Научная статья на тему 'Методика формирования исходных данных для моделирования сетевых атак'

Методика формирования исходных данных для моделирования сетевых атак Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
129
25
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Лебедев Р. В.

Решение задачи моделирования сетевых атак предполагает наличие знаний о структуре изучаемой сети и уязвимостях ее объектов, которые способен использовать потенциальный злоумышленник. В докладе приведен метод автоматизированного поиска и формирования перечня уязвимостей оконечных узлов вычислительной сети.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Лебедев Р. В.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

THE METHOD OF FORMING INITIAL DATA FOR MODELING NETWORK ATTACKS

Resolving the problem of modeling network attacks requires knowledge of the structure of the studied networks and vulnerabilities of its facilities, which is capable of using a potential intruder. A method for automated searching and formatting the list of host vulnerabilities of computer networks is proposed.

Текст научной работы на тему «Методика формирования исходных данных для моделирования сетевых атак»

обязаны ежегодно проходить сертификацию на соответствие требованиям стандарта PCI DSS.

Поэтому основной задачей в настоящее время являются исследования и поиск решений в области развития технологий защиты в индустрии платежных карт.

Библиографическая ссылка

1. Взгляд на аудит сквозь призму стандарта PCI DSS [Электронный ресурс]. URL:

http://habrahabr.ru/post/! 14558/

Область применения стандарта PCI DSS

М. А. Kosenko, V. G. Mironova Tomsk state university of control systems and radioelectronics (TUSUR), Russia, Tomsk

FEATURES OF DATA SECURITY STANDARD OF PAYMENT CARD INDUSTRY PCI DSS

The main task now is to research and solve problems in the field of technology in securing the payment card industry. The need to protect the information is caused by storing a considerable amount of data, the unauthorized use of which results in financial losses and risks for both the cardholder and the bank.

© Косенко М. А., Миронова В. Г., 2012

УДК 004.662

Р. В. Лебедев

ОАО «Информационные спутниковые системы» имени академика М. Ф. Решетнева», Россия, Железногорск

МЕТОДИКА ФОРМИРОВАНИЯ ИСХОДНЫХ ДАННЫХ ДЛЯ МОДЕЛИРОВАНИЯ СЕТЕВЫХ АТАК

Решение задачи моделирования сетевых атак предполагает наличие знаний о структуре изучаемой сети и уяз-вимостях ее объектов, которые способен использовать потенциальный злоумышленник. В докладе приведен метод автоматизированного поиска и формирования перечня уязвимостей оконечных узлов вычислительной сети.

Защита информационных активов на сегодняшний день является одной из ключевых задач в обеспечении безопасности современного бизнеса. Классическим в решении этой задачи, безусловно, является экспертный подход, позволяющий обезопасить наиболее важные ресурсы информационной системы (ИС) на этапе ее проектирования и в дальнейшем -посредством правильной организации информационных потоков внутри нее. Однако глубокая интеграция

информационных технологий практически во все бизнес-процессы, а также увеличение размеров ИС, их структурной и топологической сложности затрудняет применение экспертного подхода и усиливает воздействие факторов расплаты: вероятности совершения ошибок в конфигурации технических средств, трудности в оценке информационных рисков.

Решение задачи автоматизации оценки рисков ИС, в свою очередь, требует попутного решения ряда

Решетневскце чтения

вспомогательных задач, таких как унификация описания объектов ИС, количественной оценки их уязви-мостей, математическое моделирование ИС и поведения злоумышленника. Для конкретной ИС также важна разработка методологии накопления опыта инцидентов информационной безопасности и его использование в дальнейших циклах оценки.

Нами предложена схема формирования базы данных об узлах ИС, описана структура этих данных, приведены источники сведений об уязвимостях объектов ИС и протоколов информационного взаимодействия. Оконечные узлы (хосты) ИС принято описывать набором значений, включающих идентификатор хоста, список активных сетевых сервисов, а также список связанных с ними уязвимостей. Формирование такого набора значений предложено осуществлять в несколько этапов с привлечением различных программных средств анализа управления сетевой инфраструктурой.

Обнаружение и идентификация хостов сети осуществляется посредством сетевого сканирования, исходными данными при этом являются сведения о сетевых зонах в ИС, а также заданный список искомых сетевых служб. Идентификатором хоста h считается его сетевой адрес (IP-адрес). Результатом сканирования h является список (p, s, i) сетевых сервисов, включающий номер порта p, названия программного обеспечения s, реализующего этот сервис, и его версию i. Пара (s, i) используется на следующем этапе как исходные данные для поиска уязвимостей хоста h.

Источником сведений о сетевых уязвимостях объектов ИС является база данных CVE (Common Vulnerabilities and Exposures - основные уязвимости и дефекты) [2], открытая для свободного доступа и формируемая мировым IT-сообществом. Каждая за-

пись CVE w связана с определенной уязвимостью объекта ИС, включает в себя описание источника уязвимости (программное обеспечение, компонент операционной системы и т. д.), оценку c уязвимости по шкале CVSS (Common Vulnerability Scoring System -общая система шкалирования уязвимостей) [1], пояснение механизма реализации уязвимости (для администраторов безопасности), а также формализованный список признаков L = {l1, ..., lm} присутствия данной уязвимости на рассматриваемом объекте. К таковым признакам могут быть отнесены: версия операционной системы и уязвимого программного обеспечения, характеристики программных библиотек (версия, размер и т. д.), политики прав пользователей, настройки безопасности и др. Признаки представлены в формате OVAL (Open Vulnerability and Assessment Language - язык оценки и описания уязвимостей) [3], разработанном для автоматизированного анализа уязвимостей.

Таким образом, запрос к базе CVE вернет список потенциальных уязвимостей V°(s, i) = {(w, c, L)} сетевого сервиса (s, i). Завершающий этап представляет собой проверку присутствия уязвимостей v из V°(s, i) на хосте h. Для реализации этого этапа необходимо использование специализированных средств анализа конфигурации программного обеспечения. В рамках настоящего исследования для этих задач используется средство управления рабочими станциями сети MS SCCM 2007.

По результатам проверки будет получен список V(s, i) уязвимостей, связанных с сетевым сервисом (s, i) хоста h. Полный цикл анализа хоста h позволит сформировать список Vh = {(w, c)} его сетевых уязвимостей и список открытых портов Ph, на которых располагаются уязвимые сервисы.

конфигурации ^ сети

i

"Ж"

CVE

192.168.14.С/24

р = 80

s = "IIS webserver" ¡= "6.0"

Описание признаков в формате OVAL

w = CVE-2010-1899 с = 4.3

БД

уязвимостеи узлов сети ___-

Сканирование сетевых узлов

Анализ данных сканирования

Аккумуляция списка уязвимостей хоста

Л = 192.168.14.1

Анализ параметров проверки уязвимости

SC/ícp http MS IIS webserver 6.0 135/tcp msrpc Windows RPC

Windows 2003x64 & версия asp51.dll >5.1.2600.6007 & OR Windows XPx64 SP2 & asp.dll> 6.0.3790.4735 & ... OR...

1

БД

конфигурации •---хостов____

h = 192.168.14.1, Ph = {80, 445,...}

Vh = {(CVE-2010-1899;4.3), (CVE-2010-1256;8.5),...}

Общая схема алгоритма формирования базы данных сетевых уязвимостей хостов ИС

По завершении алгоритма будет сформирован список H = {(h,Ph,Vh)} узлов ИС, включающий перечни актуальных для каждого из них уязвимостей. Построенный список является основой для моделирования сетевых атак при решении задачи оценки информационных рисков. Пара компонент (Н, РЙ) структуры (к, РЙ, позволяет применять данные о топологии сети для проверки связности пары хостов при совершении атаки, а список уязвимостей V - определять наличие уязвимости как необходимого условия ее реализации.

Описанный выше алгоритм схематически представлен на рисунке. Следует отметить, что приведенная схема отражаем минимальный набор функциональных узлов и последовательностей действий для получения результата. Для реализации алгоритма на

практике необходимо учитывать устаревание сведений в H с течением времени, а также малую вероятность охвата всех хостов сети при одном цикле сканирования.

Библиографические ссылки

1. Mell P., Scarfone K. A complete guide to the Common Vulnerability Scoring System Version 2.0 // NIST. 2007.

2. CVE Abstraction Content Decisions: Rationale and Application // The MITRE Corporation. 2005. URL: http://cve.mitre.org/cve/editorial_policies/cd_abstraction. html, free.

3. Baker J., Hansbury M., Haynes D. The OVAL® Language Specification // The MITRE Corporation. 2011.

R. V. Lebedev

JSC «Academician M. F. Reshetnev «Information Satellite Systems», Russia, Zheleznogorsk

THE METHOD OF FORMING INITIAL DATA FOR MODELING NETWORK ATTACKS

Resolving the problem of modeling network attacks requires knowledge of the structure of the studied networks and vulnerabilities of its facilities, which is capable of using a potential intruder. A method for automated searching and formatting the list of host vulnerabilities of computer networks is proposed.

© Лебедев Р. В., 2012

УДК 004.045

Ф. А. Лукин, А. В. Шахматов

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Россия, Красноярск

АППАРАТНАЯ БАЗА ХРАНЕНИЯ И ОБРАБОТКИ ТЕЛЕМЕТРИИ НА БОРТУ КОСМИЧЕСКОГО АППАРАТА*

Рассматривается возможность создания аппаратного хранилища телеметрии, анализируются преимущества данного подхода

В настоящее время предъявляются все более и более серьезные требования по обеспечению скорости выдачи телеметрии, целостности данных, журналиро-вании отказов и диагностики. Усложняются системы взаимодействия с космическим аппаратом (КА), увеличиваются объемы трафика телеметрии, но, несмотря на все достижения проектирования бортовых систем, имеется и ряд существенных недостатков и недоработок. Достаточно неполно используются возможности канала телеметрии - телекоманд. Непрерывный характер выдачи телеметрии обусловлен необходимостью передать как можно больше за как можно более короткий срок. Отсутствует организованное хранилище данных. Данные предоставляются в реальном времени, по текущему значению. Статистика отказов не ведется, журналирование отсутствует. Данные за-

писываются в сжатом виде в массивы данных, готовые для передачи на командно измерительную систему (КИС). К сожалению, такой способ организации бортовых данных является весьма неполным, всегда присутствует избыточность передаваемых в телеметрии данных за счет выдачи тех данных, которые не нужны в настоящий момент. Качественная диагностика спутника отсутствует, и о состоянии спутника судят по косвенным причинам, обнаруженным в ходе анализа принятых телеметрических данных уже на Земле. Выходом из данной ситуации является хранение и частичная предобработка телеметрии на борту КА. Для этого реализуется бортовое хранилище данных (БХД) и блок управления бортовым хранилищем данных (БУБХД).

*Работа выполнена в рамках реализации конкурса научно-технических исследований, разработок, инновационных программ и проектов для обеспечения конкурентных преимуществ экономики Красноярского края (Дополнительное соглашение от 05.07.2012 г. № 03/12 к Соглашению № 5 от 06.08.2009 г.).

i Надоели баннеры? Вы всегда можете отключить рекламу.