В последнее время, согласно статистике, количество компьютерных атак (КА), совершаемых нарушителями на сети автоматизированной системы (САС) с различными целями (блокирование работы всей сети или ее отдельных элементов, получение информации, обрабатываемой в данной сети) значительно возросло [1, 2]. Ущерб от таких воздействий может достигать значительных величин, причем как временных (восстановление работоспособности САС или ее элементов), так и экономических (потеря или разглашение информации, к которой нарушитель получил доступ). Известно достаточно большое количество способов защиты САС от компьютерных атак, однако они имеют ряд недостатков. Наиболее существенными из них являются низкая достоверность обнаружения компьютерных атак из-за проверки малого количества признаков, указывающих на воздействие КА, низкое значение коэффициента исправного действия САС, обусловленное блокированием информационных пакетов сообщений (ПС) при каждом факте обнаружения активных и пассивных КА без учета информированности нарушителя о защищаемой САС.
Постановка задачи. Разработать способ защиты САС от пассивных КА, который позволит повысить коэффициент исправного действия САС с учетом определения степени информированности нарушителя о защищаемой САС.
Решение. Объективной основой для реализации предлагаемого способа является тот факт, что нарушителю для осуществления целенаправленного воздействия на САС для вывода ее из строя, блокирования ее работы или получения определенных данных, обрабатываемых в САС (осуществление активных КА) потребуется информация о структуре атакуемой САС, используемых в ней средствах защиты, политике конфиденциальности и многих других параметрах [3]. Эти данные нарушитель может получить только при осуществлении пассивных компьютерных атак на интересующую его САС (при отсутствии возможности физического несанкционированного доступа к САС). Пассивные КА могут осуществляться методами активного и пассивного исследования объекта атаки [4]. Активное исследование объекта атаки заключается в исследовании (анализе) реакции объекта атаки на присланные ему сообщения. Пассивное исследование объекта атаки заключается в исследовании (анализе) сетевого трафика объекта атаки. Для сбора необходимой информации (достижению требуемой информированности) об объекте атаки нарушителю потребуется достаточно длительное время на определение параметров и уязвимостей интересующей его САС. Таким образом, задавая пороговый уровень информированности нарушителя о защищаемой САС, по достижении которого нарушитель сможет провести целенаправленную активную КА, и определяя тип осуществляемых нарушителем пассивных КА (знание информации, получаемой нарушителем при осуществлении данной атаки) можно осуществлять прием и передачу ПС без блокирования обмена при каждом факте обнаружения компьютерных атак, что, в свою очередь, приведет к повышению коэффициента исправного действия и снижению времени простоя САС [5]. Блок-схема предлагаемого способа защиты САС от пассивных КА представлена на рис.1.
Рис.1 - Блок-схема способа защиты сети автоматизированной системы от пассивных компьютерных атак
Реализацию предлагаемого способа можно объяснить следующим образом. Первоначально формируют массив Р для запоминания поступающих из доверенных маршрутов IP-пакетов сообщений, а также массивы Т, О, D, I, M для запоминания выделенных из запомненных ПС их параметров:
Т - «Время жизни ПС»;
О - «Опции»;
D - «IP-адрес отправителя»;
I - «IP-адрес получателя»;
M - «Общая длина ПС».
При этом используют функции протокола TCP/IP, применяемые при передаче ПС по САС. Заголовок протокола TCP/IP также содержит ряд полей, которые определяют: логические адреса отправителя и получателя ПС, максимальное время существования дейтаграммы в сети, общую длину IP-пакета вместе с заголовком.
Далее в тестовом режиме для защищаемой САС определяют эталонные значения параметров ПС и записывают их в массивы Dэт, Iэт, Tэт, Oэт , Mэт.
Также, до начала работы САС создают массив R, в который записывают данные, позволяющие классифицировать тип КА по определенным признакам. В предлагаемом способе в качестве основного типа атак рассматриваются пассивные КА, которые предшествуют активным КА. Реализация пассивных КА является первым этапом воздействия нарушителей на САС и направлена на изучение топологии атакуемой САС, определение типа и версии операционной системы ПЭВМ и/или серверов, выявление доступных сетевых и иных сервисов в атакуемой САС.
Основными типами пассивных КА, рассматриваемыми в предлагаемом способе, являются ICMP-зондирование (сканирование) САС, TCP-зондирование (сканирование) САС, UDP-зондирование (сканирование) объекта атаки [6]. C учетом возможных типов пассивных КА, основных признаков их осуществления и сведений, получаемых в результате проведения того или иного вида КА, задают вероятность информированности нарушителя о защищаемой САС при осуществлении каждого типа пассивной КА (Pинф 1, Pинф 2, … Pинф n, где n – общее число типов пассивных КА). Также задают пороговое значение вероятности информированности нарушителя о защищаемой САС (Pинф пор), по достижению которого нарушитель предпримет активные КА на защищаемую САС. Пороговое значение информированности задается с учетом получения нарушителем достаточного для осуществления целенаправленной КА уровня осведомленности об атакуемой САС (нарушитель имеет данные о топологии атакуемой САС, об используемой в САС системе защиты, определены тип и версия операционной системы ПЭВМ и/или серверов, выявлены доступные сетевые и иные сервисы в атакуемой САС).
В свою очередь, защищаемая САС может противопоставить нарушителю целый ряд организационных мер и технических методов по недопущению получения сведений о самой САС и информации, обрабатываемой в ней. Эту совокупность организационных мер и технических методов задают в исходных данных как множество управляющих воздействий на САС и ее систему защиты. В качестве управляющих воздействий можно использовать изменение настроек аутентификации, ужесточение контроля доступа, фильтрацию исходящего трафика, блокирование TCP – соединения с обнаруженной атакой, реконфигурацию межсетевого экрана, частичное и ограниченное по времени отключение САС от доступа во внешнюю сеть, перераспределение IP – адресов внутри САС и множество других. Использование каждого из указанных видов управляющих воздействий по отдельности или в совокупности приводит к снижению информированности нарушителя о защищаемой САС. В соответствии с уровнем снижения информированности в исходных данных задают вероятность снижения информированности нарушителя о защищаемой САС для каждого управляющего воздействия (Pсниж инф 1, Pсниж инф 2, … Pсниж инф m, где m – общее число возможных управляющих воздействий).
После задания исходных данных приступают к обмену информацией (передача и прием пакетов сообщений) для данной САС. Принятые пакеты сообщений записывают в массив P, выделенные из запомненных пакетов сообщений (ПС) их параметры записывают в соответствующие массивы:
Т - «Время жизни ПС»;
О - «Опции»;
D - «IP-адрес отправителя»;
I - «IP-адрес получателя»;
M - «Общая длина ПС».
Сравнивают значения параметров из массивов D, I, T, O, M с эталонными значениями параметров пакетов сообщений из массивов Dэт, Iэт, Tэт, Oэт , Mэт и со значениями параметров из массива R. Если значения параметров из массивов D, I, T, O, M совпадают с эталонными значениями параметров пакетов сообщений из массивов Dэт, Iэт, Tэт, Oэт , Mэт и выделенные параметры пакетов сообщений не совпадают со значениями параметров из массива R, то делают вывод об отсутствии воздействий (КА) со стороны нарушителя и продолжают обмен информацией в САС.
Если же значения параметров из массивов D, I, T, O, M не совпадают с эталонными значениями параметров пакетов сообщений из массивов Dэт, Iэт, Tэт, Oэт , Mэт и выделенные параметры пакетов сообщений совпадают с признаками КА из массива R, то делают вывод о наличии воздействия нарушителя и определяют тип компьютерной атаки по признакам, представленным в массиве R. Если воздействие нарушителя классифицировано как активная КА, то запрещают прием и передачу ПС во внешнюю по отношению к защищаемой САС. Если же воздействие нарушителя определено как пассивная КА, то вычисляют вероятность информированности нарушителя о защищаемой САС по типу и количеству пассивных КА за определенный интервал:
Далее с учетом рассчитанной вероятности информированности нарушителя о защищаемой САС за определенный интервал времени, выбирают одно или несколько управляющих воздействий на САС и ее систему защиты из заданного множества управляющих воздействий и рассчитывают с учетом выбора вероятность снижения информированности:
На рис. 2 представлен вариант реализации предлагаемого способа. Представлен фрагмент простейшей САС, включающий в себя маршрутизатор, сервер и подключенные к серверу по сети Ethernet объекты САС, представляющие собой автоматизированные рабочие места (АРМ) по обработке и хранению информации (ПЭВМ), а также АРМ по защите информации.
Рис. 2 - Вариант реализации предлагаемого способа
На каждом элементе САС устанавливаются средства обнаружения компьютерных атак. Средства обнаружения КА могут быть выполнены в виде программных средств, позволяющих в автоматизированном режиме выявлять расхождения или несоответствия в заголовках передаваемых и принимаемых ПС. Средства обнаружения КА могут быть выполнены, например, на базе системы «Форпост» версии 2.0. При регистрации средствами обнаружения КА несоответствия в принимаемых или передаваемых ПС, данные о них передаются по имеющимся каналам связи на АРМ по защите информации, где имеется база данных о признаках для классификации типов КА (массив R). Далее на основании анализа обнаруженных признаков осуществляется определение типов КА, их количество и рассчитывается соответствующая им вероятность информированности нарушителя за определенный интервал времени. Оператор АРМ по защите информации на основе рассчитанной вероятности информированности нарушителя выбирает соответствующие управляющие воздействия. В соответствии с выбранными оператором управляющими воздействиями рассчитывается вероятность снижения информированности нарушителя и скорректированная вероятность информированности нарушителя с учетом управляющих воздействий, которая сравнивается с заданным пороговым значением. Команды управления на применение выбранных управляющих воздействий передаются на элементы САС по имеющимся каналам связи.
Заключение. Эффективность предлагаемого способа заключается в том, что в отличие от известных способов, где при каждом факте обнаружения КА в ПС блокируют передачу данного ПС, что, в свою очередь, приводит к необходимости повторной передачи данного ПС, в предлагаемом способе, прием и передачу ПС запрещают только в том случае, если значение информированности нарушителя о защищаемой САС превысило пороговое значение и возможными управляющими воздействиями невозможно снизить пороговое значение информированности нарушителя. Поэтому, при использовании предлагаемого способа повышается коэффициент исправного действия САС вследствие снижения числа повторных передач ПС и, соответственно, чем выше интенсивность КА и больше возможностей системы защиты САС по реализации управляющих воздействий, тем выше эффективность предлагаемого способа по сравнению с известными.