LINEBURG


<< Пред. стр.

страница 20
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

вкратце изложив подход к тестированию, тестируемую конфигурацию, глубину и
результаты тестирования.
Информация оценщика о тестировании, приводимая в ТОО, позволяет оценщику передать
793

общий подход к тестированию и усилия, затраченные в течение оценки на вид
деятельности по тестированию. Смысл предоставления этой информации состоит в том,
чтобы дать содержательный краткий обзор усилий по тестированию. Не имеется в виду,
чтобы информация о тестировании в ТОО была точным воспроизведением конкретных
шагов тестирования или результатов отдельных тестов. Целью является предоставить
достаточные подробности, чтобы позволить другим оценщикам и сотрудникам органа по
сертификации получить некоторое понимание выбранного подхода к тестированию, объема
выполненного оценщиком тестирования, объема выполненного разработчиком
тестирования, тестируемых конфигураций ОО и общих результатов вида деятельности по
тестированию.


136
Информация, относящаяся к усилиям оценщика по тестированию, которую обычно можно
794

найти в соответствующем разделе ТОО, включает:
а) тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые тестировались;
б) выбранный размер подмножества. Количество протестированных в течение оценки
функций безопасности и строгое обоснование этого размера;
в) критерии выбора для функций безопасности, которые составляют тестируемое
подмножество. Краткое изложение факторов, рассмотренных при отборе функций
безопасности для включения в подмножество;
г) протестированные функции безопасности. Краткий перечень функций безопасности,
включенных в подмножество;
д) выполненные тесты разработчика. Указание на то, что выполнены все тесты
разработчика;
е) заключение по виду деятельности. Общий вывод по результатам тестирования,
проведенного в течение оценки.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для
795

того, чтобы дать некоторое представление о типе информации, касающейся тестирования,
выполненного оценщиком в течение оценки, которую следует представить в ТОО.




137
9 Вид деятельности AVA
9.1 Введение
Вид деятельности «Оценка уязвимостей» позволяет сделать заключение о существовании и
796

пригодности для использования в предопределенной среде недостатков или слабых мест в
ОО. Это заключение основывается на анализе, выполненном разработчиком и оценщиком,
и поддерживается тестированием, выполненным оценщиком.

9.2 Цели
Вид деятельности «Оценка уязвимостей» предназначен для того, чтобы сделать заключение
797

о существовании и пригодности для использования в предопределенной среде недостатков
или слабых мест в ОО.

9.3 Замечания по применению, относящиеся к стойкости функций
безопасности и анализу уязвимостей
Сравнение показывает, что между анализом стойкости функций безопасности ОО и
798

анализом уязвимостей (поиском потенциальных уязвимостей, приводящим к тестированию
уязвимостей) имеется как существенное сходство, так и существенные различия.
Существенное сходство основано на использовании потенциала нападения. Для обоих
799

видов анализа оценщик определяет минимальный потенциал нападения, требуемый
нарушителю, чтобы осуществить нападение, и приходит к заключению относительно
возможностей ОО противостоять нападению. В таблице 9.1 и таблице 9.2 демонстрируются
и далее описываются взаимосвязи между этими видами анализа и потенциалом нападения.
Таблица 9.1 – Тестирование уязвимостей и потенциал нападения
800

Компонент ОО противостоит Остаточные уязвимости способен
анализа уязвимостей нарушителю с использовать только нарушитель с
потенциалом нападения: потенциалом нападения:
VLA.4 высокий Не применимо – успешное
нападение за пределами
практически возможного
VLA.3 умеренный высокий
VLA.2 низкий умеренный
801

Таблица 9.2 – Стойкость функции безопасности и потенциал нападения
802

Уровень СФБ Адекватная защита от Недостаточная защита от
нарушителя с нарушителя с потенциалом
потенциалом нападения: нападения:
высокая СФБ высокий Не применимо – успешное
нападение за пределами
практически возможного
средняя СФБ умеренный высокий
базовая СФБ низкий умеренный



138
Существенные различия между этими видами анализа основаны на природе функции
803

безопасности ОО, а также на характере нападения. Анализ стойкости функции
безопасности ОО выполняется только для функций безопасности, реализуемых
вероятностными или перестановочными механизмами, за исключением тех из них, которые
основаны на криптографии. Более того, при анализе предполагается, что вероятностный
или перестановочный механизм безопасности реализован безупречно, и что функция
безопасности используется при нападении с учетом ограничений ее проекта и реализации.
Как показано в таблице 9.2, уровень СФБ также отражает нападение, описанное в терминах
потенциала нападения, для защиты от которого спроектирована функция безопасности,
реализуемая вероятностными или перестановочными механизмами.
Анализ уязвимостей применяется ко всем некриптографическим функциям безопасности
804

ОО, включая те из них, механизмы реализации которых, по своей природе, являются
вероятностными или перестановочными. Не делается никаких предположений
относительно корректности проекта и реализации функции безопасности; а также не
накладывается ограничений на метод нападения или взаимодействие нарушителя с ОО –
если нападение возможно, то оно рассматривается в процессе анализа уязвимостей. Как
показано в таблице 9.1, успешная оценка в соответствии с компонентом доверия,
связанным с анализом уязвимостей, отражает уровень источника угрозы, описанный в
терминах потенциала нападения, для защиты от которого спроектированы и реализованы
все функция безопасности ОО.
9.3.1 Потенциал нападения
9.3.1.1 Применение потенциала нападения
Потенциал нападения является функцией от компетентности, ресурсов и мотивации
805

нарушителя. Потенциал нападения специально рассматривается оценщиком двумя
различными способами в процессе оценки ЗБ и при выполнении действий по оценке
уязвимостей. В процессе оценки ЗБ оценщик делает заключение, является ли выбор
компонентов требований доверия, в особенности компонентов класса оценки уязвимостей,
соразмерным с потенциалом нападения источника угроз (см. ASE_REQ.1.4C). Случаи,
когда требования доверия не соразмерны, могут означать, что либо оценка не будет
обеспечивать достаточное доверие, либо оценка будет излишне трудоемкой. В процессе
оценки уязвимостей оценщик использует потенциал нападения как способ определения
возможности использования идентифицированных уязвимостей в предопределенной среде.
9.3.1.2 Трактовка мотивации
Мотивация является фактором потенциала нападения, который может использоваться,
806

чтобы описать различные аспекты, относящиеся к нарушителю и активам, которые
интересуют нарушителя. Во-первых, мотивация может подразумевать определенную
вероятность нападения — из угрозы, описанной как высокомотивированная, можно
предположить, что нападение неизбежно, или что вследствие немотивированной угрозы
нападение не ожидается. Однако, за исключением этих двух крайних уровней мотивации,
затруднительно, исходя из мотивации, установить вероятность осуществления нападения.
Во-вторых, мотивация может подразумевать определенную ценность актива в денежном
807

или ином выражении для нарушителя или владельца актива. Более ценный актив
обусловит, вероятно, более высокую мотивацию по сравнению с менее ценным активом.

139
Однако, кроме общих рассуждений, трудно связать ценность актива с мотивацией, потому
что ценность актива субъективна – она в значительной степени зависит от того, что
вкладывает в понятие ценности владелец актива.
В-третьих, мотивация может подразумевать определенную компетентность и ресурсы, с
808

которыми нарушитель намеревается произвести нападение. Можно предполагать, что
нарушитель с высокой мотивацией, вероятно, приобретет достаточную компетентность и
ресурсы, чтобы преодолеть меры защиты актива. И, наоборот, можно предполагать, что
нарушитель с высокой компетентностью и значительными ресурсами не захочет, используя
их, произвести нападение, если имеет низкую мотивацию.
В ходе подготовки и проведения оценки, так или иначе, рассматриваются все три аспекта
809

мотивации. Первый аспект, вероятность нападения — это то, что может побудить
разработчика добиваться оценки. Если разработчик полагает, что у нарушителей имеется
достаточная мотивация, чтобы организовать нападение, то оценка может обеспечить
доверие к способности ОО помешать усилиям нарушителя. Когда предопределенная среда
полностью определена, например, при оценке системы, уровень мотивации нападения
может быть известен и повлияет на выбор контрмер.
Рассматривая второй аспект, владелец актива может полагать, что ценность активов (как-
810

либо измеренная) достаточна, чтобы мотивировать нападение на них. Как только оценку
посчитают необходимой, рассматривается мотивация нарушителя для определения методов
нападения, которое может быть предпринято, а также компетентность и ресурсы, которые
могут использоваться при этих нападениях. После проведения исследований разработчик
способен выбрать соответствующий уровень доверия, в частности, компоненты требований
из класса AVA, соразмерные с потенциалом нападения для данных угроз. В ходе оценки и,
в частности, по результатам завершения вида деятельности по оценке уязвимостей
оценщик делает заключение, достаточен ли ОО, функционирующий в предопределенной
среде, чтобы помешать нарушителям с идентифицированной компетентностью и
ресурсами.
9.3.2 Вычисление потенциала нападения
В этом подразделе исследуются факторы, которые определяют потенциал нападения, и
811

предоставляется руководство, способствующее устранению некоторой субъективности
этого аспекта процесса оценивания. Данный подход следует выбрать, если оценщик не
сделает заключение, что он не является надлежащим; в последнем случае требуется строгое
обоснование правильности альтернативного подхода.
9.3.2.1 Идентификация и использование
Чтобы нарушитель использовал уязвимость, ее необходимо сначала идентифицировать, а
812

затем использовать. Это разделение может показаться тривиальным, но является
существенным. Чтобы проиллюстрировать это, рассмотрите уязвимость, которая
обнаружена после месяцев анализа экспертом, и простой метод нападения,
опубликованный в Интернете. Сравните это с уязвимостью, которая широко известна, но
требует огромного времени и ресурсов для использования. Понятно, что такие факторы, как
время необходимо в этих случаях трактовать по-разному.
Для анализа СФБ проблема использования обычно более важна, так как уязвимости в
813

вероятностных или перестановочных механизмах будут зачастую сами по себе очевидны.

140
Заметьте, однако, что так случается не всегда. Для криптографических механизмов,
например, знание неочевидных уязвимостей может значительно влиять на эффективность
нападения "грубой силой". Знание того, что пользователи системы имеют склонность
выбирать имена людей в качестве паролей, будет иметь подобный результат. Для оценки
уязвимостей выше, чем по AVA_VLA.1, начальная идентификация уязвимостей приобретет
гораздо более важное значение, так как существование трудных для раскрытия уязвимостей
может быть обнародовано, зачастую делая использование тривиальным.
9.3.2.2 Учитываемые факторы
В ходе анализа потенциала нападения, требуемого для использования уязвимости,
814

необходимо учитывать следующие факторы:
а) Идентификация:
1) время, затрачиваемое на идентификацию уязвимости;
2) техническая компетентность специалиста;
3) знание проекта и функционирования ОО;
4) доступ к ОО;
5) аппаратные средства/программное обеспечение ИТ или другое оборудование,
требуемое для анализа.
б) Использование:
1) время, затрачиваемое на использование уязвимости;
2) техническая компетентность специалиста;
3) знание проекта и функционирования ОО;
4) доступ к ОО;
5) аппаратные средства/программное обеспечение ИТ или другое оборудование,
требуемое для использования уязвимости.
Во многих случаях эти факторы не являются независимыми и могут в различной степени
815

заменять друг друга. Например, компетентность или аппаратные средства/программное
обеспечение могут быть заменой времени. Эти факторы обсуждаются далее.
Время – это время, обычно затрачиваемое нарушителем на непрерывной основе, чтобы
816

идентифицировать или использовать уязвимость. В целях данного обсуждения, за минуты
означает, что при нападении идентификация и использование уязвимости занимает менее
получаса; за часы означает нападение, которое может быть успешным менее чем за день; за
дни означает, что нападение может быть успешным менее чем за месяц, и за месяцы
означает, что успешное нападение требует, по меньшей мере, месяца.
Компетентность специалиста относится к уровню общих знаний прикладной области или
817

типа продукта (например, операционной системы Unix, протоколов Интернета).
Идентифицированными уровнями являются следующие:
а) Эксперты хорошо знакомы с основными алгоритмами, протоколами, аппаратными
средствами, структурами и т.п., реализованными в типе продукта или системы, а также с
применяемыми принципами и концепциями безопасности;
б) Профессионалы хорошо осведомлены в том, что касается режима безопасности продукта
или системы данного типа;
в) Непрофессионал слабо осведомлен, по сравнению с экспертом или профессионалом, и не
обладает специфической компетентностью.
Знание ОО указывает на определенный уровень знаний об ОО. Оно отличается от общей
818

компетентности, хотя и связано с ней. Идентифицированными уровнями являются
следующие:

141
а) Отсутствие информации об ОО, кроме его назначения;
б) Общедоступная информация об ОО (например, полученная из руководства
пользователя);
в) Чувствительная информация об ОО (например, сведения о внутреннем содержании
проекта).
Здесь следует проявить внимательность, чтобы отделить информацию, необходимую для
819

идентификации уязвимости, от информации, необходимой для ее использования, особенно
в области чувствительной информации. Требовать чувствительную информацию об
использовании уязвимости было бы необычно.
Доступ к ОО также является важным обстоятельством и имеет отношение к фактору
820

"время". Идентификация или использование уязвимости могут требовать
продолжительного доступа к ОО, что может увеличить вероятность обнаружения.
Некоторые нападения могут требовать значительных автономных усилий и лишь краткого
доступа к ОО для использования уязвимости. Доступ также может быть необходим
непрерывный или в виде нескольких сеансов. В целях данного обсуждения, за минуты
означает, что требуется доступ менее получаса; за часы означает, что требуется доступ
менее, чем день; за дни означает, что требуется доступ менее, чем месяц, и за месяцы
означает, что требуется доступ, по меньшей мере, в течение месяца. Когда доступ к ОО не
увеличивает вероятность обнаружения (например, смарт-карта в распоряжении
нарушителя), этот фактор следует игнорировать.
Аппаратные средства/программное обеспечение ИТ или другое оборудование указывает на
821

оборудование, которое требуется для идентификации или использования уязвимости.
а) Стандартное оборудование — это оборудование либо для идентификации уязвимости,
либо для нападения, которое легко доступно нарушителю. Это оборудование может быть
частью самого ОО (например, отладчик в операционной системе) или может быть легко
получено (например, программное обеспечение, загружаемое из Интернета или простые
сценарии нападения).
б) Специализированное оборудование не легко доступно нарушителю, но может быть
приобретено без значительных усилий. Оно может включать покупку небольшого
количества оборудования (например, анализатора протоколов) или разработку более
сложных сценариев и программ нападения.
в) Заказное оборудование не легко доступно широкому кругу, поскольку либо может
потребоваться его специальная разработка (например, очень сложное программное
обеспечение), либо оборудование настолько специализировано, что его распространение
контролируется и, возможно, даже ограничено. Или же оборудование может быть очень
дорогим. Использование сотен персональных компьютеров, связанных через Интернет, как
правило, относится к этой категории.
Компетентность специалиста и знание ОО связаны с информацией, необходимой
822

нарушителям, чтобы быть способными к нападению на ОО. Существует неявная
зависимость между компетентностью нарушителя и его способностью эффективно
использовать оборудование при нападении. Чем ниже компетентность нарушителя, тем
ниже потенциал использования оборудования. Аналогично, чем выше компетентность, тем
выше потенциал оборудования, используемого при нападении. Будучи неявной,
зависимость между компетентностью и использованием оборудования проявляется не

142
всегда: например, если меры среды предотвращают использование оборудования опытным
нарушителем, или если кем-то другим созданы и свободно распространяются (например,
через Интернет) инструментальные средства нападения, требующие невысокой
квалификации для эффективного использования.
9.3.2.3 Подход к вычислению
В предыдущем пункте определены факторы, подлежащие рассмотрению. Однако для
823

проведения стандартной оценки требуется дальнейшее руководство. Для поддержки этого
процесса предусмотрен следующий подход. Должны быть представлены конкретные числа
с целью достижения уровней, которые согласуются с соответствующими уровнями оценки.
В таблице 9.3 идентифицируются факторы, обсуждавшиеся в предыдущем пункте, и им
824

поставлены в соответствие числовые значения по двум аспектам: идентификации и
использованию уязвимости. При определении потенциала нападения для данной
уязвимости из каждого столбца для каждого фактора следует выбрать определенное
значение (10 значений). При выборе значений должна учитываться предопределенная среда
ОО. Выбранные 10 значений суммируются, давая итоговое значение. Это значение затем
сверяется с таблицей 9.4 для определения рейтинга.
Когда значение фактора оказывается близким к границе диапазона, то оценщику следует
825

подумать об использовании значения, усредняющего табличные. Например, если для
использования уязвимости требуется доступ к ОО в течение одного часа или если доступ
обнаруживается очень быстро, то для этого фактора может быть выбрано значение между 0
и 4. Таблица 9.3 предназначена для руководства.




143
Таблица 9.3 – Вычисление потенциала нападения

Значение при Значение при
Название идентификации использовании
Диапазон
фактора уязвимости уязвимости
< 0.5 часа 0 0
< 1 день 2 3
Затрачиваемое
< 1месяц 3 5
время
> 1месяц 5 8
Не практично * *
Непрофессионал 0 0
Компетентность Профессионал 2 2
Эксперт 5 4
Отсутствие информации 0 0
Общедоступная 2 2
Знание ОО информация
Чувствительная 5 4
информация
< 0.5 часа или не 0 0
обнаруживаемый доступ
< 1 день 2 4
Доступ к ОО < 1 месяц 3 6
> 1 месяц 4 9
Не практично * *
Отсутствует 0 0
Стандартное 1 2
Оборудование
Специализированное 3 4
Заказное 5 6
* Означает, что нападение невозможно в пределах тех временных рамок, которые были
бы приемлемы для нарушителя. Любое значение «*» указывает на «высокий» рейтинг.


Для конкретной уязвимости может возникнуть необходимость сделать несколько проходов
826

таблицы для различных сценариев нападения (например, попеременно использовать разные
значения компетентности в сочетании со значениями факторов времени или оборудования).
Наименьшее значение, полученное для этих проходов, следует сохранить.

<< Пред. стр.

страница 20
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign