SlideShare a Scribd company logo

23may 1815 valday young school chechulin 'construction of attack graphs for security events analysis'

Positive Hack Days
Positive Hack Days
1 of 20
Positive Hack Days’2013, 23-24 мая 2013 г. ПОСТРОЕНИЕ ГРАФОВ АТАК ДЛЯ АНАЛИЗА СОБЫТИЙ БЕЗОПАСНОСТИ Чечулин А.А. Лаборатория проблем компьютерной безопасности Санкт-Петербургского Института Информатики и Автоматизации РАН Санкт-Петербург, Россия
Positive Hack Days’2013, 23-24 мая 2013 г. 2 Введение (1/2)  Причины нарушения безопасности в КС:  Ошибки политики безопасности  Уязвимости программного и аппаратного обеспечения  Неправильные конфигурации ПО  Система постоянно изменяется:  Появление новых уязвимостей  Обновление ПО  Изменение политик безопасности  Появление новых элементов сети  Решение:  Применение аналитического моделирования для оценки защищенности КС
Positive Hack Days’2013, 23-24 мая 2013 г. Введение (2/2)  Аналитическое моделирование позволяет оценить защищенность системы на разных стадиях  Во время проектирования системы  В момент выбора контрмер  К определенной модели нарушителя  В зависимости от событий в сети  Так же на основе полученных данных возможно  Определять наиболее вероятные модели нарушителей в соответствии с происходящими в сети событиями  Определять наиболее опасные потенциально возможные уязвимости (0-day)  Определять наиболее вероятные сценарии атак  Рекомендовать наиболее эффективные контрмеры  ...
Positive Hack Days’2013, 23-24 мая 2013 г. Постановка задачи  Основные проблемы моделирования  Временные затраты на формирование моделей (система должна поддерживать работу в режиме близком к реальному времени)  Изменчивость системы (модели приходится перестраивать)  Дополнительные требования  Построенные модели должны учитывать множество моделей нарушителей  Модели атак должны позволять производить корреляцию событий безопасности для выявления наиболее вероятных моделей нарушителей  Для построения моделей должны использоваться общепринятые стандарты
Positive Hack Days’2013, 23-24 мая 2013 г. Этапы работы системы моделирования  Этап разработки и ввода в эксплуатацию (не real- time)  Определение слабых мест в сети  Формирование базовых графов атак  Расчет метрик безопасности защищаемой сети  Наиболее опасные возможные уязвимости нулевого дня  …  Этап эксплуатации (real-time)  Обновление хранимых графов атак для соответствия изменениям происходящим в сети  Оценка возможных мероприятий по увеличению уровня защиты  Предсказание действий нарушителя  Обратный анализ действий нарушителя  …
Positive Hack Days’2013, 23-24 мая 2013 г. Входные данные (1/2) Данные Формат Источник Данные о программном и аппаратном обеспечении хостов CPE (Common Platform Enumeration, http://cve.mitre.org/) знания оператора и данные от средств сбора информации Топология сети XML знания оператора и данные от средств сбора информации Графы зависимостей сервисов XML знания оператора и данные от средств сбора информации Возможные контрмеры CRE (Common Remediation Enumeration) знания оператора и данные из Интернет Политики безопасности и настройки ПО CСE (Common Configuration Enumeration, http://cce.mitre.org/) знания оператора и данные от средств сбора информации
Positive Hack Days’2013, 23-24 мая 2013 г. Входные данные (2/2) Данные Формат Источник Требования к безопасности XML (требуемый уровень защищенности, ценность информации на хостах) знания оператора, предварительно заданные данные Уязвимости CVE (Common Vulnerabilities and Exposures, http://cve.mitre.org/) National Vulnerability Database Version 2.2, http://nvd.nist.gov/downlo ad.cfm) Данные о шаблонах атак CAPEC (Common Attack Pattern Enumeration and Classification, http://capec.mitre.org/) данные из Интернет и знания оператора Модель нарушителя XML знания оператора, предварительно заданные данные Метрики безопасности CVSS (Common Vulnerability Scoring System) National Vulnerability Database
Positive Hack Days’2013, 23-24 мая 2013 г. Общая методика (1/2)  Подготовительный этап  Матрица потенциально возможных атакующих действий. Для каждого хоста строится 3-х мерная матрица по следующим данным:  класс атак (сбор данных, подготовительные действия, повышение привилегий, выполнение цели атаки)  необходимый тип доступа (удаленный источник без прав доступа, удаленный пользователь системы, локальный пользователь системы, администратор)  уровень знаний нарушителя (типы уязвимостей, которые нарушитель может реализовывать)  Формирование моделей нарушителей  Точки доступа в сети  Возможности (уровень знаний и т.д.)  Цели  Построение графов  Расчет метрик защищенности, слабых мест сети и т.д.
Positive Hack Days’2013, 23-24 мая 2013 г. Общая методика (2/2)  Этап анализа событий  Модификация деревьев атак для приведения их в соответствие с изменяющейся реальной сетью  Модификация матриц, описывающих уязвимости хостов, затронутых изменениями  Модификация связей между хостами, в случае их изменения  Проверка элементов деревьев атак, затронутых изменениями (удаление уже не существующих элементов и добавление новых элементов и переходов между ними)  Перерасчет метрик защищенности  Корреляция событий безопасности и построенных графов атак  Определение дерева атак содержащего наиболее близкую последовательность инцидентов безопасности  Определение наиболее вероятной модели нарушителя  Оценка уровня защищенности компьютерной сети по отношению к определенной модели нарушителя
Positive Hack Days’2013, 23-24 мая 2013 г. Основные потоки данных
Positive Hack Days’2013, 23-24 мая 2013 г. 11 Интернет Внешние базы Модель сети Деревья атак Обновленные деревья атак Расчет базовых метрик Расчет метрик защищенности События в реальном времени Знания оператора Базовые метрики Деревья атак События в реальном времени Не real-time режим Режим anytime Режим real-time Определение сценариев атак Уязвимости Рекомендации Спецификация Режимы работы прототипа
Positive Hack Days’2013, 23-24 мая 2013 г. GUI Внешние источники данных Модуль обновления БД Генератор спецификаций Модуль оценки защищенности Внешние базы Сетевые сканеры Хранилище Веб-сервисы БД спецификаций сетей БД дополнительной информации Загрузчик XML парсер XML файлы Загрузчик Генератор спецификаций XML файлы Генератор графов атак БД графов Расчет метрик БД оценок Генератор отчетов AMSEC Архитектура прототипа (1/2)
Positive Hack Days’2013, 23-24 мая 2013 г. 13 Internet External Databases СУБД (Virtuoso + Derby) Сервер приложений (Tomcat) JDBC, SPARQL Модуль обновления БД SOAP XML Генератор спецификаций GUI Сетевые сканеры (MaxPatrol, Nessus) XML SOAP Генератор графов атак Расчет метрик Генератор отчетовSOAP Модуль оценки защищенности SPARQL query example SELECT ?CVE_Id WHERE { ?part Vul:Fact_Ref:Part ?product Vul:Fact_Ref:Product ?version Vul:Fact_Ref:Version ?update Vul:Fact_Ref:Update ?edition Vul:Fact_Ref:Edition ?language Vul:Fact_Ref:Language } FILTER (?Vul:Fact_Ref:Part=”a”) Архитектура прототипа (2/2)
Positive Hack Days’2013, 23-24 мая 2013 г. 1414 Взлом станции управления дамбой Пример работы прототипа (1/2)
Positive Hack Days’2013, 23-24 мая 2013 г. 151515 Notat Description Начальная позиция нарушителя Сбор информации (PING, сбор трафика и т.д.) или выполнение шаблона атаки (сбор информации о системе – сканирование портов и т.д.) Эксплуатация уязвимостей Пример работы прототипа (2/2)
Positive Hack Days’2013, 23-24 мая 2013 г. 16 Зависимость времени необходимого на выполнение отдельных шагов методики от количества хостов в сети (1/2) 0 0.5 1 1.5 15 30 45 60 75 90 105 120 135 150 165 180 195 210 225 240 255 270 285 300 315 330 345 360 375 390 405 420 435 450 1. Построение модели компьютерной сети 3. Первичная оценка защищенности 4. Построение графа атак 5. Модификация модели компьютерной сети 6. Повторный анализ защищенности 7. Построение графа атак Количество хостов в анализируемой сети Время(секунды)
Positive Hack Days’2013, 23-24 мая 2013 г. 17 Зависимость времени необходимого на выполнение отдельных шагов методики от количества хостов в сети (2/2) Количество хостов в анализируемой сети Время(секунды) 0 5 10 15 20 25 30 35 40 15 30 45 60 75 90 105 120 135 150 165 180 195 210 225 240 255 270 285 300 315 330 345 360 375 390 405 420 435 450 2. Формирование моделей уязвимостей
Positive Hack Days’2013, 23-24 мая 2013 г. Анализ событий
Positive Hack Days’2013, 23-24 мая 2013 г. Заключение  Рассмотрены основные проблемы моделирования сетевых атак  Рассмотрены необходимые исходные данные для моделирования атак  Описан подход, позволяющий использовать моделирование атак в системах, работающих в режиме близком к реальному времени  Описаны способы анализа событий происходящих в реальной сети с помощью графов атак
Positive Hack Days’2013, 23-24 мая 2013 г. Контактная информация Чечулин Андрей Алексеевич chechulin@comsec.spb.ru http://comsec.spb.ru/chechulin Благодарности Работа выполняется при частичной финансовой поддержке, осуществляемой в рамках проектов Евросоюза SecFutur и MASSIF, а также в рамках других проектов.

Recommended

Pentest smart grid_2012_final
Pentest smart grid_2012_finalPentest smart grid_2012_final
Pentest smart grid_2012_finalAndriy Lysyuk
 
Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...
Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...
Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...Positive Hack Days
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)Olesya Shelestova
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 

Recommended

Pentest smart grid_2012_final
Pentest smart grid_2012_finalPentest smart grid_2012_final
Pentest smart grid_2012_finalAndriy Lysyuk
 
Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...
Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...
Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...Positive Hack Days
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)Olesya Shelestova
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Дмитрий Кузнецов. Сертификация в странах CCRA глазами заявителя
Дмитрий Кузнецов. Сертификация в странах CCRA глазами заявителяДмитрий Кузнецов. Сертификация в странах CCRA глазами заявителя
Дмитрий Кузнецов. Сертификация в странах CCRA глазами заявителяPositive Hack Days
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеPositive Hack Days
 
Образовательный центр HPE Россия каталог курсов январь 2016
Образовательный центр HPE Россия каталог курсов январь 2016Образовательный центр HPE Россия каталог курсов январь 2016
Образовательный центр HPE Россия каталог курсов январь 2016Anatoliy Arkhipov
 
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...Positive Hack Days
 
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days
 
DNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorDNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorPositive Hack Days
 
Dyn DNS story
Dyn DNS storyDyn DNS story
Dyn DNS storyIlya Siganov
 
Обход файрволов веб-приложений
Обход файрволов веб-приложенийОбход файрволов веб-приложений
Обход файрволов веб-приложенийPositive Hack Days
 
UDP Amplifiers на примере DNS и способы противодействия
UDP Amplifiers на примере DNS и способы противодействияUDP Amplifiers на примере DNS и способы противодействия
UDP Amplifiers на примере DNS и способы противодействияAndrey Leskin
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Positive Hack Days
 
Phd13 kotenko
Phd13 kotenkoPhd13 kotenko
Phd13 kotenkoPositive Hack Days
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияTufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияIT-Integrator
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ПО ситуационного центра
ПО ситуационного центраПО ситуационного центра
ПО ситуационного центраSergey Gorshkov
 
Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозCisco Russia
 
аик прогнозир.-тпп рф- 11.04.2013
аик прогнозир.-тпп рф- 11.04.2013 аик прогнозир.-тпп рф- 11.04.2013
аик прогнозир.-тпп рф- 11.04.2013 Mathmodels Net
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиУчебный центр "Эшелон"
 

More Related Content

Viewers also liked

Дмитрий Кузнецов. Сертификация в странах CCRA глазами заявителя
Дмитрий Кузнецов. Сертификация в странах CCRA глазами заявителяДмитрий Кузнецов. Сертификация в странах CCRA глазами заявителя
Дмитрий Кузнецов. Сертификация в странах CCRA глазами заявителяPositive Hack Days
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеPositive Hack Days
 
Образовательный центр HPE Россия каталог курсов январь 2016
Образовательный центр HPE Россия каталог курсов январь 2016Образовательный центр HPE Россия каталог курсов январь 2016
Образовательный центр HPE Россия каталог курсов январь 2016Anatoliy Arkhipov
 
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...Positive Hack Days
 
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days
 
DNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorDNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorPositive Hack Days
 
Обход файрволов веб-приложений
Обход файрволов веб-приложенийОбход файрволов веб-приложений
Обход файрволов веб-приложенийPositive Hack Days
 
UDP Amplifiers на примере DNS и способы противодействия
UDP Amplifiers на примере DNS и способы противодействияUDP Amplifiers на примере DNS и способы противодействия
UDP Amplifiers на примере DNS и способы противодействияAndrey Leskin
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOCAleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 

Viewers also liked (11)

Дмитрий Кузнецов. Сертификация в странах CCRA глазами заявителя
Дмитрий Кузнецов. Сертификация в странах CCRA глазами заявителяДмитрий Кузнецов. Сертификация в странах CCRA глазами заявителя
Дмитрий Кузнецов. Сертификация в странах CCRA глазами заявителя
 
Certifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практикеCertifi-Gate: атака в теории и на практике
Certifi-Gate: атака в теории и на практике
 
Образовательный центр HPE Россия каталог курсов январь 2016
Образовательный центр HPE Россия каталог курсов январь 2016Образовательный центр HPE Россия каталог курсов январь 2016
Образовательный центр HPE Россия каталог курсов январь 2016
 
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
 
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
Positive Hack Days. Баранов. DNS Rebinding возвращается (0-day)
 
DNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorDNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense Vector
 
Dyn DNS story
Dyn DNS storyDyn DNS story
Dyn DNS story
 
Обход файрволов веб-приложений
Обход файрволов веб-приложенийОбход файрволов веб-приложений
Обход файрволов веб-приложений
 
UDP Amplifiers на примере DNS и способы противодействия
UDP Amplifiers на примере DNS и способы противодействияUDP Amplifiers на примере DNS и способы противодействия
UDP Amplifiers на примере DNS и способы противодействия
 
"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC"Сочные"мифы. Заблуждения, связанные с SOC
"Сочные"мифы. Заблуждения, связанные с SOC
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 

Similar to 23may 1815 valday young school chechulin 'construction of attack graphs for security events analysis'

Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Positive Hack Days
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияTufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияIT-Integrator
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
ПО ситуационного центра
ПО ситуационного центраПО ситуационного центра
ПО ситуационного центраSergey Gorshkov
 
Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозCisco Russia
 
аик прогнозир.-тпп рф- 11.04.2013
аик прогнозир.-тпп рф- 11.04.2013 аик прогнозир.-тпп рф- 11.04.2013
аик прогнозир.-тпп рф- 11.04.2013 Mathmodels Net
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиУчебный центр "Эшелон"
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
 
Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007atamur
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network SecurityCisco Russia
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Решение Lancope StealthWatch
Решение Lancope StealthWatchРешение Lancope StealthWatch
Решение Lancope StealthWatchCisco Russia
 
Cisco 2018
Cisco 2018Cisco 2018
Cisco 2018malvvv
 
WAN modelling
WAN modelling WAN modelling
WAN modelling ARCCN
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 

Similar to 23may 1815 valday young school chechulin 'construction of attack graphs for security events analysis' (20)

Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
Игорь Котенко. Моделирование атак, вычисление метрик защищенности и визуализа...
 
Phd13 kotenko
Phd13 kotenkoPhd13 kotenko
Phd13 kotenko
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
 
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференцияTufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
Tufin Orchestration Suite_ИТ-Интегратор_Международная банковская конференция
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
ПО ситуационного центра
ПО ситуационного центраПО ситуационного центра
ПО ситуационного центра
 
Stealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угрозStealthwatch совершенствует защиту от угроз
Stealthwatch совершенствует защиту от угроз
 
аик прогнозир.-тпп рф- 11.04.2013
аик прогнозир.-тпп рф- 11.04.2013 аик прогнозир.-тпп рф- 11.04.2013
аик прогнозир.-тпп рф- 11.04.2013
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
 
Сканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасностиСканер-ВС: швейцарский нож администратора безопасности
Сканер-ВС: швейцарский нож администратора безопасности
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007Slides for meeting on 29.03.2007
Slides for meeting on 29.03.2007
 
Cisco Social Network Security
Cisco Social Network SecurityCisco Social Network Security
Cisco Social Network Security
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Решение Lancope StealthWatch
Решение Lancope StealthWatchРешение Lancope StealthWatch
Решение Lancope StealthWatch
 
Cisco 2018
Cisco 2018Cisco 2018
Cisco 2018
 
WAN modelling
WAN modelling WAN modelling
WAN modelling
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
 

More from Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

More from Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

23may 1815 valday young school chechulin 'construction of attack graphs for security events analysis'

  • 1. Positive Hack Days’2013, 23-24 мая 2013 г. ПОСТРОЕНИЕ ГРАФОВ АТАК ДЛЯ АНАЛИЗА СОБЫТИЙ БЕЗОПАСНОСТИ Чечулин А.А. Лаборатория проблем компьютерной безопасности Санкт-Петербургского Института Информатики и Автоматизации РАН Санкт-Петербург, Россия
  • 2. Positive Hack Days’2013, 23-24 мая 2013 г. 2 Введение (1/2)  Причины нарушения безопасности в КС:  Ошибки политики безопасности  Уязвимости программного и аппаратного обеспечения  Неправильные конфигурации ПО  Система постоянно изменяется:  Появление новых уязвимостей  Обновление ПО  Изменение политик безопасности  Появление новых элементов сети  Решение:  Применение аналитического моделирования для оценки защищенности КС
  • 3. Positive Hack Days’2013, 23-24 мая 2013 г. Введение (2/2)  Аналитическое моделирование позволяет оценить защищенность системы на разных стадиях  Во время проектирования системы  В момент выбора контрмер  К определенной модели нарушителя  В зависимости от событий в сети  Так же на основе полученных данных возможно  Определять наиболее вероятные модели нарушителей в соответствии с происходящими в сети событиями  Определять наиболее опасные потенциально возможные уязвимости (0-day)  Определять наиболее вероятные сценарии атак  Рекомендовать наиболее эффективные контрмеры  ...
  • 4. Positive Hack Days’2013, 23-24 мая 2013 г. Постановка задачи  Основные проблемы моделирования  Временные затраты на формирование моделей (система должна поддерживать работу в режиме близком к реальному времени)  Изменчивость системы (модели приходится перестраивать)  Дополнительные требования  Построенные модели должны учитывать множество моделей нарушителей  Модели атак должны позволять производить корреляцию событий безопасности для выявления наиболее вероятных моделей нарушителей  Для построения моделей должны использоваться общепринятые стандарты
  • 5. Positive Hack Days’2013, 23-24 мая 2013 г. Этапы работы системы моделирования  Этап разработки и ввода в эксплуатацию (не real- time)  Определение слабых мест в сети  Формирование базовых графов атак  Расчет метрик безопасности защищаемой сети  Наиболее опасные возможные уязвимости нулевого дня  …  Этап эксплуатации (real-time)  Обновление хранимых графов атак для соответствия изменениям происходящим в сети  Оценка возможных мероприятий по увеличению уровня защиты  Предсказание действий нарушителя  Обратный анализ действий нарушителя  …
  • 6. Positive Hack Days’2013, 23-24 мая 2013 г. Входные данные (1/2) Данные Формат Источник Данные о программном и аппаратном обеспечении хостов CPE (Common Platform Enumeration, http://cve.mitre.org/) знания оператора и данные от средств сбора информации Топология сети XML знания оператора и данные от средств сбора информации Графы зависимостей сервисов XML знания оператора и данные от средств сбора информации Возможные контрмеры CRE (Common Remediation Enumeration) знания оператора и данные из Интернет Политики безопасности и настройки ПО CСE (Common Configuration Enumeration, http://cce.mitre.org/) знания оператора и данные от средств сбора информации
  • 7. Positive Hack Days’2013, 23-24 мая 2013 г. Входные данные (2/2) Данные Формат Источник Требования к безопасности XML (требуемый уровень защищенности, ценность информации на хостах) знания оператора, предварительно заданные данные Уязвимости CVE (Common Vulnerabilities and Exposures, http://cve.mitre.org/) National Vulnerability Database Version 2.2, http://nvd.nist.gov/downlo ad.cfm) Данные о шаблонах атак CAPEC (Common Attack Pattern Enumeration and Classification, http://capec.mitre.org/) данные из Интернет и знания оператора Модель нарушителя XML знания оператора, предварительно заданные данные Метрики безопасности CVSS (Common Vulnerability Scoring System) National Vulnerability Database
  • 8. Positive Hack Days’2013, 23-24 мая 2013 г. Общая методика (1/2)  Подготовительный этап  Матрица потенциально возможных атакующих действий. Для каждого хоста строится 3-х мерная матрица по следующим данным:  класс атак (сбор данных, подготовительные действия, повышение привилегий, выполнение цели атаки)  необходимый тип доступа (удаленный источник без прав доступа, удаленный пользователь системы, локальный пользователь системы, администратор)  уровень знаний нарушителя (типы уязвимостей, которые нарушитель может реализовывать)  Формирование моделей нарушителей  Точки доступа в сети  Возможности (уровень знаний и т.д.)  Цели  Построение графов  Расчет метрик защищенности, слабых мест сети и т.д.
  • 9. Positive Hack Days’2013, 23-24 мая 2013 г. Общая методика (2/2)  Этап анализа событий  Модификация деревьев атак для приведения их в соответствие с изменяющейся реальной сетью  Модификация матриц, описывающих уязвимости хостов, затронутых изменениями  Модификация связей между хостами, в случае их изменения  Проверка элементов деревьев атак, затронутых изменениями (удаление уже не существующих элементов и добавление новых элементов и переходов между ними)  Перерасчет метрик защищенности  Корреляция событий безопасности и построенных графов атак  Определение дерева атак содержащего наиболее близкую последовательность инцидентов безопасности  Определение наиболее вероятной модели нарушителя  Оценка уровня защищенности компьютерной сети по отношению к определенной модели нарушителя
  • 10. Positive Hack Days’2013, 23-24 мая 2013 г. Основные потоки данных
  • 11. Positive Hack Days’2013, 23-24 мая 2013 г. 11 Интернет Внешние базы Модель сети Деревья атак Обновленные деревья атак Расчет базовых метрик Расчет метрик защищенности События в реальном времени Знания оператора Базовые метрики Деревья атак События в реальном времени Не real-time режим Режим anytime Режим real-time Определение сценариев атак Уязвимости Рекомендации Спецификация Режимы работы прототипа
  • 12. Positive Hack Days’2013, 23-24 мая 2013 г. GUI Внешние источники данных Модуль обновления БД Генератор спецификаций Модуль оценки защищенности Внешние базы Сетевые сканеры Хранилище Веб-сервисы БД спецификаций сетей БД дополнительной информации Загрузчик XML парсер XML файлы Загрузчик Генератор спецификаций XML файлы Генератор графов атак БД графов Расчет метрик БД оценок Генератор отчетов AMSEC Архитектура прототипа (1/2)
  • 13. Positive Hack Days’2013, 23-24 мая 2013 г. 13 Internet External Databases СУБД (Virtuoso + Derby) Сервер приложений (Tomcat) JDBC, SPARQL Модуль обновления БД SOAP XML Генератор спецификаций GUI Сетевые сканеры (MaxPatrol, Nessus) XML SOAP Генератор графов атак Расчет метрик Генератор отчетовSOAP Модуль оценки защищенности SPARQL query example SELECT ?CVE_Id WHERE { ?part Vul:Fact_Ref:Part ?product Vul:Fact_Ref:Product ?version Vul:Fact_Ref:Version ?update Vul:Fact_Ref:Update ?edition Vul:Fact_Ref:Edition ?language Vul:Fact_Ref:Language } FILTER (?Vul:Fact_Ref:Part=”a”) Архитектура прототипа (2/2)
  • 14. Positive Hack Days’2013, 23-24 мая 2013 г. 1414 Взлом станции управления дамбой Пример работы прототипа (1/2)
  • 15. Positive Hack Days’2013, 23-24 мая 2013 г. 151515 Notat Description Начальная позиция нарушителя Сбор информации (PING, сбор трафика и т.д.) или выполнение шаблона атаки (сбор информации о системе – сканирование портов и т.д.) Эксплуатация уязвимостей Пример работы прототипа (2/2)
  • 16. Positive Hack Days’2013, 23-24 мая 2013 г. 16 Зависимость времени необходимого на выполнение отдельных шагов методики от количества хостов в сети (1/2) 0 0.5 1 1.5 15 30 45 60 75 90 105 120 135 150 165 180 195 210 225 240 255 270 285 300 315 330 345 360 375 390 405 420 435 450 1. Построение модели компьютерной сети 3. Первичная оценка защищенности 4. Построение графа атак 5. Модификация модели компьютерной сети 6. Повторный анализ защищенности 7. Построение графа атак Количество хостов в анализируемой сети Время(секунды)
  • 17. Positive Hack Days’2013, 23-24 мая 2013 г. 17 Зависимость времени необходимого на выполнение отдельных шагов методики от количества хостов в сети (2/2) Количество хостов в анализируемой сети Время(секунды) 0 5 10 15 20 25 30 35 40 15 30 45 60 75 90 105 120 135 150 165 180 195 210 225 240 255 270 285 300 315 330 345 360 375 390 405 420 435 450 2. Формирование моделей уязвимостей
  • 18. Positive Hack Days’2013, 23-24 мая 2013 г. Анализ событий
  • 19. Positive Hack Days’2013, 23-24 мая 2013 г. Заключение  Рассмотрены основные проблемы моделирования сетевых атак  Рассмотрены необходимые исходные данные для моделирования атак  Описан подход, позволяющий использовать моделирование атак в системах, работающих в режиме близком к реальному времени  Описаны способы анализа событий происходящих в реальной сети с помощью графов атак
  • 20. Positive Hack Days’2013, 23-24 мая 2013 г. Контактная информация Чечулин Андрей Алексеевич chechulin@comsec.spb.ru http://comsec.spb.ru/chechulin Благодарности Работа выполняется при частичной финансовой поддержке, осуществляемой в рамках проектов Евросоюза SecFutur и MASSIF, а также в рамках других проектов.