Об оценке рисков удалённой аутентификации как процесса
Статья Алексея Сабанова, заместителя генерального директора компании "Аладдин Р.Д."
Введение. Корректное формулирование требований информационной безопасности (ИБ) невозможно без предварительной оценки рисков. Переход к облачным вычислениям актуализирует необходимость обеспечения надёжности и качества удалённого доступа при электронном взаимодействии. В основе создания систем управления доступом лежит решение задач идентификации и аутентификации пользователей [1]. Удалённая аутентификация является сложным процессом, состоящим из четырёх основных последовательно выполняемых этапов [2, 3]: регистрации пользователя в информационной системе, установлении и проведении защищённого обмена взаимодействующих сторон, валидации электронного удостоверения претендента на успешное прохождение процедуры аутентификации и принятия решения о доступе.
При проведении анализа защищённости системы взаимодействия и выбора моделей для оценок надёжности выполнения указанных этапов процесса аутентификации необходимо оценить риск. Сложность этого этапа обусловлена рядом факторов. Во-первых, существующие стандарты и методы анализа рисков разработаны для оценки в денежном выражении рисков конкретных активов, находящихся в информационной системе, а также для определения вероятности наступления рисков и последствий от этого. Синтез методики оценки рисков не какого-либо актива, а сложного информационного процесса требует подходов, основанных на глубоком анализе существующих методов. Во-вторых, исследование процесса аутентификации приходится проводить для ещё мало изученной сферы знаний – облачных вычислений, для которой в настоящее время стандарты не разработаны, а существующие нормативные документы имеют статус рекомендаций.
Целью данной статьи является разработка общих подходов к созданию методики оценки рисков удалённой аутентификации как процесса.
Рассмотрим сначала имеющиеся методы оценки рисков, после чего представим объект исследования и предложим собственный подход к оценке рисков.
Стандарты по анализу рисков. Международные стандарты, безусловно, сыграли ведущую роль в развитии методов и инструментария относительно молодой (всего около 20 лет) науки – анализа рисков. Из более 100 международных и 45 отечественных стандартов, касающихся проблем оценки рисков, можно выделить несколько основополагающих документов по анализу методов оценки рисков.
В группу основных источников методик и инструментов анализа рисков входят британский стандарт [4] и рекомендации по управлению рисками американского Национального института стандартов и технологий (NIST) [5]. Существенное влияние на разработку методов анализа рисков сыграли также международные стандарты [6–12]. В Российской Федерации вопросы стандартизации обеспечения безопасности информационных систем регламентируются базовыми положениями № 184-ФЗ "О техническом регулировании" [13] с изменениями [14, 15], а также переводными международными стандартами [4, 7, 16–21] и отраслевыми документами, такими как методика Банка России [22] и стандарт для железнодорожного транспорта на основе зарубежного и отечественного опыта [23].
Краткий обзор методов анализа рисков.
Из рисунка следует, что ГОСТ Р 51901.1-2002 [16] уточняет соотношение понятий оценки риска с часто употребляемым в настоящее время понятием менеджмента рисков. Схема нашла дальнейшую детализацию в ряде документов, например в стандарте [19] для исследования отдельных информационных систем предприятия.
Для выбора той или иной методики применительно к конкретным случаям необходимо систематизировать методы оценки рисков, а при выборе методики – предварительно сформулировать требования к ней. Методы оценки рисков можно классифицировать по типу получаемых с их помощью результатов:
- качественные;
- количественные;
- смешанные (гибридные).
Качественные методы достаточно популярны и относительно несложны. Как правило, с их помощью можно получить оценку рисков в соответствии с простой шкалой уровней рисков, например: низкий, средний, высокий. Как примеры качественных методов можно назвать методику и соответствующий инструментарий COBRA (первая версия разработана компанией C&A Systems Security в 1997 г. на основе стандарта [4]), методику и инструментальное средство качественной оценки рисков RA Software Tool (части 3, 4) [4, 5], а также некоторые руководства Британского национального института стандартов BSI. К категории качественных методов можно также отнести пакет FRAP (Facilitated Risk Analysis Process) [24].
Количественные методы необходимы в случаях, когда предполагаемый ущерб от реализации рисков велик, а также для того, чтобы оценить альтернативные меры по обеспечению безопасности с целью выбора наилучшей защиты.
На основе существующих методов оценки рисков созданы методики и соответствующий им инструментарий. Методики оценки рисков можно классифицировать по типу процедуры принятия решений:
- одноэтапные, которые используются, как правило, на начальной стадии развития инфраструктуры организации, когда ещё не выявлены ключевые факторы, влияющие на ИБ;
- многоэтапные, с предварительной оценкой ключевых параметров. Они известны по методикам и приняты к рассмотрению: потенциальный ущерб [5]; вероятность реализации угрозы [5] или степень возможности реализации угроз ИБ [22];
- степень тяжести последствий от реализации угроз (размер ущерба) [22].
Следует заметить, что оценка рисков должна рассматриваться не как самоцель, а как определенный шаг на пути к выработке требований ИБ. Оценка риска, по международным стандартам, является итеративным и вариативным процессом, т.е. общая оценка риска должна привести к выводу о том, достигнут ли допустимый риск. Если после применения защитных мер этого не произошло, процесс оценки риска необходимо повторить. И так до тех пор, пока не будет обеспечен допустимый уровень риска. Если же риск не может быть снижен до необходимого уровня, производится обработка риска информационной безопасности, т.е. осуществляются процедуры снижения (обхода или передачи риска), сохранения (принятия), предотвращения риска или переноса риска, например, путём страхования [19].
Первым этапом оценки риска является идентификация факторов опасности. Существует несколько методов анализа факторов опасности, все их можно разделить на два вида: дедуктивный и индуктивный. В дедуктивном методе предполагается конечное событие, а затем отбираются события, которые могли бы его вызвать. В индуктивном методе речь идет об отказе компонента исследуемой системы, а последующий анализ обеспечивает идентификацию событий, которые этот отказ мог бы вызвать.
Среди дедуктивных методов можно выделить метод системного анализа рисков MOSAR (Method Organized for a Systematic Analysis of Risks). Он состоит из десяти этапов. Анализируемая система рассматривается как некоторое количество подсистем, которые взаимодействуют. Используются таблицы, чтобы идентифицировать факторы опасности, опасные ситуации и опасные события. Анализ данных таблиц даёт возможность выделить опасные отказы (события). Это позволяет разработать сценарии реализации рисков, которые сортируются по степени серьёзности. В следующей таблице эта серьёзность связывается с целями, на реализацию которых направлены меры по обеспечению безопасности, и определяются уровни эффективности технических и организационных мер. Затем меры по обеспечению безопасности включаются в логические деревья, а остаточные риски анализируются по таблице допустимости.
Ещё один дедуктивный метод – FTA (Fault Tree Analysis – анализ дерева неисправностей) [16], где отправной точкой является событие, рассматриваемое как нежелательное. Этот метод, определенный также в стандарте [20], дает возможность пользователю найти целый набор критических вариантов, которые приводят к нежелательному событию. Опасные или итоговые события сначала идентифицируются, затем все сочетания отдельных отказов показываются в логическом формате дерева неисправности. Оценивая вероятности отдельных отказов и используя соответствующие арифметические операции, можно рассчитать вероятность итогового события. Влияние изменения системы на вероятность итогового события оценить легко, поэтому метод FTA упрощает исследование воздействия альтернативных мер по обеспечению безопасности.
Технологический прогноз, основанный на методе Дельфи [25], представляет собой попытку предсказать развитие той или иной технологии на длительную перспективу (до 30 лет). Разработанная впервые в 50-х годах корпорацией RAND, техника метода Дельфи впервые была использована для целей национального и отраслевого технологического прогнозирования в Японии, а впоследствии – в Германии, Франции, Великобритании, Испании, Австрии, Южной Корее. Суть метода в том, что большая группа экспертов опрашивается в несколько этапов, затем результат предыдущего этапа вместе с дополнительной информацией сообщается всем участникам. Во время третьего или четвёртого этапа анонимный опрос концентрируется на тех аспектах, по которым пока никакое соглашение не достигнуто.
Среди индуктивных методов анализа факторов опасности и оценки риска следует отметить предварительный анализ факторов опасности, метод "что, если", анализ состояния и результатов отказа, моделирование неисправности в системах управления.
Назначение такого метода, как предварительный анализ факторов опасности (Preliminary Hazard Analysis), состоит в идентификации для всех этапов эксплуатационного периода факторов опасности, опасных ситуаций и опасных событий, которые могли бы привести к несчастному случаю. После идентификации возможности несчастного случая выводятся предложения о мерах по обеспечению безопасности и результат их применения.
Метод "что, если" применяется для относительно простых приложений, которые охватывают проектирование и использование оборудования. На каждом этапе задаются вопросы "что, если" и на них даются ответы, позволяющие оценить влияние отказов компонентов или методических ошибок на возникновение факторов опасности в механизме.
Цель анализа состояния и результатов отказа FMEA (Failure Mode and Effects Analysis) – оценить частоту и последствия отказа компонента. Этот метод требует более длительного времени, чем использование дерева дефектов, потому что для каждого компонента рассматривается каждый вид отказа [21, 16].
При методе моделирования неисправности в системах управления методики испытаний основаны на двух критериях: технология и сложность системы управления.
После идентификации факторов опасности должна быть выполнена оценка риска для каждого фактора опасности путём определения элементов риска. Риск, связанный с конкретной ситуацией или техническим процессом, складывается из сочетания следующих элементов:
- серьёзность ущерба;
- вероятность нанесения ущерба, которая зависит от частоты и продолжительности воздействия на людей факторов опасности, вероятности наступления опасного события, возможности избежать или ограничить ущерб, связанный с техническим или человеческим фактором.
Рассмотрим каждый из элементов риска.
Серьёзность ущерба помогают оценить следующие показатели:
- характер объекта, который должен быть защищён: люди, собственность или окружающая среда;
- серьёзность повреждений или последствия причинения вреда здоровью: небольшая (обычно обратимый вред), значительная (обычно необратимый вред), смерть;
- степень ущерба (для каждой единицы оборудования): один человек, несколько человек.
Вероятность происхождения (нанесения) ущерба оценивается с учётом частоты и продолжительности воздействия; вероятности наступления опасного события; возможности для предотвращения или ограничения ущерба. Практически во всех случаях на риск влияет человеческий фактор – он обязательно должен приниматься во внимание при оценке риска. Сюда включается взаимодействие с оборудованием; контакты между людьми; психологические аспекты; эргономические эффекты; способность людей осознавать риск в данной ситуации в зависимости от их опыта и квалификации. ИСО 14121 [26] рекомендует при оценке риска принимать во внимание возможность отмены мер по обеспечению безопасности или действий в обход их.
Применим результаты проведённого краткого анализа методов оценки рисков к исследованию процесса удалённой аутентификации. В качестве первого шага обратимся к объекту исследования.
Объект исследования. Описание типовой схемы аутентификации. Основываясь на рекомендациях [19], рассмотрим исследуемую систему. В общем случае процесс удалённой аутентификации может содержать четыре основных этапа: регистрация; верификация (собственно обмен защищёнными сообщениями между клиентом и сервером – challenge response); валидация; принятие решения об авторизации пользователя.
Одной из самых критичных в плане безопасности и ненормируемых процедур является процедура регистрации потребителя информационных систем общего пользования (ИСОП). В отличие от закрытых (корпоративных) систем, где пользователи (сотрудники) связаны договорными отношениями (например, трудовым договором) и за их первичную идентификацию отвечает кадровая служба (идентификация проводится по нескольким предъявленным идентификаторам: паспорт, трудовая книжка, ИНН, СНИЛС, диплом об окончании вуза, диплом учёной степени, документ о повышении квалификации и т.д.), в ИСОП может обратиться любой гражданин, и не только россиянин. Для того чтобы существенно снизить вероятность мошенничества класса "маскарад", необходимо ввести строгий регламент по проверке предъявленных идентификаторов. Как минимум, можно воспользоваться опытом банков, которые перед выдачей, например, средств доступа к системе ДБО проверяют паспортные данные гражданина в нескольких базах данных.
Как видно из рисунка, исследуемая среда состоит из нескольких информационных систем с присутствием человеческого фактора во всех системах. Когда потенциальный пользователь обращается в центр регистрации (ЦР), связанный доверенными (трастовыми) отношениями с удостоверяющим центром (УЦ), уполномоченный сотрудник ЦР посылает запрос в соответствующие ведомства (ПФР, ФНС, ФМС и др.) на наличие у данного гражданина предъявленных им идентификаторов (СНИЛС, ИНН, паспортные данные) и на их действительность (наличие и совпадение в реестре) на момент проверки. Этот запрос идёт через единую систему идентификации и аутентификации (ЕСИА). В случае положительных результатов проверки (и положительных ответов на запросы) ЦР создает новую учётную запись субъекта, издаёт его электронное удостоверение (ЭУ) и регистрирует секрет (аутентификатор) для проведения последующих сеансов аутентификации или просто фиксирует его наличие (для механизма аутентификации, реализованного путём применения технологии электронной подписи). Подробнее процедуры, составляющие процесс аутентификации, представлены в табл. 1; здесь же рассмотрена критичность (подверженность атакам) основных процедур и место, где эти процедуры производятся (на сервере или на клиентском месте).
Краткий анализ атак. Перечень возможных атак довольно широкий: прослушивание (sniffing); воспроизведение; онлайн-угадывание (например, криптографических ключей); перехват сеанса (Session Hijacking); имитация проверяющей стороны (в том числе подмена сайта – фишинг); подмена доверенного субъекта или объекта (spoofing); "человек посредине" (Man-in-the-Middle) в различных элементах системы (клавиатурный перехват, сетевой перехват и т.д.); "маскарад" – под именем легального пользователя регистрируется мошенник, который входит в систему, регистрируется и работает под чужим идентификатором; кража закрытого ключа и сертификата для доступа под чужим именем; атаки на систему управления доступом; атаки на протоколы аутентификации.
В стадии перехода к облачным вычислениям [2] особенно опасны "маскарад", "человек посредине", атаки на систему управления доступом, атаки инсайдеров из состава сотрудников провайдера, атаки на закрытый ключ доступа и ключ подписи, фишинг, отказ в обслуживании DoS (Denial of Service), угрозы от вредоносных программ. Другие типы атак либо не слишком часто встречаются, либо трудно осуществимы. Так, в [27] показано, что вероятность успешных атак на протоколы аутентификации чрезвычайно мала.
Методика оценки рисков аутентификации. Описание рассматриваемой сложной системы, безусловно, может быть более подробным. Степень подробности описания системы зависит от шага итераций оценки рисков [7, 8, 19].
В качестве основной цели исследования рисков по рекомендациям [19] примем разработку требований к аутентификации. За основу критериев оценки возьмем обеспечение конфиденциальности, доступности и целостности информации при организации доступа с применением исследуемых способов аутентификации. Основными задачами первого шага являются описание рассматриваемой системы, выработка целей и критериев анализа рисков и идентификация рисков.
На втором шаге выберем перечень известных методов исследования рисков для рассматриваемой системы. Учитывая основные положения по менеджменту рисков [19] и то, что аутентификация является сложным процессом, в который включены люди, аппаратное и программное обеспечение нескольких систем, сначала оценим высокоуровневые риски с помощью качественных методов.
Для проведения глубокого анализа рисков применительно к развитым информационным системам при наличии ценных для бизнеса информационных активов следует применить количественные оценки и обработать полученные риски. При необходимости предлагается провести дополнительный анализ процесса аутентификации с помощью построения дерева событий, дерева неисправностей и вида отказов [16].
Далее предлагается соотнести выявленные уязвимости с соответствующими угрозами и имеющимися статистическими данными (если они есть) по инцидентам и механизмам контроля для оценки потенциального ущерба от реализации рисков.
Пример предварительных оценок рисков. Проиллюстрируем предложенную методику для рассмотренного выше примера (см. табл. 1). В развитие анализа рисков на основе процессного подхода попытаемся качественно оценить угрозы и уязвимости основных процедур аутентификации. При этом учитываем, что процедуры первого блока процесса (с 1.1 по 1.6) являются разовыми, а процедуры 2.1–4.1 – многократными. Обозначим усреднённые уязвимости с высокой степенью реализации (р=0,9 – 1) буквой В, со средней вероятностью (р≈0,5) буквой С, с низкой вероятностью (р≤0,1) буквой Н. Для оценки наиболее вероятных угроз примем обозначение В, для средней вероятности реализации угроз – С, для низкой вероятности – Н. Известно, что реализации методов и механизмов аутентификации достаточно многообразны. Тем не менее, для рассматриваемого примера ЕСИА применяется всего два аутентификатора – пароль и закрытый ключ.
По мнению ряда экспертов наиболее уязвимыми сегодня являются процедуры проверки предъявленных гражданином идентификаторов (существует вероятность "маскарада"), процедуры хранения секрета (наихудший случай в плане безопасности, когда роль секрета выполняет код активации, т.е. пароль) и предъявления пароля, который в общем случае могут подсмотреть, подвергнуть клавиатурным атакам и т.д., проверяющей стороне. Наиболее часто объектом угроз со стороны мошенников в настоящее время становятся процедуры проверки актуальности идентификаторов и хранения паролей пользователей. Результаты грубого анализа оценки уязвимостей и угроз в процедурах удалённой аутентификации собраны в табл. 2.
Представленные предварительные результаты могут служить неким ориентиром для дальнейших исследований и уточнений, в том числе с применением предложенной методики.
Заключение. В разделе 11.5.2. стандарта [28] сказано: "Строгость идентификации и аутентификации пользователя должна соответствовать важности информации, к которой будет предоставляться доступ". Этот постулат подтверждает, что предложенная типовая методика, построенная на общих принципах и нуждающаяся в адаптации к конкретной информационной системе, предназначена для информационных систем, в которых информационные активы весьма существенны для предприятий, владеющих этими активами.
Ввиду сложности процесса аутентификации представленный анализ не может претендовать на полноту. Скорее всего, как и всё новое, методика исследования оценки рисков процесса аутентификации будет развиваться и уточняться, особенно в случае анализа появляющихся различных подходов к аутентификации, например при внимательном рассмотрении появившихся в последние годы "облегчённых" методов аутентификации (примером может служить платформа RSA Authentication Manager [29], в которой реализованы простые способы аутентификации на основе анализа рисков и больших массивов данных по истории аутентификации и поведенческих характеристик пользователей).
Проведенное исследование представляет практический интерес для предприятий и учреждений с развитой ИТ-инфраструктурой, где в последние годы весьма модно стало обсуждать риск-ориентированный метод управления информационной безопасностью. Также результаты работы могут быть использованы для анализа надёжности аутентификации и качества предоставления доступа к приложениям при переходе к облачным вычислениям.
В развитие работы планируется выбор аналитической модели для анализа рисков удалённой аутентификации как процесса и продолжение работы над методикой.