CC BY
85
А. В. Мельников, В. Е. Чирков
доктор технических наук, доцент
А. В. Пузарин,
Московский университет МВД России им. В. Я. Кикотя
МЕТОД ОЦЕНКИ И УМЕНЬШЕНИЯ ОПАСНОСТИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ АНАЛИЗА ПОСЛЕДОВАТЕЛЬНОСТЕЙ ЭКСПЛУАТАЦИИ УЯЗВИМОСТЕЙ
METHOD FOR ASSESSING AND REDUCING THE RISK OF INFORMATION SECURITY THREATS BASED ON ANALYSIS OF VULNERABILITY EXPLOITATION SEQUENCES
В работе рассматривается проблема количества вариантов реализации угрозы безопасности информации при последовательной эксплуатации уязвимостей информационной безопасности. Разработан алгоритм, позволяющий получить количество вариантов последовательной эксплуатации уязвимостей, оценку относительного уровня опасности угрозы информационной безопасности.
The paper considers the problem of the number of options for implementing an information security threat during the sequential exploitation of information security vulnerabilities. An algorithm has been developed that allows one to obtain the number of options for the sequential exploitation of vulnerabilities and assess the relative level of danger of information security threats.
Введение. Одним из важнейших аспектов информационной безопасности является определение и классификация возможных угроз безопасности. Недостатки программного средства или информационной системы, под которыми понимаются уязвимости, эксплуатируются в ходе реализации таких угроз [1, 3]. Стандарт CVSS (Common Vulnerability Scoring System) предлагает простой инструментарий для расчета числового
показателя по десятибалльной шкале, который позволяет специалистам по безопасности оперативно принимать решение о том, как реагировать на ту или иную уязвимость [2]. Ранее был предложен подход [4], в основу которого легла методика СУББ, предполагающая оценку последовательно реализуемых уязвимостей, формировавших определенную угрозу информационной безопасности, по следующей формуле:
X = (1 - X— ■ К/10) + X— при г = 0,1,..., и, (1)
где Хо = 0, а Х1,..., Хп — относительный уровень опасности при последовательной эксплуатации уязвимостей, У1 — относительный уровень опасностей уязвимостей согласно СУББ.
Данный метод позволяет оценить совокупный уровень опасности последовательно реализованных уязвимостей и дает понимание о наиболее опасном развитии сценария атаки на исследуемый объект. Для наиболее эффективного устранения угроз информационной безопасности необходимо оценить количественно наиболее опасные уязвимости, эксплуатация которых наносит наиболее значительный ущерб и открывает возможности для формирования различных угроз и сценариев атаки со множеством других уязвимостей.
Целью работы является разработка метода оценки и уменьшения опасности угроз информационной безопасности на основе анализа последовательностей эксплуатации уязвимостей.
Алгоритм нахождения последовательностей эксплуатации уязвимостей. Для
оценки опасности угроз информационной безопасности предлагается следующий метод. основу которого будет составлять разработанный алгоритм нахождения максимально возможного количества последовательностей эксплуатации уязвимостей, приводящих к реализации одной или нескольких угроз.
Сценарий развития атаки на информационную систему можно представить в виде некоторого графа [5], вершинами которого будут:
- начальное состояния системы Уо;
- уязвимости У1, ..., Лп;
- угрозы Упк.
Дугами являются переходы в момент эксплуатации каждой из уязвимостей Уг-. В связи со спецификой сценариев кибератак на информационные системы и условиями рассматриваемой задачи будем считать, что формируемый граф является ориентированным и ацикличным.
Представим связи дуг и вершин данного графа в виде матрицы смежности У (2). Ее формирование предполагает дальнейшую автоматизацию и машинный анализ формируемых графов для всей совокупности угроз информационной безопасности.
Предложим метод оценки и уменьшения опасности угроз информационной безопасности, включающий алгоритм нахождения максимально возможного количества последовательностей эксплуатации уязвимостей (рис. 2), в основу которого входит подсчет количества путей [6], где N — количество маршрутов для каждой из вершин Укп, с учетом необходимости формирования списка последовательностей и расчёта опасности сформированных последовательностей эксплуатации уязвимостей.
У =
¥0 У1 У2 У3 У4 Уп ¥к1
¥0 0 1 1 0 0 0 0 0 0 0 0
У1 0 0 0 1 1 1 1 0 0 0 0
У2 0 0 0 1 1 1 1 0 0 0 0
У3 0 0 0 0 0 0 0 1 1 1 1
У4 0 0 0 0 0 0 0 1 1 1 1
0 0 0 0 0 0 0 1 1 1 1
Уп 0 0 0 0 0 0 0 1 1 1 1
0 0 0 0 0 0 0 0 0 0 0
0 0 0 0 0 0 0 0 0 0 0
0 0 0 0 0 0 0 0 0 0 0
¥кп 0 0 0 0 0 0 0 0 0 0 0
(2)
Алгоритм нахождения максимально возможного количества последовательностей эксплуатации уязвимостей включает в себя несколько этапов:
1. Этап формирования графа уязвимостей и угроз. На данном этапе формируются связи между уязвимостями и угрозами, множество уязвимостей и множество угроз, также данный этап предполагает построение графа на основе матрицы смежности, если такая имеется. Формируется пустое множество путей.
2. Этап инициализации. На данном этапе каждой вершине графа присваивается определенный маркер, характеризирующий ее принадлежность к определенным ранее категориям.
3. Этап нахождения всех путей графа. На данном этапе происходит поиск последовательностей эксплуатируемых уязвимостей, начиная с начальной вершины, с выходом из алгоритма в случае полного прохождения всех вершин графа.
4. Этап формирования последовательностей уязвимостей. На данном этапе формируется множество — получившиеся списки путей графа или последовательности эксплуатации уязвимостей, рассчитывается их уровень опасности.
5. Этап анализа полученных данных. На данном этапе формируются конечные множества путей, аналитически оценивается наиболее «значимая» уязвимость, устранение которой значительно влияет на общий параметр защищенности системы.
Рис. 2. Алгоритм нахождения максимально возможного количества последовательностей эксплуатации уязвимостей
В результате работы алгоритма получаем набор данных (табл. 1).
Далее, анализируя набор данных о последовательностях эксплуатации уязвимо-стей, путем перебора и исключения всех уязвимостей можно сделать вывод о наиболее значимой уязвимости, устранение которой окажет наибольшее влияние на общий уровень безопасности исследуемого объекта. Нетрудно вычислить что сложность такого
анализа не будет превышать количество сочетаний без повторений
п!
неупорядоченная выборка без повторений.
— --[7] , гДе п — множество всех уязвимостей рассматриваемой, k —
Таблица 1
Последовательности эксплуатации уязвимостей
№ Последовательность уязвимостей Индекс формируемой угрозы Уровень опасности
1 70 - 71 - 73 Ш Х1
2 70 - 71 - 73 Х2
3 70 - 71 - 73 Х3
4 70 - 71 - 73 7Ь Х4
5 70 - 71 - 74 7к1 Х5
6 70 - 71 - 74 Х6
7 70 - 71 - 74 Х7
8 70 - 71 - 74 7кп Х8
п-1 ... - ... - ... Хп-1
п 70 - ... - 7п Ykn Хп
Верификация метода. Верификация данного алгоритма была произведена на ряде примеров, один из которых представлен ниже. Выберем угрозу УИБ.006 [8] «Угроза внедрения кода или данных», рассмотренную в двух вариантах эксплуатации уязвимостей [9], представленных в табл. 2.
Cформируем граф, представляющий сценарий развития атаки с последующим формированием угрозы безопасности информации УИБ.006 (рис. 3):
Рис. 3. Сценарий развития атаки с последующим формированием угрозы безопасности
информации УИБ.006
Таблица 2
Уязвимости, обуславливающие наличие угрозы УБИ.006
Код уязвимости Описание уязвимости Уровень опасности CVSS
Первый вариант возможной эксплуатации двух уязвимостей
BDU:2017-01173
Уязвимость драйвера режима ядра операционной системы Windows связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему локально, внедрить произвольный код в режим ядра_
Высокий уровень опасности (базовая оценка составляет y 1=7,2)
BDU:2018-01405
Уязвимость текстового редактора Microsoft Word связана с ошибками обработки объектов в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с привилегиями пользователя при помощи специально сформированного файла_
Высокий уровень опасности (базовая оценка составляет y2=9,0)
Второй вариант возможной эксплуатации трех уязвимостей
BDU:2017-02555
Уязвимость компонента Application Control средства антивирусной защиты Kaspersky Embedded Systems Security вызвана некорректной работой механизмов защиты в условиях чрезмерной загрузки сервиса. Эксплуатация уязвимости позволяет нарушителю повысить уровень своих привилегий и запустить приложение, не указанное в белом списке.
Средний уровень опасности (базовая оценка составляет y3=6,2)
BDU:2018-01629
Уязвимость утилиты управления функционалом периферийных устройств Logitech Options связана с отсутствием ограничений попыток аутентификации в WebSocket server. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды с помощью специально сформированной веб-страницы
Критический уровень опасности (базовая оценка составляет y4=7,6)
BDU:2018-00565
Уязвимость оболочки Windows shell операционной системы Windows связана с недостатками контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код при помощи специально сформированного файла, который должен быть открыт пользователем_
Высокий уровень опасности (базовая оценка составляет y5=7,6)
После выполнения алгоритма получим следующий набор данных:
№ Последовательность уязвимостей Формируемая угроза Уровень опасности угрозы
X1 70 - 71 - 72 УИБ.006 0.972
X2 70 - 73 - 74 - 75 УИБ.006 0,978
Исходя из полученных данных становится очевидным, что наиболее значимыми уязвимостями Yz являются Y3, УА, У5.
Заключение. Устранение любой из уязвимостей второй последовательности приводит к предотвращению сценария атаки с наиболее высоким уровнем опасности для исследуемой угрозы. Совместный учет показателей опасности всех угроз и «стоимости устранения уязвимости» позволит оптимизировать затраты на СЗИ, повысить эффективность мероприятий по защите информации в условиях ограничений финансирования. Вместе с тем в зависимости от количества рассматриваемых угроз и уязвимостей данный метод имеет ряд недостатков, одним из которых является объем вычислений для сложных систем с включением одних и тех же уязвимостей в несколько угроз. В дальнейшем планируется рассмотреть вопросы оптимизации и расширения предложенного метода.
ЛИТЕРАТУРА
1. ГОСТ Р 56546-2015 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем.
2. Оценка уязвимостей CVSS 3.0 // URL: https://habr.com/ru/com-pany/pt/blog/266485/ (дата обращения 08.11.2019)
3. Язов Ю. К. Проектирование защищенных информационно телекоммуникационных систем : учебное пособие. — Воронеж : Воронежский государственный технический университет, 2014.
4. Мельников А. В., Чирков В. Е. Алгоритм оценки относительного уровня опасности совместной эксплуатации уязвимостей информационной безопасности на основе CVSS // Вестник Воронежского института МВД России. — 2019. — № 1. — С. 37—44.
5. Татт У. Теория графов : пер. с англ. — М. : Мир, 1998. — 424 с.
6. Алексеев В. Е., Таланов В. А. Графы. Модели вычислений. Структуры данных : учебник. — Нижний Новгород : Изд-во ННГУ, 2005. — 307 с.
7. Меньших В. В. Практические занятия по дискретной математике : учебное пособие. — Воронеж : ВИ МВД России, 2007. — 154 с.
8. Федеральная служба по техническому и экспортному контролю. — URL: http://www. fstec.ru (дата обращения 05.11.2019).
9. National Institute of Standards and Technology. The Common Vulnerability Scoring System (CVSS) and Its Applicability to Federal Agency Systems. — URL: http://www. http://nvd.nist.gov/ (дата обращения 10.11.2019)
REFERENCES
1. GOST R 56546-2015 Zaschita informatsii. Uyazvimosti informatsionnyih sistem. Klassifikatsiya uyazvimostey informatsionnyih sistem.
2. Otsenka uyazvimostey CVSS 3.0. — URL: https://habr.com/ru/company/pt/blog/ 266485/ (data obrascheniya 08.11.2019)
3. Yazov Yu. K. Proektirovanie zaschischennyih informatsionno telekommunikatsi-onnyih sistem : uchebnoe posobie. — Voronezh : Voronezhskiy gosudarstvennyiy tehni-cheskiy universitet, 2014.
4. Melnikov A. V., Chirkov V. E. Algoritm otsenki otnositelnogo urovnya opasnosti sovmestnoy ekspluatatsii uyazvimostey informatsionnoy bezopasnosti na osnove CVSS // Vestnik Voronezhskogo instituta MVD Rossii. — 2019. — # 1. — S. 37—44.
5. Tatt U. Teoriya grafov : per. s angl. — M. : Mir, 1998. — 424 s.
6. Alekseev V. E., Talanov V. A. Grafyi. Modeli vyichisleniy. Strukturyi dannyih : uchebnik. — Nizhniy Novgorod : Izd-vo NNGU, 2005. — 307 s.
7. Menshih V. V. Prakticheskie zanyatiya po diskretnoy matematike : uchebnoe posobie. — Voronezh : VI MVD Rossii, 2007. — 154 s.
8. Federalnaya sluzhba po tehnicheskomu i eksportnomu kontrolyu. — URL: http://www. fstec.ru (data obrascheniya: 05.11.2019).
9. National Institute of Standards and Technology. The Common Vulnerability Scoring System (CVSS) and Its Applicability to Federal Agency Systems. — URL: http://www. http://nvd.nist.gov/ (data obrascheniya: 10.11.2019)
СВЕДЕНИЯ ОБ АВТОРАХ
Мельников Александр Владимирович. Профессор кафедры математики и моделирования систем. Доктор технических наук, доцент.
Воронежский институт МВД России.
E-mail: meln78@mail.ru
Россия, 394065, г. Воронеж, проспект Патриотов, 53. Тел. +7-910-342-74-27.
Чирков Владимир Евгеньевич. Инженер-электроник отдела информационно-технического обеспечения учебного процесса.
Воронежский институт МВД России.
E-mail: vchirkov24@bk.ru
Россия, 394065, г. Воронеж, проспект Патриотов, 53. Тел. +7-910-283-32-20.
Пузарин Андрей Валерьевич. Начальник кафедры специальных информационных технологий учебно-научного комплекса информационных технологий.
Московский университет МВД России им. В. Я. Кикотя.
E-mail: andrei_puzarin@mail.ru
Россия, 117437, г. Москва. ул. Коптевская, 63. Тел. +7-926-831-98-66.
Melnikov Alexander Vladimirovich. Professor of the chair of Mathematics and System Modeling. Doctor of Technical Sciences, Associate Professor.
Voronezh Institute of the Ministry of the Interior of Russia.
E-mail: meln78@mail.ru
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. +7-910-342-74-27.
Chirkov Vladimir Evgenyevich. Electronics engineer of the department of information technical supply of educational process.
Voronezh Institute of the Ministry of the Interior of Russia. E-mail: vchirkov24@bk.ru
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. +7-910-283-32-20.
Puzarin Andrey Valeryevich. Head of the chair of Special Information Technologies of the Educational and scientific complex of information technologies.
Moscow University of the Ministry of Internal Affairs of the Russia named after V.Ya. Kikot. E-mail: andrei_puzarin@mail.ru
Work address: Russia, 117437, Moscow, Koptevskaya Str., 63. Tel. + 7-926-831-98-66. Ключевые слова: информационная безопасность; уязвимости; угрозы; уровень опасности. Key words: information security; vulnerabilities; threats; danger level. УДК 004.056
ИЗДАНИЯ ВОРОНЕЖСКОГО ИНСТИТУТА МВД РОССИИ
Криптографические методы защиты информации : учебное пособие / О. С. Авсен-тьев [и др.]. — Воронеж : Воронежский институт МВД России, 2019. — 199 с. Учебное пособие адресовано слушателям и курсантам системы МВД, обучающимися по направлениям 100500 «Информационная безопасность», 110500 «Инфокоммуникационные технологии и системы связи», а также слушателям факультета переподготовки и повышения квалификации.
В пособии рассмотрены особенности использования криптографии для защиты информации, требования к криптографическим системам, их основные свойства. Представлены классические математические модели шифров. Описаны достоинства и недостатки этих шифров, методы исследования их криптографических свойств, а также вопросы оценки надежности шифров.
