Расширенный поиск

Недавние примеры уязвимостей свидетельствуют о том, что модель безопасности 10–15 летней давности больше не соответствует современным вызовам, возникшим в результате повсеместного использования Интернета в каждой ИКТ-системе. Эта модель устарела и не масштабируема в условиях сегодняшних угроз ИКТ-системам. По мере того, как служащие, партнеры и клиенты начали вести дела удаленно через Интернет, модель безопасности на основе защиты периметра эволюционировала в сильно распределенную модель. Индустрия безопасности представила новые и улучшенные решения для противодействия каждой новой угрозе, появляющейся в этом сценарии. Все эти инструменты добавляют временную ценность к общей безопасности предприятия, но они, в сущности, являются индивидуальными решениями безопасности, направленными против отдельных угроз. Они не являются производными от общей риск-ориентированной программы обеспечения безопасности предприятия, поэтому общие усилия, как правило, носят фрагментарный характер.

Во многих случаях организациям приходится иметь дело с неполной информацией, поскольку имеющийся инструмент безопасности не может определить угрозу или опасность как таковую без корреляции с другими источниками данных. В ответ на изменяющийся спектр угроз были разработаны разнообразные технологии безопасности, но при этом не хватает методологии, на основе которой строится анализ контекста безопасности и впоследствии разрабатывается соответствующее решение. Деятельность, которая выглядит безвредной для одной части инфраструктуры, может быть определена как угроза после корреляции со всей остальной инфраструктурой.

Запланированная безопасность (Security-by-Design)

По определению Государственного департамента США [1]: «Запланированная безопасность» представляет собой концепцию, которая включает в себя безопасность на всех этапах и аспектах проектирования, строительства и функционирования предприятия. Безопасность рассматривается с точки зрения управления жизненным циклом, благодаря чему проектирование, создание и техническое обслуживание объекта осуществляется таким образом, чтобы обеспечить эффективность и продуктивность обеспечения безопасности. В начале этапа проектирования объекта посредством оценки уязвимостей и использования инструментов моделирования проект проходит испытания по всему спектру угроз. Проект изменяется в соответствии с выявленными проблемами, и последующие изменения в конструкцию оцениваются таким же образом на всем протяжении жизненного цикла системы.

По определению Национальных лабораторий SANDIA, главной целью запланированной безопасности является обеспечение выполнения задачи, в то время как уровень безопасности должен превышать возможности угрозы [2]. Таким образом, анализ безопасности должен проводиться на ранней стадии проектирования системы, и он должен обеспечить соответствующий уровень безопасности в течение всего времени выполнения задачи, т.е. на протяжении всего жизненного цикла системы. Безопасность критически важной инфраструктуры и безопасность ИКТ-систем не являются механически компонуемыми. ИКТ-системы могут считаться полностью безопасными, когда они являются автономными и все компоненты и цепи поставок соответствуют строгим требованиям, демонстрируя уязвимости при интеграции в реальные эксплуатационные условия (интеграция с другими компонентами общей социотехнической системы, т.е. другими ИКТ-системами и сетями, операторами, процедурами и методами работы). В случае с защитой критически важных инфраструктур, невозможно обеспечить безопасность ИКТ-систем без детального рассмотрения условий их эксплуатации с технической, архитектурной и операционной точек зрения. Это также связано с тем, что, хотя контроль над критически важными инфраструктурами и системами управления на самом деле осуществляется ИКТ-системами (в том числе телекоммуникации, компьютеры, программное обеспечение предприятия, межплатформное программное обеспечение, системы хранения, системы отображения и т.д.), они имеют такие ограничения как режим точного реального времени и обеспечения непрерывности, что делает невозможным использование многих обычных применяющихся в ИКТ контрмер (например, использование брандмауэра и антивируса, а также обновлений программного обеспечения).

В то время как изначально защита критических инфраструктур преимущественно обеспечивалась системами жизнеобеспечения, методы разработки парадигм запланированной безопасности остаются недостаточно разработанными. Чтобы быть эффективной, защита должна учитывать сложные взаимозависимости и взаимодействия, порождаемые соединением физической и ИКТ-инфраструктуры вместе с производственной деятельностью и операторами. Вместе они образуют системный объект с высоким уровнем требований безопасности. Эволюция и изменения в требованиях, нагрузках и других факторах окружающей среды приводят к необходимости комплексной замкнутой оценки конструкций и их работы. Кроме того, изменение ключевых показателей эффективности, например, иная оценка рисков, безопасности, пропускной способности и т.д., в различных условиях требует, по крайней мере, набора заранее выверенных сценариев работы.

Такой многосторонний анализ существующих инфраструктур является основой их эффективного функционирования. Одну и ту же критически важную инфраструктуру можно рассматривать с разных точек зрения [3]. Эти точки зрения можно считать размерностями трехмерного пространства: измерение компонент, измерение контрмер и измерение рисков (рис. 1).

ICT Systems
Каждая точка пространства на рис. 1 представляет собой контрмеры, применяемые к компонентам системы для противодействия конкретной угрозе. В компонентном измерении критически важная инфраструктура разделяется на составные части, которые могут быть физическими или логическими. Соответственно, можно определить физическую и логическую архитектуру критически важной инфраструктуры.

Системный подход к проектированию

Наиболее важные мероприятия по реализации концепции запланированной безопасности представлены на рис. 2:

ICT_Systems_2

Системный Анализ
Включает в себя следующие этапы:

  • выявление функционала критически важной инфраструктуры;
  • выявление значимости кибер- и физических компонентов (базы данных, каналы связи и передачи данных, технологические узлы и т.п.) в реализации этого функционала;
  • анализ внутренних и внешних интерфейсов, соединяющих компоненты критически важной инфраструктуры между собой и с внешним миром.

Аналитический аппарат должен полностью охватывать всю модель с обратной связью, состоящую из системных моделей как физической, так и ИКТ инфраструктуры. Методология системного проектирования, разработанная INCOSE (Международный
Совет по системному проектированию), является ценным инструментом для проведения системного анализа [4].

Анализ рисков

Включает в себя следующие этапы:

  • выявление потенциальных угроз, которые могут оказать влияние на критически важную инфраструктуру;
  • анализ уязвимостей системы/компонентов, которые могут быть использованы определенными злоумышленниками для нанесения ущерба критически важной инфраструктуре;
  • выработка метода оценки рисков безопасности с учетом архитектуры и угроз, и его реализация с использованием программных инструментов и алгоритмов.

Результаты этого этапа являются типичными для любого анализа рисков [5]: уязвимости, ущерб (потеря целостности компонента или нарушение функциональности вследствие возникновения причины), причина (т.е. событие, причиняющее ущерб), следствие (т.е. эффект ущерба), угроза и оказанное влияние.

Анализ безопасности

Включает в себя следующие этапы:

  • формирование списка задач по защите, который может быть переведен в формальную семантику с четкими зависимостями и производными из задач. Также формируется список управляющих воздействий и контрмер, используемых для решения задач защиты, соответствующих данному сценарию или конфигурации, и в которых принятие решения может быть частично автоматизировано для определения необходимых и достаточных условий. Эти задачи защиты и механизмы обеспечения безопасности (так как они должны быть реконфигурируемы в условиях атаки или иной деградации) также поддерживают устойчивость ИКТ-систем к пока еще неизвестным типам атак, в том числе частично успешным;
  • определение и внедрение с помощью программных инструментов алгоритмов, обеспечивающих проверку предлагаемых контрмер на этапе проектирования. Важно отметить, что анализ безопасности включает в себя начальный этап проектирования, на котором задаются общие цели (задачи защиты), которые также должны соответствовать условиям эксплуатации. Однако эффективность механизма или фактическая реализация действий по защите и снижению ущерба должны определяться динамически.

Это делается для того, чтобы в случае неизбежного изменения конфигурации или в результате нападения, поставленные задачи по защите еще могли бы быть выполнены, или, в случае, если это невозможно, была бы обеспечена соответствующая приоритизация.

Реализация контрмер

Включает в себя следующие основные этапы:

  • стандарты — определение стандартов, необходимых для соответствия необходимым конструктивным параметрам, выявленным на предыдущих этапах;
  • определение компонентов системы — четко определить элементы системы, находящиеся под контролем проектной команды и/или организации, и ожидаемые взаимодействия с внешними системами, не находящимися под таким контролем;
  • внешние интерфейсы — функциональные и проектировочные интерфейсы взаимодействия с системами и/или персоналом внешним по отношению к процессу разработки;
  • функции системы — определение функций системы. Эти функции не должны зависеть от реализации;
  • среда (среды) использования — для каждого предусмотренного сценария функционирования системы выявить все факторы окружающей среды (природные и искусственные), которые могут повлиять на производительность системы, оказать влияние на комфорт и безопасность персонала, или вызвать человеческую ошибку;
  • технологические требования жизненного цикла — условия и конструктивные особенности, которые обеспечивают эффективность и рентабельность функций жизненного цикла (например, производство, внедрение, развитие, эксплуатация, техническое обслуживание, реинжиниринг/обновление и утилизация);
  • особенности проектирования — в том числе интеграция потребностей человека и систем, требования безопасности системы, и потенциальное воздействие на окружающую среду;
  • проектные ограничения — в том числе физические ограничения, ограничения на рабочую силу, персонал и иные ресурсы, накладываемые на эксплуатацию системы и взаимодействующих внешних систем.

Выбор технологий

Специальная публикация Национального института стандартов и технологий США (NIST) 800-36 «Руководство по выбору средств обеспечения безопасности в сфере информационных технологий» [6] охватывает ряд ИТ-средств обеспечения безопасности, предлагаемых к использованию в качестве оперативных или технических средств контроля безопасности. В руководстве рассмотрены следующие вопросы:

  • Проводилось ли определение требований безопасности и их сравнение со спецификациями продукции?
  • Соответствует ли средство обеспечения безопасности требованиям физической безопасности и иным требованиям политики безопасности?
  • Были ли учтены известные уязвимости средства обеспечения безопасности после их рассмотрения?
  • Рассматривалась ли политика или позиция поставщика в отношении перепроверки средств обеспечения безопасности после появления их новых версий?
  • Каков опыт реагирования поставщика на изъяны безопасности в его продукции?

На пути к культуре кибербезопасности

Культура безопасности включает в себя восприятие, культурную среду, скрытое знание и опыт, находящийся за пределами научной и технологической сферы. В целом культура безопасности является частью организации безопасности. Безусловно, в основе мер безопасности заложен ключевой элемент, связанный с доверием и надежностью организации. Культура безопасности является последним звеном цепи, включающей в себя (в данном порядке) «культуру реагирования, культуру профилактики, культуру управления и саму культуру безопасности». Таким образом, единственной эффективной мерой может быть обучение нового поколения ИКТ-специалистов персональной этике.

Выводы

Ввиду того, что сложные инфраструктуры меняют своё местоположение, перемещаются по сетям и устройствам, возрастает потребность в защите конфиденциальной информации и критически важных активов без ущерба для мобильности рабочей силы или производительности. Учитывая скорость и сложность современных атак и тяжелые последствия нарушения безопасности, решение этих проблем становится всё более сложной задачей для организаций любых размеров. Сейчас стало ясно, что старые модели безопасности больше не отвечают современным вызовам, возникшим в результате повсеместного использования Интернета в каждой сложной инфраструктуре. Старые решения безопасности вытесняются защитой ключевых активов и функций путем обеспечения необходимого уровня защиты для каждой отдельной ситуации и подсистемы.

 

[1] http://www.state.gov/t/isn/rls/fs/186672.htm

[2] SANDIA REPORT, Security-by-Design Handbook, SAND2013-0038, January 2013, Albuquerque (US). http://prod.sandia.gov/techlib/access-control.cgi/2013/130038.pdf

[3] AIIC Piano di Sicurerzza dell’Operatore: Proposta di line guida operative (in Italian) http://www.infrastrutturecritiche.it/aiic/index.php?option=com_docman&task=doc_
details&gid=481&Itemid=103

[4] INCOSE Systems Engineering Handbook v. 3.2.2, INCOSE-TP-2003-002-03.2.2, October 2011

[5] For instance: Kjølle, G.H. et al. 2012. “Risk analysis of critical infrastructures emphasizing electricity supply and interdependencies.” Reliability Engineering and System Safety (2012)

[6] http://csrc.nist.gov/publications/nistpubs/800-36/NIST-SP800-36.pdf

Сандро Болонья, Маурицио Мартеллини
Центр международной безопасности Университета Инсубрия (Италия)
Клаудио Калисти
Компания ASTER-TE (Италия)

Материал подготовлен на основе доклада, представленного на Одиннадцатой научной конференции Международного исследовательского консорциума информационной безопасности в рамках международного форума «Партнерство государства, бизнеса и гражданского общества при обеспечении международной информационной безопасности», 20-23 апреля 2015 года г.Гармиш-Партенкирхен, Германия.

Об авторе

Sandro Bologna

Итальянская ассоциация экспертов по критически важной инфраструктуре.

Написать ответ

Send this to a friend

Перейти к верхней панели