоритма реализации угроз реализации угрозы БИ в терминах конкретных способов реализаций угроз БИ и программных средств для их осуществления. Детальный алгоритм разрабатывается в интересах формирования «картины состояний природы» при решении задачи нормирования требований к БИ методами принятия решений. Последовательность реализации угроз БИ можно составить, используя разработанную конфликтно-динамическую модель [4]. Алгоритм реализации угроз ИБ условно можно разделить на три этапа. 1. Сбор информации о топологии и принципах функционирования автоматизированной системы. Он включает такие действия, как определение сетевой топологии, типа и версии операционной системы (ОС) разведываемого объекта, а также доступных сетевых и иных сервисов. 2. Непосредственное проникновение в автоматизированную систему. Проникновение подразумевает под собой преодоление средств защиты периметра и может реализовываться различными путями. Например, использованием уязвимости сервиса компьютера, реализующего защиту (запуск эксплойта). Такое содержание может задействовать так называемые "туннели" в средствах защиты информации, через которые затем возможно проникновение в МИС. К этому шагу можно отнести подбор пароля администратора или иного пользователя. 3. Установление контроля над автоматизированной системой. Установление контроля подразумевает получение прав администратора (root) и использование утилиту скрытого управления (backdoor, rootcit). При этом одним из основных требований к данному виду программ является скрытность ее использования в МИС. Таким образом, важнейшим компонентом любого руткита являются программы, скрывающие присутствие постороннего кода (например, кода backdoor-программы), данных (файлов, каталогов, ключей реестра) и процессов. Конкретные способы реализаций всех трех этапов с их полным описанием содержатся в базе данных компьютерных атак, ведущейся DARPA (DARPA IntrusionDetectionAttacksDatabase) доступные в интернет по адресу www.II.mit.edu. Детальный типовой алгоритм реализации НСД с использованием рассмотренных способов представлен на рисунке 1. Содержание основных этапов типового алгоритма реализации НСД представлено в таблице 1. Методический подход к формализации конфликтно динамических процессов, происходящих при НСД, позволяющих в дальнейшем решать задачу нормирования требований к ИБ, предложен в [4]. Для формализации используется с использованием математического аппарата марковских процессов. При этом детальный типовой алгоритм реализации НСД формализуется графом, отображающим динамику выполнения всех этапов НСД всеми способами. В [3] получено аналитическое выражение для вероятности выполнения НСД для стационарного случая. Результирующее выражение марковской модели предназначено для оценки целевой функции ИБ - вероятности реализации различных вариантов угроз и механизмов защиты в виде: (1) - этап реализации угрозы ИБ; - способ i -го этапа реализации имеет экспоненциальное распределение с параметром ; Рис. 1 Детальный типовой алгоритм реализации НСД Таблица 1. Детальное описание реализаций угроз НСД. Наимено-вание атаки Исполь-зуемый сервис (протокол) Уязвимая опера-ционная система Механизм реализации Среднее время реализации Цель реализации Краткое описание Сбор информации о топологии и принципах функционирования автоматизированной системы (Probes) Ipsweep ISMP Все Неправомерное использование Короткое. Полное сканирование TCP/IP портов одной компьютерной системы единицы минут. Идентификация сетевых маршрутов и открытых для использования сетевых служб до нескольких секунд. Поиск функционирующих СВТ Идентификация объекта НСД и исследование его технического облика и характеристик отдельных компонентов - данных непосредственно о самих компьютерах, модулях, их составляющих и иной аппаратуре, используемой в компьютерной системе, конфигурации программно-аппаратного обеспечения и средств защиты. Mscan множество Все Неправомерное использование Поиск известных уязвимостей Nmap множество Все Неправомерное использование Обнаружение открытых портов TCP/IP Saint множество Все Неправомерное использование Поиск известных уязвимостей Satan множество Все Неправомерное использование Поиск известных уязвимостей Непосредственное проникновение в автоматизированную систему (RemotetoLocalUserAttacks) Dictionary telnet, rlogin, pop, imap, ftp Все Неправомерное использование Среднее. Время подбора пароля от нескольких секунд до нескольких лет (в зависимости от предусмот-ренных мер защиты и производи-тельности компьютерной системы или сети используемой для подбора пароля) Получение доступа с правами пользователя Вскрытие парольных систем защиты данных методами простого перебора и перебора по заданному словарю. Ftpwrite ftp Все Ошибки конфигурации и настройки Короткое Получение доступа с правами пользователя Получение доступа к компьютерной системе с правами пользователя с помощью с использованием анонимной программы передачи файлов misconfiguration Guest telnet, rlogin Все Ошибки конфигурации и настройки Получение доступа с правами пользователя Вариант атаки подбора по словарю. На плохо сконфигурированных системах учетная запись гостя достигается без пароля по умолчанию. Это одна из первых и простейших уязвимостей используемая при атаке. Таблица 1 (продолжение) Наимено-вание атаки Исполь-зуемый сервис (протокол) Уязвимая опера-ционная система Механизм реализации Среднее время реализации Цель реализации Краткое описание Imap imap Linux Ошибки при разработке программ Получение доступа с правами администратора (root) Организация канала доступа к информационным ресурсам с использованием атаки на переполнение буфера. Named dns Linux Ошибки при разработке программ Получение доступа с правами администратора (root) Получение доступа с правами администратора посредством подделывания ответов на DNS запрос. Phf http Все Ошибки при разработке программ Короткое Запуск команд от имени пользователя http Организация канала доступа к информационным ресурсам с использованием атаки основанной на применении CGI скрипта, выполняемого с более высоким уровнем привилегий на сервере. Sendmail smtp Linux Ошибки при разработке программ Большое Запуск команд от имени администратора Организация канала доступа к информационным ресурсам с использованием атаки на переполнение буфера почтового сервера Xlock X Все Ошибки конфигурации и настройки Среднее Обход парольной защиты В нападении Xlock удаленный атакующий получает локальный доступ, используя открытый авторизованным локальным пользователем X терминал. Xsnoop X Все Ошибки конфигурации и настройки Короткое Удаленное слежение за командной строкой Атака посредством наблюдения нажатия клавиши, обработанные незащищенным X сервером, чтобы попытаться получить информацию, которая может использоваться для получения локального доступа. Установление контроля над автоматизированной системой (UsertoRootAttacks) Eject Любая сессия пользо-вателя Solaris Переполнение буфера Среднее Получение доступа с правами администратора (root) Организация канала доступа к информационным ресурсам. Программное копирование данных из электронных носителей. Использование информации, которая осталась на носителях после ее обработки ("сборка мусора"). Перехват защищаемых данных. Вскрытие пароля. Модификация алгоритма функционирования средств защиты информации. Ffbconfig Все Переполнение буфера Среднее Fdformat Все Переполнение буфера Среднее Perl Все Ошибки конфигурации и настройки Короткое Ps Solaris Ошибки конфигурации и настройки Короткое Xterm Linux Переполнение буфера Короткое - доля не обнаруживаемых СЗИ типовых угроз ИБ для j - го способа i -го этапа реализации; - параметр экспоненциального времени реализации действий по НСД j - го способа i -го этапа реализации угрозы; - параметр экспоненциального времени нейтрализации обнаруженных действий j - го способа i -го этапа реализации угрозы; - количество способов реализации угроз НСД первого, второго и третьего этапов. Значения параметра определяются на основе статистической обработки цифрового потока в сети. Методика экспериментального анализа статистических характеристик реализаций угроз ИБ состоит в следующем. 1. Запись цифрового потока в ЛВС за представительный период времени с использованием tcpdump. Анализатор пакетов tcpdump является широко используемым средством, позволяющим исследовать трафик, передающийся в локальной сети. Вывод информации обо всех заголовках IP пакета и объеме его полезной информации выполняется в специальный log файл. 2. Распознавание типов реализаций угроз ИБ по признакам IP пакетов. При этом можно использовать системы обнаружения вторжений. В частности бесплатный фильтр для обработки данных Snort (http://snort.source-fire.com/). К системе Snort существует много дополнительных утилит, расширяющих ее функциональность. В частности Snort_stat - скрипт для статистического анализа журнала регистрации Snort. Пример перечня признаков, содержащихся в IP пакете, используемых для распознавания НСД представлен в таблице 2. Результаты статистической обработки экспериментальных записей цифрового потока для типовых условий с использованием рассмотренной методики доступны в интернет по адресу www.II.mit.edu. Для оценки параметров можно воспользоваться методикой формализации угроз ИБ, разработанной в [4]. В качестве основополагающей конструкции здесь выступает иерархическое дерево G = (L, Е), где L= {li} - множество вершин дерева, E={es}, - множество дуг дерева. Каждая вершина дерева Gассоциируется с определенным действием нарушителя, при этом корень дерева обозначает конечную цель информационной атаки, реализация которой может нанести значительный ущерб МИС. Таким образом, на графе G имеется возможность составить множество возможных путей , где каждый путь представляет собой последовательность дуг вида , , при этом конечная вершина дуги . одновременно является начальной вершиной дуги . Таблица 2. Перечень некоторых зарегистрированных признаков для распознавания угроз ИБ в цифровом потоке Название признака Тип шкалы Описание duration continuous Длительность соединения protocol_type discrete Тип протокола service discrete Сетевой сервис flag discrete Флаг отсутствия ошибки при соединении src_bytes continuous Число байт, переданных от источника к получателю dst_bytes continuous Число байт, переданных от получателя к источнику land discrete 1 - если у соединения совпадает получатель и источник (host/port); 0 - в противном случае wrong_fragment continuous Число поврежденных фрагментов urgent continuous Число важных (urgent) пакетов hot continuous Число hot индикаторов num_failed_logins continuous Число ошибок при вводе пароля В качестве начальной вершины пути могут выступать листья дерева G, а в качестве конечной вершины - корень дерева G. С семантической точки зрения каждая вершина дерева может трактоваться двумя способами: - вершина дерева обозначает совокупность действий нарушителя, причем все они выполняются для достижения конечной цели атаки (такие вершины именуются вершинами, построенными на основе логической связки "И"); - вершина дерева обозначает совокупность действий нарушителя, причем выполнения любого изних достаточно для достижения конечной цели атаки (такие вершины называются вершинами, построенными на основе логической связки "ИЛИ"). Деревья атак могут изображаться как в графическом, так и в текстовом виде. Корень этого дерева - вершина - обозначает действие нарушителя. Для выполнения этого действия злоумышленник первоначально должен осуществить все операции, которые обозначаются элементами . При этом последовательность действий, выполняемых нарушителем, определяется индексами вершин , т.е. первым выполняется действие, ассоциированное с вершиной , а последним - . C каждой дугой дерева сопоставляется параметр, имеющий смысл времени реализации НСД, соотнесенного с дугой. Тогда формальная модель угрозы ИБ будет иметь следующий вид: ; ; (2) ; где - время реализации, соответствующее дуге дерева атаки. - среднее время реализации всего дерева атаки. Построение деревьев атак и оценку параметров можно осуществить на основе анализа материалов [4], содержащих детальное описание способов реализации НСД. Пример дерева атаки представлен на рисунке 2. Рис. 2 Пример дерева атаки определения типа операционной системы Таким образом, детальный алгоритм реализации угроз НСД к информационным ресурсам технологических МИС, разработанный применительно к задаче нормирования требований к БИ, представляет собой совокупность логических деревьев атак с оценками параметра и характеризуемых статистическими характеристиками их реализации .

About the authors

V P Gulov

Voronezh state medical university

V A Hvostov

FAU "GNIII PTZI of FSTEC of Russia"

References