2.8.1. Оценка рисков безопасности систем сотовой связи

В случае исследования случайной величины значения ущерба от реализации угроз безопасности информации в системах сотовой связи целесообразно сделать акцент на непрерывных распределениях, так как ущерб, в случае успешной реализации угроз в системах сотовой связи нарастает лавинообразно и прямо зависит от времени необходимого для восстановления нормального функционирования системы. Так как сотовые системы относительно времени реализации угрозы являются статическими, т.е. функциональная, физическая и логическая структура кардинально не меняются, тогда предполагается, что условия эксперимента не меняются от наблюдения к наблюдению, и каждый последующий эксперимент, организован таким образом, что результаты наблюдения на каждом шаге никак не зависит от предыдущих и не влияют на будущие значения наблюдений. Целесообразно и формировать статистическую выборку из экспериментальных данных в соответствии с таблицей 2.13 и осуществлять отбор, исходя из условия попадания ущерба реализованной угрозы в один и тот же временной интервал времени. Исходя из характеристик законов распределения случайных величин, оптимальным вариантом будет проверка в первую очередь гипотез о соответствии нормальному, экспоненциальному, равномерно непрерывно непрерывному закону распределения ущерба от реализации угроз безопасности СТИС [1,2,22,23].

2.8.2. Оценка рисков безопасности компьютерных систем

В случае исследования случайной величины значения ущерба от реализации угроз безопасности информации в компьютерных системах целесообразно сделать акцент на дискретных распределениях. Ущерб, в случае успешной реализации угроз в данной системе распределен между различными элементами и подсистемами. Компьютерные системы являются динамическими относительно времени реализации угрозы, т.е. функциональная, физическая и логическая структура может изменяться в процессе реализации, как правило в результате функционирования соответствующих подсистем защиты информации, и систем обнаружения атак. Поэтому предполагается, что условия эксперимента могут изменяться от наблюдения к наблюдению. Однако эти изменения не носят хаотичный характер, а обусловлены определёнными закономерностями функционирования компьютерной системы, которые, как правило распределены по дискретным законам распределения. Целесообразно формировать статистическую выборку из экспериментальных данных, а также осуществлять отбор, по множеству элементов и подсистем компьютерной системы, на которые реализуются угрозы безопасности информации. Исходя из характеристик законов распределения случайных величин, оптимальным вариантом будет проверка в первую очередь гипотез о соответствии гипергеометрическому, биномиальному, пуассоновскому, геометрическому и мультиномиальному дискретному закону распределения ущерба от реализации угроз безопасности СТИС[1,2,22,23, 33].

2.9. Риск – анализ поражения компьютерных систем

Масштабные и локальные информационные операции и атаки (ИОА) неизбежно носят стохастический характер, что естественно обуславливает необходимость использования соответствующих математических моделей. Дискретность компьютерных систем как объектов ИОА очевидно требует применения одномерных дискретных распределений вероятности.

Допустим, что для системы из n объектов при деструктивном управляющем воздействии (ДУВ) успех данного воздействия для каждого объекта наступает с вероятностью p₀. Тогда в первом приближении (p₀>0,1) вероятность успеха данного ДУВ в k объектах группы будет равна (биномиальный закон распределения)

P=C^k_np^k₀(1-p₀)^n-k, (2.153)

а матожидание случайной величины составит np₀, т.е. в среднем [np₀] объектов группы будут подвержены воздействию.

Соответственно для нескольких групп ДУВ n_i, i=1(1)N имеются свои элементарные вероятности p_0i. Такой разбивкой множества объектов управления можно существенно повысить точность описания процесса ДУВ. Матожидание (фактически интегральный риск) при таком разбиении будет равно сумме

R_isk=M= (2.154)

при мощности множества объектов воздействия

N= . (2.155)

Эффективность ДУВ или нормированный риск в этом случае можно оценить следующим отношением

Э_ДУВ= = _isk, (2.156)

которое заведомо меньше единицы. Защищенность системы в данном случае будет равен

З = 1 - _isk = 1 – Э_ДУВ. (2.157)

Нетрудно заметить, что эффективность будет почти пропорционально зависеть от элементарной вероятности p_0i, которая, в свою очередь, складывается из интенсивности ДУВ и подверженности ДУВ объектов системы.

Вышеприведенные выкладки описывают первичный эффект ДУВ. Однако структура регионального информационного пространства зачастую носит иерархический характер, когда объекты, в которых достигнут успех ДУВ на первичном уровне, становятся вторичными источниками ДУВ по отношению к вторичным объектам их взаимодействия. В этом случае вышерассмотренную модель следует далее также применить для стохастического анализа процесса ДУВ на вторичном уровне. Если на первичном уровне матожидание составит M₁, а для каждого вторичного ДУВ матожидание успеха составит M_j, j=1(1)M₁, то суммарное матожидание или риск с учетом вторичного эффекта будет равно

R_isk2 = М₁ + . (2.158)

По аналогии, эффект s-порядка принесет следующий риск

R_{isk s} = R_{isk s-1} + . (2.159)

Таким образом, формируется соответствующий ряд, описывающий цепную реакцию системы на ДУВ.

Критерием успеха ДУВ очевидно является рост риска и здесь просматриваются по крайней мере две ситуации.

В первой из них делается ставка на первичный эффект, за счет использования некой мощной компьютерной инфраструктуры региона (N весьма велико) и высокой интенсивности воздействия, значительно повышающей p₀. Ярким примером тому является стремление обеспечить деструктивное информационное управление серверами, контроль над которыми становится весьма опасным из-за величины N и существенной уязвимости клиентов (p₀ может превышать значение 0,5). Имея в своих руках такое мощное информационное оружие, вторичному эффекту можно уделять гораздо меньшее внимание.

Вторая стратегия ориентирована на многоуровневую цепную реакцию эффектов высших порядков. Здесь рост риска обеспечивается за счет наращивания s. Зачастую такую технологию используют производители компьютерных вирусов, лишенные доступа к серверам. В этом случае они выискивают в сети плохо защищенные объекты, превращая их с помощью ДУВ в своих адептов, вторично распространяющих вирус. Вероятностно эту ситуацию можно описать гипергеометрическим распределением

P= , (2.160)

где рассматривается вероятность выявления k проблемных объектов в выборке объема m, взятой из сети объема n, которая содержит l проблемных объектов. Матожидание зараженных ообъектов составит в данном случае

М_Б= . (2.161)

Для увеличения риска злоумышленник стремится обратиться к группам с высоким l, что соответственно повышает шансы на дальнейшее ДУВ и получение желаемого М₁.

Как при первой, так для второй стратегии для злоумышленника интерес представляет успешность ДУВ, которое зачастую представляет собой последовательность элементарных (единичных) информационных ДУВ. Здесь вероятность успеха после k-ой атаки будет равна

P=p₀(1-p₀)^k, (2.162)

а матожидание (1-p₀)/p₀ естественно определяется элементарной вероятностью успеха от единичного ДУВ p₀. При этом вероятность появления k успешных ДУВ после n элементарных ДУВ на объект может быть оценена следующим образом

P = C^k-1_n+k-1p^k₀(1-p₀)^k. (2.163)

Матожидание и риск k(1-p₀)/p₀ также зависит от p₀.

Задачу возможно детализировать далее, имея ввиду, что объекты располагают ограниченными коммуникационными возможностями. Допустим, что в пространстве из N объектов каждый из них имеет возможность передавать ДУВ в среднем к N₀ иным объектам данного пространства. Вброс ДУВ на первой итерации даст матожидание успеха в следующем количестве объектов

M₁=p_BN₀ (2.164)

а с учетом частичной нейтрализации успеха ДУВ риск составит

R_isk1 = M₁=p_BN₀(1-p_H), (2.165)

где: p_B – вероятность восприятия ДУВ единичным объектом пространства;

p_H – вероятность нейтрализации успеха ДУВ в единичном объекте пространства.

Вторая итерация, когда объекты М₁ выступают вторичными источниками распространения ДУВ, очевидно даст матожидание

R_isk2 = M₂=M₁[p_BN₀(1-p_H)](1-p_H) (2.166)

Или с учетом того факта, что коммуникации могут быть как с уже подверженными ДУВ объектами, так и с пока свободными от него, имеем

R_isk2 = M₂=M₁² (1-p_H)(1- ) (2.167)

с поправкой на вероятность первичных контактов с ДУВ.

Рассмотрим вторую стратегию в приложении к компьютерным вирусам. Число адептов первичного уровня воздействия (первая итерация) равно

, (2.168)

где - количество адептов, утративших влияние ДУВ в результате антивирусных мер (противодействия) и некой естественной убыли.

При этом только N₁₂ из них способны выполнять роль вторичных источников ДУВ на вторичном уровне (вторая итерация)

N₁₂ = k₁₂N₁, (2.169)

где k₁₂ – некий коэффициент активности адептов множества N₁. Вероятность успеха их воздействия p₀₂ зачастую бывает ниже, чем у первичного источника p₀₁, где M₁=p₀₁N.

Вторичный эффект дает нам матожидание и риск

R_isk2 = M₂=p₀₂(N-N₁)N₁₂. (2.170)

В результате имеем

N₂=N₁+p₀₂(N-N₁)N₁₂ (2.171)

или

,(2.172)

где - результат противодействия на вторичном уровне.

Очевидно, что в данном случае мы имеем уже уравнение второго порядка относительно N – базовой численности компьютеров, подверженных ДУВ, т.е.

.

(2.173)

Полагая = =0 (без учета потерь в результатах ИУВ), получаем несколько упрощенную модель

N₂=p₀₁N+p₀₁p₀₂k₁₂N². (2.174)

Рассмотрим систему с учетом ДУВ и мер его нейтрализации, для чего введем следующие обозначения:

p_B – вероятность успеха ДУВ на единичный объект системы;

p_Н – вероятность успешного противодействия (нейтрализации) ДУВ в единичном объекте системы;

N – количество элементов системы, подверженных ДУВ и соответствующим мерам противодействия.

Отсюда количество адептов на первом уровне будет равно

N₁=p_BN–p_H(p_BN)=p_BN(1-p_H) (2.175)

на втором уровне имеем

N₂=[N₁+N₁p_B(N-N₁)](1-p_H)=(N₁+p_BN₁N-p_BN₁²)(1-p_H)=

=Np_B(1-p_H)²(1+Np_Bp_H). (2.176)

По аналогии на уровне (k+1)

N_k+1=[N_k+N_kp_B(N-N_k)](1-p_H), (2.177)

где N_k – количество адептов, полученных в результате ДУВ на уровне k.

По аналогии для k-ой итерации можно записать следующее выражение матожидания и риска

R_{isk k} = , (2.178)

где M_k-1 – матожидание (k-1)-ой итерации. Пользуясь вышеприведенными рекурсивными выражениями, можно найти матожидание успеха ДУВ на любом последующем этапе его распространения.

В связи с вышеизложенным уместно сделать следующие выводы:

1. При жесткой иерархии пространства и передаче ДУВ от вышестоящего объекта к нижестоящему (отсутствии перекрестных ДУВ) поправочный коэффициент может быть исключен из рассмотрения.

2. Устанавливая соотношения между M_k и N, скажем, M_k=mN, задавая тем самым степень их близости и успеха ДУВ в пространстве N, можно получить уравнения, которые уместно разрешить из относительно p_B или p_H при заданных остальных параметрах. Параметры m и k фактически определяют эффективность ДУВ, которая может управляться через p_B и p_H.

3. Развивая средства ДУВ и меры противодействия, мы фактически наращиваем p_B и p_H, а рост коммуникабельности пространства (увеличение N₀) открывает перспективу для успеха ДУВ.