En la Figura 13 se describe el nivel arquitectónico de un Método Survivable Network Design - SND-. A diferencia de tratar la capacidad de supervivencia como un agregado a posteriori en el diseño y la arquitectura del sistema, este método integra las consideraciones de supervivencia dentro del proceso de desarrollo. El mismo se basa en el proceso Survivable Systems Analysis [Ellison 98b, Ellison 99a, Mead 00a] desarrollado y aplicado por el CERT/CC.
El Método SND se guía en varios de los tipos de requerimientos-especificaciones descriptos en la Figura 2, específicamente:
• Requerimientos de sistema y de supervivencia. Los requerimientos del sistema defi- nen todos los comportamientos funcionales, más las propiedades no-funcionales que un sistema debe satisfacer. Los requerimientos de supervivencia identifican aquellos ele- mentos del comportamiento funcional que representan servicios esenciales, y elaboran estos servicios en términos de los escenarios de uso de servicios esenciales.
• Requerimientos de utilización/intrusión. Estos requerimientos definen todas las po- sibles utilizaciones del sistema bajo circunstancias normales y adversas. Los intrusos son tratados con otra clase de usuarios, y se definen escenarios de uso de intrusión re- presentativos.
• Requerimientos de operación y de administración con supervivencia. Estos reque- rimientos identifican los procedimiento y políticas que deben ser elaborados; por ejem-
plo, políticas de seguridad.
Figura 13. Nivel Arquitectónico de un Método SND
La aplicación arquitectónica de Método SND está embebida dentro de una actividad más amplia de definición y balance arquitectónico que pretende crear una arquitectura del sistema que satisfa- ga todas las propiedades requeridas, tales como desempeño, aptitud, escalabilidad, costo y mante- nibilidad. En la Figura 13, el foco está puesto en el Método SND en la idea de que, en la práctica, este proceso específico de la supervivencia será realizado en paralelo con otras formas de análisis y diseño como, por ejemplo, la simulación a fin de predecir propiedades de desempeño.
La arquitectura del Método SND está compuesta por tres pasos, los que se describen a conti-
Definición de la misión
Requerimientos y especificaciones de Sistema y Supervivencia (incluidos los escenarios de servicios esenciales)
Requerimientos y especificaciones de Utilización/Intrusión (incluidos los escenarios de intrusión representativos) Requerimientos y especificaciones de Operación (Inicialmente, a partir de la Fase de Requerimientos)
Paso 1: Definición de la Arquitectura: Componentes y conexiones Función y estado del componente Asignación de software
Paso 2: Análisis de la Arquitectura:
Trazas de la arquitectura de escenarios de servicios esenciales
Trazas de la arquitectura de escenarios de intrusión
Análisis de componentes destacados (esen- ciales y objeto de compromiso)
Paso 3: Análisis de la Supervivencia:
Estrategias de resistencia, reconocimiento y recuperación
Generación del Mapa de Supervivencia (Definición de la Arquitec-
tura global y Balance con el contexto) Modificaciones en la Arquitectura Modificaciones en los Requerimientos de Utilización del Sistema y Operación Modificaciones en los Requerimientos
nuación:
Paso 1. Definición de la Arquitectura
De acuerdo a la misión y a los requerimientos del sistema se propone una arquitectura. Para ello se seleccionan los estilos y patrones arquitectónicos, y se definen los componentes y conectores. Los componentes se pueden describir en términos de la funcionalidad a ser provista y de los datos de estado a ser conservados. Generalmente, se identifican los elementos específicos de software, incluidos los protocolos, sistemas operativos, ambientes de ejecución, y aplicaciones.
Paso 2. Análisis de la Arquitectura
Se investigan las propiedades de supervivencia de la arquitectura candidata en términos de (1) servicios esenciales (servicios que deben ser mantenidos durante el ataque); (2) activos esenciales (activos cuya integridad, confidencialidad, disponibilidad, y otras propiedades deben ser manteni- dos durante el ataque); y (3) objetivos de la misión y las repercusiones de la falla. En primer lugar, se caracterizan los usos del servicio y los activos esenciales mediante escenarios de utilización, los que se identifican dentro de la arquitectura como trazas de ejecución para identificar el conjunto de componentes esenciales asociados (componentes que deben ser capaces de entregar los servi- cios esenciales y de mantener los activos esenciales). Luego, se seleccionan escenarios de intru- sión representativos en base al ambiente del sistema y a la evaluación de riesgos y aptitudes del intruso. Las selecciones también están influenciadas por la vasta base de conocimiento de estrate- gias de intrusión que posee el CERT. Estos escenarios son de igual manera trazados sobre la ar- quitectura como trazas de ejecución para identificar los conjuntos de componentes objeto de com- promiso (componentes que podrían se penetrados y dañados por la intrusión). En este trazado, el método SND toma en cuenta fortalezas y debilidades de los componentes COTS, como así tam- bién cualquier defecto de confiabilidad y de seguridad conocidos. Finalmente, se identifican los componentes destacados de la arquitectura, como aquellos componentes que son tanto esenciales como pasibles de ser comprometidos, en base a los resultados previos.
Paso 3. Análisis de la Supervivencia
Luego se analizan los componentes destacados y sus arquitecturas de soporte en lo que hace a sus propiedades claves para la supervivencia: resistencia, reconocimientos y recuperación. En este punto, se evalúan las estrategias de supervivencia y los patrones arquitectónicos en pos de usos potenciales en el mejoramiento de la supervivencia de la arquitectura candidata. Este análi- sis de las “tres Rs” se resume en un Mapa de Supervivencia. Este mapa es una matriz que enu- mera, para cada escenario de intrusión y sus correspondientes efectos sobre componentes desta- cados asociados, las estrategias arquitectónicas actuales y recomendadas en lo que hace a resis- tencia, reconocimientos y recuperación. El Mapa de Supervivencia proporciona una retro-
alimentación sobre la arquitectura original y, a menudo, da por resultado un proceso interacti- vo de análisis costo/beneficio y mejoramiento de la supervivencia. El mismo también puede proveer retro-alimentación respecto de los requerimientos del sistema, como una nueva com- prensión y mejores ideas emergentes del análisis.
La solución basada en escenarios del Método SND es una generalización de los métodos opera- tion-sequence [Kemmerer 91] y métodos de escenarios de utilización [Carrol 99, Prowel 99].