Динамическое оценивание защищенности компьютерных сетей
Upcoming SlideShare
Loading in...5
×
 

Динамическое оценивание защищенности компьютерных сетей

on

  • 140 views

 

Statistics

Views

Total Views
140
Views on SlideShare
140
Embed Views
0

Actions

Likes
0
Downloads
7
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Динамическое оценивание защищенности компьютерных сетей Динамическое оценивание защищенности компьютерных сетей Presentation Transcript

    • Positive Hack Days’2014, 21-22 мая 2014 г. ДИНАМИЧЕСКОЕ ОЦЕНИВАНИЕ ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ В SIEM-СИСТЕМАХ Дойникова Е.В. Лаборатория проблем компьютерной безопасности Санкт-Петербургского Института Информатики и Автоматизации РАН Санкт-Петербург, Россия
    • Positive Hack Days’2014, 21-22 мая 2014 г. Основные функции систем управления информацией и событиями безопасности (SIEM-систем) SIM SEM SIEM-система • Отчеты в реальном времени • Сбор логов • Нормализация • Корреляция • Агрегация • Сбор логов • Хранение исторической информации • Отчетность о происшедших инцидентах • Форензика • Сбор логов • Нормализация • Корреляция • Агрегация • Выработка контрмер • Составление отчетов
    • Positive Hack Days’2014, 21-22 мая 2014 г. Обобщенная архитектура SIEM-системы и место оценивания защищенности Сборщик Правила корреляции Сырые данные Скоррелированные события Контрмеры Уровень событий Уровень приложенийУровень данных События безопасности Ядро системы управления информацией и событиями безопасности Правила защиты Хранилище Оценивание защищенности Визуализация Шина данных Анализ событий Выбор контрмер Рассылка команд Уровень сети
    • Positive Hack Days’2014, 21-22 мая 2014 г. Общий процесс оценивания защищенности – Анализ рисков • Выявление источников рисков (включает выявление активов, угроз, средств управления безопасностью, уязвимостей и возможного ущерба) • Оценивание степени рисков (вычисление показателей защищенности) – Оценивание значительности рисков (сравнение уровня рисков с критерием оценки рисков и критерием принятия рисков) Выявление рисков (аналитическое моделирование атак) Оценивание уровня рисков (показатели защищенности) Оценивание значительности рисков (общий уровень защищенности) Обработка рисков (меры по изменению уровня рисков) Граф атак Анализрисков Оцениваниерисков Рекомендации
    • Positive Hack Days’2014, 21-22 мая 2014 г. Постановка задачи • Цель – исследование и разработка системы показателей защищенности и алгоритмов их вычисления для компонента анализа защищенности в рамках SIEM- системы • Требования: – Учет различных характеристик для определения слабых мест системы в статическом режиме – Учет событий безопасности для определения профилей атак в динамическом режиме функционирования системы – Предоставление лицу, принимающему решение, актуальной и адекватной информации о состоянии системы – Учет требований стандартов и протоколов в области ИБ
    • Positive Hack Days’2014, 21-22 мая 2014 г. Релевантные работы (1/2) Показатели защищенности • Показатели, основанные на характеристиках объектов оценивания защищенности, таких как хосты, приложения, уязвимости, инциденты и т.п. [CIS, 2009] • Показатели для вычисления рисков, основанные на уязвимости и ценности отдельных хостов, предложенные в [Mayer, 2007] и [Lorenzo, 2011] • Показатели, характеризующие потенциал атаки [Poolsappasit et al., 2012]. Обычно вычисляются на основе графов атак • Показатели, отражающие уровень ущерба от атаки [Kheir et al., 2010]. Обычно вычисляются на основе графов зависимостей сервисов • Показатели, учитывающие возможность уязвимостей 0-дня [Wang et al., 2010] • Показатели, отражающие характеристики атакующего [Olsson, 2009]
    • Positive Hack Days’2014, 21-22 мая 2014 г. Релевантные работы (2/2) Классификации показателей защищенности • Таксономии, выделяющие показатели по целям оценивания защищенности: – Организационные показатели и технические показатели [Vaughn et al., 2003] – Управленческие, технические и организационные [NIST, 2003] – Основные категории: защищенность, качество сервиса и доступность. Для каждой из основных категорий определены организационные и операционные показатели [Seddigh et al., 2004] – Показатели, относящиеся к бизнес функциям: управление инцидентами, управление уязвимостями, управление заплатками, защищенность приложений, управление конфигурациями, и финансовые показатели [CIS, 2009] • Классификации по способу вычисления показателей: – Первичные и вторичные показатели [Idika, 2010] – Показатели, вычисляемые на основе графов атак и на вычисляемые на основе графов зависимостей сервисов [Kheir et al., 2010] • Классификации по типам значений показателей: – Существование; качественное значение; счет; количественное значение; процент; целостность; ценность; неопределенность [Axelrod, 2008]
    • Positive Hack Days’2014, 21-22 мая 2014 г. Классификация показателей защищенности Модель системы (включая зависимости сервисов) Уязвимости/ слабые места Показатели уровня графа атак Профиль атакующего Показатели уровня атакующего События безопасности Показатели уровня событий Интегральные показатели Показатели топологического уровня Графы атак - Уязвимость хоста - Слабость хоста - Внутренняя критичность - Внешняя критичность - Процент систем без известных критичных уязвимостей - Уязвимость хоста к атакам нулевого дня - Ценность хоста для бизнеса - Критичность атакующих действий - Потенциал атаки - Ущерб от атаки - Потенциал атаки с учетом 0-дня -Стоимостной ущерб от атаки - Затраты на реагирование - Уровень навыков атакующего - Профильный потенциал атаки - Профильный потенциал атаки с учетом 0-дня -Профильный стоимостной ущерб от атаки - Профильные затраты на реагирование - Позиция атакующего - Динамический уровень навыков атакующего - Вероятностный уровень навыков атакующего - Динамический потенциал атаки - Динамический потенциал атаки с учетом 0-дня -Динамический стоимостной ущерб от атаки - Динамические затраты на реагирование - Уровень риска - Уровень защищенности - Поверхность атаки основные 0-дня стоимостные
    • Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (1/5) Топологические показатели Пользователь Сервер баз данных Сервер аутентификации Сервисы Сервисы Ценность для бизнеса (денежный эквивалент) Критичность сервиса [1,10] Критичность хоста Ущерб от атакующего действия Уязвимости Внешние базы данных CVSS оценки ущерба CIA Знания эксперта Прямая критичность Косвенная критичность Зависимости сервисов Знания оператора + средства сбора информации _2 2_1,__ s s sP Criticality W  1__ sI Criticality _1 s_1 _1 s_1_1 s_1 s_1 max( ( ), ( ) max( ( ), ( ) max( ( _ ) ( _ , _ ) s ss I_Criticality c P Criticality c Criticality I_Criticality i P Criticality i I_Criticality a P Criticality a            _ _ max ( ) max ( ) max ( ) _ k s k k s k k s_k Criticality c H Criticality Criticality i Criticality a            _ ( ) ( ) ( ) k kk s k k Impact c H_Impact max Criticality Impact i Impact a         
    • Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (2/5) Показатели уровня графа атак Входные данные: Граф атак Вектор доступа: сетевой Привилегии: пользователя или другие Вектор доступа: сетевой Привилегии: администратора Вектор доступа: сетевой Привилегии: нет Вектор доступа: локальный Привилегии: пользователя, другие или нет Вектор доступа: локальный Привилегии: администратора Атакующий Следующий хост Ущерб группы Локальная вероятность группы Условная вероятность группы Безусловная вероятность группы Риск группы Исходная вероятность атаки _ gI_Prob CVSS AC 1 _ i i S Cond_Prob L Prob    ИИЛИ 1 1 (1 iS Cond_Prob     _ )iL Prob 1 ( | ( )) n i i i Unc_Prob Pr S Pa S    (2 _ _ )k k kL_Prob max CVSS AC CVSS Auth   _ ( ) max ( ) ( ) _ k kk s k k Impact c G Impact Criticality Impact i Impact a               __ _G Risk G Impact Unc Prob 
    • Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (3/5) Показатели уровня атакующего Профиль атакующего (задается администратором) • Позиция на графе атак • Уровень навыков Высокий/Средний/ Низкий CVSS_ACASL Низкий Средний Высокий Низкий Средняя (0.61) Высокая (0.71) Высокая (0.71) Средний Низкая (0.35) Средняя (0.61) Высокая (0.71) Высокий Низкая (0.35) Низкая (0.35) Средняя (0.61) Вероятность эксплуатации уязвимости Профильный граф атак Unc_Prob = 0.99 -> Unc_Prob = 0.85 Unc_Prob = 0.99 -> Unc_Prob = 0.85 Unc_Prob = 0.48 -> Unc_Prob = 0.41 Unc_Prob = 0.73-> Unc_Prob = 0.42 Атакующий ASL = “Низкий” CVSS_AC = “Низкая” CVSS_AC = “Низкая” CVSS_AC = “Средняя” CVSS_AC = “Высокая” Следующий хост
    • Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (4/5) Подход на уровне событий Определение уровня навыков атакующего Определение позиции атакующего на графе атак Определение рисков путей атаки, проходящих через скомпрометированный узел Выбор пути с максимальным значением риска в качестве наиболее вероятного пути атаки, а точки максимального ущерба на пути – как цели атакующего Вычисление вероятностей путей атаки, идущих через узел, соответствующий позиции атакующего Входные данные: Выходные данные: Инциденты + граф атак Наиболее вероятный путь на графе атак + CVSS-сложность доступа шагов пути Критичность атакующих действий + возможный ущерб Уровень навыков атакующего Текущая позиция атаки Предыдущие шаги атаки Последующие шаги атаки + цель атаки Профильатаки
    • Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (5/5) Показатели уровня событий Входные данные: Граф атак Unc_Prob = 0.86 -> Unc_Prob = 0.99 Unc_Prob = 0.99 -> Unc_Prob = 0.99 Unc_Prob = 0.42 -> Unc_Prob = 0.49 Unc_Prob = 0.74 -> Unc_Prob = 1 Атакующий Апостериорная вероятность группы Уровень атакующего Unc_Prob = 0.99 Unc_Prob = 0.99 Unc_Prob = 0.48 Unc_Prob = 0.85 Unc_Prob = 0.72 -> Unc_Prob = 0.99 Наиболее вероятный путь Pr(A| B) Pr(B| A)  Pr(A) / Pr(B) _k kmax CVSS AC _k i max G Risk Unc_Prob = 0.64 -> Unc_Prob = 0.86
    • Positive Hack Days’2014, 21-22 мая 2014 г. Архитектура прототипа Система визуализации Компонент отображения инцидентов на граф атак Алгоритмы оценивания защищенности Коррелятор Генератор графа атак Генератор графа зависимостей сервисов Описание сети Внешние базы уязвимостей Сбор данных от внешних сенсоров Показатели защищенности Инциденты События Уязвимости Граф атак Граф зависимостей сервисов Топология сети Входные данные Компонент оценивания защищенности Система поддержки принятия решений
    • Positive Hack Days’2014, 21-22 мая 2014 г. Сеть для экспериментов ИТ инфраструктура Олимпийских Игр • 900 серверов • 9,500 компьютеров • 1,000 сетевых устройств & средств защиты ДМЗ Внутренняя сеть Сеть Олимпийских игр Внешняя сеть Внутренняя беспроводная сеть Attacker
    • Positive Hack Days’2014, 21-22 мая 2014 г. Пример работы прототипа Время(м) Количество хостов в анализируемой сети
    • Positive Hack Days’2014, 21-22 мая 2014 г. Заключение • Определен набор показателей для анализа защищенности в рамках SIEM-систем и предложена их классификация • Предложены алгоритмы расчета показателей для различных уровней классификации с учетом используемых входных данных • Предложен подход к учету инцидентов безопасности при оценивании защищенности в рамках SIEM-систем для формирования комплексного представления о развитии атаки • Разработан программный прототип системы анализа защищенности • Проведены эксперименты
    • Positive Hack Days’2014, 21-22 мая 2014 г. Контактная информация Дойникова Елена Владимировна doynikova@comsec.spb.ru http://comsec.spb.ru/doynikova