Дойникова Елена Владимировна. Оценка защищенности и выбор защитных мер в компьютерных сетях на основе графов атак и зависимостей сервисов Диссертация

ВАКАНСИИ И СОТРУДНИЧЕСТВО

ПОСЛЕДНИЕ ОТЗЫВЫ

Замечательный сайт. Доставки всегда вовремя.

Большое спасибо, с вами работать удобно и просто. Я благодарен за сотрудничество с вами.

Здравствуйте, уважаемый Сергей! Материал получен, спасибо. Вам и вашей фирме успешной работы и процветания. Надеюсь на дальнейшее плодотворное сотрудничество.

Роботою задоволена.

Получил заказанную диссертацию очень быстро, качество на высоте. Рекомендую пользоваться их услугами. Отправлял деньги предоплатой.

Каталог / ТЕХНИЧЕСКИЕ НАУКИ / Системы защиты информации

скачать файл:

Название:
Дойникова Елена Владимировна. Оценка защищенности и выбор защитных мер в компьютерных сетях на основе графов атак и зависимостей сервисов

Альтернативное название:
Дойникова Олена Володимирівна. Оцінка захищеності і вибір захисних заходів в комп'ютерних мережах на основі графів атак і залежностей сервісів Doynykova Olena Volodymyrivna. Otsinka zakhyshchenosti i vybir zakhysnykh zakhodiv v komp'yuternykh merezhakh na osnovi hrafiv atak i zalezhnostey servisiv

Кол-во страниц:
206

ВУЗ:
ФГБУН Санкт-Петербургский институт информатики и автоматизации Российской академии наук

Год защиты:
2017

Краткое описание:
Дойникова Елена Владимировна. Оценка защищенности и выбор защитных мер в компьютерных сетях на основе графов атак и зависимостей сервисов: диссертация ... кандидата Технических наук: 05.13.19 / Дойникова Елена Владимировна;[Место защиты: ФГБУН Санкт-Петербургский институт информатики и автоматизации Российской академии наук], 2017.- 206 с.

Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации Российской академии наук (СПИИРАН)
На правах рукописи

Дойникова Елена Владимировна
Оценка защищенности и выбор защитных мер в компьютерных сетях на основе
графов атак и зависимостей сервисов
Специальность: 05.13.19 - Методы и системы защиты информации, информационная
безопасность
Диссертация на соискание ученой степени кандидата технических наук
Научный руководитель д.т.н., профессор Котенко И.В.
Санкт-Петербург - 2017
Содержание
Содержание 2
Введение 5
Г лава 1 Современное состояние проблемы оценки защищенности и выбора контрмер в компьютерных сетях 17
1.1 Место и роль оценки защищенности и выбора контрмер 17
1.1.1 Российские стандарты информационной безопасности 17
1.1.2 Стандарты в области представления и оценки компонентов безопасности 24
1.2 Методики оценки защищенности компьютерных сетей и выбора контрмер 32
1.2.1 Качественные методики оценки защищенности 33
1.2.2 Количественные методики оценки защищенности 34
1.2.3 Качественно-количественные методики оценки защищенности 36
1.3 Показатели защищенности и выбора контрмер и алгоритмы их вычисления 37
1.3.1 Базовые показатели 38
1.3.2 Описание графа атак. Показатели на основе графов атак 39
1.3.3 Описание графа зависимостей сервисов. Показатели на основе графов зависимостей сервисов 44
1.3.4 Методики и показатели выбора защитных мер 46
1.3.5 Интегральные показатели 49
1.3.6 Классификации показателей защищенности 51
1.4 Требования к методикам оценки защищенности и выбора защитных мер 52
1.5 Постановка задачи исследования 55
Выводы по главе 1 60
Г лава 2 Комплекс показателей защищенности компьютерных сетей. Алгоритмы расчета показателей защищенности. Методики оценки защищенности и выбора защитных мер 61
2.1 Комплекс показателей защищенности компьютерных сетей 61
2.2 Методика оценки защищенности компьютерных сетей 67
2.3 Алгоритмы вычисления показателей защищенности 70
2.4 Методика выбора защитных мер 99
Выводы по главе 2 104
Г лава 3 Реализация системы оценки защищенности и выбора контрмер и оценка ее эффективности 106
3.1 Архитектура и реализация программного прототипа системы оценки защищенности компьютерных сетей и выбора защитных мер 106
3.2 Генератор сценариев атак на компьютерную сеть 110
3.3 Оценка сложности разработанных алгоритмов и эффективности применения предложенных методик оценки защищенности КС и выбора контрмер 113
3.4 Предложения по использованию системы оценки защищенности и выбора контрмер 141
Выводы по главе 3 144
Заключение 145
Перечень используемых сокращений и обозначений 147
Список литературы и электронных ресурсов 149
Приложение А - Схема алгоритма определения локальных вероятностей 164
Приложение Б - Блок-схема алгоритма определения условных вероятностей 165
Приложение В - Схема алгоритма определения безусловных вероятностей 168
Приложение Г - Пример вычисления вероятности атаки 170
Приложение Д - Схема алгоритма выбора контрмер на топологическом уровне 171
Приложение Е - Схема алгоритма определения узлов графа, представляющих наибольший риск 172
Приложение Ж - Классификация значений поля базы CAPEC 173
Приложение И - Данные для экспериментов 175
Приложение К - Отображение зависимостей сервисов для сети 2 и сети 3 в программном прототипе 183
Приложение Л - Графы атакующих действий для сети 2 и сети 3 для атакующего 1 ... 184
Приложение М - Значения риска для узлов графа атак сети 1 для атакующего 1 185
Приложение Н - Последовательности атак и событий безопасности для экспериментов 187
Приложение О - Изменение значений риска узлов графа атак для тестовой последовательности атаки и событий 194
Приложение П - Результаты экспериментов по определению выигрыша в случае реализации контрмер 197
Приложение Р - Копии актов о внедрении 203
Введение
Актуальность темы диссертационной работы. В настоящее время, в большинстве коммерческих и государственных организаций, в том числе на промышленных предприятиях (в областях электроэнергетики, машиностроения, систем жизнеобеспечения и т.п.), от которых напрямую зависит безопасность и жизнедеятельность населения, применяются компьютерные сети (КС). Это создает дополнительные возможности для осуществления угроз в отношении таких систем различного рода нарушителями, с целью получения коммерческой выгоды, террористическими или другими целями. Что подтверждается высоким уровнем киберпреступности в России (и в мире). По отчету международной компании по предотвращению и расследованию киберпреступлений Group-IB за 2014 год [5] рынок киберпреступности в России и СНГ в 2011 году составил 2,055 млрд долларов, в 2012 году — 1,938 млрд, и 2,501 млрд в 2013 году.
Хотя в области информационной безопасности (ИБ) предпринимаются серьезные усилия, раскрываемость киберпреступлений по прежнему остается достаточно низкой. Согласно отчету группы компаний по безопасности NTT Group за 2013 год [72], 54% зафиксированных ими инцидентов в компаниях по всему миру, направленных на перехват управления системами, остались не обнаруженными, 71% вредоносного программного обеспечения (ПО), направленного на кражу денег и информации, остался не обнаруженным стандартными средствами, что указывает на неэффективность базовых средств безопасности. Это может быть связано с тем, что предпочтения киберпреступного сообщества сместились в сторону более изощренных целенаправленных атак [32, 82]. Основной целью таких атак являются категории предпринимательства (24%) и финансов (19%) [82].
Необходимость обеспечения ИБ информационных технологий (ИТ) организаций отмечена в стандарте ГОСТ Р ИСО/МЭК ТО 13335-5-2006 [7]. Это обусловлено тем, что «государственные и коммерческие организации в большой степени полагаются на использование информации при ведении своего бизнеса. Нарушение таких характеристик информации и услуг, как конфиденциальность, целостность, доступность, неотказуемость, подотчетность, аутентичность и достоверность, может иметь неблагоприятное воздействие на деловые операции и бизнес организации.
Поэтому существует необходимость в обеспечении безопасности информации и управлении безопасностью систем ИТ в пределах организации.»
Таким образом, повышение защищенности информационных систем (ИС)
U U U U Т Т1—1
организаций является важной и актуальной задачей ИБ.
Серьезную проблему с точки зрения обеспечения ИБ представляют открытые распределенные сети с большим количеством узлов. Наличие доступа к системе для большого количества устройств, а также уязвимости ПО компьютеров, объединенных в сеть, создают благоприятную среду для реализации атак. NTTGroup отмечает, что в 2013 году 43% всех зафиксированных атак было направлено против открытых распределенных систем, таких как образовательные платформы, медицинские ИС, электронные услуги и т.п. [72]. Специалисты Symantec также отмечают рост количества веб-атак: в 2011 году в день блокировалось 190370 таких атак, а в 2012 уже 247350 [82].
Одной из причин роста числа реализованных атак является рост количества уязвимостей ПО. По данным компании Symantec, в 2010 году было обнаружено 6253 новых уязвимостей, в 2011 — 4989, а в 2012 — 5291 [82]. 50% уязвимостей,
зафиксированных в использовании в 2013 году, были впервые открыты и зафиксированы между 2004 и 2011 годами, что указывает на временной пробел между обнаружением и устранением уязвимостей, который позволяет нарушителям воспользоваться ими [72]. С другой стороны, их легко можно было бы устранить при грамотном управлении ИБ и избежать связанных с ними угроз.
От безопасности и надежности ПО зависит широкий спектр критических приложений и инфраструктур, от систем управления процессами до коммерчески используемых продуктов. Уязвимости данного ПО могут подвергнуть опасности интеллектуальную собственность, доверие потребителей, бизнес-операции и сервисы.
В стандарте ГОСТ Р ИСО/МЭК ТО 13335-3-2007 сказано «если организация не уверена в том, что функционирование ее систем информационных технологий абсолютно не критично к внешним угрозам, она может впоследствии встретиться с серьезными проблемами.» Примером этого может служить атака Massive Data Exfiltration via SQL Injection на XYZ National Bank, когда одно незащищенное поле стоило компании примерно 200000 $. Причем базовое сканирование логов и предупреждений помогло бы обнаружить SQL-инъекцию и инцидент обошелся бы в 24980 $. А если бы уязвимость к SQL-инъекции была устранена в процессе разработки, то компания бы не понесла убытков [72].
Поэтому важной задачей обеспечения ИБ организаций является выявление уязвимостей ПО и возможности их использования в компьютерных атаках для нанесения ущерба организации. Для этой цели успешно применяются графы атакующих действий. Однако, приведенный выше пример показывает, что важно не только уметь выявить уязвимости, которые могут использоваться для атаки на КС, но и оценить их возможное влияние на бизнес-операции.
В связи с увеличением количества различных распределенных компьютерных приложений, необходимых для поддержания бизнес-процессов организаций, и развитием концепции сервис-ориентированных архитектур (СОА), не всегда просто определить как именно та или иная уязвимость повлияет на деятельность организации. Ответом на эту проблему стали подходы к определению распространения ущерба в информационной структуре организации на основе графов зависимостей сервисов. Учет распространения ущерба через зависимости сервисов позволит отрегулировать затраты на безопасность, чтобы они не превысили возможный ущерб, не упустить важные уязвимости, которые могут привести к серьезным последствиям, а также обосновать затраты на безопасность. То есть необходимо достичь баланса между затратами на безопасность и возможными потерями в случае успешной реализации атаки. Кроме того, важно не только измерить защищенность, но и предоставить инструменты формирования отчетов и реагирования на инциденты безопасности, что позволит специалистам-практикам быстро и эффективно реагировать на целенаправленные атаки [32].
Хотя большинство организаций осознают важность обеспечения ИБ, реальное финансирование зачастую не соответствует подобным заявлениям. Причем большая часть финансирования обычно уходит на приобретение базовых технических средств защиты, а не на обеспечение процессного подхода к управлению безопасностью. Преимущество процессного подхода состоит в том, что он позволяет учесть эффективность средств защиты и возможные потери в случае успешных компьютерных атак и предоставляет на их основе обоснование затрат на безопасность в виде показателей защищенности. Показатели защищенности являются количественными индикаторами атрибутов безопасности ИС или технологии и предоставляют способ измерения качества продуктов или сервисов и улучшения процесса. Поэтому подход к управлению безопасностью должен основываться на измерении защищенности в виде надежных, выражаемых количественно показателей. Измерение защищенности является сложной задачей из-за неопределенности входных данных и сложности взаимосвязей внутри защищаемых ИС.
Другой проблемой современных ИС является огромное количество информации и событий безопасности. По данным [72], среднее количество сообщений, генерируемых различными устройствами за день может достигать от нескольких десятков (приложения, прокси серверы, системы контроля доступа, системы обнаружения вторжений и реагирования на вторжения) и сотен (межсетевые экраны, маршрутизаторы, центральные процессоры) тысяч до нескольких миллионов (базы данных). Обработать такое количество информации вручную практически невозможно. Кроме того, в случае, если система подвергается атаке, важным становится временной аспект. Следовательно возникает проблема автоматизированной обработки информации, ее представления в удобном для оператора виде и автоматизированного выбора защитных мер. В рамках решения данной проблемы на текущий момент активно развиваются системы мониторинга безопасности и управления инцидентами (Security Information and Events Management, SIEM). SIEM-системы обычно включают базовые показатели, оценивающие количество уязвимостей, инцидентов и т.п. [1, 44] Такие показатели не дают полной картины информационных и бизнес-рисков, порождаемых потенциальными угрозами, и не позволяют принять всесторонне обоснованное решение по выбору и внедрению защитных мер (контрмер).
Подход к оценке защищенности КС и выбору защитных мер, основанный на комплексной системе показателей и алгоритмов их вычисления с применением графов атак и зависимостей сервисов, которые позволят учитывать различные характеристики компьютерных атак, а также различные аспекты функционирования защищаемой системы и выбирать наиболее эффективные защитные меры, и применимый для SIEM- систем, в целом приведет к существенному повышению эффективности реагирования на инциденты ИБ. Это поможет повысить защищенность программных продуктов и процессов. Таким образом, задача разработки такого подхода является актуальной.
Степень разработанности темы диссертационной работы. Вопросам оценки защищенности КС, анализа рисков и выбора защитных мер посвящено большое количество государственных стандартов [6-11], документов [4, 28], коммерческих стандартов [129, 134], и работ как отечественных исследователей: С.В. Симонова [40], И.В. Котенко [12-14, 17-27, 29, 31], С.А. Петренко [40], И.Б. Саенко [25, 96], А.М. Астахова [3], Д.С. Черешкина [42], А.Г. Остапенко [16], М.В. Степашкина [17, 24, 27, 37], А.А. Чечулина [12, 20, 23, 43], так и зарубежных: R.P. Lippmann [81, 98],
H. Debar [74, 89, 90], N. Kheir [89-91], M. Frigault [70], N. Poolsappasit [125], M. Jahnke [85], G.G. Granadillo [74].
Анализ работ показал, что хотя текущие исследования предлагают для оценки защищенности и выбора контрмер большое количество различных показателей и методик их вычисления, в том числе на основе графов атак и зависимостей сервисов, не существует единого подхода к выбору, определению и вычислению показателей защищенности, позволяющего учесть различные данные при формировании показателей, и оценивать защищенность на различных этапах функционирования системы. Отсюда вытекает первое противоречие — необходимость количественного обоснования затрат на управление безопасностью на основе измерения текущего уровня защищенности системы с целью выбора эффективных защитных мер, и отсутствие четкого подхода к определению и вычислению показателей защищенности.
Кроме того, хотя на данный момент существует большое количество исследований в области выбора защитных мер для реагирования на компьютерные атаки, не существует коммерческого решения в рамках SIEM-систем, использующего все их возможности. Кроме того, предлагаемые методики, как правило, ограничиваются детальным исследованием только одного из наборов характеристик атак и принимаемых защитных мер, например, уровнем навыков атакующего, потенциалом атаки, возможным ущербом и т.п. Таким образом, второе противоречие состоит в необходимости измерения и оценки защищенности на основе адекватных количественных показателей с учетом множества данных, предоставляемых SIEM- системами, и автоматизированного выбора защитных мер на основе комплекса данных показателей, и отсутствии таких показателей и методик в современных SIEM-системах.
Разрешение двух описанных противоречий поможет повысить защищенность программных продуктов и процессов. Поэтому в данной работе предполагается разработать подход к оценке защищенности КС и выбору защитных мер, применимый для SIEM-систем. Предлагаемый подход предполагает разработку комплексной системы показателей и алгоритмов их вычисления на основе графов атак и зависимостей сервисов. Он подразумевает использование более сложных алгоритмов вычисления показателей при статическом режиме работы, учет информации о событиях безопасности в режиме, близком к реальному времени, а также быстрый перерасчет показателей на основе новой поступающей информации, что позволит отслеживать направление и уровень сложности атаки, ее цели и характеристики атакующего и выбирать наиболее эффективные защитные меры. Такой подход в целом приведет к существенному повышению эффективности реагирования на инциденты ИБ.
Научная задача. Разработка модельно-методического аппарата для оценки защищенности КС и выбора защитных мер на основе совместного применения графов атак и зависимостей сервисов для SIEM-систем.
Объектом исследования в данной работе являются компьютерные сети, атаки на КС с использованием уязвимостей их программного и аппаратного обеспечения.
В качестве предмета исследования выступают модели, методики и алгоритмы оценки защищенности КС и выбора защитных мер на этапах проектирования и эксплуатации с использованием показателей защищенности.
Основной целью работы является повышение защищенности КС за счет усовершенствования методик, моделей и алгоритмов оценки защищенности КС и выбора контрмер на основе вычисления показателей защищенности. Для достижения цели в исследовании поставлены и решены следующие задачи:
1) Анализ показателей защищенности и методик их вычисления на основе моделей умышленных атак в КС в виде графов атакующих действий и моделей распространения воздействия атак в сети в виде графов зависимостей сервисов.
2) Разработка комплекса показателей защищенности с учетом различных входных данных, таких как характеристики КС, атакующих действий, нарушителей и инцидентов безопасности, и на различных уровнях функционирования защищаемой системы (статическом и динамическом).
3) Разработка методики оценки защищенности КС на основе графов атак и зависимостей сервисов.
4) Разработка алгоритмов вычисления показателей защищенности.
5) Разработка методики выбора защитных мер для реагирования на компьютерные атаки с учетом доступных данных.
6) Построение архитектуры и реализация программного прототипа системы оценки защищенности КС и выбора защитных мер на основе предложенной методики.
7) Экспериментальная оценка предложенных алгоритмов и методик, и сравнение их с существующими аналогами.
На защиту выносятся следующие результаты:
1) комплекс показателей защищенности компьютерных сетей на основе графов атак и зависимостей сервисов;
2) методика оценки защищенности КС на основе графов атак и зависимостей сервисов;
3) методика выбора защитных мер на основе графов атак и зависимостей сервисов;
4) Архитектура и программная реализация системы оценки защищенности КС и выбора защитных мер на основе предложенных методик.
Используемые методы исследования. В работе используются методы теории множеств, теории вероятностей, теории принятия решений, теории графов, методы оптимизации, а также методы экспертного анализа.
Научная новизна диссертационной работы заключается в следующем:
1) Разработанный комплекс показателей защищенности отличается иерархическим способом классификации на основе объектов оценки, этапов процесса оценки защищенности и категорий показателей (базовые, 0 дня, стоимостные), и позволяет для каждой выделенной группы показателей получить оценку защищенности системы и выбрать защитные меры.
2) Предложенная методика оценки защищенности на основе графов атак и зависимостей сервисов отличается тем, что на каждом уровне иерархии задается совокупность используемых моделей, показателей и алгоритмов оценки, и определяет взаимосвязи между разными уровнями. Методика основана на использовании входных данных о сети и ее уязвимостях, атаках, зависимостях сервисов, атакующих, событиях, контрмерах, экспертных оценках уязвимостей и контрмер, и оценках из открытых баз данных.
3) Разработанная методика выбора защитных мер отличается возможностью генерации комплекса защитных мер на основе доступных входных данных и его последующего уточнения за счет применения иерархического комплекса показателей на основе анализа событий безопасности, выделением этапов статического и динамического уровня, и совместным применением графов атак и зависимостей сервисов.
4) Разработанная архитектура и программная реализация системы оценки защищенности и выбора защитных мер отличается наличием интерфейсов взаимодействия с SIEM-системами и применением оригинальных методик оценки защищенности и выбора защитных мер.
Теоретическая и практическая ценность диссертационной работы. В настоящее время КС активно развиваются и применяются во многих критически важных коммерческих и государственных отраслях, таких как коммерция и финансы, здравоохранение, образование и др. Так, согласно стратегии развития отрасли ИТ в Российской Федерации (РФ) на 2014 - 2020 годы [38], данная сфера может возрасти в несколько раз в ближайшие десять лет (это касается, в том числе, телефоммуникационной инфраструктуры), и привести к значительному прогрессу в экономике, фундаментальных научных исследованиях, области предоставления государственных услуг (в том числе медицины и образования) и оборонной промышленности. Это создает большие возможности для реализации компьютерных угроз с различными целями, от получения финансовой выгоды, до угроз террористического характера. Поэтому в указе отмечена важность обеспечения ИБ, что невозможно без эффективной оценки текущего уровня защищенности. Кроме того, ввиду активного распространения SIEM-систем, одной из ключевых задач которых является предоставление администратору системы актуальной и адекватной информации о защищенности системы, существует необходимость разработки для них эффективных количественных показателей для формирования текущей картины по безопасности и рекомендаций по реагированию.
Разработанные методики оценки защищенности КС и выбора защитных мер развивают теоретические положения в данной области и позволят снизить уровень возможных потерь в результате компьютерных атак за счет постоянного отслеживания и пересчета показателей защищенности в соответствии с поступающими данными о событиях в системе и своевременного применения адекватных контрмер. Это указывает на обширную область применения результатов данного исследования.
Реализация результатов работы. Исследования, представленные в данной работе, были проведены в рамках следующих научно-исследовательских работ: проекта «Разработка моделей, методик и алгоритмов автоматизированного реагирования на инциденты в процессе управления информацией и событиями безопасности» (грант Российского Фонда Фундаментальных Исследований (РФФИ) № 16-37-00338-мол_а, 2016-2017); проекта «Управление инцидентами и противодействие целевым кибер- физическим атакам в распределенных крупномасштабных критически важных системах с учетом облачных сервисов и сетей Интернета вещей» (грант Российского научного фонда № 15-11-30029, 2015-2017); проекта седьмой рамочной программы (FP7) Европейского Сообщества «Управление информацией и событиями безопасности в инфраструктурах услуг (MASSIF)», контракт № 257475, 2010-2013; проектов
Минобрнауки России в рамках Программы «Исследования и разработки по приоритетным направлениям развития научно-технологического комплекса России на 2014-2020 годы» «Разработка технологий интерактивной визуализации неформализованных данных разнородной структуры для использования в системах поддержки принятия решений при мониторинге и управлении информационной безопасностью информационно-телекоммуникационных систем» (государственный контракт № 14.604.21.0137, 2014-2016) и «Перспективные методы корреляции
информации безопасности и управления инцидентами в критически важных инфраструктурах на основе конвергенции технологий обеспечения безопасности на физическом и логическом уровнях» (государственный контракт № 14.616.21.0028, 2014¬2014); проекта по программе фундаментальных исследований отделения нанотехнологий и информационных технологий РАН «Архитектурно-программные решения и обеспечение безопасности суперкомпьютерных информационно¬вычислительных комплексов новых поколений» «Математические модели, методы и алгоритмы моделирования атак, анализа защищенности компьютерных систем и сетей, анализа рисков безопасности информации и принятия решений о выборе механизмов защиты в компьютерных системах и сетях» (2012-2014); проекта Минобрнауки России «Исследование и разработка методов, моделей и алгоритмов интеллектуализации сервисов защиты информации в критически важных инфраструктурах» (государственный контракт № 11.519.11.4008, 2011-2013); и др.
Полученные результаты использовались в рамках проекта седьмой рамочной программы (FP7) Европейского Сообщества (контракт № 257475), внедрены в учебный процесс СПб ГУТ, используются в научно-инновационной деятельности в ООО «Ароматы безопасности», применяются в рабочем процессе ГК «Омега».
Апробация результатов работы. Основные положения и результаты диссертационной работы докладывались на следующих научных конференциях: международный симпозиум по безопасности мобильного Интернета MobiSec-2016 (Тайчжун, Тайвань, 2016); 24-я международная конференция по параллельной, распределенной и сетевой обработке PDP-2016 (Ираклион, Крит, Греция, 2016); 10-ая международная конференция по рискам и безопасности Интернета и систем CRiSIS- 2015 (Митилини, Лесбос, Греция); 22-я международная конференция по параллельной, распределенной и сетевой обработке PDP-2014 (Турин, Италия, 2014); XVI международная заочная научно-практическая конференция (Новосибирск, 2013); 22-я общероссийская научно-техническая конференция «Методы и технические средства обеспечения безопасности информации» МТСОБИ-2013 (Санкт-Петербург, 2013); VIII Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР-2013)» (Санкт-Петербург, 2013); 8-я международная
конференция по доступности, надежности и безопасности ARES-2013 (Регенсбург, Германия, 2013); 7-я международная конференция по интеллектуальному сбору данных и передовым вычислительным системам IDAACS-2013 (Берлин, Германия, 2013); Часть 5-й Российской мультиконференции по проблемам управления (МКПУ-2012) - конференция «Информационные технологии в управлении (ИТУ-2012)» (Санкт- Петербург, 2012); XIII Санкт-Петербургская Международная Конференция «Региональная информатика-2012 (РИ-2012)» (Санкт-Петербург, 2012); 19-я
международная конференция по параллельной, распределенной и сетевой обработке PDP-2011 (Айя-Напа, Кипр, 2011); и др.
Публикации. По материалам диссертационной работы опубликовано более 40 работ, в том числе 9 [12-15, 17, 19-21, 24] — в изданиях из перечня ВАК [33] («Информационно-управляющие системы», «Безопасность информационных технологий», «Проблемы информационной безопасности. Компьютерные системы», «Известия высших учебных заведений. Приборостроение», «Труды СПИИРАН»), 12 — в изданиях, индексируемых в международных базах Scopus и Web Of Science, и 5 свидетельств о государственной регистрации программ для ЭВМ.
Структура и объем диссертационной работы. Диссертационная работа объемом 163 машинописных страницы, содержит введение, три главы и заключение, список литературы, содержащий 146 наименования, 17 таблиц, 40 рисунков.
Краткое содержание работы. В первой главе определены место и роль оценки защищенности и выбора защитных мер в задаче повышения защищенности КС. Проведен анализ существующих систем оценки защищенности и выбора защитных мер, в том числе основанных на моделировании атак. Рассмотрены используемые методики и алгоритмы вычисления показателей защищенности и выбора защитных мер. Обоснована актуальность цели исследования: оценка защищенности и своевременный выбор защитных мер позволяет снизить потери в результате предумышленных атак, но в настоящее время не существует единого подхода, который позволил бы получать оценку защищенности на разных уровнях, изменять ее с учетом новой поступающей информации и выбирать защитные меры на ее основе в статическом и динамическом режимах. Для достижения поставленной в исследовании цели предложено использование методики, основанной на многоуровневой системе показателей защищенности и алгоритмах их вычисления. Определены требования к системам оценки защищенности и выбора контрмер. Сформулирована постановка задачи исследования.
Во второй главе описывается разработанный комплекс показателей защищенности. Показатели разделены на уровни в соответствии с используемыми для их вычисления входными данными: показатели топологического уровня определяются на основе конфигурации и топологии КС; показатели уровня графа атак позволяют определить вероятность атаки и возможный ущерб с учетом всех путей атаки; на уровне атакующего вводится возможность сформировать профильный граф атак, который включает атаки, которые может реализовать конкретный атакующий; показатели уровня событий позволяют отслеживать развитие атаки и профиль атакующего по событиям безопасности; уровень выбора контрмер включает показатели, характеризующие защитные меры; интегральный уровень включает показатели, вычисляемые на основе показателей предыдущих уровней, характеризующие защищенность системы в целом и позволяющие выбрать защитные меры.
Представлена методика оценки защищенности, разработанная на основе предложенной системы показателей. Методика основана на так называемом anytime - подходе. Каждый из уровней системы показателей позволяет получить оценку ситуации и уточнять ее с появлением новой информации, применяя алгоритмы соответствующего уровня. Для определения уровня защищенности применяются показатели интегрального уровня и как минимум топологического уровня (остальные уровни являются дополнительными). Описаны основные модели и алгоритмы вычисления показателей. Показатели каждого уровня позволяют определить защищенность системы на основе уровня риска и выбрать адекватные контрмеры в соответствии с доступной информацией. Основной особенностью алгоритмов является иерархическая связь между алгоритмами разных групп: выходные данные алгоритмов группы каждого
предыдущего уровня используются в качестве входных данных алгоритмов группы следующего уровня. Это позволяет уточнять показатели за счет новых входных данных. Для формирования связей между уровнями модифицированы существующие модели входных данных и алгоритмы вычисления показателей.
Представлена разработанная модель защитной меры и методика выбора защитных мер, работающая в статическом и в динамическом режимах.
В третьей главе приведена архитектура и общее описание программного прототипа, разработанного для проведения экспериментов. Представлены результаты экспериментов и сравнение предложенных методик с существующими аналогами. Результаты проведенных экспериментов с использованием разработанного прототипа показали, что значения таких свойств методик, как своевременность, обоснованность и ресурсопотребление удовлетворяют предъявляемым требованиям, и что новая система превосходит существующие аналоги по функциональности и качеству анализа.
Положения, выносимые на защиту:
1) комплекс показателей защищенности компьютерных сетей на основе графов атак и зависимостей сервисов;
2) методика оценки защищенности компьютерных сетей на основе графов атак и зависимостей сервисов;
3) методика выбора защитных мер на основе графов атак и зависимостей сервисов;
4) архитектура и программная реализация системы оценки защищенности КС и выбора защитных мер на основе предложенных методик.

Список литературы:
Заключение
Оценка защищенности и выбор защитных мер на основе адекватных количественных показателей в КС является важной и актуальной задачей ИБ. В диссертационной работе решена научная задача разработки комплекса моделей, методик и алгоритмов для оценки защищенности КС и выбора защитных мер для систем мониторинга безопасности и управления инцидентами, применение которых приведет к повышению эффективности процесса оценки защищенности и выбора контрмер. Основные результаты работы состоят в следующем:
1) Проанализирован процесс менеджмента риска ИБ и определено место оценки и обработки риска, выделены основные этапы данных процессов. Определено, что для КС организаций, для которых ИТ являются критичными, предпочтительной является детальная количественная оценка риска. Обоснована необходимость создания новых методик оценки и обработки риска на основе комплексного анализа данных из различных источников. Определены требования к разрабатываемым методикам.
2) Разработан комплекс показателей защищенности, включающий в себя
отдельные показатели и связи между ними. Основным отличием предложенного комплекса является иерархический способ классификации показателей. Классификация осуществляется на основе входных данных, применяемых для вычисления показателей, этапов процесса анализа рисков и значений показателей. Система показателей защищенности интегрируется с SIEM-системами. Кроме того, она построена таким образом, что позволяет для каждой выделенной группы показателей получить оценку защищенности системы и выбрать защитные меры. И позволяет легко расширять список показателей для повышения точности и полноты анализа ситуации по защищенности.
3) Разработана методика оценки защищенности на основе графов атак и
зависимостей сервисов и предложенного комплекса показателей. Основным отличием методики является иерархический характер, соответствующий уровням комплекса показателей, позволяющий в зависимости от имеющихся в наличии входных данных получить оценку текущей ситуации по защищенности, выраженную в форме адекватных количественных показателей, и уточнять оценку с появлением новых данных.
4) Разработаны алгоритмы вычисления показателей. В качестве входных данных для вычисления показателей применяются данные о сети и ее уязвимостях,
существующие модели атак и зависимостей сервисов, разработанные модели атакующих, событий и контрмер, экспертные оценки уязвимостей и контрмер, и оценки из открытых баз данных. Модели и методики используют такие стандарты протокола SCAP как CVE, CWE, CPE, CAPEC, CRE, ERI и CVSS. Это позволяет легко применять их в контексте систем мониторинга безопасности и управления инцидентами. Основным отличием от существующих алгоритмов является учет предложенного комплекса показателей, возможность как их отдельного применения в процессе оценки защищенности на каждом уровне иерархии комплекса показателей защищенности, так и их применения в рамках более высоких уровней для уточнения оценок предыдущих уровней (используя в качестве входных данных результаты предыдущих уровней).
5) Разработана методика выбора защитных мер, основанная на предложенном комплексе показателей. Методика включает сбор входных данных, вычисление показателей защищенности, выбор контрмер. Основными отличиями предложенной методики являются: применение предложенного комплекса показателей, выделение методик статического и динамического уровня (на первом уровне выбирается набор средств защиты, позволяющих реализовать контрмеры, на втором - конкретные контрмеры); совместное применение графов атак и зависимостей сервисов; и применимость для систем мониторинга безопасности и управления инцидентами.
6) Разработана архитектура и программная реализация системы оценки защищенности КС и выбора защитных мер. Основным отличием является применение оригинальных методик оценки защищенности КС и выбора защитных мер.
Полученные результаты соответствуют п. 9 Паспорта специальностей ВАК (технические науки) «Модели и методы оценки защищенности информации и информационной безопасности объекта» по специальности 05.13.19. Результаты являются развитием результатов работ [12-15, 17, 19-21, 23, 24, 27, 37, 43, 93-95, 97]. Они позволят снизить уровень возможных потерь организаций в результате компьютерных атак за счет постоянного отслеживания и пересчета показателей защищенности в соответствии с поступающими данными о событиях в системе и своевременного применения адекватных контрмер на основе доступных исходных данных. Практическая значимость результатов диссертационного исследования состоит в том, что они могут быть успешно реализованы в рамках компонента анализа защищенности и принятия решений активно распространяющихся систем мониторинга безопасности и управления инцидентами, что подтверждается их реализацией в ряде крупных российских и международных проектов. Апробация полученных результатов проводилась на 14 научно-технических конференциях. Основные результаты, полученные автором, опубликованы в 61 научных работах.
Перечень используемых сокращений и обозначений
ДМЗ - демилитаризованная зона ИБ - информационная безопасность ИС - информационная система ИТ - информационные технологии
ИТТ -информационные и телекоммуникационные технологии КС - компьютерные сети ОС - операционная система ПО - программное обеспечение РФ - Российская Федерация
СМИБ - система менеджмента информационной безопасности СОА - сервис-ориентированная архитектура СОВ - системы обнаружения вторжений
СОЗВК - система оценки защищенности компьютерных сетей и выбора контрмер
СПВ - системы предотвращения вторжений
ALE - ожидаемые годовые потери (Annual Loss Expectancy)
CAPEC - «Общее перечисление и классификация шаблонов атак» (Common Attack Pattern Enumeration and Classification)
CCE - «Общее перечисление конфигураций» (Common Configuration Enumeration) CCTA - центральное агентство по компьютерам и телекоммуникациям (Central Computer and Telecommunications Agency)
CPE - «Общее перечисление платформ» (Common Platform Enumeration)
CRE - «Общее перечисление защитных мер» (Common Remediation Enumeration)
CVE - «Общие уязвимости и дефекты» (Common Vulnerabilities and Exposures)
CVSS - «Общая система оценки уязвимостей» (Common Vulnerability Scoring System) CWE - «Общее перечисление слабых мест» (Common Weakness Enumeration)
ERI - «Расширенная информация по защитным мерам» (Extended Remediation Information)
FIRST - Форум групп безопасности и реагирования на инциденты (Forum of Incident Response and Security Teams).
FISMA - федеральный акт по управлению информационной безопасностью (Federal Information Security Management Act)
FRAAP - методика качественного анализа рисков «Облегченный процесс анализа рисков» (Facilitated Risk Analysis and Assessment Process)
GTADM - модель атаки-защиты, основанная на теории игр (Game Theoretical Attack- Defense Model)
HRCM - иерархическая модель вычисления рисков (Hierarchical Risk Computing Model) LDAP - «облегчённый протокол доступа к каталогам» (Lightweight Directory Access Protocol)
NIPC - Национальный центр защиты инфраструктуры США (National Infrastructure Protection Center)
NIST - национальный институт стандартизации и технологий США (U.S. National Institute of Information Standards and Technology)
NSA - Агентство национальной безопасности США (National Security Agency)
NVD - национальная база уязвимостей (National Vulnerability Database)
OCIL - Открытый язык отображения проверок безопасности» (Open Checklist Interactive Language)
OCTAVE - «Оперативная оценка критических угроз, активов и уязвимостей» (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
OVAL - «Открытый язык спецификации уязвимостей и оценки» (Open Vulnerability and Assessment Language)
PCI DSS - стандарт безопасности данных индустрии платежных карт (Payment-Card Industry Data Security Standard)
RASQ - относительный коэффициент поверхности атаки (Relative Attack Surface Quotient)
ROI - оценка возврата инвестиций (Return on Investment)
SANS Institute's Critical Vulnerability Analysis Scale - шкала анализа критичных уязвимостей института SANS
SCAP - протокол автоматизации управления данными безопасности (Security Content Automation Protocol)
SIEM - системы мониторинга безопасности и управления инцидентами (Security Information and Events Management)
US-CERT - компьютерная группа реагирования на чрезвычайные ситуации (United states computer emergency readiness team)
XCCDF - «Расширяемый формат описания списков контроля конфигураций» (extensible Configuration Checklist Description Format)
XML - расширяемый язык разметки (Extensible Markup Language)
Список литературы и электронных ресурсов
1. Агеев, А. Positive SIEM [Электронный ресурс] / А. Агеев - Электрон. текстовые дан. - [Б. м. : б. и.]. - Режим доступа: http: // www.securitylab.ru / blog / personal / itsec / 139261.php (по состоянию на 13.05.2016).
2. Алгоритмы: построение и анализ [Текст] / Т. Кормен, Ч. Лейзерсон, Р. Ривест. - М. : МЦНМО, 1999. - 960 с.
3. Астахов, А. Искусство управления информационными рисками [Текст] / А. М. Астахов. - М. : ДМК Пресс, 2010. - 312 с.
4. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Гостехкомиссия России. Руководящий документ [Электронный документ]. - Введ. 2002-06-19. - 56 с. - Режим доступа: http: // fstec.ru / component / attachments / download / 293 (по состоянию на 11.01.2017).
5. Выдержка из отчета Group-IB: Тенденции развития преступности в области высоких технологий 2014 [Электронный ресурс] / Электрон. текстовые данные и граф. данные. - Group-IB, 2014. - Режим доступа: https: // new.landingi.com / uploads / ad335e01fdd23b3ff2d6 / landings / iUZba2WZSA3ab3axGe1c / assets / group-ib-annual-report-2014-short-rus.pdf (по состоянию на 11.01.2017).
6. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий [Текст]. — Введ. 2006-12-19. — М. : Стандартинформ, 2007. — 19 с.
7. ГОСТ Р ИСО/МЭК 13335-5-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети [Текст]. — Введ. 2007-06-01. — М. : Стандартинформ, 2007. — 22 с.
8. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования [Текст]. — Введ. 2006-12-27. — М.: Стандартинформ, 2008. — 26 с.
9. ГОСТ Р ИСО/МЭК 27004-2011. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения [Текст]. — Введ. 2011-12-01. — М. : Стандартинформ, 2012. — 56 с.
10. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности [Текст]. — Введ. 2010-11-30. — М. : Стандартинформ, 2011. - 47 с.
11. ГОСТ Р ИСО/МЭК 31010-2011. Менеджмент риска. Методы оценки риска [Текст]. — Введ. 2011-12-01. — М. : Стандартинформ, 2012. — 74 с.
12. Дойникова, Е. В. Динамическое оценивание защищенности компьютерных сетей в SIEM-системах [Текст] / Е. В. Дойникова, И. В. Котенко, А. А. Чечулин // Безопасность информационных технологий. - М.: ВНИИПВТИ, 2015. - № 3. - С. 33-42.
13. Дойникова, Е. В. Методики и программный компонент оценки рисков на основе графов атак для систем управления информацией и событиями безопасности [Текст] / Е. В. Дойникова, И. В. Котенко // Информационно-управляющие системы. - СПб. : Политехника, 2016. - № 5. - С. 54-65. - doi:10.15217/issn1684- 8853.2016.5.54.
14. Дойникова, Е. В. Отслеживание текущей ситуации и поддержка принятия решений по безопасности компьютерной сети на основе системы показателей защищенности [Текст] / Е. В. Дойникова, И. В. Котенко // Изв. вузов. Приборостроение. - СПб. : СПбГУ ИТМО, 2014. - Т. 57, № 10. - С. 72-77. - ISSN 0021-3454.
15. Дойникова, Е. В. Показатели и методики оценки защищенности компьютерных сетей на основе графов атак и графов зависимостей сервисов [Текст] / Е. В. Дойникова // Труды СПИИРАН. - СПб. : Наука, 2013. - Вып. 3 (26). - С. 54-68.
16. Калашников, А.О. Информационные риски флуд-атакуемых компьютерных систем [Текст] / А.О. Калашников, А.Г. Остапенко, Г.А. Остапенко, М.В. Бурса,
В.В. Бутузов -. Воронеж : ООО «Издательство Научная книга», 2015. - 160 с.
17. Котенко, И. В. Анализ защищенности автоматизированных систем с учетом социо-инженерных атак [Текст] / И. В. Котенко, М. В. Степашкин, Е. В. Дойникова // Проблемы информационной безопасности. Компьютерные системы. - СПб. : СПбПУ, 2011. - № 3. - С. 40-57.
18. Котенко, И. В. Анализ протокола автоматизации управления данными безопасности SCAP [Текст] / И. В. Котенко, Е. В. Дойникова // Защита информации. Инсайд. - СПб, 2012. - № 2. - С. 56-63.