Klasyfikacja zagrożeń bezpieczeństwa systemu informatycznego

Transkrypt

1 Zeszyty Naukowe nr 814 Uniwersytetu Ekonomicznego w Krakowie 2010 Katedra Informatyki Klasyfikacja zagrożeń bezpieczeństwa systemu informatycznego Streszczenie. Artykuł poświęcony jest zagadnieniu klasyfikacji zagrożeń bezpieczeństwa systemu informatycznego. Autor zwrócił w nim uwagę na trudności z ich identyfikacją i klasyfikacją, przedstawił najczęstsze w literaturze przedmiotu podziały zagrożeń oraz zaprezentował własną klasyfikację wraz z przykładowym opartym na niej katalogiem zagrożeń. Słowa kluczowe: zagrożenie bezpieczeństwa systemu informatycznego, bezpieczeństwo systemu informatycznego, ochrona systemu informatycznego, system informatyczny, atak na bezpieczeństwo. 1. Wprowadzenie Występowanie zagrożeń stanowi podstawę wszystkich zagadnień związanych z bezpieczeństwem systemów informatycznych (SI). Gdyby nie istniały zagrożenia, nie istniałby również problem bezpieczeństwa i potrzeba ochrony systemu. Nie istnieje system informatyczny, który nie jest narażony na żadne zagrożenia zmienne w czasie i występujące z różnym natężeniem zagrożenia towarzyszą systemom informatycznym przez cały cykl ich życia. Z tego powodu ich właściwa identyfikacja i zaklasyfikowanie to podstawowe czynności, które należy przeprowadzić, przystępując do zabezpieczania systemu, gdyż tylko to pozwoli na dobór właściwych zabezpieczeń. Celem niniejszego artykułu jest omówienie zagadnienia klasyfikacji zagrożeń zwrócenie uwagi na trudności związane z ich identyfikacją i klasyfikacją, przedstawienie najczęstszych w literaturze przedmiotu podziałów zagrożeń oraz zaprezentowanie opracowanej przez autora własnej ich klasyfikacji.

2 78 2. Trudności w klasyfikacji zagrożeń Termin zagrożenie jest intuicyjnie zrozumiały i oznacza pewne zdarzenie, które może spowodować naruszenie bezpieczeństwa i doprowadzić do strat lub zniszczeń (zob. np. [Boran 1999]). Zgodnie z międzynarodową i polską normą [PN-I :1999] jego definicja jest podobna: zagrożenie to potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub instytucji. Ponieważ samo pojęcie zagrożenia jest łatwe do zdefiniowania, wydaje się, że zidentyfikowanie zagrożenia również nie powinno sprawiać problemów. Tymczasem okazuje się, że istnieją poważne trudności zarówno ze zidentyfikowaniem, jak i z zaklasyfikowaniem zagrożeń, wynikające w znacznym stopniu z mnogości zagrożeń i ich skomplikowania. Jednak w głównej mierze odpowiedzialny za ten stan jest złożony charakter zagadnienia bezpieczeństwa systemów informatycznych. Na bezpieczeństwo systemu informatycznego i jego zasobów wpływa bezpośrednio lub pośrednio wiele różnych elementów. Zgodnie z [PN-I :1999] są to obok rozważanych zagrożeń podatność (słabość zasobu lub grupy zasobów, która może być wykorzystana przez zagrożenie) 1, ryzyko (prawdopodobieństwo, że określone zagrożenie wykorzysta podatność zasobu lub grupy zasobów, aby spowodować ich zniszczenie lub straty), wartość zasobów i wymagania ochronne. Wymienione elementy tworzą system zależności określany także mianem modelu zarządzania ryzykiem (rys. 1). Ze względu na bezpieczeństwo systemu najbardziej interesująca jest relacja zagrożenia zabezpieczenia podatności zasoby. Szczegółowo przedstawia ją rys. 2. Na jego podstawie można stwierdzić, że: na zasób może oddziaływać jedno lub kilka zagrożeń, które mogą wykorzystywać jego podatność lub nie (zasób A), zasób może być chroniony całkowicie (zasób C), częściowo (zasób B) lub może nie być chroniony w ogóle (zasób A), podatności zasobów mogą mieć różną wielkość (por. podatność zasobu A i zasobu C), zasób może być chroniony przez zabezpieczenie częściowo (zasób B i zabezpieczenie Y) lub całkowicie (zasób C i zabezpieczenie Y), zasób może być chroniony przez kilka zabezpieczeń (zasób C). Uogólniając i nieco upraszczając to zagadnienie, można powiedzieć, że często to samo zdarzenie dla jednego systemu informatycznego jest zagrożeniem, a dla innego nie 2. 1 Podatność zasobów oznacza pewną ich słabość, ale sama w sobie nie powoduje szkody. Jest jedynie warunkiem (zbiorem warunków), który może umożliwić zagrożeniu oddziaływanie na zasoby. 2 Przykładowo próba uruchomienia w systemie operacyjnym Linux wirusa komputerowego napisanego dla systemu operacyjnego MS Windows nie stanowi zagrożenia, ponieważ Linux nie jest podatny na tego wirusa.

3 Klasyfikacja zagrożeń Rys. 1. Zależności pomiędzy podstawowymi elementami wpływającymi na bezpieczeństwo SI Źródło: opracowanie własne na podstawie [PN-I :1999]. Rys. 2. Zależności pomiędzy zagrożeniami a zasobami oraz ich zabezpieczeniami i podatnościami Źródło: opracowanie własne. Identyfikacja zagrożeń powinna być przeprowadzona dokładnie, gdyż jej wynik wpływa na późniejszy dobór zabezpieczeń. Należy ją realizować z użyciem kompletnego, wzorcowego katalogu zagrożeń odpowiedniego dla danego rodzaju systemu (zob. np. metoda ochrony podstawowej BSI de/english/). Posługiwanie się takim katalogiem pozwala uwzględnić wszystkie potencjalne zagrożenia i odrzucić te, które systemu nie dotyczą. W celu ułatwienia identyfikacji oraz wykluczenia pomyłek i wieloznaczności zagrożenia występujące w katalogu powinny zostać odpowiednio sklasyfikowane.

4 80 System klasyfikacji powinien spełniać następujące warunki (zob. np. [Amoroso 1994, Howard i Longstaff 1998, Barczak i Sydoruk 2003]): wyłączności zagrożenie musi być zakwalifikowane tylko do jednej kategorii, kompletności klasyfikacja musi uwzględniać wszystkie możliwe zagrożenia, jednoznaczności kryteria podziału muszą być na tyle oczywiste, że wynik klasyfikacji będzie taki sam bez względu na to, kto ją przeprowadzi, powtarzalności proces klasyfikacji musi być powtarzalny niezależnie od tego, kto go przeprowadzi, akceptowalności klasyfikacja musi być na tyle logiczna i intuicyjna, by była powszechnie akceptowana, użyteczności klasyfikacja musi wnosić określoną wartość informacyjną. Jak dotąd nie ma jednej, ogólnie przyjętej metody klasyfikacji zagrożeń systemów informatycznych. Dużym krokiem w kierunku osiągnięcia tego celu jest Common Language for Computer Security Incidents. Jest to wspólny projekt Security and Networking Research Group przy Sandia National Laboratories oraz CERT Coordination Center przy Carnegie Mellon University. Jego wykonawcami są J.D. Howard i T.A. Longstaff [1998]. Opracowali oni wspólną terminologię i metodę klasyfikacji przypadków naruszenia bezpieczeństwa w sieciach komputerowych. W zamierzeniu Common Language ma być wykorzystywany przez różne organizacje do gromadzenia, wymiany i porównywania informacji o tego typu incydentach. Propozycje zawarte w projekcie zostały pozytywnie ocenione przez środowiska informatyczne. CERT od 2001 r. w swoich raportach wykorzystuje opracowaną klasyfikację (zob. Jednak upowszechnianie się tej metody to proces długotrwały. Jedną z przyczyn jest fakt, że zainteresowane organizacje często mają już swoje sposoby klasyfikacji zagrożeń. Ponadto propozycja dotyczy przede wszystkim zagrożeń związanych z sieciami komputerowymi i nie została jeszcze rozszerzona na inne rodzaje zagrożeń SI. 3. Podział zagrożeń 3.1. Uwagi ogólne W literaturze przedmiotu można spotkać wiele różnych podziałów (klasyfikacji i typologii) zagrożeń. Podstawą ich jest fakt, że zagrożenia mają pewne charakterystyki (np. źródła, przyczyny, częstotliwość, skutki wystąpienia), zgodnie z którymi można dokonać podziału. Podziały te są jednak przeprowadzane na różnych poziomach szczegółowości i nie wszystkie, pomimo ich wartości systematyzującej, są przydatne w praktyce.

5 Klasyfikacja zagrożeń Podział ze względu na lokalizację lub przypadkowość zagrożenia Najczęściej występujące w literaturze podziały mają charakter ogólny i są przeprowadzane ze względu na lokalizację źródła zagrożenia lub przypadkowość (losowość) jego wystąpienia. M. Stawowski [1998], D. Russell i G.T. Gangemi [1991] i D.L. Pipkin [2002] dzielą zagrożenia na wewnętrzne i zewnętrzne. D.L. Pipkin wyróżnia także zagrożenia przypadkowe i celowe. Podobnie J. Stokłosa, T. Bilski i T. Pankowski [2001] proponują podział zagrożeń na dwie grupy: wynikające z celowego działania nieuprawnionego użytkownika oraz te, które nie są skutkiem celowego działania. Często autorzy klasyfikują zagrożenia równocześnie ze względu na oba wspomniane kryteria. Taki podział przytacza T. Kifner [1999], wyróżniając zagrożenia: zamierzone, losowo-wewnętrzne oraz losowo-zewnętrzne. Również A. Barczak i T. Sydoruk [2003] dzielą je zgodnie z kryterium pochodzenia i losowości, w wyniku czego otrzymują cztery grupy zagrożeń: wewnętrzne losowe (np. niezamierzone błędy użytkowników, wady sprzętu), wewnętrzne celowe (np. szpiegostwo, wandalizm), zewnętrzne losowe (np. wysoka temperatura, zanieczyszczenie powietrza), zewnętrzne celowe (np. działania przestępców komputerowych, wandalizm). Według kryterium lokalizacji zagrożenia dzieli się najczęściej na: wewnętrzne ich źródło znajduje się wewnątrz przedsiębiorstwa, do którego należy system informatyczny (np. kradzież danych przez użytkownika systemu, awaria urządzenia, błąd oprogramowania), zewnętrzne ich źródło znajduje się na zewnątrz przedsiębiorstwa, do którego należy system (np. atak typu DoS, włamanie do pomieszczeń biura, brak zasilania w sieci energetycznej). Według kryterium przypadkowości zagrożenia dzieli się najczęściej na: celowe (umyślne), czyli takie, które podejmowane są z zamiarem naruszenia bezpieczeństwa systemu (np. umyślne skasowanie danych, kradzież komputera, akt wandalizmu), przypadkowe (nieumyślne, losowe), czyli takie, których zamiarem nie było naruszenie bezpieczeństwa (np. przypadkowe skasowanie plików, wyrzucenie wydruków do śmieci, wyłączenie komputera w czasie pracy), lub spowodowane przez siły pozostające poza ludzką kontrolą (np. wichura, uderzenie pioruna, zalanie) Podział ze względu na skutki wystąpienia zagrożenia Inny, bardziej szczegółowy sposób klasyfikacji zagrożeń, jaki można znaleźć w literaturze, za główne kryterium podziału przyjmuje skutki wystąpienia zagrożenia.

6 82 M. Stawowski [1998] wyróżnia następujące rodzaje zagrożeń: włamanie do systemu, utratę poufności informacji, utratę integralności informacji, utratę autentyczności informacji, utratę dostępności usług systemu i informacji, podszywanie się pod innego użytkownika. L. Klander [1998] wymienia: nieautoryzowany dostęp, przechwycenie informacji, odmowę usługi. V. Ahuja [1997] dzieli zagrożenia na trzy kategorie: naruszenie tajności danych, nieautoryzowaną rejestrację w systemie i zablokowanie usługi. Według A. Małachowskiego [2000] do podstawowych rodzajów zagrożeń bezpieczeństwa zaliczyć należy: nieuprawniony dostęp, nielegalne operacje na zasobach informacji, zniszczenie oprogramowania, uszkodzenie struktury sprzętowej, zaburzenia kanałów transmisji, zakłócenia funkcjonowania systemu. Ciekawe stanowisko prezentuje T. Kifner [1999], który twierdzi, że klasyfikacja ze względu na lokalizację i cel działań ma charakter akademicki i w praktyce jest mało przydatna. Dzieli on zagrożenia na te, które wywołują skutki związane ze stratami finansowymi, oraz te związane ze stratami niefinansowymi. Ogólnie można stwierdzić, że w tym przypadku autorzy dokonują najczęściej, bezpośrednio lub pośrednio, klasyfikacji zagrożeń ze względu na ich wpływ na atrybuty bezpieczeństwa systemu, co pozwala wyróżnić zagrożenia wywołujące: utratę poufności, utratę integralności, utratę dostępności, utratę rozliczalności, utratę autentyczności, utratę niezawodności systemu Podział ze względu na pochodzenie zagrożenia W trzecim spotykanym często rodzaju klasyfikacji zagrożeń jako kryterium podziału przyjmuje się ich pochodzenie (źródło). W Polskiej Normie [PN-I :1999] wyróżnione są zagrożenia o pochodzeniu naturalnym (środowiskowym) oraz ludzkim. Niezależnie od tego zastosowano tam podział zagrożeń na przypadkowe i rozmyślne, co pozwoliło wyróżnić zagrożenia: ludzkie rozmyślne, ludzkie przypadkowe i środowiskowe. Rozpatrując pochodzenie zagrożeń, najczęściej wyróżnia się zagrożenia spowodowane przez (por. np. [IT Baseline Protection Manual 2003]): siły przyrody (np. pożar, wichura), braki organizacyjne (np. niewłaściwe zarządzanie prawami dostępu), błędy ludzkie (np. nieumyślna zmiana danych, wyłączenie serwera w czasie jego pracy), błędy techniczne (np. zakłócenia w dostarczaniu energii, błędy oprogramowania), działania celowe (np. kradzież, nieautoryzowane użycie systemu). Należy zaznaczyć, że podział oparty na kryterium pochodzenia wydaje się mieć największe znaczenie praktyczne, dlatego został on dokładniej scharakteryzowany w dalszej części artykułu.

7 Klasyfikacja zagrożeń Inne podziały zagrożeń Kolejny funkcjonujący w publikacjach sposób prezentacji zagrożeń polega na przedstawieniu listy potencjalnych zagrożeń bez ich uporządkowania i pogrupowania (zob. np. [Hoffman 1977, Cohen 1995, Icove, Seger i VonStorch 1995]) lub na ograniczeniu się do wyliczenia tylko kilku zagrożeń (np. ataków na bezpieczeństwo systemu), które zostały wybrane ze względu na powszechność występowania czy cel publikacji (zob. np. [Guideline for the Analysis , An Introduction to Computer Security , Garfinkel i Spafford 1997, Stallings 1997, Warhole 1999, Maj 2001]). W sytuacji kiedy lista powstaje w wyniku rejestracji występowania rzeczywistych zagrożeń w konkretnych systemach informatycznych, określa się ją mianem klasyfikacji empirycznej Klasyfikacja ze względu na pochodzenie zagrożeń W niniejszej pracy za najbardziej właściwe kryterium podziału zagrożeń przyjęto ich pochodzenie. Wydaje się, że ten sposób klasyfikacji nie tylko najlepiej odpowiada postrzeganiu zagrożeń SI przez ludzi, ale pozwala także na późniejsze przełożenie ich na dostępne zabezpieczenia, co w rezultacie umożliwia jego praktyczne wykorzystanie. Zgodnie z własną propozycją autora zagrożenia ze względu na pochodzenie podzielić można na zagrożenia spowodowane przez: 1. Działania ludzi: przypadkowe (błędy ludzi), umyślne (ataki na bezpieczeństwo systemu). 2. Awarie urządzeń i narzędzi informatycznych: sprzętu, oprogramowania. 3. Uchybienia i braki organizacyjne. 4. Zdarzenia losowe. Tak przyjęty podział pozwala na stosunkowo łatwe opracowaniu katalogu zagrożeń bezpieczeństwa SI. Taki katalog zagrożeń powinien zawierać na przykład następujące pozycje: 1. Działania ludzi: błąd człowieka skasowanie plików, zniszczenie lub uszkodzenie urządzeń, zalanie napojem urządzenia (nośników danych), przypadkowe zarażenie wirusem komputerowym, 3 Klasyfikację taką do 2001 r. stosował m.in. CERT (

8 84 zaniedbanie lub zaniechanie - niedopełnienie obowiązków, nieprzestrzeganie zasad bezpieczeństwa (np. ujawnianie swoich haseł współpracownikom), zasad etyki zawodowej (towarzyskie rozmowy o tajemnicach przedsiębiorstwa), zasad bezpieczeństwa i higieny pracy, atak na sieć komputerową włamanie, podsłuch, atak DoS i DdoS, podszywanie się pod osobę uprawnioną do dostępu, złośliwe użytkowanie, wykorzystanie furtek, użycie exploitów, przeciek, maskarada, penetracja i skanowanie sieci, zmiana strony WWW, atak pocztowy, zarażenie wirusem komputerowym rozsyłanym pocztą elektroniczną, dołączanym do programu, kradzież informacji, urządzeń, nośników, mocy obliczeniowej, usług (odwiedzanie stron WWW niezwiązanych z wykonywaną pracą, prywatne wykorzystywanie poczty elektronicznej, oprogramowania), sabotaż i wandalizm uszkadzanie i niszczenie urządzeń komputerowych oraz oprogramowania i danych; ataki socjotechniczne wyłudzenie hasła użytkownika, informacji o zabezpieczeniach systemu itp. 2. Awarie urządzeń i narzędzi informatycznych: awarie i uszkodzenie urządzeń (np. płyty głównej, kart rozszerzeń, monitora), awarie i uszkodzenie nośników (np. dysku twardego, dyskietek, taśmy magnetycznej), awarie i uszkodzenie oprogramowania (systemu operacyjnego, systemu plików), awaria sieci komputerowej (elektrycznej). 3. Uchybienia i braki organizacyjne: brak zasad, procedur i praktyki postępowania, brak przypisania obowiązków, uprawnień i odpowiedzialności. 4. Zdarzenia losowe: związane z siłami przyrody wichura, huragan, opady (deszcz, grad, śnieg), powódź, wyładowania atmosferyczne, trzęsienie ziemi, w otoczeniu systemu pożar, zalanie, zmiana napięcia prądu, katastrofa budowlana, nadmierna temperatura i wilgotność, kurz, zanieczyszczenia, nadmierne oddziaływanie pola elektromagnetycznego, brak personelu nieobecność z powodu urlopu, choroby, wypadku, śmierci, strajku itd. Zaprezentowany katalog zagrożeń ma charakter przykładowy i jest niekompletny, ale stanowi punkt wyjścia do skonstruowania katalogu, który może być wykorzystywany w praktyce.

9 Klasyfikacja zagrożeń Zakończenie W artykule omówiono zagadnienia klasyfikacji zagrożeń. Zwrócono uwagę m.in. na trudności z ich prawidłową identyfikacją i klasyfikacją oraz przedstawiono najczęściej spotykane w literaturze przedmiotu podziały zagrożeń. Należy jeszcze raz podkreślić, że właściwa identyfikacja i klasyfikacja zagrożeń jest punktem wyjścia do właściwego doboru zabezpieczeń systemu informatycznego. Z tego powodu wyjątkowo przydatne byłoby opracowanie ogólnie uznanej i powszechnie stosowanej klasyfikacji, którą posługiwałyby się wszystkie organizacje zajmujące się zagadnieniami bezpieczeństwa systemów informatycznych. Pozwoliłaby ona nie tylko odpowiednio dobrać zabezpieczenia, ale także porównywać zagrożenia, na jakie narażone są różne systemy informatyczne, oraz przejmować z innych systemów rozwiązania w zakresie zabezpieczeń. Literatura Ahuja V. [1997], Bezpieczeństwo w sieciach, Zakład Nauczania Informatyki Mikom, Warszawa. Amoroso E.G. [1994], Fundamentals of Computer Security Technology, Prentice-Hall PTR, Upper Saddle River. Barczak A., Sydoruk T. [2003], Bezpieczeństwo systemów informatycznych zarządzania, Bellona, Warszawa. Boran S. [1999], The IT Security Cookbook, Bundesamt für Sicherheit in der Informationstechnik, CERT Polska, Cohen F.B. [1995], Protection and Security on the Information Superhighway, John Wiley & Sons, New York. Garfinkel S., Spafford G. [1997], Bezpieczeństwo w Unixie i Internecie, Wydawnictwo RM, Warszawa. Guideline for the Analysis of Local Area Network Security [1994], Federal Information Processing Standards Publication 191. Hoffman L.J. [1977], Modern Methods for Computer Security and Privacy, Prentice-Hall. Howard J.D., Longstaff T.A. [1998], A Common Language for Computer Security Incidents, Report SAND , Sandia National Laboratories, Albuquerque Livermore. Icove D., Seger K., VonStorch W. [1995], Computer Crime: A Crimefighter s Handbook, O Reilly & Associates, Sebastopol. An Introduction to Computer Security: The NIST Handbook [1996], NIST Special Publication , IT Baseline Protection Manual [2003], Bundesamt für Sicherheit in der Informationstechnik, 2001, Kifner T. [1999], Polityka bezpieczeństwa i ochrony informacji, Helion, Gliwice. Klander L. [1998], Hacker proof, czyli jak się bronić przed intruzami, Zakład Nauczania Informatyki Mikom, Warszawa.

10 86 Maj M. [2001], Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci, materiały CERT, Małachowski A. [2000], Identyfikacja zagrożeń bezpieczeństwa systemów komunikacji, Prace Naukowe Akademii Ekonomicznej we Wrocławiu nr 872, Informatyka ekonomiczna. Wybrane zagadnienia informatyki współczesnej, Wrocław. National Institute of Standards and Technology Computer Security Resource Center, Pipkin D.L. [2002], Bezpieczeństwo informacji. Ochrona globalnego przedsiębiorstwa, Wydawnictwo Naukowo-Techniczne, Warszawa. Polska Norma PN-I :1999 [1999], Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych, Polski Komitet Normalizacyjny, Warszawa. Russell D., Gangemi G.T. [1991], Computer Security Basics, O Reilly & Associates, Sebastopol. Stallings W. [1997], Ochrona danych w sieci i intersieci, Wydawnictwo Naukowo-Techniczne, Warszawa. Stawowski M. [1998], Ochrona informacji w sieciach komputerowych, ArsKom, Warszawa. Stokłosa J., Bilski T., Pankowski T. [2001], Bezpieczeństwo danych w systemach informatycznych, PWN, Warszawa Poznań. Warhole A. [1999], Atak z internetu, Intermedia PL, Warszawa. Classification of Threats to Computer System Security The paper is devoted to classification issues concerning threats to computer system security. The author has paid attention to difficulties related to proper identification and classification of such dangers. He has also submitted the most frequently published taxonomies of threats and has presented his own classification together with a demonstration threats index that is based on the proposed categorisation. Key words: threat to computer system security, computer system security, computer system protection, computer system, attack on security.