Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«Санкт-Петербургский государственный политехнический университет»
На правах рукописи
МОЛЯКОВ Андрей Сергеевич
МОДЕЛИ И МЕТОД ПРОТИВОДЕЙСТВИЯ СКРЫТЫМ УГРОЗАМ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В СРЕДЕ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ
Специальность 05.13.19: «Методы и системы защиты информации, информационная безопасность»Диссертация на соискание ученой степени кандидата технических наук
Научный руководитель: д. т. н., проф. Заборовский В.С.
Санкт-Петербург -
СОДЕРЖАНИЕ
ВВЕДЕНИЕ …………………………………………………………………… …ГЛАВА 1. АКТУАЛЬНЫЕ ПРОБЛЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В
СРЕДЕ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ И ПОСТАНОВКА ЗАДАЧИ
ИССЛЕДОВАНИЯ
1.1. Проблема защиты информации в среде облачных вычислений ………… 1.2. Анализ современных подходов и технологий защиты информационных ресурсов среды облачных вычислений ……………………………………. 1.3. Недостатки современных технологий защиты информации в среде облачных вычислений и постановка задачи исследования……………….. 1.4. Постановка задачи исследования …………………………………………..ГЛАВА 2. МОДЕЛИ ПРОТИВОДЕЙСТВИЯ СКРЫТЫМ УГРОЗАМ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СРЕДЕ ОБЛАЧНЫХ
ВЫЧИСЛЕНИЙ
2.1. Спецификация и формализация требований к защите от скрытых угроз информационной безопасности в среде облачных вычислений………….. 2.2. Модель скрытых угроз информационной безопасности в среде облачных вычислений…...……………………………………………………………... 2.3. Модель операций как описание информационных процессов cреды облачных вычислений.……………………………………………………… 2.4.Выводы………………………………………………………………………...ГЛАВА 3. МЕТОД И АЛГОРИТМ ПРОТИВОДЕЙСТВИЯ СКРЫТЫМ
УГРОЗАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СРЕДЕ
ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ
3.1. Разработка программно-технических средств контроля процессов информационного взаимодействия приложений и гипервизора................ 3.2. Применение метода предикативной идентификации процессов для защиты от скрытых угроз информационной безопасности …………….. 3.3. Алгоритм предикативной идентификации и метод его программной реализации в среде облачных вычислений……………………………….. 3.4. Выводы ………………………………………………………………………ГЛАВА 4. АНАЛИЗ ЭФФЕКТИВНОСТИ ПРИМЕНЕНИЯ МОДЕЛЕЙ И
МЕТОДА ЗАЩИТЫ ОТ СКРЫТЫХ УГРОЗ В СРЕДЕ ОБЛАЧНЫХ
ВЫЧИСЛЕНИЙ
4.1. Оценки эффективности, основанные на использовании методов математического моделирования …………………………………………….. 4.2. Эффективность алгоритма предикативного поиска при защите информации в среде OpenStack ………………………………………………. 4.3. Прототип программного комплекса «Альфа-монитор» и экспериментальные результаты. ………………………………………………………………………… 4.4. Выводы……………………………………………………………………………... ЗАКЛЮЧЕНИЕ ……………………………………………………………………….. ПЕРЕЧЕНЬ СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ……………....... СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ ………………………………... ПРИЛОЖЕНИЕ 1. Набор тестов для оценки производительности …..………. Автором разработаны модель скрытых угроз, модель операций и метод противодействия скрытым угрозам информационной безопасности в среде облачных вычислений с использованием мультиграфа транзакций. Наличие гипервизоров в среде облачных вычислений создает новый класс угроз, реализация которых связана с неоднозначностью переходов между разными уровнями иерархии выполнения команд виртуальных машин (ВМ). Успешное разрешение задачи противодействия скрытым угрозам математически предполагает их представление в виде набора простых предикатов. При этом функция оценки допустимости переходов должна быть описана в форме конъюнкции простых предикатов. Понятие «скрытые угрозы»предполагает неоднозначность переходов в мультиграфе транзакций и объясняется существованием неконтролируемых состояний со стороны традиционных средств защиты.
ВВЕДЕНИЕ
Стремительное развитие технологий виртуализации и создание сред облачных вычислений формирует новые источники угроз, которые необходимо учитывать при обеспечении кибербезопасности современных компьютерных систем и сервисов. При этом динамический характер процессов информационного взаимодействия существенно затрудняет возможности оперативной оценки рисков нарушения конфиденциальности, целостности и доступности программных и инфраструктурных ресурсов, предоставляемых в режиме удаленного доступа. Традиционные средства обеспечения информационной безопасности такие, как средства разграничения доступа, межсетевые экраны, системы обнаружения вторжений, контролируют только те информационные потоки, которые проходят по каналам, предназначенным для их передачи, поэтому угрозы, реализуемые посредством скрытых каналов передачи информации, с их помощью не могут быть блокированы. В этих условиях важное значение приобретают технологии защиты от угроз, которые формируются с использованием скрытых каналов информационного воздействия или внутри периметра безопасности корпоративной компьютерной сети,.
Защита от таких деструктивных воздействий должна осуществляться на уровне процессов управления системными вызовами или контроля недекларированных возможностей (НДВ) прикладного программного обеспечения (ПО), что требует создания новых моделей и методов противодействия попыткам как внешних, так и внутренних пользователей изменить состояние защищенности информационных ресурсов среды облачных вычислений.
Актуальность решения этой важной научно-технической задачи отмечается многими российскими и зарубежными учёными, в том числе В.А.Курбатовым., П.Д. Зегждой, А.А.Грушо, Е.Е.Тимониной, В.Ю. Скибой, Н.А.Гайдамакиным, А.А.Гладких, В.С.Заборовским, С.Воглом, Р.Сэйлером, Ф.Мортинелли, Дж. Рутковской, и др. В работах перечисленных авторов большое внимание уделяется разработке средств защиты информации, в вычислительных систем, непосредственно влияющие на защищенность системных и прикладных процессов.
В зарубежных научных публикациях [23-37] описываются лишь распределенных вычислительных систем. В современных научных школах спецификация базовых сервисов ОС, маркерные сигнатуры, динамический анализ исполняемого кода на уровне KOS (Kernel Object Specification) [71,72,73]. Данные исследования не затрагивают рассмотрение проблемы «неявных» механизмов контроля ресурсов операционной системы и обнаруживать новые образцы вредоносного ПО, использующего технологии DKOM (Direct Kernel Object Manipulation) и VICE(Virtual ICE) [86,84].
Важным направлением совершенствования технологий защиты и систем информационной безопасности является противодействие информационного взаимодействия является потенциальным носителем опасных воздействий. В таких случаях необходимо использовать модели угроз, которые идентифицируют потенциальные уязвимости как на уровне процессов контроля доступа к ресурсам гостевых операционных систем (ОС) или приложений, так и на уровне системных вызовов гипервизора, реализующихся путем нарушения функционирования планировщика задач или диспетчера оборудования. Возникающие при этом угрозы необходимо не только оперативно выявлять, но и блокировать используемые неавторизованные каналы информационных воздействий, которые в среде облачных вычислений обычно реализуются в скрытом для гостевых ОС режимах. Поэтому важным фактором повышения эффективности систем защиты от скрытых угроз является учет направления передачи, синтаксиса и контекста передаваемых потоков данных.
С учетом вышесказанного, защита от угроз, которые могут программных кодов, нарушению доступности (блокированию) или навязыванию ложной информации в среде облачных вычислений является актуальной научно-технической задачей, решению которой посвящена данная диссертационная работа Целью исследования является разработка моделей и метода противодействия скрытым угрозам информационной безопасности в среде облачных вычислений.
Для достижения поставленной цели в диссертационной работе были решены следующие задачи:
1. Разработана модель скрытых угроз информационной безопасности в среде облачных вычислений, учитывающая активный характер субъектов и объектов информационного взаимодействия.
2. Разработана модель операций, происходящих с данными при их формализовать описание информационных процессов в виде использованием предложенной модели операций, основанный на характеризации иерархии транзакций.
идентификации скрытых угроз на основе матрицы инциденций и таблиц правил политики безопасности (ПБ) в гостевой ОС и 5. Создан опытный образец программного обеспечения «Альфамонитор» и проведена его апробация при защите от скрытых угроз информационной безопасности в среде облачных вычислений.
Методы исследования: для решения сформулированных задач использовался аппарат теории вероятностей, теории игр, теории графов, теории алгоритмов, теории защиты информации и методы компьютерного реверс-инжиниринга.
Объект исследования: скрытые угрозы информационной безопасности в средах облачных вычислений.
Предмет исследования: модели, методы и алгоритмы обнаружения скрытых угроз на уровне гипервизора среды облачных вычислений и гостевой операционной системы виртуальной машины.
Научная новизна работы результатов диссертации заключается в разработке:
1. Модели скрытых угроз информационной безопасности в среде облачных вычислений, в которой учитываются активный характер субъектов и объектов информационного взаимодействия.
2. Модели операций с данными при их обработке в среде облачных вычислений, позволяющей представить формализованное описание безопасных информационных процессов в виде мультиграфа 3. Метода противодействия скрытым угрозам в среде облачных вычислений, основанного на контроле транзакций, отвечающих требованиям политики безопасности.
Положения, выносимые на защиту:
1. Модель скрытых угроз информационной безопасности в среде субъектов и объектов информационного взаимодействия.
2. Модель операций, происходящих с данными при их обработке в процессов в виде мультиграфа транзакций.
3. Метод противодействия скрытым угрозам в среде облачных вычислений, основанный на контроле транзакций, отвечающих требованиям выбранной политике безопасности.
предикативном анализе мультиграфа транзакций и верификации безопасности на уровне гостевой ОС и гипервизора среды диссертационной работе научных положений обеспечивается проведением анализа исследований в данной области и апробацией полученных результатов в печатных трудах и докладах на всероссийских и международных научных конференциях.
Практическая значимость работы. Результаты исследований, полученные в ходе выполнения диссертационной работы, были успешно апробированы автором при создании CЗИ VIPNet ОfficeFirewall 3.0(ОАО «ИнфоТеКС»), при создании модуля проактивной защиты программного продукта «Антивирус Касперского», при разработке авторского договорных научно-исследовательских работ со стороны заказчика (ЗАО РНТ, ФГУП НИИ «Квант», НПО РУСНЕТ, НПО ФРАКТЕЛ), а также в учебном процессе и научных исследованиях на кафедре телематики ФГБОУ ВПО «СПбГПУ» по дисциплинам « Сети и телекоммуникации», «Методы и средства защиты компьютерной информации».
Апробация и публикация результатов работы.
Основные результаты исследования обсуждались Общероссийской научно-технической конференции Информационная безопасность регионов России 2013, г. Санкт-Петербург, на научном семинаре Центра подготовки специалистов компании «ИнфоТеКС» 2012г; на научном семинаре Департамента антивирусных исследований компании «Лаборатория Касперского» 2012 г.; на научно-практической конференции MicroSoft «Платформа 2011г. Современные подходы в построении защищенных систем», Москва, 2011г.; на международном семинаре компании IBM «Новые технологии в области создания защищенных ОС», Москва, 2008 г;
на IV межвузовской конференции молодых ученых (Санкт-Петербург, апрель 2007);на XI научно-практической конференции «Теория и технология программирования и защиты информации» (Санкт-Петербург, 2007); на научно-технической конференции «День антивирусной безопасности» (Санкт-Петербург, 2007); на XXXVII научной и учебнометодической конференции СПбГУ ИТМО (Санкт-Петербург, 2008); Международной научно-практической конференции, г. Таганрог, 2008;
международной научно-технической конференции CIT, г. Пенза, 2009;
Основные результаты и положения работы опубликованы в 20 научных статьях, в 2 монографиях и 2 учебно-методических пособиях, в том числе статей в изданиях, входящих в перечень Высшей аттестационной комиссии Министерства образования и науки Российской Федерации.
Структура и объем диссертационной работы. Диссертационная работа объемом 144 машинописные страницы, содержит введение, четыре главы и заключение, список литературы, содержащий 91 наименование, и 1 приложение.
Общий объём работы – 144 страницы, 20 рисунков и 17 таблиц.
ГЛАВА 1. АКТУАЛЬНЫЕ ПРОБЛЕМЫ ЗАЩИТЫ
ИНФОРМАЦИИ В СРЕДЕ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ И
ПОСТАНОВКА ЗАДАЧИ ИССЛЕДОВАНИЯ
1.1. Проблема защиты информации в среде облачных вычислений.Доктрина информационной безопасности Российской Федерации [1] определяет понятие информационной сферы как совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и пользование информации, а также системы регулирования возникающих при этом общественных отношений.
Информационная безопасность в широком смысле представляет собой такое состояние объекта защиты, которое, исключает возможность нанесения вреда свойствам объекта, обусловленным его взаимодействием с информационной сферой [2]. Согласно ГОСТ Р 51624-00 [3] угроза безопасности определяется как совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.
Целесообразно в начале диссертационной работы дать определение понятиям, которые довольно часто будут встречаться в тексте.
недокументированные состояния в системе, которые никак не различимы для монитора безопасности и которые позволяют вредоносному кода маскироваться под штатный процесс.
Под определением «руткиты» понимается набор утилит или специальный модуль ядра, которые злоумышленник использует для скрытого встраивания в операционные системы пользователей вредоносного программного обеспечения(ВПО).
Под вредоносностью понимается способность программ нанести ущерб вычислительной системе посредством блокирования, хищения, уничтожения и несанкционированной передачи информации.
Среда облачных вычислений - это совокупность вычислительных ресурсов в виде виртуальных машин, предоставляемых пользователю с помощью общих сервисов доступа. Физический уровень облачной системы состоит из аппаратных ресурсов, которые необходимы для обеспечения предоставляемых сервисов, и, как правило, включает серверы, системы хранения и сетевые компоненты. Рассматриваемые облачные системы относятся к типу «инфраструктура как сервис», и для них характерно наличие гипервизора для управления вычислительными ресурсами, который рассматривается как дополнительный источник уязвимостей, список которых с каждым годом увеличивается. Применение технологий облачных вычислений определяет необходимость рассмотрения возможных способов функционирования компонентов информационной среды.
информационного взаимодействия. Это позволяет рассматривать целевую функцию системы безопасности как сохранение конфиденциальности, целостности и доступности программных и инфраструктурных сервисов, предоставляемых в режиме удаленного доступа в условиях динамического изменения состояния вычислительных ресурсов. В современных антивирусах, обманных системах защиты и сканерах безопасности не учитываются угрозы, которые реализуются внутри периметра безопасности, Разработчики программно-технических средств защиты руководствуются собственными представлениями о создании прототипа продукта, используя традиционные шаблоны реализации механизмов безопасности, именно поэтому зачастую представленные на рынке средств защиты информации условиях применения новейших технологий. Построение перспективных механизмов обеспечения безопасности в среде облачных вычислений связывается не с защитой от выявленных уязвимостей, а заключается в возможности предотвращения новых неизвестных методов проведения атак, в разработке новых моделей угроз и методов предотвращения или отражения компьютерных атак на информационные ресурсы, которые используют возможности предикативной идентификации скрытых каналов и потенциально опасных процессов информационного взаимодействия.
специалистами в разных странах все большее внимание уделяется вопросам разработки средств защиты, позволяющих противодействовать угрозам информационной безопасности со стороны злоумышленников, на преимущества разных методов защиты информации. Развитие средств, методов и форм автоматизации процессов обработки информации и массовое применение персональных компьютеров, обслуживаемых неподготовленными в специальном отношении пользователями, делают информационный процесс уязвимым по ряду показателей [6].
Причины, обуславливающие возникновения уязвимостей в среде облачных вычислений, следующие:
- объем обрабатываемой информации постоянно увеличивается с учетом расширения информационного пространства сетей общего и специального назначения;
-в современных вычислительных комплексах используются программно-технические средства, различных по своей архитектуре, функциональным возможностям и целевого назначения;
- доступ к ресурсам вычислительных комплексов получает все большее число пользователей, операторов в связи с применением Internetтехнологий;
- за счет использования новых, не прошедших длительную апробацию в различных социальных структурах технологий увеличивается вероятность возникновения новых классов уязвимостей;
- низкий уровень компьютерной грамотности пользователей, недостаточная квалификация системных администраторов;
- использование передачи информации с использованием Wi-Fi сетей беспроводного доступа, что значительно упрощает злоумышленника процесс несанкционированного съема информации, распространяемой за пределы контролируемой зоны.
Для подтверждения сказанного следует посмотреть на Рис. 1.1.-3.
Количество опубликованных за период с 2006 по 2013 годы атак, использующих функциональные уязвимости всех современных ОС (Windows, Linux, Mac OS, QNX, Solaris, VMS ).
На Рис. 1.1.1 №1 представленной статистической выборки описывает динамику изменений с ноября 2006 г. по январь 2005 г., № 2 – совокупные изменения с октября 2008 г. по июль 2010, № 3 – общее количество атак с сентября 2010 г. по январь 2014.
Атаки с использованием программ -«троянов»
Атаки с использованием полиморфных вирусов Атаки с использованием «руткитов», botnet-червей Рис. 1.1.1. - Статистика атак с 2006 по 2014 гг.
объясняется тем обстоятельством, что на современном этапе все большее реализующих технологии DKOM и VICE, позволяющих злоумышленнику осуществлять взаимодействие с объектами ядра.
«Руткиты» данного класса функционируют на более низком уровне, рассмотрены модель операций и модель скрытых угроз информационной безопасности по отношению к среде облачных вычислений, реализуемых злоумышленником посредством использования новейших «руткит»технологий, и описаны функциональные уровни встраивания ВПО на примере гостевой ОС Windows. При этом необходимо обратить особое внимание на уровни протоколов взаимодействия разных модулей ОС, и рассмотреть механизмы скрытого наблюдения за процессами операционных систем, реализующие принципы «невидимости» для вредоносного кода, поскольку с наибольшей вероятностью атака на компьютерную систему происходит именно на этих уровнях.
осуществлять на уровне протоколов взаимодействия ОС и драйверов устройств, так как программные модули на указанных интерфейсных осуществлять произвольные действия в операционных системах. Одной из вредоносным программным обеспечением и в частности подзадача его обнаружения. Все методики обнаружения можно разделить на 2 типа:
неизвестного ВПО [9].
Методы, основанные на экспертных знаниях[11,12], используются для формализации понятия «вредоносности» и знаний экспертов в области исследования вредоносных программ. Знания могут быть связаны, например, с тем, какие действия являются вредоносными (поведенческий анализ), или какие особенности структуры могут говорить о вредоносности (статический формализованные знания применяются для обнаружения вредоносности в исследуемых данных.
продукционных правил и метод поведенческих сигнатур.
В основу метода продукционных правил[13] положена модель представления знаний в виде конструкций «ЕСЛИ-ТО». С помощью таких правил можно указать одиночные признаки вредоносности.
Метод сигнатур[14] разработан для поведенческого анализа. За основу взят метод продукционных правил, который был адаптирован для обнаружения вредоносных последовательностей действий (т.е. определения перехода системы в «инфицированное» состояние).
В основе метода, основанного на нейро-нечетких сетях[15], также лежат правила, задаваемые экспертом. Используемый в нем нечеткий логический вывод позволяет определять комплексные признаки, а элементы искусственных нейронных сетей позволяют подстраивать правила на основе известных вредоносных программ.
Методы машинного обучения[16,17] используются для получения знаний (признаков вредоносности) на основе анализа известных вредоносных программ. Основная задача методов машинного обучения состоит в определении зависимости между исследуемыми данными и выявляемыми признаками вредоносности. Эффективность этих методов зависит от характера обнаруживаемых признаков, подбора входных данных и качества обучения, следовательно, в общем случае точность этих методов сравнить затруднительно.
обнаружения одиночного признака при наличии конкретного набора данных и обучающей выборки.
эталонных особенностей программы (например, поведения) и попытке обнаружения отклонений от этого эталона. Описание эталона затрудняется наличием очень сложных программ, а также описанной выше проблемой полноты исследования программы.
Данный подход алгоритмически более сложный и зачастую более ресурсоемкий, чем обнаружение злоупотреблений, однако он позволяет вредоносного кода.
масштабируемости предложенных решений, тесного взаимодействия с компонентами других информационных систем, затруднительно, во-первых, защищенные ВС требуют специализированной аппаратной платформы, их функционал ограничивается решением определенного класса задач в сетях специального назначения ФСБ РФ и Министерства обороны РФ. Для коммерческих сетей данные технологические решения не являются эффективными, поскольку не учитывают поддержку оборудования различных сторонних производителей, неудобны для массовых пользователей с учетом эргономических показателей.
Также данная позиция объясняется тем, что сложность программ постоянно возрастает, причем сложность архитектуры современного ПО так велика, что без повторного использования ранее созданного кода (программ) невозможно с приемлемой скоростью создавать новые программы, необходимые и востребованные на рынке [19].
защищенное от внешних воздействий, так как любой код содержит уязвимости, невыявленные на этапе разработке и тестирования, для верификации кода требуются значительные финансовые и технологические затраты, что большинство коммерческих организаций не может себе позволить в условиях коммерческой конкуренции, более того, нет стопроцентной гарантии, что будущем не будут выявлены новые классы уязвимостей.
1.2. Анализ современных подходов и технологий Облачные технологии станут основой для формирования нового пространства, создаваемого в рамках инициативы, получившей название Intelligence Community Information Technology Enterprise (ICITE) [25].
В работе по развертыванию облачной платформы участвуют специалисты всего разведывательного сообщества США, на долю которых приходится основная часть бюджета американской разведки.
вычислительную среду для всего разведывательного сообщества.
Разведывательное управление министерства обороны (Пентагон) США реализуют единую концепцию рабочего стола для всех ведомств. В марте 2013 года к сформированной сети были подключены пользователей.
трансформировать подходы, по которым он закупает, эксплуатирует свои информационные средства и управляет ими в интересах повышения эффективности выполнения поставленных задач, производительности, а также безопасности своих информационных систем. Таким образом, и в военном ведомстве США началась масштабное преобразование структуры, предусматривающее формирование единого информационного пространства.
По замыслу разработчиков, оно должно обеспечить новые возможности по сбору, обработке, обмену информацией, ее безопасности независимо от местонахождения пользователя и аппаратных средств.
Идея, лежащая в основе развития и внедрения распределенных информационных технологий облачных вычислений в разведывательную деятельность, давно стала устойчивым трендом для многих федеральных ведомств и коммерческого сектора США и привела к существенному сокращению их трудозатрат. При этом пользователи будут отстранены от технических деталей, таких как операционная система, инфраструктура и программное обеспечение. Все это пользователям предоставляется посредством облачного сервиса. Министерство обороны США вышло с инициативой подключить к нему не только свои ведомства, но и промышленность, а также другие правительственные учреждения. Уже к 2016–2020 годам в формируемое пространство должны интегрироваться многочисленные разрозненные облачные платформы Министерства обороны США, разведывательного сообщества, военно-промышленного комплекса, правительства и другие организации.
обуславливает реализацию расширенных механизмов защиты персональных данных пользователей, использование надежных алгоритмов шифрования, программно-аппаратных средств контроля целостности, создание доверенной среды загрузки. В среде облачных вычислений много пользователей, запускающих разные дистрибутивы ОС, поэтому необходимо разграничивать каналы обмена, физические и виртуальные ресурсы в соответствие с ролевыми политиками безопасности, чтобы исключить повреждение и несанкционированный доступ со стороны злоумышленника.
Планируется также использование «облачного хранилища» от компании Cleversafe. Массивные объемы данных нарезают на части и затем распределяют по различным местоположениями, или «узлам хранения».
Хотя данные могут находиться в четырех различных дата центрах по всей стране, они могут быть доступны в реальном времени из «отдельных облаков». У данного вида хранения данных несколько преимуществ. Вопервых, это конфиденциальность, отдельные блоки данных не могут быть расшифрованы сами по себе, даже если постороннее лицо получило несколько таких частей. Во-вторых, в отличие от традиционных методов хранения, нет никакой необходимости, делать несколько копий исходных данных, что позволяет сэкономить финансовые затраты.
Создание облачной сети получило кодовое название «Huddle».
Предусматривается разработка при участии компаний Mellanox, TrinityNetworks, Luxent Group нового 48-потового маршрутизатора InfiniBand Cloud VPI-switch (с встроенной поддержкой аппаратной виртуализации), скорость передачи в котором будет 100 Гб/c вместо 56 Гб/c Infini-Band FDR. Также телекоммуникационное оборудование будет поддерживать полную аппаратную виртуализация 10-Гигабитного Ethernet PCI-Express.
(SpiderNetX),будет из следующих базовых звеньев:
1. Вычислительные узлы суперпроизводительных компьютерных центров на базе ведущих научно-исследовательских лабораторий (Массачусетский институт, Университет Джорджии, Тихоокеанская исследовательская лаборатория, Ливерморская национальная исследовательская лаборатория, Лаборатория специальных исследований Trinix Агентства национальной безопасности США, компания IBM, компании Cray Research Inc и SGI, вычислительный центр S.C.O.M.P Пентагона, Компьютерный суперкластерный центр N-Cube Института стратегических исследований ЦРУ).
На вычислительных узлах высокоскоростных коммуникационных сетей суперкомпьютеров стратегического назначения(СКСН) устанавливаются защищенные «гибридные» ОС, отличные от классических операционных систем класса Unix или Windows NT, с расширенной аппаратной изоляцией выполнения привилегированного кода, с поддержкой «непрерывной» глобальной адресации физической памяти порядка Терабайт и мультитредовой аппаратной архитектуры: ОС Cray MTK для сегментов сети Пентагона, ОС Blacker для сегментов сети АНБ, OC XTS для сегментов сети ЦРУ.
кластерных систем под управлением «классических» Unix-подобных ОС (Red Hat Linux, SuSe Linux, Mandriva Linux, ALT Linux, IBM AIX,SGI IRIX, SCO, Sun Solaris). Они предназначены для хранения и обработки информации на файловых серверах, обеспечением доступа к открытым публикациям научно-исследовательских центров, системам картотек Библиотечных фондов, для обработки поисковых запросов с клиентских ЭВМ в социальных сетях.
Сервисные узлы глобальной системы SpiderNetX включены в контур информационных систем образовательных учреждений США, Канады, Австралийской ассоциации, Европейского Союза (Великобритания, Франция, Германия, Италия, Швейцария), стран Ближнего Востока (Саудовская Аравия,ОАЭ), Центральной и Восточной Азии ( Индия, Китай, Япония, Южная Корея, Сингапур), стран Прибалтики (Литва, Латвия, Эстония), России и стран СНГ (Казахстан, Азербайджан, Украина).
Основные инновационные академические исследования по замыслу правительства США будут проводиться на территории США, Канады, Европы и Австралийской ассоциации. С целью снижения финансовых затрат на инновационные проекты «новой эры суперкомпьютеров» в качестве технологической платформы и сырьевой базы выступают Исследовательский центр IBM в Нью-Дели (Индия), Шанхайская лаборатория Cray Inc (Китай), Объединенный центр компьютерных исследований SGI Baker Сингапура, Центр стратегических исследований Университета Сеула (Южная Корея).
3. Клиентские ЭВМ, рабочие станции пользователей(операторов) глобальной распределенной информационной системой, подключенные к локальным сетям образовательных учреждений и имеющие доступ в Internet, мобильные «тонкие» клиенты и персональные компьютеры. На клиентских вычислительных средствах в странах Ближнего Востока, Центральной и Восточной Азии, Европы, России и странах СНГ в основном установлены ОС класса Windows NT.
Более того, использование программного обеспечения компании Microsoft Пентагон США утвердил в рамках проекта JCOINT(Joint Command Operation Intelligence): создания объединенной АС административного сопровождения тактических операций НАТО, в которых пользователи которых не обладают достаточно высокой квалификацией для администрирования Unix-подобных систем и привыкли работать в среде Windows, реализация подобного проекта взаимодействия между распределенными узлами единой системы с использованием программно-технических решений для Unix-подобных систем более дорогостоящая задача по сравнению с коммерческими решениями от компании Microsoft.
предъявляются требования гарантированной защищенности, поскольку в государственную тайну. Однако социальные сети предоставляют широкие возможности для проведения экономической или научно-технической разведки: «распределенные программные агенты» в составе ПО могут ресурсам в смежных сегментах защищенных коммуникационных сетей (модификация доменной структуры обработки запросов, «подделка»
пакетов авторизации, изменение таблицы маршрутизации).
Вредоносное ПО также реализует функциональные возможности, позволяющие отслеживать трансфертные сделки банковских организаций (номера счетов, данные юридических и физических лиц, «теневые»
финансовые операции за счет изменения путь передачи транзакций в автоматизированных системах электронных платежей).
ФБР и ЦРУ спонсируют технический проект «Covert Channels Pattern»: создание и поддержка скрытых каналов доступа в 3G-мобильных сетях, в глобальном пространстве Internet, системах спутникого телевещания, в смежных сегментах распределенных сетей Internetпровайдеров.
решения с целью создания защищенных автоматизированных систем (АС) специального назначения: информационно-аналитическая система «Цоколь» ФСБ РФ для оптимизации (эффективности) взаимодействия отдельных структурных подразделений и анализа стратегически важной информации для Федерального Центра «Антитеррор», автоматизированная система оперативно-тактического сопровождения «Циклон» Министерства Обороны РФ для обеспечения обработки критически важной информации и моделирования операций по противодействию силам противника в интересах военно-космической обороны. Однако подобные технические решения основаны на создании доверенной программно-аппаратной среды автоматизированных систем не позволяет в полной мере «по методу аналогии» апробировать решения в глобальном пространстве социальных (коммерческих) сетей.
Суть подхода в области создания защищенных систем сводится к созданию изолированной информационной среды, реализации политики аутентификации-идентификации (например, технологическое решение «Аккорд»).
возможность быстрой (гибкой) настройки отдельных компонентов.
«существовать» в изоляции со стороны аппаратно-программных средств контроля, обеспечения достоверности и защиты ПО. Следует отметить важную роль сетей в условиях глобализации процессов обучений, развития Internet, технологий проведения видеоконференций в режиме реального времени, развития партнерских научно-исследовательских программ в рамках проектов ЮНЕСКО и ООН, сотрудничества коммерческих и государственных учреждений образовательного назначения.
Именно поэтому необходимо найти оптимальное сочетание управлением ОС класса Windows NT.
Более того, встраивание дополнительных компонентов контроля и защиты ПО не должно сказываться на быстродействии (эффективности) обработки информационных потоков в целом. Подобное программнотехническое решение позволит, с одной стороны, повысить уровень защищенности среды облачных вычислений, с другой стороны, реализовать различные сценарии экономической или научно-технической разведки, используя ресурсы компьютерных систем стратегического назначения и коммерческих сетей.
Установка дополнительных аппаратных модулей на системной плате и процедура настройки специального ПО систем защиты и контроля требуют высокой квалификации администратора безопасности и операторов системы, кроме того, изменение конфигурации физических устройств осуществляется сервисным инженером от компании, ответственной за поддержку и гарантийное обслуживание средств вычислительной техники. Если на серверах традиционно устанавливается защищенная Unix-подобная ОС, то на рабочих станциях операторов, пользователей загружается образ ОС класса Windows NT, так как ПО других производителей требует высокой квалификации администратора и специалистов сервисного обслуживания (например, решения Oracle,Sun,HP и Cray Inc), более того, большинство программ разработки экспертных систем, офисные приложения, средства автоматизированного проектирования(САПР) поддерживают платформу Windows NT (например, базовые средства САПР от концерна «Ангстрем» в г. Зеленоград КОМПАС, продукция компании «1C», системы картотек класса «АЛЕФ»).
1.3. Недостатки современных технологий защиты информации в среде облачных вычислений и постановка задачи Анализаторы сетевых вторжений создаются, чтобы обеспечить дополнительный уровень защиты вычислительной сети, дополняя криптомаршрутизаторы, серверы аутентификации [27]. Злоумышленник во время осуществлении атак пытается преодолеть систему защиты, используя как методы «грубого взлома», так и новые «руткит»технологии для скрытого доступа к ресурсам операционных систем и защищенности призваны осуществлять сбор данных об «аномальной»
активности в системе и выявлять факты скрытого воздействия на ресурсы информационных систем, предупреждать попытки осуществления несанкционированного доступа (НСД).
Несмотря на то, что эти системы не могут обнаруживать атаку в процессе ее развития, они могут определить возможность реализации атак [28]. Обнаружение атак осуществляется посредством анализа регистрационных журналов, баз данных аудита или информационных потоков в режиме реального времени. Средства обнаружения атак позволяют усовершенствовать «классические» подходы в области создания СЗИ посредством функциональной реализации механизмов сигнатурного поиска, повышающих уровень защищенности вычислительной сети.
Например, средства обнаружения атак распознают попытки осуществления НСД нарушителем, анализирую параметры передаваемых пакетов в сети (флаги протокола TCP/IP, время «жизни» пакета, аномальное изменения размеров передаваемых пакетов), осуществляют сигнатурный анализ на наличие «характерных отпечатков пальцев» (fingerprints) в тактических действиях противника.
функциональность межсетевых экранов, осуществляя контроль доступа пользователей к ресурсам внутренних и внешних сегментов локальных и глобальных телекоммуникационных систем.
В составе систем обнаружения атак реализованы криптографические механизмы контроля целостности. Контроль целостности позволяет реализовать стратегию эффективного мониторинга, сфокусированную на системах, в которых целостность данных и целостность процессов играет наиболее важную роль [29].
Данный подход позволяет контролировать целостность объектов файловой системы, регистрировать попытки осуществления НСД посредством изменения атрибутивных признаков ресурсов вычислительных систем.
Вторым, не менее важным, подходом является использование модели адаптивной защиты информации [30]. Модель адаптивных систем защиты распределенных систем позволяет осуществлять гибкую настройку дестабилизирующие воздействия со стороны нарушителя в условиях, когда обстановка информационного противодействия крайне изменчива. При этом можно привести аналогии из биологического мира. Любая форма жизни обладает врожденными или приобретенными механизмами адаптации к внешней среде обитания. В случае изменения устойчивых показателей «экониши» существования, организм стремится в наиболее короткие сроки оптимально подстроится под новые условия среды. Так и адаптивные системы защиты осуществляют изменение конфигурации СЗИ, настройку ее отдельных компонентов с учетом сигнальных событий в ответ на действия противника, повышая уровень защищенности в критические периоды осуществления активного вторжения в компьютерные системы.
Компонент, реализующий адаптивные свойства СЗИ, осуществляет анализ в режиме реального времени атак, получая информацию от анализаторы сетевых вторжений, модулей МЭ, прогнозирует появление новых классов уязвимостей на основе эмпирических данных об уже известных атаках и вносит обновления в базы данных аудита с учетом возможных (перспективных) атак со стороны злоумышленника. Ключевым аспектом технологии адаптивной защиты является переход от принципа "обнаружения и ликвидация НСД" к принципу "анализ - прогнозирование предупреждение - противодействие" [31]. Данная технология основана на динамическом анализе действий пользователей, контроле исполнения программного кода в компьютерных системах, контроля доступа к ресурсам ВС посредством детального анализа информации журналов аудита и «меток» доступа монитора безопасности, выявлении неявных (скрытых) взаимодействия пользователей и объектов доступа.
Данная технология не позволяет в полном мере решать проблему анализа защищенности информационных систем с учетом применения противников программных средств скрытого воздействия, алгоритмов и методов, реализующих принцип «невидимости», поскольку учитывает лишь ограничение действий субъектов доступа и воздействий вредоносного кода с применением штатных средств защиты.
Также не учитывается возможность осуществления распределенных атак с использованием программных агентов злоумышленника.
Программный агент злоумышленника может использовать процессор до работы легальных программ, то есть агент модифицирует системные данные так, как нужно ему, затем обработать запрос и передать легальным программам ту информацию, которую ему нужно.
Обманные системы защиты основаны на использование методов компьютерного обмана. Например, можно привести достаточно наглядный пример сокрытия структуры (топологии) вычислительной сети при помощи программно-технических средств защиты.
Применение средств, реализующих камуфляж и дезинформацию, препятствует успешному осуществлению НСД злоумышленником, поскольку нарушитель в случае использования обманной системы защиты, вынужден затрачивать на альтернативные пути осуществления вторжения, поскольку у него нет достоверной информации о том, работает ли он с реальной операционной системой или является участником «игры», предложенной ему в качестве «приманки» (тактика привлечения внимания).
Данный метод реализован в продукте Cybercop Sting [82].
Наиболее распространенным пакетом, реализующим технологии обманных систем зарубежными компаниями в рамках проведения исследований в области применения перспективных технологий защиты, является программный продукт DTK ( The Deception Toolkit).
Концепция создания данного продукта принадлежит ведущим экспертам в области компьютерной безопасности Массачусетского технологического института - Клиффу Столлу и Биллу Чезвику. Данное средство разработано с той целью, чтобы ввести в заблуждение автоматизированные средства анализа защищенности путем создания ложных уязвимостей, что позволит своевременно обнаружить попытки НСД и противопоставить им эффективные средства защиты и, возможно, обнаружить атакующего [27].
Применение технологий обманных систем защиты позволяет осуществлять скрытый мониторинг действий злоумышленника, изучать его средства, тактику и уровень квалификации.
Полученная информация может служить исходными данными для аналитиков службы безопасности и формирования более целостной картины угроз безопасности компании или проведения оперативных мероприятий по защите критичной информации.
Однако авторы [96,97,98] указывают на существенный недостаток злоумышленником программных средств скрытого воздействия и перехват информационных потоков вычислительных систем в отладочной сессии (механизм обработки SEH) позволяет осуществлять НСД в обход «муляжа», так как доступ к объектам ОС на уровне системного обработчика исключений и ошибок предоставляет злоумышленнику интерфейсном уровне взаимодействия.
был реализован в широко известном Hacker Defender и библиотеке AFX Rootkit [83]. Данный класс «руткитов» обнаруживается модулями проактивной защиты антивируса Касперского и Norton Security Center, реализующих технологию Smart Defense.
Технология Smart Defense основана на встраивании модуля средств защиты информации на нескольких уровнях: первый уровень - контроль перехвата обращений к дескрипторной таблице прерываний, второй уровень - контроль обращений к функциям планировщика задач ядра операционной системы, который и позволяет обнаружить модификацию исполнительных путей загружаемых модулей и изменения в списке потоков.
Программа RKUnhooker и утилита Klister реализуют перехват функций KiWaitInListHead, KiWaitOutListHead, KiDispatcherReadyListHead для просмотра таблиц потоков планировщика задач ядра. Однако данный метод может использоваться только в ОС Windows 2000 [84]. Следует отметить технологию модификации пакетов ввода-вывода (IRP) и перехвата адресов вызова функций SDT-таблиц, которая реализована в программном агенте FU. FU модифицирует список PsActiveProcessList, содержащий список ZwQuerySystemInformation [20].
В программах F-Secure Black Light и IceSword, Kaspersky Internet Security 7.0, CheckPoint Firewall, Norton Internet Security и Panda Antivirus в целях противодействия «руткитам» класса FU уже реализован метод прямого сканирования таблиц обработчиков ядра. Однако в работе [85] в качестве демонстрации недостатков алгоритмов, используемых в настоящее время в СЗИ для обнаружения «руткитов», приводится программный агент FUTO, в котором реализована технологии DKOM и VICE. Вредоносный код производит обращение к полям записи в структуре системного отладчика и изменяет точку входа в таблице обработчиков ядра, осуществляя передачу данных, «невидимую» для модулей СЗИ.
обстоятельство, что руткит класса Rustock имеет семейство модификаций, осуществляет перехват управления в загрузочном режиме ОС Windows NT, модифицирует файлы системных драйверов и представляет сложность для обнаружения.
Следует также уделить внимание технологии перехвата на уровне DRрегистров [86].Этот вариант атаки предложен сравнительно недавно компанией Immunity и используется для перехвата управления в отладочной сессии. Схема реализации следующая:
- сначала «руткит» получает управление через установку на обработчики системных вызовов аппаратных точек останова.
- далее «руткит» «наблюдает» за выполнением системного прерывания или инструкции sysenter;
- на завершающем этапе устанавливает аппаратные прерывания на описатель системного вызова, и в момент прерывания подменивает адрес обработчика.
Для противодействия DR-руткитам компанией Northsecurity был разработан программный агент( «антируткит» нового поколения) Hypersight Rootkit Detector. Hypersight Rootkit Detector [94] предназначен для обнаружения вредоносной активности в режиме ядра ОС Windows NT.
Он представляет собой монитор виртуальной машины и запускается в режиме гипервизора при старте компьютера, контролируя критические операции и работая «прозрачно» для операционной системы и всех программ, запущенных в ней.
программного обеспечения, способного маскироваться под аппаратные команды комплектующих частей компьютера, например под команды центрального процессора компьютера. В последние несколько месяцев исследователи заговорили о возможности создания ПО, реализующего концепцию «невидимости». Например, Джоанной Рутковской был показан «руткит» BluePhil [64], использующий для маскировки серверную аппаратную технологию виртуализации процессора AMD.
По мнению Джона Хисмана, директора по новым технологиям в компании NGS Software, и исследователя Люка Дефо, в том случае, если на Black Hat будет действительно показан работающий руткит, способный каклибо эмулировать режим SMM и эксплуатировать эту возможность в своих целях, то этот момент станет очередным витком в развитии вредоносного ПО, так как современные антивирусы просто не смогут обнаружить такой код [95].
Однако сами авторы разработки говорят, что их технология Hypersight Rootkit Detector вряд ли получит глобальное распространение, поскольку требует специализированной аппаратной платформы с поддержкой режима виртуализации и расширенным управлением SMM-режимом.
Использование традиционных подходов не позволяет решить проблему повышения уровня защищенности среды облачных вычислений с учетом гибкости, масштабируемости (поддержки аппаратных платформ разного класса) предлагаемых программно-технических решений и минимизации расходов.
1.4 Постановка задачи исследований.
1. Рост угроз вызывает необходимость постоянного совершенствования подходов и методов обеспечения информационной безопасности среды облачных вычислений, поиска новых технологий в области создания СЗИ.
2. Применение современных технологий адаптивных систем защиты и ОСБ не позволяет осуществлять «прозрачный» контроль за информационными потоками среды облачных вычислений, поскольку они функционируют на верхних уровнях иерархии.
3. Классические методы поиска вредоносного программного кода не позволяют обнаруживать новые образцы вредоносного ПО, реализующего технологии DKOM и VICE, так как они встраиваются в операционную систему на более «низком» уровне, чем модули адаптивных систем защиты.
4. Традиционные методы перехвата системных функций гостевых ОС не позволяют обнаруживать программные «закладки», осуществляющие внедрение в ОС на этапе загрузки. Например, программный агент RuStock способен спровоцировать систему на отказ и изменять указатели на таблицы системных обработчиков путем обращения к структуре исполнительного региона процессора в отладочной сессии, модифицировать данные внутренних таблиц ОС.
Таким образом, представляются важными следующие задачи:
1. Разработка модели скрытых угроз информационной безопасности в среде облачных вычислений, учитывающая активный характер субъектов и объектов информационного взаимодействия;
2. Разработка модели операций, происходящих с данными при их обработке в среде облачных вычислений, позволяющей формализовать описание информационных процессов в виде мультиграфа транзакций;
использованием предложенной модели операций, основанного на характеризации иерархии транзакций;
идентификации скрытых угроз на основе матрицы инциденций и таблиц правил политики безопасности в гостевой ОС и гипервизоре;
5. Создание опытного образца программного средства «Альфамонитор» и его апробация при защите от скрытых угроз информационной безопасности в среде облачных вычислений.
ГЛАВА 2. МОДЕЛИ ПРОТИВОДЕЙСТВИЯ СКРЫТЫМ УГРОЗАМ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СРЕДЕ ОБЛАЧНЫХ
ВЫЧИСЛЕНИЙ
2.1. Спецификация и формализация требований к защите от скрытых угроз информационной безопасности в среде облачных вычислений.Для среды облачных вычислений одной из главных проблем управления является неравномерность запроса ресурсов со стороны клиентов. Для сглаживания неравномерности предоставления сервисов, т.
е. распределения ресурсов между реальным аппаратным обеспечением и облачным программным обеспечением, используют промежуточный слой серверной виртуализации. Серверы, выполняющие приложения, виртуализируются. Балансировка нагрузки осуществляется как средствами программного обеспечения, так и средствами распределения виртуальных серверов по физическим узлам. Виртуализация в среде облачных вычислений позволяет получить доступ к потенциально большому количеству вычислительных мощностей без больших расходов на запуск ресурсоемких вычислений.
Основой построения облачных сервисов является гипервизор. Под гипервизором обычно понимают программу или аппаратную схему, обеспечивающую одновременное исполнение нескольких операционных систем на одном сервере виртуализации. Гипервизор позволяет изолировать различные ОС друг от друга. Условно можно разделить гипервизоры на два типа: «тяжелые» и «легкие». «Тяжелый» гипервизор Xen(kvm) предоставляет ОС, запущенным под его управлением сервис виртуальной машины, эмулируя реальное аппаратное обеспечение.
«Легкий» гипервизор Linux Container (LXC) – система виртуализации на уровне операционной системы для запуска нескольких изолированных экземпляров ОС Linux.
Ключевым преимуществом «тяжелого» гипервизора по сравнению с LXC является возможность, с помощью сервиса виртуальных машин, поддерживать работу нескольких различных ОС на одном сервере виртуализации. Однако необходимость трансляции команд одной ОС в команды другой может отрицательно сказаться на производительности приложений.
При использовании LXC нет необходимости трансляции команд производительности в лучшую сторону, однако отсутствие сервиса виртуальных машин ограничивает использование LXC рамками одной операционной системы.
При объединении виртуальных машин на физических серверах растут требования к производительности работы сети на платформе.
физическом уровне платформы можно также виртуализировать их локальное взаимодействие.
Технологии облачных вычислений (cloud computing), в большей степени являясь средством предоставления пользователю инфраструктур вычислительных ресурсов общего назначения, не могут полностью заменить технологические средства при организации вычислений на территориально-распределенных кластерных системах.
технологий для решения следующих вопросов организации вычислений :
необходимой архитектурой, ОС и другими параметрами;
· изоляция пользовательских программ и данных на уровне администраторов вычислительной системы (ограничение сверху параметров создаваемого виртуального кластера).
Основное назначение ПО данного уровня следующее:
· скрытие от пользователя топологических особенностей распределенной системы;
· гарантированное отсутствие несанкционированного доступа к ресурсам среды облачных вычислений за счет использования гридтехнологий для межкластерного взаимодействия;
· прозрачный доступ к ресурсам среды облачных вычислений, состоящего из вычислительных ресурсов нескольких серверов, входящих в состав территориально-распределенной системы обработки информации;
· возможность создания трасс обработки специальной информации предоставления пользователю полной свободы по управлению вычислительными ресурсами в рамках предоставляемого · предоставление задачам совокупных вычислительных ресурсов нескольких вычислительных систем.
Имеются проблемы реализации рассматриваемой технологии. Так как каждая информационная система, входящая в состав территориальнораспределенной системы обработки, функционирует под управлением главного сервера, то при совместном использовании вычислительных ресурсов нескольких серверов требуется решать проблемы синхронизации очередей (организация общей очереди) заданий.
вычислитель с заявленными параметрами и развернутым на нем ПО, реализующий выбранный способ обработки. При этом пользователю гарантируются:
· надежность обработки — облачная система берет на себя решение вопросов отказов оборудования, сетевых коммуникаций и т. д. на всех этапах обработки: от ввода задания в систему, до получения конечного результата пользователем;
· безопасность обработки - облачная система гарантирует отсутствие пользователя;
· оперативность — обработка заданий в кратчайшие сроки в соответствии с выбранным в системе алгоритмом планирования пользовательских заданий на вычислительные ресурсы облака. Под вычислителя из состава облачной системы и запуск задания на выполнение на выделенных ресурсах.
Также необходимо указать следующие обязательные характеристики среды облачных вычислений:
· самообслуживание по требованию, потребитель самостоятельно определяет и изменяет вычислительные потребности, такие как серверное время, скорости доступа и обработки данных, объём поставщика услуг;
· универсальный доступ по сети, услуги доступны потребителям по терминального устройства;
· поставщик услуг объединяет ресурсы для обслуживания большого перераспределения мощностей между потребителями в условиях потребители контролируют только основные параметры услуги (например, объём данных, скорость доступа), но фактическое осуществляет поставщик ;
· эластичность, услуги могут быть предоставлены, расширены, сужены в любой момент времени, без дополнительных издержек на взаимодействие с поставщиком, как правило, в автоматическом · учёт потребления, поставщик услуг автоматически исчисляет (например, объём хранимых данных, пропускная способность, количество пользователей, количество транзакций), и на основе этих данных оценивает объём предоставленных потребителям услуг.
С точки зрения поставщика услуг, благодаря объединению ресурсов и непостоянному характеру потребления со стороны потребителей, облачные вычисления позволяют экономить на масштабах, используя меньшие аппаратные ресурсы, чем требовались бы при выделенных аппаратных мощностях для каждого потребителя, а за счёт автоматизации процедур, модификации выделения ресурсов, существенно снижаются затраты на абонентское обслуживание. С точки зрения потребителя, эти характеристики позволяют получить услуги с высоким уровнем доступности и низкими рисками неработоспособности, обеспечить быстрое масштабирование вычислительной системы благодаря эластичности без необходимости создания, обслуживания и модернизации собственной аппаратной инфраструктуры [22].
определяются следующим: снижение издержек и повышение доходов.
Поэтому простые, понятные и экономичные инструменты – виртуализация и облачные сервисы, приходят на смену недешевым действующим традиционным кластерным системам.
Прежде чем переходить к моделей противодействия скрытым угрозам информационной безопасности (ИБ) в среде облачных вычислений, необходимо сформулировать основные требования по безопасности к среде облачных вычислений:
1. Круглосуточный мониторинг защищенности. ВМ по своей природе динамичны. В считанные секунды можно ввести в эксплуатацию новую машину, приостановить ее работу, запустить заново. Виртуальные машины предельно просто клонируются и не менее просто могут быть перемещены между физическими серверами. Подобная изменчивость сильно усложняет создание целостной системы безопасности, ведь традиционная модель предполагает определенную стабильность инфраструктуры. Уязвимости ОС или приложений в виртуальных средах могут распространяться бесконтрольно, проявляясь после произвольного промежутка времени (например, при восстановлении из резервной копии).
Необходимо сформулировать следующее требование: в средах облачных вычислений необходимо иметь возможность надежно зафиксировать состояние защиты системы независимо от ее местоположения и состояния.
гипервизоре. Серверы облачных вычислений используют те же ОС и те же приложения, что и локальные виртуальные и физические серверы. Для облачных систем угроза удаленного взлома так же высока. На самом деле риск для виртуальных систем больше по сравнению с физическими кластерами: параллельное существование множества виртуальных машин существенно увеличивает «поверхность атаки». Как следствие, система обнаружения и предотвращения вторжений должна быть способна детектировать вредоносную активность на уровне гипервизора и виртуальных машин, вне зависимости от расположения ВМ в среде облачных вычислений.
3. Защита самих виртуальных машин. В отличие от физической машины, когда виртуальная машина выключена, остается возможность ее компрометации или «заражения». Достаточно доступа к хранилищу образов виртуальных машин через сеть. Тем же, кто использует сервисы облачных вычислений, следует убедиться в том, что провайдер имеет СЗИ, которые установлены на серверах виртуализации.
4. Средства защиты не должны значительно сказываться на производительности подсистемы управления. Большинство существующих решений безопасности создавались до широкого распространения систем виртуализации x86 и проектировались без учета работы в виртуальной среде. В облачной системе, где виртуальные машины пользователей разделяют общие аппаратные ресурсы, единовременный запуск, допустим, процедуры сканирования приведет к значительному снижению производительности. Единственный выход для провайдеров облачных вычислений — использование специализированных средств защиты, учитывающих технологию виртуализации.
5. Целостность данных и приложений. Целостность ОС и файлов приложений, а также внутренняя активность должны контролироваться подсистемой управления и мониторинга. Более того, проблемы в работе одного пользователя (или виртуальной машины) не должны сказываться на функционировании другого, нарушать целостность данных, блокировать обращение к ним или повреждать в процессе операций чтения, записи и выполнения.
6. Защита периметра и разграничение сети. Как уже было сказано выше, при использовании облачных вычислений периметр корпоративной сети размывается или вовсе исчезает. Это приводит к тому, что защита наименее защищенной составляющей сети определяет общий уровень защищенности. МЭ, основной компонент для внедрения политики безопасности и разграничения сегментов сети, не в состоянии повлиять на серверы, размещенные в средах облачных вычислений. Для разграничения сегментов с разным уровнем доверия необходимо реализовать дополнительные механизмы защиты информации в виртуальных машинах, фактически перемещая периметр разграничения доступа к самой ВМ.
Появление виртуализации стало актуальной причиной масштабной миграции большинства систем на ВМ, однако решение задач обеспечения безопасности, связанных с эксплуатацией приложений в новой среде, требует особого подхода. Многие типы угроз достаточно изучены и для них разработаны средства защиты, однако их еще нужно адаптировать для среды облачных вычислений.
Управление средой облачных вычислений — является проблемой безопасности. Гарантий, что все ресурсы облачной среды посчитаны и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов и не нарушена взаимная конфигурация элементов облака нет. Это высокоуровневый тип угроз, т.к. он связан с управляемостью облаком как единой информационной системой. Для этого необходимо использовать модель угроз для облачных инфраструктур.
В основе обеспечения физической безопасности лежит строгий контроль физического доступа к серверам и сетевой инфраструктуре. В отличии от физической безопасности, сетевая безопасность традиционно представляет собой построение надежной модели угроз, включающей в себя средства обнаружения вторжений и межсетевой экран.
Подведем итог всему изложенному выше. В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные угрозы для среды облачных вычислений:
1. Виртуальные машины динамичны. Создать новую машину, остановить ее работу, запустить заново – подобные действия можно сделать за короткое время. Виртуальные машины клонируются и могут «перемещаться» между физическими серверами. Данная изменчивость трудно влияет на разработку целостности системы безопасности. Однако, уязвимости операционной системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии).
В средах облачных вычислениях важно надежно зафиксировать состояние защиты системы, при этом это не должно зависить от ее состояния и местоположения.
2. Серверы облачных вычислений и локальные физические кластеры используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также высок. Параллельные виртуальные машины увеличивает «атакуемую поверхность». Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде.
3. Когда виртуальная машина выключена, она подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть достаточно. На выключенной виртуальной машине абсолютно невозможно запустить программное обеспечение СЗИ. В данном случаи должна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.
4. При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень безопасности. Для разграничения сегментов с разными уровнями доверия в среде облачных вычислений виртуальные машины должны сами обеспечивать себя защитой, перемещая внешний сетевой периметр к самой виртуальной машине.
5. Для защиты от функциональных атак для каждого сегмента среды облачных вычислений необходимо использовать следующие средства защиты: для сервера контроллера домена - эффективную защиту от DoSатак, для веб-сервера — контроль целостности страниц, для сервера приложений — экран уровня приложений, для системы хранения данных – резервное копирование, разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облачной среды, поэтому задачу по интеграции их в единую систему нужно решать во время создания среды облачных вычислений.
6. Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки, как Cross Site Scripting, «кража» паролей, перехваты сессий браузера, атака «человек посредине» и многие другие. Для данного класса атак существует множество программно-технических решений от отечественных и зарубежных производителей и внедрена широкая линейка СЗИ от Real-Secure, VMWare и IBM [39,40].
7. Большое количество виртуальных машин, используемых в cреде облачных вычислений, требует наличие систем управления, способных надежно контролировать создание, перенос и удаление виртуальных машин.
Вмешательство в систему управления может привести к блокированию работы виртуальных машин.
8. Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, физические ресурсы сервера виртуализации. Данный класс атак плохо освещен в отечественных и зарубежных публикациях по тематике информационной безопасности. Поэтому автор уделяет большое внимание противодействию угрозам на уровне гипервизора и изучению недокументированных механизмов его взаимодействия с гостевыми операционными системами в среде облачных вычислений.
2.2. Модель скрытых угроз информационной безопасности в Рассмотрим компоненты гипервизора в качестве источника угрозы при проведении атак злоумышленником с последующим распространением вредоносного программного обеспечения на серверах виртуализации.
Пользователи ВМ могут атаковать компоненты гипервизора, посылая некорректные запросы на обработку модулям ПО гипервизора и используя недокументированные возможности системного и прикладного ПО, реализации скрытых угроз (СУ).
Логика выполнения программ должна контролироваться с точки зрения не только функциональных возможностей, но и безопасности, которая оценивается величиной риска ее недокументированной работы. Для этого необходимо хорошо представлять, что и как может угрожать нормальному функционированию защищаемой системы. Условия реализации скрытых угроз - это наличие процессов вредоносного ПО на уровне гипервизора, повышающих риски использования НДВ прикладного и системного ПО гостевой ОС. При этом вредоносное ПО не осуществляет блокирование и уничтожение информации, циркулирующей в системе, не перехватывает системные вызовы гостевых ОС, а «встраивается» напрямую на уровне планировщика задач и диспетчера работы с оборудованием гипервизора и может повреждать ПО гипервизора. Скрытые угрозы, приводящие к нарушению работы ВМ в среде облачных вычислений, программного обеспечения, от которых нет защиты на уровне гостевой ОС.
Под реализацией скрытых угроз подразумеваются использование механизмов создания и изменения контекста выполнения потоков, посредством которых может передаваться данные от сущностей с высоким уровнем безопасности к сущностям с низким уровнем безопасности в обход правил ПБ и может нарушаться состояние защищенности самого гипервизора.
Гипервизор обеспечивает изоляцию различных ОС друг от друга, разделение и управление ресурсами. Гостевые ОС – это операционные системы виртуальных машин, запускаемые под управлением гипервизора.
На серверах виртуализации могут устанавливаться разные типы гипервизоров (XEN, Kvm, Bare Metal, OpenVZ, LXC, VMWare ESXi и т.п.) В гипервизоре, как и в любой операционной системе, создаются множества сущностей (объектов и субъектов доступа) с разным уровнем безопасности. Операция порождения субъектов Create (Subi,Om) Subj называется порождением с контролем неизменности объекта, если для любого момента времени t > t0, в который активизирована операция порождения объекта Create, порождение объекта Subj возможно только при тождественности объекта-источника относительно момента t0: Om[t]= Om[t0], где Sub – субъект, O – объект доступа. В случае среды облачных вычислений субъекты и объекты доступа могут меняться ролями.
Поэтому для противодействия скрытым угрозам в среде облачных вычислений, в которой действует порождение субъектов с контролем неизменности объекта, необходимо, чтобы в момент времени t0 через любой субъект к любому объекту существовали только потоки, не противоречащие условию корректности: монитор безопасности должен реализовать специальные механизмы идентификации контекста контролируемых потоков данных как для субъектов, так и для объектов доступа, а любой субъект доступа (инициатор доступа) должен использовать только разрешенные механизмы доступа. С этой целью вводится набор меток как при создании объектов доступа, так и при порождении объектов в виде кортежа (s, Ord, Context_type), то есть формализация операций порождения субъектов или объектов доступа представляется в следующем виде: Create (Subi,Om, s, Ord,Context_type) Subj, Create (Om, s,Ord, Context_type) Oj. При этом порождение нового субъекта доступа с номером j Subj возможно только при условии, что Om[t]=O m[t0], где Sub – субъект доступа, Om – объект доступа, j, m –номера объектов в предложенной спецификации рассматриваемой облачной среды.
Таблицы разрешенных связей объектов и субъектов доступа, с помощью которых осуществляется контроль транзакций операций порождения новых объектов, необходимо расширить на случай скрытых угроз.
Описание таблицы правил ПБ приведено в третьем разделе диссертационной работы.
Предикативная функция идентификации скрытых угроз – это отображение 8-уровневой модели операций на множество его возможных состояний – опасные, безопасные и неопределенные. В этом случае модель скрытых угроз описывается в виде расширенного кортежа :
< Source, Services, Devices, {proc}, Actions,{hv},{vm}, Security Source — субъект доступа или процесс источник угрозы;
• Services — набор шаблонов ПБ, используемых традиционными СЗИ ( например, правила фильтрации для МСЭ и пр.);
• Devices – устройства, установленные на серверах виртуализации и используемые гостевыми операционными системами ВМ (диск, сетевой контроллер и т.п.), как объект доступа;
• {proc} – множество субъектов воздействия (вредоносный код гипервизора, несертифицированные средства виртуализации и.т.п.);
• Actions (действия) – выполнения операций субъектом по отношению к объекту доступа ( выполнение команд read, write, append,create, execute, delete и т.п.);
• {hv} – среда взаимодействия процессов ВМ в гипервизоре, представляющая собой множество компонентов modi;
• {vm} – объекты воздействия (множество ВМ ).
противодействия скрытым угрозам, реализуемые в виде набора меток безопасности. Набор меток представляют собой значения кортежа (s,Ord,Context_type).
В рамках предлагаемой модели угроз среда облачных вычислений рассматривается как система взаимодействия гипервизоров, установленных на серверах виртуализации. В рамках направленной схемы «субъектдействие-объект» активный характер субъектов и объектов информационного взаимодействия подразумевает то обстоятельство, что злоумышленник(субъект) атакует сервер виртуализации(объект), модифицирует компоненты гипервизора путем реализации новых угроз, приведенных в таблице 2.2.1. При этом «зараженные» гипервизоры, находящиеся в одной или разных подсетях, становятся участниками атаки, то есть субъектами доступа, а запущенными под их управлением виртуальные машины пользователей - объектами. Пусть параметр N – количество уязвимых к атаке серверов виртуализации и виртуальных машин пользователей среды облачных вычислений, параметр K содержит виртуализации за определенный период. При этом «зараженные»
гипервизоры, находящиеся в одной или разных подсетях, становятся участниками атаки. Пусть параметр N – количество уязвимых к атаке серверов виртуализации, а параметр K содержит начальное значение среднего количества атакованных компьютеров за определенный период.
Pасчет выполняется с учетом того, что один и тот же компьютер не может быть атакован дважды. Пусть a(t) – количество уязвимых машин, которые были успешно атакованы во время t, тогда a(t)xN представляет собой общее количество успешно атакованных серверов виртуализации, каждый из которых может использоваться для проведения последующих атак. С каждым новым атакованным сервером виртуализации будет произведено не более k(1-a(t)) новых успешных атак. Таким образом, количество захваченных серверов виртуализации за период времени dt равно:
Учитывая, что N – константа, то n = d ( Na ) = Nda. Тогда верно следующее уравнение:
Уравнение 2.2.3. имеет следующее решение:
где T является временным параметром, характеризующим наибольший рост атак.
Таблица 2.2.1. - Перечень новых угроз.
Угроза нестандартного выполнения Получение несанкционированного доступа к Угроза нарушения однозначности Получение несанкционированного доступа к переходов состояний при информационном данным пользователя другой ВМ обмене между ВМ и гипервизором Угроза модификации ПО гипервизора Распространение вредоносного ПО в среде Проанализируем полный перечень традиционных угроз и проведем оценку нового класса угроз на основе руководящих документов ФСТЭК РФ применительно к среде облачных вычислений.
характеризующий, насколько вероятным является реализация конкретной угрозы безопасности в складывающихся условиях обстановки.
Коэффициент вероятности реализации (X2) определяется по 4 градациям:
маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (X2 = 0);
низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют её реализацию (X2 =2);
средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры безопасности недостаточны высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры обеспечения безопасности не приняты Угроза нестандартного выполнения команд ВМ в гипервизоре Угроза нарушения однозначности переходов состояний при нформационном обмене между ВМ и гипервизором Угроза модификации ПО гипервизора Таблица 2.2.3. - Таблица традиционных угроз безопасности.
угроза перехвата управления загрузкой угроза НСД с применением стандартных функций операционной системы угроза НСД с помощью прикладной программы угроза НСД с с применением специально созданных для этого программ угроза НСД при передаче информации по внешним каналам угроза утечки информации при удаленном доступе к информационным ресурсам угроза утечки информации с использованием копирования её на съемные носители угроза утечки информации посредством её печати на множительной технике несанкционированной передачи по каналам связи угроза внедрения вредоносных программ с использованием съемных носителей угроза сканирования открытых портов, служб и соединений аутентификации сообщений угроза обхода системы идентификации и сетевых объектов использованием средств удаленного администрирования угроза внедрения вредоносных программ через обмен и загрузку файлов использующими уязвимости сетевого ПО вероятности реализации угрозы (X2), рассчитывается коэффициент реализуемости угрозы (X) и определяется возможность реализации угрозы.
следующим диапазонам:
В качестве X1 устанавливается уровень средней защищенности, равный 5.
X 0, то осуществляется операции