PPTX, 0.2MB - Проблемы современных информационно

Download Report

Transcript PPTX, 0.2MB - Проблемы современных информационно 

Анализ защищенности распределенных
информационных
систем
Докладчик: Дорджиева А.А.
Кафедра вычислительной математики
механико-математического факультета
Московского государственного университета имени М.В.Ломоносова
Москва, 2011
План доклада
Введение
 Обзор работ
 Модель информационной системы
 Модель поведения злоумышленника
 Постановка задачи
 Решение задачи
 Заключение

2
План доклада
Введение
 Обзор работ
 Модель информационной системы
 Модель поведения злоумышленника
 Постановка задачи
 Решение задачи
 Заключение

3
Актуальность
С увеличением сложности и размеров
информационных систем возникает
необходимость их автоматизированного
анализа на предмет деструктивных
воздействий
 Чтобы повысить уровень защищенности
информационной системы следует найти
способ измерения защищенности

4
План доклада
Введение
 Обзор работ
 Модель информационной системы
 Модель поведения злоумышленника
 Постановка задачи
 Решение задачи
 Заключение

5
Существующие подходы к анализу
защищенности

Методы оценки рисков
ГРИФ
 RiskWatch


Сканеры уязвимостей


Nessus Security Scanner
Средства топологического анализа
защищенности
Sheyner и др.
 NetSPA
 TVA tool
 Котенко и др.

6
Основные особенности и
недостатки

Методы оценки рисков



Сканеры уязвимостей


измеряют риски на основе соответствия стандартам
безопасности;
не учитывают конфигурацию информационной системы.
решают только задачу поиска уязвимостей в отдельной
компоненте информационной системы.
Средства топологического анализа
защищенности

предлагают грубые методики оценки уровня
защищенности, которые не оправдывают сложности
вычислений, требуемых для анализа конфигурации
информационной системы.
7
Анализ защищенности
Исследование и
описание
уязвимостей
Описание
конфигурации
информационной
системы
Методы оценки
рисков
Построение
графа атак
Сканеры
уязвимостей
Метрики
уязвимостей
Модель
поведения
злоумышленни
ка
Анализ
защищенности
информацион
ной системы
Средства
топологическо
го анализа
защищенности
8
Предлагаемое решение

Разработка методики анализа
защищенности на основе построения графа
атак




Поиск всевозможных сценариев атак в
информационной системе
Измерение каждой из уязвимостей
Моделирование поведения злоумышленника
Измерение защищенности информационной
системы
9
План доклада
Введение
 Обзор работ
 Модель информационной системы
 Модель поведения злоумышленника
 Постановка задачи
 Решение задачи
 Заключение

10
Информационная система

Пример

Модель





H ={0,1,Router}
S={Web_Serv,FTP_Serv,OS,
Wifi}
Acc={local_user, admin}
serv(1)={FTP_Serv, OS}
serv(Router)={Web_Serv,
OS}
Для упрощения данной модели не детализируются
службы на Host 0 и подразумевается, что пользователь
может иметь оба вида доступа к любой из служб.
11
Модель атакующего действия

Элементарное состояние c = <access, service, host>
c1
множество
предусловий
c2
c3
постусловие
c4
уязвимость
12
Граф атак
local user,0
local user,
Wifi,0
Vuln_Wifi
Vuln_Web_Serv
Состояние нарушителя в
информационной сети
представляется как множество
элементарных состояний.
Сценарий атаки описывается как
последовательность троек
<состояние, атакующее действие,
момент времени>
Vuln_Web_Serv
local user,
Web_Serv,
Router
Vuln_ftp2
Vuln_OS
admin, OS,
Router
Vuln_ftp1
Vuln_Web_Serv
Admin,
OS, 1
Конечный ориентированный двудольный граф
13
План доклада
Введение
 Обзор работ
 Модель информационной системы
 Модель поведения злоумышленника
 Постановка задачи
 Решение задачи
 Заключение

14
Метрики атакующих действий и
моделирование поведения злоумышленника

Для каждого атакующего действия задаются
значения функций:
p – вероятность успеха совершённого
атакующего действия1;
 t – время, затраченное на совершение
атакующего действия;
 w – «вес» атакующего действия, отражающий
его приоритетность для злоумышленника по
отношению к другим атакующим действиям

База метрик уязвимостей и их интерпретация:
- Common Vulnerability Scoring System (CVSS-SIG) v2, http://www.first.org/cvss/
- Reginald Sawilla, Xinming Ou: Identifying critical attack assets in dependency attack graphs. Technical
1
Memorandum, DRDC Ottawa TM 2008-180, September 2008.
15
Моделирование поведения злоумышленника
на k-ом шаге сценария атаки
local user,0
local user,
Wifi,0
Vuln_Wifi
4
Vuln_Web_Serv
local user,
Web_Serv,
Router
3
5
Vuln_Web_Serv
2
Vuln_ftp2
Vuln_OS
admin, OS,
Router
Vuln_ftp1
Vuln_Web_Serv
1
1. Злоумышленник выбирает те
атакующие действия, предусловия к
которым принадлежат, а
постусловия не принадлежат его
текущему состоянию Ck , Tk в
информационной системе.
2. Если злоумышленник выбирает
атакующее действие №1 и
Ck 1  Ck { post(1)}
то
w(1)
Pk (Сk , Ck 1 )  p(1) 
w(1)  w(2)
Tk 1  Tk  t (1)
аналогично для действия №2.
3. В случае выбора атакующего
действия №1 и Ck 1  Ck
Pk (Сk , Ck 1 ) 
Admin,
OS, 1
(1  p(1))  w(1)
w(1)  w(2)
Tk 1  Tk  t (1)
16
Постановка задачи

Найти по заданным начальному
состоянию злоумышленника A,
целевому состоянию B и
времени T вероятность того, что
злоумышленник в описанной
модели, обладая в начальный
момент времени элементарными
состояниями A к моменту
времени T будет обладать
множеством элементарных
состояний, включающих B.
local user,0
local user,
Wifi,0
Vuln_Wifi
Vuln_Web_Serv
Vuln_Web_Serv
local user,
Web_Serv,
Router
Vuln_ftp2
Vuln_OS
admin, OS,
Router
Vuln_ftp1
Vuln_Web_Serv
Admin,
OS, 1
17
Решение задачи



Пусть каждое атакующее действие занимает единицу времени.
Искомая вероятность Q(k,A,B) будет вычисляться как сумма
вероятностей P(k,A,B) того, что злоумышленник, обладая в
начальный момент времени элементарными состояниями A к моменту
времени T=k будет обладать множеством элементарных состояний,
равным B.
Вероятность P(k,A,B) будет вычисляться по следующей рекуррентной
формуле:
P(k,A, B)  P(k -1, A, B)  P0   P(k 1, A, B \ x)  Px
xB
– вероятность того, что ни одно элементарное состояние не
было присоединено на k-1 шаге;
Px – вероятность того, что на k-1 шаге было присоединено
элементарное состояние x.
P0
18
Свойство модели

Если существует такое T=t, что вероятность
Q(t,A,B)>0, то тогда
Q(T ,A, B)  1 при T  
это свойство соответствует интуитивному
предположению, что если злоумышленник
обладает достаточно большим количеством
времени, то он с вероятностью 1 получит любой
«неизолированный» доступ в информационной
системе
19
Анализ защищенности
Исследование и
описание
уязвимостей
Описание
конфигурации
информационной
системы
Построение
графа атак
Метрики
уязвимостей
Модель
поведения
злоумышленни
ка
Анализ
защищенности
информацион
ной системы
Предложенный подход позволяет пройти все
этапы анализа защищенности
20
Заключение

В рамках работы предложены
Модель информационной системы
 Модель атакующего действия и сценариев графа
атак
 Модель поведения злоумышленника
 Способ количественной оценки уровня
защищенности

21
Спасибо за внимание!
22