Анализ защищенности объектов телекоммуникационной сети с помощью теории графов

 

Данные последних исследований в области информационной безопасности [4, 7, 8] говорят о растущем внимании руководителей компаний в России и по всему миру к проблеме защиты информации. Этот факт обусловлен увеличением числа инцидентов, связанных с потерей и разглашением информации или утратой контроля над ней. Финансовые убытки крупных корпораций оцениваются миллионами долларов в год [4].

Кроме того, продолжает совершенствоваться нормативно-правовая база в области кибербезопасности. Последние изменения в законодательстве РФ, в том числе в законе № 152-ФЗ «О персональных данных», призваны поддержать отечественных производителей средств защиты от киберугроз и обеспечить более высокую долю таких продуктов на российском рынке ИБ. В этом свете деятельность по проработке фундаментальных основ ИБ и проведение прикладных исследований представляются актуальной задачей.

В упрощенном виде предметную область «защита информации» можно представить в виде следующей схемы (рис. 1). Анализ оценки защищенности согласно рисунка 2.

 

Рис. 1. Защита информации как предметная область

Рис.2. Последовательность действий при анализе защищенности объекта

 

Основными задачами систем управления информацией и событиями безопасности (Security Information and Event Management, SIEM) являются: сбор, обработка и анализ событий безопасности, обнару­жение в режиме реального времени атак и нарушений политик безопасности, оценка защищенности ресурсов, выработка и принятие решений по защите информации [2, 3].

В SIEM-системах нового поколения анализ событий, инцидентов и их последствий включает процедуры моделирования событий и атак, анализа уязвимостей и защищенности системы, определения харак­теристик нарушителей, оценки риска, прогнозирования событий и инцидентов.

Предполагается, что моделирование инцидентов и событий безопасности, основанное на автоматических механизмах, которые используют информацию об истории анализируемых сетевых событий и прогнозе будущих событий, а также реализующее автоматическую подстройку параметров мониторинга событий к текущему состоянию защищаемой системы, позволит повысить уровень защищенности сети [8].

Все информационные активы предприятия подвержены рискам реализации угроз кибербезопасности посредством эксплуатации злоумышленниками некоторых известных уязвимостей. Для решения задачи снижения финансовых убытков от подобных инцидентов необходимы инвестиции в правильно отобранные процессы и технологии, обеспечивающие предупреждение и обнаружение рисков безопасности, защиту от их воздействия и реагирование на них. Следует понимать, что защита информации в общем случае сочетает применение технических средств и проведение организационных мероприятий.

В процессе проектирования сложных систем, таких как комплексные и интегрированные СЗИ информационных систем (ИС), в большинстве случаев

прибегают к моделированию основных процессов, происходящих внутри системы и на стыке среда-система. Кроме того, модели могут использоваться для проведения мониторинга и аудита безопасности на этапах эксплуатации и сопровождения ИС.

Под моделированием здесь понимаются математическое моделирование, позволяющее получить формальное описание системы и производить в дальнейшем количественные и качественные оценки ее показателей. Выделим следующие теории, которые могут быть положены в основу моделей СЗИ:

− теории вероятностей и случайных процессов;

− теории графов, автоматов и сетей Петри;

− теория нечетких множеств;

− теории игр и конфликтов;

− теория катастроф;

− эволюционное моделирование;

− формально-эвристический подход;

− энтропийный подход.

Отличия большинства моделей заключаются в том, какие параметры они используют в качестве входных, а какие — представляют в виде выходных после проведения расчетов.

Кроме того, в последнее время широкое распространение получают методы моделирования, основанные на неформальной теории систем: методы структурирования, методы оценивания и методы поиска оптимальных решений. Методы структурирования являются развитием формального описания, распространяющимся на организационно-технические системы. Использование этих методов позволяет представить архитектуру и процессы функционирования сложной системы в виде, удовлетворяющем следующим условиям:

1. полнота отражения основных элементов и их взаимосвязей;

2. простота организации элементов и их взаимосвязей;

3. гибкость — простота внесения изменений в структуру и т.д.

Методы оценивания позволяют определить значения характеристик системы, которые не могут быть измерены или получены с использованием аналитических выражений, либо в процессе статистического анализа,— вероятности реализации угроз, эффективность элемента системы защиты и др. В основу таких методов положено экспертное оценивание — подход, заключающийся в привлечении специалистов в соответствующих областях знаний для получения значений некоторых характеристик.

Методы поиска оптимальных решений представляют собой обобщение большого количества самостоятельных, в большинстве своем математических теорий с целью решения задач оптимизации. В общем случае к этой группе можно также отнести методы неформального сведения сложной задачи к формальному описанию с последующим применением формальных подходов. Комбинирование методов этих трех групп позволяет расширить возможности применения формальных теорий для проведения полноценного моделирования систем защиты.

Неформально, граф атаки — это граф, представляющий все возможные последовательности действий нарушителя для реализации угрозы. Такие последовательности действий называются путями атак (рис. 3).

 

 

Рисунок 3. – Граф атаки

Поскольку результаты работы подсистемы моделирования атак часто не могут быть вычислены в реальном времени, их использование в процессах реального времени затруднено. Однако, построенные графы атак сохраняют актуальность достаточное время (до значительных изменений в политике безопасности или физической топологии сети). Благодаря этому в рамках общей системы анализа событий предлагается использовать построенные заранее графы атак. Эти графы атак могут применяться для решения двух основных типов задач: для предсказания последующих действий нарушителя и для анализа и выявления его прошлых действий, приведших систему к текущему состоянию.

Выделяют следующие виды графов атак:

− state enumeration graph (граф перечисления) — в таких графах вершинам соответствуют тройки (s, d, а), где s — источник атаки, d — цель атаки, а — элементарная атака (или использование уязвимости); дуги обозначают переходы из одного состояния в другое;

− condition-oriented dependency graph (ориентированный граф зависимостей) — вершинам соответствуют результаты атак, а дугам — элементарные атаки, приводящие к таким результатам;

− exploit dependency graph (использовать граф зависимостей) — вершины соответствуют результатом атак или элементарным атакам, дуги отображают зависимости между вершинами — условия, необходимые для выполнения атаки и следствие атаки.

Такие модели применяются в основном на этапе аудита безопасности сетей для выявления слабых мест системы защиты и прогнозирования действий нарушителя.

Одной из основных целей моделирования СЗИ является создание максимально эффективной системы. Под эффективностью здесь понимается следование принципу «разумной достаточности», который можно описать следующим набором утверждений:

− абсолютно непреодолимой защиты создать нельзя;

− необходимо соблюдать баланс между затратами на защиту и получаемым эффектом, в т.ч. экономическим — снижении потерь от нарушения безопасности;

− стоимость средств защиты не должна превышать стоимости активов;

− затраты нарушителя на несанкционированный доступ (НСД) к активам должны превосходить эффект в соответствующем выражении, получаемый злоумышленником при осуществлении такого доступа.

На этапе анализа состояния СЗИ воздействия на ИС угроз и имеющихся у нее уязвимостей удобно также строить ориентированный граф (рисунок 4).

 

 

Рисунок 4. – Граф анализа СЗИ технического объекта

 

 

Построение графа атак

 

Рассмотрим далее две рекомендуемые методики моделирования графов атак на СЗИ ТКС.