Конференция 26.11.2019 сборник Unicon Инф без. збекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг

160
Ключевые слова: облачные вычисления, проблемы безопасности, решения по защите от угроз, поверхности атак, дерево атак, моделирование угроз.
Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации в облаке повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты росла вместе со сложностью архитектуры хранения данных. Облачные вычисления (ОВ) - это программное обеспечение, позволяющее пользователю через Интернет или локальную сеть использовать удобный интерфейс для удаленного доступа к выделенным ресурсам
(вычислительным ресурсам, программам и данным) [1].
В настоящее время облачные технологии стали очень популярными и с каждым годом спрос на них увеличивается. Пользователи в ОВ видят огромный потенциал, эта технология весьма интересна и перспективна, но наряду с этим есть большое количество проблем и вопросов в области безопасности, решение которых крайне затруднительно. Одной из этих проблем является недостаточно надежное управление данными, что приводит к различным вредоносным вторжениям. Развитие этих вторжений в oблако и сбои облачных сервисов получили сильное внимание со стороны многих компаний [2].
Проблемы безопасности ОВ:
• Традиционные атаки на ПО. Они связанны с уязвимостью сетевых протоколов, модульных компонентов, операционных систем, и других. Для защиты от них устанавливается антивирус, межсетевой экран, IPS и др.
• Функциональные атаки на элементы облака. Так как облако состоит из нескольких слоев - общая защита системы равна защите самого слабого звена.
Для защиты от функциональных атак для каждого слоя облака необходимо использовать определенные средства защиты: для прокси - защиту от DoS- атак, для веб-сервера - контроль целостности страниц, для сервера приложений - экран уровня приложений, для слоя системы управления базами данных - защиту от SQL-инъекций, для системы хранения - резервное копирование и разграничение доступа.
• Атаки на клиента. Очень большое количество клиентов подключено к облаку через браузер, и этот тип атак является одним из самых актуальных в настоящее время. В него попадают такие атаки как Cross Site Scripting (XSS), перехваты веб-сессий, взлом паролей и другие. Защитой от этих атак служит строгая аутентификация и использование шифрованного соединения с взаимной аутентификацией, однако это не самые надежные средства защиты, поэтому в этой отрасли еще ведутся разработки и поиски оптимальных решений.

161
• Угрозы виртуализации. Поскольку платформой для компонента облака традиционно являются виртуальные среды, то атаки на систему виртуализации также угрожают и всему облаку в целом. Только сейчас начинают появляться решения для некоторых угроз виртуализации, однако отрасль эта достаточно новая, поэтому сложившихся решений еще не выработано.
• Комплексные угрозы «облакам». Контроль облаков и управление ими также является еще одной проблемой безопасности. Как гарантировать, что все ресурсы облака посчитаны и в нем нет неподконтрольных виртуальных машин, не запущено лишних бизнес-процессов и не нарушена взаимная конфигурация слоев и элементов облака? Этот тип угроз связан с управляемостью облаком как единой информационной системой, а также с поиском злоупотреблений или других нарушений в работе облака [3].
К примеру, рассмотрим несколько самых известных провайдеров этих сервисов, как Amazon Web Services, AT&T, Go Grid Cloud Hosting; Google,
IBM, Joyent, Rackspace Hosting, Savvis, Terremark Worldwide, VMware и
Verizon Communications. Главная проблема таких сервисов - отсутствие стандарта обеспечения безопасности облачных вычислений, который принимает большая часть рынка. К сожалению, еще не нашли единого подхода и методики для обеспечения защищенности облачных вычислений, даже несмотря на то, что уже существует много разных тестов и сертификационных процедур, базирующихся на критериях и требованиях безопасности [4].
В настоящее время существует ассоциация защищенности облачных вычислений - Cloud Security Alliance (CSA), организованная в апреле 2009 г., которая уже разрабатывает соответствующий набор критериев [5].
Cloud Security Alliance - некоммерческая организация, занимающаяся разработкой стандартов, рекомендаций и инициатив, направленных на повышение безопасности и защищенности использования облачных вычислений [5].
Решения по защите от угроз безопасности от компании CSA:
1. Сохранность данных. Шифрование - один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным, должен шифровать информацию клиента, хранящуюся в центре обработки данных, а также в случае отсутствия необходимости безвозвратно ее удалять.
2. Защита данных при передаче. Зашифрованные данные при передаче должны быть доступны только после аутентификации.
3. Аутентификация. Защита паролем.
4.
Изоляция пользователей.
Использование индивидуальной виртуальной машины и виртуальной сети [2].

162
Моделирование угроз облачных вычислений является важным процессом при создании любого сервиса в облаке. Это не одноразовый процесс, а итеративный процесс. Это итеративный процесс по двум причинам.
Во-первых, выявление угроз с одной попытки практически невозможно, а во-вторых, мы можем сказать, что сервисы более не являются статичными и что в бизнес-процессах происходят огромные изменения.
С другой стороны, при моделировании угроз безопасности для облачной инфраструктуры мы сталкиваемся с практической проблемой, то есть не имеем публичного доступа к подробной информации, касающейся конфигураций аппаратного и программного обеспечения, развернутых в реальных облачных дата-центрах. Моделирование угроз для облачных вычислений в основном фокусируется либо на высокоуровневых инфраструктурах для оценки рисков и последствий, и на общих руководящих принципах для метрик безопасности
1
облака, либо на очень специфических уязвимостях или угрозах в облаке. Насколько нам известно, отсутствует конкретное исследование по моделированию угроз для облачных центров обработки данных с использованием реалистичных облачных инфраструктур и устоявшихся моделей. Хотя уже существует ряд моделей моделирования угроз, таких как поверхность атаки (attack surface), дерево атак (attack tree), график атак (attack graph) и различные метрики безопасности, систематическое применение этих моделей к конкретной облачной инфраструктуре еще предстоит увидеть.
Поверхность атаки: Первоначально предложенная в качестве показателя безопасности программного обеспечения, поверхность атаки охватывает программные компоненты, которые могут привести к потенциальной уязвимости, включая точки входа и выхода (т. е. Методы в программном обеспечении, которые либо принимают пользовательский ввод, либо генерируют выходные данные), каналы связи. (например, TCP или UDP) и недоваренные элементы данных (например, файлы конфигурации или ключи реестра, считываемые программным обеспечением) [7].
Поверхность атаки фокусируется на том что может предоставить злоумышленникам начальные привилегии или доступ к системе, деревья атак демонстрируют возможные пути атаки, которые могут сопровождаться злоумышленником для дальнейшего проникновения в систему [8].
Рассмотрим пример дерева атак, в котором цель злоумышленника - получить доступ к базе данных. Для моделирования угроз обычно требуется
1
Стандарт измерения, который определяет условия и правила выполнения измерения и понимания результатов измерения. NIST: Описание метрик сервиса облачных вычислений.

163 подробная информация, касающаяся аппаратных и программных компонентов и их конфигураций. Тем не менее, отсутствует доступ общественности к такой подробной информации для реальных облачных центров обработки данных, что понятно, поскольку поставщики облачных услуг не хотят раскрывать подробности о своей инфраструктуре и особенно об уязвимостях. Для решения этой проблемы будет использоваться реалистичная облачная инфраструктура, основанная на концепциях и идеях, заимствованных у основных игроков на рынке, включая Cisco, VMware и OpenStack.
В качестве инфраструктуры выбрана модел [9] к которой применим концепция поверхности атаки к облачной инфраструктуре на уровне аппаратных и программных ресурсов. При этом можно классифицировать поверхности атаки между пользователями, службами и облачными провайдерами [7]. Где рассматриваются точки входа поверхности атак нескольких классов.
Эти точки входа, могут использоваться конечными пользователями, облачными арендаторами и облачными операторами соответственно.
Точка входа конечного пользователя для запуска атаки является HTTP
ВM, работающий на уровне HTTP, который может иметь уязвимость внутри служб (HTTP или SSH), например, CVE-2014-0226, или CVE2007-4752 [10],
(обратите внимание, что поверхность атаки напрямую не связана с конкретными уязвимостями). После того как он получает доступ к HTTP- виртуальной машине, он становится точкой выхода для атаки на приложения
ВМ, работающую на уровне приложения. Используя уязвимость, например,
CVE-2004-1370, в приложении Oracle, злоумышленник может превратить виртуальную машину приложения в точку выхода для атаки на базу данных.
Используя уязвимость, например, CVE-2004-1338, в виртуальной машине БД, он может сделать ее точкой выхода для доступа к гипервизору базы данных.
Наконец, используя уязвимость в гипервизоре, например, CVE-2013-4344, злоумышленник может потенциально получить контроль над всеми виртуальными машинами, работающими поверх этого гипервизора, и превратить гипервизор в точку выхода для доступа к данным, принадлежащим всем этим виртуальным машинам. В этом примере показано, как различные аппаратные / программные компоненты могут стать частью поверхности атаки
(точки входа и точки выхода) вместе с путем, по которому следует злоумышленник, что также побуждает нас лучше изучать эти пути атак, используя модель угроз, такие как дерево атак.
Рассмотрим поверхность атаки по отношению к облачным арендаторам, будем считать, что злоумышленник берет на себя роль законного облачного арендатора, который может использовать свои виртуальные машины для атаки

164 на другого арендатора, который находится на тех же физических машинах или в том же облачном центре обработки данных.
Предположим что, злонамеренный облачный арендатор хочет атаковать другого арендатора, находящегося на той же физической машине. В отличие от конечных пользователей, злоумышленнику не нужно находить точку входа среди облачных сервисов, чтобы начать свою атаку, поскольку он имеет доступ к виртуальным машинам, работающим внутри облака. Предположим, что облачный арендатор в этом примере имеет доступ к виртуальной машине.
Злоумышленник может использовать уязвимости, связанные с гипервизором, в качестве точки входа для получения доступа к гипервизору. Как только он получает такой доступ, гипервизор становится точкой выхода для доступа к виртуальным машинам любого арендатора, работающим поверх того же гипервизора.
Поверхность атаки по отношению к облачным операторам здесь понимается сотрудник поставщика облачных услуг, который имеет ограниченные привилегии для доступа к определенным компонентам
(например, коммутаторам, брандмауэру и Storage Area Network-SAN) для целей обслуживания и управления. Злоумышленник, выступающий в роли такого облачного оператора, может злоупотребить своим доступом к ресурсам для атаки на облачный центр обработки данных. Кроме того, облачные операторы можно разделить на две категории: местные сотрудники провайдера облачных услуг и те, кто работает в сторонней компании по контракту с провайдером облачных услуг.
Чтобы лучше понять, что может произойти, когда злоумышленник получит начальные привилегии, нужно применять деревья атак, которые представляют пути атак высокого уровня, ведущие злоумышленников к их целям.
Проведённые исследования поверхностных атак показали, что есть разные типы пользователей с разными начальными привилегиями, это требует учёта множества различных поверхностей атак.
Облачные арендаторы и облачные операторы явно имеют большие привилегии по отношению к обычным пользователям так как имеют законный доступ к виртуальной машине (ВМ) и аппаратным компонентам. Также можно утверждать, что для злонамеренных арендаторов гипервизоры почти всегда являются главными, а также наиболее важными поверхностями атак во время атак между арендаторами. В отличие от традиционных корпоративных сетей, поверхность атаки облаков гораздо сложнее, включая физические компоненты, программные службы, виртуализацию, облачные операционные системы и т. д.

165
Разработка модели дерева атаки более четко показывает общую картину, изображая все пути, по которым могут идти различные типы атакующих, чтобы завладеть важным активом. Структурированное представление дерева атак также облегчает поиск интересных шаблонов в различных сценариях атаки. А также можно наблюдать, как разные пути иногда совместно используют некоторые общие узлы в дереве атак и это говорить, что если удалить общий узел, то можно избавиться от других угроз, которые исходят из этого узла. Можно также отметить, злоумышленники имеющие большие привилегии как облачные операторы имеют более короткие пути, потому что их начальные привилегии обычно могут упростить атаки.
В заключение можно сделать вывод о том, что облачные вычисления предлагают большие преимущества: неограниченные хранилища, быстрый доступ к вычислительной мощности, возможность легкого обмена информацией и ее обработки, но есть много вопросов, большинство из которых связаны с безопасностью. Проделанный анализ угроз в облачных вычислениях позволяет повысить безопасность ни только организаций и пользователей, а также у облачных арендаторов. Исследование предложенной инфраструктуры облачного центра обработки данных, с современными технологиями, которые применяются основными игроками на облачном рынке позволили применение к этой инфраструктуре такие модели угроз как поверхность атаки и деревья атак, позволяющие моделировать потенциальные угрозы с разных точек и на разных уровнях абстракции. В статье при составлении модели угроз было сосредоточено внимание на некоторых уникальных аспектах облачной инфраструктуры, таких как наличие различных типов пользователей, виртуализация и избыточность конфигурации. Составленные модели угроз могут фокусироваться на разных аспектах процесса снижения атаки к облачным технологиям.
Литература
1. Клементьев И. П., Устинов В. А.: Введение в Облачные вычисления.
Ульяновск : Изд-во УГУ, 2009. 233 с.
2. Угрозы облачных вычислений и методы их защиты // Habrahabr.ru.
13.06.2013 [Электронный ресурс]. URL: http://habrahabr.ru/post/183168/.
3. Облака: легенда и мифы // Аnti-malware. 17.03.2010 [Электронный ресурс]. URL: http://www.anti-malware.ru/node/2333.
4. Проблемы безопасности облачных вычислений // ITResearch, 23.07.2010
[Электронный ресурс].
URL: http://www.itbestsellers.ru/experts/detail.php?ID=16970.
5. Cloud Security Alliance Russian Chapter // RISSPA be professional

166
[Электронный ресурс]. URL: http://www.risspa.ru/csa.
6. Бежитский С. С., Становов В. В. Самоконфигурирующийся гибридный эволюционный алгоритм формирования нечетких правил для задач с несбалансированными данными в многоагентных системах // Материалы
Восьмого Всерос. форума студентов, аспирантов и молодых ученых. СПб. :
Изд-во Политех. ун-та, 2014. С. 57-59.
7. Manadhata PK, Wing JM. Метрика поверхности атаки. Программная инженерия, IEEE Транзакции.
8. Шнайер Б. Дерево атак. Журнал доктора Добба. 1999 9. Nawaf Alhebaishi, Lingyu Wang, Anoop Singhal. Threat Modeling for
Cloud Infrastructures. 21 December 2018 10.
Национальная база данных уязвимостей; (https://nvd.nist.gov/)
ОБНАРУЖЕНИЕ СЕТЕВЫХ АТАК В РАСПРЕДЕЛЕННЫХ
ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ
Азизова З.И., Хамидов Ш.Ж. ТУИТ
Аннотация. Статья посвящена актуальной на сегодняшний день
проблеме выявления сетевых атак, как одного из основных видов нарушения
информационной безопасности в распределённых вычислительных сетях.
Качественное развитие данного вида угроз вызывает необходимость
постоянного совершенствования средств защиты, предлагая принципиально
новые методы обнаружения сетевых атак. В данной статье
рассматривается структура системы обнаружения вторжений с описанием
функционирования модулей, характерные черты систем обнаружения
вторжений, включая недостатки систем обнаружения аномалий.
Ключевые слова: распределенная вычислительная сеть,удаленная сетевая атака, локальная атака, отказ в обслуживании, обнаружение вторжений, структура системы обнаружения вторжений.
Ускоренный темп развития вычислительных средств и информационных технологий ежедневно приводит к увеличению вычислительных мощностей компьютерных средств, совершенствованию технологии сетевого взаимодействия, изменению форматов и требований к построению информационно-коммуникационных систем.
Следствием данного развития, с одной стороны, является совершенствование производственных процессов, а с другой - возникновение новых угроз информационной безопасности. Поэтому проблема защиты информации

167 продолжает являться ключевым направлением современных научных исследований.
Одним из средств защиты вычислительных систем являются системы обнаружения вторжений (СОВ). Система обнаружения вторжений – это программное или программно-аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в вычислительную систему или сеть [3].
Системы обнаружения вторжений позволяют выявлять различные виды деструктивных активностей, таких как сетевые атаки против множества сервисов; атаки, направленные на повышение пользовательских привилегий, неавторизованного доступа к важным системным и пользовательским файлам; действий вредоносного программного обеспечения.
Угроза безопасности вычислительной системы представляет собой потенциально возможное событие, процесс, действие или явление, которое может привести к нанесению ущерба ресурсам вычислительной системы [3].
При этом, реализация уязвимости объекта для нанесения ущерба является неким требованием к угрозе безопасности. Множество либо одно условие, позволяющее угрозе воздействовать на объект с большей частотой или большим влиянием, либо совместно, представляется как уязвимость вычислительной системы. В свою очередь, действия нарушителя, направленные на поиск той или иной уязвимости и ее дальнейшее использование в деструктивных целях, как атака на вычислительную систему.
Основной особенностью любой сетевой системы является распределенность её компонентов в пространстве и организация связей между ними, посредством использования средств сетевых соединений с помощью сообщений [2]. Все данные и сигналы управления передаются между узлами распределённой вычислительной сети в форме сетевых пакетов.
Удалённая сетевой атакой является информационное деструктивное воздействие на распределённую вычислительную систему, осуществляемое по каналам связи. Это определение охватывает обе особенности сетевых систем: распределённость вычислительных узлов и распределённость самой информации.
Вторжение состоит из одной или нескольких сетевых атак. Для большинства вторжений можно выделить три основных этапа, такие как сбор информации, выполнение атаки и консолидация. Трудность обнаружения проведённой удалённой сетевой атаки и относительная простота её проведения делает данный вид воздействия одним из самых опасных [4] и сложным для быстрого реагирования на осуществлённую угрозу.

168
В отличие от локальных вычислительных систем, где наиболее частыми являются угрозы конфиденциальности и целостности, в сетевых системах наиболее распространены угрозы отказа в обслуживании [2].
Для защиты вычислительной сети используются следующие наиболее распространённые средства и методы: политика безопасности корпоративной сети; межсетевые экраны; защита на уровне маршрутизаторов; сетевой аудит; системы обнаружения вторжений; регламент реагирования на обнаруженные атаки.
Системы обнаружения сетевых атак собирают информацию из пакетов сетевого трафика, системных журналов и показателей функционирования системы. Традиционные системы обнаружения сетевых атак строятся на сигнатурном подходе [2]: при помощи набора правил или сигнатур, формируемых экспертами и помещаемых в базу решающих правил, описываются все возможные сценарии и особенности атак. У этого подхода существует множество известных недостатков. При помощи анализа сигнатур невозможно обнаружить новые виды атак, потому что база решающих правил не содержит информации о соответствующей атаке. Процесс анализа сигнатур для распределённых атак является крайне сложной задачей. Кроме того, базы решающих правил популярных систем обнаружения вторжений практически являются общедоступными, поэтому нарушитель может протестировать возможности сокрытия атаки.
В своей работе системы обнаружения вторжений руководствуются не только сетевым трафиком и множеством правил, но и аудитом системы, различными журналами, показателями работы операционной системы и так делее. Также существуют системы предотвращения вторжений, позволяющие не только обнаружить факт состоявшегося вторжения в систему, но и минимизировать последствия, разорвав сетевое соединение, заблокировав подозрительную активность пользователя или даже администратора.
Наиболее эффективным способом предотвращения несанкционированного использования компьютерных систем и сетевых ресурсов является поддержание многоуровневой защиты, когда совместно используются межсетевые экраны, системы обнаружения вторжений, системы аудита, политика безопасности и другие средства защиты.
Структура системы обнаружения вторжений, разработанная группой исследователей CIDF (Common Intrusion Detection Framework) [1], представлена на рисунке 1.
Модуль сбора данных или сенсор извлекает данные для обработки и принятия решения анализатором. В данных могут содержаться имена контролируемых параметров, их особенности и значения. Сенсор может

169 выполнять преобразования данных для перевода в необходимый формат или для сокращения объёма передаваемых данных.
Рисунок 1. Структура системы обнаружения вторжений
Модуль анализатора принимает решение о наличии или отсутствии признаков атаки или аномалии на основании данных от сенсоров. В рамках анализа данный блок может выполнять функции фильтрации, нормализации, преобразования и корреляции данных. При обнаружении атаки модуль анализатора может добавить к исходным данным описание обнаруженной атаки. Модуль анализатора может иметь многоуровневую систему. Модуль
хранилища данных содержит множества решающих правил и семантическое описание атак, а также накопительную информацию от сенсоров. Данные могут находиться в текстовых файлах, базе данных, и т.д. Модуль
реагирования информирует администратора о зафиксированной атаке, а в случае систем предотвращения вторжений формирует активную реакцию.
Системы предотвращения вторжений отслеживают активность в режиме реального времени и быстро реализовывают действия по предотвращению атак. Возможные меры: блокировка потоков трафика в сети, сброс соединений, выдача сигналов оператору. Также системы предотвращения вторжений могут выполнять дефрагментацию пакетов, переупорядочивание пакетов TCP для защиты от пакетов с изменёнными номерами последовательности и подтверждения.
Системы обнаружения сетевых атак собирают информацию из пакетов сетевого трафика, системных журналов и показателей функционирования системы. Традиционные системы обнаружения сетевых атак строятся на сигнатурном подходе [4]: при помощи набора правил или сигнатур,
Модуль сбора данных
Модуль хранилища данных
Модуль анализатора
Модуль реагирования

170 формируемых экспертами и помещаемых в базу решающих правил, описываются все возможные сценарии и особенности атак. У этого подхода существует множество известных недостатков. При помощи анализа сигнатур невозможно обнаружить новые виды атак, потому что база решающих правил не содержит информации о соответствующей атаке. Процесс анализа сигнатур для распределённых атак является крайне сложной задачей. Кроме того, базы решающих правил популярных систем обнаружения вторжений практически являются общедоступными, поэтому нарушитель может протестировать возможности сокрытия атаки.
Перечисленные проблемы подхода поиска сигнатур заставляют специалистов искать альтернативные пути для организации защиты от сетевых атак. Одним из популярных направлений исследований является применение различных методов интеллектуального анализа данных в системах обнаружения сетевых атак [2]. В основе данных методов лежит предположение, что вся легитимная активность в системе может быть представлена в виде математической модели.
Применяемые для обнаружения сетевых атак методы интеллектуального анализа данных преследуют одну из следующих целей: обнаружение нарушений или обнаружение аномалий. Первые моделируют атаки и применяют средства классификации, вторые моделируют нормальное поведение и выполняют поиск исключений.
При использовании методов интеллектуального анализа данных для выявления сетевых атак можно выделить следующие проблемы [2]:

данные, анализируемые системами обнаружения, имеют высокую размерность и объём;

требование обработки данных в режиме реального времени;

большое количество шумов и выбросов в обрабатываемых данных, вызывающих неадекватную реакцию методов интеллектуального анализа данных.
Для систем обнаружения аномалий свойственно существенно большее число ложных срабатываний, чем для систем обнаружения атак. Главная причина данного явления – сложность обучения системы обнаружения аномалий. Для построения качественного профиля нормального поведения необходимо собрать достаточно полную базу и при этом в период формирования данной базы необходимо исключить появление каких-либо аномалий. В противном случае нарушитель сможет обойти защиту, присвоив аномальному воздействию статус легитимного. Системы обнаружения аномалий сильно зависят от профиля нормального поведения и при значительных вариациях в поведении пользователя, вызванных, например,

171 временным переключением на выполнение другой работы, система будет фиксировать аномальное поведение. Большинство существующих хостовых и сетевых СОВ имеют монолитную структуру, что не позволяет эффективно распределить функционал по узлам вычислительной сети. Для эффективной защиты распределённой вычислительной сети необходимо разнесение указанных компонентов и их частей по различным узлам сети.