23may 1815 valday young school chechulin 'construction of attack graphs for security events analysis'
1. Positive Hack Days’2013, 23-24 мая 2013 г.
ПОСТРОЕНИЕ ГРАФОВ АТАК ДЛЯ
АНАЛИЗА СОБЫТИЙ БЕЗОПАСНОСТИ
Чечулин А.А.
Лаборатория проблем компьютерной
безопасности Санкт-Петербургского
Института Информатики и
Автоматизации РАН
Санкт-Петербург, Россия
2. Positive Hack Days’2013, 23-24 мая 2013 г. 2
Введение (1/2)
Причины нарушения безопасности в КС:
Ошибки политики безопасности
Уязвимости программного и аппаратного обеспечения
Неправильные конфигурации ПО
Система постоянно изменяется:
Появление новых уязвимостей
Обновление ПО
Изменение политик безопасности
Появление новых элементов сети
Решение:
Применение аналитического моделирования для оценки
защищенности КС
3. Positive Hack Days’2013, 23-24 мая 2013 г.
Введение (2/2)
Аналитическое моделирование позволяет оценить
защищенность системы на разных стадиях
Во время проектирования системы
В момент выбора контрмер
К определенной модели нарушителя
В зависимости от событий в сети
Так же на основе полученных данных возможно
Определять наиболее вероятные модели нарушителей в
соответствии с происходящими в сети событиями
Определять наиболее опасные потенциально возможные
уязвимости (0-day)
Определять наиболее вероятные сценарии атак
Рекомендовать наиболее эффективные контрмеры
...
4. Positive Hack Days’2013, 23-24 мая 2013 г.
Постановка задачи
Основные проблемы моделирования
Временные затраты на формирование моделей (система
должна поддерживать работу в режиме близком к
реальному времени)
Изменчивость системы (модели приходится
перестраивать)
Дополнительные требования
Построенные модели должны учитывать множество
моделей нарушителей
Модели атак должны позволять производить корреляцию
событий безопасности для выявления наиболее
вероятных моделей нарушителей
Для построения моделей должны использоваться
общепринятые стандарты
5. Positive Hack Days’2013, 23-24 мая 2013 г.
Этапы работы системы моделирования
Этап разработки и ввода в эксплуатацию (не real-
time)
Определение слабых мест в сети
Формирование базовых графов атак
Расчет метрик безопасности защищаемой сети
Наиболее опасные возможные уязвимости нулевого дня
…
Этап эксплуатации (real-time)
Обновление хранимых графов атак для соответствия
изменениям происходящим в сети
Оценка возможных мероприятий по увеличению уровня
защиты
Предсказание действий нарушителя
Обратный анализ действий нарушителя
…
6. Positive Hack Days’2013, 23-24 мая 2013 г.
Входные данные (1/2)
Данные Формат Источник
Данные о программном
и аппаратном
обеспечении хостов
CPE (Common Platform
Enumeration,
http://cve.mitre.org/)
знания оператора и
данные от средств
сбора информации
Топология сети XML знания оператора и
данные от средств
сбора информации
Графы зависимостей
сервисов
XML знания оператора и
данные от средств
сбора информации
Возможные контрмеры CRE (Common
Remediation Enumeration)
знания оператора и
данные из Интернет
Политики безопасности
и настройки ПО
CСE (Common
Configuration
Enumeration,
http://cce.mitre.org/)
знания оператора и
данные от средств
сбора информации
7. Positive Hack Days’2013, 23-24 мая 2013 г.
Входные данные (2/2)
Данные Формат Источник
Требования к
безопасности
XML (требуемый уровень
защищенности, ценность
информации на хостах)
знания оператора,
предварительно
заданные данные
Уязвимости CVE (Common
Vulnerabilities and
Exposures,
http://cve.mitre.org/)
National Vulnerability
Database Version 2.2,
http://nvd.nist.gov/downlo
ad.cfm)
Данные о шаблонах
атак
CAPEC (Common Attack
Pattern Enumeration and
Classification,
http://capec.mitre.org/)
данные из Интернет и
знания оператора
Модель нарушителя XML знания оператора,
предварительно
заданные данные
Метрики безопасности CVSS (Common
Vulnerability Scoring
System)
National Vulnerability
Database
8. Positive Hack Days’2013, 23-24 мая 2013 г.
Общая методика (1/2)
Подготовительный этап
Матрица потенциально возможных атакующих действий. Для
каждого хоста строится 3-х мерная матрица по следующим
данным:
класс атак (сбор данных, подготовительные действия, повышение
привилегий, выполнение цели атаки)
необходимый тип доступа (удаленный источник без прав доступа,
удаленный пользователь системы, локальный пользователь
системы, администратор)
уровень знаний нарушителя (типы уязвимостей, которые
нарушитель может реализовывать)
Формирование моделей нарушителей
Точки доступа в сети
Возможности (уровень знаний и т.д.)
Цели
Построение графов
Расчет метрик защищенности, слабых мест сети и т.д.
9. Positive Hack Days’2013, 23-24 мая 2013 г.
Общая методика (2/2)
Этап анализа событий
Модификация деревьев атак для приведения их в соответствие с
изменяющейся реальной сетью
Модификация матриц, описывающих уязвимости хостов, затронутых
изменениями
Модификация связей между хостами, в случае их изменения
Проверка элементов деревьев атак, затронутых изменениями
(удаление уже не существующих элементов и добавление новых
элементов и переходов между ними)
Перерасчет метрик защищенности
Корреляция событий безопасности и построенных графов атак
Определение дерева атак содержащего наиболее близкую
последовательность инцидентов безопасности
Определение наиболее вероятной модели нарушителя
Оценка уровня защищенности компьютерной сети по отношению к
определенной модели нарушителя
11. Positive Hack Days’2013, 23-24 мая 2013 г. 11
Интернет
Внешние
базы
Модель сети
Деревья атак
Обновленные
деревья атак
Расчет базовых
метрик
Расчет метрик
защищенности
События в
реальном
времени
Знания оператора
Базовые
метрики
Деревья атак
События в
реальном
времени
Не real-time режим
Режим anytime
Режим real-time
Определение
сценариев атак
Уязвимости
Рекомендации
Спецификация
Режимы работы прототипа
12. Positive Hack Days’2013, 23-24 мая 2013 г.
GUI
Внешние
источники
данных
Модуль
обновления БД
Генератор
спецификаций
Модуль оценки
защищенности
Внешние
базы
Сетевые
сканеры
Хранилище
Веб-сервисы
БД спецификаций сетей
БД дополнительной информации
Загрузчик
XML парсер
XML
файлы
Загрузчик
Генератор
спецификаций
XML
файлы
Генератор
графов атак
БД графов
Расчет
метрик
БД оценок
Генератор
отчетов
AMSEC
Архитектура прототипа (1/2)
13. Positive Hack Days’2013, 23-24 мая 2013 г. 13
Internet
External
Databases
СУБД
(Virtuoso +
Derby)
Сервер
приложений
(Tomcat)
JDBC,
SPARQL
Модуль
обновления БД
SOAP
XML
Генератор спецификаций
GUI
Сетевые
сканеры
(MaxPatrol,
Nessus)
XML
SOAP
Генератор
графов атак
Расчет метрик
Генератор
отчетовSOAP
Модуль оценки
защищенности
SPARQL query example
SELECT ?CVE_Id
WHERE {
?part Vul:Fact_Ref:Part
?product Vul:Fact_Ref:Product
?version Vul:Fact_Ref:Version
?update Vul:Fact_Ref:Update
?edition Vul:Fact_Ref:Edition
?language Vul:Fact_Ref:Language
}
FILTER (?Vul:Fact_Ref:Part=”a”)
Архитектура прототипа (2/2)
14. Positive Hack Days’2013, 23-24 мая 2013 г. 1414
Взлом станции управления дамбой
Пример работы прототипа (1/2)
15. Positive Hack Days’2013, 23-24 мая 2013 г. 151515
Notat Description
Начальная позиция нарушителя
Сбор информации (PING, сбор трафика и т.д.) или
выполнение шаблона атаки (сбор информации о
системе – сканирование портов и т.д.)
Эксплуатация уязвимостей
Пример работы прототипа (2/2)
16. Positive Hack Days’2013, 23-24 мая 2013 г. 16
Зависимость времени необходимого на выполнение
отдельных шагов методики от количества хостов в
сети (1/2)
0
0.5
1
1.5
15 30 45 60 75 90 105 120 135 150 165 180 195 210 225 240 255 270 285 300 315 330 345 360 375 390 405 420 435 450
1. Построение модели компьютерной
сети
3. Первичная оценка защищенности
4. Построение графа атак
5. Модификация модели
компьютерной сети
6. Повторный анализ защищенности
7. Построение графа атак
Количество хостов в анализируемой сети
Время(секунды)
17. Positive Hack Days’2013, 23-24 мая 2013 г. 17
Зависимость времени необходимого на выполнение
отдельных шагов методики от количества хостов в
сети (2/2)
Количество хостов в анализируемой сети
Время(секунды)
0
5
10
15
20
25
30
35
40
15 30 45 60 75 90 105 120 135 150 165 180 195 210 225 240 255 270 285 300 315 330 345 360 375 390 405 420 435 450
2. Формирование моделей
уязвимостей
19. Positive Hack Days’2013, 23-24 мая 2013 г.
Заключение
Рассмотрены основные проблемы моделирования
сетевых атак
Рассмотрены необходимые исходные данные для
моделирования атак
Описан подход, позволяющий использовать
моделирование атак в системах, работающих в режиме
близком к реальному времени
Описаны способы анализа событий происходящих в
реальной сети с помощью графов атак
20. Positive Hack Days’2013, 23-24 мая 2013 г.
Контактная информация
Чечулин Андрей Алексеевич
chechulin@comsec.spb.ru
http://comsec.spb.ru/chechulin
Благодарности
Работа выполняется при частичной финансовой
поддержке, осуществляемой в рамках проектов Евросоюза SecFutur и
MASSIF, а также в рамках других проектов.