Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и управления у

…
…
…
…
Вычисление, визуализацияВычисление, визуализация
и анализ метрик защищенностии анализ метрик защищенности
для мониторинга безопасностидля мониторинга безопасностидля мониторинга безопасностидля мониторинга безопасности
и управления инцидентамии управления инцидентамии управления инцидентамии управления инцидентами
в SIEMв SIEM--системахсистемах
И В КотенкоИ.В. Котенко
Санкт-Петербургский институт информатики и автоматизации РАН
PHD’2015, 26-27 мая 2015 г.
(СПИИРАН)

План докладаПлан доклада
 Введение Введение
 SIEM-системы и аналитическая обработка
информации безопасности
 Метрики для моделирования атак анализа Метрики для моделирования атак, анализа
защищенности и выработки контрмер
 Анализ защищенности и выработка контрмер
на основе метрик безопасностир
 Визуализация метрик
 Реализация и эксперименты
 Заключение
PHD’2015, 26-27 мая 2015 г.

МетрикиМетрики
 Как определено Национальным институтом Как определено Национальным институтом
стандартов и технологий (NIST), метрики
являются инструментами которые предназначеныявляются инструментами, которые предназначены
для облегчения процесса принятия решений и
повышения эффективности и подотчетности путемповышения эффективности и подотчетности путем
сбора, анализа и представления соответствующих
данных...да
 Метрики безопасности можно рассматривать как
стандарт (или систему) используемую длястандарт (или систему), используемую для
количественного измерения уровня безопасности
организации...организации...
PHD’2015, 26-27 мая 2015 г.

Хорошо определенные метрики могутХорошо определенные метрики могут
помочь ответить на следующие вопросы:помочь ответить на следующие вопросы:помочь ответить на следующие вопросы:помочь ответить на следующие вопросы:
 Есть ли уязвимости в системе? Какие из них критические? Какие нужно
устранить в первую очередь?устранить в первую очередь?
 Есть ли (в настоящее время) атака в сети?
 Какой компонент (система / приложение / сервис) был и (или) будет Какой компонент (система / приложение / сервис) был и (или) будет
скомпрометирован?
 Кто атакует систему?Кто атакует систему?
 Как можно измерить (потенциальный) риск?
 Какова наиболее вероятная цель атаки и ущерб от атаки?р ц ущ р
 Можем ли мы предотвратить атаку?
 Каковы варианты реагирования?
 Каковы рациональные варианты реагирования и какой из них
оптимальный?
 Сколько вычислительных ресурсов (памяти, пропускной способности и
др.) будет потеряно из-за атаки?
По прежнему ли выполняется (или частично) данная бизнес цель /
PHD’2015, 26-27 мая 2015 г.
 По прежнему ли выполняется (или частично) данная бизнес-цель /
задача / операция?

Метрики принятия решений (выбора
контрмеры)контрмеры)
У
Текущий
Узлы
начала
атаки Узлы –
узел
цели
атаки
PHD’2015, 26-27 мая 2015 г.

SIEMSIEM--системысистемы
Security information and event management (SIEM) system –
система управления информацией и событиями безопасности
(система мониторинга и управления инцидентами безопасности).
Основная цель SIEM – повышение ИБ за счет обеспечения
возможности в режиме, близком к реальному времени,
манипулировать информацией о безопасности иманипулировать информацией о безопасности и
осуществлять проактивное управление инцидентами и
событиями безопасностисобытиями безопасности
«Проактивный» означает «действующий до того, как ситуация
станет критической». Предполагается, что проактивное
управление инцидентами и событиями безопасности
основывается на автоматических механизмах, использующих
информацию об «истории» анализируемых сетевых событий иинформацию об «истории» анализируемых сетевых событий и
прогнозе будущих событий, а также на автоматической
подстройке параметров мониторинга событий к текущему
й
PHD’2015, 26-27 мая 2015 г.
состоянию защищаемой системы

Расширенный список задач,Расширенный список задач,
решаемыхрешаемых SIEMSIEM--системойсистемойрешаемыхрешаемых SIEMSIEM системойсистемой
 сбор, обработка и анализ событий безопасности, поступающих
в систему из множества гетерогенных источников;
 обнаружение в реальном времени атак и нарушений критериев
и политик безопасности;
 оперативная оценка защищенности информационных,
телекоммуникационных и других критически важных ресурсов;
 анализ и управление рисками информационной безопасности;
 проведение расследований инцидентов;
 обнаружение расхождения критически важных ресурсов и
бизнес–процессов с внутренними политиками безопасности и
приведение их в соответствие друг с другом;
 принятие решений по защите информации;
 формирование отчетных документов.
PHD’2015, 26-27 мая 2015 г.

Архитектура типовойАрхитектура типовой SIEMSIEM--системысистемы
«агенты» — «хранилище данных» —
«сервер приложений»«сервер приложений»
PHD’2015, 26-27 мая 2015 г.

Механизмы обработки информацииМеханизмы обработки информации
вв SIEMSIEM--системесистемевв SIEMSIEM системесистеме
PHD’2015, 26-27 мая 2015 г.

СравнениеСравнение SIEMSIEM--решений (1решений (1//2)2)рр р (р ( ))
PHD’2015, 26-27 мая 2015 г.
(Gartner, 2012)

СравнениеСравнение SIEMSIEM--решений (2решений (2//2)2)рр р (р ( ))
PHD’2015, 26-27 мая 2015 г.
(Gartner, 2014)

Обобщенная архитектураОбобщенная архитектура SIEMSIEM--системысистемы
Ядро системы управления информацией и событиями безопасности
Уровень
ик
Уровень событий Уровень приложенийУровень данных
Правила
защитыШина данных Анализ событий
Уровень
сети
Сборщи
Правила
корреляцииСобытия
Сырые
данные
Скоррелированные
события
безопасности
Хранилище
Рассылка
командкоманд
Контрмеры Оценивание
защищенности ВизуализацияВыбор
контрмер
PHD’2015, 26-27 мая 2015 г.
контрмер
MASSIF, 2013

Основные причины использования
моделей атак и контрмермоделей атак и контрмер
• Вычисление возможных последовательностей (трасс) атак иВычисление возможных последовательностей (трасс) атак, и
упреждающее определение целей безопасности, которые с
наибольшей вероятностью станут мишенью для нарушителяр у ру
• Корреляция последовательностей событий безопасности, т.к.
они относятся к определенным действиям в рамках модели
атак
• Определение метрик защищенности
• Определение соответствующих наборов контрмер, т.е.
действий, предпринимаемых системой, чтобы разрушить
непрерывную последовательность действий атакующего
• Динамическое вычисление воздействия атак и контрмер на
защищаемую систему: атак - когда они нарушают политику
безопасности, и контрмер - когда они изменяют
конфигурацию системы
PHD’2015, 26-27 мая 2015 г.
конфигурацию системы

Базовые работы по моделированию
атак и контрмер (1/2)атак и контрмер (1/2)
 Проверка на модели (C.Ramakrishnan и R.Sekar, R.Ritchey иПроверка на модели (C.Ramakrishnan и R.Sekar, R.Ritchey и
P.Ammann, O.Sheyner, S.Jha и J.Wing – SMV, NuSMV, SPIN).
Требуют определить гипотезу (состояние системы),
й d l h kiнарушение которой проверяется методом model checking
 Экспертные системы (M.Danforth – Java Expert System
Shell) Правила задают выполнение атакующих действийShell). Правила задают выполнение атакующих действий,
факты – состояния системы. Атаки определяются в виде
предусловия/постусловияр ду у
 Логический подход (X.Ou, W.Boyer, M.McQueen – Datalog
language). Граф состоит из вершин вывода и вершин фактов.
Модель сети – множество высказываний Datalog, атаки –
правила Datalog
Г ф Н C Phili L S il ф Графы атак. Например C.Philips и L.Swiler строят граф:
вершины – состояния системы, дуги – переходы [Ortalo et al.,
1999; Ritchey&Ammann, 2000; Sheyner et al., 2002; Rieke, 2004;
PHD’2015, 26-27 мая 2015 г.
1999; Ritchey&Ammann, 2000; Sheyner et al., 2002; Rieke, 2004;
Noel&Jajodia, 2005; Lippmann&Ingols, 2006; …]

Базовые работы по моделированию
атак и контрмер (2/2)
П й й
атак и контрмер (2/2)
• Представление сценариев атак и моделей нарушителей
[Schneier, 1999; Dawkins et al., 2002; Shepard et al., 2005; …]
С ф ф й• Спецификация платформ, уязвимостей, оценок
уязвимостей, атак, слабостей и конфигураций [NVD;
OSVDB; CVE; CVSS; CPE; CCE; CWE; CAPEC; ]OSVDB; CVE; CVSS; CPE; CCE; CWE; CAPEC; … ]
• Метрики защищенности [Mell et al., 2007; Jaquith, 2007;
Herrmann 2007; Jansen 2009; ]Herrmann, 2007; Jansen, 2009; …]
• Комбинирование графов зависимостей сервисов и
ф [Kh i t l 2009 Kh i t l 2010 ]графов атак [Kheir et al., 2009; Kheir et al., 2010; …]
• Представление атак нулевого дня [Ingols et al., 2009;
W t l 2010 ]Wang et al., 2010; …]
• Моделирование контрмер [Kheir et al., 2010; Grenadillo et
l 2012 ]
PHD’2015, 26-27 мая 2015 г.
al., 2012; …]

Классы метрик и релевантные работы (1Классы метрик и релевантные работы (1/3/3))
1.1. Топологические метрикиТопологические метрики [[Mayer, 2007; Mell et al., 2007; CIS, 2009]]
Метрики характеризующие хосты и их связностьМетрики характеризующие хосты и их связность::-- Метрики, характеризующие хосты и их связностьМетрики, характеризующие хосты и их связность::
-- Незащищенность,Незащищенность,
-- Критичность хоста (ценность для бизнеса),Критичность хоста (ценность для бизнеса),
-- Риск,Риск,
-- Нисходящий риск.Нисходящий риск.
-- Топологические характеристики с точки зрения приложенийТопологические характеристики с точки зрения приложений::Топологические характеристики с точки зрения приложенийТопологические характеристики с точки зрения приложений::
-- Количество приложений,Количество приложений,
-- Процент критичных приложений.Процент критичных приложений.
Т ф бТ ф б-- Топологические характеристики, учитывающие информацию обТопологические характеристики, учитывающие информацию об
уязвимостяхуязвимостях::
-- Процент систем без известных критичных уязвимостей,Процент систем без известных критичных уязвимостей,
-- Среднее время на устранение уязвимости,Среднее время на устранение уязвимости,
-- Количество известных уязвимостей.Количество известных уязвимостей.
-- Топологические характеристики учитывающие информацию обТопологические характеристики учитывающие информацию об-- Топологические характеристики, учитывающие информацию обТопологические характеристики, учитывающие информацию об
атакахатаках::
-- Критичность уязвимости иКритичность уязвимости и Сложность доступа к уязвимости,Сложность доступа к уязвимости,
позволяющие вычислить Вероятность атакипозволяющие вычислить Вероятность атаки
PHD’2015, 26-27 мая 2015 г.
позволяющие вычислить Вероятность атаки.позволяющие вычислить Вероятность атаки.

2.2. Метрики нарушителяМетрики нарушителя
[Kanoun et al 2008; Dantu et al 2009; Olsson 2009]:[Kanoun et al., 2008; Dantu et al., 2009; Olsson, 2009]:
Уровень навыков нарушителя (Attacker Skill Level), определяемый на основе
вероятностей и исторических данных (статический подход) и (или) на основе
б й ( й )событий, происходящих в системе (динамический подход).
[Wheeler& Larson, 2003; Hunker et al., 2008; Blakely, 2012]:
атрибуты нарушителя (Attack attribution) - имя, инструменты,р у ру ( ) , ру ,
географическое положение, мотивы.
3.3. Метрики атак и контрмерМетрики атак и контрмер
[K t l 2009 St kh t l 2007 W t l 2007 Kh i t l 2010][Kanoun et al.,2009; Stakhanova et al.,2007; Wu et al.,2007; Kheir et al.,2010]:
Потенциал атаки (Attack potentiality) показывает, как близко находится
нарушитель к своей цели.
Влияние (ущерб от) атаки (Attack impact) – может быть определен для
каждого узла на графе атак статически или динамически на основе
зависимостей сервисов.р
[Toth&Kruegel, 2002; Balepin et al., 2003; Jahnke, 2009; Kheir, 2010; Kheir et
al., 2010; Kheir&Viinikka, 2011; D4.3.1, 2011]:
метрики связанные с контрмерами - Эффективность реагирования или
PHD’2015, 26-27 мая 2015 г.
метрики, связанные с контрмерами - Эффективность реагирования или
Выигрыш при реагировании, Побочные потери при реагировании.

4.4. Интегральные метрики (Интегральные метрики (метрикиметрики уровня системы)уровня системы)
[Howard et al., 2003; Manadhata&Wing, 2004; Manadhata et al., 2007;
Manadhata&Wing, 2010]: Поверхность атаки (Attack Surface)
определяется на основе отношения потенциала разрушений к затратам.р р ру р
[Kotenko&Stepashkin, 2006-1; Dantu et al., 2009; Poolsappasit et al.,
2012]: Уровень риска (Risk Level).
55 АА [H 2000 Kh i t l 20105.5. Анализ стоимостиАнализ стоимости--выигрышавыигрыша [Hoo, 2000; Kheir et al., 2010;
AlienVault, 2011; D5.2.1, 2012]
Общий выигрыш и Ожидаемые годовые потери (Annual Loss Expectancy),щ р р ( p y),
Возврат инвестиций от реагирования на атаку (Return-On-Response-
Investment (RORI) index).
66 Анализ уязвимостей нулевого дняАнализ уязвимостей нулевого дня [Ahmed et al 2008; Ingols et al6.6. Анализ уязвимостей нулевого дняАнализ уязвимостей нулевого дня [Ahmed et al., 2008; Ingols et al.,
2009; Wang et al., 2010]
Вероятностная мера уязвимости (Probabilistic Vulnerability Measure),
показывающая насколько вероятно возникновение уязвимости нулевого дня
за определенный период времени.
k-безопасность нулевого дня (k-zero day safety) - показатель,
PHD’2015, 26-27 мая 2015 г.
определяющий устойчивость сети к уязвимостям нулевого дня.

PHD’2015, 26-27 мая 2015 г.
[Robert A. Martin. Securing the Cyber Ecosystem. 2011]

Взаимосвязь протоколов управленияВзаимосвязь протоколов управления
безопасностью и местобезопасностью и место SCAPSCAPбезопасностью и местобезопасностью и место SCAPSCAP
PHD’2015, 26-27 мая 2015 г.

КомпонентыКомпоненты SCAPSCAP
((Security Content Automation ProtocolSecurity Content Automation Protocol))((Security Content Automation ProtocolSecurity Content Automation Protocol))
 Common Vulnerabilities and Exposures (CVE)p ( )
 База данных об уязвимостях безопасности
 Common Configuration Enumeration (CCE)g ( )
 База данных уязвимых конфигураций ПО
 Common Platform Enumeration (CPE) Common Platform Enumeration (CPE)
 Стандартная номенклатура и база имен продуктов
 eXtensible Checklist Configuration Description Format eXtensible Checklist Configuration Description Format
(XCCDF)
 Стандарт по XML-спецификации контрольных листовд р ц ф ц р
 Open Vulnerability Assessment Language (OVAL)
 Стандарт по XML-спецификации для контроля состоянийд р ц ф ц д р
процессов
 Common Vulnerability Scoring System (CVSS)
PHD’2015, 26-27 мая 2015 г.
 Стандарт оценки влияния уязвимостей

Другие протоколыДругие протоколы
 Threat Analysis Automation Protocol (TAAP)
 Для документирования и совместного использования структурной Для документирования и совместного использования структурной
информации об угрозах. Malware Attribute Enumeration & Characterization
(MAEC), Common Attack Pattern Enumeration & Classification (CAPEC),
Common Platform Enumeration (CPE), Common Weakness Enumeration
(CWE) O V l bilit d A t L (OVAL) C(CWE), Open Vulnerability and Assessment Language (OVAL), Common
Configuration Enumeration (CCE) и Common Vulnerabilities and Exposures
(CVE).
 Event Management Automation Protocol (EMAP) Event Management Automation Protocol (EMAP)
 Для отчетов о событиях безопасности. Common Event Expression (CEE),
Malware Attribute Enumeration & Characterization (MAEC), и Common Attack
Pattern Enumeration & Classification (CAPEC)Pattern Enumeration & Classification (CAPEC).
 Incident Tracking and Assessment Protocol (ITAP)
 Для отслеживания, документирования, управления и совместного
использования информации об инцидентах Open Vulnerability andиспользования информации об инцидентах. Open Vulnerability and
Assessment Language (OVAL), Common Platform Enumeration (CPE), Common
Configuration Enumeration (CCE), Common Vulnerabilities and Exposures
(CVE), Common Vulnerability Scoring System (CVSS), Malware Attribute
E ti & Ch t i ti (MAEC) C Att k P tt E tiEnumeration & Characterization (MAEC), Common Attack Pattern Enumeration
& Classification (CAPEC), Common Weakness Enumeration (CWE), Common
Event Expression (CEE), Incident Object Description Exchange Format (IODEF),
National Information Exchange Model (NIEM) и Cybersecurity Information
PHD’2015, 26-27 мая 2015 г.
National Information Exchange Model (NIEM) и Cybersecurity Information
Exchange Format (CYBEX).

Перечень стандартов и стандарты,Перечень стандартов и стандарты,
используемыеиспользуемые SCAP (1/2)SCAP (1/2)используемыеиспользуемые SCAP (1/2)SCAP (1/2)
PHD’2015, 26-27 мая 2015 г.

Перечень стандартов и стандарты,Перечень стандартов и стандарты,
используемыеиспользуемые SCAP (1/2)SCAP (1/2)используемыеиспользуемые SCAP (1/2)SCAP (1/2)
PHD’2015, 26-27 мая 2015 г.
ARF - Advanced Recording Format

МетрикиМетрики CVSS (Common VulnerabilityCVSS (Common Vulnerability
Security Scoring)Security Scoring)Security Scoring)Security Scoring)
(Base Metrics)
(Temporal Metrics)
(Environmental Metrics)
(AccessVector)
(ConfImpact) (Exploitability) (CollateralDamage)
(ConfReq)
(AccessComplexity) (IntegImpact) (Remediation Level) (TargetDistribution)
(IntegReq)
(Authentication ) (AvailImpact) (ReportConfidence) (AvailReq)
 http://www.first.org/cvss/
 CVSS v.3. - March 15th, 2013
PHD’2015, 26-27 мая 2015 г.

Common Remediation Enumeration (CRE)Common Remediation Enumeration (CRE) ((1/21/2))
• Это перечисление где каждая запись определяет один набор• Это перечисление, где каждая запись определяет один набор
действий, который можно принять в целях устранения
уязвимостей, неверных настроек, или нарушения политикиу , р р , ру
безопасности
• Описания представляются в виде спецификаций, понятных
оператору
• Поскольку любая уязвимость, настройка или нарушение
может использоваться несколькими способами томожет использоваться несколькими способами, то
существует множество связанных с ними записей CRE
• CRE описывает данные которые необходимы для поддержкиCRE описывает данные, которые необходимы для поддержки
идентифицированных случаев технического использования
• CRE не предписывает формат базы данных, схему илиу
любую другую модель представления
[Waltermire D Johnson C Kerr M Wojcik M & Wunder J Proposed Open Specifications for
PHD’2015, 26-27 мая 2015 г.
[Waltermire, D., Johnson, C., Kerr, M., Wojcik, M., & Wunder, J. Proposed Open Specifications for
Enterprise Information Security Remediation – Draft (NIST Interagency Report 7670). NIST, 2011]

Extended Remediation Information (ERI)Extended Remediation Information (ERI)
• Это словарь с дополнительными данными о каждой записир д д д
CRE.
• Примеры соответствующих данных могут включать:
• ссылки на CPE, CVE и CCE;
• предпосылки для контрмер;
рас ре е о са а о о реа за о р ер• расширенные описания шагов по реализации контрмер;
• последующие действия как для успешных, так и
неудачных попыток применить контрмерынеудачных попыток применить контрмеры.
• ERI не предписывает формат базы данных, схему или
любую другую модель представления, а просто определяету дру у д р д , р р д
дополнительные данные, которые могут потребоваться для
поддержки выявленных примеров применения, не
[Johnson C Enterprise Remediation Automation NIST Proceedings of the IT Security
входящих в базовые записи CRE.
PHD’2015, 26-27 мая 2015 г.
[Johnson C. Enterprise Remediation Automation. NIST, Proceedings of the IT Security
Automation Conference, 2010]

Remediation Manager StandardsRemediation Manager Standards--BasedBased
ProcessingProcessingProcessingProcessing
[J ff D t St d d B d A t t d R di ti A R di ti M
PHD’2015, 26-27 мая 2015 г.
[Jeff Davenport. Standards-Based Automated Remediation. A Remediation Manager
Reference Implementation. 2011]

Примеры общих метрик (1Примеры общих метрик (1//6)6)
Поверхность Атаки (ATS) - определяет процент узлов целевой
системы/подсистемы уязвимых к определенному типу атак:системы/подсистемы, уязвимых к определенному типу атак:
,
Vnodes
ATS
Tot nodes

где Vnodes - число узлов, уязвимых к определенному типу атак,
Tot nodes - число всех узлов целевой системы/подсистемы.
_Tot nodes
Tot_nodes число всех узлов целевой системы/подсистемы.
Взвешенная поверхность атаки (BATS) - не все уязвимые узлы
системы одинаково “достижимы” каждым типом атак. Например, если
атака, нуждается в сетевом соединении, но целевой узел не соединен,
влияние будет минимальным:влияние будет минимальным:
1
,
n k
k kn
R Vnodes
BATS
Tot nodes




где k обозначает кластеры уязвимых узлов, умеющих одинаковый индекс
“достижимости” (Rk). Rk ϵ [0,1].
_
PHD’2015, 26-27 мая 2015 г.
[NIST, 1983; Swanson M. et al., 2003; Masera M., Fovino I., 2010; ...]

Примеры общих метрик (Примеры общих метрик (2/2/6)6)
Глубина Атаки (ATD) - когда узел успешно атакован, эффект от атаки
обычно распространяется на другие узлы Учитывая процент узлов наобычно распространяется на другие узлы. Учитывая процент узлов, на
которые может косвенно повлиять успешная атака на определенном узле,
этот показатель указывает как глубоко атака влияет на систему:
I t d d б
_
,
_
Impacted nodes
ATD
Tot nodes

где Imacted_nodes - узлы, которые могут быть поражены при атаке.
Взвешенная глубина атаки (BATD) - не все пораженные узлы имеют
одинаковую значимость для системы. Поэтому необходима уточненная
версия показателя ATD, чтобы учесть этот аспект:
n k
 1
_
,
_
n k
k kn
Rel Impacted nodes
BATD
Tot nodes




где k обозначает кластеры пораженных узлов, имеющих одинаковый
показатель “значимость” (Relk). Relk ϵ [0,1].
PHD’2015, 26-27 мая 2015 г.

Уровень иммунитета системы (SIL):
SIL=1-ATSSIL=1-ATS .
Он позволяет измерить уровень защиты системы против заданной
прямой целевой атаки.
С (AES) бСкорость распространения атаки (AES) - чем быстрее атака
приводит систему к наиболее критичному состоянию, тем более сложно
будет вовремя отреагировать и остановить распространение атаки:уд р р р р р р
∆T
_
,
Impacted nodes
AES
T


где ∆T – время, прошедшее между началом атаки и достижением
наихудшего критического состояния, обусловленного влиянием атаки.
Скорость распространения атаки на корневые узлы (CNATES) -Скорость распространения атаки на корневые узлы (CNATES)
так как не все узлы имеют одинаковый уровень значимости, можно
измерить скорость атаки, когда поражаются корневые узлы системы:
C N d i t d
_ _
,
Core Nodes impacted
CNATES
T


PHD’2015, 26-27 мая 2015 г.
где Core_Nodes_impacted - корневые узлы системы.

Примеры общих метрик (Примеры общих метрик (4/4/6)6)
Влияние на незапланированное время простоя узла (NUDI) –
измеряется в денежных единицах определяет экономический ущерб отизмеряется в денежных единицах, определяет экономический ущерб от
времени простоя атакованного узла.
Суммарное влияние на время простоя узла (TUDI):Су ар ое вли ие а вре рос о узла ( U )
где i обозначает узлы которые в результате атаки прекращают
1
,
i n
ii
TUDI NUDI


 
где i обозначает узлы, которые в результате атаки прекращают
выполнять необходимый сервис.
Время реакции на атаку (SRT) - время, которое требовалось для
б йобнаружения атаки и выполнения процедуры минимизации воздействия,
измеряемое от момента обнаружения первых симптомов атаки и до того,
как процесс атаки взят под контроль.р ц д р
Среднее время восстановления узла (NMTR) - измеряется с момента
потери узлом способности запускать его сервисы, и до того как узел
возвращается в приемлемое состояние.
Среднее время восстановления системы (SMTR) - измеряется с
момента потери системой возможности запускать ее сервисы и до
PHD’2015, 26-27 мая 2015 г.
момента потери системой возможности запускать ее сервисы и до
момента возвращения в рабочее состояние.

Плотность уязвимостей (VD):
n vuln
где n vuln - число уязвимостей в системе
_
,
_
n vuln
VD
Tot nodes

где n_vuln число уязвимостей в системе.
Взвешенная плотность уязвимостей (WVD) - в формулу для VD
могут быть вставлены веса чтобы учесть значимость уязвимостей
Годовое ожидание потерь (ALE) - денежные потери, которые могут
ожидаться для актива, в соответствии с риском возможных потерь от
могут быть вставлены веса, чтобы учесть значимость уязвимостей.
ожидаться для актива, в соответствии с риском возможных потерь от
реализации атак в течение одного года:
ALE= SLE · ARO ,
SLE ( бгде SLE – одиночные ожидаемые потери (эта величина может быть
вычислена как TUDI + стоимость восстановления), ARO – годовая
плотность инцидентов, т.е. число успешных атак за один год, безплотность инцидентов, т.е. число успешных атак за один год, без
реализации определенных защитных мер.
PHD’2015, 26-27 мая 2015 г.

Установленный бизнес риск (BAR) служит для классификацииУстановленный бизнес риск (BAR) - служит для классификации
уязвимостей по типу, степени риска и потенциальному влиянию на
выполнение целевых задач. При оценке системы, ее подсистемы илир
отдельного узла, для каждой уязвимости безопасности, оценка BAR
вычисляется так:
BAR=Business_impact × risk_of_exploit;
где Business_impact и risk_of_exploit определены на пространстве целых
чисел [1-5]. Business_impact - потери в случае использования дефекта
(5 обозначает дефект который вызовет наибольшие финансовые(5 обозначает дефект, который вызовет наибольшие финансовые
потери); risk_of_exploit показывает, насколько просто атакующий может
использовать данный дефект (5 обозначает высокий риск).ф ( р )
PHD’2015, 26-27 мая 2015 г.

Примеры показателей,Примеры показателей,
характеризующих хосты и их связностьхарактеризующих хосты и их связностьхарактеризующих хосты и их связностьхарактеризующих хосты и их связность
Последующие хосты
И
у
хост F)
Источник
атаки
(хост F) Хост X
“Незащищенность”
(“E ”)(“Exposure”)
• достижимость хоста
• простота эксплуатации
уязвимостей Уязвимости Сервисыуязвимостей Сервисы
“Ценность для бизнеса” (“Business
V l ”)Value”)
•ущерб для бизнеса от потери хоста
Нисходящий риск (“Downstream
Risk”)
“Риск” (“Risk”)
• Exposure X BusinessValue
)
• кумулятивный риск для всех
хостов, атакуемых с данного хоста
PHD’2015, 26-27 мая 2015 г.
[[Mayer, 2007]

ПоказательПоказатель ““НезащищенностьНезащищенность”” (“Exposure”)(“Exposure”)
• представляется числом от 0 до 1
• измеряет вероятность, что некоторый хост X будет атакован
со стороны хоста F с учетом:
– дистанции между X и F
– количества уязвимостей на хосте
– сложности эксплуатации уязвимостей на хосте (с учетом
CVSS)
– сложности эксплуатации уязвимости на других хостах,
которые предшествуют X на пути от F
PHD’2015, 26-27 мая 2015 г.

ПоказательПоказатель ““НезащищенностьНезащищенность”” (“Exposure”)(“Exposure”)
 Определить показатели временной оценки CVSS для каждой
уязвимостиуязвимости
 Используя путь от хоста F к хосту X
 Для каждого хоста предшественника Ai выполнить: Для каждого хоста предшественника Ai выполнить:
 Определить уязвимости хоста X, доступные с хоста Ai
 Сгруппировать уязвимости по сервисам (например, всеру р у р ( р р,
smtp-уязвимости, все http-уязвимости и т.п.)
 Для каждого сервиса найти уязвимость, имеющую
б й CVSSнаибольшее значение временной оценки CVSS
 Определить, какие сервисы содержат наибольшие значения
временной оценки CVSS, и сохранить верхние три значениявременной оценки CVSS, и сохранить верхние три значения
(только одно для различных сервисов). Если существует
менее трех значений, использовать столько, сколько есть
В E Выполнить расчеты по учету предыдущих оценок Exposure
при переходе от хоста Ai к хосту X
 Вычислить: Exposure(X)  MAXi (Exposure(Ai) * Exposure(Ai X));
PHD’2015, 26-27 мая 2015 г.
 Вычислить: Exposure(X)  MAXi (Exposure(Ai) Exposure(Ai, X));
[[Mayer, 2007]

Уровень навыков нарушителяУровень навыков нарушителя
((AttackerAttacker SkillSkill LevelLevel ASLASL))((AttackerAttacker SkillSkill LevelLevel, ASL, ASL))
• ASL – это значимый индикатор возможности нарушителя по выполнениюр ру
определенных сценариев реализации атаки и достижения его целей.
• Оценка ASL возможна на основе отслеживания доступных сообщений и
предупреждений об отдельных шагах реализации атаки и включаетпредупреждений об отдельных шагах реализации атаки и включает
отслеживание действий нарушителя по графу атак.
• Упрощенный подход к оценке ASL - назначение уровня сложностир щ д д ц ур
каждому элементарному шагу атаки.
• Когда некоторое предупреждение соответствует определенной атаке,
ASL божидаемому ASL нарушителя может быть присвоено заданное
связанное значение сложности.
• Этот подход не учитывает различные факторы риска например то чтоЭтот подход не учитывает различные факторы риска, например то, что
нарушитель мог реализовать шаг атаки случайно.
• Более развитый подход - назначение уровней сложности определенным
последовательностям атак, являющимся комбинациями элементарных
атакующих действий.
• Это требует способности обнаруживать соответствие нескольким
PHD’2015, 26-27 мая 2015 г.
• Это требует способности обнаруживать соответствие нескольким
условиям, но приведет к снижению влияния различных факторов риска.

Влияние (ущерб от) атакиВлияние (ущерб от) атаки
((AttackAttack impactimpact AIAI)) (1/2)(1/2)((AttackAttack impactimpact, AI, AI)) (1/2)(1/2)
• Статический подход:Статический подход:
• AI статически устанавливается как атрибут каждого
элементарного узла в графе атак.
• Влияние на систему в случае успеха атаки соответствует
агрегации статических показателей влияния, назначенных каждому
успешному узлу графа атакуспешному узлу графа атак.
• Это неявно означает, что влияние атаки одинаково, независимо от
текущей конфигурации системы.
• В то же время, влияние атаки является динамическим показателем,
который должен модифицироваться вследствие изменения
конфигурации целевой системыконфигурации целевой системы.
• Использование существующих графов атак, без возможности
дальнейшего расширения, требует ручного обновления этихд р р , р у ру
влияний.
• Этот подход доказал свою жизнеспособность только для небольших
б й
PHD’2015, 26-27 мая 2015 г.
систем, где ручное обновление показателей влияния выполнимо.

Влияние (ущерб от) атакиВлияние (ущерб от) атаки
((AttackAttack impactimpact AIAI)) (2/2)(2/2)((AttackAttack impactimpact, AI, AI)) (2/2)(2/2)
• Динамический подход на основе моделей зависимостейД д д д
сервисов:
• Графы атак позволяют отслеживать последовательность
й йатакующих действий, пока нарушитель продвигается дальше в
целевой системе.
• Модели зависимостей сервисов позволяют отслеживать• Модели зависимостей сервисов позволяют отслеживать
развитие влияний атаки, в то время как нарушитель получает все
больше привилегий.
• Когда нарушитель реализует атаки, он приобретает
дополнительные отношения доверия и функциональные
йотношения, выражаемые в модели зависимостей сервисов, и,
таким образом, увеличивает влияние на систему.
• Изменение конфигурации сервисов ведет к изменению• Изменение конфигурации сервисов ведет к изменению
реализованных отношений, которые могут иметь прямое
воздействие на показатели влияния атаки.
PHD’2015, 26-27 мая 2015 г.

Эффективность реагированияЭффективность реагирования
((RResponseesponse EEfficiencyfficiency RE)RE)((RResponseesponse EEfficiencyfficiency, RE), RE)
• RE измеряет возможность механизмов защиты снизить влияние атаки.
В• В существующих моделях атак каждому элементарному атакующему
действию назначается набор возможных контрмер. Выбор контрмер неявно
подразумевает, что влияние атаки устранено.др у , у р
• Это сильное ограничение, так как контрмеры в ряде случаев только
частично противодействуют влиянию атаки. Эффективность реагирования
й ф Дтакже зависит от текущей конфигурации сервисов. Другими словами,
контрмера не всегда имеет ту же эффективность для различных
конфигураций системы.ф ур
• Комбинирование использования графов атак и графов зависимостей
сервисов позволяет динамически оценивать эффективность реагирования.
Контрмера может моделироваться как преобразование моделиКонтрмера может моделироваться как преобразование модели
зависимостей сервисов, которое модифицирует конфигурацию некоторого
сервиса.
• Эффективность контрмер оценивается посредством сравнения влияния
атаки без реализации механизмов реагирования с влиянием атаки, когда
реализованы контрмеры
PHD’2015, 26-27 мая 2015 г.
реализованы контрмеры.

,
контрмеры)
Возврат инвестиций в реагирование
(Return On Response Investment RORI):
контрмеры)
( )RG CD OC
RORI
CD OC
 


(Return-On-Response-Investment, RORI):
CD OC
где RG - эффективность реагирования, RG = ICb – Ica, ICb - ожидаемый
ущерб от атаки при отсутствии контмер, ICa - ожидаемый ущерб от атаки приущерб от атаки при отсутствии контмер, ICa ожидаемый ущерб от атаки при
реализации контмеры, CD - побочные потери при реагировании, OC - затраты
на контрмеры.
[Kheir N., 2010]
( )
100
ALE RM ARC
RORI
ARC AIV
 
 

Enhanced RORI:
[ ]
где ALE - ожидаемые годовые потери (соответствует последствиям
негативного события в случае отсутствия контрмер), которые зависят от
критичности и вероятности реализации атаки; RM уровень снижения риска вкритичности и вероятности реализации атаки; RM – уровень снижения риска в
случае реализации контрмеры; ARC = CD + OC – ожидаемые годовые затраты на
реализацию контрмеры; AIV – годовые затраты на инфраструктуру
( б ) й
PHD’2015, 26-27 мая 2015 г.
(оборудование, поддержка), в случае реализации защитной меры.
[Grenadillo et al., 2012]

План докладаПлан доклада
 Введение Введение
 SIEM-системы и аналитическая обработка
информации безопасности
 Метрики для моделирования атак анализа Метрики для моделирования атак, анализа
защищенности и выработки контрмер
 Анализ защищенности и выработка
контрмер на основе метрик безопасностир р р
 Визуализация метрик
 Реализация и эксперименты
PHD’2015, 26-27 мая 2015 г.

Особенности предлагаемых решений (1Особенности предлагаемых решений (1/2/2))
– Использование репозитория безопасности (содержащегор р ( д р щ
данные о конфигурации системы, моделях нарушителя,
уязвимостях, атаках, оценках, контрмерах и др.)
Эфф ф– Эффективные методики генерации графов атак и
зависимостей сервисов, базирующиеся на методиках
топологического анализа уязвимостей (TVA) которыетопологического анализа уязвимостей (TVA), которые
формируют потенциальные последовательности
использования уязвимостей для построения графов атак
– Учет как известных, так и новых атак, основанных на
уязвимостях 0-го дня
П ti б б– Применение anytime-алгоритмов для обеспечения близкого к
реальному времени генерации подграфов атак и процедур
анализа защищенности (anytime-алгоритм - итерационныйа ал за защ ще ос (a yt e ал ор ерац о
вычислительный алгоритм, который способен выдать
наилучшее на данный момент решение)
PHD’2015, 26-27 мая 2015 г. 49

Особенности предлагаемых решений (Особенности предлагаемых решений (2/22/2))
– Комбинированное использование графов атак и графовр р ф р ф
зависимостей сервисов
– Вычисление комплекса разнообразных показателей
защищенности, включая следующие показатели:
– уровень защищенности,
й– уровень воздействия и потенциал атаки,
– уровень навыков нарушителя,
эффективность контрмер– эффективность контрмер,
– степень побочных потерь при реализации контрмер и др.
Стохастическое аналитическое моделирование и интерактивная– Стохастическое аналитическое моделирование и интерактивная
поддержка принятия решений для выбора предпочтительных
решений по безопасности на основе определения предпочтений
относительно различных типов целей и требований (рисков,
стоимости, выигрыша) и установления компромиссов между
высокоуровневыми целями защиты информации
PHD’2015, 26-27 мая 2015 г. 50
высокоуровневыми целями защиты информации

Общий подход к анализу защищенностиОбщий подход к анализу защищенности
и выработке контрмери выработке контрмери выработке контрмери выработке контрмер
Модуль хранения Генерация Анализ Поддержка
С
Источники из
Интернета
Уязвимости
нулевого дня
данных графа атак графов атак
Генерация
принятия
решений
Спецификация
Стохастическое
моделирование
(CVE, CWE,
CAPEC, CRE,
CVSS и др.)
нулевого дня,
известные
уязвимости
р ц
возможных
контрмер
системы
Хосты (CPE),
политики
безопасности,
Показатели
защищенности
Возможные
последствия атак
Топологический
анализ
уязвимостей
Выбор контрмер,
сетевая
топология
Оператор
последствия атак,
эффективность
контрмер
уязвимостей
р р
Требования к
безопасности,
модель
нарушителя
Слабые места
сети
Зависимости
сервисов
Формирование
отчета
ру
О
PHD’2015, 26-27 мая 2015 г.
Оценка контрмер

Этапы функционированияЭтапы функционирования
 Этап разработки и ввода в эксплуатацию (не real-time)
 Определение слабых мест в сети
 Формирование базовых графов атак
 Расчет метрик безопасности защищаемой сети
 Формирование списка наиболее опасных уязвимостей
 Этап эксплуатации (near real-time)
 Обновление хранимых графов атак для соответствия
изменениям, происходящим в сети
 Оценка возможных мер по увеличению уровня защиты
 Предсказание действий нарушителя
 Обратный анализ действий нарушителя
PHD’2015, 26-27 мая 2015 г.

Режимы работыРежимы работы
Модель сети Расчет базовых
Знания оператора
Не real-time режим
Модель сети
метрик
Интернет
Д
ые
ки
Уязвимости
Внешние
базы
Деревья атак
Базовы
метрик
События в
реальном Режим anytime
Обновленные
деревья атак Расчет метрик
защищенности
р
времени Деревья атак
События в
реальном
времени
Режим near real-time
Определение
PHD’2015, 26-27 мая 2015 г.
времени Определение
сценариев атак
Рекомендации

Основные потоки данныхОсновные потоки данных
Выходные данныеВходные данные
Интернет
Уязвимости (CVE)
Графы атак
Оценки уязвимостей
(CVSS)
Выходные данныеВходные данные
Слабые места (CWE)
Шаблоны атак (CAPEC) Система анализа
защищенности и
б
Исправления (CRE)
Слабые места
в сети
Данные
из сети
выбора
контрмер
р ( )
События
безопасности (CEE)
Вычисленные
показатели
воздействия
б
Зависимости сервисов
Выбранные контрмеры
Изменения в
Конфигурация сети
Платформы хостов (CPE)
Политики безопасности
Возможные атаки и
контрмеры
соответствии с
выбранными
контрмерами
Конфигурация сети контрмеры
Требования
б
Предопреде‐
ленные
Выбранные модели
злоумышленника Модели
безопасности данные
PHD’2015, 26-27 мая 2015 г.
Пользователь
злоумышленника Модели
злоумышленника

Основные процессыОсновные процессы
Слабые места (CWE)
Уязвимости (CVE)
Генерация уязвимостей
Оценивание уязвимостей
(CVSS)
Система анализа защищенности и выбора контрмер
События безопасности(CEE)
Шаблоны атак (CAPEC)
Генерация уязвимостей
Выбор возможных атак
Платформы хостов (CPE)
(права доступа) и
конфигурация (CCE)
Выбор возможных атак
Выполнение
Зависимости сервисов
Конфигурация сети
Выбранные модели нарушителя удаленных
атак
Обнаруже‐
ние связан‐
ных хостов
Выполнение
локальных р
Требования безопасности
Возможные
контрмеры (CRE)
ных хостов
(Под)графы атак
Слабые места в сети
атак
контрмеры (CRE)
Выбранные
контрмеры
(Под)графы атак
(система)
В б
Вычисленные метрики
Входные и выходные
данные
PHD’2015, 26-27 мая 2015 г.
Выбор
контрмер
Выходные данные

Обобщенная архитектураОбобщенная архитектура
PHD’2015, 26-27 мая 2015 г.

Анализ событийАнализ событий
PHD’2015, 26-27 мая 2015 г.

Система показателей защищенности и
входные данные для их расчетавходные данные для их расчета
PHD’2015, 26-27 мая 2015 г.

Система метрик защищенности и
входные данные для их расчетавходные данные для их расчета
Level Input data Security metrics
main 0-day cost
Topological - System model (including - Host Vulnerability; - Host - Business Value;Topological System model (including
service dependencies);
- Information about system
vulnerabilities/weak places
(including indexes of CVSS)
Host Vulnerability;
- Host Weakness;
- Intrinsic Criticality;
- Propagated
Criticality; etc.
Host
Vulnerability
to 0-Day
attacks; etc.
Business Value;
etc.
(including indexes of CVSS) Criticality; etc.
Attack
graph
- All information from the
previous level;
- Attack graphs
- Attack Potentiality;
- Attack Impact; etc.
- Attack
Potentiality
Considering
0 D etc
- Monetary
Attack Impact;
- Response Cost;
etc0-Days; etc. etc.
Attacker - All information from the
previous level;
- Attacker profile (skills,
location in the system level of
- Attacker Skill Level;
- Profiled Attack
Potentiality; etc.
- Profiled
Attack
Potentiality
C id i
- Profiled
Monetary Attack
Impact;
P fil dlocation in the system, level of
the privileges)
Considering
0-Days; etc.
- Profiled
Response Cost;
etc.
Events - All information from the
previous level;
- Dynamic Attacker
Skill L l
- Dynamic
Att k
- Dynamic
M t Att kprevious level;
- Security incidents
Skill Level;
- Probabilistic Attacker
Skill Level;
- Dynamic Attack
P t ti lit etc
Attack
Potentiality
Considering
0-Days; etc.
Monetary Attack
Impact;
- Dynamic
Response Cost;
etcPotentiality; etc. etc.
Decision
support
- Metrics from the previous
levels
- Countermeasure Effectiveness;
- Collateral Damage
- Countermeasure
Cost
Integral Metrics from the previous Risk Level; Security Level; Attack Annual Loss
PHD’2015, 26-27 мая 2015 г.
Integral
(system)
- Metrics from the previous
levels
- Risk Level;- Security Level; - Attack
Surface; - Countermeasure Selection
Index
- Annual Loss
Expectancy

Методики вычисления показателейМетодики вычисления показателей
защищенностизащищенностизащищенностизащищенности
1.1. Статическая методика (экспресс оценки уровняСтатическая методика (экспресс оценки уровня( р ур( р ур
защищенности).защищенности). Определяется общий уровень
защищенности системы на основе учета возможности
реализации угроз и их последствий для системыреализации угроз и их последствий для системы.
22.. Статическая методика (на основе метрик топологического,Статическая методика (на основе метрик топологического,
графа атак и (или) атакующего)графа атак и (или) атакующего)графа атак и (или) атакующего).графа атак и (или) атакующего).
3. Динамическая методика (учитывающая события3. Динамическая методика (учитывающая события
безопасности происходящие в системе)безопасности происходящие в системе) ОриентированаОриентированабезопасности, происходящие в системе).безопасности, происходящие в системе). ОриентированаОриентирована
на работу в реальном времени, когда текущее положениена работу в реальном времени, когда текущее положение
атакующего и его перемещение в сети могут отслеживаться,атакующего и его перемещение в сети могут отслеживаться,
но существуют жесткие ограничения на время вычислений.но существуют жесткие ограничения на время вычислений.
3.3. Методика, основанная на анализе исторических данных.Методика, основанная на анализе исторических данных.
При вычислении вероятности и потенциала атаки
используются данные о предыдущих инцидентах.
PHD’2015, 26-27 мая 2015 г.

Метрики топологического уровня (1)
Уязвимость хоста
Слабость хоста
(Host Weakness)
(Host Vulnerability) 

n
i
ik wScoreCWSSCriticalhWeakness
1
)(__)(
k й k [1 ]h
Определяет серьезность – k-й хост системы, k  [1..m],
CWSS оценка слабого
kh
_ ( ),
_ ( ) 60.0
_ _ ( ) ,
0,
i
i
i
CWSS Score w
if CWSS Score w
Critical CWSS Score w
otherwise

 
 

)(wScoreCWSS
р д р
уязвимостей хоста
Нормализованная слабость хоста
( ) max _ ( )k i iVulnerability h Critical BaseScore v
– k-й хост системы, k [1..m],kh
– CWSS-оценка слабого
места , i  [1..n].
)(_ iwScoreCWSS
iw
Нормализованная слабость хоста
(Normalized Host Weakness)
– базовая оценка CVSS для
( ), ( ) 7.0
_ ( ) ,
0,
i i
i
BaseScore v if BaseScore v
Critical BaseScore v
otherwise

 

( )iBaseScore v _ ( )
n
iCWSS Score w
У 0 дНормализованная уязвимость хоста
уязвимости , i  [1..n].iv 1
_ ( ) 100%
max ( )
i
k
k k
N Weakness h
Weakness h

 

Уязвимость хоста к атакам 0-го дня
(Host Vulnerability to Zero Day Attacks
Нормализованная уязвимость хоста
(Normalized Host Vulnerability)
( )
( ) 100%kVulnerability h
N V l bilit h ( ) ( )Z Vulnerability h N Weakness h
PHD’2015, 26-27 мая 2015 г.
( )
_ ( ) 100%
max ( )
k
k
k k
y
N Vulnerability h
Vulnerability h
  _ ( ) _ ( )k kZ Vulnerability h N Weakness h

Метрики топологического уровня (2)
Критичность хоста (Host Criticality)
отражает бизнес значение хоста в сети (организации)
Выделение различных приложений хоста
отражает бизнес-значение хоста в сети (организации).
Определение внутренней критичности каждого приложения согласно важности
его конфиденциальности, целостности и доступности для системы (Cc, Ci, Ca)
Определение внешней критичности каждого приложения (на основе
зависимостей) как произведения внутренней критичности приложения на
весовую матрицу 2 1 12P Criticality W I Criticality весовую матрицу
Определение критичности хоста
2 1,_ 1_ _2__ _ap ap ap apP Criticality W I Criticality
max (c)Criticality max (c)
max (i)
max (a
_
)
k k
k k
k k
Criticality
H Criticality Criticality
Criticality
 
 
 
  ( )k ky 
(c) max(I (c),(1 I (a)) (c_ _ )_ )kCriticality Criticality Criticality P Criticality  
( ) max(I ( ),(1 I_ _ (a)) (_ ))kCriticality i Criticality i Criticality P Criticality i  
PHD’2015, 26-27 мая 2015 г.
( ) I ( ) ( ) I (a) ( )_ _ _ _kCriticality a Criticality a P Criticality a Criticality P Criticality a   

Метрики уровня графа атак, атакующего
и событий (1)и событий (1)
Ущерб от атаки (Attack Impact)
отражает ущерб от компрометации хостаотражает ущерб от компрометации хоста
Определение Непосредственного ущерба (Native Impact) для каждого
хоста из каждого атакующего действия на основе CVSS как тройки [Ic, Ii, Ia],
где I I I ущерб конфиденциальности целостности и доступностигде Ic, Ii , Ia - ущерб конфиденциальности, целостности и доступности
Ущерб от атаки вычисляется перемножением Непосредственного ущерба ищ р р р д ущ р
Критичности хоста
PHD’2015, 26-27 мая 2015 г.

Метрики уровня графа атак, атакующего
и событий (2)
Потенциал (вероятность) атаки
и событий (2)
ц ( р )
(Attack Potentiality (Probability))
отражает вероятность успеха атаки
Опреде- Определение РасчетДля Вычисление
р р у
Опреде
ление
вероятности
начального
Определение
вероятностей
узлов графа
атак на осно-
Расчет
апостериорных
вероятностей,
если какое-то
Для
каждого
узла вы-
числяются
Вычисление
безусловных
вероятностей для
каждого узла Si на
узла графа
атак (на
базе
ве сложности
доступа к
соответствую
событие
произошло :
локальные
распреде-
ления
д у i
основе локальных
распределений
вероятностей :
навыков
атакующего)
щей уязви-
мости (на
базе CVSS)
вероят-
ностей
Pr(A | B) Pr(B| A) 
Pr(A) / Pr(B)
1Pr( ,..., )nS S 
1
Pr( | Pa[ ]),
n
i ii
S S
 
P [ ]Sдля
атакующих
действий
- последова-
тельность всех
предков
Pa[ ]iS
iS
PHD’2015, 26-27 мая 2015 г.

контрмеры)контрмеры)
• Предложена модель контрмер, сформированная на основе
стандартов CRE и ERI.
• Модель включает определение характеристик, необходимых для
б йприменения модели в методике выбора контрмер, значений
характеристик и их связей с методикой выбора контрмер.
• Особенности статического и динамического режима принятия• Особенности статического и динамического режима принятия
решений привели к необходимости использовать в данной
модели следующие поля:д ду щ
• «режим работы системы» (может принимать значения
«статический»/«динамический»/«оба»);
• «средство реализации» (средство, необходимое для
реализации защитной меры);
область действия (может принимать значения элемент• «область действия» (может принимать значения «элемент
графа атак»/«хост»/«подсеть»/«сеть»).
PHD’2015, 26-27 мая 2015 г.

Поля модели контрмер и примеры значений
Поле Группа полей Описание Пример
Название Описание меры Текстовое значение Запрет или перенаправление
запросовзапросов
Описание Описание меры Текстовое значение Запрет или перенаправление
url-запросов от подозри-
тельных учетных записей
Уязвимость, против которой
направлена защитная мера
Связь с графом
атак
CVE CVE-2010-1870
Платформа или Связь с графом CPE или CCE cpe:/a:apache:struts:2.0.0
конфигурация, для которой
применима защитная мера
атак
Средство реализации Связь с методикой
б
Текстовое значение, экспертное Межсетевой экран
выбора мер
Режим работы системы Связь с методикой
выбора мер
Статический / динамический /
оба
Динамический
Область действия Связь с методикой Элемент графа атак / хост / Элемент графа атак
выбора мер
р ф
подсеть / сеть
р ф
Влияние на граф атак Связь с графом
атак
Удаление связи / добавление
связи / удаление узла / добав-
ление узла / изменение узла
Удаление связи
ление узла / изменение узла
Влияние на работу Показатель Вычисляется на основе графа
зависимостей сервисов
CD=[0 0 0,5]
Эффективность (или Показатель Задается экспертно EF=[0,5 0,5 0,5]
PHD’2015, 26-27 мая 2015 г.
снижение риска)
Стоимость Показатель Задается экспертно €500

Связь модели контрмер и графа атак
• В основе методики принятия решений лежит граф атак. Реализация
контрмеры влияет на переходы состояний и, соответственно, изменяет
граф атак (удаляя/добавляя узлы) и вероятности атак. Контрмера
может повлиять на каждый из этих элементов тремя способами:может повлиять на каждый из этих элементов тремя способами:
удаление, добавление, изменение (например, вероятности атак).
Пунктирные и сплошные стрелки
показаны для выделения путей,
соответствующих определеннымсоответствующих определенным
контрмерам, например, открытие
порта обуславливает добавление
дуги, но не узла.
PHD’2015, 26-27 мая 2015 г.

Представление политик безопасности
Матричное представление
прав доступа к ресурсам [1]
Представление прав
доступа к ресурсам в виде
[3]
Представление прав
прав доступа к ресурсам [1] карты деревьев [3]доступа к ресурсам
в виде графа [2]
[1] Reeder R. W., Bauer L., Cranor L. F., et al. Expandable grids for visualizing and authoring computer security policies. SIGCHI
Conference on Human Factors in Computing Systems (CHI '08). ACM, New York, NY, USA, 2008.
[2] Marouf S., Shehab M. SEGrapher: Visualization-based SELinux PolicyAnalysis. 4th Symposium on Configuration Analytics and
Automation (SAFECONFIG), 2011.
[3] H it A P l i B P th C T i R Eff ti Vi li ti f Fil S t A C t l 5th i t ti l
PHD’2015, 26-27 мая 2015 г.
[3] Heitzmann A., Palazzi B., Papamanthou C., Tamassia R. Effective Visualisation of File System Access-Control. 5th international
workshop on Visualisation for Computer Security (VizSec'08), LNCS, Vol.5210, Springer-Verlag, Berlin, Heidelberg, 2008.

Представление правил межсетевых
экрановэкранов
PolicyViz [2]
Визуализация в виде "солнечные лучи" (Sunburst) [1]
[1] Mansmann F., Göbel T., Cheswick W. Visual Analysis of Complex Firewall Configurations. VizSec'12, October 15, 2012, Seattle,
WA, USA, 2012.
[2] Tran T Al-Shaer E Boutaba R PolicyVis: Firewall Security Policy Visualisation and Inspection 21st Conference on Large
Визуализация в виде солнечные лучи (Sunburst) [1]
PHD’2015, 26-27 мая 2015 г.
[2] Tran T., Al-Shaer E., Boutaba R. PolicyVis: Firewall Security Policy Visualisation and Inspection. 21st Conference on Large
Installation System Administration Conference (LISA’07), USENIX Association, Berkeley, CA, USA, 2007.

Представление уязвимостей и событийПредставление уязвимостей и событий
безопасностибезопасностибезопасностибезопасности
Nv Tool [1][ ]
IDS Rainstorm [2]
Спиральное представление
событий безопасности [3]
[1] Harrison, L., Spahn, R., Iannacone, M., Downing, E., Goodall, J.R.: NV: Nessus Vulnerability Visualisation for the Web. Proc. of
the VizSec’12, October 15 2012, Seattle, WA, USA (2012)
[2] Abdullah K., Lee C., et al. IDS Rainstorm: Visualizing ids alarms. IEEE Workshops on Visualization for Computer Security, 2005.
PHD’2015, 26-27 мая 2015 г.
[ ] , , g p p y,
[3] Bertini E., Hertzog P., Lalanne D. SpiralView: Towards Security Policies Assessment through Visual Correlation of Network
Resources with Evolution of Alarms. IEEE Symposium on Visual Analytics Science and Technology (VAST) 2007.

Спиральное представлениеСпиральное представление событийсобытий
безопасностибезопасностибезопасностибезопасности
• Используется для мониторинга событий
ббезопасности, регистрируемых
различными датчиками безопасности
• В графической модели используется
Д б kвременная шкала. Для обозначения k
суток или месяцев применяется шкала,
состоящая из k окружностей разного
О 24радиуса. Окружности разделены на 24
части, обозначающие часы в сутках.
Самые ранние события в виде точек
располагаются на внутренней
окружности, а самые поздние - на
внешней.
• Цвет точки обозначает тип события, а
размер точки - уровень его критичности.
• Для анализа событий реализованы
механизмы фильтрации,
масштабирования и выделения событий
цветом в зависимости от заданных
PHD’2015, 26-27 мая 2015 г.
пользователем условий.

Визуализация графов атакВизуализация графов атак
Использование карт Использование матричного
представления [3]
Использование карт
деревьев [2]Использование графов [1]
[1] Noel S., Jacobs M., Kalapa P., Jajodia S. Multiple Coordinated Views for Network Attack Graphs. IEEE Workshops on
Visualisation for Computer Security, IEEE Computer Society, 2005.
[2] Williams L., Lippmann R., Ingols K. GARNET: A Graphical Attack Graph and Reachability Network Evaluation Tool. 5th
International Workshop on Visualisation for Computer Security (VizSec'08), LNCS, Vol.5210, Springer-Verlag, 2008.
[3] N l S J j di S U d t di C l N t k Att k G h th h Cl t d Adj M t i 21 t A l C t
PHD’2015, 26-27 мая 2015 г.
[3] Noel S., Jajodia S. Understanding Complex Network Attack Graphs through Clustered Adjacency Matrices. 21st Annual Computer
Security Applications Conference (ACSAC’05). IEEE Computer Society, 2005.

OSSIM: карта рисковOSSIM: карта рисков
Карта рисков отображает информацию о состоянии риска (R),
уязвимостей (V) и доступности (A) каждого сетевого объекта,
расположенного на карте в виде светофоров
PHD’2015, 26-27 мая 2015 г.
расположенного на карте в виде светофоров

Метафора представления метрик
защищенности [Erbacher 2012]защищенности [Erbacher, 2012]
 Каждая метрика представляется с использованием циферблата,Каждая метрика представляется с использованием циферблата,
и ее значение "усиливается" цветом, чтобы сделать боле
быстрым восприятие. Наружное кольцо соответствует более
позднему (текущему) значениюпозднему (текущему) значению
 Набор метрик представляется с помощью множества различных
циферблатов (cyber command gauge cluster ) для поддержки
принятия контрмер и выполнения других задач защиты
информации
PHD’2015, 26-27 мая 2015 г.

Модель оперативного индикатора
доверия [Matuszak et al., 2013]доверия [Matuszak et al., 2013]
 В одном индикаторе отображается три типа доверия В одном индикаторе отображается три типа доверия,
цвет используется для задания значения доверия
 Эти параметры представляются в виде части Эти параметры представляются в виде части
наружного кольца круга. Круг в центре обозначает
общее доверие рассчитываемое как взвешеннаяобщее доверие, рассчитываемое как взвешенная
сумма других видов доверия
PHD’2015, 26-27 мая 2015 г.

Отчеты о защищенности в форме карт
деревьевдеревьев
(a) критичность vs. уровень защищенности;
(b) критичность vs. серьезность уязвимости
( ) (b)(a) (b)
Каждый прямоугольник отображает хост. Размер прямоугольника
определяется критичностью хоста (business value). Цвет обозначает
PHD’2015, 26-27 мая 2015 г.
р д р ( ) Ц
серьезности уязвимости на данном хосте или уровня защищенности.

Анализ достижимости атакиАнализ достижимости атаки
на основе карт деревьевна основе карт деревьевна основе карт деревьевна основе карт деревьев
Размер вложенных прямоугольников соответствует уровню критичности,
а цвет отражает состояние хоста (красный - хост достигаем
PHD’2015, 26-27 мая 2015 г.
а цвет отражает состояние хоста (красный хост достигаем
нарушителем, зеленый - нарушитель не может получить доступ к хосту.

Предлагаемое представление метрик
защищенностизащищенности
 Для предоставления пользователям возможности
анализировать несколько метрик предложена модельанализировать несколько метрик предложена модель
визуализации (глиф) на основе кругов, способная отображать
предыдущие значения метрик
 Круг разделяется на n секторов, которые отображают
значения n метрик. Внешние кольца представляют
предыдущие значенияпредыдущие значения
 Для отображения критичности значения используется цвет
 Модификация этой модели – от критичности значения метрики
зависит радиус сектора
90909090
PHD’2015, 26-27 мая 2015 г.

ПредставлениеПредставление хоста схоста с использованиемиспользованием
глифаглифаглифаглифа
Схема кодирования цвета:
Д• Для рациональных и интервальных параметров определено пять
интервалов, обозначенных как {None, Low, Medium, Above
Medium, High}. Эти значения кодируются с использованиемMedium, High}. Эти значения кодируются с использованием
шкалы “желтый – красный”, за исключением значения None,
которое обозначается с помощью зеленого цвета.
• Для кодирования уровня критичности хоста используется другая
схема, так как эта метрика должна применяться для
приоритезации действий аналитика и не предназначена дляприоритезации действий аналитика и не предназначена для
оповещения о возможной опасности, как другие метрики.
PHD’2015, 26-27 мая 2015 г.

Глиф для отображения метрик RORI
для различных контрмердля различных контрмер
RORI (Return On Response Investment, Возврат
й )инвестиций в реагирование) - учитывает стоимость
контрмеры, связанное с контрмерой снижение риска, ценность
хоста для бизнеса и ожидаемые потери
C1 ‐ Ничего не делать (RORI = 0.0%).
C2 ‐ Блокирование подозрительных
хоста для бизнеса и ожидаемые потери
р д р
учетных записей (RORI = 400.36%).
C3 ‐ Активация систем обнаружения
в ор е й (IDS) в с ра е ес ес а вторжений (IDS) в стратегических местах
(RORI = 308.96%).
C4 ‐ Изменение порта (RORI = 163.64%).4 р ( 3 4 )
C5 ‐ Активация многофакторной
аутентификации (RORI = 386.07%).
C6 А ва рав об ар е C6 ‐ Активация правил обнаружения
аномального поведения (RORI=411.52%).
C7 ‐ Временная деактивация учетной записи
PHD’2015, 26-27 мая 2015 г.
7 р д ц у
(RORI = 259.40%).

Элементы графического интерфейсаЭлементы графического интерфейса
(примеры высокоуровневых метрик)(примеры высокоуровневых метрик)(примеры высокоуровневых метрик)(примеры высокоуровневых метрик)
Метрики безопасности – семафор
Security Level
Not defined Пиктограммы, использующие для
отображения графа атак
Green (Network is secured)
Yellow (Low Criticality)
Исходное положение нарушителя
Применение атомарного действия
отображения графа атак
Orange (Medium Criticality)
Yellow (Low Criticality) Применение атомарного действия
Применение сценария без
использования уязвимости
Red (High Criticality )
использования уязвимости
Эксплуатация уязвимости
PHD’2015, 26-27 мая 2015 г.

Методики визуализации (1)
 Кодирование цвета Кодирование цвета
 Разработана схема кодирования цвета по умолчанию для
отображения порядковых метрик со значениями {Highотображения порядковых метрик со значениями {High,
Above Medium, Medium, Low}
 Но эта схема не может быть легко адаптирована дляНо эта схема не может быть легко адаптирована для
отображения номинальных и рациональных метрик, так
как для этого должны быть настроены пороговые значения
для определения нормальных и критических значений
 Необходимо обеспечить гибкий механизм для настройки
схемы цветов для номинальных метрик и определения
пороговых значений и соответствующих цветов для
рациональных
PHD’2015, 26-27 мая 2015 г.

Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и управления у

Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и управления у

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и управления у

Similaire à Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и управления у (20)

Plus de Positive Hack Days

Plus de Positive Hack Days (20)

Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и управления у