Динамическое оценивание защищенности компьютерных сетей
1. Positive Hack Days’2014, 21-22 мая 2014 г.
ДИНАМИЧЕСКОЕ ОЦЕНИВАНИЕ
ЗАЩИЩЕННОСТИ
КОМПЬЮТЕРНЫХ СЕТЕЙ
В SIEM-СИСТЕМАХ
Дойникова Е.В.
Лаборатория проблем компьютерной безопасности
Санкт-Петербургского Института Информатики
и Автоматизации РАН
Санкт-Петербург, Россия
2. Positive Hack Days’2014, 21-22 мая 2014 г.
Основные функции систем управления
информацией и событиями
безопасности (SIEM-систем)
SIM SEM
SIEM-система
• Отчеты в реальном
времени
• Сбор логов
• Нормализация
• Корреляция
• Агрегация
• Сбор логов
• Хранение
исторической
информации
• Отчетность о
происшедших
инцидентах
• Форензика
• Сбор логов
• Нормализация
• Корреляция
• Агрегация
• Выработка контрмер
• Составление отчетов
3. Positive Hack Days’2014, 21-22 мая 2014 г.
Обобщенная архитектура SIEM-системы и
место оценивания защищенности
Сборщик
Правила
корреляции
Сырые
данные
Скоррелированные
события
Контрмеры
Уровень событий Уровень приложенийУровень данных
События
безопасности
Ядро системы управления информацией и событиями безопасности
Правила
защиты
Хранилище
Оценивание
защищенности Визуализация
Шина данных Анализ событий
Выбор
контрмер
Рассылка
команд
Уровень
сети
4. Positive Hack Days’2014, 21-22 мая 2014 г.
Общий процесс оценивания
защищенности
– Анализ рисков
• Выявление источников рисков
(включает выявление активов, угроз,
средств управления безопасностью,
уязвимостей и возможного ущерба)
• Оценивание степени рисков
(вычисление показателей
защищенности)
– Оценивание
значительности рисков
(сравнение уровня рисков с критерием
оценки рисков и критерием принятия
рисков)
Выявление рисков
(аналитическое
моделирование атак)
Оценивание уровня рисков
(показатели защищенности)
Оценивание значительности
рисков
(общий уровень
защищенности)
Обработка рисков
(меры по изменению уровня
рисков)
Граф атак
Анализрисков
Оцениваниерисков
Рекомендации
5. Positive Hack Days’2014, 21-22 мая 2014 г.
Постановка задачи
• Цель – исследование и разработка системы показателей
защищенности и алгоритмов их вычисления для
компонента анализа защищенности в рамках SIEM-
системы
• Требования:
– Учет различных характеристик для определения слабых
мест системы в статическом режиме
– Учет событий безопасности для определения профилей
атак в динамическом режиме функционирования
системы
– Предоставление лицу, принимающему решение,
актуальной и адекватной информации о состоянии
системы
– Учет требований стандартов и протоколов в области ИБ
6. Positive Hack Days’2014, 21-22 мая 2014 г.
Релевантные работы (1/2)
Показатели защищенности
• Показатели, основанные на характеристиках объектов оценивания
защищенности, таких как хосты, приложения, уязвимости, инциденты
и т.п. [CIS, 2009]
• Показатели для вычисления рисков, основанные на уязвимости и
ценности отдельных хостов, предложенные в [Mayer, 2007] и [Lorenzo,
2011]
• Показатели, характеризующие потенциал атаки [Poolsappasit et al.,
2012]. Обычно вычисляются на основе графов атак
• Показатели, отражающие уровень ущерба от атаки [Kheir et al., 2010].
Обычно вычисляются на основе графов зависимостей сервисов
• Показатели, учитывающие возможность уязвимостей 0-дня [Wang et
al., 2010]
• Показатели, отражающие характеристики атакующего [Olsson, 2009]
7. Positive Hack Days’2014, 21-22 мая 2014 г.
Релевантные работы (2/2)
Классификации показателей защищенности
• Таксономии, выделяющие показатели по целям оценивания
защищенности:
– Организационные показатели и технические показатели [Vaughn et al., 2003]
– Управленческие, технические и организационные [NIST, 2003]
– Основные категории: защищенность, качество сервиса и доступность. Для каждой
из основных категорий определены организационные и операционные
показатели [Seddigh et al., 2004]
– Показатели, относящиеся к бизнес функциям: управление инцидентами,
управление уязвимостями, управление заплатками, защищенность приложений,
управление конфигурациями, и финансовые показатели [CIS, 2009]
• Классификации по способу вычисления показателей:
– Первичные и вторичные показатели [Idika, 2010]
– Показатели, вычисляемые на основе графов атак и на вычисляемые на основе
графов зависимостей сервисов [Kheir et al., 2010]
• Классификации по типам значений показателей:
– Существование; качественное значение; счет; количественное значение; процент;
целостность; ценность; неопределенность [Axelrod, 2008]
8. Positive Hack Days’2014, 21-22 мая 2014 г.
Классификация показателей
защищенности
Модель системы
(включая зависимости
сервисов)
Уязвимости/
слабые места
Показатели уровня
графа атак
Профиль атакующего
Показатели уровня
атакующего
События безопасности
Показатели уровня
событий
Интегральные показатели
Показатели
топологического
уровня
Графы атак
- Уязвимость хоста
- Слабость хоста
- Внутренняя критичность
- Внешняя критичность
- Процент систем без известных
критичных уязвимостей
- Уязвимость хоста к атакам
нулевого дня
- Ценность хоста для бизнеса
- Критичность атакующих
действий
- Потенциал атаки
- Ущерб от атаки
- Потенциал атаки с
учетом 0-дня
-Стоимостной ущерб от
атаки
- Затраты на реагирование
- Уровень навыков атакующего
- Профильный потенциал атаки
- Профильный потенциал атаки
с учетом 0-дня
-Профильный стоимостной
ущерб от атаки
- Профильные затраты на
реагирование
- Позиция атакующего
- Динамический уровень навыков
атакующего
- Вероятностный уровень
навыков атакующего
- Динамический потенциал
атаки
- Динамический потенциал
атаки с учетом 0-дня
-Динамический стоимостной
ущерб от атаки
- Динамические затраты на
реагирование
- Уровень риска
- Уровень защищенности
- Поверхность атаки
основные
0-дня
стоимостные
9. Positive Hack Days’2014, 21-22 мая 2014 г.
Вычисление показателей
защищенности (1/5)
Топологические показатели
Пользователь
Сервер баз данных
Сервер аутентификации
Сервисы
Сервисы
Ценность для бизнеса
(денежный эквивалент)
Критичность сервиса
[1,10]
Критичность хоста
Ущерб от атакующего
действия
Уязвимости
Внешние
базы
данных
CVSS оценки
ущерба CIA
Знания
эксперта
Прямая критичность Косвенная критичность
Зависимости
сервисов
Знания
оператора +
средства сбора
информации
_2 2_1,__ s s sP Criticality W
1__ sI Criticality
_1 s_1
_1 s_1_1
s_1 s_1
max( ( ), ( )
max( ( ), ( )
max( (
_
) (
_
, _ )
s
ss
I_Criticality c P Criticality c
Criticality I_Criticality i P Criticality i
I_Criticality a P Criticality a
_
_
max ( )
max ( )
max ( )
_
k s k
k s k
k s_k
Criticality c
H Criticality Criticality i
Criticality a
_
( )
( )
( )
k
kk s k
k
Impact c
H_Impact max Criticality Impact i
Impact a
10. Positive Hack Days’2014, 21-22 мая 2014 г.
Вычисление показателей
защищенности (2/5)
Показатели уровня графа атак
Входные данные:
Граф атак
Вектор доступа: сетевой
Привилегии:
пользователя или другие
Вектор доступа: сетевой
Привилегии:
администратора
Вектор доступа: сетевой
Привилегии: нет
Вектор доступа: локальный
Привилегии: пользователя,
другие или нет
Вектор доступа: локальный
Привилегии:
администратора
Атакующий Следующий хост
Ущерб группы
Локальная вероятность группы
Условная вероятность группы
Безусловная вероятность группы
Риск группы
Исходная вероятность атаки
_ gI_Prob CVSS AC
1
_
i
i
S
Cond_Prob L Prob
ИИЛИ
1
1 (1
iS
Cond_Prob
_ )iL Prob
1
( | ( ))
n
i i
i
Unc_Prob Pr S Pa S
(2 _ _ )k k kL_Prob max CVSS AC CVSS Auth
_
( )
max ( )
( )
_
k
kk s k
k
Impact c
G Impact Criticality Impact i
Impact a
__ _G Risk G Impact Unc Prob
11. Positive Hack Days’2014, 21-22 мая 2014 г.
Вычисление показателей
защищенности (3/5)
Показатели уровня атакующего
Профиль атакующего
(задается администратором)
• Позиция на графе атак
• Уровень навыков
Высокий/Средний/
Низкий
CVSS_ACASL Низкий Средний Высокий
Низкий Средняя (0.61) Высокая (0.71) Высокая (0.71)
Средний Низкая (0.35) Средняя (0.61) Высокая (0.71)
Высокий Низкая (0.35) Низкая (0.35) Средняя (0.61)
Вероятность эксплуатации уязвимости
Профильный граф атак
Unc_Prob = 0.99 ->
Unc_Prob = 0.85
Unc_Prob = 0.99 ->
Unc_Prob = 0.85
Unc_Prob = 0.48 ->
Unc_Prob = 0.41
Unc_Prob = 0.73->
Unc_Prob = 0.42
Атакующий
ASL = “Низкий”
CVSS_AC = “Низкая”
CVSS_AC = “Низкая”
CVSS_AC = “Средняя”
CVSS_AC = “Высокая”
Следующий
хост
12. Positive Hack Days’2014, 21-22 мая 2014 г.
Вычисление показателей
защищенности (4/5)
Подход на уровне событий
Определение уровня навыков атакующего
Определение позиции атакующего
на графе атак
Определение рисков путей атаки,
проходящих через скомпрометированный
узел
Выбор пути с максимальным значением
риска в качестве наиболее вероятного пути
атаки, а точки максимального ущерба на
пути – как цели атакующего
Вычисление вероятностей путей атаки,
идущих через узел, соответствующий
позиции атакующего
Входные данные: Выходные данные:
Инциденты + граф атак
Наиболее вероятный
путь на графе атак +
CVSS-сложность
доступа шагов пути
Критичность атакующих
действий + возможный
ущерб
Уровень навыков
атакующего
Текущая позиция
атаки
Предыдущие
шаги атаки
Последующие
шаги атаки + цель
атаки
Профильатаки
13. Positive Hack Days’2014, 21-22 мая 2014 г.
Вычисление показателей
защищенности (5/5)
Показатели уровня событий
Входные данные:
Граф атак
Unc_Prob = 0.86 ->
Unc_Prob = 0.99
Unc_Prob = 0.99 ->
Unc_Prob = 0.99
Unc_Prob = 0.42 ->
Unc_Prob = 0.49
Unc_Prob = 0.74 ->
Unc_Prob = 1
Атакующий
Апостериорная
вероятность группы
Уровень атакующего
Unc_Prob = 0.99
Unc_Prob = 0.99
Unc_Prob = 0.48
Unc_Prob = 0.85
Unc_Prob = 0.72 ->
Unc_Prob = 0.99
Наиболее вероятный путь
Pr(A| B) Pr(B| A)
Pr(A) / Pr(B)
_k kmax CVSS AC
_k
i
max G Risk
Unc_Prob = 0.64 ->
Unc_Prob = 0.86
14. Positive Hack Days’2014, 21-22 мая 2014 г.
Архитектура прототипа
Система визуализации
Компонент
отображения
инцидентов на граф
атак
Алгоритмы оценивания
защищенности
Коррелятор
Генератор
графа атак
Генератор графа
зависимостей
сервисов
Описание сети
Внешние базы
уязвимостей
Сбор данных от
внешних сенсоров
Показатели защищенности
Инциденты
События Уязвимости
Граф атак
Граф зависимостей сервисов
Топология
сети
Входные данные
Компонент оценивания защищенности
Система поддержки принятия
решений
15. Positive Hack Days’2014, 21-22 мая 2014 г.
Сеть для экспериментов
ИТ инфраструктура
Олимпийских Игр
• 900 серверов
• 9,500 компьютеров
• 1,000 сетевых устройств
& средств защиты
ДМЗ
Внутренняя сеть
Сеть Олимпийских игр
Внешняя сеть
Внутренняя беспроводная
сеть
Attacker
16. Positive Hack Days’2014, 21-22 мая 2014 г.
Пример работы прототипа
Время(м)
Количество хостов в анализируемой сети
17. Positive Hack Days’2014, 21-22 мая 2014 г.
Заключение
• Определен набор показателей для анализа защищенности в
рамках SIEM-систем и предложена их классификация
• Предложены алгоритмы расчета показателей для различных
уровней классификации с учетом используемых входных данных
• Предложен подход к учету инцидентов безопасности при
оценивании защищенности в рамках SIEM-систем для
формирования комплексного представления о развитии атаки
• Разработан программный прототип системы анализа
защищенности
• Проведены эксперименты
18. Positive Hack Days’2014, 21-22 мая 2014 г.
Контактная информация
Дойникова Елена Владимировна
doynikova@comsec.spb.ru
http://comsec.spb.ru/doynikova