Методика №1 построения графа атак

1. Перед построением графа атак необходимо построить матрицу достижимости. Матрица достижимости может рассчитываться между объектами сети, или между объектами сети и источниками угроз. При этом при расчете матрицы достижимости учитываются следующие особенности:

- динамическая маршрутизация учитывается следующим образом: объект считается достижимым, если он достижим хотя бы по одному маршруту;

- возможность наличия нескольких оконечных точек для объекта (источника угроз) учитывается следующим образом: угроза считается достижимой, если она достижима хотя бы на одной оконечной точке;

- при расчете матрицы учитываются возможности преобразования адресов источника и получателя (источника угроз и узла ТКС).

Таким образом, мы всегда учитываем наихудший вариант (угроза достижима) в контексте решаемой задачи при оценке защищенности ТКС.

(см. пример в Приложении А).

2. Далее строится граф атак, узлами которого являются источники атак и узлы ТКС (сетевые объекты), дуги – уязвимости сетевых объектов, порождаемые в ходе их эксплуатации, дуги показывают результат перехода узла ТКС из состояния 1 в состояние 2 (Пример на рис. 2) по причине наличия уязвимости узла ТКС. Состояния в графе кодируются в виде триплета влияния уязвимости на доступность, конфиденциальность и целостность. Значения влияний базируются на стандарте CVSS [5] и могут быть следующими: отсутствует, частичное, полное. Таким образом, максимальное количество состояний для одного сетевого объекта – 27 (33). При этом алгоритм расчета графа атак построен таким образом, что набор состояний может быть достаточно просто изменен.

(см. пример в Приложении А).

Граф атак может строиться в одном из следующих режимов:

- из одного объекта-источника атаки;

- конечного набора объектов-источников атаки;

- всех возможных объектов-источников атаки.

Помимо расчета самого графа отдельно строится список маршрутизаторов и межсетевых экранов, для которых есть хотя бы одно состояние полного влияния на целостность. В результате проведения атак на эти сетевые объекты злоумышленник может существенно изменить достижимость в сети.

Сам по себе граф атак является компактным хранилищем всех возможных атак в данной модели сети.

Под элементарной атакой (atomic attack) понимают использование нарушителем уязвимости. Примером элементарной атаки служит, например, переполнение буфера службы SSH, позволяющее удаленно получить права администратора системы.

При синтезе графа атак возникают следующие задачи: формализация понятия атаки, разработка формального языка моделирования атак и компьютерной системы (включающей нарушителя, его цели, сеть, средства защиты, отношение достижимостихостов и т.д.), выбор или разработка средств построения графа атаки и его визуализации, разработка средств автоматизации построения и анализа графа.

В основном графы атак рассматриваются в контексте анализа защищенности сетей. Обычно такой анализ сводится к последовательному сканированию всех хостов сети на наличие известных уязвимостей. Результатом является отчет, содержащий перечень найденных уязвимостей и рекомендации по их устранению. В настоящее время постепенно внедряется другая парадигма анализа защищенности, учитывающая “топологию” компьютерной системы – взаимосвязь объектов компьютерной системы, их свойств и характеристик. Такой анализ защищенности называется топологическим, а средства, его выполняющие, топологическими сканерами безопасности.

Топологический анализ защищенности предполагает построение графа атак на основе результатов сканирования сети, модели нарушителя и данных о конфигурации сети (фильтрации МЭ, маршрутизации, обнаружения атак, достижимости хостов и т.д.) и его анализ (вероятностный, минимизационный и т.д.).

Построенный граф содержит все известные сценарии атак для достижения нарушителем угроз. Результатом его анализа может являться:

- перечень успешных атак, не обнаруживаемых IDS;

- соотношение реализуемых мер безопасности и уровня защищенности сети;

- перечень наиболее критичных уязвимостей;

- перечень мер, позволяющих предотвратить использование уязвимостей в ПО, для которого отсутствуют обновления;

- наименьшее множество мер, реализация которых сделает сеть защищенной.

Графы атак также используются при расследовании компьютерных инцидентов [3], для анализа рисков [4] и корреляций предупреждений систем обнаружения атак [5, 6].

Первоначально графы атак строили вручную, затем были предложены различные подходы к автоматизации данного процесса. Ключевой проблемой построения графа атак является масштабируемость – возможность построения графа атаки для сети с большим числом хостов и уязвимостей.

Возможные подходы к построению и анализу графов атак и проблемы, возникающие при этом. Описание системы топологического анализа защищенности.

В результате построения графа атак и его анализа необходимо выдать рекомендации по предотвращению возможных атак. Данные рекомендации могут предполагать как изменения в сетевой архитектуре, так и установку обновлений ПО. Noel и Jajodia в [2] разработали подходы для выдачи подобных рекомендаций.

Вывод

При отображении списка всех возможных атак каждая отдельная атака может быть отображена на модели (на графе ТКС).

Список всех возможных атак получается очень большим, поэтому есть необходимость введения в модель активов (в терминологии ISO/IEC 15408 [8]) и предоставления на их основе возможности сортировки и фильтрации списка атак. При отображении статистики по состояниям для каждого проэксплуатированного объекта отображается общее количество и количество проэксплуатированных уязвимостей. Кроме того, подробно по каждому состоянию показывается, какое количество уязвимостей приводит к возникновению у объекта конкретного состояния.

Наши рекомендации