В [ 4 ] в рамках нескольких предположений, которые используются в качестве аналога экспертных оценок в методе анализа иерархий, оценивается риск утечки полномочий. Предположения следующие: 1. Чем больше полномочий содержит роль, тем выше вероятность атаки на нее. 2. Чем чаще встречается полномочие, тем выше вероятность его утечки. 3. Чем выше роль в иерархии, тем выше вероятность атаки на нее.

Считая вероятности утечки полномочий (1), . . . , () уже определенными по предложенному алгоритму [ 4 ], приступим к построению оценки ущерба. 2 Задача нахождения относительного ущерба от утечки полномочий Будем решать следующую задачу. Пусть задана иерархия ролей системы, для каждой роли задан набор приписанных ей полномочий. Требуется рассчитать сравнительный ущерб от успешной атаки на каждую из ролей с учетом расположения ролей и приписанных им полномочий в иерархии. При этом ущерб от утечки полномочий может быть не задан даже в относительной форме.

При расчете ущерба будем использовать следующие эвристики: 1. Чем реже встречается привилегия в иерархии ролей, тем выше ущерб от ее утечки. 2. Чем реже встречается привилегия среди листовых ролей (которые назначаются конечным пользователям), тем выше ущерб от ее утечки, причем зависимость носит экспоненциальный характер.

Данные предположения основываются на том, что наиболее «ценные» полномочия, утечка которых может привести к серьезному ущербу для системы (организации), приписываются относительно небольшому количеству ролей, которые назначаются наиболее ответственным пользователям: администраторам, членам руководства или службы безопасности организации. Разумеется, не всегда такие допущения хорошо коррелируют с реальным положением дел, но в случае отсутствия какой-либо дополнительной информации следует признать их разумными.

Для расчета сравнительного ущерба будем использовать метод анализа иерархий, где на уровне критериев (в терминах теории принятия решений) находятся привилегии, а на уровне альтернатив – роли (см. рис. 1). Нашей задачей будет упорядочить роли по уменьшению среднего ущерба, возникающего при похищении ролей.

Фокус проблемы Уровень критериев Уровень альтернатив

p1 D1(p1) r1

P(p1)

… D1(pk) Выбор роли P(pk) pk … D1(pm)

Dn(p1)

P(pm) … Dn(pk) rn

pm

Dn(pm) Рис. 1: Дерево решения метода анализа иерархий Первая эвристика будет использоваться при составлении матриц парных сравнений для альтернатив, вторая – для вычисления определенных элементов этих матриц только в том случае, если ущерб от утечки полномочий не задан даже в относительной форме. Такой подход позволяет заполнить матрицы парных сравнений и решить задачу принятия решения без привлечения экспертов, что избавит полученное решение от влияния субъективных факторов.

С другой стороны, для учета индивидуальных характеристик системы с ролевым разграничением доступа сохраняется возможность высчитывать коэффициенты относительного ущерба для матриц парных сравнений не автоматически, а задавать их самостоятельно, или с привлечением экспертов. В этом случае вторая эвристика не применяется.

Относительные весовые коэффициенты () ( = 1, . . . , ) уровня критериев будем вычислять по предложенному в [ 4 ] алгоритму оценки рисков утечки полномочий.

Для расчета относительных весовых коэффициентов () ( = 1, . . . , , = 1, . . . , ) уровня альтернатив используем метод парных сравнений. Матрицы парных сравнений альтернатив по -му из критериев (строки и столбцы соответствуют ролям системы) получим следующим образом: через обозначим отношение ущерба от утечки привилегии к стоимости ее обслуживания в условиях безопасности. Элементы матрицы вычисляем по следующему правилу: = ⎪⎨⎧1,, ⎪⎩1, если привилегия приписана к роли , но не приписана к роли , если привилегия приписана к роли , но не приписана к роли , если привилегия приписана к обеим ролям и , либо не приписана ни к одной. (1) Каждая такая матрица обладает свойствами матрицы парных сравнений, в частности, = 1. Более того, обладает идеальной согласованностью: Утверждение 1. Пусть матрица размера × , где – количество ролей в системе, заполнена по правилу 1. Тогда ∀, , ∈ {1 . . . } выполняется соотношение = × .

Для доказательства этого утверждения достаточно проверить 8 случаев отношения привилегии к каждой из ролей , , . Поскольку все случаи проверяются одинаково, ограничимся проверкой одного из них. Пусть относится к ролям и , и не относится к . Тогда = , = 1, = 1 , и действительно, = 1 = × 1 = × .

Поскольку матрица идеально согласована, столбцы нормированной матрицы * получатся одинаковыми. Таким образом, для вычисления весовых коэффициентов каждой альтернативы по -му критерию достаточно выбрать и нормировать один (любой) столбец матрицы . Мы будем использовать первый столбец, ( )1, соответствующий роли 1, находящейся в корне дерева иерархии ролей . Поскольку роли 1 , причем еди1 приписаны все привилегии системы, в таком столбце могут стоять только единицы и ница на -той позиции означает, что привилегия приписана роли , а 1 – что у роли привилегия отсутствует. На самом деле, конечно, удобнее перед нормированием домножить весь столбец ( )1 на , что мы и будем делать. Именно матрица, составленная из величин = 1 × , будет использоваться в алгоритме нахождения относительного ущерба.

Далее завершаем применение метода анализа иерархий, вычисляя сравнительные оценки ущерба для каждой роли по классической формуле МАИ [ 3 ].

В дальнейшем рассчитанные сравнительные оценки могут быть использованы, например, при решении задачи авторизации: какую роль (или набор ролей) следует назначить пользователю, чтобы он получил заданный набор привилегий? В качестве одного из критериев при выборе ролей предлагаем использовать минимизацию ущерба при злоупотреблении пользователем дополнительными полномочиями, которые достались ему вместе с назначенными ролями. 3

Алгоритм расчета относительного ущерба от утечки полномочий Выпишем формально алгоритм расчета сравнительного ущерба от утечки полномочий. Пусть помеченное ориентированное дерево , определяющее иерархию ролей, содержит вершин 1, . . . , и пусть в системе определено полномочий 1, . . . , . Пусть для каждого полномочия рассчитана вероятность (риск) его утечки (). Также для каждого полномочия задан коэффициент отношения ущерба от утечки этого полномочия к обслуживанию полномочия при безопасной работе .

Заметим, что требование древовидности ролевой иерархии необходимо для расчета рисков утечки полномочий () по алгоритму, предложенному в [ 4 ]. Если эти величины получены каким-то иным способом, то ограничение на ролевую иерархию можно ослабить, потребовав лишь ацикличность. Алгоритм по шагам можно записать в следующем виде.

Шаг 0. Если коэффициент не задан, для каждого полномочия назначить равным экспоненте отношения числа листовых ролей, не обладающих полномочием , к числу ролей, обладающих полномочием .

Шаг 1. Каждой вершине ролевого дерева поставить в соответствие величину , равную , если роли приписано полномочие , и единице в противном случае.

Шаг 2. Для каждой роли и полномочия вычислить относительные весовые коэффициенты затрат () по формуле: () = ∑︀ =1 . Шаг 3. Для каждой роли посчитать значение () по формуле метода анализа иерархий: () = ∑︁ ()().

=1 Шаг 4. Теперь можно выбрать роль с наименьшим значением оценки ущерба, либо расположить роли в порядке увеличения этой оценки. Утверждение 2. Трудоемкость алгоритма расчета сравнительного ущерба от утечки полномочий, основанного на методе анализа иерархий, равна O( × ), где – число ролей, – число полномочий в системе. 4 Применение алгоритма расчета относительного ущерба от утечки полномочий Рассмотрим применение предложенного алгоритма на примере иерархии ролей 1, представленной на рис. 2. Пусть используется нестрогий таксономический подход к распределению полномочий, и полномочия Рис. 2: Ролевое дерево 1 листовых ролей имеют следующие значения: 6. = {1, 2, 3}, 7. = {2, 4}, 8. = {3, 4, 5}, 9. = {3, 5}, 10. = {2, 4}, 11. = {2, 5}, 12. = {1, 4, 5}, 13. = {3, 5}, 14. = {1, 2, 5}, 15. = {5}. Для остальных ролей получаем полномочия из условия наследования: 2. = {1, 2, 3, 4}, 3. = {2, 3, 4, 5}, 4. = {1, 2, 4, 5}, 5. = {1, 2, 3, 5}, 1. = {1, 2, 3, 4, 5}.

Применяя алгоритм расчета рисков утечки полномочий [ 4 ], находим комбинированные весовые коэффициенты (): (1) ≈ 0, 14, (2) ≈ 0, 23, (3) ≈ 0, 16, (4) ≈ 0, 17, (5) ≈ 0, 30.

Считая коэффициенты не заданными, рассчитаем их как экспоненту отношения числа листовых ролей, не обладающих полномочием , к числу ролей, обладающих полномочием : 7 5 6 6 3 1 = 3 , 2 = 5 , 3 = 4 , 4 = 4 , 5 = 7 . Весовые коэффициенты занесем в матрицу W, в которой будет индексировать столбец, а – строку. (2) = ∑︁ ()2() ≈ 0, 14 × 0, 129 + 0, 23 × 0, 084 + 0, 16 × 0, 105 + 0, 17 × 0, 105 + 0, 3 × 0, 048 ≈ 0, 086, =1 (3) = ∑︁ ()3() ≈ 0, 14 × 0, 012 + 0, 23 × 0, 084 + 0, 16 × 0, 105 + 0, 17 × 0, 105 + 0, 3 × 0, 073 ≈ 0, 078, =1 (4) = ∑︁ ()4() ≈ 0, 14 × 0, 129 + 0, 23 × 0, 084 + 0, 16 × 0, 023 + 0, 17 × 0, 105 + 0, 3 × 0, 073 ≈ 0, 081, =1 (5) = ∑︁ ()5() ≈ 0, 14 × 0, 129 + 0, 23 × 0, 084 + 0, 16 × 0, 105 + 0, 17 × 0, 023 + 0, 3 × 0, 073 ≈ 0, 080, =1 (6) = ∑︁ ()6() ≈ 0, 14 × 0, 129 + 0, 23 × 0, 084 + 0, 16 × 0, 105 + 0, 17 × 0, 023 + 0, 3 × 0, 048 ≈ 0, 072, =1 (7) = ∑︁ ()7() ≈ 0, 14 × 0, 012 + 0, 23 × 0, 084 + 0, 16 × 0, 023 + 0, 17 × 0, 105 + 0, 3 × 0, 048 ≈ 0, 057, =1 (8) = ∑︁ ()8() ≈ 0, 14 × 0, 012 + 0, 23 × 0, 031 + 0, 16 × 0, 105 + 0, 17 × 0, 105 + 0, 3 × 0, 073 ≈ 0, 066, =1 Прокомментируем полученные результаты.

Во-первых, довольно ожидаемо, что чем больше полномочий приписано роли, тем больше ущерб в результате успешной атаки на нее. Это, однако, не всегда верно. Можно построить пример, в котором роль, которой приписано единственное «ценное» (редкое) полномочие, получит большую оценку, чем роль, которой приписано несколько распространенных полномочий, ущерб от утечки которых невелик.

Во-вторых, если сравнивать роли с одинаковым числом полномочий, то чем больше полномочий, утечка которых приводит к большому ущербу, приписано роли, тем выше оценка ущерба этой роли. В условиях, когда коэффициенты относительного ущерба определяются эвристически согласно предложенному правилу, данный факт можно интерпретировать следующим образом: чем больше приписано роли редко встречающихся полномочий, тем выше ее оценка ущерба. Так, например, в нашем примере среди всех ролей, которым приписано по три полномочия, наивысшую оценку получила роль 6, которой не приписано самое распространенное полномочие 5, зато приписано редкое полномочие 1. Разница в оценках, однако, не велика, так как все полномочия представлены в графе ролей достаточно широко, к тому же 6 содержит второе по популярности полномочие 2.

По той же причине среди всех ролей, которым приписаны по два полномочия, по оценке лидируют 7 и 10.

В третьих, оценка относительного ущерба тем выше, чем выше вероятность утечки полномочия, приписанного роли. Это, однако, второстепенный фактор, поскольку высокая вероятность похищения определенного полномочия сама по себе еще не означает, что атака будет предпринята по отношению к конкретной роли, которой приписано данное полномочие. Но даже по нашему примеру можно заметить, что в лидерах по оценке относительного ущерба находятся роли с полномочием 2. Как и 5, это полномочие имеет высокую оценку риска утечки, но значительно реже встречается в листовых ролях (что повышает его «ценность» с точки зрения предложенных эвристик).

По результатам, полученным на выходе алгоритма, рекомендуется уделить повышенное внимание (в частности, в сфере повышения уровня защиты) тем (листовым) ролям, которые получили наиболее высокие оценки относительного ущерба. В первую очередь, это роли 6 и 12. При решении задачи авторизации [ 5 ] следует избегать назначения на эти роли пользователей при наличии альтернатив с меньшей оценкой. Список литературы [1] D.F. Ferraiolo, D.R. Kuhn. Role-Based Access Control. 15th National Computer Security Conference , 554– 563, October 1992. [2] D.N. Kolegov. Hierarchical Role-Based Access Control Development. Prikladnaja diskretnaja matematika , 3(17):70–76, 2012 (In Russian).

On the Estimation of the Damage from the Leakage of Permissions in a Role-Based Security Model

Sergey V. Usov, Nadezda F. Bogachenko

In this paper, we propose an algorithm for estimating the relative damage from leakage of permissions within the role-based access model with a hierarchy introduced on a set of roles. The relative damage is calculated using the analytic hierarchy process (AHP). A version of the relative damage estimation algorithm, which does not require involving of AHP’s expert estimations, is provided.