SlideShare ist ein Scribd-Unternehmen logo

Динамическое оценивание защищенности компьютерных сетей

Als PPTX, PDF herunterladen
Positive Hack Days
Positive Hack Days
Technologie
1 von 18
Positive Hack Days’2014, 21-22 мая 2014 г. ДИНАМИЧЕСКОЕ ОЦЕНИВАНИЕ ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ В SIEM-СИСТЕМАХ Дойникова Е.В. Лаборатория проблем компьютерной безопасности Санкт-Петербургского Института Информатики и Автоматизации РАН Санкт-Петербург, Россия
Positive Hack Days’2014, 21-22 мая 2014 г. Основные функции систем управления информацией и событиями безопасности (SIEM-систем) SIM SEM SIEM-система • Отчеты в реальном времени • Сбор логов • Нормализация • Корреляция • Агрегация • Сбор логов • Хранение исторической информации • Отчетность о происшедших инцидентах • Форензика • Сбор логов • Нормализация • Корреляция • Агрегация • Выработка контрмер • Составление отчетов
Positive Hack Days’2014, 21-22 мая 2014 г. Обобщенная архитектура SIEM-системы и место оценивания защищенности Сборщик Правила корреляции Сырые данные Скоррелированные события Контрмеры Уровень событий Уровень приложенийУровень данных События безопасности Ядро системы управления информацией и событиями безопасности Правила защиты Хранилище Оценивание защищенности Визуализация Шина данных Анализ событий Выбор контрмер Рассылка команд Уровень сети
Positive Hack Days’2014, 21-22 мая 2014 г. Общий процесс оценивания защищенности – Анализ рисков • Выявление источников рисков (включает выявление активов, угроз, средств управления безопасностью, уязвимостей и возможного ущерба) • Оценивание степени рисков (вычисление показателей защищенности) – Оценивание значительности рисков (сравнение уровня рисков с критерием оценки рисков и критерием принятия рисков) Выявление рисков (аналитическое моделирование атак) Оценивание уровня рисков (показатели защищенности) Оценивание значительности рисков (общий уровень защищенности) Обработка рисков (меры по изменению уровня рисков) Граф атак Анализрисков Оцениваниерисков Рекомендации
Positive Hack Days’2014, 21-22 мая 2014 г. Постановка задачи • Цель – исследование и разработка системы показателей защищенности и алгоритмов их вычисления для компонента анализа защищенности в рамках SIEM- системы • Требования: – Учет различных характеристик для определения слабых мест системы в статическом режиме – Учет событий безопасности для определения профилей атак в динамическом режиме функционирования системы – Предоставление лицу, принимающему решение, актуальной и адекватной информации о состоянии системы – Учет требований стандартов и протоколов в области ИБ
Positive Hack Days’2014, 21-22 мая 2014 г. Релевантные работы (1/2) Показатели защищенности • Показатели, основанные на характеристиках объектов оценивания защищенности, таких как хосты, приложения, уязвимости, инциденты и т.п. [CIS, 2009] • Показатели для вычисления рисков, основанные на уязвимости и ценности отдельных хостов, предложенные в [Mayer, 2007] и [Lorenzo, 2011] • Показатели, характеризующие потенциал атаки [Poolsappasit et al., 2012]. Обычно вычисляются на основе графов атак • Показатели, отражающие уровень ущерба от атаки [Kheir et al., 2010]. Обычно вычисляются на основе графов зависимостей сервисов • Показатели, учитывающие возможность уязвимостей 0-дня [Wang et al., 2010] • Показатели, отражающие характеристики атакующего [Olsson, 2009]
Positive Hack Days’2014, 21-22 мая 2014 г. Релевантные работы (2/2) Классификации показателей защищенности • Таксономии, выделяющие показатели по целям оценивания защищенности: – Организационные показатели и технические показатели [Vaughn et al., 2003] – Управленческие, технические и организационные [NIST, 2003] – Основные категории: защищенность, качество сервиса и доступность. Для каждой из основных категорий определены организационные и операционные показатели [Seddigh et al., 2004] – Показатели, относящиеся к бизнес функциям: управление инцидентами, управление уязвимостями, управление заплатками, защищенность приложений, управление конфигурациями, и финансовые показатели [CIS, 2009] • Классификации по способу вычисления показателей: – Первичные и вторичные показатели [Idika, 2010] – Показатели, вычисляемые на основе графов атак и на вычисляемые на основе графов зависимостей сервисов [Kheir et al., 2010] • Классификации по типам значений показателей: – Существование; качественное значение; счет; количественное значение; процент; целостность; ценность; неопределенность [Axelrod, 2008]
Positive Hack Days’2014, 21-22 мая 2014 г. Классификация показателей защищенности Модель системы (включая зависимости сервисов) Уязвимости/ слабые места Показатели уровня графа атак Профиль атакующего Показатели уровня атакующего События безопасности Показатели уровня событий Интегральные показатели Показатели топологического уровня Графы атак - Уязвимость хоста - Слабость хоста - Внутренняя критичность - Внешняя критичность - Процент систем без известных критичных уязвимостей - Уязвимость хоста к атакам нулевого дня - Ценность хоста для бизнеса - Критичность атакующих действий - Потенциал атаки - Ущерб от атаки - Потенциал атаки с учетом 0-дня -Стоимостной ущерб от атаки - Затраты на реагирование - Уровень навыков атакующего - Профильный потенциал атаки - Профильный потенциал атаки с учетом 0-дня -Профильный стоимостной ущерб от атаки - Профильные затраты на реагирование - Позиция атакующего - Динамический уровень навыков атакующего - Вероятностный уровень навыков атакующего - Динамический потенциал атаки - Динамический потенциал атаки с учетом 0-дня -Динамический стоимостной ущерб от атаки - Динамические затраты на реагирование - Уровень риска - Уровень защищенности - Поверхность атаки основные 0-дня стоимостные
Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (1/5) Топологические показатели Пользователь Сервер баз данных Сервер аутентификации Сервисы Сервисы Ценность для бизнеса (денежный эквивалент) Критичность сервиса [1,10] Критичность хоста Ущерб от атакующего действия Уязвимости Внешние базы данных CVSS оценки ущерба CIA Знания эксперта Прямая критичность Косвенная критичность Зависимости сервисов Знания оператора + средства сбора информации _2 2_1,__ s s sP Criticality W  1__ sI Criticality _1 s_1 _1 s_1_1 s_1 s_1 max( ( ), ( ) max( ( ), ( ) max( ( _ ) ( _ , _ ) s ss I_Criticality c P Criticality c Criticality I_Criticality i P Criticality i I_Criticality a P Criticality a            _ _ max ( ) max ( ) max ( ) _ k s k k s k k s_k Criticality c H Criticality Criticality i Criticality a            _ ( ) ( ) ( ) k kk s k k Impact c H_Impact max Criticality Impact i Impact a         
Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (2/5) Показатели уровня графа атак Входные данные: Граф атак Вектор доступа: сетевой Привилегии: пользователя или другие Вектор доступа: сетевой Привилегии: администратора Вектор доступа: сетевой Привилегии: нет Вектор доступа: локальный Привилегии: пользователя, другие или нет Вектор доступа: локальный Привилегии: администратора Атакующий Следующий хост Ущерб группы Локальная вероятность группы Условная вероятность группы Безусловная вероятность группы Риск группы Исходная вероятность атаки _ gI_Prob CVSS AC 1 _ i i S Cond_Prob L Prob    ИИЛИ 1 1 (1 iS Cond_Prob     _ )iL Prob 1 ( | ( )) n i i i Unc_Prob Pr S Pa S    (2 _ _ )k k kL_Prob max CVSS AC CVSS Auth   _ ( ) max ( ) ( ) _ k kk s k k Impact c G Impact Criticality Impact i Impact a               __ _G Risk G Impact Unc Prob 
Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (3/5) Показатели уровня атакующего Профиль атакующего (задается администратором) • Позиция на графе атак • Уровень навыков Высокий/Средний/ Низкий CVSS_ACASL Низкий Средний Высокий Низкий Средняя (0.61) Высокая (0.71) Высокая (0.71) Средний Низкая (0.35) Средняя (0.61) Высокая (0.71) Высокий Низкая (0.35) Низкая (0.35) Средняя (0.61) Вероятность эксплуатации уязвимости Профильный граф атак Unc_Prob = 0.99 -> Unc_Prob = 0.85 Unc_Prob = 0.99 -> Unc_Prob = 0.85 Unc_Prob = 0.48 -> Unc_Prob = 0.41 Unc_Prob = 0.73-> Unc_Prob = 0.42 Атакующий ASL = “Низкий” CVSS_AC = “Низкая” CVSS_AC = “Низкая” CVSS_AC = “Средняя” CVSS_AC = “Высокая” Следующий хост
Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (4/5) Подход на уровне событий Определение уровня навыков атакующего Определение позиции атакующего на графе атак Определение рисков путей атаки, проходящих через скомпрометированный узел Выбор пути с максимальным значением риска в качестве наиболее вероятного пути атаки, а точки максимального ущерба на пути – как цели атакующего Вычисление вероятностей путей атаки, идущих через узел, соответствующий позиции атакующего Входные данные: Выходные данные: Инциденты + граф атак Наиболее вероятный путь на графе атак + CVSS-сложность доступа шагов пути Критичность атакующих действий + возможный ущерб Уровень навыков атакующего Текущая позиция атаки Предыдущие шаги атаки Последующие шаги атаки + цель атаки Профильатаки
Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (5/5) Показатели уровня событий Входные данные: Граф атак Unc_Prob = 0.86 -> Unc_Prob = 0.99 Unc_Prob = 0.99 -> Unc_Prob = 0.99 Unc_Prob = 0.42 -> Unc_Prob = 0.49 Unc_Prob = 0.74 -> Unc_Prob = 1 Атакующий Апостериорная вероятность группы Уровень атакующего Unc_Prob = 0.99 Unc_Prob = 0.99 Unc_Prob = 0.48 Unc_Prob = 0.85 Unc_Prob = 0.72 -> Unc_Prob = 0.99 Наиболее вероятный путь Pr(A| B) Pr(B| A)  Pr(A) / Pr(B) _k kmax CVSS AC _k i max G Risk Unc_Prob = 0.64 -> Unc_Prob = 0.86
Positive Hack Days’2014, 21-22 мая 2014 г. Архитектура прототипа Система визуализации Компонент отображения инцидентов на граф атак Алгоритмы оценивания защищенности Коррелятор Генератор графа атак Генератор графа зависимостей сервисов Описание сети Внешние базы уязвимостей Сбор данных от внешних сенсоров Показатели защищенности Инциденты События Уязвимости Граф атак Граф зависимостей сервисов Топология сети Входные данные Компонент оценивания защищенности Система поддержки принятия решений
Positive Hack Days’2014, 21-22 мая 2014 г. Сеть для экспериментов ИТ инфраструктура Олимпийских Игр • 900 серверов • 9,500 компьютеров • 1,000 сетевых устройств & средств защиты ДМЗ Внутренняя сеть Сеть Олимпийских игр Внешняя сеть Внутренняя беспроводная сеть Attacker
Positive Hack Days’2014, 21-22 мая 2014 г. Пример работы прототипа Время(м) Количество хостов в анализируемой сети
Positive Hack Days’2014, 21-22 мая 2014 г. Заключение • Определен набор показателей для анализа защищенности в рамках SIEM-систем и предложена их классификация • Предложены алгоритмы расчета показателей для различных уровней классификации с учетом используемых входных данных • Предложен подход к учету инцидентов безопасности при оценивании защищенности в рамках SIEM-систем для формирования комплексного представления о развитии атаки • Разработан программный прототип системы анализа защищенности • Проведены эксперименты
Positive Hack Days’2014, 21-22 мая 2014 г. Контактная информация Дойникова Елена Владимировна doynikova@comsec.spb.ru http://comsec.spb.ru/doynikova

Empfohlen

Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...
Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...
Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...Positive Hack Days
 
Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Galina Zhdanovich
 
Present pred
Present predPresent pred
Present predssabann
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
SIEM-система как основа для выявления компьютерных атак несигнатурными методами
SIEM-система как основа для выявления компьютерных атак несигнатурными методамиSIEM-система как основа для выявления компьютерных атак несигнатурными методами
SIEM-система как основа для выявления компьютерных атак несигнатурными методамиAlexander Dorofeev
 
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Konstantin Feoktistov
 
Лаборатория Касперского. Алексей Киселев: "Сайт временно недоступен: «Лаборат...
Лаборатория Касперского. Алексей Киселев: "Сайт временно недоступен: «Лаборат...Лаборатория Касперского. Алексей Киселев: "Сайт временно недоступен: «Лаборат...
Лаборатория Касперского. Алексей Киселев: "Сайт временно недоступен: «Лаборат...Expolink
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 

Empfohlen

Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...
Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...
Евгений Тумоян. Моделирование атак: искусственный интеллект против естественн...Positive Hack Days
 
Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Risk & Information Security Management Training (fragment of training materia...
Risk & Information Security Management Training (fragment of training materia...Galina Zhdanovich
 
Present pred
Present predPresent pred
Present predssabann
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
SIEM-система как основа для выявления компьютерных атак несигнатурными методами
SIEM-система как основа для выявления компьютерных атак несигнатурными методамиSIEM-система как основа для выявления компьютерных атак несигнатурными методами
SIEM-система как основа для выявления компьютерных атак несигнатурными методамиAlexander Dorofeev
 
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...
Обеспечение соответствия требованиям по безопасности информации ИТ-инфраструк...Konstantin Feoktistov
 
Лаборатория Касперского. Алексей Киселев: "Сайт временно недоступен: «Лаборат...
Лаборатория Касперского. Алексей Киселев: "Сайт временно недоступен: «Лаборат...Лаборатория Касперского. Алексей Киселев: "Сайт временно недоступен: «Лаборат...
Лаборатория Касперского. Алексей Киселев: "Сайт временно недоступен: «Лаборат...Expolink
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиCisco Russia
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSoftline
 
Атлас Копко: Компрессоры низкого давления
Атлас Копко: Компрессоры низкого давленияАтлас Копко: Компрессоры низкого давления
Атлас Копко: Компрессоры низкого давленияExpolink
 
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковАнатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковКРОК
 
SIEM Security Capsule
SIEM Security CapsuleSIEM Security Capsule
SIEM Security CapsuleInnovative Technologies in Business
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеPositive Hack Days
 
HP ArcSight
HP ArcSight HP ArcSight
HP ArcSight Mohamed Zohair
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...
Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...
Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...Expolink
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...Expolink
 
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Expolink
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Complianceqqlan
 

Weitere ähnliche Inhalte

Andere mochten auch

Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиCisco Russia
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSoftline
 
Атлас Копко: Компрессоры низкого давления
Атлас Копко: Компрессоры низкого давленияАтлас Копко: Компрессоры низкого давления
Атлас Копко: Компрессоры низкого давленияExpolink
 
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковАнатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковКРОК
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеPositive Hack Days
 

Andere mochten auch (7)

Обнаружение аномальной активности в сети
Обнаружение аномальной активности в сетиОбнаружение аномальной активности в сети
Обнаружение аномальной активности в сети
 
SIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компанииSIEM - мониторинг безопасности в Вашей компании
SIEM - мониторинг безопасности в Вашей компании
 
Атлас Копко: Компрессоры низкого давления
Атлас Копко: Компрессоры низкого давленияАтлас Копко: Компрессоры низкого давления
Атлас Копко: Компрессоры низкого давления
 
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленниковАнатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
Анатомия DDoS-атак, или Как предупредить и обезвредить нападения злоумышленников
 
SIEM Security Capsule
SIEM Security CapsuleSIEM Security Capsule
SIEM Security Capsule
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защите
 
HP ArcSight
HP ArcSight HP ArcSight
HP ArcSight
 

Ähnlich wie Динамическое оценивание защищенности компьютерных сетей

Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...
Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...
Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...Expolink
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCAleksey Lukatskiy
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...Expolink
 
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Expolink
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Dmitry Evteev
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Complianceqqlan
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложенийSQALab
 

Ähnlich wie Динамическое оценивание защищенности компьютерных сетей (20)

Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
 
Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...
Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...
Лаборатория Касперского. Сергей Каракулин. "Банки – мишень для целевых атак и...
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
Лаборатория Касперского. Александр Бондаренко. Киасофт. "Kaspersky Anti Targe...
 
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
Microsoft. Андрей Иванов. "Облачные сервисы – головная боль для служб безопас...
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!Развитие систем анализа защищенности. Взгляд в будущее!
Развитие систем анализа защищенности. Взгляд в будущее!
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...Статистика по результатам тестирований на проникновение и анализа защищенност...
Статистика по результатам тестирований на проникновение и анализа защищенност...
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Compliance
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC Inside
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 

Mehr von Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

Mehr von Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Динамическое оценивание защищенности компьютерных сетей

  • 1. Positive Hack Days’2014, 21-22 мая 2014 г. ДИНАМИЧЕСКОЕ ОЦЕНИВАНИЕ ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ В SIEM-СИСТЕМАХ Дойникова Е.В. Лаборатория проблем компьютерной безопасности Санкт-Петербургского Института Информатики и Автоматизации РАН Санкт-Петербург, Россия
  • 2. Positive Hack Days’2014, 21-22 мая 2014 г. Основные функции систем управления информацией и событиями безопасности (SIEM-систем) SIM SEM SIEM-система • Отчеты в реальном времени • Сбор логов • Нормализация • Корреляция • Агрегация • Сбор логов • Хранение исторической информации • Отчетность о происшедших инцидентах • Форензика • Сбор логов • Нормализация • Корреляция • Агрегация • Выработка контрмер • Составление отчетов
  • 3. Positive Hack Days’2014, 21-22 мая 2014 г. Обобщенная архитектура SIEM-системы и место оценивания защищенности Сборщик Правила корреляции Сырые данные Скоррелированные события Контрмеры Уровень событий Уровень приложенийУровень данных События безопасности Ядро системы управления информацией и событиями безопасности Правила защиты Хранилище Оценивание защищенности Визуализация Шина данных Анализ событий Выбор контрмер Рассылка команд Уровень сети
  • 4. Positive Hack Days’2014, 21-22 мая 2014 г. Общий процесс оценивания защищенности – Анализ рисков • Выявление источников рисков (включает выявление активов, угроз, средств управления безопасностью, уязвимостей и возможного ущерба) • Оценивание степени рисков (вычисление показателей защищенности) – Оценивание значительности рисков (сравнение уровня рисков с критерием оценки рисков и критерием принятия рисков) Выявление рисков (аналитическое моделирование атак) Оценивание уровня рисков (показатели защищенности) Оценивание значительности рисков (общий уровень защищенности) Обработка рисков (меры по изменению уровня рисков) Граф атак Анализрисков Оцениваниерисков Рекомендации
  • 5. Positive Hack Days’2014, 21-22 мая 2014 г. Постановка задачи • Цель – исследование и разработка системы показателей защищенности и алгоритмов их вычисления для компонента анализа защищенности в рамках SIEM- системы • Требования: – Учет различных характеристик для определения слабых мест системы в статическом режиме – Учет событий безопасности для определения профилей атак в динамическом режиме функционирования системы – Предоставление лицу, принимающему решение, актуальной и адекватной информации о состоянии системы – Учет требований стандартов и протоколов в области ИБ
  • 6. Positive Hack Days’2014, 21-22 мая 2014 г. Релевантные работы (1/2) Показатели защищенности • Показатели, основанные на характеристиках объектов оценивания защищенности, таких как хосты, приложения, уязвимости, инциденты и т.п. [CIS, 2009] • Показатели для вычисления рисков, основанные на уязвимости и ценности отдельных хостов, предложенные в [Mayer, 2007] и [Lorenzo, 2011] • Показатели, характеризующие потенциал атаки [Poolsappasit et al., 2012]. Обычно вычисляются на основе графов атак • Показатели, отражающие уровень ущерба от атаки [Kheir et al., 2010]. Обычно вычисляются на основе графов зависимостей сервисов • Показатели, учитывающие возможность уязвимостей 0-дня [Wang et al., 2010] • Показатели, отражающие характеристики атакующего [Olsson, 2009]
  • 7. Positive Hack Days’2014, 21-22 мая 2014 г. Релевантные работы (2/2) Классификации показателей защищенности • Таксономии, выделяющие показатели по целям оценивания защищенности: – Организационные показатели и технические показатели [Vaughn et al., 2003] – Управленческие, технические и организационные [NIST, 2003] – Основные категории: защищенность, качество сервиса и доступность. Для каждой из основных категорий определены организационные и операционные показатели [Seddigh et al., 2004] – Показатели, относящиеся к бизнес функциям: управление инцидентами, управление уязвимостями, управление заплатками, защищенность приложений, управление конфигурациями, и финансовые показатели [CIS, 2009] • Классификации по способу вычисления показателей: – Первичные и вторичные показатели [Idika, 2010] – Показатели, вычисляемые на основе графов атак и на вычисляемые на основе графов зависимостей сервисов [Kheir et al., 2010] • Классификации по типам значений показателей: – Существование; качественное значение; счет; количественное значение; процент; целостность; ценность; неопределенность [Axelrod, 2008]
  • 8. Positive Hack Days’2014, 21-22 мая 2014 г. Классификация показателей защищенности Модель системы (включая зависимости сервисов) Уязвимости/ слабые места Показатели уровня графа атак Профиль атакующего Показатели уровня атакующего События безопасности Показатели уровня событий Интегральные показатели Показатели топологического уровня Графы атак - Уязвимость хоста - Слабость хоста - Внутренняя критичность - Внешняя критичность - Процент систем без известных критичных уязвимостей - Уязвимость хоста к атакам нулевого дня - Ценность хоста для бизнеса - Критичность атакующих действий - Потенциал атаки - Ущерб от атаки - Потенциал атаки с учетом 0-дня -Стоимостной ущерб от атаки - Затраты на реагирование - Уровень навыков атакующего - Профильный потенциал атаки - Профильный потенциал атаки с учетом 0-дня -Профильный стоимостной ущерб от атаки - Профильные затраты на реагирование - Позиция атакующего - Динамический уровень навыков атакующего - Вероятностный уровень навыков атакующего - Динамический потенциал атаки - Динамический потенциал атаки с учетом 0-дня -Динамический стоимостной ущерб от атаки - Динамические затраты на реагирование - Уровень риска - Уровень защищенности - Поверхность атаки основные 0-дня стоимостные
  • 9. Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (1/5) Топологические показатели Пользователь Сервер баз данных Сервер аутентификации Сервисы Сервисы Ценность для бизнеса (денежный эквивалент) Критичность сервиса [1,10] Критичность хоста Ущерб от атакующего действия Уязвимости Внешние базы данных CVSS оценки ущерба CIA Знания эксперта Прямая критичность Косвенная критичность Зависимости сервисов Знания оператора + средства сбора информации _2 2_1,__ s s sP Criticality W  1__ sI Criticality _1 s_1 _1 s_1_1 s_1 s_1 max( ( ), ( ) max( ( ), ( ) max( ( _ ) ( _ , _ ) s ss I_Criticality c P Criticality c Criticality I_Criticality i P Criticality i I_Criticality a P Criticality a            _ _ max ( ) max ( ) max ( ) _ k s k k s k k s_k Criticality c H Criticality Criticality i Criticality a            _ ( ) ( ) ( ) k kk s k k Impact c H_Impact max Criticality Impact i Impact a         
  • 10. Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (2/5) Показатели уровня графа атак Входные данные: Граф атак Вектор доступа: сетевой Привилегии: пользователя или другие Вектор доступа: сетевой Привилегии: администратора Вектор доступа: сетевой Привилегии: нет Вектор доступа: локальный Привилегии: пользователя, другие или нет Вектор доступа: локальный Привилегии: администратора Атакующий Следующий хост Ущерб группы Локальная вероятность группы Условная вероятность группы Безусловная вероятность группы Риск группы Исходная вероятность атаки _ gI_Prob CVSS AC 1 _ i i S Cond_Prob L Prob    ИИЛИ 1 1 (1 iS Cond_Prob     _ )iL Prob 1 ( | ( )) n i i i Unc_Prob Pr S Pa S    (2 _ _ )k k kL_Prob max CVSS AC CVSS Auth   _ ( ) max ( ) ( ) _ k kk s k k Impact c G Impact Criticality Impact i Impact a               __ _G Risk G Impact Unc Prob 
  • 11. Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (3/5) Показатели уровня атакующего Профиль атакующего (задается администратором) • Позиция на графе атак • Уровень навыков Высокий/Средний/ Низкий CVSS_ACASL Низкий Средний Высокий Низкий Средняя (0.61) Высокая (0.71) Высокая (0.71) Средний Низкая (0.35) Средняя (0.61) Высокая (0.71) Высокий Низкая (0.35) Низкая (0.35) Средняя (0.61) Вероятность эксплуатации уязвимости Профильный граф атак Unc_Prob = 0.99 -> Unc_Prob = 0.85 Unc_Prob = 0.99 -> Unc_Prob = 0.85 Unc_Prob = 0.48 -> Unc_Prob = 0.41 Unc_Prob = 0.73-> Unc_Prob = 0.42 Атакующий ASL = “Низкий” CVSS_AC = “Низкая” CVSS_AC = “Низкая” CVSS_AC = “Средняя” CVSS_AC = “Высокая” Следующий хост
  • 12. Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (4/5) Подход на уровне событий Определение уровня навыков атакующего Определение позиции атакующего на графе атак Определение рисков путей атаки, проходящих через скомпрометированный узел Выбор пути с максимальным значением риска в качестве наиболее вероятного пути атаки, а точки максимального ущерба на пути – как цели атакующего Вычисление вероятностей путей атаки, идущих через узел, соответствующий позиции атакующего Входные данные: Выходные данные: Инциденты + граф атак Наиболее вероятный путь на графе атак + CVSS-сложность доступа шагов пути Критичность атакующих действий + возможный ущерб Уровень навыков атакующего Текущая позиция атаки Предыдущие шаги атаки Последующие шаги атаки + цель атаки Профильатаки
  • 13. Positive Hack Days’2014, 21-22 мая 2014 г. Вычисление показателей защищенности (5/5) Показатели уровня событий Входные данные: Граф атак Unc_Prob = 0.86 -> Unc_Prob = 0.99 Unc_Prob = 0.99 -> Unc_Prob = 0.99 Unc_Prob = 0.42 -> Unc_Prob = 0.49 Unc_Prob = 0.74 -> Unc_Prob = 1 Атакующий Апостериорная вероятность группы Уровень атакующего Unc_Prob = 0.99 Unc_Prob = 0.99 Unc_Prob = 0.48 Unc_Prob = 0.85 Unc_Prob = 0.72 -> Unc_Prob = 0.99 Наиболее вероятный путь Pr(A| B) Pr(B| A)  Pr(A) / Pr(B) _k kmax CVSS AC _k i max G Risk Unc_Prob = 0.64 -> Unc_Prob = 0.86
  • 14. Positive Hack Days’2014, 21-22 мая 2014 г. Архитектура прототипа Система визуализации Компонент отображения инцидентов на граф атак Алгоритмы оценивания защищенности Коррелятор Генератор графа атак Генератор графа зависимостей сервисов Описание сети Внешние базы уязвимостей Сбор данных от внешних сенсоров Показатели защищенности Инциденты События Уязвимости Граф атак Граф зависимостей сервисов Топология сети Входные данные Компонент оценивания защищенности Система поддержки принятия решений
  • 15. Positive Hack Days’2014, 21-22 мая 2014 г. Сеть для экспериментов ИТ инфраструктура Олимпийских Игр • 900 серверов • 9,500 компьютеров • 1,000 сетевых устройств & средств защиты ДМЗ Внутренняя сеть Сеть Олимпийских игр Внешняя сеть Внутренняя беспроводная сеть Attacker
  • 16. Positive Hack Days’2014, 21-22 мая 2014 г. Пример работы прототипа Время(м) Количество хостов в анализируемой сети
  • 17. Positive Hack Days’2014, 21-22 мая 2014 г. Заключение • Определен набор показателей для анализа защищенности в рамках SIEM-систем и предложена их классификация • Предложены алгоритмы расчета показателей для различных уровней классификации с учетом используемых входных данных • Предложен подход к учету инцидентов безопасности при оценивании защищенности в рамках SIEM-систем для формирования комплексного представления о развитии атаки • Разработан программный прототип системы анализа защищенности • Проведены эксперименты
  • 18. Positive Hack Days’2014, 21-22 мая 2014 г. Контактная информация Дойникова Елена Владимировна doynikova@comsec.spb.ru http://comsec.spb.ru/doynikova