Анализ защищенности объектов телекоммуникационной сети с помощью теории графов
Данные последних исследований в области информационной безопасности [4, 7, 8] говорят о растущем внимании руководителей компаний в России и по всему миру к проблеме защиты информации. Этот факт обусловлен увеличением числа инцидентов, связанных с потерей и разглашением информации или утратой контроля над ней. Финансовые убытки крупных корпораций оцениваются миллионами долларов в год [4].
Кроме того, продолжает совершенствоваться нормативно-правовая база в области кибербезопасности. Последние изменения в законодательстве РФ, в том числе в законе № 152-ФЗ «О персональных данных», призваны поддержать отечественных производителей средств защиты от киберугроз и обеспечить более высокую долю таких продуктов на российском рынке ИБ. В этом свете деятельность по проработке фундаментальных основ ИБ и проведение прикладных исследований представляются актуальной задачей.
В упрощенном виде предметную область «защита информации» можно представить в виде следующей схемы (рис. 1). Анализ оценки защищенности согласно рисунка 2.
Рис. 1. Защита информации как предметная область
Рис.2. Последовательность действий при анализе защищенности объекта
Основными задачами систем управления информацией и событиями безопасности (Security Information and Event Management, SIEM) являются: сбор, обработка и анализ событий безопасности, обнаружение в режиме реального времени атак и нарушений политик безопасности, оценка защищенности ресурсов, выработка и принятие решений по защите информации [2, 3].
В SIEM-системах нового поколения анализ событий, инцидентов и их последствий включает процедуры моделирования событий и атак, анализа уязвимостей и защищенности системы, определения характеристик нарушителей, оценки риска, прогнозирования событий и инцидентов.
Предполагается, что моделирование инцидентов и событий безопасности, основанное на автоматических механизмах, которые используют информацию об истории анализируемых сетевых событий и прогнозе будущих событий, а также реализующее автоматическую подстройку параметров мониторинга событий к текущему состоянию защищаемой системы, позволит повысить уровень защищенности сети [8].
Все информационные активы предприятия подвержены рискам реализации угроз кибербезопасности посредством эксплуатации злоумышленниками некоторых известных уязвимостей. Для решения задачи снижения финансовых убытков от подобных инцидентов необходимы инвестиции в правильно отобранные процессы и технологии, обеспечивающие предупреждение и обнаружение рисков безопасности, защиту от их воздействия и реагирование на них. Следует понимать, что защита информации в общем случае сочетает применение технических средств и проведение организационных мероприятий.
В процессе проектирования сложных систем, таких как комплексные и интегрированные СЗИ информационных систем (ИС), в большинстве случаев
прибегают к моделированию основных процессов, происходящих внутри системы и на стыке среда-система. Кроме того, модели могут использоваться для проведения мониторинга и аудита безопасности на этапах эксплуатации и сопровождения ИС.
Под моделированием здесь понимаются математическое моделирование, позволяющее получить формальное описание системы и производить в дальнейшем количественные и качественные оценки ее показателей. Выделим следующие теории, которые могут быть положены в основу моделей СЗИ:
− теории вероятностей и случайных процессов;
− теории графов, автоматов и сетей Петри;
− теория нечетких множеств;
− теории игр и конфликтов;
− теория катастроф;
− эволюционное моделирование;
− формально-эвристический подход;
− энтропийный подход.
Отличия большинства моделей заключаются в том, какие параметры они используют в качестве входных, а какие — представляют в виде выходных после проведения расчетов.
Кроме того, в последнее время широкое распространение получают методы моделирования, основанные на неформальной теории систем: методы структурирования, методы оценивания и методы поиска оптимальных решений. Методы структурирования являются развитием формального описания, распространяющимся на организационно-технические системы. Использование этих методов позволяет представить архитектуру и процессы функционирования сложной системы в виде, удовлетворяющем следующим условиям:
1. полнота отражения основных элементов и их взаимосвязей;
2. простота организации элементов и их взаимосвязей;
3. гибкость — простота внесения изменений в структуру и т.д.
Методы оценивания позволяют определить значения характеристик системы, которые не могут быть измерены или получены с использованием аналитических выражений, либо в процессе статистического анализа,— вероятности реализации угроз, эффективность элемента системы защиты и др. В основу таких методов положено экспертное оценивание — подход, заключающийся в привлечении специалистов в соответствующих областях знаний для получения значений некоторых характеристик.
Методы поиска оптимальных решений представляют собой обобщение большого количества самостоятельных, в большинстве своем математических теорий с целью решения задач оптимизации. В общем случае к этой группе можно также отнести методы неформального сведения сложной задачи к формальному описанию с последующим применением формальных подходов. Комбинирование методов этих трех групп позволяет расширить возможности применения формальных теорий для проведения полноценного моделирования систем защиты.
Неформально, граф атаки — это граф, представляющий все возможные последовательности действий нарушителя для реализации угрозы. Такие последовательности действий называются путями атак (рис. 3).
Рисунок 3. – Граф атаки
Поскольку результаты работы подсистемы моделирования атак часто не могут быть вычислены в реальном времени, их использование в процессах реального времени затруднено. Однако, построенные графы атак сохраняют актуальность достаточное время (до значительных изменений в политике безопасности или физической топологии сети). Благодаря этому в рамках общей системы анализа событий предлагается использовать построенные заранее графы атак. Эти графы атак могут применяться для решения двух основных типов задач: для предсказания последующих действий нарушителя и для анализа и выявления его прошлых действий, приведших систему к текущему состоянию.
Выделяют следующие виды графов атак:
− state enumeration graph (граф перечисления) — в таких графах вершинам соответствуют тройки (s, d, а), где s — источник атаки, d — цель атаки, а — элементарная атака (или использование уязвимости); дуги обозначают переходы из одного состояния в другое;
− condition-oriented dependency graph (ориентированный граф зависимостей) — вершинам соответствуют результаты атак, а дугам — элементарные атаки, приводящие к таким результатам;
− exploit dependency graph (использовать граф зависимостей) — вершины соответствуют результатом атак или элементарным атакам, дуги отображают зависимости между вершинами — условия, необходимые для выполнения атаки и следствие атаки.
Такие модели применяются в основном на этапе аудита безопасности сетей для выявления слабых мест системы защиты и прогнозирования действий нарушителя.
Одной из основных целей моделирования СЗИ является создание максимально эффективной системы. Под эффективностью здесь понимается следование принципу «разумной достаточности», который можно описать следующим набором утверждений:
− абсолютно непреодолимой защиты создать нельзя;
− необходимо соблюдать баланс между затратами на защиту и получаемым эффектом, в т.ч. экономическим — снижении потерь от нарушения безопасности;
− стоимость средств защиты не должна превышать стоимости активов;
− затраты нарушителя на несанкционированный доступ (НСД) к активам должны превосходить эффект в соответствующем выражении, получаемый злоумышленником при осуществлении такого доступа.
На этапе анализа состояния СЗИ воздействия на ИС угроз и имеющихся у нее уязвимостей удобно также строить ориентированный граф (рисунок 4).
Рисунок 4. – Граф анализа СЗИ технического объекта
Построение графа атак
Рассмотрим далее две рекомендуемые методики моделирования графов атак на СЗИ ТКС.