Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
…
…
…
…
Вычисление, визуализацияВычисление, визуализация
и анализ метрик защищенностии анализ метрик защищенности
для мони...
План докладаПлан доклада
 Введение Введение
 SIEM-системы и аналитическая обработка
информации безопасности
 Метрики д...
МетрикиМетрики
 Как определено Национальным институтом Как определено Национальным институтом
стандартов и технологий (N...
Хорошо определенные метрики могутХорошо определенные метрики могут
помочь ответить на следующие вопросы:помочь ответить на...
Метрики принятия решений (выбора
контрмеры)контрмеры)
У
Текущий
Узлы
начала
атаки Узлы –
узел
цели
атаки
PHD’2015, 26-27 м...
Метрики принятия решений (выбора
контрмеры)контрмеры)
У
Текущий
Узлы
начала
атаки Узлы –
узел
цели
атаки
PHD’2015, 26-27 м...
План докладаПлан доклада
 Введение Введение
 SIEM-системы и аналитическая обработка
информации безопасности
 Метрики д...
SIEMSIEM--системысистемы
Security information and event management (SIEM) system –
система управления информацией и событи...
Расширенный список задач,Расширенный список задач,
решаемыхрешаемых SIEMSIEM--системойсистемойрешаемыхрешаемых SIEMSIEM си...
Архитектура типовойАрхитектура типовой SIEMSIEM--системысистемы
«агенты» — «хранилище данных» —
«сервер приложений»«сервер...
Механизмы обработки информацииМеханизмы обработки информации
вв SIEMSIEM--системесистемевв SIEMSIEM системесистеме
PHD’201...
СравнениеСравнение SIEMSIEM--решений (1решений (1//2)2)рр р (р ( ))
PHD’2015, 26-27 мая 2015 г.
(Gartner, 2012)
СравнениеСравнение SIEMSIEM--решений (2решений (2//2)2)рр р (р ( ))
PHD’2015, 26-27 мая 2015 г.
(Gartner, 2014)
Обобщенная архитектураОбобщенная архитектура SIEMSIEM--системысистемы
Ядро системы управления информацией и событиями безо...
План докладаПлан доклада
 Введение Введение
 SIEM-системы и аналитическая обработка
информации безопасности
 Метрики д...
Основные причины использования
моделей атак и контрмермоделей атак и контрмер
• Вычисление возможных последовательностей (...
Базовые работы по моделированию
атак и контрмер (1/2)атак и контрмер (1/2)
 Проверка на модели (C.Ramakrishnan и R.Sekar,...
Базовые работы по моделированию
атак и контрмер (2/2)
П й й
атак и контрмер (2/2)
• Представление сценариев атак и моделей...
Классы метрик и релевантные работы (1Классы метрик и релевантные работы (1/3/3))
1.1. Топологические метрикиТопологические...
Классы метрик и релевантные работы (2Классы метрик и релевантные работы (2/3/3))
2.2. Метрики нарушителяМетрики нарушителя...
Классы метрик и релевантные работы (3Классы метрик и релевантные работы (3/3/3))
4.4. Интегральные метрики (Интегральные м...
PHD’2015, 26-27 мая 2015 г.
[Robert A. Martin. Securing the Cyber Ecosystem. 2011]
Взаимосвязь протоколов управленияВзаимосвязь протоколов управления
безопасностью и местобезопасностью и место SCAPSCAPбезо...
КомпонентыКомпоненты SCAPSCAP
((Security Content Automation ProtocolSecurity Content Automation Protocol))((Security Conte...
Другие протоколыДругие протоколы
 Threat Analysis Automation Protocol (TAAP)
 Для документирования и совместного использ...
Перечень стандартов и стандарты,Перечень стандартов и стандарты,
используемыеиспользуемые SCAP (1/2)SCAP (1/2)используемые...
Перечень стандартов и стандарты,Перечень стандартов и стандарты,
используемыеиспользуемые SCAP (1/2)SCAP (1/2)используемые...
МетрикиМетрики CVSS (Common VulnerabilityCVSS (Common Vulnerability
Security Scoring)Security Scoring)Security Scoring)Sec...
Common Remediation Enumeration (CRE)Common Remediation Enumeration (CRE) ((1/21/2))
• Это перечисление где каждая запись о...
Extended Remediation Information (ERI)Extended Remediation Information (ERI)
• Это словарь с дополнительными данными о каж...
Remediation Manager StandardsRemediation Manager Standards--BasedBased
ProcessingProcessingProcessingProcessing
[J ff D t ...
Примеры общих метрик (1Примеры общих метрик (1//6)6)
Поверхность Атаки (ATS) - определяет процент узлов целевой
системы/по...
Примеры общих метрик (Примеры общих метрик (2/2/6)6)
Глубина Атаки (ATD) - когда узел успешно атакован, эффект от атаки
об...
Примеры общих метрик (3Примеры общих метрик (3//6)6)
Уровень иммунитета системы (SIL):
SIL=1-ATSSIL=1-ATS .
Он позволяет и...
Примеры общих метрик (Примеры общих метрик (4/4/6)6)
Влияние на незапланированное время простоя узла (NUDI) –
измеряется в...
Примеры общих метрик (5Примеры общих метрик (5//6)6)
Плотность уязвимостей (VD):
n vuln
где n vuln - число уязвимостей в с...
Примеры общих метрик (6Примеры общих метрик (6//6)6)
Установленный бизнес риск (BAR) служит для классификацииУстановленный...
Примеры показателей,Примеры показателей,
характеризующих хосты и их связностьхарактеризующих хосты и их связностьхарактери...
ПоказательПоказатель ““НезащищенностьНезащищенность”” (“Exposure”)(“Exposure”)
• представляется числом от 0 до 1
• измеряе...
ПоказательПоказатель ““НезащищенностьНезащищенность”” (“Exposure”)(“Exposure”)
 Определить показатели временной оценки CV...
Уровень навыков нарушителяУровень навыков нарушителя
((AttackerAttacker SkillSkill LevelLevel ASLASL))((AttackerAttacker S...
Метрики принятия решений (выбора
контрмеры)контрмеры)
У
Текущий
Узлы
начала
атаки Узлы –
узел
цели
атаки
PHD’2015, 26-27 м...
Метрики принятия решений (выбора
контрмеры)контрмеры)
У
Текущий
Узлы
начала
атаки Узлы –
узел
цели
атаки
PHD’2015, 26-27 м...
Влияние (ущерб от) атакиВлияние (ущерб от) атаки
((AttackAttack impactimpact AIAI)) (1/2)(1/2)((AttackAttack impactimpact,...
Влияние (ущерб от) атакиВлияние (ущерб от) атаки
((AttackAttack impactimpact AIAI)) (2/2)(2/2)((AttackAttack impactimpact,...
Эффективность реагированияЭффективность реагирования
((RResponseesponse EEfficiencyfficiency RE)RE)((RResponseesponse EEff...
,
Метрики принятия решений (выбора
контрмеры)
Возврат инвестиций в реагирование
(Return On Response Investment RORI):
конт...
План докладаПлан доклада
 Введение Введение
 SIEM-системы и аналитическая обработка
информации безопасности
 Метрики д...
Особенности предлагаемых решений (1Особенности предлагаемых решений (1/2/2))
– Использование репозитория безопасности (сод...
Особенности предлагаемых решений (Особенности предлагаемых решений (2/22/2))
– Комбинированное использование графов атак и...
Общий подход к анализу защищенностиОбщий подход к анализу защищенности
и выработке контрмери выработке контрмери выработке...
Этапы функционированияЭтапы функционирования
 Этап разработки и ввода в эксплуатацию (не real-time)
 Определение слабых ...
Режимы работыРежимы работы
Модель сети Расчет базовых
Знания оператора
Не real-time режим
Спецификация
Модель сети
метрик
...
Основные потоки данныхОсновные потоки данных
Выходные данныеВходные данные
Интернет
Уязвимости (CVE)
Графы атак
Оценки уяз...
Основные процессыОсновные процессы
Слабые места (CWE)
Уязвимости (CVE)
Генерация уязвимостей
Оценивание уязвимостей
(CVSS)...
Обобщенная архитектураОбобщенная архитектура
PHD’2015, 26-27 мая 2015 г.
Анализ событийАнализ событий
PHD’2015, 26-27 мая 2015 г.
Система показателей защищенности и
входные данные для их расчетавходные данные для их расчета
PHD’2015, 26-27 мая 2015 г.
Система метрик защищенности и
входные данные для их расчетавходные данные для их расчета
Level Input data Security metrics...
Методики вычисления показателейМетодики вычисления показателей
защищенностизащищенностизащищенностизащищенности
1.1. Стати...
Метрики топологического уровня (1)
Уязвимость хоста
Слабость хоста
(Host Weakness)
(Host Vulnerability) 

n
i
ik wScore...
Метрики топологического уровня (2)
Критичность хоста (Host Criticality)
отражает бизнес значение хоста в сети (организации...
Метрики уровня графа атак, атакующего
и событий (1)и событий (1)
Ущерб от атаки (Attack Impact)
отражает ущерб от компроме...
Метрики уровня графа атак, атакующего
и событий (2)
Потенциал (вероятность) атаки
и событий (2)
ц ( р )
(Attack Potentiali...
Метрики принятия решений (выбора
контрмеры)контрмеры)
• Предложена модель контрмер, сформированная на основе
стандартов CR...
Поля модели контрмер и примеры значений
Поле Группа полей Описание Пример
Название Описание меры Текстовое значение Запрет...
Связь модели контрмер и графа атак
• В основе методики принятия решений лежит граф атак. Реализация
контрмеры влияет на пе...
План докладаПлан доклада
 Введение Введение
 SIEM-системы и аналитическая обработка
информации безопасности
 Метрики д...
Представление политик безопасности
Матричное представление
прав доступа к ресурсам [1]
Представление прав
доступа к ресурс...
Представление правил межсетевых
экрановэкранов
PolicyViz [2]
Визуализация в виде "солнечные лучи" (Sunburst) [1]
[1] Mansm...
Представление уязвимостей и событийПредставление уязвимостей и событий
безопасностибезопасностибезопасностибезопасности
Nv...
Спиральное представлениеСпиральное представление событийсобытий
безопасностибезопасностибезопасностибезопасности
• Использ...
Визуализация графов атакВизуализация графов атак
Использование карт Использование матричного
представления [3]
Использован...
OSSIM: карта рисковOSSIM: карта рисков
Карта рисков отображает информацию о состоянии риска (R),
уязвимостей (V) и доступн...
Метафора представления метрик
защищенности [Erbacher 2012]защищенности [Erbacher, 2012]
 Каждая метрика представляется с ...
Модель оперативного индикатора
доверия [Matuszak et al., 2013]доверия [Matuszak et al., 2013]
 В одном индикаторе отображ...
Отчеты о защищенности в форме карт
деревьевдеревьев
(a) критичность vs. уровень защищенности;
(b) критичность vs. серьезно...
Анализ достижимости атакиАнализ достижимости атаки
на основе карт деревьевна основе карт деревьевна основе карт деревьевна...
Предлагаемое представление метрик
защищенностизащищенности
 Для предоставления пользователям возможности
анализировать не...
ПредставлениеПредставление хоста схоста с использованиемиспользованием
глифаглифаглифаглифа
Схема кодирования цвета:
Д• Дл...
Глиф для отображения метрик RORI
для различных контрмердля различных контрмер
RORI (Return On Response Investment, Возврат...
Элементы графического интерфейсаЭлементы графического интерфейса
(примеры высокоуровневых метрик)(примеры высокоуровневых ...
Методики визуализации (1)
 Кодирование цвета Кодирование цвета
 Разработана схема кодирования цвета по умолчанию для
от...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и...
Upcoming SlideShare
Loading in …5
×

Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и управления у

1,431 views

Published on

Вычисление, визуализация
и анализ метрик защищенности защищенности
для мониторинга мониторинга безопасности безопасности
и управления управления инцидентами инцидентами
в SIEM-системах

Published in: Technology
  • Be the first to comment

Вычисление, визуализация и анализ метрик защищенности защищенности для мониторинга мониторинга безопасности безопасности и управления у

  1. 1. … … … … Вычисление, визуализацияВычисление, визуализация и анализ метрик защищенностии анализ метрик защищенности для мониторинга безопасностидля мониторинга безопасностидля мониторинга безопасностидля мониторинга безопасности и управления инцидентамии управления инцидентамии управления инцидентамии управления инцидентами в SIEMв SIEM--системахсистемах И В КотенкоИ.В. Котенко Санкт-Петербургский институт информатики и автоматизации РАН PHD’2015, 26-27 мая 2015 г. (СПИИРАН)
  2. 2. План докладаПлан доклада  Введение Введение  SIEM-системы и аналитическая обработка информации безопасности  Метрики для моделирования атак анализа Метрики для моделирования атак, анализа защищенности и выработки контрмер  Анализ защищенности и выработка контрмер на основе метрик безопасностир  Визуализация метрик  Реализация и эксперименты  Заключение PHD’2015, 26-27 мая 2015 г.  Заключение
  3. 3. МетрикиМетрики  Как определено Национальным институтом Как определено Национальным институтом стандартов и технологий (NIST), метрики являются инструментами которые предназначеныявляются инструментами, которые предназначены для облегчения процесса принятия решений и повышения эффективности и подотчетности путемповышения эффективности и подотчетности путем сбора, анализа и представления соответствующих данных...да  Метрики безопасности можно рассматривать как стандарт (или систему) используемую длястандарт (или систему), используемую для количественного измерения уровня безопасности организации...организации... PHD’2015, 26-27 мая 2015 г.
  4. 4. Хорошо определенные метрики могутХорошо определенные метрики могут помочь ответить на следующие вопросы:помочь ответить на следующие вопросы:помочь ответить на следующие вопросы:помочь ответить на следующие вопросы:  Есть ли уязвимости в системе? Какие из них критические? Какие нужно устранить в первую очередь?устранить в первую очередь?  Есть ли (в настоящее время) атака в сети?  Какой компонент (система / приложение / сервис) был и (или) будет Какой компонент (система / приложение / сервис) был и (или) будет скомпрометирован?  Кто атакует систему?Кто атакует систему?  Как можно измерить (потенциальный) риск?  Какова наиболее вероятная цель атаки и ущерб от атаки?р ц ущ р  Можем ли мы предотвратить атаку?  Каковы варианты реагирования?  Каковы рациональные варианты реагирования и какой из них оптимальный?  Сколько вычислительных ресурсов (памяти, пропускной способности и др.) будет потеряно из-за атаки? По прежнему ли выполняется (или частично) данная бизнес цель / PHD’2015, 26-27 мая 2015 г.  По прежнему ли выполняется (или частично) данная бизнес-цель / задача / операция?
  5. 5. Метрики принятия решений (выбора контрмеры)контрмеры) У Текущий Узлы начала атаки Узлы – узел цели атаки PHD’2015, 26-27 мая 2015 г.
  6. 6. Метрики принятия решений (выбора контрмеры)контрмеры) У Текущий Узлы начала атаки Узлы – узел цели атаки PHD’2015, 26-27 мая 2015 г.
  7. 7. План докладаПлан доклада  Введение Введение  SIEM-системы и аналитическая обработка информации безопасности  Метрики для моделирования атак анализа Метрики для моделирования атак, анализа защищенности и выработки контрмер  Анализ защищенности и выработка контрмер на основе метрик безопасностир  Визуализация метрик  Реализация и эксперименты  Заключение PHD’2015, 26-27 мая 2015 г.  Заключение
  8. 8. SIEMSIEM--системысистемы Security information and event management (SIEM) system – система управления информацией и событиями безопасности (система мониторинга и управления инцидентами безопасности). Основная цель SIEM – повышение ИБ за счет обеспечения возможности в режиме, близком к реальному времени, манипулировать информацией о безопасности иманипулировать информацией о безопасности и осуществлять проактивное управление инцидентами и событиями безопасностисобытиями безопасности «Проактивный» означает «действующий до того, как ситуация станет критической». Предполагается, что проактивное управление инцидентами и событиями безопасности основывается на автоматических механизмах, использующих информацию об «истории» анализируемых сетевых событий иинформацию об «истории» анализируемых сетевых событий и прогнозе будущих событий, а также на автоматической подстройке параметров мониторинга событий к текущему й PHD’2015, 26-27 мая 2015 г. состоянию защищаемой системы
  9. 9. Расширенный список задач,Расширенный список задач, решаемыхрешаемых SIEMSIEM--системойсистемойрешаемыхрешаемых SIEMSIEM системойсистемой  сбор, обработка и анализ событий безопасности, поступающих в систему из множества гетерогенных источников;  обнаружение в реальном времени атак и нарушений критериев и политик безопасности;  оперативная оценка защищенности информационных, телекоммуникационных и других критически важных ресурсов;  анализ и управление рисками информационной безопасности;  проведение расследований инцидентов;  обнаружение расхождения критически важных ресурсов и бизнес–процессов с внутренними политиками безопасности и приведение их в соответствие друг с другом;  принятие решений по защите информации;  формирование отчетных документов. PHD’2015, 26-27 мая 2015 г.
  10. 10. Архитектура типовойАрхитектура типовой SIEMSIEM--системысистемы «агенты» — «хранилище данных» — «сервер приложений»«сервер приложений» PHD’2015, 26-27 мая 2015 г.
  11. 11. Механизмы обработки информацииМеханизмы обработки информации вв SIEMSIEM--системесистемевв SIEMSIEM системесистеме PHD’2015, 26-27 мая 2015 г.
  12. 12. СравнениеСравнение SIEMSIEM--решений (1решений (1//2)2)рр р (р ( )) PHD’2015, 26-27 мая 2015 г. (Gartner, 2012)
  13. 13. СравнениеСравнение SIEMSIEM--решений (2решений (2//2)2)рр р (р ( )) PHD’2015, 26-27 мая 2015 г. (Gartner, 2014)
  14. 14. Обобщенная архитектураОбобщенная архитектура SIEMSIEM--системысистемы Ядро системы управления информацией и событиями безопасности Уровень ик Уровень событий Уровень приложенийУровень данных Правила  защитыШина данных Анализ событий Уровень  сети Сборщи Правила корреляцииСобытия  Сырые  данные Скоррелированные события  безопасности Хранилище Рассылка  командкоманд Контрмеры Оценивание  защищенности ВизуализацияВыбор  контрмер PHD’2015, 26-27 мая 2015 г. контрмер MASSIF, 2013
  15. 15. План докладаПлан доклада  Введение Введение  SIEM-системы и аналитическая обработка информации безопасности  Метрики для моделирования атак анализа Метрики для моделирования атак, анализа защищенности и выработки контрмер  Анализ защищенности и выработка контрмер на основе метрик безопасностир  Визуализация метрик  Реализация и эксперименты  Заключение PHD’2015, 26-27 мая 2015 г.  Заключение
  16. 16. Основные причины использования моделей атак и контрмермоделей атак и контрмер • Вычисление возможных последовательностей (трасс) атак иВычисление возможных последовательностей (трасс) атак, и упреждающее определение целей безопасности, которые с наибольшей вероятностью станут мишенью для нарушителяр у ру • Корреляция последовательностей событий безопасности, т.к. они относятся к определенным действиям в рамках модели атак • Определение метрик защищенности • Определение соответствующих наборов контрмер, т.е. действий, предпринимаемых системой, чтобы разрушить непрерывную последовательность действий атакующего • Динамическое вычисление воздействия атак и контрмер на защищаемую систему: атак - когда они нарушают политику безопасности, и контрмер - когда они изменяют конфигурацию системы PHD’2015, 26-27 мая 2015 г. конфигурацию системы
  17. 17. Базовые работы по моделированию атак и контрмер (1/2)атак и контрмер (1/2)  Проверка на модели (C.Ramakrishnan и R.Sekar, R.Ritchey иПроверка на модели (C.Ramakrishnan и R.Sekar, R.Ritchey и P.Ammann, O.Sheyner, S.Jha и J.Wing – SMV, NuSMV, SPIN). Требуют определить гипотезу (состояние системы), й d l h kiнарушение которой проверяется методом model checking  Экспертные системы (M.Danforth – Java Expert System Shell) Правила задают выполнение атакующих действийShell). Правила задают выполнение атакующих действий, факты – состояния системы. Атаки определяются в виде предусловия/постусловияр ду у  Логический подход (X.Ou, W.Boyer, M.McQueen – Datalog language). Граф состоит из вершин вывода и вершин фактов. Модель сети – множество высказываний Datalog, атаки – правила Datalog Г ф Н C Phili L S il ф Графы атак. Например C.Philips и L.Swiler строят граф: вершины – состояния системы, дуги – переходы [Ortalo et al., 1999; Ritchey&Ammann, 2000; Sheyner et al., 2002; Rieke, 2004; PHD’2015, 26-27 мая 2015 г. 1999; Ritchey&Ammann, 2000; Sheyner et al., 2002; Rieke, 2004; Noel&Jajodia, 2005; Lippmann&Ingols, 2006; …]
  18. 18. Базовые работы по моделированию атак и контрмер (2/2) П й й атак и контрмер (2/2) • Представление сценариев атак и моделей нарушителей [Schneier, 1999; Dawkins et al., 2002; Shepard et al., 2005; …] С ф ф й• Спецификация платформ, уязвимостей, оценок уязвимостей, атак, слабостей и конфигураций [NVD; OSVDB; CVE; CVSS; CPE; CCE; CWE; CAPEC; ]OSVDB; CVE; CVSS; CPE; CCE; CWE; CAPEC; … ] • Метрики защищенности [Mell et al., 2007; Jaquith, 2007; Herrmann 2007; Jansen 2009; ]Herrmann, 2007; Jansen, 2009; …] • Комбинирование графов зависимостей сервисов и ф [Kh i t l 2009 Kh i t l 2010 ]графов атак [Kheir et al., 2009; Kheir et al., 2010; …] • Представление атак нулевого дня [Ingols et al., 2009; W t l 2010 ]Wang et al., 2010; …] • Моделирование контрмер [Kheir et al., 2010; Grenadillo et l 2012 ] PHD’2015, 26-27 мая 2015 г. al., 2012; …]
  19. 19. Классы метрик и релевантные работы (1Классы метрик и релевантные работы (1/3/3)) 1.1. Топологические метрикиТопологические метрики [[Mayer, 2007; Mell et al., 2007; CIS, 2009]] Метрики характеризующие хосты и их связностьМетрики характеризующие хосты и их связность::-- Метрики, характеризующие хосты и их связностьМетрики, характеризующие хосты и их связность:: -- Незащищенность,Незащищенность, -- Критичность хоста (ценность для бизнеса),Критичность хоста (ценность для бизнеса), -- Риск,Риск, -- Нисходящий риск.Нисходящий риск. -- Топологические характеристики с точки зрения приложенийТопологические характеристики с точки зрения приложений::Топологические характеристики с точки зрения приложенийТопологические характеристики с точки зрения приложений:: -- Количество приложений,Количество приложений, -- Процент критичных приложений.Процент критичных приложений. Т ф бТ ф б-- Топологические характеристики, учитывающие информацию обТопологические характеристики, учитывающие информацию об уязвимостяхуязвимостях:: -- Процент систем без известных критичных уязвимостей,Процент систем без известных критичных уязвимостей, -- Среднее время на устранение уязвимости,Среднее время на устранение уязвимости, -- Количество известных уязвимостей.Количество известных уязвимостей. -- Топологические характеристики учитывающие информацию обТопологические характеристики учитывающие информацию об-- Топологические характеристики, учитывающие информацию обТопологические характеристики, учитывающие информацию об атакахатаках:: -- Критичность уязвимости иКритичность уязвимости и Сложность доступа к уязвимости,Сложность доступа к уязвимости, позволяющие вычислить Вероятность атакипозволяющие вычислить Вероятность атаки PHD’2015, 26-27 мая 2015 г. позволяющие вычислить Вероятность атаки.позволяющие вычислить Вероятность атаки.
  20. 20. Классы метрик и релевантные работы (2Классы метрик и релевантные работы (2/3/3)) 2.2. Метрики нарушителяМетрики нарушителя [Kanoun et al 2008; Dantu et al 2009; Olsson 2009]:[Kanoun et al., 2008; Dantu et al., 2009; Olsson, 2009]: Уровень навыков нарушителя (Attacker Skill Level), определяемый на основе вероятностей и исторических данных (статический подход) и (или) на основе б й ( й )событий, происходящих в системе (динамический подход). [Wheeler& Larson, 2003; Hunker et al., 2008; Blakely, 2012]: атрибуты нарушителя (Attack attribution) - имя, инструменты,р у ру ( ) , ру , географическое положение, мотивы. 3.3. Метрики атак и контрмерМетрики атак и контрмер [K t l 2009 St kh t l 2007 W t l 2007 Kh i t l 2010][Kanoun et al.,2009; Stakhanova et al.,2007; Wu et al.,2007; Kheir et al.,2010]: Потенциал атаки (Attack potentiality) показывает, как близко находится нарушитель к своей цели. Влияние (ущерб от) атаки (Attack impact) – может быть определен для каждого узла на графе атак статически или динамически на основе зависимостей сервисов.р [Toth&Kruegel, 2002; Balepin et al., 2003; Jahnke, 2009; Kheir, 2010; Kheir et al., 2010; Kheir&Viinikka, 2011; D4.3.1, 2011]: метрики связанные с контрмерами - Эффективность реагирования или PHD’2015, 26-27 мая 2015 г. метрики, связанные с контрмерами - Эффективность реагирования или Выигрыш при реагировании, Побочные потери при реагировании.
  21. 21. Классы метрик и релевантные работы (3Классы метрик и релевантные работы (3/3/3)) 4.4. Интегральные метрики (Интегральные метрики (метрикиметрики уровня системы)уровня системы) [Howard et al., 2003; Manadhata&Wing, 2004; Manadhata et al., 2007; Manadhata&Wing, 2010]: Поверхность атаки (Attack Surface) определяется на основе отношения потенциала разрушений к затратам.р р ру р [Kotenko&Stepashkin, 2006-1; Dantu et al., 2009; Poolsappasit et al., 2012]: Уровень риска (Risk Level). 55 АА [H 2000 Kh i t l 20105.5. Анализ стоимостиАнализ стоимости--выигрышавыигрыша [Hoo, 2000; Kheir et al., 2010; AlienVault, 2011; D5.2.1, 2012] Общий выигрыш и Ожидаемые годовые потери (Annual Loss Expectancy),щ р р ( p y), Возврат инвестиций от реагирования на атаку (Return-On-Response- Investment (RORI) index). 66 Анализ уязвимостей нулевого дняАнализ уязвимостей нулевого дня [Ahmed et al 2008; Ingols et al6.6. Анализ уязвимостей нулевого дняАнализ уязвимостей нулевого дня [Ahmed et al., 2008; Ingols et al., 2009; Wang et al., 2010] Вероятностная мера уязвимости (Probabilistic Vulnerability Measure), показывающая насколько вероятно возникновение уязвимости нулевого дня за определенный период времени. k-безопасность нулевого дня (k-zero day safety) - показатель, PHD’2015, 26-27 мая 2015 г. определяющий устойчивость сети к уязвимостям нулевого дня.
  22. 22. PHD’2015, 26-27 мая 2015 г. [Robert A. Martin. Securing the Cyber Ecosystem. 2011]
  23. 23. Взаимосвязь протоколов управленияВзаимосвязь протоколов управления безопасностью и местобезопасностью и место SCAPSCAPбезопасностью и местобезопасностью и место SCAPSCAP PHD’2015, 26-27 мая 2015 г.
  24. 24. КомпонентыКомпоненты SCAPSCAP ((Security Content Automation ProtocolSecurity Content Automation Protocol))((Security Content Automation ProtocolSecurity Content Automation Protocol))  Common Vulnerabilities and Exposures (CVE)p ( )  База данных об уязвимостях безопасности  Common Configuration Enumeration (CCE)g ( )  База данных уязвимых конфигураций ПО  Common Platform Enumeration (CPE) Common Platform Enumeration (CPE)  Стандартная номенклатура и база имен продуктов  eXtensible Checklist Configuration Description Format eXtensible Checklist Configuration Description Format (XCCDF)  Стандарт по XML-спецификации контрольных листовд р ц ф ц р  Open Vulnerability Assessment Language (OVAL)  Стандарт по XML-спецификации для контроля состоянийд р ц ф ц д р процессов  Common Vulnerability Scoring System (CVSS) PHD’2015, 26-27 мая 2015 г.  Стандарт оценки влияния уязвимостей
  25. 25. Другие протоколыДругие протоколы  Threat Analysis Automation Protocol (TAAP)  Для документирования и совместного использования структурной Для документирования и совместного использования структурной информации об угрозах. Malware Attribute Enumeration & Characterization (MAEC), Common Attack Pattern Enumeration & Classification (CAPEC), Common Platform Enumeration (CPE), Common Weakness Enumeration (CWE) O V l bilit d A t L (OVAL) C(CWE), Open Vulnerability and Assessment Language (OVAL), Common Configuration Enumeration (CCE) и Common Vulnerabilities and Exposures (CVE).  Event Management Automation Protocol (EMAP) Event Management Automation Protocol (EMAP)  Для отчетов о событиях безопасности. Common Event Expression (CEE), Malware Attribute Enumeration & Characterization (MAEC), и Common Attack Pattern Enumeration & Classification (CAPEC)Pattern Enumeration & Classification (CAPEC).  Incident Tracking and Assessment Protocol (ITAP)  Для отслеживания, документирования, управления и совместного использования информации об инцидентах Open Vulnerability andиспользования информации об инцидентах. Open Vulnerability and Assessment Language (OVAL), Common Platform Enumeration (CPE), Common Configuration Enumeration (CCE), Common Vulnerabilities and Exposures (CVE), Common Vulnerability Scoring System (CVSS), Malware Attribute E ti & Ch t i ti (MAEC) C Att k P tt E tiEnumeration & Characterization (MAEC), Common Attack Pattern Enumeration & Classification (CAPEC), Common Weakness Enumeration (CWE), Common Event Expression (CEE), Incident Object Description Exchange Format (IODEF), National Information Exchange Model (NIEM) и Cybersecurity Information PHD’2015, 26-27 мая 2015 г. National Information Exchange Model (NIEM) и Cybersecurity Information Exchange Format (CYBEX).
  26. 26. Перечень стандартов и стандарты,Перечень стандартов и стандарты, используемыеиспользуемые SCAP (1/2)SCAP (1/2)используемыеиспользуемые SCAP (1/2)SCAP (1/2) PHD’2015, 26-27 мая 2015 г.
  27. 27. Перечень стандартов и стандарты,Перечень стандартов и стандарты, используемыеиспользуемые SCAP (1/2)SCAP (1/2)используемыеиспользуемые SCAP (1/2)SCAP (1/2) PHD’2015, 26-27 мая 2015 г. ARF - Advanced Recording Format
  28. 28. МетрикиМетрики CVSS (Common VulnerabilityCVSS (Common Vulnerability Security Scoring)Security Scoring)Security Scoring)Security Scoring) (Base Metrics) (Temporal Metrics) (Environmental Metrics) (AccessVector) (ConfImpact) (Exploitability) (CollateralDamage) (ConfReq) (AccessComplexity) (IntegImpact) (Remediation Level) (TargetDistribution) (IntegReq) (Authentication ) (AvailImpact) (ReportConfidence) (AvailReq)  http://www.first.org/cvss/  CVSS v.3. - March 15th, 2013 PHD’2015, 26-27 мая 2015 г.
  29. 29. Common Remediation Enumeration (CRE)Common Remediation Enumeration (CRE) ((1/21/2)) • Это перечисление где каждая запись определяет один набор• Это перечисление, где каждая запись определяет один набор действий, который можно принять в целях устранения уязвимостей, неверных настроек, или нарушения политикиу , р р , ру безопасности • Описания представляются в виде спецификаций, понятных оператору • Поскольку любая уязвимость, настройка или нарушение может использоваться несколькими способами томожет использоваться несколькими способами, то существует множество связанных с ними записей CRE • CRE описывает данные которые необходимы для поддержкиCRE описывает данные, которые необходимы для поддержки идентифицированных случаев технического использования • CRE не предписывает формат базы данных, схему илиу любую другую модель представления [Waltermire D Johnson C Kerr M Wojcik M & Wunder J Proposed Open Specifications for PHD’2015, 26-27 мая 2015 г. [Waltermire, D., Johnson, C., Kerr, M., Wojcik, M., & Wunder, J. Proposed Open Specifications for Enterprise Information Security Remediation – Draft (NIST Interagency Report 7670). NIST, 2011]
  30. 30. Extended Remediation Information (ERI)Extended Remediation Information (ERI) • Это словарь с дополнительными данными о каждой записир д д д CRE. • Примеры соответствующих данных могут включать: • ссылки на CPE, CVE и CCE; • предпосылки для контрмер; рас ре е о са а о о реа за о р ер• расширенные описания шагов по реализации контрмер; • последующие действия как для успешных, так и неудачных попыток применить контрмерынеудачных попыток применить контрмеры. • ERI не предписывает формат базы данных, схему или любую другую модель представления, а просто определяету дру у д р д , р р д дополнительные данные, которые могут потребоваться для поддержки выявленных примеров применения, не [Johnson C Enterprise Remediation Automation NIST Proceedings of the IT Security входящих в базовые записи CRE. PHD’2015, 26-27 мая 2015 г. [Johnson C. Enterprise Remediation Automation. NIST, Proceedings of the IT Security Automation Conference, 2010]
  31. 31. Remediation Manager StandardsRemediation Manager Standards--BasedBased ProcessingProcessingProcessingProcessing [J ff D t St d d B d A t t d R di ti A R di ti M PHD’2015, 26-27 мая 2015 г. [Jeff Davenport. Standards-Based Automated Remediation. A Remediation Manager Reference Implementation. 2011]
  32. 32. Примеры общих метрик (1Примеры общих метрик (1//6)6) Поверхность Атаки (ATS) - определяет процент узлов целевой системы/подсистемы уязвимых к определенному типу атак:системы/подсистемы, уязвимых к определенному типу атак: , Vnodes ATS Tot nodes  где Vnodes - число узлов, уязвимых к определенному типу атак, Tot nodes - число всех узлов целевой системы/подсистемы. _Tot nodes Tot_nodes число всех узлов целевой системы/подсистемы. Взвешенная поверхность атаки (BATS) - не все уязвимые узлы системы одинаково “достижимы” каждым типом атак. Например, если атака, нуждается в сетевом соединении, но целевой узел не соединен, влияние будет минимальным:влияние будет минимальным: 1 , n k k kn R Vnodes BATS Tot nodes     где k обозначает кластеры уязвимых узлов, умеющих одинаковый индекс “достижимости” (Rk). Rk ϵ [0,1]. _ PHD’2015, 26-27 мая 2015 г. [NIST, 1983; Swanson M. et al., 2003; Masera M., Fovino I., 2010; ...]
  33. 33. Примеры общих метрик (Примеры общих метрик (2/2/6)6) Глубина Атаки (ATD) - когда узел успешно атакован, эффект от атаки обычно распространяется на другие узлы Учитывая процент узлов наобычно распространяется на другие узлы. Учитывая процент узлов, на которые может косвенно повлиять успешная атака на определенном узле, этот показатель указывает как глубоко атака влияет на систему: I t d d б _ , _ Impacted nodes ATD Tot nodes  где Imacted_nodes - узлы, которые могут быть поражены при атаке. Взвешенная глубина атаки (BATD) - не все пораженные узлы имеют одинаковую значимость для системы. Поэтому необходима уточненная версия показателя ATD, чтобы учесть этот аспект: n k  1 _ , _ n k k kn Rel Impacted nodes BATD Tot nodes     где k обозначает кластеры пораженных узлов, имеющих одинаковый показатель “значимость” (Relk). Relk ϵ [0,1]. PHD’2015, 26-27 мая 2015 г.
  34. 34. Примеры общих метрик (3Примеры общих метрик (3//6)6) Уровень иммунитета системы (SIL): SIL=1-ATSSIL=1-ATS . Он позволяет измерить уровень защиты системы против заданной прямой целевой атаки. С (AES) бСкорость распространения атаки (AES) - чем быстрее атака приводит систему к наиболее критичному состоянию, тем более сложно будет вовремя отреагировать и остановить распространение атаки:уд р р р р р р ∆T _ , Impacted nodes AES T   где ∆T – время, прошедшее между началом атаки и достижением наихудшего критического состояния, обусловленного влиянием атаки. Скорость распространения атаки на корневые узлы (CNATES) -Скорость распространения атаки на корневые узлы (CNATES) так как не все узлы имеют одинаковый уровень значимости, можно измерить скорость атаки, когда поражаются корневые узлы системы: C N d i t d _ _ , Core Nodes impacted CNATES T   PHD’2015, 26-27 мая 2015 г. где Core_Nodes_impacted - корневые узлы системы.
  35. 35. Примеры общих метрик (Примеры общих метрик (4/4/6)6) Влияние на незапланированное время простоя узла (NUDI) – измеряется в денежных единицах определяет экономический ущерб отизмеряется в денежных единицах, определяет экономический ущерб от времени простоя атакованного узла. Суммарное влияние на время простоя узла (TUDI):Су ар ое вли ие а вре рос о узла ( U ) где i обозначает узлы которые в результате атаки прекращают 1 , i n ii TUDI NUDI     где i обозначает узлы, которые в результате атаки прекращают выполнять необходимый сервис. Время реакции на атаку (SRT) - время, которое требовалось для б йобнаружения атаки и выполнения процедуры минимизации воздействия, измеряемое от момента обнаружения первых симптомов атаки и до того, как процесс атаки взят под контроль.р ц д р Среднее время восстановления узла (NMTR) - измеряется с момента потери узлом способности запускать его сервисы, и до того как узел возвращается в приемлемое состояние. Среднее время восстановления системы (SMTR) - измеряется с момента потери системой возможности запускать ее сервисы и до PHD’2015, 26-27 мая 2015 г. момента потери системой возможности запускать ее сервисы и до момента возвращения в рабочее состояние.
  36. 36. Примеры общих метрик (5Примеры общих метрик (5//6)6) Плотность уязвимостей (VD): n vuln где n vuln - число уязвимостей в системе _ , _ n vuln VD Tot nodes  где n_vuln число уязвимостей в системе. Взвешенная плотность уязвимостей (WVD) - в формулу для VD могут быть вставлены веса чтобы учесть значимость уязвимостей Годовое ожидание потерь (ALE) - денежные потери, которые могут ожидаться для актива, в соответствии с риском возможных потерь от могут быть вставлены веса, чтобы учесть значимость уязвимостей. ожидаться для актива, в соответствии с риском возможных потерь от реализации атак в течение одного года: ALE= SLE · ARO , SLE ( бгде SLE – одиночные ожидаемые потери (эта величина может быть вычислена как TUDI + стоимость восстановления), ARO – годовая плотность инцидентов, т.е. число успешных атак за один год, безплотность инцидентов, т.е. число успешных атак за один год, без реализации определенных защитных мер. PHD’2015, 26-27 мая 2015 г.
  37. 37. Примеры общих метрик (6Примеры общих метрик (6//6)6) Установленный бизнес риск (BAR) служит для классификацииУстановленный бизнес риск (BAR) - служит для классификации уязвимостей по типу, степени риска и потенциальному влиянию на выполнение целевых задач. При оценке системы, ее подсистемы илир отдельного узла, для каждой уязвимости безопасности, оценка BAR вычисляется так: BAR=Business_impact × risk_of_exploit; где Business_impact и risk_of_exploit определены на пространстве целых чисел [1-5]. Business_impact - потери в случае использования дефекта (5 обозначает дефект который вызовет наибольшие финансовые(5 обозначает дефект, который вызовет наибольшие финансовые потери); risk_of_exploit показывает, насколько просто атакующий может использовать данный дефект (5 обозначает высокий риск).ф ( р ) PHD’2015, 26-27 мая 2015 г.
  38. 38. Примеры показателей,Примеры показателей, характеризующих хосты и их связностьхарактеризующих хосты и их связностьхарактеризующих хосты и их связностьхарактеризующих хосты и их связность Последующие хосты И у хост F) Источник атаки (хост F) Хост X “Незащищенность” (“E ”)(“Exposure”) • достижимость хоста • простота эксплуатации уязвимостей Уязвимости Сервисыуязвимостей Сервисы “Ценность для бизнеса” (“Business V l ”)Value”) •ущерб для бизнеса от потери хоста Нисходящий риск (“Downstream Risk”) “Риск” (“Risk”) • Exposure X BusinessValue ) • кумулятивный риск для всех хостов, атакуемых с данного хоста PHD’2015, 26-27 мая 2015 г. [[Mayer, 2007]
  39. 39. ПоказательПоказатель ““НезащищенностьНезащищенность”” (“Exposure”)(“Exposure”) • представляется числом от 0 до 1 • измеряет вероятность, что некоторый хост X будет атакован со стороны хоста F с учетом: – дистанции между X и F – количества уязвимостей на хосте – сложности эксплуатации уязвимостей на хосте (с учетом CVSS) – сложности эксплуатации уязвимости на других хостах, которые предшествуют X на пути от F PHD’2015, 26-27 мая 2015 г.
  40. 40. ПоказательПоказатель ““НезащищенностьНезащищенность”” (“Exposure”)(“Exposure”)  Определить показатели временной оценки CVSS для каждой уязвимостиуязвимости  Используя путь от хоста F к хосту X  Для каждого хоста предшественника Ai выполнить: Для каждого хоста предшественника Ai выполнить:  Определить уязвимости хоста X, доступные с хоста Ai  Сгруппировать уязвимости по сервисам (например, всеру р у р ( р р, smtp-уязвимости, все http-уязвимости и т.п.)  Для каждого сервиса найти уязвимость, имеющую б й CVSSнаибольшее значение временной оценки CVSS  Определить, какие сервисы содержат наибольшие значения временной оценки CVSS, и сохранить верхние три значениявременной оценки CVSS, и сохранить верхние три значения (только одно для различных сервисов). Если существует менее трех значений, использовать столько, сколько есть В E Выполнить расчеты по учету предыдущих оценок Exposure при переходе от хоста Ai к хосту X  Вычислить: Exposure(X)  MAXi (Exposure(Ai) * Exposure(Ai X)); PHD’2015, 26-27 мая 2015 г.  Вычислить: Exposure(X)  MAXi (Exposure(Ai) Exposure(Ai, X)); [[Mayer, 2007]
  41. 41. Уровень навыков нарушителяУровень навыков нарушителя ((AttackerAttacker SkillSkill LevelLevel ASLASL))((AttackerAttacker SkillSkill LevelLevel, ASL, ASL)) • ASL – это значимый индикатор возможности нарушителя по выполнениюр ру определенных сценариев реализации атаки и достижения его целей. • Оценка ASL возможна на основе отслеживания доступных сообщений и предупреждений об отдельных шагах реализации атаки и включаетпредупреждений об отдельных шагах реализации атаки и включает отслеживание действий нарушителя по графу атак. • Упрощенный подход к оценке ASL - назначение уровня сложностир щ д д ц ур каждому элементарному шагу атаки. • Когда некоторое предупреждение соответствует определенной атаке, ASL божидаемому ASL нарушителя может быть присвоено заданное связанное значение сложности. • Этот подход не учитывает различные факторы риска например то чтоЭтот подход не учитывает различные факторы риска, например то, что нарушитель мог реализовать шаг атаки случайно. • Более развитый подход - назначение уровней сложности определенным последовательностям атак, являющимся комбинациями элементарных атакующих действий. • Это требует способности обнаруживать соответствие нескольким PHD’2015, 26-27 мая 2015 г. • Это требует способности обнаруживать соответствие нескольким условиям, но приведет к снижению влияния различных факторов риска.
  42. 42. Метрики принятия решений (выбора контрмеры)контрмеры) У Текущий Узлы начала атаки Узлы – узел цели атаки PHD’2015, 26-27 мая 2015 г.
  43. 43. Метрики принятия решений (выбора контрмеры)контрмеры) У Текущий Узлы начала атаки Узлы – узел цели атаки PHD’2015, 26-27 мая 2015 г.
  44. 44. Влияние (ущерб от) атакиВлияние (ущерб от) атаки ((AttackAttack impactimpact AIAI)) (1/2)(1/2)((AttackAttack impactimpact, AI, AI)) (1/2)(1/2) • Статический подход:Статический подход: • AI статически устанавливается как атрибут каждого элементарного узла в графе атак. • Влияние на систему в случае успеха атаки соответствует агрегации статических показателей влияния, назначенных каждому успешному узлу графа атакуспешному узлу графа атак. • Это неявно означает, что влияние атаки одинаково, независимо от текущей конфигурации системы. • В то же время, влияние атаки является динамическим показателем, который должен модифицироваться вследствие изменения конфигурации целевой системыконфигурации целевой системы. • Использование существующих графов атак, без возможности дальнейшего расширения, требует ручного обновления этихд р р , р у ру влияний. • Этот подход доказал свою жизнеспособность только для небольших б й PHD’2015, 26-27 мая 2015 г. систем, где ручное обновление показателей влияния выполнимо.
  45. 45. Влияние (ущерб от) атакиВлияние (ущерб от) атаки ((AttackAttack impactimpact AIAI)) (2/2)(2/2)((AttackAttack impactimpact, AI, AI)) (2/2)(2/2) • Динамический подход на основе моделей зависимостейД д д д сервисов: • Графы атак позволяют отслеживать последовательность й йатакующих действий, пока нарушитель продвигается дальше в целевой системе. • Модели зависимостей сервисов позволяют отслеживать• Модели зависимостей сервисов позволяют отслеживать развитие влияний атаки, в то время как нарушитель получает все больше привилегий. • Когда нарушитель реализует атаки, он приобретает дополнительные отношения доверия и функциональные йотношения, выражаемые в модели зависимостей сервисов, и, таким образом, увеличивает влияние на систему. • Изменение конфигурации сервисов ведет к изменению• Изменение конфигурации сервисов ведет к изменению реализованных отношений, которые могут иметь прямое воздействие на показатели влияния атаки. PHD’2015, 26-27 мая 2015 г.
  46. 46. Эффективность реагированияЭффективность реагирования ((RResponseesponse EEfficiencyfficiency RE)RE)((RResponseesponse EEfficiencyfficiency, RE), RE) • RE измеряет возможность механизмов защиты снизить влияние атаки. В• В существующих моделях атак каждому элементарному атакующему действию назначается набор возможных контрмер. Выбор контрмер неявно подразумевает, что влияние атаки устранено.др у , у р • Это сильное ограничение, так как контрмеры в ряде случаев только частично противодействуют влиянию атаки. Эффективность реагирования й ф Дтакже зависит от текущей конфигурации сервисов. Другими словами, контрмера не всегда имеет ту же эффективность для различных конфигураций системы.ф ур • Комбинирование использования графов атак и графов зависимостей сервисов позволяет динамически оценивать эффективность реагирования. Контрмера может моделироваться как преобразование моделиКонтрмера может моделироваться как преобразование модели зависимостей сервисов, которое модифицирует конфигурацию некоторого сервиса. • Эффективность контрмер оценивается посредством сравнения влияния атаки без реализации механизмов реагирования с влиянием атаки, когда реализованы контрмеры PHD’2015, 26-27 мая 2015 г. реализованы контрмеры.
  47. 47. , Метрики принятия решений (выбора контрмеры) Возврат инвестиций в реагирование (Return On Response Investment RORI): контрмеры) ( )RG CD OC RORI CD OC     (Return-On-Response-Investment, RORI): CD OC где RG - эффективность реагирования, RG = ICb – Ica, ICb - ожидаемый ущерб от атаки при отсутствии контмер, ICa - ожидаемый ущерб от атаки приущерб от атаки при отсутствии контмер, ICa ожидаемый ущерб от атаки при реализации контмеры, CD - побочные потери при реагировании, OC - затраты на контрмеры. [Kheir N., 2010] ( ) 100 ALE RM ARC RORI ARC AIV      Enhanced RORI: [ ] где ALE - ожидаемые годовые потери (соответствует последствиям негативного события в случае отсутствия контрмер), которые зависят от критичности и вероятности реализации атаки; RM уровень снижения риска вкритичности и вероятности реализации атаки; RM – уровень снижения риска в случае реализации контрмеры; ARC = CD + OC – ожидаемые годовые затраты на реализацию контрмеры; AIV – годовые затраты на инфраструктуру ( б ) й PHD’2015, 26-27 мая 2015 г. (оборудование, поддержка), в случае реализации защитной меры. [Grenadillo et al., 2012]
  48. 48. План докладаПлан доклада  Введение Введение  SIEM-системы и аналитическая обработка информации безопасности  Метрики для моделирования атак анализа Метрики для моделирования атак, анализа защищенности и выработки контрмер  Анализ защищенности и выработка контрмер на основе метрик безопасностир р р  Визуализация метрик  Реализация и эксперименты  Заключение PHD’2015, 26-27 мая 2015 г.  Заключение
  49. 49. Особенности предлагаемых решений (1Особенности предлагаемых решений (1/2/2)) – Использование репозитория безопасности (содержащегор р ( д р щ данные о конфигурации системы, моделях нарушителя, уязвимостях, атаках, оценках, контрмерах и др.) Эфф ф– Эффективные методики генерации графов атак и зависимостей сервисов, базирующиеся на методиках топологического анализа уязвимостей (TVA) которыетопологического анализа уязвимостей (TVA), которые формируют потенциальные последовательности использования уязвимостей для построения графов атак – Учет как известных, так и новых атак, основанных на уязвимостях 0-го дня П ti б б– Применение anytime-алгоритмов для обеспечения близкого к реальному времени генерации подграфов атак и процедур анализа защищенности (anytime-алгоритм - итерационныйа ал за защ ще ос (a yt e ал ор ерац о вычислительный алгоритм, который способен выдать наилучшее на данный момент решение) PHD’2015, 26-27 мая 2015 г. 49
  50. 50. Особенности предлагаемых решений (Особенности предлагаемых решений (2/22/2)) – Комбинированное использование графов атак и графовр р ф р ф зависимостей сервисов – Вычисление комплекса разнообразных показателей защищенности, включая следующие показатели: – уровень защищенности, й– уровень воздействия и потенциал атаки, – уровень навыков нарушителя, эффективность контрмер– эффективность контрмер, – степень побочных потерь при реализации контрмер и др. Стохастическое аналитическое моделирование и интерактивная– Стохастическое аналитическое моделирование и интерактивная поддержка принятия решений для выбора предпочтительных решений по безопасности на основе определения предпочтений относительно различных типов целей и требований (рисков, стоимости, выигрыша) и установления компромиссов между высокоуровневыми целями защиты информации PHD’2015, 26-27 мая 2015 г. 50 высокоуровневыми целями защиты информации
  51. 51. Общий подход к анализу защищенностиОбщий подход к анализу защищенности и выработке контрмери выработке контрмери выработке контрмери выработке контрмер Модуль хранения Генерация Анализ Поддержка С Источники из Интернета Уязвимости нулевого дня данных графа атак графов атак Генерация принятия решений Спецификация Стохастическое моделирование (CVE, CWE, CAPEC, CRE, CVSS и др.) нулевого дня, известные уязвимости р ц возможных контрмер Спецификация системы Хосты (CPE), политики безопасности, Показатели защищенности Возможные последствия атак Топологический анализ уязвимостей Выбор контрмер, сетевая топология Оператор последствия атак, эффективность контрмер уязвимостей р р Требования к безопасности, модель нарушителя Слабые места сети Зависимости сервисов Формирование отчета ру О PHD’2015, 26-27 мая 2015 г. Оценка контрмер
  52. 52. Этапы функционированияЭтапы функционирования  Этап разработки и ввода в эксплуатацию (не real-time)  Определение слабых мест в сети  Формирование базовых графов атак  Расчет метрик безопасности защищаемой сети  Формирование списка наиболее опасных уязвимостей нулевого дня  Этап эксплуатации (near real-time)  Обновление хранимых графов атак для соответствия изменениям, происходящим в сети  Оценка возможных мер по увеличению уровня защиты  Предсказание действий нарушителя  Обратный анализ действий нарушителя PHD’2015, 26-27 мая 2015 г.
  53. 53. Режимы работыРежимы работы Модель сети Расчет базовых Знания оператора Не real-time режим Спецификация Модель сети метрик Интернет Д ые ки Уязвимости Внешние базы Деревья атак Базовы метрик События в реальном Режим anytime Обновленные деревья атак Расчет метрик защищенности р времени Деревья атак События в реальном времени Режим near real-time Определение PHD’2015, 26-27 мая 2015 г. времени Определение сценариев атак Рекомендации
  54. 54. Основные потоки данныхОсновные потоки данных Выходные данныеВходные данные Интернет Уязвимости (CVE) Графы атак Оценки уязвимостей  (CVSS) Выходные данныеВходные данные Слабые места (CWE) Шаблоны атак (CAPEC) Система анализа  защищенности и  б Исправления (CRE) Слабые места в сети Данные  из сети выбора  контрмер  р ( ) События  безопасности (CEE) Вычисленные  показатели  защищенности и  воздействия б Зависимости сервисов Выбранные контрмеры Изменения в  воздействия Конфигурация сети Платформы хостов (CPE) Политики безопасности Возможные атаки и  контрмеры соответствии с  выбранными  контрмерами Конфигурация сети контрмеры Требования  б Предопреде‐ ленные   Выбранные модели  злоумышленника Модели безопасности данные PHD’2015, 26-27 мая 2015 г. Пользователь злоумышленника Модели  злоумышленника
  55. 55. Основные процессыОсновные процессы Слабые места (CWE) Уязвимости (CVE) Генерация уязвимостей Оценивание уязвимостей (CVSS) Система анализа защищенности и выбора контрмер  Политики безопасности События безопасности(CEE) Шаблоны атак (CAPEC) Генерация уязвимостей  нулевого дня Выбор возможных атак Платформы хостов (CPE) Политики безопасности  (права доступа) и  конфигурация (CCE) Выбор возможных атак Выполнение  Зависимости сервисов Конфигурация сети Выбранные модели нарушителя удаленных  атак Обнаруже‐ ние связан‐ ных хостов Выполнение  локальных р Требования безопасности Возможные  контрмеры (CRE) ных хостов (Под)графы атак Слабые места в сети  атак контрмеры (CRE) Выбранные  контрмеры (Под)графы атак (система) В б Вычисленные  метрики  защищенности и  воздействия Входные и выходные  данные PHD’2015, 26-27 мая 2015 г. Выбор  контрмер воздействия Выходные данные
  56. 56. Обобщенная архитектураОбобщенная архитектура PHD’2015, 26-27 мая 2015 г.
  57. 57. Анализ событийАнализ событий PHD’2015, 26-27 мая 2015 г.
  58. 58. Система показателей защищенности и входные данные для их расчетавходные данные для их расчета PHD’2015, 26-27 мая 2015 г.
  59. 59. Система метрик защищенности и входные данные для их расчетавходные данные для их расчета Level Input data Security metrics main 0-day cost Topological - System model (including - Host Vulnerability; - Host - Business Value;Topological System model (including service dependencies); - Information about system vulnerabilities/weak places (including indexes of CVSS) Host Vulnerability; - Host Weakness; - Intrinsic Criticality; - Propagated Criticality; etc. Host Vulnerability to 0-Day attacks; etc. Business Value; etc. (including indexes of CVSS) Criticality; etc. Attack graph - All information from the previous level; - Attack graphs - Attack Potentiality; - Attack Impact; etc. - Attack Potentiality Considering 0 D etc - Monetary Attack Impact; - Response Cost; etc0-Days; etc. etc. Attacker - All information from the previous level; - Attacker profile (skills, location in the system level of - Attacker Skill Level; - Profiled Attack Potentiality; etc. - Profiled Attack Potentiality C id i - Profiled Monetary Attack Impact; P fil dlocation in the system, level of the privileges) Considering 0-Days; etc. - Profiled Response Cost; etc. Events - All information from the previous level; - Dynamic Attacker Skill L l - Dynamic Att k - Dynamic M t Att kprevious level; - Security incidents Skill Level; - Probabilistic Attacker Skill Level; - Dynamic Attack P t ti lit etc Attack Potentiality Considering 0-Days; etc. Monetary Attack Impact; - Dynamic Response Cost; etcPotentiality; etc. etc. Decision support - Metrics from the previous levels - Countermeasure Effectiveness; - Collateral Damage - Countermeasure Cost Integral Metrics from the previous Risk Level; Security Level; Attack Annual Loss PHD’2015, 26-27 мая 2015 г. Integral (system) - Metrics from the previous levels - Risk Level;- Security Level; - Attack Surface; - Countermeasure Selection Index - Annual Loss Expectancy
  60. 60. Методики вычисления показателейМетодики вычисления показателей защищенностизащищенностизащищенностизащищенности 1.1. Статическая методика (экспресс оценки уровняСтатическая методика (экспресс оценки уровня( р ур( р ур защищенности).защищенности). Определяется общий уровень защищенности системы на основе учета возможности реализации угроз и их последствий для системыреализации угроз и их последствий для системы. 22.. Статическая методика (на основе метрик топологического,Статическая методика (на основе метрик топологического, графа атак и (или) атакующего)графа атак и (или) атакующего)графа атак и (или) атакующего).графа атак и (или) атакующего). 3. Динамическая методика (учитывающая события3. Динамическая методика (учитывающая события безопасности происходящие в системе)безопасности происходящие в системе) ОриентированаОриентированабезопасности, происходящие в системе).безопасности, происходящие в системе). ОриентированаОриентирована на работу в реальном времени, когда текущее положениена работу в реальном времени, когда текущее положение атакующего и его перемещение в сети могут отслеживаться,атакующего и его перемещение в сети могут отслеживаться, но существуют жесткие ограничения на время вычислений.но существуют жесткие ограничения на время вычислений. 3.3. Методика, основанная на анализе исторических данных.Методика, основанная на анализе исторических данных. При вычислении вероятности и потенциала атаки используются данные о предыдущих инцидентах. PHD’2015, 26-27 мая 2015 г.
  61. 61. Метрики топологического уровня (1) Уязвимость хоста Слабость хоста (Host Weakness) (Host Vulnerability)   n i ik wScoreCWSSCriticalhWeakness 1 )(__)( k й k [1 ]h Определяет серьезность – k-й хост системы, k  [1..m], CWSS оценка слабого kh _ ( ), _ ( ) 60.0 _ _ ( ) , 0, i i i CWSS Score w if CWSS Score w Critical CWSS Score w otherwise       )(wScoreCWSS р д р уязвимостей хоста Нормализованная слабость хоста ( ) max _ ( )k i iVulnerability h Critical BaseScore v – k-й хост системы, k [1..m],kh – CWSS-оценка слабого места , i  [1..n]. )(_ iwScoreCWSS iw Нормализованная слабость хоста (Normalized Host Weakness) – базовая оценка CVSS для ( ), ( ) 7.0 _ ( ) , 0, i i i BaseScore v if BaseScore v Critical BaseScore v otherwise     ( )iBaseScore v _ ( ) n iCWSS Score w У 0 дНормализованная уязвимость хоста уязвимости , i  [1..n].iv 1 _ ( ) 100% max ( ) i k k k N Weakness h Weakness h     Уязвимость хоста к атакам 0-го дня (Host Vulnerability to Zero Day Attacks Нормализованная уязвимость хоста (Normalized Host Vulnerability) ( ) ( ) 100%kVulnerability h N V l bilit h ( ) ( )Z Vulnerability h N Weakness h PHD’2015, 26-27 мая 2015 г. ( ) _ ( ) 100% max ( ) k k k k y N Vulnerability h Vulnerability h   _ ( ) _ ( )k kZ Vulnerability h N Weakness h
  62. 62. Метрики топологического уровня (2) Критичность хоста (Host Criticality) отражает бизнес значение хоста в сети (организации) Выделение различных приложений хоста отражает бизнес-значение хоста в сети (организации). Определение внутренней критичности каждого приложения согласно важности его конфиденциальности, целостности и доступности для системы (Cc, Ci, Ca) Определение внешней критичности каждого приложения (на основе зависимостей) как произведения внутренней критичности приложения на весовую матрицу 2 1 12P Criticality W I Criticality весовую матрицу Определение критичности хоста 2 1,_ 1_ _2__ _ap ap ap apP Criticality W I Criticality max (c)Criticality max (c) max (i) max (a _ ) k k k k k k Criticality H Criticality Criticality Criticality         ( )k ky  (c) max(I (c),(1 I (a)) (c_ _ )_ )kCriticality Criticality Criticality P Criticality   ( ) max(I ( ),(1 I_ _ (a)) (_ ))kCriticality i Criticality i Criticality P Criticality i   PHD’2015, 26-27 мая 2015 г. ( ) I ( ) ( ) I (a) ( )_ _ _ _kCriticality a Criticality a P Criticality a Criticality P Criticality a   
  63. 63. Метрики уровня графа атак, атакующего и событий (1)и событий (1) Ущерб от атаки (Attack Impact) отражает ущерб от компрометации хостаотражает ущерб от компрометации хоста Определение Непосредственного ущерба (Native Impact) для каждого хоста из каждого атакующего действия на основе CVSS как тройки [Ic, Ii, Ia], где I I I ущерб конфиденциальности целостности и доступностигде Ic, Ii , Ia - ущерб конфиденциальности, целостности и доступности Ущерб от атаки вычисляется перемножением Непосредственного ущерба ищ р р р д ущ р Критичности хоста PHD’2015, 26-27 мая 2015 г.
  64. 64. Метрики уровня графа атак, атакующего и событий (2) Потенциал (вероятность) атаки и событий (2) ц ( р ) (Attack Potentiality (Probability)) отражает вероятность успеха атаки Опреде- Определение РасчетДля Вычисление р р у Опреде ление вероятности начального Определение вероятностей узлов графа атак на осно- Расчет апостериорных вероятностей, если какое-то Для каждого узла вы- числяются Вычисление безусловных вероятностей для каждого узла Si на узла графа атак (на базе ве сложности доступа к соответствую событие произошло : локальные распреде- ления д у i основе локальных распределений вероятностей : навыков атакующего) щей уязви- мости (на базе CVSS) вероят- ностей Pr(A | B) Pr(B| A)  Pr(A) / Pr(B) 1Pr( ,..., )nS S  1 Pr( | Pa[ ]), n i ii S S   P [ ]Sдля атакующих действий - последова- тельность всех предков Pa[ ]iS iS PHD’2015, 26-27 мая 2015 г.
  65. 65. Метрики принятия решений (выбора контрмеры)контрмеры) • Предложена модель контрмер, сформированная на основе стандартов CRE и ERI. • Модель включает определение характеристик, необходимых для б йприменения модели в методике выбора контрмер, значений характеристик и их связей с методикой выбора контрмер. • Особенности статического и динамического режима принятия• Особенности статического и динамического режима принятия решений привели к необходимости использовать в данной модели следующие поля:д ду щ • «режим работы системы» (может принимать значения «статический»/«динамический»/«оба»); • «средство реализации» (средство, необходимое для реализации защитной меры); область действия (может принимать значения элемент• «область действия» (может принимать значения «элемент графа атак»/«хост»/«подсеть»/«сеть»). PHD’2015, 26-27 мая 2015 г.
  66. 66. Поля модели контрмер и примеры значений Поле Группа полей Описание Пример Название Описание меры Текстовое значение Запрет или перенаправление запросовзапросов Описание Описание меры Текстовое значение Запрет или перенаправление url-запросов от подозри- тельных учетных записей Уязвимость, против которой направлена защитная мера Связь с графом атак CVE CVE-2010-1870 Платформа или Связь с графом CPE или CCE cpe:/a:apache:struts:2.0.0 конфигурация, для которой применима защитная мера атак Средство реализации Связь с методикой б Текстовое значение, экспертное Межсетевой экран выбора мер Режим работы системы Связь с методикой выбора мер Статический / динамический / оба Динамический Область действия Связь с методикой Элемент графа атак / хост / Элемент графа атак выбора мер р ф подсеть / сеть р ф Влияние на граф атак Связь с графом атак Удаление связи / добавление связи / удаление узла / добав- ление узла / изменение узла Удаление связи ление узла / изменение узла Влияние на работу Показатель Вычисляется на основе графа зависимостей сервисов CD=[0 0 0,5] Эффективность (или Показатель Задается экспертно EF=[0,5 0,5 0,5] PHD’2015, 26-27 мая 2015 г. снижение риска) Стоимость Показатель Задается экспертно €500
  67. 67. Связь модели контрмер и графа атак • В основе методики принятия решений лежит граф атак. Реализация контрмеры влияет на переходы состояний и, соответственно, изменяет граф атак (удаляя/добавляя узлы) и вероятности атак. Контрмера может повлиять на каждый из этих элементов тремя способами:может повлиять на каждый из этих элементов тремя способами: удаление, добавление, изменение (например, вероятности атак). Пунктирные и сплошные стрелки показаны для выделения путей, соответствующих определеннымсоответствующих определенным контрмерам, например, открытие порта обуславливает добавление дуги, но не узла. PHD’2015, 26-27 мая 2015 г.
  68. 68. План докладаПлан доклада  Введение Введение  SIEM-системы и аналитическая обработка информации безопасности  Метрики для моделирования атак анализа Метрики для моделирования атак, анализа защищенности и выработки контрмер  Анализ защищенности и выработка контрмер на основе метрик безопасностир  Визуализация метрик  Реализация и эксперименты  Заключение PHD’2015, 26-27 мая 2015 г.  Заключение
  69. 69. Представление политик безопасности Матричное представление прав доступа к ресурсам [1] Представление прав доступа к ресурсам в виде [3] Представление прав прав доступа к ресурсам [1] карты деревьев [3]доступа к ресурсам в виде графа [2] [1] Reeder R. W., Bauer L., Cranor L. F., et al. Expandable grids for visualizing and authoring computer security policies. SIGCHI Conference on Human Factors in Computing Systems (CHI '08). ACM, New York, NY, USA, 2008. [2] Marouf S., Shehab M. SEGrapher: Visualization-based SELinux PolicyAnalysis. 4th Symposium on Configuration Analytics and Automation (SAFECONFIG), 2011. [3] H it A P l i B P th C T i R Eff ti Vi li ti f Fil S t A C t l 5th i t ti l PHD’2015, 26-27 мая 2015 г. [3] Heitzmann A., Palazzi B., Papamanthou C., Tamassia R. Effective Visualisation of File System Access-Control. 5th international workshop on Visualisation for Computer Security (VizSec'08), LNCS, Vol.5210, Springer-Verlag, Berlin, Heidelberg, 2008.
  70. 70. Представление правил межсетевых экрановэкранов PolicyViz [2] Визуализация в виде "солнечные лучи" (Sunburst) [1] [1] Mansmann F., Göbel T., Cheswick W. Visual Analysis of Complex Firewall Configurations. VizSec'12, October 15, 2012, Seattle, WA, USA, 2012. [2] Tran T Al-Shaer E Boutaba R PolicyVis: Firewall Security Policy Visualisation and Inspection 21st Conference on Large Визуализация в виде солнечные лучи (Sunburst) [1] PHD’2015, 26-27 мая 2015 г. [2] Tran T., Al-Shaer E., Boutaba R. PolicyVis: Firewall Security Policy Visualisation and Inspection. 21st Conference on Large Installation System Administration Conference (LISA’07), USENIX Association, Berkeley, CA, USA, 2007.
  71. 71. Представление уязвимостей и событийПредставление уязвимостей и событий безопасностибезопасностибезопасностибезопасности Nv Tool [1][ ] IDS Rainstorm [2] Спиральное представление событий безопасности [3] [1] Harrison, L., Spahn, R., Iannacone, M., Downing, E., Goodall, J.R.: NV: Nessus Vulnerability Visualisation for the Web. Proc. of the VizSec’12, October 15 2012, Seattle, WA, USA (2012) [2] Abdullah K., Lee C., et al. IDS Rainstorm: Visualizing ids alarms. IEEE Workshops on Visualization for Computer Security, 2005. PHD’2015, 26-27 мая 2015 г. [ ] , , g p p y, [3] Bertini E., Hertzog P., Lalanne D. SpiralView: Towards Security Policies Assessment through Visual Correlation of Network Resources with Evolution of Alarms. IEEE Symposium on Visual Analytics Science and Technology (VAST) 2007.
  72. 72. Спиральное представлениеСпиральное представление событийсобытий безопасностибезопасностибезопасностибезопасности • Используется для мониторинга событий ббезопасности, регистрируемых различными датчиками безопасности • В графической модели используется Д б kвременная шкала. Для обозначения k суток или месяцев применяется шкала, состоящая из k окружностей разного О 24радиуса. Окружности разделены на 24 части, обозначающие часы в сутках. Самые ранние события в виде точек располагаются на внутренней окружности, а самые поздние - на внешней. • Цвет точки обозначает тип события, а размер точки - уровень его критичности. • Для анализа событий реализованы механизмы фильтрации, масштабирования и выделения событий цветом в зависимости от заданных PHD’2015, 26-27 мая 2015 г. пользователем условий.
  73. 73. Визуализация графов атакВизуализация графов атак Использование карт Использование матричного представления [3] Использование карт деревьев [2]Использование графов [1] [1] Noel S., Jacobs M., Kalapa P., Jajodia S. Multiple Coordinated Views for Network Attack Graphs. IEEE Workshops on Visualisation for Computer Security, IEEE Computer Society, 2005. [2] Williams L., Lippmann R., Ingols K. GARNET: A Graphical Attack Graph and Reachability Network Evaluation Tool. 5th International Workshop on Visualisation for Computer Security (VizSec'08), LNCS, Vol.5210, Springer-Verlag, 2008. [3] N l S J j di S U d t di C l N t k Att k G h th h Cl t d Adj M t i 21 t A l C t PHD’2015, 26-27 мая 2015 г. [3] Noel S., Jajodia S. Understanding Complex Network Attack Graphs through Clustered Adjacency Matrices. 21st Annual Computer Security Applications Conference (ACSAC’05). IEEE Computer Society, 2005.
  74. 74. OSSIM: карта рисковOSSIM: карта рисков Карта рисков отображает информацию о состоянии риска (R), уязвимостей (V) и доступности (A) каждого сетевого объекта, расположенного на карте в виде светофоров PHD’2015, 26-27 мая 2015 г. расположенного на карте в виде светофоров
  75. 75. Метафора представления метрик защищенности [Erbacher 2012]защищенности [Erbacher, 2012]  Каждая метрика представляется с использованием циферблата,Каждая метрика представляется с использованием циферблата, и ее значение "усиливается" цветом, чтобы сделать боле быстрым восприятие. Наружное кольцо соответствует более позднему (текущему) значениюпозднему (текущему) значению  Набор метрик представляется с помощью множества различных циферблатов (cyber command gauge cluster ) для поддержки принятия контрмер и выполнения других задач защиты информации PHD’2015, 26-27 мая 2015 г.
  76. 76. Модель оперативного индикатора доверия [Matuszak et al., 2013]доверия [Matuszak et al., 2013]  В одном индикаторе отображается три типа доверия В одном индикаторе отображается три типа доверия, цвет используется для задания значения доверия  Эти параметры представляются в виде части Эти параметры представляются в виде части наружного кольца круга. Круг в центре обозначает общее доверие рассчитываемое как взвешеннаяобщее доверие, рассчитываемое как взвешенная сумма других видов доверия PHD’2015, 26-27 мая 2015 г.
  77. 77. Отчеты о защищенности в форме карт деревьевдеревьев (a) критичность vs. уровень защищенности; (b) критичность vs. серьезность уязвимости ( ) (b)(a) (b) Каждый прямоугольник отображает хост. Размер прямоугольника  определяется критичностью хоста (business value). Цвет обозначает  PHD’2015, 26-27 мая 2015 г. р д р ( ) Ц серьезности уязвимости на данном хосте или уровня защищенности.
  78. 78. Анализ достижимости атакиАнализ достижимости атаки на основе карт деревьевна основе карт деревьевна основе карт деревьевна основе карт деревьев Размер вложенных прямоугольников соответствует уровню критичности, а цвет отражает состояние хоста (красный - хост достигаем PHD’2015, 26-27 мая 2015 г. а цвет отражает состояние хоста (красный хост достигаем нарушителем, зеленый - нарушитель не может получить доступ к хосту.
  79. 79. Предлагаемое представление метрик защищенностизащищенности  Для предоставления пользователям возможности анализировать несколько метрик предложена модельанализировать несколько метрик предложена модель визуализации (глиф) на основе кругов, способная отображать предыдущие значения метрик  Круг разделяется на n секторов, которые отображают значения n метрик. Внешние кольца представляют предыдущие значенияпредыдущие значения  Для отображения критичности значения используется цвет  Модификация этой модели – от критичности значения метрики зависит радиус сектора 90909090 PHD’2015, 26-27 мая 2015 г.
  80. 80. ПредставлениеПредставление хоста схоста с использованиемиспользованием глифаглифаглифаглифа Схема кодирования цвета: Д• Для рациональных и интервальных параметров определено пять интервалов, обозначенных как {None, Low, Medium, Above Medium, High}. Эти значения кодируются с использованиемMedium, High}. Эти значения кодируются с использованием шкалы “желтый – красный”, за исключением значения None, которое обозначается с помощью зеленого цвета. • Для кодирования уровня критичности хоста используется другая схема, так как эта метрика должна применяться для приоритезации действий аналитика и не предназначена дляприоритезации действий аналитика и не предназначена для оповещения о возможной опасности, как другие метрики. PHD’2015, 26-27 мая 2015 г.
  81. 81. Глиф для отображения метрик RORI для различных контрмердля различных контрмер RORI (Return On Response Investment, Возврат й )инвестиций в реагирование) - учитывает стоимость контрмеры, связанное с контрмерой снижение риска, ценность хоста для бизнеса и ожидаемые потери C1 ‐ Ничего не делать (RORI = 0.0%). C2 ‐ Блокирование подозрительных  хоста для бизнеса и ожидаемые потери р д р учетных записей (RORI = 400.36%). C3 ‐ Активация систем обнаружения  в ор е й (IDS) в с ра е ес   ес а  вторжений (IDS) в стратегических местах  (RORI = 308.96%). C4 ‐ Изменение порта (RORI = 163.64%).4 р ( 3 4 ) C5 ‐ Активация многофакторной  аутентификации (RORI = 386.07%). C6  А ва рав  об ар е  C6 ‐ Активация правил обнаружения  аномального поведения (RORI=411.52%). C7 ‐ Временная деактивация учетной записи  PHD’2015, 26-27 мая 2015 г. 7 р д ц у (RORI = 259.40%).
  82. 82. Элементы графического интерфейсаЭлементы графического интерфейса (примеры высокоуровневых метрик)(примеры высокоуровневых метрик)(примеры высокоуровневых метрик)(примеры высокоуровневых метрик) Метрики безопасности – семафор Security Level Not defined Пиктограммы, использующие для отображения графа атак Green (Network is secured) Yellow (Low Criticality) Исходное положение нарушителя Применение атомарного действия отображения графа атак Orange (Medium Criticality) Yellow (Low Criticality) Применение атомарного действия Применение сценария без использования уязвимости Red (High Criticality ) использования уязвимости Эксплуатация уязвимости PHD’2015, 26-27 мая 2015 г.
  83. 83. Методики визуализации (1)  Кодирование цвета Кодирование цвета  Разработана схема кодирования цвета по умолчанию для отображения порядковых метрик со значениями {Highотображения порядковых метрик со значениями {High, Above Medium, Medium, Low}  Но эта схема не может быть легко адаптирована дляНо эта схема не может быть легко адаптирована для отображения номинальных и рациональных метрик, так как для этого должны быть настроены пороговые значения для определения нормальных и критических значений  Необходимо обеспечить гибкий механизм для настройки схемы цветов для номинальных метрик и определения пороговых значений и соответствующих цветов для рациональных PHD’2015, 26-27 мая 2015 г.

×