Совершенствование графов атак для мониторинга кибербезопасности: оперирование неточностями, обработка циклов, отображение инцидентов и автоматический выбор защитных мер

Елена Владимировна Дойникова; Игорь Витальевич Котенко

doi:10.15622/sp.57.9

Елена Владимировна Дойникова научный сотрудник лаборатории проблем компьютерной безопасности Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации Российской академии наук (СПИИРАН) научный сотрудник международной лаборатории информационной безопасности киберфизических систем ФГАОУ ВО "Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики" (Университет ИТМО)
Игорь Витальевич Котенко заведующий лабораторией проблем компьютерной безопасности Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации Российской академии наук (СПИИРАН) руководитель международной лаборатории информационной безопасности киберфизических систем ФГАОУ ВО "Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики" (Университет ИТМО)

DOI:

https://doi.org/10.15622/sp.57.9

Ключевые слова:

граф атак, вероятность атаки, мониторинг кибербезопасности, компьютерные сети, оценка защищенности, показатели защищенности, реагирование на атаки, оценивание уязвимостей

Аннотация

Своевременность и адекватность реагирования на инциденты компьютерной безопасности, а также потери организаций от компьютерных атак, зависят от точности определения ситуации при мониторинге кибербезопасности. Статья посвящена совершенствованию моделей атак в виде графов для задач мониторинга кибербезопасности. Рассматривается ряд актуальных проблем, связанных с использованием графов атак, и способов их решения, в том числе оперирование неточностями при определении пред- и постусловий выполнения атакующих действий, обработка циклов при использовании байесовского вывода для анализа графа атак, отображение инцидентов на графе атак, а также автоматический выбор защитных мер в случае высокого уровня риска. Представлен реализованный ранее и модифицированный с учетом предложенных изменений программный прототип компонента системы мониторинга кибербезопасности и результаты экспериментов. Влияние изменений на результаты мониторинга кибербезопасности показано на примере оценки защищенности фрагмента компьютерной сети.

Литература

1. Котенко И.В., Саенко И.Б. Построение системы интеллектуальных сервисов для защиты информации в условиях кибернетического противоборства // Труды СПИИРАН. № 3 (22). СПб.: Наука, 2012. С. 84–100.

2. Котенко И.В., Саенко И.Б. Архитектура системы интеллектуальных сервисов защиты информации в критически важных инфраструктурах // Труды СПИИРАН. 2013. № 1 (24). С. 21–40.

3. Artz M. NetSPA, a network security planning architecture. Master’s thesis // Massachusetts Institute of Technology. 2002. 96 p.

4. Lippmann R.P., Ingols K., Scott C., Piwowarski K., Kratkiewicz K., Artz M., Cunningham R. Validating and restoring defense in depth using attack graphs // Proceedings of the 2007 IEEE Military Communications Conference (Washington, DC, 23–25 October 2006). 2006. pp. 1–10.

5. Ingols K., Lippmann R., Piwowarski K. Practical attack graph generation for network defense // Proceedings of the 22nd Annual Conference on the Computer Security Applications (Miami Beach, FL). 2006. pp. 121–130.

6. Singhal A., Ou X. Security risk analysis of enterprise networks using probabilistic attack graphs. NIST Interagency Report 7788 // Gaithersburg: NIST. 2011. 24 p.

7. Abraham S., Nair S. A predictive framework for cyber security analytics using attack graphs // International Journal of Computer Networks & Communications (IJCNC). 2015. vol. 7. no.1. pp. 1–17. DOI : 10.5121/ijcnc.2015.7101.

8. Janse van Rensburg A., Nurse J.R.C., Goldsmith M. Attacker-Parametrised Attack Graphs // Proceedings of the Tenth International Conference on Emerging Security Information, Systems and Technologies (Nice, France). 2016. pp. 316–319. ISBN: 978-1-61208-493-0.

9. Kordy B., Piètre-Cambacédès L., Schweitzer P. DAG-based attack and defense modeling: don’t miss the forest for the attack trees // Computer Science Review. 2014. vol. 13–14. pp. 1–38. DOI: 10.1016/j.cosrev.2014.07.001. URL: http: // www.sciencedirect.com / science / article / pii / S1574013714000100.

10. Shandilya V., Simmons C.B., Shiva S. Use of attack graphs in security systems // Journal of Computer Networks and Communications. 2014. Volume 2014. 13 p.
URL: http: // dx.doi.org / 10.1155 / 2014 / 818957.

11. Muñoz-González L., Sgandurra D., Barrère M., Lupu E.C. Exact inference techniques for the analysis of Bayesian attack graphs // IEEE Transactions on Dependable and Secure Computing, 2017. p. 1–14. DOI: http: // dx.doi.org / 10.1109 / TDSC.2016.2627033.

12. Noel S., Jajodia S. Metrics suite for network attack graph analytics // Proceedings of the 9th Cyber and Information Security Research Conference. 2014. pp. 5–8.

13. Alhomidi M., Reed M. Attack graph-based risk assessment and optimisation approach // International Journal of Network Security & Its Applications (IJNSA). 2014. vol. 6. no. 3. pp. 31–43. DOI : 10.5121/ijnsa.2014.6303.

14. Durkota K., Lisy V., Bošansky B., Kiekintveld C. Optimal network security hardening using attack graph games // Proceedings of the Twenty-Fourth International Joint Conference on Artificial Intelligence (Buenos Aires, Argentina). AAAI Press. 2015. pp. 526–532. ISBN: 978-1-57735-738-4.

15. Sembiring J., Ramadhan M., Gondokaryono Y.S., Arman A.A. Network security risk analysis using improved MulVAL Bayesian attack graphs // International Journal on Electrical Engineering and Informatics. 2015. vol. 7. num. 4. pp. 735–753. DOI: 10.15676/ijeei.2015.7.4.15.

16. Muñoz-Gonzalez L., Sgandurra D., Paudice A., Lupu E.C. Efficient attack graph analysis through approximate inference // ACM Transactions on Privacy and Security. 2017. vol. 20. no. 3. 30 p. DOI: 10.1145/3105760.

17. Bhattacharya P. Ghosh S.K. Analytical framework for measuring network security using exploit dependency graph // IET Information Security. vol. 6. issue 4. IET. 2012. pp. 264–270. DOI: 10.1049/iet-ifs.2011.0103.

18. Almohri H.M.J., Watson L.T., Yao D., Ou X. Security optimization of dynamic networks with probabilistic graph modeling and linear programming // IEEE Transactions on Dependable and Secure Computing. vol. 13. issue 4. IEEE. 2016. pp. 474–487.

19. Kotenko I., Stepashkin M. Attack graph based evaluation of network security // Proceedings of the Communications and Multimedia Security (CMS 2006): Lecture Notes in Computer Science. Eds.: Leitold H., Markatos E.P. Vol. 4237. Berlin-Heidelberg: Springer. 2006. pp. 216–227.

20. Kotenko I., Chechulin A. Attack Modeling and Security Evaluation in SIEM Systems // International Transactions on Systems Science and Applications. 2012. vol. 8. pp. 129–147.

21. Mell P., Scarforne K., Romanosky S. A Complete Guide to the Common Vulnerability Scoring System (CVSS) Version 2.0. 2007. URL: https://www.first.org/cvss/v2/guide (дата обращения: 17.07.2017).

22. Kotenko I., Doynikova E. Dynamical calculation of security metrics for countermeasure selection in computer networks // Proceedings of the 24th Euromicro International Conference on Parallel, Distributed and network-based Processing (Heraklion, Crete, Greece, February 2016). Los Alamitos, California: IEEE Computer Society. 2016. pp. 558–565.

23. Doynikova E., Kotenko I. Countermeasure selection based on the attack and service dependency graphs for security incident management // Proceedings of the 10th International Conference on Risks and Security of Internet and Systems (Mytilene, Lesvos Island, Greece, July 2015): Lecture Notes in Computer Science (LNCS). Vol. 9572. Springer. 2016. pp. 107–124.

24. FIRST Org. Inc, Common Vulnerability Scoring System v3.0: Specification Document. 2015. URL: https: // www.first.org / cvss / specification-document (дата обращения: 17.07.2017).

25. Barnum S. Common Attack Pattern Enumeration and Classification (CAPEC). Schema Description. 2008. 26 p.

26. Positive Technologies web site. URL: https:/www.ptsecurity.com/ww-en (дата обращения: 17.07.2017).

27. Lorenzo J.M. Alienvault users manual. Version 1.0. Alienvault LC. 2011. 225 p.

28. CORDIS website. URL: http://cordis.europa.eu/project/rcn/95310_en.html (дата обращения: 17.07.2017).

29. Man D., Yang W., Yang Y., Wang W., Zhang L. A quantitative evaluation model for network security // Proceedings of the 2007 Intern. Conference on Computational Intelligence and Security (December 2007). 2007. pp. 773–777.

30. Wu Y.-S., Foo B., Mao Y.-C., Bagchi S., Spafford E.H. Automated adaptive intrusion containment in systems of interacting services // Computer Networks: The International Journal of Computer and Telecommunications Networking. 2007. vol. 51. pp.1334–1360.

31. Stakhanova N., Basu S., Wong J. A cost-sensitive model for preemptive intrusion response systems // Proceedings of the 21st International Conference on Advanced Networking and Applications. 2007. pp. 1–8.

32. Liu Y., Man H. Network vulnerability assessment using Bayesian networks // SPIE. 2005. vol. 5812. pp. 61–71.

33. Frigault M., Wang L., Singhal A., Jajodia S. Measuring network security using dynamic Bayesian network // Proceedings of the ACM Workshop on Quality of Protection (October 2008). pp. 23–30.

34. Dantu R., Kolan P., Cangussu J. Network risk management using attacker profiling // Security and Communication Networks. 2009. vol. 2. no. 1. pp. 83–96.

35. Wang L., Islam T., Long T., Singhal A., Jajodia S. An attack graph-based probabilistic security metric // Proceedings of the 22nd annual IFIP WG 11.3 working conference on Data and Applications Security. 2008. Heidelberg, Berlin: Springer-Verlag. pp. 283–296.

36. Poolsappasit N., Dewri R., Ray I. Dynamic security risk management using Bayesian attack graphs // Proceedings of the IEEE Transactions on Dependable and Security Computing. 2012. vol. 9. no. 1. pp. 61–74.

37. Dacier M., Deswarte Y. et al. Quantitative Assessment of Operational Security-Models and Tools. LAAS Research Report 96493. 1996.

38. CyVision website. CAULDRON tool. URL: https://www.benvenisti.net/cauldron/ (дата обращения: 17.07.2017).

39. SecurITree. Amenaza Technologies Limited. URL: http://www.amenaza.com (дата обращения: 17.07.2017).

40. Common Platform Enumeration (CPE). NVD website. URL: https://nvd.nist.gov/cpe.cfm (дата обращения: 17.07.2017).

41. Common Configuration Enumeration (CCE). NVD website. URL: https://nvd.nist.gov/cce/index.cfm (дата обращения: 17.07.2017).

42. NVD website. URL: https://nvd.nist.gov (дата обращения: 17.07.2017).

43. Common Weakness Enumeration (CWE). MITRE website. URL: https://cwe.mitre.org/ (дата обращения: 15.08.2017).

44. Wu Y., Yesha Y., Bojanova I. They Know Your Weaknesses – Do You?: Reintroducing Common Weakness Enumeration // CrossTalk: The Journal of Defense Software Engineering. 2016. vol. 29. no. 3. pp. 19 –24.

45. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. М.: Стандартинформ, 2011. 47 с.

Просмотры	1472
Скачивания	1037

Информационная безопасность

DOI:

Ключевые слова:

Аннотация

Литература

Опубликован

Статистика

Как цитировать

Выпуск

Раздел

Импакт-фактор

Разделы

Мы в сети

Обратная связь