Динамическое оценивание защищенности компьютерных...

Positive Hack Days’2014, 21-22 мая 2014 г.

ДИНАМИЧЕСКОЕ ОЦЕНИВАНИЕ ЗАЩИЩЕННОСТИ

КОМПЬЮТЕРНЫХ СЕТЕЙ В SIEM-СИСТЕМАХ

Дойникова Е.В.

Лаборатория проблем компьютерной безопасности Санкт-Петербургского Института Информатики

и Автоматизации РАНСанкт-Петербург, Россия


Основные функции систем управления информацией и событиями безопасности (SIEM-систем)

SIM SEM

SIEM-система

• Отчеты в реальном времени

• Сбор логов• Нормализация• Корреляция• Агрегация

• Сбор логов• Хранение

исторической информации

• Отчетность о происшедших инцидентах

• Форензика

• Сбор логов• Нормализация• Корреляция• Агрегация• Выработка контрмер• Составление отчетов


Обобщенная архитектура SIEM-системы и место оценивания защищенности

Сбор

щик

Правилакорреляции

Сырые данные

Скоррелированныесобытия

Контрмеры

Уровень событий Уровень приложенийУровень данных

События безопасности

Ядро системы управления информацией и событиями безопасности

Правила защиты

Хранилище

Оценивание защищенности Визуализация

Шина данных Анализ событий

Выбор контрмер

Рассылка команд

Уровень сети


Общий процесс оценивания защищенности

– Анализ рисков• Выявление источников рисков

(включает выявление активов, угроз, средств управления безопасностью, уязвимостей и возможного ущерба)

• Оценивание степени рисков (вычисление показателей защищенности)

– Оценивание значительности рисков (сравнение уровня рисков с критерием оценки рисков и критерием принятия рисков)

Выявление рисков (аналитическое

моделирование атак)

Оценивание уровня рисков(показатели защищенности)

Оценивание значительности рисков

(общий уровень защищенности)

Обработка рисков(меры по изменению уровня

рисков)

Граф атак

Анал

из р

иско

в

Оце

нива

ние

риск

овРекомендации


Постановка задачи

• Цель – исследование и разработка системы показателей защищенности и алгоритмов их вычисления для компонента анализа защищенности в рамках SIEM-системы

• Требования:– Учет различных характеристик для определения слабых мест

системы в статическом режиме– Учет событий безопасности для определения профилей атак

в динамическом режиме функционирования системы– Предоставление лицу, принимающему решение, актуальной

и адекватной информации о состоянии системы– Учет требований стандартов и протоколов в области ИБ


Релевантные работы (1/2)Показатели защищенности

• Показатели, основанные на характеристиках объектов оценивания защищенности, таких как хосты, приложения, уязвимости, инциденты и т.п. [CIS, 2009]

• Показатели для вычисления рисков, основанные на уязвимости и ценности отдельных хостов, предложенные в [Mayer, 2007] и [Lorenzo, 2011]

• Показатели, характеризующие потенциал атаки [Poolsappasit et al., 2012]. Обычно вычисляются на основе графов атак

• Показатели, отражающие уровень ущерба от атаки [Kheir et al., 2010]. Обычно вычисляются на основе графов зависимостей сервисов

• Показатели, учитывающие возможность уязвимостей 0-дня [Wang et al., 2010]

• Показатели, отражающие характеристики атакующего [Olsson, 2009]


Релевантные работы (2/2)Классификации показателей защищенности• Таксономии, выделяющие показатели по целям оценивания

защищенности: – Организационные показатели и технические показатели [Vaughn et al., 2003]– Управленческие, технические и организационные [NIST, 2003]– Основные категории: защищенность, качество сервиса и доступность. Для каждой из

основных категорий определены организационные и операционные показатели [Seddigh et al., 2004]

– Показатели, относящиеся к бизнес функциям: управление инцидентами, управление уязвимостями, управление заплатками, защищенность приложений, управление конфигурациями, и финансовые показатели [CIS, 2009]

• Классификации по способу вычисления показателей: – Первичные и вторичные показатели [Idika, 2010] – Показатели, вычисляемые на основе графов атак и на вычисляемые на основе

графов зависимостей сервисов [Kheir et al., 2010]

• Классификации по типам значений показателей: – Существование; качественное значение; счет; количественное значение; процент;

целостность; ценность; неопределенность [Axelrod, 2008]


Классификация показателей защищенности

Модель системы (включая зависимости

сервисов)

Уязвимости/слабые места

Показатели уровня графа атак

Профиль атакующего

Показатели уровня атакующего

События безопасности

Показатели уровня событий

Интегральные показатели

Показатели топологического

уровня

Графы атак

- Уязвимость хоста - Слабость хоста- Внутренняя критичность- Внешняя критичность- Процент систем без известных критичных уязвимостей- Уязвимость хоста к атакам нулевого дня

- Ценность хоста для бизнеса

- Критичность атакующих действий- Потенциал атаки- Ущерб от атаки

- Потенциал атаки с учетом 0-дня-Стоимостной ущерб от атаки- Затраты на реагирование

- Уровень навыков атакующего- Профильный потенциал атаки

- Профильный потенциал атаки с учетом 0-дня-Профильный стоимостной ущерб от атаки- Профильные затраты на реагирование

- Позиция атакующего- Динамический уровень навыков атакующего- Вероятностный уровень навыков атакующего- Динамический потенциал атаки- Динамический потенциал атаки с учетом 0-дня-Динамический стоимостной ущерб от атаки- Динамические затраты на реагирование

- Уровень риска- Уровень защищенности- Поверхность атаки

основные

0-дня

стоимостные


Вычисление показателей защищенности (1/5)Топологические показатели

Пользователь

Сервер баз данных

Сервер аутентификации

Сервисы

Сервисы

Ценность для бизнеса (денежный эквивалент)

Критичность сервиса [1,10]

Критичность хоста

Ущерб от атакующего действия

УязвимостиВнешние

базы данных

CVSS оценки ущерба CIA

Знания эксперта

Прямая критичность Косвенная критичность

Зависимости сервисов

Знания оператора +

средства сбора информации

_2 2_1,__ s s sP Criticality W

1__ sI Criticality

_1 s_1

_1 s_1_1

s_1 s_1

max( ( ), ( )

max( ( ), ( )

max( (

_

) (

_

, _ )

s

ss

I_Criticality c P Criticality c

Criticality I_Criticality i P Criticality i

I_Criticality a P Criticality a

_

_

max ( )

max ( )

max ( )

_k s k

k s k

k s_k

Criticality c

H Criticality Criticality i

Criticality a

_

( )

( )

( )

k

kk s k

k

Impact c

H_Impact max Criticality Impact i

Impact a


Вычисление показателей защищенности (2/5)

Показатели уровня графа атакВходные данные:

Граф атак

Вектор доступа: сетевойПривилегии:

пользователя или другие

Вектор доступа: сетевойПривилегии:

администратора

Вектор доступа: сетевойПривилегии: нет

Вектор доступа: локальныйПривилегии: пользователя,

другие или нет

Вектор доступа: локальныйПривилегии:

администратора

Атакующий Следующий хост

Ущерб группы

Локальная вероятность группы

Условная вероятность группы

Безусловная вероятность группыРиск группы

Исходная вероятность атаки

_ gI_Prob CVSS AC

1

_i

iS

Cond_Prob L Prob

ИИЛИ

1

1 (1iS

Cond_Prob

_ )iL Prob

1

( | ( ))n

i ii

Unc_Prob Pr S Pa S

(2 _ _ )k k kL_Prob max CVSS AC CVSS Auth

_

( )

max ( )

( )

_k

kk s k

k

Impact c

G Impact Criticality Impact i

Impact a

__ _G Risk G Impact Unc Prob



Показатели уровня атакующего

Профиль атакующего(задается администратором)

• Позиция на графе атак• Уровень навыков

Высокий/Средний/Низкий

CVSS_AC\ASL Низкий Средний Высокий

Низкий Средняя (0.61) Высокая (0.71) Высокая (0.71)

Средний Низкая (0.35) Средняя (0.61) Высокая (0.71)

Высокий Низкая (0.35) Низкая (0.35) Средняя (0.61)

Вероятность эксплуатации уязвимости

Профильный граф атак

Unc_Prob = 0.99 ->Unc_Prob = 0.85



Unc_Prob = 0.73->Unc_Prob = 0.42

АтакующийASL = “Низкий”

CVSS_AC = “Низкая”

CVSS_AC = “Низкая”

CVSS_AC = “Средняя”

CVSS_AC = “Высокая”

Следующийхост



Подход на уровне событий

Определение уровня навыков атакующего

Определение позиции атакующего на графе атак

Определение рисков путей атаки, проходящих через скомпрометированный

узел

Выбор пути с максимальным значением риска в качестве наиболее вероятного пути

атаки, а точки максимального ущерба на пути – как цели атакующего

Вычисление вероятностей путей атаки, идущих через узел, соответствующий

позиции атакующего

Входные данные: Выходные данные:

Инциденты + граф атак

Наиболее вероятный путь на графе атак + CVSS-сложность доступа шагов пути

Критичность атакующих действий + возможный ущерб

Уровень навыков атакующего

Текущая позиция атаки

Предыдущие шаги атаки

Последующие шаги атаки + цель атаки

Про

фил

ь ат

аки



Показатели уровня событийВходные данные:

Граф атак




Unc_Prob = 0.74 ->Unc_Prob = 1

Атакующий

Апостериорная вероятность группы

Уровень атакующего

Unc_Prob = 0.99

Unc_Prob = 0.99

Unc_Prob = 0.48

Unc_Prob = 0.85


Наиболее вероятный путь

Pr(A | B) Pr(B | A) Pr(A) / Pr(B)

_k kmax CVSS AC

_ki

max G Risk



Архитектура прототипаСистема визуализации

Компонент отображения

инцидентов на граф атак

Алгоритмы оценивания защищенности

Коррелятор Генератор графа атак

Генератор графа зависимостей

сервисов

Описание сетиВнешние базы уязвимостей

Сбор данных от внешних сенсоров

Показатели защищенности

Инциденты

События Уязвимости

Граф атак Граф зависимостей сервисовТопология сети

Входные данные

Компонент оценивания защищенности

Система поддержки принятия решений


Сеть для экспериментов

ИТ инфраструктура Олимпийских Игр

• 900 серверов• 9,500 компьютеров• 1,000 сетевых устройств & средств защиты

ДМЗ

Внутренняя сеть

Сеть Олимпийских игр

Внешняя сеть

Внутренняя беспроводная сеть

Attacker


Пример работы прототипа

Врем

я (м

)

Количество хостов в анализируемой сети


Заключение• Определен набор показателей для анализа защищенности в

рамках SIEM-систем и предложена их классификация• Предложены алгоритмы расчета показателей для различных

уровней классификации с учетом используемых входных данных

• Предложен подход к учету инцидентов безопасности при оценивании защищенности в рамках SIEM-систем для формирования комплексного представления о развитии атаки

• Разработан программный прототип системы анализа защищенности

• Проведены эксперименты


Контактная информация

Дойникова Елена Владимировна[email protected]

http://comsec.spb.ru/doynikova

??

?

???? ??

??

??



Динамическое оценивание защищенности компьютерных...

Technology

Transcript of Динамическое оценивание защищенности компьютерных...