Oleg Danilin made presentation of AM research efforts on research track of RusCrypto 2013

1. Анализ статического и
динамического состояния ИС
О.А. Данилин
А.И. Качалин

2. Это полезно для:
• Выявления нелегальных участников
• Выявления нелегальных каналов
• Выявления потенциальных каналов утечки
• Выявления нелегальных способов
взаимодействия
• Планирования обновления ПО в ИС

3. Вид ИС глазами IT специалиста

4. Идея
• Объекты исследования:
– Участники:
• MAC-адрес
• IP-адрес(а)
• Открытые порты
• Уязвимости сетевых приложений на открытых портах
– Взаимодействия:
• MAC и IP-адреса участников
• Порты
• Статистические характеристики (продолжительность, объем переданной информации, средние значения
размера пакета и межпакетного интервала, распределения размера пакета и межпакетного интервала и
д.р.)
• Участники формируют условно статическую картину ИС
• Взаимодействия формируют динамическая картина ИС
• Условно статическую и динамическую картины ИС нужно сопоставить

5. Результат сопоставления должен:
• Характеризовать участников с точек зрения:
– Ролей (клиент, сервер, gateway и т.д.)
– Интереса к участникам (toptalker, средневзвешенная уязвимость, наличие
критических уязвимостей, используемое ПО и т.д.)
• Характеризовать взаимодействия между участниками с
точек зрения:
– Направления взаимодействия (внутри ИС, за пределы ИС)
– Используемого приложения или типа приложений
– Вида активности (download, онлайн просмотр видео, чат, игровая
активность и т.д.)
– Использования уязвимых сервисов в ИС

6. Процесс исследования
• Этапы:
– Сбор исходных данных
– Первичная обработка
– Автоматизированный анализ
– Ручной анализ
• Требования к автоматизированному анализу:
– низкая чувствительность к ошибкам в исходных данных
– минимально возможное время
– высокая достоверность полученных результатов

7. Исходные данные
• Отчеты сканера безопасности
• Отчеты средств узловой инвентаризации
• Дампы пакетов
• Отчеты систем учета трафика

8. Сбор исходных данных
• Исходные данные существенно различаются по:
– сложности процедуры сбора и первичной обработки
– количеству определяемых участников
– количеству определяемых аспектов взаимодействия
– точности определения общих аспектов взаимодействий
– объему хранимой информации
• При сборе исходных данных необходимо:
– Обеспечить их непротиворечивость
• выбор промежутка времени, в течение которого ИС находится в условно низменном
состоянии
• одновременный сбор необходимых видов исходных данных
– Снизить их объем
• ограничиться видами данных, отвечающими условиям задачи при минимальной
избыточности информации
• исключить из собираемых данных информацию об исследователе как участнике и
его активностях по сбору данных

9. Сравнение источников данных об
участниках
Критерий Сканер безопасности Узловой инвентаризатор
Участники Только видимые сканеру Все
Размер файла Около 100 Кбайт на хост Около 500Кбайт на хост
Определение Приблизительное Гарантировано
установленного ПО
Определение Приблизительное Уязвимости не
уязвимостей определяются
установленного ПО
Требуемое время для Х-минут Х*k-минут,
подготовки сбора где k – от 3 до 6
информации

10. Сравнение источников данных о
взаимодействиях
Критерий Пакетный сниффер Система учета трафика
Возможность получения в ИС Всегда Не всегда
Размер файла за одинаковый интервал Х-Мбайт Х/k-Мбайт,
времени где k – от 100 до 700
Чувствительность к избыточности и Чувствителен Не чувствительна
неполноте трафика
Скорость первичной обработки Ниже Выше
Чистота определения направления Не гарантирована из-за Гарантирована при условии знания
трафика возможной ошибки схемы соединений на
зеркалирования портов коммутационном оборудовании
Чистота определения ролей участников
коммутатора
и множества локальных IP-адресов
Статистические методы анализа Применимы в полном объеме Методы, использующие
статистическую информацию о
пакетах потока, не применимы
Анализ payload Возможен Не возможен

11. Оценка времени анализа
• Основана на системе метрик обрабатываемых данных
• На различных этапах должны использоваться подходящие метрики
Этап Метрики Объекты измерения Влияние
Сбор Объемные и Трафик Сильное на возможность и
скоростные продолжительность сбора
Количественные Участники Сильное на продолжительность этапа
Первичная обработка Количественные Участники Слабое на продолжительность этапа
Пакеты или потоки Сильное на продолжительность этапа.
Автоматизированный Количественные Участники Слабое на продолжительность этапа
анализ
Потоки Сильное на выбор алгоритмов и
продолжительность этапа
Ручной анализ Количественные Участники и Сильное на восприятие
взаимодействия

12. Вид ИС глазами аналитика

13. Или после автоматизированного
анализа…

14. В результате ручного анализа могут
быть выявлены:
• Уязвимости, требующие немедленного устранения
(хосты, доступные из вне исследуемой ИС и принимающие трафик на уязвимые порты).
• Уязвимости, требующие планового устранения
(хосты, недоступные из вне исследуемой ИС, но принимающие трафик на уязвимые порты
от других хостов ИС).
• Участники информационного обмена, требующие
немедленного внимания со стороны службы ИБ
(атакующие/сканирующие хосты, хосты с ложными ролями).
• Участники информационного обмена, требующие планового
внимания со стороны службы ИБ
(хосты с сетевыми приложениями, установленными в нарушение политики ИБ или
представляющими потенциальную угрозу ИБ ИС в виде каналов утечки информации).

15. Выводы:
• При анализе ИС необходимо и возможно
определить приемлемое соотношение между
затрачиваемым временем, полнотой и
достоверностью полученных результатов
• Необходимо учитывать, что время сбора
информации прямо пропорционально количеству
участников, а время анализа – количеству
взаимодействий между ними

16. Спасибо за внимание!
Олег Данилин
Oleg.Danilin@advancedmonitoring.ru