Документ обсуждает актуальные направления в разработке систем управления информацией и событиями безопасности (SIEM-систем) с акцентом на моделирование атак, анализ защищенности и визуализацию данных. В нем рассматриваются архитектура SIEM-систем, их функциональные требования, а также ограничения и вызовы для новых поколений SIEM. Доклад представляет результаты проекта MASSIF, направленного на улучшение систем защиты информации в различных сценариях, включая мероприятия по безопасности на Олимпийских играх.

1. …
…
…
…
Моделирование атак,Моделирование атак,
вычисление метрик защищенностивычисление метрик защищенности
и визуализацияи визуализация
в перспективных SIEMв перспективных SIEM--системахсистемах
И В КотенкоИ.В. Котенко
Санкт-Петербургский институт информатики и автоматизации РАН
PHD’2013, 23-24 мая 2013 г.
(СПИИРАН)

2. Решаемая задача
• В настоящее время одним из актуальных направленийр у р
развития систем защиты информации является создание
систем управления информацией и событиями безопасности
(SIEM систем)(SIEM-систем).
• Моделирование атак и механизмов защиты, анализ
защищенности и визуализация играют важную роль взащищенности и визуализация играют важную роль в
исследованиях, связанных с защитой от компьютерных атак и
разработкой (выбором) механизмов и средств защиты
информации.
• В докладе представляется проблема аналитического
моделирования атак и механизмов защиты, анализа
защищенности и визуализации событий и показателей
защищенности в SIEM-системах Рассматриваетсязащищенности в SIEM системах. Рассматривается
архитектура и аспекты реализации программных компонентов
SIEM-системы, разрабатываемой в рамках проекта MASSIF
Е й й й FP7 Е й С
PHD’2013, 23-24 мая 2013 г.
Европейской рамочной программы FP7 Европейского Союза.

3. План докладаПлан доклада
 Введение Введение
 SIEM-системы
 Проект MASSIF
 Аналитическое моделирование
 Анализ защищенности Анализ защищенности
 Визуализация
 Заключение
PHD’2013, 23-24 мая 2013 г.

4. ПонятиеПонятие SIEMSIEM--системысистемы
Security information and event management (SIEM) system –
система управления информацией и событиями безопасности.
Технология SIEM = SIM + SEM
Основная цель SIEM – повышение ИБ за счет обеспечения
возможности в режиме, близком к реальному времени,
бманипулировать информацией о безопасности и
осуществлять проактивное управление инцидентами и
событиями безопасностисобытиями безопасности
«Проактивный» означает «действующий до того, как ситуация
станет критической». Предполагается, что проактивноестанет критической . Предполагается, что проактивное
управление инцидентами и событиями безопасности
основывается на автоматических механизмах, использующих
информацию об «истории» анализируемых сетевых событий иинформацию об «истории» анализируемых сетевых событий и
прогнозе будущих событий, а также на автоматической
подстройке параметров мониторинга событий к текущему
PHD’2013, 23-24 мая 2013 г.
у у
состоянию защищаемой системы

5. Расширенный список задач,Расширенный список задач,
решаемыхрешаемых SIEMSIEM--системойсистемойрешаемыхрешаемых SIEMSIEM системойсистемой
 сбор, обработка и анализ событий безопасности, поступающих
в систему из множества гетерогенных источников;
 обнаружение в реальном времени атак и нарушений критериев
и политик безопасности;
 оперативная оценка защищенности информационных,
телекоммуникационных и других критически важных ресурсов;
 анализ и управление рисками информационной безопасности;
 проведение расследований инцидентов;
 обнаружение расхождения критически важных ресурсов и
бизнес–процессов с внутренними политиками безопасности и
приведение их в соответствие друг с другом;
 принятие эффективных решений по защите информации;
 формирование отчетных документов.
PHD’2013, 23-24 мая 2013 г.

6. Архитектура типовойАрхитектура типовой SIEMSIEM--системысистемы
«агенты» — «хранилище данных» —
«сервер приложений»«сервер приложений»
PHD’2013, 23-24 мая 2013 г.

7. Механизмы обработки информацииМеханизмы обработки информации
вв SIEMSIEM--системесистемевв SIEMSIEM системесистеме
PHD’2013, 23-24 мая 2013 г.

8. Функциональная модельФункциональная модель SIEMSIEM--системысистемы
PHD’2013, 23-24 мая 2013 г.

9. СравнениеСравнение SIEMSIEM--решений (1решений (1//2)2)рр р (р ( ))
PHD’2013, 23-24 мая 2013 г.
(Gartner, 2012)

10. СравнениеСравнение SIEMSIEM--решений (решений (2/2/2)2)рр р (р ( ))
PHD’2013, 23-24 мая 2013 г.
(Gartner, 2012)

11. План докладаПлан доклада
 Введение Введение
 SIEM-системы
 Проект MASSIF
 Аналитическое моделирование
 Анализ защищенности Анализ защищенности
 Визуализация
 Заключение
PHD’2013, 23-24 мая 2013 г.

12. Ограничения SIEMОграничения SIEM--систем и требованиясистем и требования
к SIEMк SIEM системам нового поколениясистемам нового поколенияк SIEMк SIEM--системам нового поколениясистемам нового поколения
Ограничения:
 ограничения по целевой инфраструктуре;
 неспособность многоуровневой интерпретации инцидентов и
событий (уровни физический сетевой приложений бизнессобытий (уровни - физический, сетевой, приложений, бизнес-
процессов);
 неспособность обеспечить высокую степень надежности инеспособность обеспечить высокую степень надежности и
стойкости среды сбора данных о событиях;
 низкая масштабируемость и др.
Функциональные требования:
 применение проактивного управления инцидентами и событиями,
 формирование контрмер в реальном времени;
 интеллектуальность, высокая масштабируемость,
б б б ймногоуровневость и многодоменность обработки событий
безопасности;
 упреждающее управление безопасностью а также надежный и
PHD’2013, 23-24 мая 2013 г.
 упреждающее управление безопасностью, а также надежный и
устойчивый сбор данных о событиях.

13. Участники проектаУчастники проекта MASSIFMASSIF
MASSIF MAnagement of Security information and events in Service InFrastructure
Разработчики сценариев б S
MASSIF - MAnagement of Security information and events in Service InFrastructure
12 организаций-партнеров
Разработчики сценариев Разработчики SIEM-систем
EPSILONEPSILON
Научные организации
...
PHD’2013, 23-24 мая 2013 г.Massif project presentation

14. Цели, задачи и структураЦели, задачи и структура
проекта Евросоюзапроекта Евросоюза MASSIFMASSIFпроекта Евросоюзапроекта Евросоюза MASSIFMASSIF
PHD’2013, 23-24 мая 2013 г.

15. Сценарий 1. ИнфраструктураСценарий 1. Инфраструктура
проведения Олимпийских игрпроведения Олимпийских игрпроведения Олимпийских игрпроведения Олимпийских игр
Мониторинг безопасности
На примере Олимпиады Мониторинг безопасности
Центр управления безопасностью
МСЭ
Агенты
МСЭ
На примере Олимпиады-
2008 в Пекине
Агенты
IDS
Центр управления безопасностью
IDS
Агенты
менеджера
электронных
уязвимостей
Сервер
Менеджер
политик
безопасности Опера-
тивная БД
Истори-
ческая
БД Сетевые
устройства
Агенты
сетевых
устрой-
ств
Сервер
уязви-
мостей
WWW
серверы
Агент
сервера
доступа
Сервер
RADIOS
Агенты не-OVR
антивируса
Агенты OVR
антивируса
Агенты серверов
UNIX
Агенты серверов
Windows
Агенты ПК Windows
Агенты
IIS
р р
FTP
серверы
RADIOS
ПО OVR ПО не OVR
Агенты ПК Windows
PHD’2013, 23-24 мая 2013 г.
Размерность: 20 000 типов событий безопасности; 10 000 000 пред./день; 40 000 компонентов; 35 000 пользователей
ПО OVR
антивируса
ПО не-OVR
антивирусаСерверы UNIX
Серверы WindowsРабочие станции Windows
OVR - On Venue Results Systems

16. СценарийСценарий 22. Инфраструктура сервисов. Инфраструктура сервисов
управления предприятиемуправления предприятиемуправления предприятиемуправления предприятием
Проблема:
1) Противостояние
массовым атакам
2) Низкая
достоверность
исходных данных
3) Неадекватные
механизмы
аварийного
восстановления
Вклад:
совершенствование
механизмовмеханизмов
корреляции событий
на основе
повышения
эффективности
управления
событиями и
данными
PHD’2013, 23-24 мая 2013 г.
данными
безопасности

17. Сценарий 3.Сценарий 3. ““Мобильные деньгиМобильные деньги””
Проблема: сервис
подвержен рискуподвержен риску
отмывания денег и
другим видам
мошенничества.
Задача: защитить
сервис от попытоксервис от попыток
мошенничества с
помощью их
обнаружения и
принятия
соответствующих
контрмер.
Вклад: корреляция
событий на разных
уровнях и междууровнях и между
уровнями
PHD’2013, 23-24 мая 2013 г.

18. Сценарий 4. Управление процессами вСценарий 4. Управление процессами в
критической инфраструктуре (Дамба)критической инфраструктуре (Дамба)критической инфраструктуре (Дамба)критической инфраструктуре (Дамба)
Проблема:
1) распознать реальные
угрозы на основеугрозы на основе
множества
предупреждений
2) Надежность2) Надежность
источников данных
Задача: контроль
важнейших объектовважнейших объектов
критической
инфраструктуры (на
примере плотины)
Вклад: на основе
корреляции событий
иметь полное
бпредставление обо всех
потенциально
критических событиях
безопасности
PHD’2013, 23-24 мая 2013 г.

19. Датчики и сенсоры для сценария 4Датчики и сенсоры для сценария 4
Постоянно контролируемые
параметры:р р
1) физическая структура
плотины является
стабильной, т.е. она не
собирается падать всобирается падать в
ближайшее время;
2) нет утечки в настоящее
время;
3) вода чистая (в частности,
не загрязняется, а также
не была отравлена);
4) вода ниже4) вода ниже
предопределенного уровня
безопасности;
5) открытость шлюзов;
6)6) метеорологические
данные (температура,
давление, влажность,
ветер, дождь);
PHD’2013, 23-24 мая 2013 г.
е ер, до д );
7) вибрация плотины.

20. Уровни обработки информацииУровни обработки информации
PHD’2013, 23-24 мая 2013 г.

21. Обобщенная архитектураОбобщенная архитектура SIEMSIEM--системысистемы
PHD’2013, 23-24 мая 2013 г.

22. Схема потоковСхема потоков SIEMSIEM--системысистемы
PHD’2013, 23-24 мая 2013 г.
ИК - информационный коммутатор

23. Место и роль исследуемых процессовМесто и роль исследуемых процессов
в проектев проекте MASSIF (1/2)MASSIF (1/2)в проектев проекте MASSIF (1/2)MASSIF (1/2)
PHD’2013, 23-24 мая 2013 г.

24. Место и роль исследуемых процессовМесто и роль исследуемых процессов
в проектев проекте MASSIF (MASSIF (22/2)/2)в проектев проекте MASSIF (MASSIF (22/2)/2)
Компонент моделирования
и анализа защищенности
(КМАЗ)
PHD’2013, 23-24 мая 2013 г.

25. План докладаПлан доклада
 Введение Введение
 SIEM-системы
 Проект MASSIF
 Аналитическое моделирование
 Анализ защищенности Анализ защищенности
 Визуализация
 Заключение
PHD’2013, 23-24 мая 2013 г.

26. Основные причины использования
моделей атак в SIEM системахмоделей атак в SIEM-системах
• Вычисление возможных последовательностей (трасс) атак иВычисление возможных последовательностей (трасс) атак, и
упреждающее определение целей безопасности, которые с
наибольшей вероятностью станут мишенью для нарушителяр у ру
• Корреляция последовательностей событий безопасности, т.к.
они относятся к определенным действиям в рамках модели
атак
• Определение показателей защищенности
• Определение соответствующих наборов контрмер, т.е.
действий, предпринимаемых системой, чтобы разрушить
непрерывную последовательность действий атакующего
• Динамическое вычисление воздействия атак и контрмер на
защищаемую систему: атак - когда они нарушают политику
безопасности, и контрмер - когда они изменяют
конфигурацию системы
PHD’2013, 23-24 мая 2013 г.
конфигурацию системы

27. Базовые работы по моделированию
атак для анализа механизмов защиты (1/2)атак для анализа механизмов защиты (1/2)
 Проверка на модели (C.Ramakrishnan и R.Sekar, R.Ritchey иПроверка на модели (C.Ramakrishnan и R.Sekar, R.Ritchey и
P.Ammann, O.Sheyner, S.Jha и J.Wing – SMV, NuSMV, SPIN).
Требуют определить гипотезу (состояние системы),
й d l h kiнарушение которой проверяется методом model checking
 Экспертные системы (M.Danforth – Java Expert System Shell).
Правила задают выполнение атакующих действий фактыПравила задают выполнение атакующих действий, факты –
состояния системы. Атаки определяются в виде
предусловия/постусловияр ду у
 Логический подход (X.Ou, W.Boyer, M.McQueen – Datalog
language). Граф состоит из вершин вывода и вершин фактов.
Модель сети – множество высказываний Datalog, атаки –
правила Datalog
Г ф Н C Phili L S il ф Графы атак. Например C.Philips и L.Swiler строят граф:
вершины – состояния системы, дуги – переходы [Ortalo et al.,
1999; Ritchey&Ammann, 2000; Sheyner et al., 2002; Rieke, 2004;
PHD’2013, 23-24 мая 2013 г.
1999; Ritchey&Ammann, 2000; Sheyner et al., 2002; Rieke, 2004;
Noel&Jajodia, 2005; Lippmann&Ingols, 2006; …]

28. Базовые работы по моделированию
атак для анализа механизмов защиты (2/2)
П й й
атак для анализа механизмов защиты (2/2)
• Представление сценариев атак и моделей нарушителей
[Schneier, 1999; Dawkins et al., 2002; Shepard et al., 2005; …]
С ф ф й• Спецификация платформ, уязвимостей, оценок
уязвимостей, атак, слабостей и конфигураций [NVD;
OSVDB; CVE; CVSS; CPE; CCE; CWE; CAPEC; ]OSVDB; CVE; CVSS; CPE; CCE; CWE; CAPEC; … ]
• Показатели защищенности [Mell et al., 2007; Jaquith, 2007;
Herrmann 2007; Jansen 2009; ]Herrmann, 2007; Jansen, 2009; …]
• Комбинирование графов зависимостей сервисов и графов
[Kh i t l 2009 Kh i t l 2010 ]атак [Kheir et al., 2009; Kheir et al., 2010; …]
• Представление атак нулевого дня [Ingols et al., 2009; Wang
t l 2010 ]et al., 2010; …]
• Моделирование контрмер [Kheir et al., 2010; …]
PHD’2013, 23-24 мая 2013 г.

29. КомпонентыКомпоненты SCAPSCAP
((Security Content Automation ProtocolSecurity Content Automation Protocol))((Security Content Automation ProtocolSecurity Content Automation Protocol))
 Common Vulnerabilities and Exposures (CVE)p ( )
 База данных об уязвимостях безопасности
 Common Configuration Enumeration (CCE)g ( )
 База данных уязвимых конфигураций ПО
 Common Platform Enumeration (CPE) Common Platform Enumeration (CPE)
 Стандартная номенклатура и база имен продуктов
 eXtensible Checklist Configuration Description Format eXtensible Checklist Configuration Description Format
(XCCDF)
 Стандарт по XML-спецификации контрольных листовд р ц ф ц р
 Open Vulnerability Assessment Language (OVAL)
 Стандарт по XML-спецификации для контроля состоянийд р ц ф ц д р
процессов
 Common Vulnerability Scoring System (CVSS)
PHD’2013, 23-24 мая 2013 г.
 Стандарт оценки влияния уязвимостей

30. Другие протоколыДругие протоколы
 Threat Analysis Automation Protocol (TAAP)
 Для документирования и совместного использования структурной Для документирования и совместного использования структурной
информации об угрозах. Malware Attribute Enumeration & Characterization
(MAEC), Common Attack Pattern Enumeration & Classification (CAPEC),
Common Platform Enumeration (CPE), Common Weakness Enumeration
(CWE) O V l bilit d A t L (OVAL) C(CWE), Open Vulnerability and Assessment Language (OVAL), Common
Configuration Enumeration (CCE) и Common Vulnerabilities and Exposures
(CVE).
 Event Management Automation Protocol (EMAP) Event Management Automation Protocol (EMAP)
 Для отчетов о событиях безопасности. Common Event Expression (CEE),
Malware Attribute Enumeration & Characterization (MAEC), и Common Attack
Pattern Enumeration & Classification (CAPEC)Pattern Enumeration & Classification (CAPEC).
 Incident Tracking and Assessment Protocol (ITAP)
 Для отслеживания, документирования, управления и совместного
использования информации об инцидентах Open Vulnerability andиспользования информации об инцидентах. Open Vulnerability and
Assessment Language (OVAL), Common Platform Enumeration (CPE), Common
Configuration Enumeration (CCE), Common Vulnerabilities and Exposures
(CVE), Common Vulnerability Scoring System (CVSS), Malware Attribute
E ti & Ch t i ti (MAEC) C Att k P tt E tiEnumeration & Characterization (MAEC), Common Attack Pattern Enumeration
& Classification (CAPEC), Common Weakness Enumeration (CWE), Common
Event Expression (CEE), Incident Object Description Exchange Format (IODEF),
National Information Exchange Model (NIEM) и Cybersecurity Information
PHD’2013, 23-24 мая 2013 г.
National Information Exchange Model (NIEM) и Cybersecurity Information
Exchange Format (CYBEX).

31. Перечень стандартов и стандарты,Перечень стандартов и стандарты,
используемыеиспользуемые SCAP (1/2)SCAP (1/2)используемыеиспользуемые SCAP (1/2)SCAP (1/2)
PHD’2013, 23-24 мая 2013 г.

32. Перечень стандартов и стандарты,Перечень стандартов и стандарты,
используемыеиспользуемые SCAP (1/2)SCAP (1/2)используемыеиспользуемые SCAP (1/2)SCAP (1/2)
PHD’2013, 23-24 мая 2013 г.

33. Взаимосвязь протоколов управленияВзаимосвязь протоколов управления
безопасностью и местобезопасностью и место SCAPSCAPбезопасностью и местобезопасностью и место SCAPSCAP
PHD’2013, 23-24 мая 2013 г.

34. Общий подход к моделированию атакОбщий подход к моделированию атак
и анализу защищенностии анализу защищенностии анализу защищенностии анализу защищенности
Модуль хранения Генерация Анализ Поддержка
С
Источники из
Интернета
Уязвимости
нулевого дня
данных графа атак графов атак
Генерация
принятия
решений
Спецификация
Стохастическое
моделирование
(CVE, CWE,
CAPEC, CRE,
CVSS)
нулевого дня,
известные
уязвимости
р ц
возможных
контрмер
Спецификация
системы
Хосты (CPE),
политики
безопасности,
Показатели
защищенности
Возможные
последствия атак
Топологический
анализ
уязвимостей
Выбор контрмер,
сетевая
топология
Оператор
последствия атак,
эффективность
контрмер
уязвимостей
р р
Требования к
безопасности,
модель
нарушителя
Слабые места
сети
Зависимости
сервисов
Формирование
отчета
ру
О
PHD’2013, 23-24 мая 2013 г.
Оценка контрмер

35. Этапы работы системы моделированияЭтапы работы системы моделирования
 Этап разработки и ввода в эксплуатацию (не real-time)
 Определение слабых мест в сети
 Формирование базовых графов атак
 Расчет метрик безопасности защищаемой сети
 Формирование списка наиболее опасных уязвимостей
нулевого дня
 Этап эксплуатации (near real-time)
 Обновление хранимых графов атак для соответствия
изменениям, происходящим в сети
 Оценка возможных мер по увеличению уровня защиты
 Предсказание действий нарушителя
 Обратный анализ действий нарушителя
PHD’2013, 23-24 мая 2013 г.

36. Особенности предлагаемых решений (1Особенности предлагаемых решений (1/2/2))
– Использование репозитория безопасности (содержащегор р ( д р щ
данные о конфигурации системы, моделях нарушителя,
уязвимостях, атаках, оценках, контрмерах и др.)
Эфф ф– Эффективные методики генерации графов атак и
зависимостей сервисов, базирующиеся на методиках
топологического анализа уязвимостей (TVA) которыетопологического анализа уязвимостей (TVA), которые
формируют потенциальные последовательности
использования уязвимостей для построения графов атак
– Учет как известных, так и новых атак, основанных на
уязвимостях 0-го дня
П ti б б– Применение anytime-алгоритмов для обеспечения близкого к
реальному времени генерации подграфов атак и процедур
анализа защищенности (anytime-алгоритм - итерационныйа ал за защ ще ос (a yt e ал ор ерац о
вычислительный алгоритм, который способен выдать
наилучшее на данный момент решение)
PHD’2013, 23-24 мая 2013 г. 36

37. Особенности предлагаемых решений (Особенности предлагаемых решений (2/22/2))
– Комбинированное использование графов атак и графовр р ф р ф
зависимостей сервисов
– Вычисление комплекса разнообразных показателей
защищенности, включая следующие показатели:
– уровень защищенности,
й– уровень воздействия и потенциал атаки,
– уровень навыков нарушителя,
эффективность контрмер– эффективность контрмер,
– степень побочных потерь при реализации контрмер и др.
Стохастическое аналитическое моделирование и интерактивная– Стохастическое аналитическое моделирование и интерактивная
поддержка принятия решений для выбора предпочтительных
решений по безопасности на основе определения предпочтений
относительно различных типов целей и требований (рисков,
стоимости, выигрыша) и установления компромиссов между
высокоуровневыми целями защиты информации
PHD’2013, 23-24 мая 2013 г. 37
высокоуровневыми целями защиты информации

38. Общая методика (Общая методика (1/2)1/2)
 Подготовительный этап
 Формирование 3-х мерной матрицы потенциально возможных
атакующих действий по следующим данным:
класс атак (сбор данных подготовительные действия повышение класс атак (сбор данных, подготовительные действия, повышение
привилегий, выполнение цели атаки)
 необходимый тип доступа (удаленный источник без прав доступа,
й йудаленный пользователь системы, локальный пользователь
системы, администратор)
 уровень знаний нарушителя (типы уязвимостей, которые
нарушитель может реализовывать)
 Формирование моделей нарушителей
 Точки доступа в сети Точки доступа в сети
 Возможности (уровень знаний и т.д.)
 Цели
 Построение графов
 Расчет метрик защищенности, слабых мест сети и т.д.
PHD’2013, 23-24 мая 2013 г.

39. Общая методика (Общая методика (2/2)2/2)
 Этап анализа событий
 Модификация деревьев атак для приведения их в соответствие
с изменяющейся реальной сетью
Модификация матриц описывающих уязвимости хостов затронутых Модификация матриц, описывающих уязвимости хостов, затронутых
изменениями
 Модификация связей между хостами, в случае их изменения
 Проверка элементов деревьев атак, затронутых изменениями
(удаление уже не существующих элементов и добавление новых
элементов и переходов между ними)
 Перерасчет метрик защищенности
 Корреляция событий безопасности и построенных графов атак
Определение дерева атак содержащего наиболее близкую Определение дерева атак, содержащего наиболее близкую
последовательность инцидентов безопасности
 Определение наиболее вероятной модели нарушителя
 Оценка уровня защищенности компьютерной сети по отношению к
определенной модели нарушителя
PHD’2013, 23-24 мая 2013 г.

40. Основные потоки данныхОсновные потоки данных
Выходные данныеВходные данные
Интернет
Уязвимости (CVE)
Графы атак
Оценки уязвимостей
(CVSS)
Выходные данныеВходные данные
Слабые места (CWE)
Шаблоны атак (CAPEC)
КМАЗ
Исправления (CRE)
Слабые места
в сети
Данные
из сети
р ( )
События
безопасности (CEE) Вычисленные
показатели
защищенности и
воздействия
б
Зависимости сервисов
Выбранные контрмеры
Изменения в
воздействия
Конфигурация сети
Платформы хостов (CPE)
Политики безопасности
Возможные атаки и
контрмеры
соответствии с
выбранными
контрмерами
Конфигурация сети контрмеры
Требования
б
Предопреде‐
ленные
Выбранные модели
злоумышленника Модели
безопасности данные
PHD’2013, 23-24 мая 2013 г.
Пользоват
ель
злоумышленника Модели
злоумышленника

41. Основные процессы при моделированииОсновные процессы при моделировании
Слабые места (CWE)
Уязвимости (CVE)
Генерация уязвимостей
Оценивание уязвимостей
(CVSS)
КМАЗ
Политики безопасности
События безопасности(CEE)
Шаблоны атак (CAPEC)
Генерация уязвимостей
нулевого дня
Выбор возможных атак
Платформы хостов (CPE)
Политики безопасности
(права доступа) и
конфигурация (CCE)
Выбор возможных атак
Выполнение
Зависимости сервисов
Конфигурация сети
Выбранные модели нарушителя удаленных
атак
Обнаруже‐
ние связан‐
ных хостов
Выполнение
локальных р
Требования безопасности
Возможные
контрмеры (CRE)
ных хостов
(Под)графы атак
Слабые места в сети
атак
контрмеры (CRE)
Выбранные
контрмеры
(Под)графы атак
(система)
В б
Вычисленные показатели
безопасности и
воздействия
Входные данные
PHD’2013, 23-24 мая 2013 г.
Выбор
контрмер
воздействия
Выходные данные

42. Анализ событийАнализ событий
PHD’2013, 23-24 мая 2013 г.

43. Режимы работыРежимы работы
Модель сети Расчет базовых
Знания оператора
Не real-time режим
Спецификация
Модель сети
метрик
Интернет
Д
ые
ки
Уязвимости
Внешние
базы
Деревья атак
Базовы
метрик
События в
реальном Режим anytime
Обновленные
деревья атак Расчет метрик
защищенности
р
времени Деревья атак
События в
реальном
времени
Режим near real-time
Определение
PHD’2013, 23-24 мая 2013 г.
времени Определение
сценариев атак
Рекомендации

44. Используемые данные (1Используемые данные (1/4)/4)
 Описание защищаемой системы
Д б Данные о программном и аппаратном обеспечении хостов
 СловарьСловарь: CPE (Common Platform Enumeration,
http://cve mitre org/)http://cve.mitre.org/).
 ИсточникИсточник: знания оператора и данные, полученные от
активных и пассивных средств сбора информации
 Топология сети
 ФорматФормат: XML
 ИсточникИсточник: знания оператора и данные, полученные от
активных и пассивных средств сбора информации
 Графы зависимостей сервисов Графы зависимостей сервисов
 ФорматФормат: XML
 Виды зависимостейВиды зависимостей: зависимости доверия, зависимостид за с ос ед за с ос е за с ос до ер , за с ос
функционирования
 ИсточникИсточник: знания оператора и данные, полученные от
б ф
PHD’2013, 23-24 мая 2013 г.
активных и пассивных средств сбора информации

45. Используемые данные (2Используемые данные (2/4)/4)
 Описание защищаемой системы
В Возможные контрмеры
 СловарьСловарь: CRE (Common Remediation Enumeration, на
стадии обсуждения)стадии обсуждения)
 ИсточникИсточник: знания оператора и данные из Интернет
 Политики безопасности и настройки ПОр
 СловарьСловарь: CСE (Common Configuration Enumeration,
http://cce.mitre.org/)
 ИсточникИсточник: знания оператора и данные, полученные от
активных и пассивных средств сбора информации
 Требования к безопасности Требования к безопасности
 ФорматФормат: XML
 Виды требованийВиды требований: требуемый уровень защищенности,д ребо ад ребо а ребуе уро е защ ще ос ,
ценность информации на хостах, …
 ИсточникИсточник: знания оператора, предварительно
PHD’2013, 23-24 мая 2013 г.
заданные данные

46. Используемые данные (3Используемые данные (3/4)/4)
 Основные данные для построения графов атак
Информация об известных уязвимостях Информация об известных уязвимостях
 СловарьСловарь: CVE (Common Vulnerabilities and Exposures,
http://cve.mitre.org/)
 ИсточникИсточник: NVD (National Vulnerability Database v. 2.2,
http://nvd.nist.gov/download.cfm)
 Данные о шаблонах атак Данные о шаблонах атак
 СловарьСловарь: CAPEC (Common Attack Pattern Enumeration
and Classification, http://capec.mitre.org/)
 ИсточникИсточник: данные из Интернет и знания оператора
 Модель нарушителя
 ИсточникИсточник: знания оператора предварительно ИсточникИсточник: знания оператора, предварительно
заданные данные
 Данные о нарушителеДанные о нарушителе: (1) виды нарушителей,
(2)которые могут иметь доступ к системе; (2) цели
нарушителей каждого типа; (3) возможности
нарушителей (знания, технические и программные
) (4)
PHD’2013, 23-24 мая 2013 г.
средства); (4) типичные сценарии атак; …

47. Используемые данные (Используемые данные (4/4)4/4)
 Данные для построения уязвимостей нулевого дня
Данные о слабых местах ПО Данные о слабых местах ПО
 СловарьСловарь: CWE (Common Weakness Enumeration,
http://cwe.mitre.org/).
 ИсточникИсточник: CWE List v. 2.1 (http://cwe.mitre.org/data/)
 Данные о безопасных настройках ПО
СловарьСловарь: CCE (Common Configuration Enumeration СловарьСловарь: CCE (Common Configuration Enumeration,
http://cce.mitre.org/)
 ИсточникИсточник: CCE List v.5 (http://cce.mitre.org/lists/)
 Метрики безопасности (Оценки уязвимостей)
 СловарьСловарь: CVSS (Common Vulnerability Scoring System,
http://www first org/cvss)http://www.first.org/cvss)
 ИсточникИсточник: NVD (National Vulnerability Database v. 2.2,
http://nvd.nist.gov/download.cfm)
 Текущие события
 СловарьСловарь: CEE (Common Event Expression,
http://cee.mitre.org/)
PHD’2013, 23-24 мая 2013 г.
http://cee.mitre.org/)
 ИсточникИсточник: Сенсоры в системе

48. Архитектура компонента аналитическогоАрхитектура компонента аналитического
моделированиямоделированиямоделированиямоделирования
КМАЗКМАЗ
PHD’2013, 23-24 мая 2013 г.

49. Архитектура прототипа (1Архитектура прототипа (1/2)/2)GUI
Внешние
источники
Модуль
б БД
Генератор
ф й
Модуль оценки
G
источникиобновления БДспецификацийзащищенности
Внешние
базы
Сетевые
сканеры
Загрузчик
Загрузчик
Генератор
графов атак
Расчет сканеры
XML
файлыXML
файлы
Расчет
метрик
Генератор
КМАЗ
XML парсер
Генератор
файлы
отчетов
й
Веб-сервисы
спецификаций
озитори
БД спецификаций сетей
БД графов БД оценок
PHD’2013, 23-24 мая 2013 г.
Репо
Д ц ф ц
БД дополнительной информации

50. М д
Архитектура прототипа (Архитектура прототипа (2/2)2/2)
Модуль
Генератор
ф
Модуль оценки
защищенности
Internet Модуль
обновления БДXML
графов атак
External
Databases
С
SOAP Расчет метрик
Сервер
приложений
(Tomcat)
Генератор спецификаций
SOAP
Генератор
отчетовSOAP
JDBC,
SPARQL
XML SPARQL query example
SELECT ?CVE_Id
WHERE {
СУБД
Сетевые
сканеры
(MaxPatrol)
WHERE {
?part Vul:Fact_Ref:Part
?product Vul:Fact_Ref:Product
?version Vul:Fact_Ref:Version
?update Vul:Fact_Ref:Update
?edition Vul:Fact Ref:Edition
(Virtuoso)
?edition Vul:Fact_Ref:Edition
?language Vul:Fact_Ref:Language
}
FILTER (?Vul:Fact_Ref:Part=”a”)
PHD’2013, 23-24 мая 2013 г. 50
GUI

51. План докладаПлан доклада
 Введение Введение
 SIEM-системы
 Проект MASSIF
 Аналитическое моделирование
 Анализ защищенности Анализ защищенности
 Визуализация
 Заключение
PHD’2013, 23-24 мая 2013 г.

52. Уровни оценки защищенностиУровни оценки защищенности
PHD’2013, 23-24 мая 2013 г.

53. Классы показателей защищенностиКлассы показателей защищенности
PHD’2013, 23-24 мая 2013 г.

54. ПоказателиПоказатели CVSS (Common VulnerabilityCVSS (Common Vulnerability
Security Scoring)Security Scoring)Security Scoring)Security Scoring)
(Base Metrics)
(Temporal Metrics)
(Environmental Metrics)
(AccessVector)
(ConfImpact) (Exploitability) (CollateralDamage)
(ConfReq)
(AccessComplexity) (IntegImpact) (Remediation Level) (TargetDistribution)
(IntegReq)
(Authentication ) (AvailImpact) (ReportConfidence) (AvailReq)
 http://www.first.org/cvss/
 CVSS v.3. - March 15th, 2013
PHD’2013, 23-24 мая 2013 г.

55. Классы показателей (1Классы показателей (1/3/3))
1.1. Топологические показателиТопологические показатели [[Mayer, 2007; Mell et al., 2007; CIS, 2009]]
Показатели характеризующие хосты и их связностьПоказатели характеризующие хосты и их связность::--Показатели, характеризующие хосты и их связностьПоказатели, характеризующие хосты и их связность::
-- Незащищенность,Незащищенность,
-- Критичность хоста (ценность для бизнеса),Критичность хоста (ценность для бизнеса),
-- Риск,Риск,
-- Нисходящий риск.Нисходящий риск.
-- Топологические характеристики с точки зрения приложенийТопологические характеристики с точки зрения приложений::Топологические характеристики с точки зрения приложенийТопологические характеристики с точки зрения приложений::
-- Количество приложений,Количество приложений,
-- Процент критичных приложений.Процент критичных приложений.
Т ф бТ ф б-- Топологические характеристики, учитывающие информацию обТопологические характеристики, учитывающие информацию об
уязвимостяхуязвимостях::
-- Процент систем без известных критичных уязвимостей,Процент систем без известных критичных уязвимостей,
-- Среднее время на устранение уязвимости,Среднее время на устранение уязвимости,
-- Количество известных уязвимостей.Количество известных уязвимостей.
-- Топологические характеристики учитывающие информацию обТопологические характеристики учитывающие информацию об-- Топологические характеристики, учитывающие информацию обТопологические характеристики, учитывающие информацию об
атакахатаках::
-- Критичность уязвимости иКритичность уязвимости и Сложность доступа к уязвимости,Сложность доступа к уязвимости,
позволяющие вычислить Вероятность атакипозволяющие вычислить Вероятность атаки
PHD’2013, 23-24 мая 2013 г.
позволяющие вычислить Вероятность атаки.позволяющие вычислить Вероятность атаки.

56. Классы показателей (Классы показателей (2/32/3))
2.2. Показатели нарушителяПоказатели нарушителя
[Kanoun et al 2008; Dantu et al 2009; Olsson 2009]:[Kanoun et al., 2008; Dantu et al., 2009; Olsson, 2009]:
Уровень навыков нарушителя (Attacker Skill Level), определяемый на основе
вероятностей и исторических данных (статический подход) и (или) на основе
б й ( й )событий, происходящих в системе (динамический подход).
[Wheeler& Larson, 2003; Hunker et al., 2008; Blakely, 2012]:
атрибуты нарушителя (Attack attribution) - имя, инструменты,р у ру ( ) , ру ,
географическое положение, мотивы.
3.3. Показатели атаки и контрмерПоказатели атаки и контрмер
[K t l 2009 St kh t l 2007 W t l 2007 Kh i t l 2010][Kanoun et al.,2009; Stakhanova et al.,2007; Wu et al.,2007; Kheir et al.,2010]:
Потенциал атаки (Attack potentiality) показывает, как близко находится
нарушитель к своей цели.
Влияние (ущерб от) атаки (Attack impact) – может быть определен для
каждого узла на графе атак статически или динамически на основе
зависимостей сервисов.р
[Toth&Kruegel, 2002; Balepin et al., 2003; Jahnke, 2009; Kheir, 2010; Kheir et
al., 2010; Kheir&Viinikka, 2011; D4.3.1, 2011]:
показатели связанные с контрмерами - Эффективность реагирования или
PHD’2013, 23-24 мая 2013 г.
показатели, связанные с контрмерами - Эффективность реагирования или
Выигрыш при реагировании, Побочные потери при реагировании.

57. Классы показателей (Классы показателей (3/33/3))
44.. Интегральные показатели (Интегральные показатели (показателипоказатели уровня системы)уровня системы)
[Howard et al., 2003; Manadhata&Wing, 2004; Manadhata et al., 2007;
Manadhata&Wing, 2010]: Поверхность атаки (Attack Surface)
определяется на основе отношения потенциала разрушений к затратам.р р ру р
[Kotenko&Stepashkin, 2006-1; Dantu et al., 2009; Poolsappasit et al.,
2012]: Уровень риска (Risk Level).
55 АА [H 2000 Kh i t l 20105.5. Анализ стоимостиАнализ стоимости--выигрышавыигрыша [Hoo, 2000; Kheir et al., 2010;
AlienVault, 2011; D5.2.1, 2012]
Общий выигрыш и Ожидаемые годовые потери (Annual Loss Expectancy),щ р р ( p y),
Возврат инвестиций от реагирования на атаку (Return-On-Response-
Investment (RORI) index).
66 Анализ уязвимостей нулевого дняАнализ уязвимостей нулевого дня [Ahmed et al 2008; Ingols et al6.6. Анализ уязвимостей нулевого дняАнализ уязвимостей нулевого дня [Ahmed et al., 2008; Ingols et al.,
2009; Wang et al., 2010]
Вероятностная мера уязвимости (Probabilistic Vulnerability Measure),
показывающая насколько вероятно возникновение уязвимости нулевого за
определенный период времени.
k-безопасность нулевого дня (k-zero day safety) - показатель,
PHD’2013, 23-24 мая 2013 г.
определяющий устойчивость сети к уязвимостям нулевого дня.

58. Примеры показателей,Примеры показателей,
характеризующих хосты и их связностьхарактеризующих хосты и их связностьхарактеризующих хосты и их связностьхарактеризующих хосты и их связность
Последующие хосты
И
у
хост F)
Источник
атаки
(хост F) Хост X
“Незащищенность”
(“E ”)(“Exposure”)
• достижимость хоста
• простота эксплуатации
уязвимостей Уязвимости Сервисыуязвимостей Сервисы
“Ценность для бизнеса” (“Business
V l ”)Value”)
•ущерб для бизнеса от потери хоста
Нисходящий риск (“Downstream
Risk”)
“Риск” (“Risk”)
• Exposure X BusinessValue
)
• кумулятивный риск для всех
хостов, атакуемых с данного хоста
PHD’2013, 23-24 мая 2013 г.
[[Mayer, 2007]

59. ПоказательПоказатель ““НезащищенностьНезащищенность”” (“Exposure”)(“Exposure”)
• представляется числом от 0 до 1
• измеряет вероятность, что некоторый хост X будет атакован
со стороны хоста F с учетом:
– дистанции между X и F
– количества уязвимостей на хосте
– сложности эксплуатации уязвимостей на хосте (с учетом
CVSS)
– сложности эксплуатации уязвимости на других хостах,
которые предшествуют X на пути от F
PHD’2013, 23-24 мая 2013 г.

60. ПоказательПоказатель ““НезащищенностьНезащищенность”” (“Exposure”)(“Exposure”)
 Определить показатели временной оценки CVSS для каждой
уязвимостиуязвимости
 Используя путь от хоста F к хосту X
 Для каждого хоста предшественника Ai выполнить: Для каждого хоста предшественника Ai выполнить:
 Определить уязвимости хоста X, доступные с хоста Ai
 Сгруппировать уязвимости по сервисам (например, всеру р у р ( р р,
smtp-уязвимости, все http-уязвимости и т.п.)
 Для каждого сервиса найти уязвимость, имеющую
б й CVSSнаибольшее значение временной оценки CVSS
 Определить, какие сервисы содержат наибольшие значения
временной оценки CVSS, и сохранить верхние три значениявременной оценки CVSS, и сохранить верхние три значения
(только одно для различных сервисов). Если существует
менее трех значений, использовать столько, сколько есть
В E Выполнить расчеты по учету предыдущих оценок Exposure
при переходе от хоста Ai к хосту X
 Вычислить: Exposure(X)  MAXi (Exposure(Ai) * Exposure(Ai X));
PHD’2013, 23-24 мая 2013 г.
 Вычислить: Exposure(X)  MAXi (Exposure(Ai) Exposure(Ai, X));
[[Mayer, 2007]

61. Уровень навыков нарушителяУровень навыков нарушителя
((AttackerAttacker SkillSkill LevelLevel ASLASL))((AttackerAttacker SkillSkill LevelLevel, ASL, ASL))
• ASL – это значимый индикатор возможности нарушителя по выполнениюр ру
определенных сценариев реализации атаки и достижения его целей.
• Оценка ASL возможна на основе отслеживания доступных сообщений и
предупреждений об отдельных шагах реализации атаки и включаетпредупреждений об отдельных шагах реализации атаки и включает
отслеживание действий нарушителя по графу атак.
• Упрощенный подход к оценке ASL - назначение уровня сложностир щ д д ц ур
каждому элементарному шагу атаки.
• Когда некоторое предупреждение соответствует определенной атаке,
ASL божидаемому ASL нарушителя может быть присвоено заданное
связанное значение сложности.
• Этот подход не учитывает различные факторы риска например то чтоЭтот подход не учитывает различные факторы риска, например то, что
нарушитель мог реализовать шаг атаки случайно.
• Более развитый подход - назначение уровней сложности определенным
последовательностям атак, являющимся комбинациями элементарных
атакующих действий.
• Это требует способности обнаруживать соответствие нескольким
PHD’2013, 23-24 мая 2013 г.
• Это требует способности обнаруживать соответствие нескольким
условиям, но приведет к снижению влияния различных факторов риска.

62. Потенциал атакиПотенциал атаки
((Attack potentialityAttack potentiality APAP))((Attack potentialityAttack potentiality, AP, AP))
• AP измеряет вероятность успеха выполняемой атаки, определяя,
насколько близко нарушитель к цели атаки Это динамический показательнасколько близко нарушитель к цели атаки. Это динамический показатель,
который вычисляется с учетом позиции атакующего на графе атак.
• Подход к оценке AP с использованием динамических графов атак:д д ц д р ф
• Узел графа отображает элементарную выполненную атаку или
потенциальное действие. Эти узлы ведут к целям атаки, т.е. конечным
фузлам графа.
• Для каждого изменения атаки или состояния системы, создается новый
экземпляр графа атак. Это может быть обусловлено новымэкземпляр графа атак. Это может быть обусловлено новым
наблюдаемым шагом атаки - будущий шаг в предыдущем графе
начинает выполняться в новом экземпляре графа.
• Благодаря динамическому графу атак, состояние каждого узла в графе
может динамически изменяться согласно полученным
предупреждениям.реду ре де
• AP для текущего состояния системы вычисляется для текущего
экземпляра графа на основе применения динамических Марковских
й
PHD’2013, 23-24 мая 2013 г.
цепей.

63. Влияние (ущерб от) атакиВлияние (ущерб от) атаки
((AttackAttack impactimpact AIAI)) (1/2)(1/2)((AttackAttack impactimpact, AI, AI)) (1/2)(1/2)
• Статический подход:Статический подход:
• AI статически устанавливается как атрибут каждого
элементарного узла в графе атак.
• Влияние на систему в случае успеха атаки соответствует
агрегации статических показателей влияния, назначенных каждому
успешному узлу графа атакуспешному узлу графа атак.
• Это неявно означает, что влияние атаки одинаково, независимо от
текущей конфигурации системы.
• В то же время, влияние атаки является динамическим показателем,
который должен модифицироваться вследствие изменения
конфигурации целевой системыконфигурации целевой системы.
• Использование существующих графов атак, без возможности
дальнейшего расширения, требует ручного обновления этихд р р , р у ру
влияний.
• Этот подход доказал свою жизнеспособность только для небольших
б й
PHD’2013, 23-24 мая 2013 г.
систем, где ручное обновление показателей влияния выполнимо.

64. Влияние (ущерб от) атакиВлияние (ущерб от) атаки
((AttackAttack impactimpact AIAI)) (2/2)(2/2)((AttackAttack impactimpact, AI, AI)) (2/2)(2/2)
• Динамический подход на основе моделей зависимостейД д д д
сервисов:
• Графы атак позволяют отслеживать последовательность
й йатакующих действий, пока нарушитель продвигается дальше в
целевой системе.
• Модели зависимостей сервисов позволяют отслеживать• Модели зависимостей сервисов позволяют отслеживать
развитие влияний атаки, в то время как нарушитель получает все
больше привилегий.
• Когда нарушитель реализует атаки, он приобретает
дополнительные отношения доверия и функциональные
йотношения, выражаемые в модели зависимостей сервисов, и,
таким образом, увеличивает влияние на систему.
• Изменение конфигурации сервисов ведет к изменению• Изменение конфигурации сервисов ведет к изменению
реализованных отношений, которые могут иметь прямое
воздействие на показатели влияния атаки.
PHD’2013, 23-24 мая 2013 г.

65. Эффективность реагированияЭффективность реагирования
((RResponseesponse EEfficiencyfficiency RE)RE)((RResponseesponse EEfficiencyfficiency, RE), RE)
• RE измеряет возможность механизмов защиты снизить влияние атаки.
• В существующих моделях атак каждому элементарному атакующему
действию назначается набор возможных контрмер. Так как графы атак не
предоставляют возможности оценить эффективность контрмер выборпредоставляют возможности оценить эффективность контрмер, выбор
контрмер неявно подразумевает, что влияние атаки устранено.
• Это сильное ограничение, так как контрмеры в ряде случаев только частично
противодействуют влиянию атаки. Эффективность реагирования также
зависит от текущей конфигурации сервисов. Другими словами, контрмера не
всегда имеет ту же эффективность для различных конфигураций системы.у фф р ф ур
• Комбинирование использования графов атак и графов зависимостей
сервисов позволяет динамически оценивать эффективность реагирования.
Контрмера может моделироваться как преобразование модели зависимостейКонтрмера может моделироваться как преобразование модели зависимостей
сервисов, которое модифицирует конфигурацию некоторого сервиса, т.е.
отношения доверия, реализованного для зависимостей сервисов.
• Эффективность контрмер оценивается посредством сравнения влияния
атаки без реализации механизмов реагирования с влиянием атаки, когда
реализованы контрмеры.
PHD’2013, 23-24 мая 2013 г.
р р р

66. Методики вычисления показателейМетодики вычисления показателей
защищенностизащищенностизащищенностизащищенности
1.1. Статическая методика экспресс оценки уровняСтатическая методика экспресс оценки уровняр урр ур
защищенностизащищенности
Методика, определяющая общий уровень защищенности
системы на основе учета возможности реализации угроз и их
последствий для системы.
22 Методика учитывающая события безопасностиМетодика учитывающая события безопасности2.2. Методика, учитывающая события безопасности,Методика, учитывающая события безопасности,
происходящие в системепроисходящие в системе
Ориентирована на работу в реальном времени, когда текущеер р р у р р , д ущ
положение атакующего и его перемещение в сети может
отслеживаться, но существуют жесткие ограничения на время
вычисленийвычислений.
3.3. Методика, основанная на анализе исторических данныхМетодика, основанная на анализе исторических данных
При вычислении вероятности и потенциала атакиПри вычислении вероятности и потенциала атаки
используются данные о предыдущих инцидентах.
PHD’2013, 23-24 мая 2013 г.

67. Методика экспресс оценки уровняМетодика экспресс оценки уровня
защищенностизащищенностизащищенностизащищенности
 Объединяет качественный и количественный подходы к оценке показателей
защищенности и позволяет определить общий уровень защищенностизащищенности и позволяет определить общий уровень защищенности.
 Риск определяется как результат возможности/вероятности угрозы и
последствий ее реализации для системы.
 Используется CVSS (для определения критичности атакующих действий) и
методику FRAP (Facilitated Risk Analysis Process) .
PHD’2013, 23-24 мая 2013 г.

68. ПримерПример формированияформирования дерева атак идерева атак и
оценки уровня защищенности (1)оценки уровня защищенности (1)оценки уровня защищенности (1)оценки уровня защищенности (1)
Вершина дерева:
N t kSt t Att k T t
1. Начальное
<NetworkState, Attack, Target>
Трасса – любой путь, напр. (1, 2, 5, 7).
состояние
2. Ping Server1 3. Ping Server2
4. OS Server1
5. Services,
Banners Server1
6. Services, Banners
Server2
......
Угроза – множество трасс атак,
имеющих конечные
7. ServU-MKD
Server1
8. ServU-list-l
Server1
9. ServU-MDTM
Server2 ...
...
имеющих конечные
вершины с одинаковыми
двойками <Attack, Target>,
10. Ping
Server1
д , g ,
напр. трассы (1, 2, 5, 7) и (1,
3, 6, 9, 10, 12, 13)
11. OS Server1
12. Services,
Banners Server1
...
Основные группы атакующих действий:
13. ServU-
MKD Server1
14. ServU-list-l
Server1
...- Действия по разведке
- Действия, использующие уязвимости
Д й
PHD’2013, 23-24 мая 2013 г.
- Действия пользователя

69. ПримерПример формированияформирования дерева атак идерева атак и
оценки уровня защищенности (2)оценки уровня защищенности (2)
Этапы определения уровня защищенности сети:
оценки уровня защищенности (2)оценки уровня защищенности (2)
1. Расчет уровня критичности атакующих действий (Common
Vulnerability Scoring System) и хостов (администратор)
2 Вычисление показателей защищенности объектов дерева атак2. Вычисление показателей защищенности объектов дерева атак
(критичность, сложность в доступе, размер ущерба и т.д.)
3. Получение оценок уровня риска для всех угрозу ц ур р д у р
4. Вычисление интегрального показателя защищенности «Уровень
защищенности»
Особенности:
 Вершина дерева атак - тройка <состояние сети, атакующее
действие, атакуемый объект>, понятия «трасса атаки» и «угроза»де с е, а а уе об е , о расса а а у роза
уточняются с использованием дерева атак
 Определение интегрального показателя «Уровень защищенности»
на основе:на основе:
 распространения подхода Common Vulnerability Scoring System на
понятия «трасса атаки» и «угроза»
 использования модифицированной методики анализа рисков Facilitated
PHD’2013, 23-24 мая 2013 г.
 использования модифицированной методики анализа рисков Facilitated
Risk Analysis and Assessment Process и др.

70. Методика, учитывающая событияМетодика, учитывающая события
безопасностибезопасностибезопасностибезопасности
PHD’2013, 23-24 мая 2013 г.

71. Онтологический подход,Онтологический подход, верхнеуровневаяверхнеуровневая
онтология показателей защищенностионтология показателей защищенностионтология показателей защищенностионтология показателей защищенности
PHD’2013, 23-24 мая 2013 г.

72. Фрагмент онтологии для реализацииФрагмент онтологии для реализации
контрмерконтрмерконтрмерконтрмер
PHD’2013, 23-24 мая 2013 г.

73. План докладаПлан доклада
 Введение Введение
 SIEM-системы
 Проект MASSIF
 Аналитическое моделирование
 Анализ защищенности Анализ защищенности
 Визуализация
 Заключение
PHD’2013, 23-24 мая 2013 г.

74. Модели представления данныхМодели представления данных
и их применениеи их применениеи их применениеи их применение
• Мониторинг периметра сети:• Мониторинг периметра сети:
• круговая диаграмма, представляющая наиболее активные
хосты-приемники и хосты-получатели
б• гистограмма наиболее часто используемых сервисов
• граф коммуникаций, отражающих потоки между хостами
• карта деревьев (treemap), отражающая частоту использования
портов различными хостами
• графы вида «отправитель-сообщение-получатель» и т.д.
• Контроль деятельности пользователей:Контроль деятельности пользователей:
• графы вида «пользователь-деятельность» и «пользователь-сервер»
• гистограмма, отражающая число документов,
просмотренных пользователямпросмотренных пользователям
• Отображение уровня защищенности:
• круговая диаграмма, отражающая наиболее уязвимые хосты
• карты деревьев, отражающие наиболее уязвимые хосты
• географические карты, отражающие расположение хостов
с указанием оценок рисков, доступности и уязвимости хостов
PHD’2013, 23-24 мая 2013 г.
у р у у

75. Модели визуализации вМодели визуализации в SIEMSIEM--системахсистемах
OSSIM: визуализация сетевого трафика
Arcsight: обнаружение атак
PHD’2013, 23-24 мая 2013 г.
OSSIM: отчет об уязвимостях TSIEM: представление правил доступа

76. (1)(1) OSSIM: панель управленияOSSIM: панель управления
PHD’2013, 23-24 мая 2013 г.

77. (2) Arcsight:(2) Arcsight: панель анализа атакпанель анализа атак
PHD’2013, 23-24 мая 2013 г.

78. (3) OSSIM:(3) OSSIM: отчет об уязвимостяхотчет об уязвимостях
PHD’2013, 23-24 мая 2013 г.

79. (4) TSIEM: представление правил доступа(4) TSIEM: представление правил доступа
PHD’2013, 23-24 мая 2013 г.

80. (5) NetIQ Sentinel(5) NetIQ Sentinel: отчет о нарушениях: отчет о нарушениях
политики безопасностиполитики безопасностиполитики безопасностиполитики безопасности
PHD’2013, 23-24 мая 2013 г.

81. Модели визуализации для представленияМодели визуализации для представления
событий и анализа защищенностисобытий и анализа защищенностисобытий и анализа защищенностисобытий и анализа защищенности
Визуализация атак на основе графов [2]
Представление событий в SpiralView [1]Представление событий в SpiralView [1]
[1] Bertini E., Hertzog P., Lalanne D. SpiralView: Towards Security Policies Assessment through Visual Correlation of Network
Resources with Evolution of Alarms. In Proceedings of the IEEE Symposium on Visual Analytics Science and Technology (VAST)
2007 139 146
Альтернативные представления атак [3, 4]
2007. pp.139-146.
[2] Noel S.. Managing attack graph complexity through visual hierarchical aggregation. In Proceedings of ACM workshop on
Visualization and data mining for computer security (VizSEC/DMSEC '04), NY., ACM press, 2004, pp.109-118.
[3] Williams L., Lippmann R., Ingols K. An Interactive Attack Graph Cascade and Reachability Display. In Proceedings of the
Workshop on Visualization for Computer Security Sacramento California USA 2008 Springer Heidelberg pp 221 236
PHD’2013, 23-24 мая 2013 г.
Workshop on Visualization for Computer Security, Sacramento, California, USA, 2008. Springer, Heidelberg. pp. 221-236.
[4] Noel S., Jajodia S. Understanding complex network attack graphs through clustered adjacency matrices. In Proceedings of the
21st Annual Computer Security Applications Conference, 2005, pp.160-169.

82. (1)(1) Спиральное представлениеСпиральное представление событийсобытий
безопасностибезопасности [B ti i t l 2007][B ti i t l 2007]безопасностибезопасности [Bertini et al., 2007][Bertini et al., 2007]
• Используется для мониторинга событий
ббезопасности, регистрируемых
различными датчиками безопасности
• В графической модели используется
Д б kвременная шкала. Для обозначения k
суток или месяцев применяется шкала,
состоящая из k окружностей разного
О 24радиуса. Окружности разделены на 24
части, обозначающие часы в сутках.
Самые ранние события в виде точек
располагаются на внутренней
окружности, а самые поздние - на
внешней.
• Цвет точки обозначает тип события, а
размер точки - уровень его критичности.
• Для анализа событий реализован
механизм фильтрации,
масштабирования и выделения событий
цветом в зависимости от заданных
PHD’2013, 23-24 мая 2013 г.
пользователем условий.

83. (2)(2) Визуализация атак на основе графовВизуализация атак на основе графов
[Noel 2004][Noel 2004][Noel, 2004][Noel, 2004]
Исследуется проблема уменьшения сложности графов атак на основе визуального
Пиерархического агрегирования. Предложено свертывать непересекающиеся
подграфы графа атак в одиночные вершины графа.
Операция агрегирования - рекурсивна в соответствии с иерархией агрегирования. На
б
PHD’2013, 23-24 мая 2013 г.
каждом уровне агрегирования устанавливаются правила, которые основаны либо на
общих атрибутах элементов графа атак, либо связности графа атак.

84. (3)(3) Представление графа атак в виде картыПредставление графа атак в виде карты
деревьевдеревьев [Williams et al 2008][Williams et al 2008]деревьевдеревьев [Williams et al., 2008][Williams et al., 2008]
• Каждая подсеть
представляется в виде
карты деревьев,
вложенные прямоугольники
- узлы, с помощью цвета
кодируются различные
атрибуты узлов, а размер
пропорционален числу
скомпрометированных
узлов в подсети
• Режимы взаимодействия с
картами деревьев:
(1) оценка достижимости
узлов в результате атаки;
(2) отображение
кратчайших путей
атакующего между узлами.
• Возможность
экспериментов “что, если”
PHD’2013, 23-24 мая 2013 г.

85. Визуализация вВизуализация в Security Risk ManagerSecurity Risk Manager ((RedSealRedSeal):):
представление шагов атаки и топологических метрик (1представление шагов атаки и топологических метрик (1//6)6)
ПредставлениеПредставление
компьютерной сети
PHD’2013, 23-24 мая 2013 г.

86. Визуализация вВизуализация в Security Risk ManagerSecurity Risk Manager ((RedSealRedSeal):):
представление шагов атаки и топологических метрик (2представление шагов атаки и топологических метрик (2//6)6)
Шаг 1 : внешняяШаг 1 : внешняя
угроза для DMZ
PHD’2013, 23-24 мая 2013 г.

87. Визуализация вВизуализация в Security Risk ManagerSecurity Risk Manager ((RedSealRedSeal):):
представление шагов атаки и топологических метрик (3представление шагов атаки и топологических метрик (3//6)6)
Шаг 2Шаг 2
PHD’2013, 23-24 мая 2013 г.

88. Визуализация вВизуализация в Security Risk ManagerSecurity Risk Manager ((RedSealRedSeal):):
представление шагов атаки и топологических метрик (4представление шагов атаки и топологических метрик (4//6)6)
Шаг 3
PHD’2013, 23-24 мая 2013 г.

89. Визуализация вВизуализация в Security Risk ManagerSecurity Risk Manager ((RedSealRedSeal):):
представление шагов атаки и топологических метрик (5представление шагов атаки и топологических метрик (5//6)6)
Шаг 4
PHD’2013, 23-24 мая 2013 г.

90. Визуализация вВизуализация в Security RiskSecurity Risk Manager (Manager (RedSealRedSeal))::
представление шагов атаки и топологических метрик (6представление шагов атаки и топологических метрик (6//6)6)
PHD’2013, 23-24 мая 2013 г.

91. Архитектура подсистемы визуализацииАрхитектура подсистемы визуализации
PHD’2013, 23-24 мая 2013 г.

92. Примеры интерфейсов компонентаПримеры интерфейсов компонента
моделирования и анализа защищенностимоделирования и анализа защищенностимоделирования и анализа защищенностимоделирования и анализа защищенности
PHD’2013, 23-24 мая 2013 г.

93. Главное окно (1Главное окно (1/2)/2)
При спецификации
сесети
D: Network securityD: Network security
metrics
Для быстрого доступа
A: Network ExplorerA: Network Explorer
Для быстрого
просмотра сети
B: Property
explorer
Для
C: Исследуемая сеть
Для
конфигурирования
узлов сети
System
messages
PHD’2013, 23-24 мая 2013 г.

94. Главное окно (2Главное окно (2/2)/2)
PHD’2013, 23-24 мая 2013 г.

95. Отображение отчета об уязвимостяхОтображение отчета об уязвимостях
PHD’2013, 23-24 мая 2013 г.

96. ПримерПример представления графа атак (1)представления графа атак (1)
PHD’2013, 23-24 мая 2013 г.

97. ПримерПример представления графа атак (2)представления графа атак (2)
PHD’2013, 23-24 мая 2013 г.

98. Представление графов атак (1Представление графов атак (1/2/2))
Обозначение Описание
Исходное положение нарушителя
Специфическое атакующее действие
Сценарий, не использующий уязвимости
Атакующее действие, использующее уязвимость
PHD’2013, 23-24 мая 2013 г.

99. Представление графов атак (Представление графов атак (2/22/2))
Способы взаимодействия с графическим представлением графов атак:д р ф р д р ф
 Управление представлением графа (древовидное и радиальное)
 Геометрическое масштабирование
 Семантическое масштабирование (агрегирование узлов графа)
 Детали по требованию
 Подсветка и связывание
Древовидное представление и эффект
подсветки и связывания
PHD’2013, 23-24 мая 2013 г.
д
Радиальное представление

100. Отчет об уязвимостяхОтчет об уязвимостях
на основе карт деревьевна основе карт деревьевна основе карт деревьевна основе карт деревьев
Каждый вложенный прямоугольник отображает хост. Размер прямоугольника
определяется задаваемой пользователем критичностью хоста. Цвет используется для
PHD’2013, 23-24 мая 2013 г.
обозначения серьезности уязвимости, обнаруженной на данном хосте.

101. Анализ достижимости атакиАнализ достижимости атаки
на основе карт деревьевна основе карт деревьевна основе карт деревьевна основе карт деревьев
Размер вложенных прямоугольников соответствует уровню критичности, а цвет
отражает состояние хоста (красный - хост достигаем нарушителем, зеленый -
PHD’2013, 23-24 мая 2013 г.
р ( р ру
нарушитель не может получить доступ к хосту.

102. Представление показателейПредставление показателей
защищенности верхнего уровнязащищенности верхнего уровнязащищенности верхнего уровнязащищенности верхнего уровня
Показатели защищенности (защищенность, риск, достоверность)Показатели защищенности (защищенность, риск, достоверность)
Уровень защищенностиУровень защищенности
- Не определен
- зеленый (сеть защищена)
- желтый (Low Criticality)
- оранжевый (Medium Criticality)
( y)
- красный (High Criticality )
PHD’2013, 23-24 мая 2013 г.

103. Интерфейс компонента динамическогоИнтерфейс компонента динамического
моделированиямоделированиямоделированиямоделирования
Окно ПараметрыОкно
управления
Параметры
сети
АгентАгент
ПараметрыПараметры
работы
агентов
ХостХост
Параметры
командной
PHD’2013, 23-24 мая 2013 г.
Моделируемая сеть
д
работы

104. Пример компонента динамическогоПример компонента динамического
моделированиямоделированиярр
PHD’2013, 23-24 мая 2013 г.

105. План докладаПлан доклада
 Введение Введение
 SIEM-системы
 Проект MASSIF
 Аналитическое моделирование
 Анализ защищенности Анализ защищенности
 Визуализация
 Заключение
PHD’2013, 23-24 мая 2013 г.

106. Основные результаты работыОсновные результаты работы
П Представлен подход к моделированию атак и механизмов
защиты, анализу защищенности и визуализации в SIEM-
системах.системах.
 Разработаны средства аналитического моделирования,
анализа защищенности и визуализации, реализующиеу р у
данный подход.
 Предлагаемый подход к моделированию позволяет
исследовать различные механизмы построения
защищенных сетей, отвечать на вопросы “Что, если…”,
определять наиболее эффективные механизмы защитыопределять наиболее эффективные механизмы защиты,
осуществлять анализ защищенности в режиме, близком к
реальному времени.
PHD’2013, 23-24 мая 2013 г.

107. Контактная информацияКонтактная информация
Котенко Игорь Витальевич (СПИИРАН)
ivkote@comsec.spb.ru
http://comsec.spb.ru/kotenko/
Благодарности
• Работа выполняется при финансовой поддержке РФФИ,
программы фундаментальных исследований ОНИТ РАНпрограммы фундаментальных исследований ОНИТ РАН,
государственного контракта 11.519.11.4008 и при частичной
финансовой поддержке, осуществляемой в рамках проектов
Евросоюза SecFutur и MASSIF.
• Основные разработчики СПИИРАН: И.Б.Саенко, Е.С.Новикова,
А А Чечулин О В Полубелова Е В Дойникова В А ДесницкийА.А.Чечулин, О.В.Полубелова, Е.В.Дойникова, В.А.Десницкий,
А.В.Шоров и др.
PHD’2013, 23-24 мая 2013 г.
РОССИЙСКАЯ АКАДЕМИЯ НАУК