SECCION 4: EL MODELO TRUSTWORTHY REFINEMENT THROUGH
4.4 DESARROLLO DE LA ESTRATEGIA DE SUPERVIVENCIA
4.4.2 Análisis de Dinámicas de Amenaza
4.4.2.2 Dinámica de Amenaza para la Supervivencia
Se han publicado muy pocos trabajos en los que se apliquen las dinámicas de sistema al estudio de la efectividad de la tecnología de la información. Uno de los pocos trabajos que se encuen- tran disponibles describe un abordaje que utiliza las dinámicas de sistema para el estudiar el impacto que introduce un sistema de información de administración sobre la misión de la orga- nización [Wolstenholme 93]. El autor desarrolla dos casos de estudio para evaluar el impacto operacional de un sistema de logística militar sobre un sistema de control y comando táctico en el campo de batalla. Argumenta que el abordaje “tiene mucho que ofrecer en las fases de diseño de Sistema de Información de Administración, y la difusa (y a menudo interactiva) frontera entre el diseño y valoración. La aptitud de la técnica de incorporar datos subjetivos en estas fases resulta particularmente ventajoso”. Este trabajo está relacionado con esfuerzo del equipo de desarrollo del TRIAD, proveyendo algunas evidencias de su valor general y practicabilidad. Sin embargo, se desconoce la existencia de algún trabajo que utilice dinámicas de sistema para estudiar explícitamente el ambiente de amenaza o su impacto sobre las operaciones del sistema. No obstante, se puede afirmar que las dinámicas de sistema proveen el basamento para el desa- rrollo de métodos y herramientas que ayuden a los ingenieros a comprender, caracterizar, y
comunicar el impacto de un ambiente de amenazas maliciosas sobre las operaciones organiza- cionales y del sistema y de sus respectivas misiones. Los sistemas de información interconecta- dos a gran escala están sujetos a volatilidad, no-linealidad, incertidumbre y retardos de tiempo que se agregan a su complejidad dinámica, y en los que se vuelve muy difícil dar por hecho su seguridad o supervivencia.
• Volatilidad. El desarrollo cada vez más rápido de herramientas de ataque y la coordina- ción de la comunidad de atacantes auspicia un ambiente de amenaza muy volátil para los sistemas de información de negocios y militares [CERT 02]. Dar por hecho la segu- ridad y la supervivencia de tales sistemas demanda de técnicas que se puedan aplicar como parte de un diseño evolutivo y de un ciclo de vida de mantenimiento.
• No-linealidad. La misión de la organización puede volverse drásticamente más vulnera- ble sólo debido a pequeños incrementos en la capacidad del atacante o de pequeños cambios en las políticas, controles o arquitectura del sistema. Esta no-linealidad hace que el mantenimiento de la seguridad y de la supervivencia aún de sistemas distribuidos relativamente simples resulte muy dificultoso debido a la volatilidad del ambiente de amenaza y a la naturaleza de la defensa activa de red.
• Incertidumbre. Si bien cada vez resulta más fácil contar con datos exactos referidos a accidentes y vulnerabilidades, todavía existen importantes brechas en nuestra compren- sión del comportamiento del intruso, lo que crea un no despreciable grado de incerti- dumbre. El análisis de dinámicas de amenaza saca provecho de la disponibilidad de ta- les datos cuando éstos existen, pero no depende de ellos a los fines de proporcionar per- cepciones útiles en el impacto del ambiente de amenaza sobre las operaciones del siste- ma. El análisis de las dinámicas de amenaza, y su fundamento en las dinámicas de sis- tema, se puede realizar de una manera cualitativa, cuantitativa o combinada [Coyle 00]. • Tiempo de retardo. A menudo los principales retardos se producen entre el momento en
que el atacante inicia una actividad maliciosa y el momento en que comprendemos el al- cance completo de esa actividad. Tales retardos tornan muy dificultosa la implementación de contramedidas estratégicas y la valoración de su efectividad, especialmente cuando se hace necesaria la re-configuración en tiempo real a los fines de frustrar al adversario. En tanto que las dinámicas de sistema son ampliamente aplicables, resultan más ventajosas en aquellos sistemas que utilizan información derivada para ejercer control de retroalimentación sobre sus recursos. Tal control de retroalimentación es una técnica crítica para la construcción de sistemas de información con capacidad de supervivencia. El método de la defensa activa monitorea la actividad de ataques y responde a través de una variedad de técnicas de recupera- ción y adaptación para asegurar el éxito de la misión. En consecuencia,los sistemas con capa-
cidad supervivencia controlan sus recursos de información basándose, en parte, en la retroali- mentación tomada de la actividad ataque-monitoreo. Las dinámicas de sistema ayudan a repre- sentar y analizar tal control de retroalimentación, pero generalmente no asumen la presencia de agentes hostiles.
La Figura 26 ilustra algunos conceptos de dinámicas de sistema descriptos en el contexto de las amenazas a los sistemas basados en Internet. La figura describe un ciclo de retroalimentación como un aspecto del comportamiento para controlar la vulnerabilidad de los sistemas basados en Internet [Arbaugh 00]. Comenzando en el elemento “Efectividad en la explotación de la vul- nerabilidad” en el extremo inferior izquierdo de la figura, vemos que la efectividad influencia de manera positiva la tasa de publicaciones referidas a la vulnerabilidad, en el sentido que un in- cremento de la efectividad conduce a un incremento en la publicación (tal vez debido al incre-
Figura 26. Un ciclo de retro-alimentación para el control de vulnerabilidad.
mento de la publicación conlleva un creciente incentivo en enmendar errores y dejar disponibles los parches relevantes. Estos conducen a la aplicación de parches en los sistemas, lo cual a su vez reduce la efectividad en la explotación de la vulnerabilidad. La demora en la aplicación del parche, indicada con la “D” a lo largo de la flecha del lado derecho de la figura, es una tendencia que ha sido descripta como la principal razón de la fuerte actividad de ataques basados en Internet, y de la vulnerabilidad general de la Internet. No obstante, el ciclo de retroalimentación general descripto es un equilibrio (indicado por el símbolo negativo del ciclo en el centro), en el que la aplicación del parche generalmente ayuda a controlar la vulnerabilidad general de Internet.
Los diagramas de influencia se pueden componer, como se ilustra en la Figura 27. El lado dere- cho de la figura muestra el diagrama de influencia anterior. El lado izquierdo muestra el ciclo de retroalimentación que describe el efecto de la tasa de publicación de vulnerabilidad respecto de la publicación de las herramientas de explotación y, finalmente, respecto de la explotación de la vulnerabilidad por parte del atacante. Este es un ejemplo de un ciclo de retroalimentación auto- reforzante, como lo indica el símbolo positivo del ciclo del centro. Esta figura ilustra un debate
Efectividad en la Explotación de la Vulnerabilidad Tasa de Publica- ción de la Vulne- rabilidad
Incentivo del Fa- bricante en Des- arrollar el Parche
Tasa de Libera- ción del Parche
Tasa de Sistemas Vulnerables con el Parche aplicado + + + + - D -
Las tendencias muestran mayores retardos; la principal razón por la
en curso dentro de la comunidad de Internet referido a si publicar datos de vulnerabilidad o en- torpecer la seguridad general de la Internet. Análisis recientes indican que los retardos en la aplicación de parches son la principal causa de la vulnerabilidad en Internet, mientras que la publicación de datos de vulnerabilidad es una fuerza de incidencia secundaria [Arbaugh 00]. El diagrama, por supuesto, no ayuda a resolver el debate, dado que es de naturaleza estrictamen- te cualitativo.
Figura 27. Los efectos de la publicación de vulnerabilidades sobre la vulnerabilidad en la Internet.