2. Оценка эффективности противодействия информационным операциям и атакам

В ходе противодействия ИОА одной из важнейших является процедура оценки эффективности защиты, т.е. контроля и анализа ущерба от реализации ИОА по различным индикаторам, а также оценки рисков.

Тем не менее, методология оценки эффективности в области ИОА разработана недостаточно, и представляется целесообразным исследовать соответствующую обозначенным процедурам проблематику.

ИОА, предметом воздействия которых являются технологии технической подсистемы СТС, проводятся скрытно, потому что в случае их выявления на начальной стадии средства протоколирования и аудита позволяют определить субъект, применяющий информационное оружие, а средства архивирования, восстановления, резервного копирования данных снижают эффективность воздействия. Подобные ИОА подготавливаются с учетом уязвимостей технических подсистем СТС (информационных, коммуникационных и пр. систем), защиты объекта информатизации.

Получение этой информации возможно различными способами. С технической точки зрения нередко прибегают к использованию в этих целях инструментальных средств анализа защищенности (KSA, SATAN, ISS, NetProbe и т.д.), показывающих впечатляющие результаты.

Однако, как показывает практика, анализ полученной информации далеко не всегда позволяет получить адекватные результаты, учитывающие многоальтернативную специфику ИОА и атакуемых объектов. Для решения этой проблемы приходится проводить оценки эффективности применения каждого из имеющихся альтернативных вариантов проведения ИОА с учетом специфики предмета воздействия в СТС и используемых на объекте информатизации мер и средств обеспечения безопасности.

Исследование защищенности объекта, выявление возможностей мер и средств защиты и присущих им уязвимостей требует формализации процессов с помощью построения аналитической модели. Конечной целью моделирования процессов является оценивание эффективности альтернативных вариантов противодействия ИОА.

В общем случае процесс реализации и противодействия ИОА можно рассматривать как конфликтную ситуацию, в которой один из субъектов проводит ИОА, а второй защищает свои информационные ресурсы имеющимися методами и средствами. Очевидно, конфликт носит антнагонистический характер, т.е. цели одного субъекта, участвующего в конфликте, строго противоположны целям другого. Такая интерпретация допускает для исследования в качестве основного математического аппарата методов теории игр с нулевой суммой. При этом постановка задачи может быть представлена следующим образом.

Рис. 6.5. Этапы обеспечения рискового режима безопасности в социотехнических системах

Пусть заданы:

O={о_k}, k=1,…,l – множество альтернативных объектов информатизации как возможных предметов воздействия информационного оружия;

А={a_i}, i=1,…,n - множество применяемых средств информационного оружия для проведения деструктивных с точки зрения О ИОА;

В={b_j}, j=1,…,m – множество мер и средств защиты предметов воздействия или объектов информатизации в ИКП.

Требуется найти:

o_kO такое распределение средств противодействия ИОА b_jB, при котором , где Risk(a_i,b_j) – функция риска для объекта о_k.

На практике задача должна решаться при ограничениях

или при нормировке по М

,

где:

- M_ijk – матожидание ущерба на объекте О_k при реализации средства информационного оружия проведения ИОА a_iA в случае использования средства защиты b_jB;

- М – допустимый ущерб на предмете воздействия О_k;

- функция активизации информационного оружия:

α_ik=

0, если на предмет o_kO нет воздействия a_iA,

1, если на предмет o_kO есть воздействие a_iA;

- функция активизации средств защиты:

β_ik=

0, если на предмет o_kO не защищен средством b_jB,

1, если на предмет o_kO есть воздействие b_jB.

В такой постановке задача оценивания эффективности противодействия ИОА позволяет применить для ее решения следующий теоретико-игровой метод.

В зависимости от решаемых задач и места предметов атаки в организационной структуре СТС их информационная ценность будет различной. Как правило, защищенность СТС в целом пропорциональна защищенности наименее ценного объекта, степень защищенности которого наименьшая. Таким образом, риск успешной ИОА значительно выше на нижних уровнях иерархии СТС. С другой стороны, ущерб от проведения ИОА в большинстве случаев определяется информационной ценностью предмета атаки и может быть недостаточным. Также необходимо учитывать возможность доступа к информации подсистемы «снизу», то есть со стороны подчиненного звена, к которому уже получен доступ.

В этих условиях для оценивания эффективности противодействия ИОА необходимо наличие формально описания взаимодействия потенциальных предметов атаки, а также характеристик средств информационного оружия и используемых конкурентом средств защиты. Характеристики средств защиты информации могут быть определены на основе классификации средств защиты путем однократного привлечения экспертов (с использованием известных экспертных методов).

Исследование эффективности противодействия ИОА целесообразно построить на моделировании реальных процессов. Тогда процесс проведения ИОА будет состоять в том, что субъекты «оборона» - «нападение» независимо друг от друга выбирают соответственно некоторые планы a_iА и b_iB, в результате чего складывается ситуация (a_i,b_j). Обозначим выигрыш первого субъекта φ_ij, тогда второй субъект столько же проигрывает.

Допустим, что на предмете o_kO при проведении ИОА используется наступательное средство информационного оружия a_i^*А. Тогда «оборона» может выбрать такое средство защиты b_iB, которое позволит получить минимальные потери информации, т.е.

b_i^*=arg .

В свою очередь злоумышленник на предмете o_kO в процессе проведения ИОА старается выбрать воздействие a_i^*А, которое преодолевает средство защиты b_i^*B.

При этом значение минимизируемого функционала называется нижней ценой игры М. Соответствующий этому значению план ИОА a_i^* называется максиминным чистым планом. Таким образом, возможный ущерб при выборе i^*-го способа проведения ИОА при использовании любых средств защиты будет не меньше величины М, т.е.

≥М.

Аналогично для «обороны»

≤ ,

где:

- верхняя цена игры,

b_i^* - минимаксный чистый план.

Очевидно, что

М≤ ≤ .

Решение матричной игры позволяет определить наилучший вариант проведения ИОА a_i^*А, самое действенное средство защиты b_i^*B и минимальный ущерб при применении варианта а_i^*B. Целью решения игры является нахождение ситуации равновесия, в которой

М= .

На практике игра имеет решение, как правило, в смешанных планах ИОА «мягкого» вида. Пусть ξ и η – смешанные планы соответственно первого и второго противоборствующих субъекта, тогда

ξ=( ξ₁, ξ₂,…, ξ_n), ξ_i≥0, ,

η=( η₁, η₂,…, η_m), η_j≥0, .

Нахождение оптимальтных смешанных планов осуществляется в соответствии с основной теоремой теории игр.

,

где φ_ij – платежная функция, коррелирующая с эффективностью.

Для построения игровой модели процессов реализации и противодействия ИОА на типовом предмете определим функцию риска. Полную группу событий составляют следующие ситуации:

- проводится ИОА на незащищенном предмете;

- проводится ИОА на защищенном предмете;

- не проводится ИОА на защищенном предмете.

Вероятность возникновения первой ситуации P_ik на предмете o_kO с учетом функций активизации и мощности множества объектов l будет равна

P_ik= .

По аналогии вероятность возникнвения второй ситуации P_ijk будет равна

P_ijk= ,

а вероятность возникновения третьей ситуации P_jkсоответственно

P_оk= .

Пусть проведение ИОА на защищаемом предмете О_k приносит ущерб:

С_ik = C_k,

С_ijk = C_k,

где:

С_k – информационная ценность объекта О_k;

[0;1] – матожидание нормированного ущерба от воздействия a_iА на объект О_k;

- матожидание нормированного ущерба отвоздействия a_iА при защите объекта О_kсредством b_iB.

Очевидно, что в первой ситуации проведение ИОА нанесет ущерб С_ik, во второй - С_ijk. Ущерб в третьей ситуации пропорционален затратам на защиту объекта и равен D_jk. При условии конечности множеств А и В для каждого предмета o_kO можно задать матрицу эффективности, фактически являющейся соотношением рисков ущербов от атаки без защиты и с ней, а также – от нерационального расходования средств на защиту

Э^k(i,j) = .

Решение игры с полученной матрицей позволит выбрать лучшее средство противодействия ИОА. В то же время, практическую значимость имеет задача оценивания эффективности применения комплексов средств защиты в процессе ИОА. Для решения этой задачи необходимо на основе рассмотренной матрицы построить новую матрицу игры, столбцы которой по-прежнему задаются элементами множества оружия a_iА, а строки представлены возможными планами противодействия ИОА, комплексами защиты.

Для m средств защиты количество возможных вариантов их использования Z={z_p}, p=1,…S вычисляется по формуле:

S=2^m-1.

При этом ZA. Наличие средств b_iB в варианте z_pZ будем учитывать с помощью функции активизации:

γ_ji=

0, если средство b_j не используется в варианте z_p,

1, если средство b_j используется в варианте z_p.

Зависимость между номером варианта комплекса защиты по расписанию p и составом соответствующих средств b_iB определяется выражением

.

Стоимость реализации защиты по расписанию на предмете o_kO равна алгебраической сумме

С_Bk= .

Тогда элементы задающей матрицы эффективности определяются соотношением:

.

Аналогичную матрицу можно построить с позиций злоумышленника, реализующего деструктивные ИОА. Решением игры в данном случае обычно является сведение ее к паре взаимносопряженных задач линейного программирования.

Наряду с этим, приближенность исходных данных при построении платежной матрицы допускает использование для практического решения задачи итеративных методов, например, Неймана или Брауна – Робинсона.

В соответствии с постановкой задачи в качестве частного показателя эффективности защиты можно использовать вышеупомянутые матожидания ущерба и риски.

Однако обобщенным показателем должно быть соотношение «результативность – затраты». Применение вышепредложенной методики позволяет выбрать в качестве обобщенного показателя безразмерный показатель получаемый путем учета разности рисков без защиты и с ней и позволяющей получить оптимальный план дальнейшего процесса защиты на основе имеющихся средств и возможных затрат на оборону.

Использование данного показателя позволяет реализовать процедуру управления безопасностью на основе оценивания эффективности противодействия ИОА, включающую получение оценок ущерба от воздействия комплекса информационного оружия при реализации защиты по принятым индикаторам безопасности.

Последние очевидно должны быть продуктами некоторой статистики, получаемой в результате мониторинга ИОА.

Таким образом, задача оценивания эффективности противодействия ИОА состоит в определении для предмета o_kO комплекса средств защиты в соответствии с условием

z_p^*=arg .

Данная методология оценивания эффективности позволяет принимать решение в условиях информационного противоборства и фактически управлять информационной безопасностью защищаемого объекта с учетом используемых средств защиты и риска применения информационного оружия.