Вычисление, визуализация и анализ метрик защищенности...

……

……

Вычисление, визуализация Вычисление, визуализация и анализ метрик защищенности и анализ метрик защищенности для мониторинга безопасностидля мониторинга безопасностидля мониторинга безопасности для мониторинга безопасности и управления инцидентамии управления инцидентамии управления инцидентами и управления инцидентами

в SIEMв SIEM--системахсистемах

И В КотенкоИ.В. КотенкоСанкт-Петербургский институт информатики и автоматизации РАН

PHD’2015, 26-27 мая 2015 г.

(СПИИРАН)

План докладаПлан доклада

Введение Введение

SIEM-системы и аналитическая обработка информации безопасности

Метрики для моделирования атак анализа Метрики для моделирования атак, анализа защищенности и выработки контрмер

Анализ защищенности и выработка контрмер на основе метрик безопасностир

Визуализация метрик

Реализация и эксперименты

ЗаключениеPHD’2015, 26-27 мая 2015 г.

Заключение

МетрикиМетрики

Как определено Национальным институтом Как определено Национальным институтом стандартов и технологий (NIST), метрикиявляются инструментами которые предназначеныявляются инструментами, которые предназначены для облегчения процесса принятия решений и повышения эффективности и подотчетности путемповышения эффективности и подотчетности путем сбора, анализа и представления соответствующих данных... да

Метрики безопасности можно рассматривать как стандарт (или систему) используемую длястандарт (или систему), используемую для количественного измерения уровня безопасности организации...организации...

PHD’2015, 26-27 мая 2015 г.

Хорошо определенные метрики могут Хорошо определенные метрики могут помочь ответить на следующие вопросы:помочь ответить на следующие вопросы:помочь ответить на следующие вопросы: помочь ответить на следующие вопросы:

Есть ли уязвимости в системе? Какие из них критические? Какие нужно устранить в первую очередь?устранить в первую очередь?

Есть ли (в настоящее время) атака в сети? Какой компонент (система / приложение / сервис) был и (или) будет Какой компонент (система / приложение / сервис) был и (или) будет

скомпрометирован? Кто атакует систему?Кто атакует систему? Как можно измерить (потенциальный) риск? Какова наиболее вероятная цель атаки и ущерб от атаки?р ц ущ р Можем ли мы предотвратить атаку? Каковы варианты реагирования? Каковы рациональные варианты реагирования и какой из них

оптимальный? Сколько вычислительных ресурсов (памяти, пропускной способности и

др.) будет потеряно из-за атаки?По прежнему ли выполняется (или частично) данная бизнес цель /

PHD’2015, 26-27 мая 2015 г.

По прежнему ли выполняется (или частично) данная бизнес-цель / задача / операция?

Метрики принятия решений (выбора контрмеры)контрмеры)

УТекущий

Узлыначала атаки Узлы –

узел

цели атаки

PHD’2015, 26-27 мая 2015 г.

SIEMSIEM--системысистемы

Security information and event management (SIEM) system –система управления информацией и событиями безопасности (система мониторинга и управления инцидентами безопасности).

Основная цель SIEM – повышение ИБ за счет обеспечения возможности в режиме, близком к реальному времени, манипулировать информацией о безопасности иманипулировать информацией о безопасности и осуществлять проактивное управление инцидентами исобытиями безопасностисобытиями безопасности

«Проактивный» означает «действующий до того, как ситуация станет критической». Предполагается, что проактивноеуправление инцидентами и событиями безопасностиосновывается на автоматических механизмах, использующих информацию об «истории» анализируемых сетевых событий иинформацию об «истории» анализируемых сетевых событий и прогнозе будущих событий, а также на автоматической подстройке параметров мониторинга событий к текущему

й

PHD’2015, 26-27 мая 2015 г.

состоянию защищаемой системы

Расширенный список задач, Расширенный список задач, решаемыхрешаемых SIEMSIEM--системойсистемойрешаемых решаемых SIEMSIEM системойсистемой

сбор, обработка и анализ событий безопасности, поступающих в систему из множества гетерогенных источников;

обнаружение в реальном времени атак и нарушений критериев и политик безопасности;

оперативная оценка защищенности информационных, телекоммуникационных и других критически важных ресурсов;

анализ и управление рисками информационной безопасности; проведение расследований инцидентов; обнаружение расхождения критически важных ресурсов и

бизнес–процессов с внутренними политиками безопасности и приведение их в соответствие друг с другом;

принятие решений по защите информации; формирование отчетных документов.

PHD’2015, 26-27 мая 2015 г.

Архитектура типовой Архитектура типовой SIEMSIEM--системысистемы

«агенты» — «хранилище данных» —«сервер приложений»«сервер приложений»

PHD’2015, 26-27 мая 2015 г.

Механизмы обработки информации Механизмы обработки информации вв SIEMSIEM--системесистемев в SIEMSIEM системесистеме

PHD’2015, 26-27 мая 2015 г.

Сравнение Сравнение SIEMSIEM--решений (1решений (1//2)2)рр р (р ( ))

PHD’2015, 26-27 мая 2015 г.(Gartner, 2012)

Сравнение Сравнение SIEMSIEM--решений (2решений (2//2)2)рр р (р ( ))

PHD’2015, 26-27 мая 2015 г.(Gartner, 2014)

Обобщенная архитектура Обобщенная архитектура SIEMSIEM--системы системы

Ядро системы управления информацией и событиями безопасностиУровень

ик

Уровень событий Уровень приложенийУровень данныхПравила защитыШина данных Анализ событий

Уровень сети

Сборщ

и

ПравилакорреляцииСобытия

Сырые данные

Скоррелированныесобытия

безопасности

ХранилищеРассылка командкоманд

Контрмеры Оценивание защищенности ВизуализацияВыбор

контрмер

PHD’2015, 26-27 мая 2015 г.

контрмер

MASSIF, 2013

Основные причины использования моделей атак и контрмермоделей атак и контрмер

• Вычисление возможных последовательностей (трасс) атак иВычисление возможных последовательностей (трасс) атак, и упреждающее определение целей безопасности, которые с наибольшей вероятностью станут мишенью для нарушителя р у ру

• Корреляция последовательностей событий безопасности, т.к. они относятся к определенным действиям в рамках модели атак

• Определение метрик защищенности • Определение соответствующих наборов контрмер, т.е.

действий, предпринимаемых системой, чтобы разрушить непрерывную последовательность действий атакующего

• Динамическое вычисление воздействия атак и контрмер на защищаемую систему: атак - когда они нарушают политику безопасности, и контрмер - когда они изменяют конфигурацию системы

PHD’2015, 26-27 мая 2015 г.

конфигурацию системы

Базовые работы по моделированию атак и контрмер (1/2)атак и контрмер (1/2)

Проверка на модели (C.Ramakrishnan и R.Sekar, R.Ritchey иПроверка на модели (C.Ramakrishnan и R.Sekar, R.Ritchey и P.Ammann, O.Sheyner, S.Jha и J.Wing – SMV, NuSMV, SPIN).Требуют определить гипотезу (состояние системы),

й d l h kiнарушение которой проверяется методом model checking Экспертные системы (M.Danforth – Java Expert System

Shell) Правила задают выполнение атакующих действийShell). Правила задают выполнение атакующих действий, факты – состояния системы. Атаки определяются в виде предусловия/постусловияр ду у

Логический подход (X.Ou, W.Boyer, M.McQueen – Dataloglanguage). Граф состоит из вершин вывода и вершин фактов. Модель сети – множество высказываний Datalog, атаки –правила DatalogГ ф Н C Phili L S il ф Графы атак. Например C.Philips и L.Swiler строят граф: вершины – состояния системы, дуги – переходы [Ortalo et al., 1999; Ritchey&Ammann, 2000; Sheyner et al., 2002; Rieke, 2004;

PHD’2015, 26-27 мая 2015 г.

1999; Ritchey&Ammann, 2000; Sheyner et al., 2002; Rieke, 2004; Noel&Jajodia, 2005; Lippmann&Ingols, 2006; …]

Базовые работы по моделированию атак и контрмер (2/2)

П й й

атак и контрмер (2/2)

• Представление сценариев атак и моделей нарушителей[Schneier, 1999; Dawkins et al., 2002; Shepard et al., 2005; …]С ф ф й• Спецификация платформ, уязвимостей, оценок уязвимостей, атак, слабостей и конфигураций [NVD; OSVDB; CVE; CVSS; CPE; CCE; CWE; CAPEC; ]OSVDB; CVE; CVSS; CPE; CCE; CWE; CAPEC; … ]

• Метрики защищенности [Mell et al., 2007; Jaquith, 2007; Herrmann 2007; Jansen 2009; ]Herrmann, 2007; Jansen, 2009; …]

• Комбинирование графов зависимостей сервисов и ф [Kh i t l 2009 Kh i t l 2010 ]графов атак [Kheir et al., 2009; Kheir et al., 2010; …]

• Представление атак нулевого дня [Ingols et al., 2009; W t l 2010 ]Wang et al., 2010; …]

• Моделирование контрмер [Kheir et al., 2010; Grenadillo et l 2012 ]

PHD’2015, 26-27 мая 2015 г.

al., 2012; …]

Классы метрик и релевантные работы (1Классы метрик и релевантные работы (1/3/3))

1. 1. Топологические метрики Топологические метрики [[Mayer, 2007; Mell et al., 2007; CIS, 2009]]Метрики характеризующие хосты и их связностьМетрики характеризующие хосты и их связность::-- Метрики, характеризующие хосты и их связностьМетрики, характеризующие хосты и их связность::-- Незащищенность, Незащищенность, -- Критичность хоста (ценность для бизнеса), Критичность хоста (ценность для бизнеса), -- Риск,Риск,-- Нисходящий риск. Нисходящий риск.

-- Топологические характеристики с точки зрения приложенийТопологические характеристики с точки зрения приложений::Топологические характеристики с точки зрения приложенийТопологические характеристики с точки зрения приложений::-- Количество приложений, Количество приложений, -- Процент критичных приложений.Процент критичных приложений.Т ф бТ ф б-- Топологические характеристики, учитывающие информацию об Топологические характеристики, учитывающие информацию об уязвимостяхуязвимостях::-- Процент систем без известных критичных уязвимостей, Процент систем без известных критичных уязвимостей, -- Среднее время на устранение уязвимости, Среднее время на устранение уязвимости, -- Количество известных уязвимостей. Количество известных уязвимостей. -- Топологические характеристики учитывающие информацию обТопологические характеристики учитывающие информацию об-- Топологические характеристики, учитывающие информацию об Топологические характеристики, учитывающие информацию об атакахатаках::-- Критичность уязвимости иКритичность уязвимости и Сложность доступа к уязвимости, Сложность доступа к уязвимости, позволяющие вычислить Вероятность атакипозволяющие вычислить Вероятность атаки

PHD’2015, 26-27 мая 2015 г.

позволяющие вычислить Вероятность атаки.позволяющие вычислить Вероятность атаки.


2. 2. Метрики нарушителяМетрики нарушителя[Kanoun et al 2008; Dantu et al 2009; Olsson 2009]:[Kanoun et al., 2008; Dantu et al., 2009; Olsson, 2009]: Уровень навыков нарушителя (Attacker Skill Level), определяемый на основе вероятностей и исторических данных (статический подход) и (или) на основе б й ( й )событий, происходящих в системе (динамический подход).

[Wheeler& Larson, 2003; Hunker et al., 2008; Blakely, 2012]: атрибуты нарушителя (Attack attribution) - имя, инструменты, р у ру ( ) , ру ,географическое положение, мотивы.

3. 3. Метрики атак и контрмерМетрики атак и контрмер[K t l 2009 St kh t l 2007 W t l 2007 Kh i t l 2010][Kanoun et al.,2009; Stakhanova et al.,2007; Wu et al.,2007; Kheir et al.,2010]: Потенциал атаки (Attack potentiality) показывает, как близко находится нарушитель к своей цели.Влияние (ущерб от) атаки (Attack impact) – может быть определен для каждого узла на графе атак статически или динамически на основе зависимостей сервисов.р[Toth&Kruegel, 2002; Balepin et al., 2003; Jahnke, 2009; Kheir, 2010; Kheir et al., 2010; Kheir&Viinikka, 2011; D4.3.1, 2011]: метрики связанные с контрмерами - Эффективность реагирования или

PHD’2015, 26-27 мая 2015 г.

метрики, связанные с контрмерами - Эффективность реагирования или Выигрыш при реагировании, Побочные потери при реагировании.


4.4. Интегральные метрики (Интегральные метрики (метрикиметрики уровня системы)уровня системы)[Howard et al., 2003; Manadhata&Wing, 2004; Manadhata et al., 2007; Manadhata&Wing, 2010]: Поверхность атаки (Attack Surface) определяется на основе отношения потенциала разрушений к затратам.р р ру р[Kotenko&Stepashkin, 2006-1; Dantu et al., 2009; Poolsappasit et al., 2012]: Уровень риска (Risk Level).

55 АА [H 2000 Kh i t l 20105. 5. Анализ стоимостиАнализ стоимости--выигрышавыигрыша [Hoo, 2000; Kheir et al., 2010; AlienVault, 2011; D5.2.1, 2012]Общий выигрыш и Ожидаемые годовые потери (Annual Loss Expectancy), щ р р ( p y),Возврат инвестиций от реагирования на атаку (Return-On-Response-Investment (RORI) index).

66 Анализ уязвимостей нулевого дняАнализ уязвимостей нулевого дня [Ahmed et al 2008; Ingols et al6. 6. Анализ уязвимостей нулевого дня Анализ уязвимостей нулевого дня [Ahmed et al., 2008; Ingols et al., 2009; Wang et al., 2010]Вероятностная мера уязвимости (Probabilistic Vulnerability Measure), показывающая насколько вероятно возникновение уязвимости нулевого дня за определенный период времени.k-безопасность нулевого дня (k-zero day safety) - показатель,

PHD’2015, 26-27 мая 2015 г.

определяющий устойчивость сети к уязвимостям нулевого дня.

PHD’2015, 26-27 мая 2015 г.

[Robert A. Martin. Securing the Cyber Ecosystem. 2011]

Взаимосвязь протоколов управления Взаимосвязь протоколов управления безопасностью и местобезопасностью и место SCAPSCAPбезопасностью и место безопасностью и место SCAPSCAP

PHD’2015, 26-27 мая 2015 г.

Компоненты Компоненты SCAP SCAP ((Security Content Automation ProtocolSecurity Content Automation Protocol))((Security Content Automation ProtocolSecurity Content Automation Protocol))

Common Vulnerabilities and Exposures (CVE)p ( ) База данных об уязвимостях безопасности

Common Configuration Enumeration (CCE)g ( ) База данных уязвимых конфигураций ПО

Common Platform Enumeration (CPE) Common Platform Enumeration (CPE) Стандартная номенклатура и база имен продуктов

eXtensible Checklist Configuration Description Format eXtensible Checklist Configuration Description Format (XCCDF) Стандарт по XML-спецификации контрольных листовд р ц ф ц р

Open Vulnerability Assessment Language (OVAL) Стандарт по XML-спецификации для контроля состояний д р ц ф ц д рпроцессов

Common Vulnerability Scoring System (CVSS)

PHD’2015, 26-27 мая 2015 г. Стандарт оценки влияния уязвимостей

Другие протоколыДругие протоколы

Threat Analysis Automation Protocol (TAAP) Для документирования и совместного использования структурной Для документирования и совместного использования структурной

информации об угрозах. Malware Attribute Enumeration & Characterization (MAEC), Common Attack Pattern Enumeration & Classification (CAPEC), Common Platform Enumeration (CPE), Common Weakness Enumeration (CWE) O V l bilit d A t L (OVAL) C(CWE), Open Vulnerability and Assessment Language (OVAL), Common Configuration Enumeration (CCE) и Common Vulnerabilities and Exposures (CVE).

Event Management Automation Protocol (EMAP) Event Management Automation Protocol (EMAP) Для отчетов о событиях безопасности. Common Event Expression (CEE),

Malware Attribute Enumeration & Characterization (MAEC), и Common Attack Pattern Enumeration & Classification (CAPEC)Pattern Enumeration & Classification (CAPEC).

Incident Tracking and Assessment Protocol (ITAP) Для отслеживания, документирования, управления и совместного

использования информации об инцидентах Open Vulnerability andиспользования информации об инцидентах. Open Vulnerability and Assessment Language (OVAL), Common Platform Enumeration (CPE), Common Configuration Enumeration (CCE), Common Vulnerabilities and Exposures (CVE), Common Vulnerability Scoring System (CVSS), Malware Attribute E ti & Ch t i ti (MAEC) C Att k P tt E tiEnumeration & Characterization (MAEC), Common Attack Pattern Enumeration & Classification (CAPEC), Common Weakness Enumeration (CWE), Common Event Expression (CEE), Incident Object Description Exchange Format (IODEF), National Information Exchange Model (NIEM) и Cybersecurity Information

PHD’2015, 26-27 мая 2015 г.

National Information Exchange Model (NIEM) и Cybersecurity Information Exchange Format (CYBEX).

Перечень стандартов и стандарты, Перечень стандартов и стандарты, используемыеиспользуемые SCAP (1/2)SCAP (1/2)используемые используемые SCAP (1/2)SCAP (1/2)

PHD’2015, 26-27 мая 2015 г.

Перечень стандартов и стандарты, Перечень стандартов и стандарты, используемыеиспользуемые SCAP (1/2)SCAP (1/2)используемые используемые SCAP (1/2)SCAP (1/2)

PHD’2015, 26-27 мая 2015 г.

ARF - Advanced Recording Format

Метрики Метрики CVSS (Common Vulnerability CVSS (Common Vulnerability Security Scoring)Security Scoring)Security Scoring)Security Scoring)

(Base Metrics)(Temporal Metrics)

(Environmental Metrics)

(AccessVector)(ConfImpact) (Exploitability) (CollateralDamage) (ConfReq)

(AccessComplexity) (IntegImpact) (Remediation Level) (TargetDistribution) (IntegReq)

(Authentication ) (AvailImpact) (ReportConfidence) (AvailReq)

http://www.first.org/cvss/ CVSS v.3. - March 15th, 2013

PHD’2015, 26-27 мая 2015 г.

Common Remediation Enumeration (CRE)Common Remediation Enumeration (CRE) ((1/21/2))

• Это перечисление где каждая запись определяет один набор• Это перечисление, где каждая запись определяет один набор действий, который можно принять в целях устранения уязвимостей, неверных настроек, или нарушения политики у , р р , рубезопасности

• Описания представляются в виде спецификаций, понятных оператору

• Поскольку любая уязвимость, настройка или нарушение может использоваться несколькими способами томожет использоваться несколькими способами, то существует множество связанных с ними записей CRE

• CRE описывает данные которые необходимы для поддержкиCRE описывает данные, которые необходимы для поддержки идентифицированных случаев технического использования

• CRE не предписывает формат базы данных, схему или улюбую другую модель представления

[Waltermire D Johnson C Kerr M Wojcik M & Wunder J Proposed Open Specifications for

PHD’2015, 26-27 мая 2015 г.

[Waltermire, D., Johnson, C., Kerr, M., Wojcik, M., & Wunder, J. Proposed Open Specifications for Enterprise Information Security Remediation – Draft (NIST Interagency Report 7670). NIST, 2011]

Extended Remediation Information (ERI)Extended Remediation Information (ERI)

• Это словарь с дополнительными данными о каждой записи р д д дCRE.

• Примеры соответствующих данных могут включать: • ссылки на CPE, CVE и CCE; • предпосылки для контрмер;

рас ре е о са а о о реа за о р ер• расширенные описания шагов по реализации контрмер; • последующие действия как для успешных, так и

неудачных попыток применить контрмерынеудачных попыток применить контрмеры. • ERI не предписывает формат базы данных, схему или

любую другую модель представления, а просто определяет у дру у д р д , р р ддополнительные данные, которые могут потребоваться для поддержки выявленных примеров применения, не

[Johnson C Enterprise Remediation Automation NIST Proceedings of the IT Security

входящих в базовые записи CRE.

PHD’2015, 26-27 мая 2015 г.

[Johnson C. Enterprise Remediation Automation. NIST, Proceedings of the IT Security Automation Conference, 2010]

Remediation Manager StandardsRemediation Manager Standards--Based Based ProcessingProcessingProcessingProcessing

[J ff D t St d d B d A t t d R di ti A R di ti M

PHD’2015, 26-27 мая 2015 г.

[Jeff Davenport. Standards-Based Automated Remediation. A Remediation Manager Reference Implementation. 2011]

Примеры общих метрик (1Примеры общих метрик (1//6) 6)

Поверхность Атаки (ATS) - определяет процент узлов целевой системы/подсистемы уязвимых к определенному типу атак:системы/подсистемы, уязвимых к определенному типу атак:

,Vnodes

ATSTot nodes

где Vnodes - число узлов, уязвимых к определенному типу атак, Tot nodes - число всех узлов целевой системы/подсистемы.

_Tot nodes

Tot_nodes число всех узлов целевой системы/подсистемы.

Взвешенная поверхность атаки (BATS) - не все уязвимые узлы системы одинаково “достижимы” каждым типом атак. Например, если атака, нуждается в сетевом соединении, но целевой узел не соединен, влияние будет минимальным:влияние будет минимальным:

1 ,n k

k knR Vnodes

BATSTot nodes

где k обозначает кластеры уязвимых узлов, умеющих одинаковый индекс “достижимости” (Rk). Rk ϵ [0,1].

_

PHD’2015, 26-27 мая 2015 г.

[NIST, 1983; Swanson M. et al., 2003; Masera M., Fovino I., 2010; ...]

Примеры общих метрик (Примеры общих метрик (2/2/6) 6)

Глубина Атаки (ATD) - когда узел успешно атакован, эффект от атаки обычно распространяется на другие узлы Учитывая процент узлов наобычно распространяется на другие узлы. Учитывая процент узлов, на которые может косвенно повлиять успешная атака на определенном узле, этот показатель указывает как глубоко атака влияет на систему:

I t d d б

_,

_Impacted nodes

ATDTot nodes

где Imacted_nodes - узлы, которые могут быть поражены при атаке.

Взвешенная глубина атаки (BATD) - не все пораженные узлы имеют одинаковую значимость для системы. Поэтому необходима уточненная версия показателя ATD, чтобы учесть этот аспект:

n k 1_

,_

n kk kn

Rel Impacted nodesBATD

Tot nodes

где k обозначает кластеры пораженных узлов, имеющих одинаковый показатель “значимость” (Relk). Relk ϵ [0,1].

PHD’2015, 26-27 мая 2015 г.


Уровень иммунитета системы (SIL):SIL=1-ATSSIL=1-ATS .

Он позволяет измерить уровень защиты системы против заданной прямой целевой атаки.С (AES) бСкорость распространения атаки (AES) - чем быстрее атака приводит систему к наиболее критичному состоянию, тем более сложно будет вовремя отреагировать и остановить распространение атаки:уд р р р р р р

∆T

_,

Impacted nodesAES

T

где ∆T – время, прошедшее между началом атаки и достижением наихудшего критического состояния, обусловленного влиянием атаки.Скорость распространения атаки на корневые узлы (CNATES) -Скорость распространения атаки на корневые узлы (CNATES)так как не все узлы имеют одинаковый уровень значимости, можно измерить скорость атаки, когда поражаются корневые узлы системы:

C N d i t d

_ _ ,Core Nodes impactedCNATEST

PHD’2015, 26-27 мая 2015 г.

где Core_Nodes_impacted - корневые узлы системы.

Примеры общих метрик (Примеры общих метрик (4/4/6) 6)

Влияние на незапланированное время простоя узла (NUDI) –измеряется в денежных единицах определяет экономический ущерб отизмеряется в денежных единицах, определяет экономический ущерб от времени простоя атакованного узла.Суммарное влияние на время простоя узла (TUDI):Су ар ое вли ие а вре рос о узла ( U )

где i обозначает узлы которые в результате атаки прекращают1

,i nii

TUDI NUDI

где i обозначает узлы, которые в результате атаки прекращают выполнять необходимый сервис.Время реакции на атаку (SRT) - время, которое требовалось для б йобнаружения атаки и выполнения процедуры минимизации воздействия, измеряемое от момента обнаружения первых симптомов атаки и до того, как процесс атаки взят под контроль.р ц д рСреднее время восстановления узла (NMTR) - измеряется с момента потери узлом способности запускать его сервисы, и до того как узел возвращается в приемлемое состояние.Среднее время восстановления системы (SMTR) - измеряется с момента потери системой возможности запускать ее сервисы и до

PHD’2015, 26-27 мая 2015 г.

момента потери системой возможности запускать ее сервисы и до момента возвращения в рабочее состояние.


Плотность уязвимостей (VD):n vuln

где n vuln - число уязвимостей в системе

_ ,_

n vulnVDTot nodes

где n_vuln число уязвимостей в системе.

Взвешенная плотность уязвимостей (WVD) - в формулу для VD могут быть вставлены веса чтобы учесть значимость уязвимостейГодовое ожидание потерь (ALE) - денежные потери, которые могут ожидаться для актива, в соответствии с риском возможных потерь от

могут быть вставлены веса, чтобы учесть значимость уязвимостей.

ожидаться для актива, в соответствии с риском возможных потерь от реализации атак в течение одного года:

ALE= SLE · ARO ,SLE ( бгде SLE – одиночные ожидаемые потери (эта величина может быть

вычислена как TUDI + стоимость восстановления), ARO – годовая плотность инцидентов, т.е. число успешных атак за один год, безплотность инцидентов, т.е. число успешных атак за один год, без реализации определенных защитных мер.

PHD’2015, 26-27 мая 2015 г.


Установленный бизнес риск (BAR) служит для классификацииУстановленный бизнес риск (BAR) - служит для классификации уязвимостей по типу, степени риска и потенциальному влиянию на выполнение целевых задач. При оценке системы, ее подсистемы или ротдельного узла, для каждой уязвимости безопасности, оценка BARвычисляется так:

BAR=Business_impact × risk_of_exploit;

где Business_impact и risk_of_exploit определены на пространстве целых чисел [1-5]. Business_impact - потери в случае использования дефекта (5 обозначает дефект который вызовет наибольшие финансовые(5 обозначает дефект, который вызовет наибольшие финансовые потери); risk_of_exploit показывает, насколько просто атакующий может использовать данный дефект (5 обозначает высокий риск).ф ( р )

PHD’2015, 26-27 мая 2015 г.

Примеры показателей, Примеры показателей, характеризующих хосты и их связностьхарактеризующих хосты и их связностьхарактеризующих хосты и их связностьхарактеризующих хосты и их связность

Последующие хостыИ

у

хост F)

Источникатаки

(хост F) Хост X

“Незащищенность”(“E ”)(“Exposure”)

• достижимость хоста• простота эксплуатацииуязвимостей Уязвимости Сервисыуязвимостей Сервисы

“Ценность для бизнеса” (“Business V l ”)Value”)

•ущерб для бизнеса от потери хостаНисходящий риск (“Downstream Risk”)

“Риск” (“Risk”)• Exposure X Business Value

)• кумулятивный риск для всеххостов, атакуемых с данного хоста

PHD’2015, 26-27 мая 2015 г.[[Mayer, 2007]

Показатель Показатель ““НезащищенностьНезащищенность”” (“Exposure”)(“Exposure”)

• представляется числом от 0 до 1• измеряет вероятность, что некоторый хост X будет атакован

со стороны хоста F с учетом:– дистанции между X и F– количества уязвимостей на хосте– сложности эксплуатации уязвимостей на хосте (с учетом

CVSS)– сложности эксплуатации уязвимости на других хостах, которые предшествуют X на пути от F

PHD’2015, 26-27 мая 2015 г.

Показатель Показатель ““НезащищенностьНезащищенность”” (“Exposure”)(“Exposure”)

Определить показатели временной оценки CVSS для каждой уязвимостиуязвимости

Используя путь от хоста F к хосту X Для каждого хоста предшественника Ai выполнить: Для каждого хоста предшественника Ai выполнить:

Определить уязвимости хоста X, доступные с хоста Ai Сгруппировать уязвимости по сервисам (например, всеру р у р ( р р,

smtp-уязвимости, все http-уязвимости и т.п.) Для каждого сервиса найти уязвимость, имеющую

б й CVSSнаибольшее значение временной оценки CVSS Определить, какие сервисы содержат наибольшие значения

временной оценки CVSS, и сохранить верхние три значениявременной оценки CVSS, и сохранить верхние три значения(только одно для различных сервисов). Если существует менее трех значений, использовать столько, сколько естьВ E Выполнить расчеты по учету предыдущих оценок Exposureпри переходе от хоста Ai к хосту X

Вычислить: Exposure(X) MAXi (Exposure(Ai) * Exposure(Ai X));

PHD’2015, 26-27 мая 2015 г.

Вычислить: Exposure(X) MAXi (Exposure(Ai) Exposure(Ai, X)); [[Mayer, 2007]

Уровень навыков нарушителя Уровень навыков нарушителя ((AttackerAttacker SkillSkill LevelLevel ASLASL))((AttackerAttacker SkillSkill LevelLevel, ASL, ASL))

• ASL – это значимый индикатор возможности нарушителя по выполнению р руопределенных сценариев реализации атаки и достижения его целей.

• Оценка ASL возможна на основе отслеживания доступных сообщений и предупреждений об отдельных шагах реализации атаки и включаетпредупреждений об отдельных шагах реализации атаки и включает отслеживание действий нарушителя по графу атак.

• Упрощенный подход к оценке ASL - назначение уровня сложности р щ д д ц уркаждому элементарному шагу атаки. • Когда некоторое предупреждение соответствует определенной атаке,

ASL божидаемому ASL нарушителя может быть присвоено заданное связанное значение сложности.

• Этот подход не учитывает различные факторы риска например то чтоЭтот подход не учитывает различные факторы риска, например то, что нарушитель мог реализовать шаг атаки случайно.

• Более развитый подход - назначение уровней сложности определенным последовательностям атак, являющимся комбинациями элементарных атакующих действий. • Это требует способности обнаруживать соответствие нескольким

PHD’2015, 26-27 мая 2015 г.

• Это требует способности обнаруживать соответствие нескольким условиям, но приведет к снижению влияния различных факторов риска.


УТекущий

Узлыначала атаки Узлы –

узел

цели атаки

PHD’2015, 26-27 мая 2015 г.

Влияние (ущерб от) атаки Влияние (ущерб от) атаки ((AttackAttack impactimpact AIAI)) (1/2)(1/2)((AttackAttack impactimpact, AI, AI)) (1/2)(1/2)

• Статический подход:Статический подход:• AI статически устанавливается как атрибут каждого

элементарного узла в графе атак. • Влияние на систему в случае успеха атаки соответствует

агрегации статических показателей влияния, назначенных каждому успешному узлу графа атакуспешному узлу графа атак.

• Это неявно означает, что влияние атаки одинаково, независимо от текущей конфигурации системы.

• В то же время, влияние атаки является динамическим показателем, который должен модифицироваться вследствие изменения конфигурации целевой системыконфигурации целевой системы.

• Использование существующих графов атак, без возможности дальнейшего расширения, требует ручного обновления этих д р р , р у рувлияний.

• Этот подход доказал свою жизнеспособность только для небольших б й

PHD’2015, 26-27 мая 2015 г.

систем, где ручное обновление показателей влияния выполнимо.

Влияние (ущерб от) атаки Влияние (ущерб от) атаки ((AttackAttack impactimpact AIAI)) (2/2)(2/2)((AttackAttack impactimpact, AI, AI)) (2/2)(2/2)

• Динамический подход на основе моделей зависимостей Д д д дсервисов:• Графы атак позволяют отслеживать последовательность

й йатакующих действий, пока нарушитель продвигается дальше в целевой системе.

• Модели зависимостей сервисов позволяют отслеживать• Модели зависимостей сервисов позволяют отслеживать развитие влияний атаки, в то время как нарушитель получает все больше привилегий.

• Когда нарушитель реализует атаки, он приобретает дополнительные отношения доверия и функциональные

йотношения, выражаемые в модели зависимостей сервисов, и, таким образом, увеличивает влияние на систему.

• Изменение конфигурации сервисов ведет к изменению• Изменение конфигурации сервисов ведет к изменению реализованных отношений, которые могут иметь прямое воздействие на показатели влияния атаки.

PHD’2015, 26-27 мая 2015 г.

Эффективность реагирования Эффективность реагирования ((RResponseesponse EEfficiencyfficiency RE)RE)((RResponseesponse EEfficiencyfficiency, RE), RE)

• RE измеряет возможность механизмов защиты снизить влияние атаки. В• В существующих моделях атак каждому элементарному атакующему действию назначается набор возможных контрмер. Выбор контрмер неявно подразумевает, что влияние атаки устранено.др у , у р

• Это сильное ограничение, так как контрмеры в ряде случаев только частично противодействуют влиянию атаки. Эффективность реагирования

й ф Дтакже зависит от текущей конфигурации сервисов. Другими словами, контрмера не всегда имеет ту же эффективность для различных конфигураций системы.ф ур

• Комбинирование использования графов атак и графов зависимостей сервисов позволяет динамически оценивать эффективность реагирования. Контрмера может моделироваться как преобразование моделиКонтрмера может моделироваться как преобразование модели зависимостей сервисов, которое модифицирует конфигурацию некоторого сервиса.

• Эффективность контрмер оценивается посредством сравнения влияния атаки без реализации механизмов реагирования с влиянием атаки, когда реализованы контрмеры

PHD’2015, 26-27 мая 2015 г.

реализованы контрмеры.

,

Метрики принятия решений (выбора контрмеры)

Возврат инвестиций в реагирование (Return On Response Investment RORI):

контрмеры)

( )RG CD OCRORICD OC

(Return-On-Response-Investment, RORI):

CD OCгде RG - эффективность реагирования, RG = ICb – Ica, ICb - ожидаемый ущерб от атаки при отсутствии контмер, ICa - ожидаемый ущерб от атаки приущерб от атаки при отсутствии контмер, ICa ожидаемый ущерб от атаки при реализации контмеры, CD - побочные потери при реагировании, OC - затраты на контрмеры.

[Kheir N., 2010]( ) 100ALE RM ARCRORI

ARC AIV

Enhanced RORI:[ ]

где ALE - ожидаемые годовые потери (соответствует последствиям негативного события в случае отсутствия контрмер), которые зависят от критичности и вероятности реализации атаки; RM уровень снижения риска вкритичности и вероятности реализации атаки; RM – уровень снижения риска в случае реализации контрмеры; ARC = CD + OC – ожидаемые годовые затраты на реализацию контрмеры; AIV – годовые затраты на инфраструктуру ( б ) й

PHD’2015, 26-27 мая 2015 г.

(оборудование, поддержка), в случае реализации защитной меры.[Grenadillo et al., 2012]





Анализ защищенности и выработка контрмер на основе метрик безопасностир р р





Особенности предлагаемых решений (1Особенности предлагаемых решений (1/2/2))

– Использование репозитория безопасности (содержащего р р ( д р щданные о конфигурации системы, моделях нарушителя, уязвимостях, атаках, оценках, контрмерах и др.)Эфф ф– Эффективные методики генерации графов атак и зависимостей сервисов, базирующиеся на методиках топологического анализа уязвимостей (TVA) которыетопологического анализа уязвимостей (TVA), которые формируют потенциальные последовательности использования уязвимостей для построения графов атак

– Учет как известных, так и новых атак, основанных на уязвимостях 0-го дняП ti б б– Применение anytime-алгоритмов для обеспечения близкого к реальному времени генерации подграфов атак и процедур анализа защищенности (anytime-алгоритм - итерационный а ал за защ ще ос (a yt e ал ор ерац овычислительный алгоритм, который способен выдать наилучшее на данный момент решение)

PHD’2015, 26-27 мая 2015 г. 49

Особенности предлагаемых решений (Особенности предлагаемых решений (2/22/2))

– Комбинированное использование графов атак и графов р р ф р фзависимостей сервисов

– Вычисление комплекса разнообразных показателей защищенности, включая следующие показатели:

– уровень защищенности, й– уровень воздействия и потенциал атаки,

– уровень навыков нарушителя, эффективность контрмер– эффективность контрмер,

– степень побочных потерь при реализации контрмер и др.Стохастическое аналитическое моделирование и интерактивная– Стохастическое аналитическое моделирование и интерактивная поддержка принятия решений для выбора предпочтительных решений по безопасности на основе определения предпочтений относительно различных типов целей и требований (рисков, стоимости, выигрыша) и установления компромиссов между высокоуровневыми целями защиты информации

PHD’2015, 26-27 мая 2015 г. 50

высокоуровневыми целями защиты информации

Общий подход к анализу защищенности Общий подход к анализу защищенности и выработке контрмери выработке контрмери выработке контрмери выработке контрмер

Модуль хранения Генерация Анализ Поддержка

С

Источники из Интернета Уязвимости

нулевого дня

данных графа атак графов атак

Генерация

принятия решений

Спецификация

Стохастическое моделирование(CVE, CWE,

CAPEC, CRE, CVSS и др.)

нулевого дня, известные уязвимости

р цвозможных контрмер

Спецификация системы

Хосты (CPE), политики

безопасности,

Показатели защищенностиВозможные

последствия атак

Топологический анализ

уязвимостейВыбор контрмер,

сетевая топология

Оператор

последствия атак, эффективность

контрмер

уязвимостей

р рТребования к безопасности,

модель нарушителя

Слабые места сети

Зависимости сервисов

Формирование отчета

ру

О

PHD’2015, 26-27 мая 2015 г.

Оценка контрмер

Этапы функционированияЭтапы функционирования

Этап разработки и ввода в эксплуатацию (не real-time) Определение слабых мест в сети Формирование базовых графов атак Расчет метрик безопасности защищаемой сети Формирование списка наиболее опасных уязвимостей нулевого дня

Этап эксплуатации (near real-time) Обновление хранимых графов атак для соответствия изменениям, происходящим в сети

Оценка возможных мер по увеличению уровня защиты Предсказание действий нарушителя Обратный анализ действий нарушителя

PHD’2015, 26-27 мая 2015 г.

Режимы работыРежимы работы

Модель сети Расчет базовых Знания оператораНе real-time режим

СпецификацияМодель сети

метрик

Интернет

Д ые

ки

Уязвимости

Внешниебазы

Деревья атак

Базов

ыметри

к

События в реальном Режим anytime

Обновленные деревья атак Расчет метрик

защищенности

рвремени Деревья атак

События в реальном времени

Режим near real-time

Определение

PHD’2015, 26-27 мая 2015 г.

времени Определение сценариев атак Рекомендации

Основные потоки данныхОсновные потоки данныхВыходные данныеВходные данные

Интернет

Уязвимости (CVE)Графы атак

Оценки уязвимостей (CVSS)

Выходные данныеВходные данные

Слабые места (CWE)

Шаблоны атак (CAPEC) Система анализа защищенности и

бИсправления (CRE)

Слабые местав сети

Данные из сети

выбора контрмер

р ( )

События безопасности (CEE)

Вычисленные показатели

защищенности и воздействия

б

Зависимости сервисов Выбранные контрмерыИзменения в

воздействия

Конфигурация сети

Платформы хостов (CPE)

Политики безопасности

Возможные атаки и контрмеры

соответствии с выбранными контрмерами

Конфигурация сети контрмеры

Требования б

Предопреде‐ленные

Выбранные модели злоумышленника Модели

безопасности данные

PHD’2015, 26-27 мая 2015 г.Пользователь

злоумышленника Модели злоумышленника

Основные процессыОсновные процессы

Слабые места (CWE)

Уязвимости (CVE)

Генерация уязвимостей

Оценивание уязвимостей(CVSS)

Система анализа защищенности и выбора контрмер

Политики безопасности

События безопасности(CEE)

Шаблоны атак (CAPEC)Генерация уязвимостей

нулевого дня

Выбор возможных атак

Платформы хостов (CPE)

Политики безопасности (права доступа) и

конфигурация (CCE)

Выбор возможных атак

Выполнение

Зависимости сервисов

Конфигурация сети

Выбранные модели нарушителя удаленных атак

Обнаруже‐ние связан‐ных хостов

Выполнение локальных р

Требования безопасности

Возможные контрмеры (CRE)

ных хостов

(Под)графы атакСлабые места в сети

атак

контрмеры (CRE)

Выбранные контрмеры

(Под)графы атак (система)

В б

Вычисленные метрики защищенности и воздействия

Входные и выходные данные

PHD’2015, 26-27 мая 2015 г.

Выбор контрмер

воздействияВыходные данные

Обобщенная архитектураОбобщенная архитектура

PHD’2015, 26-27 мая 2015 г.

Анализ событийАнализ событий

PHD’2015, 26-27 мая 2015 г.

Система показателей защищенности и входные данные для их расчетавходные данные для их расчета

PHD’2015, 26-27 мая 2015 г.

Система метрик защищенности и входные данные для их расчетавходные данные для их расчета

Level Input data Security metricsmain 0-day cost

Topological - System model (including - Host Vulnerability; - Host - Business Value;Topological System model (including service dependencies); - Information about system vulnerabilities/weak places (including indexes of CVSS)

Host Vulnerability; - Host Weakness;- Intrinsic Criticality;- Propagated Criticality; etc.

Host Vulnerability to 0-Day attacks; etc.

Business Value; etc.

(including indexes of CVSS) Criticality; etc.Attack graph

- All information from the previous level; - Attack graphs

- Attack Potentiality;- Attack Impact; etc.

- Attack Potentiality Considering 0 D etc

- Monetary Attack Impact;- Response Cost; etc0-Days; etc. etc.

Attacker - All information from the previous level; - Attacker profile (skills, location in the system level of

- Attacker Skill Level; - Profiled Attack Potentiality; etc.

- Profiled Attack Potentiality C id i

- Profiled Monetary Attack Impact;

P fil dlocation in the system, level of the privileges)

Considering 0-Days; etc.

- Profiled Response Cost; etc.

Events - All information from the previous level;

- Dynamic Attacker Skill L l

- Dynamic Att k

- Dynamic M t Att kprevious level;

- Security incidentsSkill Level;- Probabilistic Attacker Skill Level; - Dynamic Attack P t ti lit etc

Attack Potentiality Considering 0-Days; etc.

Monetary Attack Impact;- Dynamic Response Cost; etcPotentiality; etc. etc.

Decision support

- Metrics from the previous levels

- Countermeasure Effectiveness;- Collateral Damage

- Countermeasure Cost

Integral Metrics from the previous Risk Level; Security Level; Attack Annual Loss

PHD’2015, 26-27 мая 2015 г.

Integral (system)

- Metrics from the previous levels

- Risk Level;- Security Level; - Attack Surface; - Countermeasure Selection Index

- Annual Loss Expectancy

Методики вычисления показателей Методики вычисления показателей защищенностизащищенностизащищенностизащищенности

1. 1. Статическая методика (экспресс оценки уровня Статическая методика (экспресс оценки уровня ( р ур( р урзащищенности). защищенности). Определяется общий уровень защищенности системы на основе учета возможности реализации угроз и их последствий для системыреализации угроз и их последствий для системы.

22. . Статическая методика (на основе метрик топологического, Статическая методика (на основе метрик топологического, графа атак и (или) атакующего)графа атак и (или) атакующего)графа атак и (или) атакующего).графа атак и (или) атакующего).

3. Динамическая методика (учитывающая события 3. Динамическая методика (учитывающая события безопасности происходящие в системе)безопасности происходящие в системе) ОриентированаОриентированабезопасности, происходящие в системе). безопасности, происходящие в системе). Ориентирована Ориентирована на работу в реальном времени, когда текущее положение на работу в реальном времени, когда текущее положение атакующего и его перемещение в сети могут отслеживаться, атакующего и его перемещение в сети могут отслеживаться, но существуют жесткие ограничения на время вычислений.но существуют жесткие ограничения на время вычислений.

3. 3. Методика, основанная на анализе исторических данных.Методика, основанная на анализе исторических данных.При вычислении вероятности и потенциала атаки используются данные о предыдущих инцидентах.

PHD’2015, 26-27 мая 2015 г.

Метрики топологического уровня (1)

Уязвимость хоста Слабость хоста (Host Weakness)

(Host Vulnerability)

n

iik wScoreCWSSCriticalhWeakness

1)(__)(

k й k [1 ]hОпределяет серьезность – k-й хост системы, k [1..m],

CWSS оценка слабого

kh_ ( ),

_ ( ) 60.0_ _ ( ) ,

0,

i

ii

CWSS Score wif CWSS Score w

Critical CWSS Score wotherwise

)(wScoreCWSS

р д руязвимостей хоста

Нормализованная слабость хоста

( ) max _ ( )k i iVulnerability h Critical BaseScore v

– k-й хост системы, k [1..m], kh

– CWSS-оценка слабогоместа , i [1..n].

)(_ iwScoreCWSSiw

Нормализованная слабость хоста (Normalized Host Weakness)

– базовая оценка CVSS для

( ), ( ) 7.0_ ( ) ,

0,i i

i

BaseScore v if BaseScore vCritical BaseScore v

otherwise

( )iBaseScore v _ ( )n

iCWSS Score w

У 0 дНормализованная уязвимость хоста

уязвимости , i [1..n]. iv 1_ ( ) 100%max ( )

ik

k k

N Weakness hWeakness h

Уязвимость хоста к атакам 0-го дня (Host Vulnerability to Zero Day Attacks

Нормализованная уязвимость хоста (Normalized Host Vulnerability)

( )( ) 100%kVulnerability hN V l bilit h ( ) ( )Z Vulnerability h N Weakness h

PHD’2015, 26-27 мая 2015 г.

( )_ ( ) 100%max ( )

kk

k k

yN Vulnerability hVulnerability h

_ ( ) _ ( )k kZ Vulnerability h N Weakness h

Метрики топологического уровня (2)

Критичность хоста (Host Criticality)отражает бизнес значение хоста в сети (организации)Выделение различных приложений хоста

отражает бизнес-значение хоста в сети (организации).

Определение внутренней критичности каждого приложения согласно важности его конфиденциальности, целостности и доступности для системы (Cc, Ci, Ca)

Определение внешней критичности каждого приложения (на основе зависимостей) как произведения внутренней критичности приложения на весовую матрицу 2 1 12P Criticality W I Criticality весовую матрицу

Определение критичности хоста

2 1,_ 1_ _2__ _ap ap ap apP Criticality W I Criticality

max (c)Criticality max (c)max (i)max (a

_)

k k

k k

k k

CriticalityH Criticality Criticality

Criticality

( )k ky

(c) max(I (c),(1 I (a)) (c_ _ )_ )kCriticality Criticality Criticality P Criticality ( ) max(I ( ),(1 I_ _ (a)) (_ ))kCriticality i Criticality i Criticality P Criticality i

PHD’2015, 26-27 мая 2015 г.

( ) I ( ) ( ) I (a) ( )_ _ _ _kCriticality a Criticality a P Criticality a Criticality P Criticality a

Метрики уровня графа атак, атакующего и событий (1)и событий (1)

Ущерб от атаки (Attack Impact)отражает ущерб от компрометации хостаотражает ущерб от компрометации хоста

Определение Непосредственного ущерба (Native Impact) для каждого хоста из каждого атакующего действия на основе CVSS как тройки [Ic, Ii, Ia], где I I I ущерб конфиденциальности целостности и доступностигде Ic, Ii , Ia - ущерб конфиденциальности, целостности и доступности

Ущерб от атаки вычисляется перемножением Непосредственного ущерба и щ р р р д ущ рКритичности хоста

PHD’2015, 26-27 мая 2015 г.

Метрики уровня графа атак, атакующего и событий (2)

Потенциал (вероятность) атаки

и событий (2)ц ( р )

(Attack Potentiality (Probability))отражает вероятность успеха атаки

Опреде- Определение РасчетДля Вычисление

р р у

Определение вероятности начального

Определение вероятностей узлов графа атак на осно-

Расчет апостериорных вероятностей, если какое-то

Для каждого узла вы-числяются

Вычисление безусловных вероятностей для каждого узла Si на

узла графа атак (на базе

ве сложности доступа к соответствую

событие произошло :

локальные распреде-ления

д у iоснове локальных распределений вероятностей :

навыков атакующего)

щей уязви-мости (на базе CVSS)

вероят-ностей

Pr(A | B) Pr(B | A) Pr(A) / Pr(B)

1Pr( ,..., )nS S

1Pr( | Pa[ ]),n

i iiS S

P [ ]Sдля атакующих действий

- последова-тельность всех предков

Pa[ ]iS

iS

PHD’2015, 26-27 мая 2015 г.


• Предложена модель контрмер, сформированная на основе стандартов CRE и ERI.

• Модель включает определение характеристик, необходимых для б йприменения модели в методике выбора контрмер, значений

характеристик и их связей с методикой выбора контрмер. • Особенности статического и динамического режима принятия• Особенности статического и динамического режима принятия

решений привели к необходимости использовать в данной модели следующие поля: д ду щ• «режим работы системы» (может принимать значения

«статический»/«динамический»/«оба»); • «средство реализации» (средство, необходимое для

реализации защитной меры); область действия (может принимать значения элемент• «область действия» (может принимать значения «элемент графа атак»/«хост»/«подсеть»/«сеть»).

PHD’2015, 26-27 мая 2015 г.

Поля модели контрмер и примеры значенийПоле Группа полей Описание Пример

Название Описание меры Текстовое значение Запрет или перенаправление запросовзапросов

Описание Описание меры Текстовое значение Запрет или перенаправление url-запросов от подозри-тельных учетных записей

Уязвимость, против которой направлена защитная мера

Связь с графом атак

CVE CVE-2010-1870

Платформа или Связь с графом CPE или CCE cpe:/a:apache:struts:2.0.0конфигурация, для которой применима защитная мера

атак

Средство реализации Связь с методикой б

Текстовое значение, экспертное Межсетевой экранвыбора мер

Режим работы системы Связь с методикой выбора мер

Статический / динамический / оба

Динамический

Область действия Связь с методикой Элемент графа атак / хост / Элемент графа атаквыбора мер

р фподсеть / сеть

р ф

Влияние на граф атак Связь с графом атак

Удаление связи / добавление связи / удаление узла / добав-ление узла / изменение узла

Удаление связи

ление узла / изменение узлаВлияние на работу Показатель Вычисляется на основе графа

зависимостей сервисовCD=[0 0 0,5]

Эффективность (или Показатель Задается экспертно EF=[0,5 0,5 0,5]

PHD’2015, 26-27 мая 2015 г.

снижение риска)Стоимость Показатель Задается экспертно €500

Связь модели контрмер и графа атак

• В основе методики принятия решений лежит граф атак. Реализация контрмеры влияет на переходы состояний и, соответственно, изменяет граф атак (удаляя/добавляя узлы) и вероятности атак. Контрмера может повлиять на каждый из этих элементов тремя способами:может повлиять на каждый из этих элементов тремя способами: удаление, добавление, изменение (например, вероятности атак).

Пунктирные и сплошные стрелки показаны для выделения путей, соответствующих определеннымсоответствующих определенным контрмерам, например, открытие порта обуславливает добавление дуги, но не узла.

PHD’2015, 26-27 мая 2015 г.






Визуализация метрик Реализация и эксперименты



Представление политик безопасности

Матричное представление прав доступа к ресурсам [1]

Представление прав доступа к ресурсам в виде

[3]Представление прав

прав доступа к ресурсам [1] карты деревьев [3]доступа к ресурсам в виде графа [2]

[1] Reeder R. W., Bauer L., Cranor L. F., et al. Expandable grids for visualizing and authoring computer security policies. SIGCHI Conference on Human Factors in Computing Systems (CHI '08). ACM, New York, NY, USA, 2008.[2] Marouf S., Shehab M. SEGrapher: Visualization-based SELinux PolicyAnalysis. 4th Symposium on Configuration Analytics and Automation (SAFECONFIG), 2011.[3] H it A P l i B P th C T i R Eff ti Vi li ti f Fil S t A C t l 5th i t ti l

PHD’2015, 26-27 мая 2015 г.

[3] Heitzmann A., Palazzi B., Papamanthou C., Tamassia R. Effective Visualisation of File System Access-Control. 5th internationalworkshop on Visualisation for Computer Security (VizSec'08), LNCS, Vol.5210, Springer-Verlag, Berlin, Heidelberg, 2008.

Представление правил межсетевых экрановэкранов

PolicyViz [2] Визуализация в виде "солнечные лучи" (Sunburst) [1]

[1] Mansmann F., Göbel T., Cheswick W. Visual Analysis of Complex Firewall Configurations. VizSec'12, October 15, 2012, Seattle,WA, USA, 2012. [2] Tran T Al-Shaer E Boutaba R PolicyVis: Firewall Security Policy Visualisation and Inspection 21st Conference on Large

Визуализация в виде солнечные лучи (Sunburst) [1]

PHD’2015, 26-27 мая 2015 г.

[2] Tran T., Al-Shaer E., Boutaba R. PolicyVis: Firewall Security Policy Visualisation and Inspection. 21st Conference on Large Installation System Administration Conference (LISA’07), USENIX Association, Berkeley, CA, USA, 2007.

Представление уязвимостей и событий Представление уязвимостей и событий безопасностибезопасностибезопасностибезопасности

Nv Tool [1][ ]

IDS Rainstorm [2]

Спиральное представлениесобытий безопасности [3]

[1] Harrison, L., Spahn, R., Iannacone, M., Downing, E., Goodall, J.R.: NV: Nessus Vulnerability Visualisation for the Web. Proc. of the VizSec’12, October 15 2012, Seattle, WA, USA (2012)[2] Abdullah K., Lee C., et al. IDS Rainstorm: Visualizing ids alarms. IEEE Workshops on Visualization for Computer Security, 2005.

PHD’2015, 26-27 мая 2015 г.

[ ] , , g p p y,[3] Bertini E., Hertzog P., Lalanne D. SpiralView: Towards Security Policies Assessment through Visual Correlation of Network Resources with Evolution of Alarms. IEEE Symposium on Visual Analytics Science and Technology (VAST) 2007.

Спиральное представлениеСпиральное представление событий событий безопасностибезопасностибезопасностибезопасности

• Используется для мониторинга событий ббезопасности, регистрируемых различными датчиками безопасности

• В графической модели используется Д б kвременная шкала. Для обозначения k

суток или месяцев применяется шкала, состоящая из k окружностей разного

О 24радиуса. Окружности разделены на 24 части, обозначающие часы в сутках. Самые ранние события в виде точек располагаются на внутренней окружности, а самые поздние - на внешней.

• Цвет точки обозначает тип события, а размер точки - уровень его критичности.

• Для анализа событий реализованы механизмы фильтрации, масштабирования и выделения событий цветом в зависимости от заданных

PHD’2015, 26-27 мая 2015 г.

пользователем условий.

Визуализация графов атакВизуализация графов атак

Использование карт Использование матричного представления [3]

Использование карт деревьев [2]Использование графов [1]

[1] Noel S., Jacobs M., Kalapa P., Jajodia S. Multiple Coordinated Views for Network Attack Graphs. IEEE Workshops on Visualisation for Computer Security, IEEE Computer Society, 2005.[2] Williams L., Lippmann R., Ingols K. GARNET: A Graphical Attack Graph and Reachability Network Evaluation Tool. 5th International Workshop on Visualisation for Computer Security (VizSec'08), LNCS, Vol.5210, Springer-Verlag, 2008.[3] N l S J j di S U d t di C l N t k Att k G h th h Cl t d Adj M t i 21 t A l C t

PHD’2015, 26-27 мая 2015 г.

[3] Noel S., Jajodia S. Understanding Complex Network Attack Graphs through Clustered Adjacency Matrices. 21st Annual Computer Security Applications Conference (ACSAC’05). IEEE Computer Society, 2005.

OSSIM: карта рисковOSSIM: карта рисков

Карта рисков отображает информацию о состоянии риска (R), уязвимостей (V) и доступности (A) каждого сетевого объекта, расположенного на карте в виде светофоров

PHD’2015, 26-27 мая 2015 г.

расположенного на карте в виде светофоров

Метафора представления метрик защищенности [Erbacher 2012]защищенности [Erbacher, 2012]

Каждая метрика представляется с использованием циферблата,Каждая метрика представляется с использованием циферблата, и ее значение "усиливается" цветом, чтобы сделать боле быстрым восприятие. Наружное кольцо соответствует более позднему (текущему) значениюпозднему (текущему) значению

Набор метрик представляется с помощью множества различных циферблатов (cyber command gauge cluster ) для поддержки принятия контрмер и выполнения других задач защиты информации

PHD’2015, 26-27 мая 2015 г.

Модель оперативного индикатора доверия [Matuszak et al., 2013]доверия [Matuszak et al., 2013]

В одном индикаторе отображается три типа доверия В одном индикаторе отображается три типа доверия, цвет используется для задания значения доверия

Эти параметры представляются в виде части Эти параметры представляются в виде части наружного кольца круга. Круг в центре обозначает общее доверие рассчитываемое как взвешеннаяобщее доверие, рассчитываемое как взвешенная сумма других видов доверия

PHD’2015, 26-27 мая 2015 г.

Отчеты о защищенности в форме карт деревьевдеревьев

(a) критичность vs. уровень защищенности;(b) критичность vs. серьезность уязвимости

( ) (b)(a) (b)

Каждый прямоугольник отображает хост. Размер прямоугольника определяется критичностью хоста (business value). Цвет обозначает

PHD’2015, 26-27 мая 2015 г.

р д р ( ) Цсерьезности уязвимости на данном хосте или уровня защищенности.

Анализ достижимости атаки Анализ достижимости атаки на основе карт деревьевна основе карт деревьевна основе карт деревьевна основе карт деревьев

Размер вложенных прямоугольников соответствует уровню критичности, а цвет отражает состояние хоста (красный - хост достигаем

PHD’2015, 26-27 мая 2015 г.

а цвет отражает состояние хоста (красный хост достигаем нарушителем, зеленый - нарушитель не может получить доступ к хосту.

Предлагаемое представление метрик защищенностизащищенности

Для предоставления пользователям возможности анализировать несколько метрик предложена модельанализировать несколько метрик предложена модель визуализации (глиф) на основе кругов, способная отображать предыдущие значения метрик

Круг разделяется на n секторов, которые отображают значения n метрик. Внешние кольца представляют предыдущие значенияпредыдущие значения

Для отображения критичности значения используется цвет Модификация этой модели – от критичности значения метрики зависит радиус сектора

90909090

PHD’2015, 26-27 мая 2015 г.

Представление Представление хоста с хоста с использованием использованием глифаглифаглифаглифа

Схема кодирования цвета: Д• Для рациональных и интервальных параметров определено пять интервалов, обозначенных как {None, Low, Medium, Above Medium, High}. Эти значения кодируются с использованиемMedium, High}. Эти значения кодируются с использованием шкалы “желтый – красный”, за исключением значения None, которое обозначается с помощью зеленого цвета.

• Для кодирования уровня критичности хоста используется другая схема, так как эта метрика должна применяться для приоритезации действий аналитика и не предназначена дляприоритезации действий аналитика и не предназначена для оповещения о возможной опасности, как другие метрики.

PHD’2015, 26-27 мая 2015 г.

Глиф для отображения метрик RORIдля различных контрмердля различных контрмер

RORI (Return On Response Investment, Возврат й )инвестиций в реагирование) - учитывает стоимость

контрмеры, связанное с контрмерой снижение риска, ценность хоста для бизнеса и ожидаемые потери

C1 ‐ Ничего не делать (RORI = 0.0%).C2 ‐ Блокирование подозрительных

хоста для бизнеса и ожидаемые потери

р д ручетных записей (RORI = 400.36%).C3 ‐ Активация систем обнаружения в ор е й (IDS) в с ра е ес ес а вторжений (IDS) в стратегических местах (RORI = 308.96%).C4 ‐ Изменение порта (RORI = 163.64%).4 р ( 3 4 )C5 ‐ Активация многофакторной аутентификации (RORI = 386.07%).C6 А ва рав об ар е C6 ‐ Активация правил обнаружения аномального поведения (RORI=411.52%).C7 ‐ Временная деактивация учетной записи

PHD’2015, 26-27 мая 2015 г.

7 р д ц у(RORI = 259.40%).

Элементы графического интерфейса Элементы графического интерфейса (примеры высокоуровневых метрик)(примеры высокоуровневых метрик)(примеры высокоуровневых метрик)(примеры высокоуровневых метрик)

Метрики безопасности – семафор

Security Level

Not defined Пиктограммы, использующие для отображения графа атак

Green (Network is secured)

Yellow (Low Criticality)

Исходное положение нарушителя

Применение атомарного действия

отображения графа атак

Orange (Medium Criticality)

Yellow (Low Criticality) Применение атомарного действия

Применение сценария без использования уязвимости

Red (High Criticality )

использования уязвимости

Эксплуатация уязвимости

PHD’2015, 26-27 мая 2015 г.

Методики визуализации (1)

Кодирование цвета Кодирование цвета Разработана схема кодирования цвета по умолчанию для отображения порядковых метрик со значениями {Highотображения порядковых метрик со значениями {High, Above Medium, Medium, Low}

Но эта схема не может быть легко адаптирована дляНо эта схема не может быть легко адаптирована для отображения номинальных и рациональных метрик, так как для этого должны быть настроены пороговые значения для определения нормальных и критических значений

Необходимо обеспечить гибкий механизм для настройки схемы цветов для номинальных метрик и определения пороговых значений и соответствующих цветов для рациональных

PHD’2015, 26-27 мая 2015 г.

Методики визуализации (2)

Отображение информации о хостах Для малых и средних сетей

каждый узел сети представляется с помощью глифа на топологии сети

интерактивные вложенные круговые карты деревьев. Каждая вложенная окружность представляет метрики хоста или сети. При нажатии на нее отображаются параметры следующего уровня иерархиипараметры следующего уровня иерархии

Для больших сетей – на основе матричного представленияД б Детали по требованию При нажатии на глиф отображается подробная информация о соответствующем узле (идентификатор хоста типсоответствующем узле (идентификатор хоста, тип, описание, программное и аппаратное обеспечение, метрики защищенности информация об уязвимостях и т д )

PHD’2015, 26-27 мая 2015 г.

защищенности, информация об уязвимостях и т.д.)

Отображение глифов на топологии сети

PHD’2015, 26-27 мая 2015 г.

Представление больших сетей в виде матрицы глифовматрицы глифов

подсети расположены на оси ординат а отдельные хосты подсети расположены на оси ординат, а отдельные хосты расположены на оси абсцисс

для поддержки навигации и анализа данных обеспечиваются д дд р ц дфункции зуммирования или специальных механизмов масштабирования, таких как волшебный объектив (magic lens) или рыбий глаз (fisheye)

PHD’2015, 26-27 мая 2015 г.

или рыбий глаз (fisheye)







Реализация и эксперименты Заключение

PHD’2015, 26-27 мая 2015 г.


М д

Архитектура подсистемыАрхитектура подсистемыанализа защищенностианализа защищенности

МодульГенератор ф

Модуль оценки защищенности

анализа защищенностианализа защищенности

Internet Модуль обновления БДXML графов атак

External Databases

С

SOAP Расчет метрик

Сервер приложений

(Tomcat)Генератор спецификаций

SOAPГенератор отчетовSOAP

JDBC, SPARQL

XML SPARQL query example

SELECT ?CVE_IdWHERE {

СУБД

Сетевые сканеры

(MaxPatrol)

WHERE {?part Vul:Fact_Ref:Part?product Vul:Fact_Ref:Product?version Vul:Fact_Ref:Version?update Vul:Fact_Ref:Update?edition Vul:Fact Ref:Edition(Virtuoso) ?edition Vul:Fact_Ref:Edition?language Vul:Fact_Ref:Language

}FILTER (?Vul:Fact_Ref:Part=”a”)

PHD’2015, 26-27 мая 2015 г. 88

GUI

Архитектура подсистемы визуализации VisSecAnalyzerVisSecAnalyzer

Компонент SIEM-системы Функциональная расширяемость Гибкая связь между компонентами

Н б й Независимая разработка модулейателя

Контроллер Графические

Слой управляющих сервисов

ователь

пользова Контроллер графических компонент

компоненты

Пользо

ерфейс п

Менеджер Plug-insPlug-insПодключаемые Plug-insPlug-insФункциональные

Инте е ед ер

плагиновgд

модулиgу ц

компоненты

PHD’2015, 26-27 мая 2015 г.

Графический интерфейс Графический интерфейс VizSecAnalyzerVizSecAnalyzer (1) (1) Иконка отображает тип хоста. Цвет фона используется для

Основное

Иконка отображает тип хоста. Цвет фона используется для отображения выбранных метрик, рассчитанной для хоста

представление

Основные метрики

Network ExplorerNetwork Explorer (Редактор структурысети)

Property explorer

(Редактор свойств(Редактор свойств объектов сети)

PHD’2015, 26-27 мая 2015 г.Java Universal Network/Graph Framework, http://jung.sourceforge.net/

Представление Представление хоста с хоста с использованием использованием глифаглифаглифаглифа

Схема кодирования цвета: Д• Для рациональных и интервальных параметров определено пять интервалов, обозначенных как {None, Low, Medium, Above Medium, High}. Эти значения кодируются с использованиемMedium, High}. Эти значения кодируются с использованием шкалы “желтый – красный”, за исключением значения None, которое обозначается с помощью зеленого цвета.

• Для кодирования уровня критичности хоста используется другая схема, так как эта метрика должна применяться для приоритезации действий аналитика и не предназначена дляприоритезации действий аналитика и не предназначена для оповещения о возможной опасности, как другие метрики.

PHD’2015, 26-27 мая 2015 г.

Графический интерфейс Графический интерфейс VizSecAnalyzerVizSecAnalyzer (2) (2)

Figure 8 The main view of the VizSecAnalyzer

PHD’2015, 26-27 мая 2015 г.

Figure 8. The main view of the VizSecAnalyzer

Сценарий Олимпийских игр

Overview:Overview:

Protect the Olympic Games’ IT infrastructure from misuse orinfrastructure from misuse or uncontrolled phenomena.

Protect recorded results and associated services.

ATOS

PHD’2015, 26-27 мая 2015 г.

ATOS

Структура сети (1/2)• Фрагмент сети сценария Олимпийских игр, предназначенный для экспериментов включает несколько предназначенный для экспериментов, включает несколько связанных подсетей: • Внешний сегмент, который включает в себя узлы в Внешний сегмент, который включает в себя узлы в Интернете, которые могут быть подключены к демилитаризованной зоне (DMZ);

• Демилитаризованная зона ‐ это подсеть содержит веб‐сервера и базы данных (DB); С О й (OG k) • Сеть Олимпийских игр (OG network);

• Внутренняя сеть; • Внутренняя сеть для беспроводных устройств • Внутренняя сеть для беспроводных устройств.

• Сеть Олимпийских игр содержит хосты с приложениями Аккредитация (Accreditation) и Спортивный дневник (Sport р ц ( ) р ( pEntries) для регистрации спортсменов и спортивных функционеров. С архитектурной точки зрения это часть

PHD’2015, 26-27 мая 2015 г.

Базовой системы игр (Core Games System ‐ CGS).

Структура сети (2/2)

PHD’2015, 26-27 мая 2015 г.

Параметры сети для экспериментов

• massif-1 and massif-2: Red Hat JBoss Community Application Server 5.0.1; Windows Server 2008 R2 for x64-based Systems;Windows Server 2008 R2 for x64-based Systems;

• massif-3: NetIQ eDirectory 8.8.6.0; Novell SUSE Linux Enterprise Desktop 12ServicePack 1;massif i: Novell Suse Linux Enterprise Desktop 11 Service Pack 1 and Citrix Ica• massif-i: Novell Suse Linux Enterprise Desktop 11 Service Pack 1 and Citrix Ica Client For Linux 11.0;

• (n1) Firewall: Linux Kernel 2.6.27.33, Citrix Ica Client For Linux 11.0;• (n1)External mobile users: Google Android Operating System 4.1.2;• (n1)External users and (n1)Internal users: Microsoft Windows 7 64-bit; Apple

iTunes 9.0.3;Microsoft Office 2007 SP1; Microsoft Internet Explorer 7;p• (n1)Proxy server: Linux Kernel 2.6.27.33; Gnome KDE;• (n1)Web server: Windows Ftp Server 2.3.0; Windows Server 2008 for 32-bit

Systems; Sun iPlanet Web Server 4 1 SP10 Enterprise;Systems; Sun iPlanet Web Server 4.1 SP10 Enterprise;• (n1)DB server 1 and (n1) DB server 2: Apache Software Foundation; Derby

10.1.3.1; phpMYAdmin 3.5.2.2; Oracle MySQL 5.5.25; Linux Kernel2.6.27.33;• (n1)Administrator: VMware vCenter Server Appliance (vCSA) 5 1;Ubuntu linux• (n1)Administrator: VMware vCenter Server Appliance (vCSA) 5.1;Ubuntu linux

10.04; Gnome KDE;• (n1)Mail server: Windows Server 2008 for 32-bit Systems; Microsoft Exchange

S 2007 S i P k 1 Mi ft Sh i t S 2007 1 64

PHD’2015, 26-27 мая 2015 г.

Server 2007 Service Pack 1; Microsoft Sharepoint Server 2007 sp1x64;• (n1)Mobile devices: Apple iPhone OS 4.0.

Первоначальный уровень защищенности хостов сетихостов сети

PHD’2015, 26-27 мая 2015 г.

Реконфигурация хостов

• Аналитик может нажать на интересующий глиф и получить подробную информацию об уязвимостях

• Например, для massif-1 и massif-2 уязвимости – в Wi d S 2008 R2 f 62 b dWindows Server 2008 R2 for x62-based systems, и возможное решение – в инсталляции

i k Wi d Sсоответствующего service pack для Windows Server 2008 R2 SP1 for x62-based systemsУязвимости обнаруженные на файерволе massif i• Уязвимости, обнаруженные на файерволе massif-iсвязаны с Novell SUSE Linux Enterprise Desktop 11 Service Pack 1 и Citrix Ica Client For Linux 11 0Service Pack 1 и Citrix Ica Client For Linux 11.0, возможное решение – обновить ПО

• Аналитик может оценить необходимость этих контрмер• Аналитик может оценить необходимость этих контрмер до их реализации за счет изменения конфигурации хостов и пересчета метрик защищенности

PHD’2015, 26-27 мая 2015 г.

хостов и пересчета метрик защищенности

Уровень защищенности хостов сети после реконфигурацииреконфигурации

PHD’2015, 26-27 мая 2015 г.

Уровни защищенности хостов сети до и после реконфигурациии после реконфигурации

PHD’2015, 26-27 мая 2015 г.

Основные результаты работы (Основные результаты работы (1/21/2))

Рассмотрено современное состояние исследований и Рассмотрено современное состояние исследований и разработок в области вычисления и визуализации метрик защищенностиметрик защищенности

Представлен подход к анализу защищенности и принятию контрмер в SIEM-системахпринятию контрмер в SIEM системах

Предложены модели, методики и их практическое применение для вычисления визуализации и анализаприменение для вычисления, визуализации и анализа метрик защищенности

Разработаны средства анализа защищенности Разработаны средства анализа защищенности, принятия контрмер и визуализации, реализующие предложенный подход в SIEM-системах.

PHD’2015, 26-27 мая 2015 г.

Основные результаты работы (Основные результаты работы (2/22/2))

Для оценки эффективности предложенного подхода

р у р (р у р ( ))

Для оценки эффективности предложенного подхода реализованы различные сценарии, в процессе выполнения которых оценивался уровень р урзащищенности и вырабатывались контрмеры

Дана положительная оценка со стороны Д радминистраторов и отмечена компактность представления метрик защищенности

Предлагаемый подход к вычислению, визуализации и анализу метрик защищенности позволяет исследовать

йразличные механизмы построения защищенных сетей, отвечать на вопросы “Что, если…”, определять наиболее эффективные механизмы защитынаиболее эффективные механизмы защиты, осуществлять анализ защищенности в режиме, близком к реальному времени

PHD’2015, 26-27 мая 2015 г.

р у р

Последние публикации Последние публикации (где можно найти данный материал)(где можно найти данный материал)

Igor Kotenko, Elena Doynikova, Andrey Chechulin. Security metrics based on attack graphs for the Olympic Games scenario // Proceedings of the 22th Euromicro International Conference on Parallel

(где можно найти данный материал)(где можно найти данный материал)

Olympic Games scenario // Proceedings of the 22th Euromicro International Conference on Parallel, Distributed and network-based Processing (PDP 2014). Turin, Italy. 12th - 14th February, 2014. Los Alamitos, California. IEEE Computer Society. 2014. P.561-568.

Igor Kotenko, Elena Doynikova. Security Assessment of Computer Networks based on Attack Graphs and Security Events // Lecture Notes in Computer Science (LNCS), Vol.8407. 2014, P.462-471.

Igor Kotenko, Elena Doynikova. Security Evaluation Models for Cyber Situational Awareness // The 2014 IEEE 6th International Symposium on Cyberspace Safety and Security (CSS 2014). August 20-22, 2014, Paris France 2014 Los Alamitos California IEEE Computer Society 2014 P 1229 1236Paris, France. 2014. Los Alamitos, California. IEEE Computer Society. 2014. P.1229-1236.

Igor Kotenko, Evgenia Novikova. Visualization of Security Metrics for Cyber Situation Awareness // International Conference on Availability, Reliability and Security (ARES 2014). September 8nd – 12th, 2014. Fribourg, Switzerland. IEEE Computer Society. 2014. P.506-513.2014. Fribourg, Switzerland. IEEE Computer Society. 2014. P.506 513.

Igor Kotenko, Andrey Chechulin. Fast Network Attack Modeling and Security Evaluation based on Attack Graphs // Journal of Cyber Security and Mobility, 2014, Vol.3, No.1, P.27–46.

Igor Kotenko, Elena Doynikova. Evaluation of Computer Network Security based on Attack Graphs and g y p y pSecurity Event Processing // Journal of Wireless Mobile Networks, Ubiquitous Computing, and Dependable Applications (JoWUA), Vol.5, No.3, September 2014. P.14-29.

I. V. Kotenko and I. B. Saenko. Creating New Generation Cybersecurity Monitoring and Management S t // H ld f th R i A d f S i 2014 V l 84 N 6 P 993 1001Systems // Herald of the Russian Academy of Sciences, 2014, Vol.84, No.6. P.993–1001.

Igor Kotenko, Elena Doynikova. Countermeasure selection in SIEM systems based on the integrated complex of security metrics // Proceedings of the 23th Euromicro International Conference on Parallel, Distributed and network-based Processing (PDP 2015) Turku Finland 4-6 March 2015 Los Alamitos

PHD’2015, 26-27 мая 2015 г.

Distributed and network based Processing (PDP 2015). Turku, Finland. 4 6 March 2015. Los Alamitos, California. IEEE Computer Society. 2015. P.567-574.

Направления дальнейших Направления дальнейших исследованийисследованийисследованийисследований

Совершенствование моделей и методик расчета метрикр д д р р Развитие моделей и методик компонентов анализа

защищенности и выработки контрмер, в том числя для щ щ р р р, дповышения их оперативности (обеспечения режима реального времени), адекватности текущим условиям применения, масштабируемости и др.

Дальнейшая реализация компонентов анализа защищенности и выработки контрмер

Оценка эффективности реализованных компонентов, в том б б ( bilit ) фчисле оценка удобства работы (usability) графического

пользовательского интерфейса

PHD’2015, 26-27 мая 2015 г.

Контактная информацияКонтактная информация

Котенко Игорь Витальевич (СПИИРАН)[email protected]

http://comsec.spb.ru/kotenko/

Благодарности• Работа выполнена при финансовой поддержке РФФИ (проекты 13-01-Работа выполнена при финансовой поддержке РФФИ (проекты 13 01

00843, 14-07-00697, 14-07-00417, 15-07-07451), программы фундаментальных исследований ОНИТ РАН (проект 1.5), проекта ENGENSEC программы Европейского Сообщества TEMPUS иENGENSEC программы Европейского Сообщества TEMPUS и Министерства образования и науки Российской Федерации (соглашения 14.604.21.0033, 14.604.21.0137, 14.604.21.0147).

• Основные разработчики: И.Б.Саенко, А.А.Чечулин, В.А.Десницкий, Е.В.Дойникова, Е.С.Новикова, Федорченко А.В. и др.

PHD’2015, 26-27 мая 2015 г.