CC BY
146
27. Угрозы дня: Атаки методом Credential stuffing, статистика киберугроз. URL: https://www.comss.ru/ page.php?id=5403 (дата обращения 08.07.2019).
28. Утечки данных. Россия. 2018 год. URL: https://www.infowatch.ru/resources/analytics/reports/russia2018 (дата обращения 08.07.2019).
29. Фальконе Я. И., Гаценко О. Ю., Жигулин Г. П. Классификация основных характеристик информационных угроз в социальных сетях // Научно-технический вестник Поволжья. 2017. № 1. С. 100-102.
30. Фролов Н. В. Социальные сети как инструмент ведения информационных войн // Социодинамика. 2018. № 8. С. 1-6. DOI: 10.25136/2409-7144.2018.8.27128. URL: https://nbpublish.com/library_read_article.php?id=27128 .
31. Шакирьянов М. М. Пути повышения эффективности расследования преступлений экстремистской направленности в сети Интернет // Вестник Казанского юридического института МВД России. 2018. № 4 (34). С. 549-555.
32. Шумилова А. А. Информационно-коммуникативные риски виртуального пространства // Международный журнал гуманитарных и естественных наук. 2016. № 1-8. С. 160-165.
УДК 004.056
МИНИМИЗАЦИЯ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ МОДЕЛИРОВАНИЯ УГРОЗ БЕЗОПАСНОСТИ
MINIMIZATION OF INFORMATION SECURITY RISKS BASED ON MODELING SECURITY THREATS
И. И. Баранкова, У. В. Михайлова, М. В. Афанасьева
МГТУ им. Г. И. Носова, г. Магнитогорск, Россия
I. I. Barankova, U. V. Mikhailova, M. V. Afanasyeva
Nosov Magnitogorsk State Technical University, Magnitogors, Russia
Аннотация. Детально разработанные модели угроз безопасности информации (УБИ) позволяют оптимально проработать план защиты, который будет основан на актуальных угрозах и будет рассматривать эффективные контрмеры, повышающие уровень информационной безопасности (ИБ). Одной из основных целей моделирования является создание наиболее эффективной системы оценки состояния защищенности активов предприятия. Современные информационные системы (ИС) имеют достаточно сложную объектную структуру, а также предполагают многогранность понятий ИБ. Для описания модели угроз целесообразно использовать различные методологии автоматизации данного процесса с возможностью визуального представления структуры сложных объектов и процессов с необходимого ракурса и достаточной степенью детализации. Построение различных реализаций угроз в виде деревьев или графов атак (ГАт) является одним из актуальных направлений в оценке уровня защищенности ИС. После построения графа должна быть реализована проверка его свойств. Все угрозы, связи, их параметры определяются владельцами активов и специалистами в области ИБ. Устранение изъянов модели безопасности с полным перекрытием стало возможным при использовании. В таких моделях каждой угрозе противопоставляется свое средство защиты. В статье рассмотрено создание программного приложения для автоматизации и формализации процесса оценки ИБ активов ИС и локализации узких мест в системе защиты ИС. Особенностью созданного приложения является использование банка данных угроз ФСТЭК для моделирования дерева атак. Разработанное программное приложение позволяет сократить время, упростить процесс оценки защищенности ИС, а также визуализирует процесс моделирования угроз. Областью применения разработанного программного продукта могут являться организации малого и среднего бизнеса, а также государственные предприятия.
Ключевые слова: угрозы информационной безопасности, граф атак, контрмеры, информационные активы, модель безопасности.
DOI: 10.25206/2310-9793-7-4-60-66
I. Введение
Существует огромное количество актуальных для предприятия или организации потенциальных угроз. Вследствие этого процедура их определения и автоматизация процесса моделирования угроз становится достаточно сложной. Методики составления модели угроз сложны, особенно для средних и малых организаций, у
которых возможно не хватает ресурсов, чтобы разбираться в методиках и проводить длительные расчеты [1] Упрощение методик - это потенциальное снижение защищенности ИС. В текущих условиях это может привести к компрометации данных и финансовым потерям [2, 3]. Решить эту проблему позволяет автоматизация процесса моделирования угроз [4]. Средства моделирования угроз - это средства автоматизации типовых действий. Если по методике специалист получает адекватный, ожидаемый результат, то с использованием средств автоматизации результат будет получаться быстрее и проще. Имеющиеся на рынке решения либо могут быть применены лишь в процессе разработки ПО, либо являются внутренними решениями, либо нацелены на отдельные области. Универсального решения, соответствующего требованиям наших методик, пока не существует [5, 6].
II. Постановка задачи
Итогом процесса моделирования угроз является документ - модель угроз. В нем содержится перечень важных (актуальных) для защищаемого объекта угроз безопасности информации [7, 8]. Модель угроз может быть представлена как в виде перечня, так и деревом (графом), майндкартой или какой-либо другой удобной формой записи.
Определяется значение риска по приведенной ниже формуле:
Р = (Ст * ВуГ) / У, [9-12]
где Р - величина риска;
Ст - стоимость ресурса;
Вуг - вероятность угрозы;
У - величина уязвимости.
Задача управления рисками заключается в выборе обоснованного набора контрмер, позволяющих снизить уровни рисков до приемлемой величины. Стоимость реализации контрмер должна быть меньше величины возможного ущерба. Разница между стоимостью реализации контрмер и величиной возможного ущерба должна быть обратно пропорциональна вероятности причинения ущерба. При моделировании угроз специалистам необходимо знать помимо описания защищаемого объекта сами угрозы. Составление списка актуальных идентифицированных угроз на каждый идентифицируемый актив или группу активов реализуется после завершения анализа этих угроз. Список актуальных угроз формируется на основе теории графов.
III. Теория
Граф атак - это визуальное средство, используемое для документирования известных угроз безопасности конкретной архитектуры; короче говоря, он описывает пути, по которым злоумышленники могут достичь своих целей. Цель графа - документировать риски, известные на момент разработки системы, что помогает архитекторам и аналитикам понять систему и найти хорошие компромиссы, которые снижают эти риски. После того как риски определены и поняты таким образом, проект может быть уточнен итеративно, пока риск не станет приемлемым
Граф атак очень часто применяются для анализа потенциальных проблем функционирования разрабатываемого ПО и поиска путей разрешения этих проблем. Применение графов атак позволяет несколько упростить задачу аналитиков при исследовании проблемы безопасности и защищённости. Деревья атак обладают высокой наглядностью и позволяют хорошо структурировать всевозможные варианты потенциальных проблем для каждого из активов [6]. Для каждого актива следует построить его дерево атак, в котором попытаться перечислить все возможные пути осуществления атак на этот актив. Актив (или, скорее, его свойство безопасности - конфиденциальность, целостность, доступность, аутентичность и т. д.) ставятся во главу дерева, в самом дереве перечисляются пути и по возможности средства компрометации (нарушения) этого свойства безопасности. Деревья атак так же удобны для определения наиболее опасных и подлежащих обязательному исключению вариантов и разработки контрмер. Все разновидности атак необходимо закрыть контрмерой (на рис. 1 контрмеры представлены кругами с метками С1 ... С4). Какие-то контрмеры могут закрывать сразу несколько вариантов (например, для подцели 04 контрмера С2), а для некоторых вариантов, возможно, потребуется сразу несколько контрмер (для подцели 05 - контрмеры С2 и С3). Штриховая линия на рис. 1 обозначает, что узлы 04 и 05 маловероятны в случае организации атаки.
Дерево атак создается описанием всех возможных реализаций атак злоумышленником с учетом первоначальной конфигурации ИС. Также учитывается уровень знаний злоумышленника и его финансовые средства. На основе этого производится анализ защищенности ИС (определение узких мест), формируются рекомендации по устранению обнаруженных уязвимостей с учетом их уровня критичности. Все объекты графа атак можно подразделить на активы уязвимости и угрозы. Активы задаются вершинами графа. Все возможные последовательности действий нарушителя представляются дугами, связывающими вершины графа.
Рис. 1. Дерево атак с определением контрмер для всех вариантов реализации атаки
Представим систему защиты информации в виде ориентированного графа С = (Т, С), где вершинами Т = = 1,п, будут угрозы активам со стороны злоумышленников, а дугами С - их связи (рис. 2). При
этом каждая ^^^^ дуга будет обозначать связь угрозы Ькс угрозой , вероятная реализация которой является прямым следствием реализации угрозы Ьк.
Рис. 2. Граф угроз
На рис. 2 обозначены следующие величины:
- количество возникновений угроз II;
- вероятность исполнения угрозы
^ - коэффициент разрушительности, показывающий величину разрушительного воздействия угрозы на актив;
Ог. ^ О - совокупность активов или ресурсов, на которые направлена угроза II, О - множество активов, затронутых в модели;
- стоимость средств предотвращения и защиты от исполнения угрозы
Для выполнения задачи создания деревьев атак на ИС, была спроектирована БД «Угрозы ИБ системы» (рис. 3). Для автоматизации процесса моделирования создан объект БД «Активы», содержащий формализованный список активов ИС. В процессе создания модели угроз активы выбираются из связанного списка, и дерево атак заполняется связанными представлениями уязвимостей и угроз, соответствующих этому активу в БД.
Рис. 3. Структура БД Структура БД была сформирована соответствии с нормативными документами.
IV. Результаты разработки приложения для автоматизации составления модели угроз
Банк данных, в котором хранятся данные об активах, уязвимостях, угрозах и контрмерах, реализован на языке C# с использованием базы данных SQLite3. (рис. 4). Уязвимости и угрозы сформированы из банка данных ФСТЭК (рис. 5, 6).
Рис. 4. Просмотр таблицы «Активы»
Рис. 5. Актуализация уязвимости в соответствии с банком данных ФСТЭК
□ Банк данных
База данных
[isas -I тя _ _
ID Наименование Описания Вероятность Ущерб
Активы О 1 Угроза аппаратного сброса пароля BI Угроза заключается в возможно 1 м
Банк угроз 2 Угроза внедрения кода или данных Угроза заключается в возможно... 2 1
Банк уязвимостей 3 Угроза несанкционированного управл . .. Угроза заключается в возможно... 3 4
4 Угроза внедрения кода или данных Угроза заключается в возможно... 4 8
Уязвимости Документ MS Word с вредоностным к... Целевой пользователь открывав... 7 7
Угрозы 6 Программа-дроппер Дроппер является приложением,... 7 1
Контрмеры 7_ Средство удаленного админ-ния Lumin... Позволяет злоумышлинику удале... 4 5
8 DoS - атака через MS Office Позволяют удаленному злоумыш... 6 7
Уязвимостей
Угроз
Создать БД
нг >
№1
Рис. 6. Актуализация угроз в соответствии с банком данных ФСТЭК
Структура БД позволяет для каждого актива привязать уязвимости и угрозы, что позволяет эффективно находить детальную информацию об активе. Для удобства обновления банка данных пользователем, были реализованы дополнительные функции, такие как просмотр вспомогательных таблиц, заполнение описания и выбор шаблонных значений (рис. 7).
Рис. 7. Добавление описание для уязвимости
При запуске модуля «Моделирования угроз» выводиться список активов с полной информации из банка данных. Пользователь должен выбрать актив, который заносится в отдельный список. После выбора актива выводиться формализованный список по активу: уязвимости и угрозы (рис. 8).
Рис. 8. Модуль «Моделирование угроз»
Для визуализации графа строится орграф для выбранного актива и связанные с ним уязвимости и угрозы (рис. 9). _
Рис. 9. Визуализация графа по выбранному активу
V. Обсуждение результатов
Разработанная модель основана на модели угроз и уязвимостей. Для анализа рисков информации следует оценить все угрозы, которые оказывают воздействие на ИС. Также необходим анализ уязвимостей, через которые будут осуществляться угрозы. Проектирование актуальной для ИС компании модели угроз и уязвимостей осуществляется в соответствии с введенными данными. Полученная модель будет проанализирована на предмет вероятности реализации УБИ на каждый ресурс. В зависимости от результатов анализа будут оценены риски. Программа сортирует угрозы по уязвимостям и в первом этапе рассчитывается уровень угрозы по уязвимости. Дальше программа по сортированным данным рассчитывает уровень угрозы по всем уязвимостям. Заключительным этапом является расчет общего уровня угроз по активу. После нахождений всех значение программу визуализирует граф и в текстовом виде представляет сценарию атаки (рис. 10).
Атака эксплатирует уязвимость: ID[4] "Уязвимость библиотеки шрифтов операционной системы Windows"
Уровень угрозы по всем уязвимостям : 63,054% Наиболее вероятной атакой является:
Ш[б] "Программа-дроппер" Уровень угрозы по уязвимости : 42%
Общий уровень угроз по активу:
Рис. 10. Нахождение кратчайшего пути
VI. Выводы и заключение
Имеющаяся в приложении визуализация дает пользователю возможность увидеть построение атаки на ИС. Это существенно облегчит разработку структуры ИС в защищенном исполнении. Применяемый алгоритм, на основе нечеткой логики, позволяет анализировать информационные потоки, а так же находить наиболее критические угрозы и уязвимости ИС. Банк данных является расширяемым, что позволяет пользователю составлять свой формализованный список актуальных угроз и уязвимостей для своего предприятия. Структура БД спроектирована на основе БДУ ФСТЭК, поэтому данные хранящихся в приложении являются актуальными для базовой модели угроз. В модуле «Моделирование угроз» выдается информация по активу и с ним связанные уязвимости и угрозы, что позволяет подробно узнать об актуальности данного актива. Для каждого актива создается список графов с последующей визуализацией и расчетом.
В результате разработанное приложение имеет собственную БД, реализует визуализацию построения ГАт, что позволяет пользователю получать в удобном виде наиболее полную, адекватную и всестороннюю информацию о своей ИС.
Список литературы
1. Грибанова-Подкина М. Ю. Построение модели угроз информационной безопасности информационной системы с использованием методологии объектно-ориентированного проектирования // Вопросы безопасности. 2017. № 2. С. 25-34.
2. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Введ. 2004-01-01. М.: ИПК Издательство стандартов. 2002.
3. Нормативно-методический документ «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры». Утв. ФСТЭК России 18.05.2007.
4. Котенко И. В., Степашкин М. В., Богданов B. C. Интеллектуальная система анализа защищенности компьютерных сетей. URL: http://www.positif.org/docs/SPIIRAS-NCAr06-Stepashkin.pdf.
5. Sheyner O., Jha S., Wing J. Two Formal Analyses of Attack Graphs // II IEEE Computer Security Foundations Workshop. Cape Brenton, Nova Scotia, Canada. June 2002. P. 49-63.
6. Jajodia S., Noel S. Managing Attack Graph Complexity Through Visual Hierarchical Aggregation // II In 1st International Workshop on Visualization and Data Mining for Computer Security. Washington, DC, USA. October 2004. P. 109-118.
7. Положение по аттестации объектов информатизации по требованиям безопасности информации. Утв. ФСТЭК России 25 ноября 1994.
8. Stephenson P. Using formal methods for forensic analysis of intrusion events a preliminary examination. URL: http://www.imfgroup.com/Document Library.html.
9. Колегов Д. Н. Проблемы синтеза и анализа графов атак. URL: http://www.securitylab.ru/contest/ 299868.php. 2007.
10. Гаранжа А. В., Губенко Н. Е. Применение метода построения деревьев атак для защиты интернет -магазинов // Инновации в науке: материалы науч.о-технич. конф. студ., асп. и мол. учёных. Донецк, ДонНТУ. URL: http://masters.donntu. org/2017/fknt/garanzha/library/article2. htm. 2017.
11. Lippmann R. P., Ingols K. W., Piwowarski K. Practical Attack Graph Generation for Network Defense. URL: http://www.ll.mit.edu/IST/pubs/70.pdf.
УДК 004.056.53
РАЗРАБОТКА ПРОГРАММНО-АППАРАТНОГО СРЕДСТВА ВЫЯВЛЕНИЯ
СКРЫТЫХ USB-KEYLOGGER УСТРОЙСТВ
DEVELOPMENT OF SOFTWARE AND HARDWARE MEANS OF IDENTIFICATION OF HIDDEN USB-KEYLOGGER DEVICES
И. И. Баранкова, У. В. Михайлова, Г.И. Лукьянов
МГТУ им. Г. И. Носова, г. Магнитогорск, Россия
I. Barankova, U. V. Mikhailova, G. I. Lukyanov
Nosov Magnitogorsk State Technical University, Magnitogors, Russia
Аннотация. Выявление программных закладок keylogger является несложной задачей, реализуемой с помощью анализа программного кода и выявления подозрительной активности. Однако выявление таких закладок, выполненных в виде технического устройства, является затруднительной операцией в связи со скрытием электромагнитных полей таких устройств. Поэтому актуальность реализации программно-аппаратного модуля для выявления скрытых USB-keylogger устройств не вызывает сомнения. В статье представлены технические модули и структурная схема разработанного устройства. Продемонстрирован алгоритм выявления скрытых устройств. Проведен анализ работы устройства. Сформулированы выводы и рекомендации по выявлению скрытых keylogger закладок.
Ключевые слова: программно-аппаратный комплекс, защита информации, USB-keylogger, выявление скрытых устройств, анализ электрических показателей.
DOI: 10.25206/2310-9793-7-4-66-71
I. Введение
Развитие современного мира в области информационных и цифровых технологий располагает к усовершенствованию старых и появлению новых методов и способов шпионской разведки. Огромное разнообразие информации о программных и аппаратных решениях, реализующих каналы утечки, и информация о их реализации находится в интернете в свободном доступе, что позволяет злоумышленнику без затруднения воспользоваться необходимым устройством или программой. Одним из таких решений является кейлоггер (keylogger), который всем известен как программная закладка, позволяющая регистрировать различные действия пользователя: нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т. д.
Проведя анализ просторов интернета, можно получить огромный перечень программных разработок, реализующих функционал кейлоггера, который обновляется и пополняется каждый день. Защита от таких закладок заключается в обновлении операционной системы, наличии антивируса с обновляющейся базой и использовании других программных решений. Но, как всем известно, злоумышленник всегда на шаг впереди, чем средства защиты. Кроме программной реализации кейлоггера, существуют и аппаратные. Такие устройства представляют собой аппаратуру малых габаритов, которая может располагаться в непосредственной близости
