Содержание к диссертации
Введение
Глава 1 Анализ уязвимостей в современных программных системах и способов борьбы с ними 21
1.1 Статистика инцидентов безопасности в компьютерных сетях 21
1.2 Основные подходы к построению эффективной защиты 25
1.3 Поиск уязвимостей в программных системах 28
1.4 Управление безопасностью 31
1.5 Анализ существующих методов управления защиты информации 33
1.6 Выводы по главе 36
Глава 2 Постановка и обоснование метода решения задачи оценки уязвимостей в программном обеспечении организации 37
2.1 Постановка задачи 37
2.2 Обоснование подхода к решению поставленной задачи . 37
2.3 Определение предпочтительности рассматриваемых решений 47
2.3.1 Градации качества решений в методике прогнозирования последствий инцидентов в локальных сетях связи по данным об их уязвимостях 49
2.3.2 Типовые задачи принятия.решений 50
2.4 Выводы по главе 51
ГЛАВА 3 Разработка метода оценки уязвимости в программном обеспечении организации и выявление наиболее опасных из них . 53
3.1 Обоснование выбора БД, используемой при прогнозировании нарушений безопасности 53
3.1.1 Система СУ88 55
3.1.2 Метрические группы 56
3.2 Построение игры в ситуации противоборства сторон за информационный ресурс 66
3.3 Пример прогнозирования нарушений в информационной системе 68
3.4 Выводы по главе 75
Глава 4 Экспериментальная часть 77
4.1. Практическое применение разработанной модели 77
4.1.1 Импорт данных из БД NVD 78
4.1.2 Построение выборки атаки и защиты 81
4.1.3 Построение платежной матрицы 85
4.1.4 Принципы оценки эффективности разработанной методики 89
4.2 Результаты внедрения
4.2.1 Краткие сведения об объекте внедрения
4.2.2 Краткое описание внедрения
4.2.3 Выводы по результатам внедрения 92
4.3 Выводы по главе 93
Заключение 94
Библиографический список 95
Приложение А 104
Приложение Б 110
Приложение В 118
- Основные подходы к построению эффективной защиты
- Обоснование подхода к решению поставленной задачи
- Пример прогнозирования нарушений в информационной системе
- Принципы оценки эффективности разработанной методики
Введение к работе
1 Актуальность темы
Сегодня невозможно представить себе ни одну сферу человеческой деятельности без средств вычислительной техники и телекоммуникаций. Информационные технологии предлагают все новые и новые сервисы. Через Интернет становятся доступными электронные платежные системы, персональные финансовые порталы, электронные биржи и т. д. В связи с бурным развитием новых информационных технологий происходит усложнение задач обеспечения информационной безопасности (ИБ) [11, 42].
В работах отечественных исследователей проблематики ИБ А. А. Грушо, В. А. Герасименко, А. А. Кононова, А. А. Малюка, Д. С. Черешкина отмечается необходимость и актуальность системного подхода к решению задач защиты информации, обеспечивающего обоснованность, целостность и последовательность реализуемых мер, их максимальную эффективность. Такой подход позволяет систематизировать нормативно-правовые требования к ИБ и разработать на их основе научные, ориентированные на практическое применение методики, технологии и программы оптимизации деятельности по защите информации.
Так же в настоящее время известен ряд работ в области ИБ, например работы авторов: В. В. Дятчин, П. И. Тутубалин, К. В. Бормотов, А. П. Росенко, А. И. Захаров, Э. А. Л и деки й в которых применяются методы теории игр. В этих работах теория игр используется для выбора варианта размещения конфиденциальной информации; для оценки и прогнозирования достигнутого уровня защиты информации с учетом выбора наиболее целесообразной стратегии поведения игроков и т.д. В-данной диссертации используется новый способ построения платежной матрицы типа смешанной игры атаки и защиты, что позволяет повысить эффективность выявления наиболее опасных уязвимо- стей организации.
Постановка задачи управления ИБ предполагает осведомленность о существующих угрозах сервису и оценку связанных с ними информационных рисков. Оценка рисков является комплексной задачей и включает анализ организационной и программно-технической составляющей ИБ.
В соответствии с положением стандарта ISO/IEC Guide 73:2002, в котором предлагается методология оценки рисков, величина риска определяется тремя основными факторами: степенью уязвимости информационной системы, возможностью реализации угрозы через данную уязвимость, уровнем ущерба, который может быть причинен в случае реализации угрозы.
В данный момент существуют ряд методик анализа рисков, связанных с угрозами ИБ, такие как Ra2 art of Risk, Risk Advisor, Risk Watch, CRAMM, Система «АванГард», Digital Security Office и т. д.
Все перечисленные методики по-разному, но вполне успешно решают поставленную задачу в рамках, которые предусмотрел их разработчик. Они направлены на оценку рисков, связанных с уровнем защиты ИБ организации. Конечная цель данных методов - на основе анализа существующих способов защиты ИБ, предпринятых в организации, дать рекомендации по организации за- "щиты ИБ вплоть до рекомендации обучения соответствующего персонала. Таким образом, они направлены на создание преграды для угроз ИБ. В отличие от них, данная работа связана с непосредственным устранением самих угроз, конкретно, уязвимости в программном обеспечении.
Оба подхода являются необходимыми и совместимыми. В частности, на устранение угроз требуется время, например, когда обнаруживается уязвимость в программном обеспечении, много времени уходит на обновление программы, а некоторые угрозы устранить вообще невозможно. Выход в создании сетевых средств защиты, предупреждающих ущерб.
Проблема обнаружения уязвимости исследуется давно, и за время ее существования предпринимались различные попытки классифицировать уязвимости по различным критериям. Например, американские проекты Protection Analysis Project и RISOS, исследования лаборатории COAST или компании Internet Security Systems и т.д. Каждая организация проводила и обосновывала свою классификацию. Как показал анализ, нет четких определений и в названиях атак на информационный ресурс.
Для устранения неясности с определением уязвимости и наименованием атаки в 1999 году компания MITRE Corporation предложила решение, независимое от различных производителей средств поиска уязвимости. Это решение было реализовано в виде базы данных (БД) CVE (Common Vulnerability Enumeration), которая затем была переименована в Common Vulnerabilities and Exposures. Это позволило всем специалистам и производителям использовать единую классификацию.
На основе CVE разработаны специализированные открытые БД, содержащие информацию об известных уязвимостях в программных системах, степени их опасности, as также возможности проведения атак на эти уязвимости. Тем самым, возникла и стала актуальной задача эффективного использования имеющихся данных.
В данной работе на основе информации о программном обеспечении, установленном в организации, и использовании открытой БД. об уязвимостях была разработана методика оценки рисков, связанных с конкретными уязвимо- стями в программном обеспечении. Результатом применения этой методики является множество наиболее опасных уязвимостей, которые необходимо устранять в первую очередь. Для оценки рисков были использованы методы теории игр. Параметры, определяющие стратегическое поведение партнеров игры, неизбежный риск и степень неопределенности избираются так, что они могут являться элементами множества, на котором строится игра. При этом удается связать эти элементы с задачей управления (устранение угроз). В диссертационной работе рассматривается решение актуальной задачи выбора параметров для построения игры, построение соответствующего множества их значений, оптимизации выбора решения партнерами игры.
2 Объект исследования
Уязвимости в программном обеспечении организации.
Предмет исследования
Эффективные алгоритмы оценки уязвимостей в программном обеспечении организации.
Цель диссертационной работы
Повышение эффективности оценки уязвимостей в программном обеспечении организации на основе смешанных стратегий теории игр с учётом затрат на реализацию атак и системы защиты с использованием базы данных уязвимостей.
Основные задачи диссертационной работы
Для достижения поставленной цели в диссертационной работе решаются следующие задачи:
Разработка алгоритма построения платежной матрицы игры с учетом затрат на реализацию атак и системы защиты.
Разработка модели ситуации противоборства собственника и злоумышленника.
Разработка практической методики оценки уязвимостей в программном обеспечении организации.
Реализация исследовательского прототипа системы оценки уязвимостей в программном обеспечении организации.
Методы исследований
Для решения поставленных задач использовались положения, теории вероятностей, математической статистики, теории игр, теории качественных решений.
Основные положения, выносимые на защиту
Алгоритм построения ПМ игры с учетом затрат на реализацию атак и системы защиты, использующий для учета риска модернизированную для исследуемой задачи систему С VSS.,
Модель ситуации противоборства собственника и злоумышленника.
Практическая методика оценки уязвимостей в программном обеспечении организации на основе смешанных стратегий теории игр.
4. Исследовательский прототип системы оценки уязвимостей в программном обеспечении организации.
Научная новизна
Научная новизна работы заключается в следующем:
Разработан алгоритм построения платежной матрицы игры, в отличие от известных подходов, учитывающий затраты на реализацию атак и системы защиты и использующий модернизированный для исследуемой задачи метод учета риска СУЭЗ. При этом, понятие риска определено как сочетание вероятности опасного события — успешной атаки, и ее последствий - уровня ущерба.
Разработана модель ситуации противоборства собственника и злоумышленника, основанная на использовании смешанных стратегий теории игр, в отличие от существующих, позволяющая определить основные этапы оценки уязвимостей в программном обеспечении организации.
Разработана практическая методика оценки уязвимостей в программном обеспечении, основанная на использовании инвентаризации программного обеспечения^ организации, позволяющая определить имеющиеся уязвимости и выявить наиболее опасные из них.
Практическая значимость
Практическая ценность результатов, полученных в диссертации, заключается в разработке: —методики оценки уязвимостей в программном обеспечении организации, обеспечивающая выявление наиболее опасных угроз в программном обеспечении организации. — программного обеспечения, выполняющего определение уязвимостей в заданной программном обеспечении организации, выявление наиболее опасных из них и формирование практических рекомендаций по улучшению защищенности информационных систем.
Личный вклад" автора состоит в выполнении исследований по всем поставленным задачам, в том числе: моделирование ситуации противоборства на основе теории игр со смешанными стратегиями с учетом затрат, определение выражения для элемента платежной матрицы; разработка практической методики оценки уязвимостей в программном обеспечении в компьютерных сетях; разработка алгоритма и программного продукта для поиска наиболее опасных атак; составление рекомендаций участникам игры.
Краткий обзор глав
Диссертация состоит из введения, четырех глав, заключения, трех приложений и списка литературы.
Первая глава посвящена анализу недостатков существующих методов управления информационной безопасностью, в программных системах. В данной главе приведена^ современная статистика, свидетельствующая о значительном неблагополучии в сфере обеспечения информационной безопасности в современных программных системах. В ходе изучения было выяснено, что для построения эффективной, защиты необходим анализ рисков, информационной системы (в том числе анализ возможного ущерба), который является основой при выборе технических подсистем на основании экономического обоснования.
Рассмотрен цикл работ для построения системы информационной безопасности, включающий обязательный этап диагностического обследования с оценкой уязвимостей информационной системы, на основе чего производится, проектирование системы и ее внедрение. Показано, что в результате'ошибок проектирования, реализации и эксплуатации в.программных системах возникают уязвимости, то1 есть »свойства системы, использование которых злоумышленником может привести к ущемлению интересов владельца этой системы. Причем, многие уязвимости обнаруживаются производителем на этапе разработки, тестирования и сопровождения продуктов, однако, часть их обнаруживается также независимыми исследователями. Рассмотрены наиболее распространенные инструменты поиска уязвимостей в информационных системах и сервисах. Показано, что целенаправленное применение таких традиционных средств управления безопасностью, как антивирусное программное обеспечение, межсетевые экраны, средства.криптографии и др., в значительной» мере, предотвращает несанкционированный доступ к информации. Однако, степень их защиты зависит в значительной степени от своевременной-установки программных обновлений, выпускаемых разработчиками. В таком случае большую роль играет человеческий фактор. Человек, конечный пользователь, оказывается самым слабым звеном системы информационной безопасности, и злоумышленники, зная это, умело применяют методы социальной инженерии. Сложившаяся ситуация позволила говорить о том, что* на сегодняшний день общепринятый подход к управлению обновлениями; как средству превентивной защиты от атак на программные системы, является несовершенным. Отмечено, что для управления безопасностью помимо« учета степени опасности уязвимости, возможности успешного проникновения угрозы в информационную среду и ряда других моментов,- необходимо учитывать стоимость обеспечения защиты информации. В диссертации- предложен, прогнозный подход для предотвращения- нарушений безопасности в программных системах.
Основные подходы к построению эффективной защиты
В результате ошибок проектирования, реализации и эксплуатации в компьютерных системах возникают уязвимости, то есть свойства системы, использование которых злоумышленником может привести к ущемлению интересов владельца этой системы [87]. Многие уязвимости обнаруживаются производителем на этапе разработки, тестирования и сопровождения продуктов, однако, часть их обнаруживается независимыми исследователями [33, 52, 53].
Современные способы поиска уязвимостей в программных системах сводятся к использованию сигнатурных методов [39]. Здесь и далее речь пойдет о поиске опасных уязвимостей среди известных уязвимостей, поскольку обнаружение новых уязвимостей является самостоятельной задачей и не рассматривается в рамках настоящей работы. Наиболее распространенными инструментами поиска уязвимостей в информационных системах и сервисах являются сканеры безопасности [8]. Сканеры могут быть как средством обеспечения безопасности, так и средством нападения. Данные об обнаруженных уязвимостях, предоставляемые сетевым сканером безопасности, могут быть одинаково полезны и администратору безопасности, контролирующему состояние защищённости узлов сети, и нарушителю, осуществляющему поиск наименее защищенных сетевых служб. Достоинства и недостатки сканеров безопасности подробно рассмотрены в [100, 60].
Необходимо отметить, что, являясь средством активного аудита, сканер безопасности не предназначен для анализа защищенности ПО с клиентской
стороны [19]. Для-выявления уязвимостей в,клиентском. ПО потребовалось бы искусственное воспроизведение ситуации, позволяющей вызвать ошибку и зафиксировать факт использования уязвимости [57, 34]. Подобные схемыдоволь- но сложны в реализации, а на критически важных информационных системах, как правило, неприменимы [76]. Эффективным решением считается, подход, основанный на пробах версий ПО, в отношении которого известно о наличии в нем уязвимостей. Данный подход реализован в таких распространенных средствах анализа как MB SA, OVAL и ряде других систем. Недостатком этих систем является ограниченная область применения. В случае с MBSA база знаний ограничивается лишь некоторыми программными продуктами компании Microsoft [4].
На сегодняшний день статистика обнаружения новых уязвимостей в программных системах свидетельствует о том, что опасные уязвимости часто обнаруживаются в приложениях, которые, не могут быть обследованы средствами автоматизированного аудита [95].
Рассмотрим некоторые из .таких примеров: 1. Уязвимость в MS Word (код уязвимости CVE-2006-4534). Ошибка обработки пограничного условия приводит к возможности переполнения буфера на целевой системе при открытии специально подготовленного Word файла. Уязвимыми являются все версии MS Word, начиная с 2000 . В? настоящее время данная уязвимость широко эксплуатируется злоумышленниками. В- сети Интернет свободно доступны примеры, позволяющие провести успешную атаку, путем доставки в теле документа MS Word "полезной" нагрузки с последующим ее выполнением на целевой системе. Наиболее часто такой нагрузкой выступает вирусный код. 2. Уязвимость в Adobe Flash Player (код уязвимости CVE-2006-3014). Ошибка в структуре объекта Shockwave Flash Player ActiveX Object приводит к запуску специально подготовленного кода, при его открытии специально подготовленным Excel файлом. Уязвимые версии Adobe Flash Player поставляются в составе операционной системе Windows ХР всех версий. Данная уязвимость таюке эксплуатируется г злоумышленниками. В сети?.Интернет свободно доступны примеры, позволяющие: провести успешную атаку, путем: доставки, в теле : документа MS-Excel: "полезной" нагрузки с последующим ее выполнением на целевой системе. 3. Уязвимость в антивирусе Dr.Web (код уязвимости CVE-2006-4438) Ошибка при.обработке антивирусом, специально подготовленного LHA архива приводит к выполнению полезной нагрузки« содержащейся-внутри архива..Уязвимым является Scanner for Linux v4.33, используемый для. защиты почтовых серверов под,управлением Linux. Перечисленные уязвимости не могут быть обнаружены с помощью существующих автоматизированных средств; аудита: При этом степень опасности уязвимостей;, присвоенная исследователями ,оценивается как критическая», поскольку они1 могут быть,использованы как средс тво скрытой доставки на целевой компьютер специально подготовленного вирусного кода... Информация о рассмотренных уязвимостях была опубликована осенью 2006 года. В связи с ростом числа уязвимых приложений просматривается глобальная тенденция к увеличению числа атак на клиентское ПО. Серьезная проблема в том, что уязвимые места в ПО в основном, остаются неклассифицированными и неопределенными.. Учитывая даннышфакт,. важно обеспечить своевременное обнаружение таких уязвимостейг в современных программных,системах [6, 18,74,78].
Существует несколько научных трудов по этой тематике, но они поверхностны, и уже достаточно: устарели;. За несколько последних лет, многие программные атаки; были выявлены: и исследованы, а результаты; этих исследований были опубликованы. Основными источниками; информации: по уязвимо- стям можно считать БД уязвимых мест. За счет использования таких специализированных БД, содержащих сведения; об известных уязвимостях в широком перечне: программных систем можно усовершенствовать ПО- своевременного обнаружения:уязвимостей в современных программных системах. Целенаправленное применение таких традиционных средств управления безопасностью, как антивирусное ПО, межсетевые экраны, средства крипто. графии и так далее, способствует предотвращению несанкционированного доступа к информации. Степень их защиты зависит в значительной степени от своевременной установки программных обновлений, выпускаемых разработчиками [14, 70, 71]. Однако, в данном случае на сцену выходит человеческий фактор. Человек, конечный пользователь, оказывается самым слабым звеном системы ИБ, и хакеры, зная это, умело применяют методы социальной инженерии [36,45, 85].
Сетевые атаки столь же разнообразны, сколь разнообразны системы, против которых они направлены. Поэтому в современных гетерогенных сетях крайне сложно добиться результата, чтобы в каждый момент времени все известные критические уязвимости были устранены [65, 68]. Одной из причин является сложность выявления уязвимостей в ПО с помощью существующих автоматизированных средств аудита [1, 13]. Другой причиной является сложность эффективного управления обновлениями. Большинство выпускаемых обновлений предназначены для устранения известных проблем безопасности программной системы. Установка таких обновлений является непростой задачей, требует предварительной оценки информационных рисков разработки плана установки, проведения предварительного тестирования обновлений и т.д. Определение приоритетов устанавливаемых обновлений, в, свою очередь, должно опираться на такие показатели как степень опасности уязвимости, простота эксплуатации уязвимости злоумышленником, распространенность уязвимого ПО и т.д. Кроме того, должна приниматься во внимание особенность построения инфраструктуры, что также влияет на вероятность реализации атаки на конкретную уязвимость [15, 77, 79].
Обоснование подхода к решению поставленной задачи
Данные метрики позволяют аналитикам , найти оценку CVSS в зависимости от важности IT — имущества, подверженного уязвимости для пользовательских организаций и измеряемой в показателях конфиденциальности, целостности или доступности. То есть, если IT - имущества поддерживают функции бизнеса, для которых доступность является наиболее важной, аналитики могут назначить наибольшее значение доступности, относительно конфиденциальности или целостности. Каждое требование безопасности имеет три возможные значения: «низкий», «средний», «высокий».
Полное влияние на оценку окружения определяется, соответствующей базовой метрикой влияния. То есть, данные метрики преобразуют оценку окружения, изменяя вес базовой метрики влияния-: на конфиденциальность, целостность и доступность. Например, метрика влияния на конфиденциальность увеличивает свой вес, если требование конфиденциальности имеет значение «High». Подобным образом, метрика влияния на конфиденциальность уменьшает свой вес, если требование конфиденциальности имеет значение «Low». Вес метрик влияния конфиденциальности является нейтральным, если требование конфиденциальности среднее. Похожая логика применяется для требований целостности и доступности.
Отметим, что требование конфиденциальности не будет влиять на оценку окружения, если (базовая метрика) влияния на конфиденциальность установлено в значении 0. Также увеличение требования конфиденциальности от среднего к высокому не изменит оценку окружения, когда основные метрики влияния установлены в значение "complt", потому что влияние подоценки (часть основной оценки, которая учитывает влияние) уже имеет максимальное значение 10.
Для краткости, похожая таблица применяется для всех трех метрик. Чем выше требование безопасности, тем выше оценка (отметим, что оценка «средне» считается по умолчанию).
Во многих организациях IT ресурсы помечены как критические на основе сетевого положения, функции бизнеса или возможности для потери доходов или жизни. Например, правительство США помещает каждое неквалифицированное IT - имущество в группу активов, называемых Системой, каждая система должна быть помечена тремя оценками возможного влияния, чтобы показать влияния потенциала на организацию, если система подвергается риску согласно трем объектам безопасности: конфиденциальность, целостность и доступность.
Таким образом, каждое неквалифицированное IT - имущество в правительстве США имеет оценку возможного влияния низкий, средний или высокий в соответствии с объектом безопасности конфиденциальности, целостности и доступности. Данная система оценки описана федеральными стандартами обработки информации (Fdral Information Processing Standards - FIPS) 199. CVSS придерживается главной модели FIPS 199, но не требует, чтобы организации пользовались какими — либо определенными системами для назначения оценки влияния - низкий, средний и высокий. Оценка окружения рассчитывается по следующей формуле: Оценка окружения = Adjusted Temporal+(10 - Adjusted Temporal Collateral Damage Potential) Target Distribution (3.6) Adjusted Temporal - временная оценка, повторенная под выражением влияния базовой оценки, востановленная выражением Adjustedlmpact. Выбор мотивации атакующая сторона осуществляет, располагая определенной целью в отношении ресурсов информационной системы. Для конкретности предположим, что необходимо избрать вид атаки, позволяющий осуществить выполнение произвольного кода. При такой мотивации можно выделить группу из т вариантов - уязвимостей в категории «нарушение целостности». При этом не имеет смысла рассматривать уязвимости, которые не угрожают атакуемым системам. Мотивация защиты является иной. Защита заранее не знает цель атаки, поэтому выборка защиты производится из всего множества уязвимостей в БД. Этим определяются п вариантов защиты. Лицами, принимающими решения (ЛИР), являются физические лица - эксперты, которые обладают необходимым опытом в области информационной безопасности и способность независимо отстаивать интересы, свойственные как для защиты, так и для нападения. Определение мотивации есть первый шаг для достижения поставленных целей. Вторым шагом является составление игры. Теоретическое обоснование подхода к применению теории игр приведено в главе 2. Назовем А игрока, участвующего в игре- с целью получить наибольший выигрыш, В — игрока, стремящегося сделать свой проигрыш минимальным. Известно, что игроки имеют в своем распоряжении БД КУБ, содержащую сведения об известных уязвимостях во всех распространенных программных системах. Выбор возможных действий игроков ограничен объемом информации, содержащейся в БД. Это позволяет говорить о конечном множестве вариантов выбора. Выше отмечалось, что нам не требуется довести игру до конца и выбрать, конкретную пару атаки и защиты в качестве единственного решения. Цель игры в определении наиболее вероятных путей нападения на конкретную систему. Элемент ПМ, описанной во второй главе должен содержать сведения о выборе решения как игрока А так и В. Под совпадением решений i,j будем понимать одинаковый выбор собственно атаки и атаки, против которой установлена защита. Тогда имеет место равенство нулю элемента матрицы ац, вычисляемого по формуле: где R, - степень распространенности атаки среди систем организации. Чем больше этот показатель, тем больше вероятность того, что организация подвергнется атаке, использующей определенную уязвимость. Этот показатель равен значению TD (target distribution) в системе оценки уязвимостей CVSS, который в свою очередь равен отношению количества систем, которым угрожает данная уязвимость, к общему числу систем в организации (ранее TD вводился как тк/т)\ /, - характеризует влияние уязвимости на целостность, доступность и конфиденциальность системы. Это значение берется из БД NVD (вычисляется по ф. (3.2)); (ру - функция затрат на / - ю атаку и на у - ю защиту. Условия для выбора ptJ были определены в (5). В частности, функция затрат может определяться как экспоненциальная:
Пример прогнозирования нарушений в информационной системе
Учитывая, что в открытой прессе на сегодняшний день отсутствуют достоверные статистические данные о регистрируемых атаках на различные информационные системы, оценить эффективность разработанной в диссертации методики непросто. Достоверным со статистической точки зрения показателем эффективности разработанной методики могло бы являться сравнение результатов выполненного прогноза с фактически зафиксированными.попытками нарушений безопасности на ряде эталонных систем. Средствами, обеспечивающими требуемое детектирование, могли бы выступить системы класса Host based Intrusion Detection System [54], поскольку сетевые IDS способны детектировать лишь часть атак на уровне приложений. Несмотря на то, что организация подобного рода испытаний видится весьма затруднительной, применение иных способов оценки эффективности методики можно считать малоинформативным. Однако в долгосрочной перспективе выполнение требуемой оценки может быть выполнено на основании накопленной статистики о зарегистрированных успешных атаках на используемые программные системы, в отношении которых не был получен своевременный прогноз. Безусловно, даже такого рода испытания накладывают значительные требования на технологическое оснащение организации, в части используемых систем обнаружения вторжений, а также общего уровня протоколирования событий безопасности, обеспечивающего максимальный уровень обнаружения [61].
По результатам разработки системы прогнозирования инцидентов безопасности в корпоративных компьютерных сетях было выполнено практическое внедрение в организации ЗАО «Форатек Коммуникейшн». ЗАО «Форатек Коммуникейшн» - крупная телекоммуникационная компания масштабов Уральского федерального округа с развитой инфраструктурой, высококвалифицированным техническим персоналом и большим запасом производственных мощностей. Техническую базу оператор связи ЗАО «Форатек Коммуникейшн» составляют: Собственные оптико-волоконные системы связи в Свердловской, Тюменской областях и Ханты-Мансийском автономном округе, построенные с использованием цифрового оборудования и современных технологий; Оборудование операторского класса от лучших западных производителей - «Siemens AG», «Lucent Technologies», «Cisco Systems»; Сетевые ресурсы бизнес-партнера - магистральная сеть ЗАО «Компании Транстелеком», соединенная с всемирной сетью связи. Территория деятельности компании ЗАО «Форатек Коммуникейшн» - это Свердловская, Пермская, Тюменская области, Ханты-Мансийский и Ямало- Ненецкий автономные округа. Доступ работников компании в Интернет осуществляется через маршру- тизитор cisco 2691, посредством трансляции сетевых адресов (NAT). Тот же маршрутизатор выполняет ограничение доступа работников компании в Интернет и доступа из внешней сети в локальную сеть посредством DMZ, ACL и СВАС. Для доступа работников компании из внешней сети в локальную сеть используется ISA-сервер. На всех рабочих станциях установлены антивирусные средства с регулярно обновляемыми базами. Производится регулярное обновление системного программного обеспечения. При определении мотиваций учитывались следующие факторы: так как к серверам нет прямого доступа, локальные атаки не рассматривались, так как компания является оператором связи, она имеет службы для которых в совокупности являются критичными потери конфиденциальности, доступности и целостности. После проведения инвентаризации с помощью разработанной прикладной программы «Vulnerability Analyzer» было выявлено 7 уязвимостей. При определении затрат защиты учитывались: стоимость трафика потраченного на загрузку обновления, оплата рабочего времени затраченного работником на скачивание обновления и его установку. В результате процедуры минимизации ПМ, число прогнозируемых атак было сокращено до 3. В результате прогнозирования были выданы рекомендации по защите наиболее опасных точек проникновения, которые в интересах защиты не приводятся В результате внедрения системы прогнозирования инцидентов в ЗАО «Форатек Коммуникейшн», были выявлены возможные точки проникновения, содержащие уязвимости. С помощью метода, предложенного в данной диссертационной работе были выявлены наиболее опасные из них, использование которых злоумышленником, могло бы привести к утечке конфиденциальной информации, недоступности каких-либо сервисов либо к получению контроля над компьютером. Были сформированы рекомендации, позволяющие локализовать выявленные уязвимости. Для практического применения методики прогнозирования нарушений безопасности в информационных системах разработано прикладное ПО «Vulnerability Analyzer», позволяющее администратору ИБ обнаружить известные уязвимости в защищаемой инфраструктуре, и, с учетом предопределенной мотивации злоумышленника, указать те из них, на которые защита должна обратить внимание в первую очередь. То есть полученный результат является основанием для выдачи рекомендации по защите. Внедрение программного продукта было осуществлено в организации ЗАО «Форатек Коммуникейшн», о чем получен соответствующий акт внедрения. Основные результаты работы заключаются в следующем: 1. Предложен способ построения платежной матрицы игры, при этом для учета риска использовалась система СУЗБ, модернизированная для исследуемой задачи. Понятие риска определено как сочетание вероятности опасного события - успешной атаки, и ее последствий - уровня ущерба. При расчете элемента платежной матрицы игры учитываются затраты в форме отношения расходов средств участниками игры. 2. Разработана модель ситуации противоборства собственника и злоумышленника на основе смешанных стратегий теории игр, позволяющая определить основные этапы оценки уязвимостей в программном обеспечении организации.
Принципы оценки эффективности разработанной методики
Так как полученное значение меньше принятого ограничения процедура перестройки ПМ закончена. Минимизированная ПМ приведена в табл. 3.8.
Защите даются рекомендации для каждой уязвимости из полученного набора: проверить ее состояние на сайте производителя ПО. В случае, если выпущено официальное исправление, необходимо скачать это исправление, установить на тестовой системе и проверить работоспособность, после чего можно использовать на рабочей системе. В случае, если выпущено временное исправление, проделать действия, описанные для официального исправления и следить за появлением конечного варианта исправления. В случае, если предоставлены шаги для обхода неполадок или иного подавления уязвимости, выполнить эти действия и следить за выпуском исправлений.
Реализованный в работе подход позволяет описать ситуацию противостояния собственника и злоумышленника в форме смешанной антагонистической игры. В работе используется удобная форма записи взаимодействия атаки/защиты — ПМ смешанной игры.
Моделирование игровой ситуации состоит из двух основных этапов. На первом этапе определяется все множество возможных исходов игровой ситуации. Для формирования исходной области возможных решений применяется открытая БД угроз и« уязвимостей ТчГУТ). Уязвимость здесь определена как неудачная характеристика информационной системы, которая позволяет реализовать угрозу информационной безопасности.путем проведения атаки. Для оценки взаимодействия, возникающего при выборе пары атака/защита, определена следующая мера эффективности избранных решений. Элемент ПМ характеризует ау эффективность 1-й атаки при противодействии защиты, предполагающей, что атакующий использует у — ю атаку, с учетом затрат. Второй этап моделирования включает в себя определение вероятностей возникновения избранных исходов. Мера вероятности определяется предпочтительностью при принятии решения самим игроком. Использован подход к определению предпочтительности на основе обобщенных признаков: надежности и стоимости. Под надежностью понимаются значение степени распространенности уязвимости среди систем атакуемой организации. Этот показатель равен отношению количества систем, которым угрожает данная уязвимость, к общему числу систем в организации. Под стоимостью понимается параметр Ехр1окаЫ1ку. Параметр Ехр1ока- ЫШу рассчитывается по формуле (3.3). Используется следующая логика выбора альтернативы по признаку надежность: чем больше степень распространенности, тем больше вероятность того, что организация подвергнется атаке, использующей определенную уязвимость. Предпочтительность по критерию стоимость характеризуется сложностью использования уязвимости. Чем меньше эта сложность, тем лучше для атаки. Выбор наилучшего решения в игре производится методом удаления строк и столбцов в ПМ. Удаляются те варианты, которые являются минимально эффективными в среднем. Минимизация выполняется в пошаговой форме с возможностью останова процедуры в случае, если шаг приводит к близким эффек- тивностям по всем атакам и защитам. По завершении минимизации ПМ остается минимальное подмножество наиболее ожидаемых исходов. Разработка прикладного ПО, реализующее задачу оценки уязвимостей в ПО организации на основе смешанных стратегий теории игр, требует создания рабочего алгоритма. Это обусловлено необходимостью адаптации разработанной методики к практическим задачам управления ИБ. Особенность защищаемой информационной инфраструктуры, а также предполагаемая мотивация злоумышленника должны играть решающую роль при создании выборок, рассматриваемых в игровой модели противоборства. Общая блок-схема процедуры оценки уязвимостей в ПО организации показана на рис. 4.1. Открытая БД 1чГУТ) публикуется в формате хш1, имеющем древовидную структуру, описанную в Приложении 1. При программной реализации разработанной методики для удобства использовалась реляционная БД ЗС Ьке. Таким образом при импорте данных из БД 1ЧУТ) в БД программы происходит преобразование исходной структуры данных в три таблицы: таблица описания ПО; таблица описания уязвимостей; таблица связей между уязвимостями и ПО. 1. id — уникальный идентификатор ПО (используется внутри программного продукта «Vulnerability Analyzer», задается при импортировании данных из БД NVD); 2. name - название продукта; 3. vendor - производитель ПО; 4. vers — версия ПО; 5. edition - выпуск ПО.
