CC BY
141
УДК 004.056.5
МЕТОДИКА АВТОМАТИЗИРОВАННОГО ВЫЯВЛЕНИЯ
ВЗАИМОСВЯЗЕЙ УЯЗВИМОСТЕЙ И УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
Валентин Валерьевич Селифанов
Управление ФСТЭК России по СФО, 630091, Россия, г. Новосибирск, Красный пр., 41, начальник отдела
Яна Викторовна Юракова
Новосибирский государственный университет экономики и управления, Россия, 630099, г. Новосибирск, ул. Каменская, 52, магистрант, тел. (906)195-59-91, e-mail: yana.yurackova@yandex.ru
Игорь Николаевич Карманов
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, кандидат технических наук, доцент, зав. кафедрой информационной безопасности, тел. (903)937-24-90, e-mail: i.n.karmanov@ssga.ru
В данной статье описана, разработанная авторами, методика выявления взаимосвязей между выявленными уязвимостями информационной системы и угрозами безопасности информации. В качестве основного источника сведений об угрозах и уязвимостях в информационных системах использован Банк данных угроз (БДУ) безопасности информации, разработанный Федеральной службой по техническому и экспортному контролю РФ.
Ключевые слова: угрозы безопасности информации, защита информации, уязвимости информационной системы.
THE METHOD OF AUTOMATIC IDENTIFICATION OF RELATIONSHIPS BETWEEN VULNERABILITIES AND THREATS TO INFORMATION SECURITY IN INFORMATION SYSTEMS
Valentin V. Selifanov
Department of the Federal Service for Technical and Export Control of Russia in the Siberian Federal District, 41, Krasny Prospect, Novosibirsk, 630091, Russia, Head of Department
Yana V. Yurakova
Novosibirsk State University of Economics and Management, 52, Kamenskaya St., Novosibirsk, 630099, Russia, Graduate, e-mail: yana.yurackova@yandex.ru
Igor N. Karmanov
Siberian State University of Geosystems and Technologies, 10, Plakhotnogo St., Novosibirsk, 630108, Russia, Ph. D., Associate Professor, Head of Department of, phone: (903)937-24-90, e-mail: i.n.karmanov@ssga.ru
The article describes, the developed by the authors, technique of identifying the relationships between the identified vulnerabilities of the information system and threats to information security. As the main source of information about threats and vulnerabilities in information systems, the data Bank of information security threats (BIST) developed by the Federal service for technical and export control of the Russian Federation was used.
Key words: threats of information security, information protection, vulnerabilities of information system.
Введение
При идентификации актуальных угроз в различных информационных системах (ИС), как правило, учитываются следующие характеристики: источник угрозы; уязвимости, способствующие ее возникновению; способ реализации угрозы; последствия деструктивного воздействия. Такая форма представления сведений об угрозе используется в «Банке данных угроз безопасности информации» (далее - БДУ), разработанном ФСТЭК России и опубликованном в форме электронного ресурса [1]. Он содержит сведения об основных угрозах и уязвимостях, характерных, в первую очередь, для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.
Для определения актуальных угроз нужно установить корректные взаимосвязи между параметрами, характеризующими угрозу. В описании каждой угрозы в БДУ содержатся сведения о типе нарушителя и его потенциале, способе реализации и возможных последствиях, что позволяет построить модель нарушителя и установить взаимосвязи между перечисленными параметрами угрозы.
Качественно иная ситуация имеет место при сопоставлении угроз и уязви-мостей, поскольку соответствующие каталоги представлены в банке угроз обособлено. Установление вручную связи между уязвимостями и угрозами с использованием БДУ является крайне трудоемкой задачей. На сегодняшний день соответствующие каталоги содержат сведения о 200 угрозах и 16000 уязвимо-стях, а сопоставление уязвимости c угрозой можно реализовать только посредством «поиска по тегам» [2]. Сказанное определяет актуальность представленного исследования, состоящего в проектировании и разработке автоматизированной технологии сопоставления угроз и уязвимостей с использованием БДУ и позволяющего снизить трудоемкость задачи создания модели угроз.
Цель работы: разработка алгоритма для автоматизированного анализа и сопоставления угроз и уязвимостей на основе электронного ресурса БДУ.
Методика, на основе которой осуществляется автоматизированный анализ и сопоставление угроз и уязвимостей, включает шесть этапов. На первом этапе оператор ИС формирует запрос, содержащий сведения о программном (или аппаратном) средстве с указанием формы прохождения процедуры аутентификации, способа и уровня сложности получения доступа.
Сведения о программном средстве включают:
- вендор - производитель программного обеспечения (ПО), в котором обнаружена уязвимость;
- наименование ПО (в котором обнаружена уязвимость);
- версия ПО.
Параметры «способ доступа», «сложность получения доступа» и «аутентификация» напрямую не указаны в качестве параметра в БДУ ФСТЭК России,
однако значения этих показателей заложены в базовом векторе уязвимости. В терминах критериев оценки уязвимостей аутентификация бывает: единственная (однофакторная), множественная (многофакторная), не требуется (отсутствие проверки подлинности пользователя).
На втором этапе происходит обработка запроса, и осуществляется выборка уязвимостей из БДУ в соответствии с введенными параметрами.
В случае ручного поиска угроз (с помощью встроенных средств фильтрации в БДУ ФСТЭК России) выборка уязвимостей осуществляется посредством метода экспертной оценки. Затем для каждой найденной уязвимости выделяются ключевые слова (теги), которые в дальнейшем вводятся в поле «контекстный поиск по названию угрозы», и таким образом, эксперт получает выборку угроз.
На третьем этапе рассчитывается значение базовой метрики вектора, основываясь на том факте, что сведения, предоставленные оператором на этапе построения запроса, полностью коррелируют с полями записи об угрозе в БДУ, за исключением сведений о программном или аппаратном средстве.
Для расчета значения базовой метрики (В5) вектора «СУББ» используется формула:
££ = Яоип (((0,6 • 1т) + (0,4 • Ех) - 1,5) • 1т),
где Яоип() - функция округления до десятков;
1т - оценка последствий реализации, а именно влияние на конфиденциальность (С), целостность (1), доступность (А). Для его расчета используется формула:
1т =10,41 • (1 - (1 - С) • (1 -1) • (1 - А)).
Ех - оценка нарушителя, учитывающая способ получения доступа (АР), сложность получения доступа (АС), а также способ аутентификации (Аи), вычисляется по формуле:
Ех = 20 • А¥ • АС • Аи.
На четвертом этапе, исходя из рассчитанных значений базовой метрики вектора «СУББ» [3,4] и имеющихся сведений об уязвимости в БДУ, исключаются те угрозы, у которых рассчитанный показатель отличается от значения, заданного в сведениях об уязвимости.
Таким образом, только в случае полного совпадения рассчитанного значения для угрозы и выгруженного параметра (значения базовой метрики вектора «СУББ») из сведений об уязвимости угроза включается в выборку.
На пятом этапе осуществляется отсеивание угроз на основе матрицы соответствия «Типа программного обеспечения» (запись об уязвимости в БДУ) и «Объекта воздействия» (запись об угрозе в БДУ).
На пересечении строк и столбцов матрицы экспертами выставляется определенный вес в диапазоне от 0 до 1. Пример назначения весов (заполнения матрицы соответствия) приведен в таблице. Шкала соответствия:
- «0» - тип ПО абсолютно не соответствует объекту воздействия;
- «0,5» - в случае наличия косвенной взаимосвязи между сравниваемыми категориями;
- «1» - полное соответствие типа ПО объекту воздействия.
Пример заполнения матрицы соответствия объектов воздействия
и типов ПО
^^^^^^^^ Тип ПО Объект —— воздействия " —— ПО виртуализации / ПО виртуального программно-аппаратного средства
Виртуальная машина 1
Защищаемые данные 0,5
Средство защиты 0
Правила определения весовых коэффициентов в матрице соответствия следующие. Весовой коэффициент «1» выставляется в том случае, если все эксперты считают, что тип ПО полностью соответствует объекту воздействия. В случае отсутствия связующих элементов между рассматриваемым типом ПО и объектом воздействия присваивается весовой коэффициент «0».
В случае возникновения спорной ситуации: когда хотя бы один эксперт считает, что тип ПО и объект воздействия косвенно взаимосвязаны, спор разрешается в пользу этого эксперта (присваивается вес 0,5), если он может привести аргументированное обоснование своей точки зрения.
Схематичное изображение правил приведено на рисунке.
Виртуальная машина - это компьютерная программа, представляющая имитацию оборудования. Виртуализация - это процесс представления чего-либо в противоположность его физической реализации. Соответственно на пересечении строки (объекта воздействия) и столбца (типа ПО) выставляется весовой коэффициент «1».
Защищаемые данные не являются ПО виртуализации, однако настройки средств виртуализации, конфигурации сети могут относиться к защищаемым данным, что является аргументом в пользу наличия косвенной связи. Экспертами было принято решение присвоить весовой коэффициент «0,5».
В связи с тем, что средство защиты не является компонентом ПО виртуализации, и ни один из экспертов не привел ни одного аргумента в пользу наличия косвенной взаимосвязи, на пересечении строки (объекта воздействия, а именно «средство защиты») и столбца (типа ПО, а именно «ПО виртуализации / ПО виртуального программно-аппаратного средства) был выставлен весовой коэффициент соответствия «0».
В качестве критичного значения для принятия решения о соответствии угрозы и уязвимости установлен коэффициент равный 0,5. Это позволяет сфор-
мировать наиболее полную выборку угроз за счет учета компонентов рассматриваемого объекта воздействия, относящегося к типу ПО.
Основные правила определения критериев соответствия
На заключительном этапе формируется итоговая таблица, содержащая полученные результаты об угрозах и уязвимостях, способствующих ее реализации и актуальных для данной ИС.
Заключение
Таким образом, цель, поставленная в данной работе, достигнута: разработан алгоритм для автоматизированного анализа и составления угроз и уязвимо-стей на основе электронного ресурса БДУ. На основе данного алгоритма разработано веб-приложение «ThreVulSec».
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Банк данных угроз ФСТЭК России [Электронный ресурс]. - Режим доступа : http://bdu.fstec.ru.
2. Селифанов В.В., Слонкина И.С., Юракова Я.В. Определение актуальных угроз безопасности информации в государственных информационных системах, используя Банк данных угроз // Наука. Технологии. Инновации: сборник научных трудов в 9 частях. -Новосибирск, 2016. - С. 69-71.
3. First (Forum of Incident Response and Security Teams) - Common Vulnerability Scoring System [Электронный ресурс]. - Режим доступа: https://first.org/cvss.
4. Блог компании «Positive Technologies» - «Оценка уязвимостей CVSS 3.0» от 10.09.2015 г. [Электронный ресурс]. - Режим доступа: https://habrahabr.ru/company/ pt/blog/266485/.
© В. В. Селифанов, Я. В. Юракова, И. Н. Карманов, 2018
