CC BY
15
МНОГОМАСШТАБНОЕ МОДЕЛИРОВАНИЕ ДЛЯ УПРАВЛЕНИЯ И ОБРАБОТКИ ИНФОРМАЦИИ
MULTISCALE MODELING FOR INFORMATION CONTROL AND PROCESSING
05.13.00 ИНФОРМАТИКА, ВЫЧИСЛИТЕЛЬНАЯ ТЕХНИКА
И УПРАВЛЕНИЕ
INFORMATICS, COMPUTER FACILITIES AND MANAGEMENT
2.3.6 МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ,
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ INFORMATION SECURITY METHODS AND SYSTEMS,
INFORMATION SECURITY
DOI: 10.33693/2313-223X-2022-9-1-11-20
Уточненный способ аналитического моделирования процессов распространения вирусного программного обеспечения для оценки защищенности объектов информатизации
И.В. Заводцев3 ©, М.А. Борисов'3 ©, Н.Н. Бондаренкос ©, В.А. Мелешко ©,
Московский государственный университет имени М.В. Ломоносова, г. Москва, Российская Федерация
a E-mail: nilrs@rambler.ru b E-mail: bma_mv@rambler.ru c E-mail: bondarenkonn.corp@gmail.com
Аннотация. Задача. Целью написания настоящей статьи является совершенствование безопасности информации в информационных системах. Модель. В статье предложен усовершенствованный способ аналитического моделирования процесса распространения вирусного программного обеспечения в информационных системах применительно к особенностям специального класса атак, реализуемых семейством вирусного программного обеспечения - шифровальщики. Выводы. Предложенный способ позволяет аналитически рассчитывать интенсивности заражения хостов защищаемой информационной системы вирусным программным обеспечением разных типов и использовать полученные характеристики в качестве исходных данных для итоговой оценки риска безопасности информации на защищаемом объекте информатизации. Ценность. Моделирование в среде математического пакета PTC Mathcad Prime 7 показало применимость предложенного подхода для аналитического моделирования угроз.
Ключевые слова: вирусное программное обеспечение, безопасность информации, информационная система, информационная безопасность, моделирование угроз безопасности, оценка риска информационной безопасности, система защиты информации, средства антивирусной защиты
ССЫЛКА НА СТАТЬЮ: Заводцев И.В., Борисов М.А., Бондаренко Н.Н., Мелешко В.А. Уточненный способ аналитиче ского моделирования процессов распространения вирусного программного обеспечения для оценки защищенности объектов информатизации // Computational nanotechnology. 2022. Т. 9. № 1. С. 11-20. DOI: 10.33693/2313-223X-2022 9-1-11-20
DOI: 10.33693/2313-223X-2022-9-1-11-20
A Refined Method for Analytical Modeling of the Processes of Spreading Virus Software to Assess the Security of Informatization Objects
I.V. Zavodtsev ©, M.A. Borisov ©, N.N. Bondarenko ©, V.A. Meleshko ©
Lomonosov Moscow State University, Moscow, Russian Federation
a E-mail: nilrs@rambler.ru b E-mail: bma_mv@rambler.ru c E-mail: bondarenkonn.corp@gmail.com
Annotation. Task. The purpose of writing this article is to improve the security of information in information systems. Model. The article proposes an improved method for analytical modeling of the process of spreading virus software in information systems in relation to the features of a special class of attacks implemented by the family of virus software - ransomware. Conclusions. The proposed method makes it possible to analytically calculate the intensity of infection of hosts of a protected information system with various types of virus software and use the obtained characteristics as initial data for the final assessment of the information security risk on the protected informatization object. Value. Modeling in the environment of the mathematical package PTC Mathcad Prime 7 showed the applicability of the proposed approach for analytical threat modeling.
Key words: virus software, Information system, Information Security, security threat modeling, information security risk assessment, information security system, anti-virus protection
FOR CITATION: Zavodtsev I.V., Borisov M.A., Bondarenko N.N., Meleshko V.A. A Refined Method for Analytical Modeling of the Processes of Spreading Virus Software to Assess the Security of Informatization Objects. Computational Nanotechno-logy. 2022. Vol. 9. No. 1. Pp. 11-20. (In Rus.) DOI: 10.33693/2313-223X-2022-9-1-11-20
ВВЕДЕНИЕ
В последние годы резко обострилась проблема обеспечения безопасности информационных систем (ИС), связанная с воздействием на них вирусного программного обеспечения. К сожалению, использование решений, построенных на базе превентивных технологий, а также систем, нацеленных точечно на обнаружение сложных вредоносных активностей только в сетевом трафике, не может быть достаточным для защиты организации от сложносоставных целенаправленных атак. Вместе с тем злоумышленники стали более агрессивны в своих атакующих подходах и более совершенны в организации всех этапов этого процесса. Так, атаки вирусов-шифровальщиков стали в мире угрозой номер один: в 2021 г. 51% компаний в мире столкнулись с требованиями вымогателей и 26% из них выплатили выкуп.
Значимой проблемой на этом фоне является и существенное снижение эффективности средств антивирусной защиты (САВЗ), связанное тем, что традиционные подходы сигнатурного анализа часто ориентированы на поиск совпадений с конкретными эксплойтами, а не на анализ условий эксплуатации уязвимостей. Например, вирус WannaCry использовал одну уязвимость, а имел более 400 модификаций эксплойтов к ней. Кроме того, широкое распространение получили технологии социальной инженерии: простейший скрипт разошлет десятки тысяч поддельных писем, бот будет стучаться в мессенджеры и социальные сети, а фишинговые сайты соберут богатый урожай паролей. У такой вирусной атаки нет особых сигнатур, ее нельзя отследить по логам межсетевого экрана.
Все это определяет необходимость реализации требуемого уровня защищенности объектов информатизации федеральных органов исполнительной власти (ФОИВ). Однако используемые в настоящий момент подходы к оценке защищенности имеют существенное ограничение - даже в документах Федеральной службы по техническому и экспортному контролю (ФСТЭК) актуальность (вероятность) вирусных атак предполагается оценивать экспертным методом [5; 13]. Подвержены этому недостатку и широко распространенные средства оценки риска: Microsoft Baseline Security Analyzer (MBSA), CRAMM, CounterMeasures, BCM-Analyser, а также отечественные «Гриф» и «Риск Менеджер».
Таким образом, существует потребность в разработке оригинального подхода, позволяющего снизить зависимость итоговой оценки защищенности объектов информатизации ФОИВ от субъективности экспертных методов.
1. ОЦЕНКА УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
Сложность выбора подхода к адекватной оценке текущего уровня защищенности ИС, а, следовательно, и беспристрастности подтверждения эффективности построенной системы защиты информации (СЗИ), связаны с использованием существующих требований нормативно-правового обеспечения безопасности информации, а также со сложившимися в информационной сфере подходах, которые отличаются от применяемых в традиционной инженерии [1-4].
В общем случае эффективность защиты (как таковой) оценивается по трем направлениям: достаточность;
адекватность полученному эффекту; качество реализации. Рассматриваемый критерий адекватности обычно оценивается методами анализа рисков [l; S], что позволяет определять: причины событий безопасности (идентификация событий); вероятность их возникновения; факторы, способные уменьшать вероятность возникновения опасных ситуаций.
В настоящий момент разработано значительное количество методик анализа рисков, применяемых области ИБ, в частности: AS/NZS 4360-2004 (Австралия), HB 16l:200X, EBIOS (Франция), ISO 2l005, MAGERIT, MARION, MEHARI, CRISAM, OCTAVE, ISO 31000, NIST SP S00-3 (США), SOMAP, Lanifex Risk Compass, Austrian IT Security Handbook, A&K Analysis, ISF IRAM (включая SARA, SPRINT), OSSTMM RAV, BSI 100-3, MG-2, MG-3 (Канада), SOMAP, IRAM, PC Банка России ИББС-2.2.
Данные методики анализа рисков разделяются на:
• методики, использующие оценку риска на качественном уровне (например, по шкале «высокий-низкий»);
• методики, использующие смешанные оценки (например, методика MSАТ);
• количественные методики (риск оценивается через числовое значение).
Несмотря на то, что количественная оценка имеет ряд ограничений из-за: неполноты информации о защищаемой ИС; недостатка информации о деятельности, подвергающейся оценке; отсутствии или не достаточно полных данных об инцидентах безопасности и влияния человеческого фактора, она являются более точным (менее субъективным) методом.
Поэтому для решения задачи количественного анализа рисков следует использовать статистические и вероятностные исследования математических моделей вычисления информационных рисков для объекта исследования.
2. ИЗВЕСТНЫЕ ПОДХОДЫ
К ОЦЕНКЕ УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ
За основу разрабатываемого способа количественной оценки рисков предлагается взять методологию оценки конфликта современных организационно-технических систем, частной задачей исследования которой является оценка защищенности эксплуатируемых компьютерных сетей от воздействия вирусного программного обеспечения (ПО) на узловые информационно-технические средства [9-12].
Обоснование выбора объекта моделирования заключается в том, что в последнее время атаки вирусов-шифровальщиков представляют значительную угрозу. Среди семейства вирусного ПО класса «вымогателей» выделяются: Sodinokibi (REvil), Maze, Phobos, Netwalker, Dharma/Crysis, Ryuk, DoppelPaymer и др. Общими чертами данного вида вирусного ПО являются: модульная архитектура с разным назначением модулей, встроенная возможность отключения или обхода САВЗ (обычно незаметная для пользователя), удаления резервных копий и архивов, а также «снимков» виртуальных машин.
Отмечается, что в большинстве случаев доставка вирусного ПО («вымогателя») на целевой компьютер осуществляется с использованием другого типа вирусного ПО («носителя»), тем самым образуя цепочку шагов по заражению хостов ИС, средняя продолжительность которой достигает от четырех до двадцати часов (9l% известных случаев) [16].
Наиболее релевантным исследованием моделирования процессов распространения вирусного ПО в ИС в этой
области является способ, предложенный в [10; 12]. При этом данный подход при моделировании процесса распространения вирусного ПО учитывает только два вида вирусов - скрытные и нескрытные, т.е. способные к самостоятельному инициированию сеанса связи между хостами или ожидающие штатного сеанса связи для своего распространения в сети. Это не позволяет оценивать процессы распространения ПО вирусов-шифровальщиков, тем самым сужая область применения указанного способа аналитического моделирования.
Поэтому целесообразно произвести модернизацию указанного подхода с учетом изменения типа и характера вирусных угроз современным информационным системам.
3. УТОЧНЕНИЕ АНАЛИТИЧЕСКОЙ МОДЕЛИ ПРОЦЕССА РАСПРОСТРАНЕНИЯ ВИРУСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ С УЧЕТОМ ПОЯВЛЕНИЯ СЕМЕЙСТВА «ВЫМОГАТЕЛИ»
Рассматривая процесс конфликта современных организационно-технических систем (например, конкурирующих организаций) важно учитывать динамику развития данного процесса. Применительно к рассматриваемым особенностям конфликта в информационной системе целесообразно использовать временные диаграммы, описывающие жизненный цикл системы после сбоя (рис. 1).
-О
PRO MAD Время реабилитации [Rehabilitation time]
Время восстановления [Recovery RNO _ ^ time]
-о
-о-
о-
о-
Рис. 1. Временные особенности влияния компьютерной атаки на ИС:
RPO - Recovery Point Objectives; RTO - Recovery Time Objectives; MAD - Maximum Allowable Downtime; 1 - последняя репликация системы (безопасное ПО ОС и прикладное ПО); 2 - сбой (атака); 3 - ИС/приложение восстановлено из резервной копии; 4 - возврат к выполнению требований политики безопасности ИС; 5 - возврат к полной работоспособности ИС
Fig. 1. Temporary effects of a computer attack on an information system (IS):
RPO - Recovery Point Objectives; RTO - Recovery Time Objectives; MAD -Maximum Allowable Downtime; 1 - latest system replication (base OS software and application software); 2 - fail (attack); 3 -IS/application restored from a backup; 4 - return to compliance with the requirements of the IS security policy; 5 - return to operation of the IS
Тогда, пусть ИС объекта информатизации состоит из N хостов и в различные моменты времени заражается V типами вредоносного ПО по qv экземпляров с различными вероятностями изначального заражения цд (g = 1...qv). Структура ИС задается среднестатистическими временными интервалами т.. с момента штатного инициирования i-м хоста сеанса связи с j-м хостом до момента окончания этого сеанса.
Дополнительно к разделению вирусного ПО, на способное обеспечивать и неспособное обеспечивать скрытность своего распространения, введем следующие типы вирусного ПО: несущие самостоятельную вредоносную нагрузку (вирусы 1-го типа) и выступающие в качестве средства доставки вирусов класса «вымогателей» (вирусы 2-го типа).
MULTISCALE MODELING FOR INFORMATION CONTROL AND PROCESSING
Скрытным вирусам обоих типов, находящимся в i-м узле, для заражения j-го хоста необходимо дождаться штатного сеанса связи между i-м и j-м узлами. А вот нескрытные вирусы обоих типов, попав в i-й узел, приступают к инициированию сеанса связи с j-м хостом независимо от штатных сеансов связи. При этом вирус-шифровальщик способен реализовать свое вредоносное воздействие только после попадания на целевую машину.
Немаловажно, что средства антивирусной защиты способны противодействовать как скрытному, так и нескрытному вирусному ПО обоих типов, если в их действующая база сигнатур содержит признаковые характеристики таких вре-доносов. Но, если действующая база сигнатур таковых признаковых характеристик вирусов (эксплоитов) не содержит, или она не обновлялась более двух недель, то эффективность противодействия САВЗ становится минимальной.
Как правило, вирусы-шифровальщики САВЗ определяются крайне редко, а излечение атакованного ими хоста на практике обеспечивается обычно через полное восстановление системы из резервной копии. С учетом этого временная диаграмма заражения j-го хоста вирусом 3-го типа, находящимся в i-м хосте, имеет вид, показанный на рис. 2. В точке 1 на временной оси вирус внедрился в i-й хост и начинает подготовку к своему размножению. Вирус готов к размножению из i-го узла в точке 3. От точки 3 до точки 5 вирус внедряется из i-го в j-й хост. Отметим, что вирус может не внедриться в узел - по причине информационной несовместимости, например, если вирусное ПО незнакомо с протоколами взаимодействия хостов или несовместимо со штатной операционной системой хоста. Так, в частности, в операционной системе (ОС) Astra Linux имеется возможность блокировки исполняемого бита для запрета установки любого программного кода без административных прав.
Подготовка к размножению в i-м хосте [Prepararon for reproduction on the i-th host]
Внедрение из i-го в i-й хост [Introduction from i-th to i-th host]
-o-©-©-©-
.—>—1__>
Излечивание i-го хоста (вариант 1) [i-th host cure (option 1)]
Излечивание i-го хоста (вариант 2) [i-th host cure (option 2)]
Излечивание i-го хоста (вариант 3) [i-th host cure (option 3)]
Рис. 2. Временная диаграмма заражения вирусным ПО 1-го типа хоста ИС объекта информатизации Fig. 2. Time diagram of infection by virus software of the 1st type of the host of the IS of the informatization object
Одновременно САВЗ i-го хоста делает попытку заблокировать работу вируса (излечить его). Блокирование вирусного ПО начинается с точки 1 и, в зависимости от текущего функционала САВЗ, имеет три варианта развития: заканчивается либо в точках 2 (вариант 1) или 4 (вариант 2), и тогда вирус не сможет размножиться, либо в точке 6 (вариант 3) и тогда - вирус размножается. Если же текущая конфигурация САВЗ не способна определить вредоносный код, то вирус размножается во всех точках.
Временная диаграмма заражения i-го хоста вирусным ПО 2-го типа, находящимся в i-м хосте, имеет вид, показанный на рис. 3.
Идентификация цели заражения вирусом-шифровальщиком
в i-м хосте [Identification of the target of infection by the ransomvare virus on the i-th host]
Вредоносное воздействие вируса-шифровальщика
на i-й хост [Malicious impact of the ransomvare virus on i-th host]
"0-©-
J
-ay
Излечивание i-го хоста от обоих классов вирусов (вариант 1) [Curing the i-th host from both classes of viruses (option 1)]
Излечивание i-го хоста от обоих классов вирусов (вариант 2) [Curing the i-th host from both classes of viruses (option 2)]
Y
Излечивание i-го хоста от обоих классов вирусов (вариант 3) [Curing the i-th host from both classes of viruses (option 3)]
-©-г
J '
-©-Г
J '
Рис. 3. Временная диаграмма заражения
вирусным ПО - носителем хоста информационной системы Fig. 3. Time diagram of infection by virus software -carrier of information system host.
В точке 1 на временной оси вирус-носитель внедрятся в i-й хост и обеспечивает до момента точки 3 проведение идентификации цели вирусом-шифровальщиком: насколько данная машина соответствует критериям, которые закладывались злоумышленником. Если данный узел опознан как цель, то от точки 3 до точки 5 теперь вирусное ПО «вымогателя» реализует процедуру преобразования системных и пользовательских данных i-го хоста для дальнейшего получения выкупа.
При этом САВЗ i-го узла тоже стремится блокировать (излечить) вирус-носитель (при наличии актуальной базы сигнатур вирусов). Блокирование начинается с точки 1 и, в зависимости от возможностей САВЗ, имеет также три варианта развития: заканчивается либо в точках 2 (вариант 1) и тогда вирус-шифровальщик не успевает реализовать свое вредоносное воздействие, т.е., по сути, САВЗ предотвращает оба вида вирусного воздействия, либо в точке 4 (вариант 2), - но тогда только вирус-носитель не может размножиться, а вот вирус-шифровальщик все равно реализует свою атаку (при наличии идентифицированной цели в данном сегменте сети). Причем, отличие точек 4 и 5 на оси времени достаточно условно: при разных условиях скорость работы САВЗ и скорость преобразования вирусом-шифровальщиком могут варьироваться, что способно привести к уже полной неработоспособности целевого хоста даже без излечения вируса-носителя.
Для полного восстановления работоспособности компьютера (вариант 3) в этом случае потребуется обязательное использование резервных копий базового и прикладного обеспечения, а также пользовательских данных, что занимает существенное время - отмечено на оси времени точкой 6.
Кроме того, на скорость блокирования работы (излечения) обоих типов вирусного ПО существенно влияют характеристики конкретного САВЗ. Дело в том, что производители таких средств выпускают широкую гамму защитных комплексов, интегрируя антивирусное ПО с другими модулями защиты от несанкционированного доступа (НСД), тем самым варьируя общий функционал готового решения. Да и фактическая реализация вендором модуля сканирования часто определяется опытом и уровнем инженерной школы организации-разработчика, что определило требование ФСТЭК
по использованию САВЗ разных производителей для защиты ИС всех классов (АВЗ.5) [3]. Соответственно, данный момент также целесообразно учитывать при моделировании процессов распространения вирусного ПО.
В общем случае, значение интервала внедрения вредоносного ПО у-го типа (скрытого и нескрытого) для связанных /-м и]-м хостов ИС определяется:
Га • +ß -, если V > а.. + В.;
J vij rvi' 'Vi Vij ~Vif
1 œ если вирус информационно
(1)
гДе avi
несовместим с узлом или V > а + в ,
' 1 V! V!]
интервал с момента готовности вируса у-го типа к заражению в /-м хосте до момента его внедрения в ]-й хост; ву! - интервал с момента внедрения вирусного ПО у-го типа в /-й узел до момента, когда это ПО будет готово к самодублированию; уу! - интервал с момента внедрения вирусного ПО у-го типа в /-й узел до момента, когда базовое ПО данного хоста будет восстановлено из резервной копии или будет излечено от данного типа вирусного ПО.
Определим порядок получения численных значений для показателей а , ву! и уу!. Для этого рассмотрим граф состояний хоста ИС (рис. 4).
Е7
Рис. 4. Граф состояний динамики конфликта вирусного ПО
(различных типов) и СЗИ типового хоста ИС Fig. 4. State graph of conflict dynamics between virus software (various types) and Information protection tools of a typical IS host
На рис. 4: A± - вирус-носитель внедрился в программную оболочку хоста и анализирует его текущее состояние; A2 - вирус-носитель использует функции программного обеспечения хоста в своих целях для самозапуска с использованием легальных инструментов типа PowerShell и т.д.; A3 - вирус-носитель производит разведку структуры и состава ИС и поиск целевой машины для вируса-шифровальщика; A4 - вирус-носитель производит заражение информационных ресурсов хоста путем своего самодублирования; A5 - вирус-носитель использует функции программного обеспечения хоста в своих целях для инсталляции и сборки модулей вредоносной нагрузки с использованием легальных инструментов типа PSEXEC, Batch-файлов и т.д.); A6 - комплексная система защиты проводит принудительный поиск деструктивных воздействий на ИС; A7 - вирус-шифровальщик осуществляет само-
модификацию своего состояния и идентификацию состояния целевых ресурсов; А8 - вирус-шифровальщик пытается отключить САВЗ; А9 - вирус-шифровальщик осуществляет вывод своего хоста из строя, если он определен как целевой; А10 - вирус-шифровальщик переходит в режим блокировки ресурсов и ожидания ввода ключевой информации для разблокировки; А11 - базовое программное обеспечение хоста очищено от всех видов вирусного ПО или восстановлено из резервной копии.
Эти состояния описывают существенные свойства моделируемой системы и в любой момент времени составляют полную группу событий (сумма вероятностей пребывания системы в каком-либо из событий в любой времени равна 1, то есть в каждый момент времени система достоверно находится в одном из множества состояний).
Так как интервал уу! в общем случае соответствует интервалу с момента внедрения вирусного ПО в /-й хост (состояние А±) при воздействии обоих типов вирусов до момента излечения или восстановления информационной системы из резервной копии (состояние А11), то для вычисления его численного значения целесообразно использовать метод аналитического описания процессов предложенный в [10; 11]. Данный подход обусловлен тем, что интервалы переходов конфликта вирусного ПО и системы защиты хоста из одного состояния в другое не носят экспоненциального характера, а соответствуют некой средней величине. Поэтому сущность метода сводится к преобразованию структуры дискретного процесса в непрерывную Марковскую цепь путем введения псевдосостояний.
В этом случае процесс конфликта будет описываться в виде системы обыкновенных линейных дифференциальных уравнений, где произвольная плотность распределения времени нахождения информационной системы в каждом из состояний с достаточной степенью точности аппроксимируется с помощью обобщенного закона Эрлан-га п-го порядка.
Для нахождения вероятностей состояния хоста ИС в нестационарном режиме (в ходе конфликта вирусного ПО и СЗИ) определение системы обыкновенных дифференциальных уравнений первого порядка (Колмогорова-Чепмена) осуществляется следующим порядком.
Дифференциальные уравнения (СДУ) составляются для каждой /-й вершины графа, т.е. число уравнений соответствует числу вершин графа. Для графа СДУ принимает следующий вид:
P'a2 (t p; (t -(m pA,(t p; (t p;(t p; (t p; (t p; (t n (t
= m5, 1 pA5 (t) + m3, 1 pA3 (t) - ((, 2 + mi, 6 + mi, 3 ) 'pA (t);
= mi, 2 pA1 (t) - (m2, 3 + m2, 4 + m2, 6 )pA2 (t^
= mi, 3 pAi (t) + m2, 3 pA2 (t) + m4, 3 pA4 (t) -1 + m3, 4 + m3, 5 )pA3 (t);
= m3, 4 pA3 (t) + m2, 4 pA2 (t) - (m4, 6 + m4, 11 + m4, 3 )\ (t^ = m3, 5 pA3 (t) - (m5, 1 + m5, 8 + m5, 7 ) 'PA5 (t); (2)
= m1, 6 pA1 (t) + m2, 6 pA2 (t) + m4, 6 pA4 (t) - m6, 11 pA6 (t); = m5, 7 pa,(t) + m8, 7 PA. (t) -m7, 8 pa,(t) -m,_9 PA, (t);
'5, 8rA5
pa, (t) + m7, 8 pA, (t) - m8, 7 PA. (t) - m8, 9 P. (t);
9 pA„ (t ) + m?. 9 ft (t
9 rAs\4 + m7, 9 rAv\4 m9, 10 pA9 p..(t);
p.A. (t );
= m9, 10 pA9 (t)- m.
(t ) + m6, 11 p.A (t ) + m4 11 pa
m,, =
Е
i, 6
MULTISCALE MODELING FOR INFORMATION CONTROL AND PROCESSING
4. СОВЕРШЕНСТВОВАНИЕ СПОСОБА МОДЕЛИРОВАНИЯ ПРОЦЕССОВ РАСПРОСТРАНЕНИЯ РАЗЛИЧНЫХ ТИПОВ ВИРУСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ИНФОРМАЦИОННОЙ СИСТЕМЕ С АНТИВИРУСНОЙ ЗАЩИТОЙ
Исходными данными для уточненного способа являются:
• количество хостов и серверов информационной системы
Кс);
• интервалы с момента инициирования хостами прямых и обратных соединений до момента окончания этих соединений (т.. и т.);
• количество типов вирусов-носителей (и);
• вероятности изначального заражения хостов ИС различными экземплярами вирусов-носителей (ци);
• интервалы внедрения нескрытных вирусов (ти);
• поведенческие характеристики вирусов-носителей на каждом хосте ИС, обусловливающие интервалы переходов
Е);
• интервал моделирования (Г0);
• точность численного метода решения Коши (Д).
Способ моделирования процессов распространения вирусного программного обеспечения включает следующие этапы.
Этап 1. Вычисление интервалов (у^) для каждого хоста ИС и каждого типа вирусного ПО, соответственно.
Этап 2. Представление ИС в виде ориентированного графа, в котором переходы характеризуются интервалами ти.., вычисляемыми по формуле (1).
Этап 3. Преобразование построенного графа ИС в марковскую цепь.
Этап 4. Вычисление вероятностно-временных характеристик заражения всех хостов ИС вирусным ПО всех типов через решение задачи Коши для каждого экземпляра каждого вирусного ПО.
Этап 5. Определение вероятностно-временной характеристики заражения каждого /-го хоста вирусным ПО каждого и-го типа по формуле:
45 = 1.5
Pjt ) =
{{ ч
(3)
Рис. 5. Граф № 1 развития конфликта в информационной системе с пятью рабочими станциями пользователей и двумя серверами Fig. 5. Graph № 1 of conflict development in an information system with five user workstations and two servers
СДУ в этом случае принимают вид (4), а с учетом преобразования в систему алгебраических уравнений приобретает вид с нулевыми левыми частями:
^ и) = + Т13 + Т14 + Т15 + Т16 )Р1 );
р; ) = Т12 ) + Тз2 Рз (0-(т23 +Т26 +^27 )Р ^ Р*, (* ) = Т13 ) + Т23 Р )-(Тз2 +Т37 + Т35 )Рз (0; Ра,(*) = Т14р1(*) + т64Р )- Т46р4 ); (4)
Р*5) = Т35 Р(*) + Т75 Р7) + Т15 Р^) Т57Р5);
Р'а, ) = Т16 Р1(* ) + Т26 Р2 ) + Т46 Р4 ) + Т76 Р7 )-(Тб4 +Т67 )Рб );
Р'а, ) = Т57 Р(* ) + Т67 Р (*) + Т27 Р2 (*) + Т37 Р3 (*)-(т76 +Т75 )Р7 ).
Для второго варианта примем, что в начальный момент времени заражается вирусным ПО - носителем нескрытного (2-го) типа хост № 1 (АРМ 1). Тогда граф процесса конфликта для данной информационной системы будет иметь вид, представленный на рис. 6.
Ч5 = °,5
где Рд[{) - вероятностно-временная характеристика заражения /-го хоста вирусным ПО и-го типа; - вероятность изначального заражения ИС вирусным ПО и-го типа.
Интервал моделирования Т0 равен полутора месяцам.
С учетом типовой политики безопасности, принятой в ФОИВ, заражение ИС может произойти из-за нарушения пользователем установленных правил ИБ, что приведет к внедрению вирусного ПО - носителя только в одну из рабочих станций.
Примем, что в начальный момент времени заражается вирусным ПО - носителем скрытного (1-го) типа хост № 1 (АРМ 1). Тогда граф процесса конфликта для данной информационной системы будет иметь вид, представленный на рис. 5.
Рис. 6. Граф № 2 развития конфликта в информационной системе с пятью рабочими станциями пользователей и двумя серверами Fig. 6. Graph № 2 of conflict development in an information system with five user workstations and two servers
СДУ в этом случае рассчитываются по формуле (4).
Аналитическое моделирование проводилось средствами математического пакета PTC Mathcad Prime 7. Выбор средства обусловлен удобной реализацией в нем естественного математического языка для описания решаемых задач.
1,0
0,8
0,6
0,4
0,2
0,0
p2
— p6
i
—■I._—
t
t
Рис. 7. График зависимости P1, P , P3, P , P5, P6, P7 состояний от времени t для значений интенсивностей заражения вирусным программным обеспечением 1 типа Fig. 7. Graph of dependences of P , P , P3, P4, P5, P6, P7 states on time t for the values of intensities of infection by virus software of the 1st type
Рис. 8. График зависимости P , P , P3, P , P5, P6, P7 состояний от времени t для значений интенсивностей заражения вирусным программным обеспечением 2 типа Fig. 8. Graph of dependences of Pv P2, P3, P4, P5, P6, P7 states on time t for the values of intensities of infection by virus software of the 2nd type
Полученные в ходе моделирования числовые значения интервалов с момента готовности скрытного вирусного ПО -носителем (1-го типа) к заражению в /-м хосте до момента его внедрения в j-й узел (а ) и используемые при дальнейшей оценке уровня защищенности моделируемой ИС, представлены на рис. 7 и в табл. 1.
Аналогичные данные о конфликте вирусного ПО - носителя 2-го типа и СЗИ, используемые при дальнейшей
оценке уровня защищенности, представлены на рис. 8 и в табл. 2.
В обеих таблицах выделены значения вероятностно-временных характеристик заражения хостов, отражающих интенсивности заражения хостов моделируемой ИС вирусным программным обеспечением разных типов, которые могут быть использованы в качестве исходных данных для расчета оценки уровня защищенности.
Таблица 1
Вероятностно-временные характеристики заражения хостов информационной системы вирусным ПО 1-го типа
(несущим самостоятельную вредоносную нагрузку) [Characteristics in time and in terms of probabilities of infection of information system hosts with virus software of the 1st type
(carrying an independent malicious load)]
Итерации [Iterations] Вероятностно-временные характеристики заражения хостов [Probabilistic-temporal characteristics of infection of hosts]
Pi P2 P3 P4 P5 P6 P7
1 0,819 0,052 1,593e-3 0,054 0,027 9,276e-3 6,279e-4
2 0,670 0,091 5,642e-3 0,099 0,049 0,017 2,257e-3
3 0,549 0,120 0,011 0,135 0,067 0,024 4,573e-3
4 0,449 0,140 0,018 0,165 0,082 0,030 7,339e-3
5 0,368 0,154 0,025 0,190 0,094 0,035 0,010
6 0,301 0,163 0,032 0,210 0,105 0,039 0,014
7 0,247 0,168 0,038 0,226 0,115 0,043 0,017
21 0,081
1080 0,442 0,398 0,080 0,080
MULTISCALE MODELING FOR INFORMATION CONTROL AND PROCESSING
Таблица 2
Вероятностно-временные характеристики заражения хостов информационной системы вирусным ПО 2-го типа (выступающим в качестве средства доставки вирусного ПО класса «вымогателей») [Characteristics in time and in terms of probabilities of infection of information system hosts with virus software of the 2nd type (acting as means of delivering virus software of the "ransomware' classes)]
Итерации [Iterations] Вероятностно-временные характеристики заражения хостов [Probabilistic-temporal characteristics of infection of hosts]
Pi P2 P3 P4 P5 P6 P7
1 1 0 1,593e-3 0,054 0,027 9,276e-3 6,279e-4
2 0,951 9,647e-3 5,642e-3 0,099 0,049 0,017 2,257e-3
3 0,905 0,019 0,011 0,135 0,067 0,024 4,573e-3
4 0,861 0,027 0,018 0,165 0,082 0,030 7,339e-3
5 0,819 0,035 0,025 0,190 0,094 0,035 0,010
6 0,779 0,042 0,032 0,210 0,105 0,039 0,014
7 0,741 0,043 0,038 0,226 0,115 0,043 0,017
33 0,110 0,076
62 0,0270
306 0,366
1080 0 0 0 0,292 0,506 0,039 0,013
5. АЛЬТЕРНАТИВНЫЙ СПОСОБ МОДЕЛИРОВАНИЯ ПРОЦЕССОВ РАСПРОСТРАНЕНИЯ
ВИРУСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
С ИСПОЛЬЗОВАНИЕМ
МАТРИЦ ПЕРЕХОДА ВЕРОЯТНОСТЕЙ
В области оценки кредитных рисков применяются матрицы миграций (или матрицы переходных вероятностей), которые показывают, как изменится распределение внутри групп риска в следующий момент времени. При этом под группами риска могут быть как группы ссуд с одинаковым диапазоном просрочки (0 дней, 1-30 дней, 31-90 дней и так далее) или рейтингом по внутренней шкале (например, для подхода, основанного на внутренних рейтингах, или ШВ (ПВР) - подход [6]). При этом логично, что периодами времени между переходами являются периоды, за которые могут произойти существенные изменения, например для разбивки по группам просрочки кредита выше логично в качестве интервала выбрать период 30 дней.
Матрица миграций за период времени [(■, t + Д^:
M (At ) =
, (At) - mln (At))
vmm(At) ••• mnn(At)j
(5)
где элемент т.Ш) = Р[в(■ + Д^ = . V в(■) = / ] > 0, V/,. е {1, ... , п}, представляет собой вероятности изменения группы риска (в) с / в момент времени ■ на группу риска . в момент времени ■ + Дt. В данном случае порядок распо-
ложения групп риска не важен, но для удобства анализа таблицы группы риска, как правило, располагают по строкам и столбца матрицы в порядке увеличения или уменьшения группы риска. Фактически можно представить, что переход за период времени Дt происходит из строки (группы риска по строке) в столбец (группу риска по столбцу) с вероятностью, указанной на их пересечении. Естественно, что сумма значений каждой строки и столбца равны 100%, так как множество вероятных исходов полностью описывается набором состояний от 1 до п.
В основе процесса миграции из одной группы риска в другую заложены два важных предположения:
• процесс является Марковским, то есть вероятность перехода в будущее состояние ] зависит только от текущего состояния и не зависит от того, в какой группе риска система находилась ранее;
• однородность во времени, то есть вероятности перехода зависят только от промежутка времени Дt и остаются постоянными во времени.
Важно отметить, что в более сложных примерах из реальной жизни элементы матрицы могут быть функциями от времени, но данный случай для простоты опустим.
Использование матриц миграции позволяет оценить на любой кратный Дt промежуток времени в будущем или прошлом распределение по группам риска, если известно текущее состояние, путем простого последовательного перемножения вектора распределения по группам риска в текущий момент времени на необходимое число матриц миграций. Также можно оценить устойчивость системы, найдя значение конечного распределения на бесконечно уда-
ленном интервале времени используя стандартные методы оценки матриц перехода при Дt ^
При этом для случая графа состояний динамики конфликта вирусного ПО и СЗИ, изображенного на рис. 4, матрица миграций будет выглядеть следующим образом:
Л
(6)
ЗАКЛЮЧЕНИЕ
В статье проведено исследование существующих подходов к оценке уровня защищенности информационных систем для информационных систем объектов информатизации ФОИВ. Получены следующие результаты.
1. Усовершенствован известный способ аналитического моделирования процесса распространения вирусного программного обеспечения в ИС применительно к особенностям такого специального класса атак, как семейство вирусного программного обеспечения -шифровальщики. Это позволяет аналитически рассчитывать коэффициенты значимости актуальных угроз, необходимые для определения итоговой оценки риска безопасности информации на защищаемом объекте информатизации.
2. С использованием математического пакета PTC Mathcad Prime 7 проведена апробация предложенного способа аналитического моделирования процессов распространения разных типов вирусного ПО, позволившая рассчитать значения вероятностно-временных характеристик заражения хостов ИС.
Поставленные задачи решены с применением методов теории вероятности, математической статистики и статистического моделирования, оценки рисков.
Достоверность и обоснованность полученных результатов обеспечивается: их соответствием положениям теории вероятности; согласованием результатов, полученных с помощью математических программных пакетов, с результатами исследований других авторов.
Научную новизну составляют усовершенствованный способ аналитического моделирования процесса распространения вирусного программного обеспечения в информационных системах, отличающийся от известных учетом поведенческих характеристик отдельного класса вирусного программного обеспечения (шифровальщики) и особенностей его конфликта с комплексной системой защиты информации от НСД.
Практическая ценность работы определяется возможностью на основе передоложенного способа формировать и поддерживать в актуальном состоянии модель угроз безопасности информации в условиях деструктивных информационно-технических воздействий на защищаемый объект информатизации.
Литература
References
1. Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» // Российская газета. 26.06.2013. № 136.
2. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» // Российская газета. 22.05.2013. № 107.
3. Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». URL: http://www.pravo.gov.ru
4. Методический документ. Меры защиты информации в государственных информационных системах (утв. ФСТЭК России 11.02.2014). URL: https://fstec.ru
5. Методический документ. Методика оценки угроз безопасности информации (утв. ФСТЭК России 05.02.2021). URL: https://fstec.ru
6. Положение Банка России от 06.08.2015 № 483-П «О порядке расчета величины кредитного риска на основе внутренних рейтингов» (вместе с «Требованиями к качеству данных, используемых банками для создания и применения моделей количественной оценки кредитного риска для целей расчета нормативов достаточности капитала») // Вестник Банка России. 29.09.2015. № 81.
7. ГОСТ Р 58771-2019. Национальный стандарт Российской Федерации. Менеджмент риска. Технологии оценки риска (утв. и введен в действие приказом Росстандарта от 17.12.2019 № 1405-ст). М.: Стандартинформ, 2020.
8. ГОСТ Р ИСО/МЭК 27001-2021. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (утв. и введен в действие приказом Росстандарта от 30.11.2021 № 1653-ст). М.: Стандар-тинформ, 2022.
9. Бойко А.А. Способ разработки тестовых удаленных информационно-технических воздействий на пространственно-распределенные системы информационно-технических средств // Информационно-управляющие системы. 2014. № 3. С. 84-92.
1. Order of the FSTEC of Russia dated February 11, 2013 No. 17 "On approval of requirements for the protection of information that does not constitute a state secret contained in state information systems". Rossiyskaya Gazeta. 06.26.2013. No. 136.
2. Order of the FSTEC of Russia dated February 18, 2013 No. 21 "On approval of the Composition and content of organizational and technical measures to ensure the security of personal data during their processing in personal data information systems". Rossiyskaya Gazeta. 05.22.2013. No. 107.
3. Order of the FSTEC of Russia dated December 25, 2017 No. 239 "On approval of the Requirements for ensuring the security of significant objects of critical information infrastructure of the Russian Federation". URL: http://www.pravo.gov.ru
4. Methodological document. Information protection measures in state information systems (approved by the FSTEC of Russia on February 11, 2014). URL: https://fstec.ru
5. Methodological document. Methodology for assessing threats to information security (approved by the FSTEC of Russia on February 5, 2021). URL: https://fstec.ru
6. Bank of Russia Regulation No. 483-P dated August 6, 2015 "On the procedure for calculating the amount of credit risk based on internal ratings" (together with the "Requirements for the quality of data used by banks to create and apply models for quantitative assessment of credit risk for the purposes of calculating capital adequacy ratios"). Bulletin of the Bank of Russia. 09.29.2015. No. 81.
7. GOST R 58771-2019. National standard of the Russian Federation. Risk management. Risk assessment technologies (approved and put into effect by the Order of Rosstandart dated December 17, 2019 No. 1405-st). Moscow: Standartinform, 2020.
8. GOST R ISO/IEC 27001-2021. National standard of the Russian Federation. Information technology. Methods and means of ensuring security. Information security management systems. Requirements (approved and put into effect by the Order of Rosstandart dated November 30, 2021 No. 1653-st). Moscow: Standartinform, 2022.
9. Boyko A.A. Method for developing test remote information and technical influences on spatially distributed systems of information and technical means. Information and Control Systems. 2014. No. 3. Pp. 84-92. (In Rus.)
10. Бойко А.А. Модель информационного конфликта специального программного средства и подсистемы защиты информации информационно-технического средства // Радиотехника. 2015. № 4. С. 136-141.
11. Бойко А.А. Способ аналитического моделирования процесса распространения вирусов в компьютерных сетях различной структуры // Труды СПИИРАН. 2015. Вып. 5 (42). С. 196-211.
12. Борисов М.А., Голод В.В., Осадчий А.И., Трофимов В.В. Модель несанкционированного доступа к информации в динамически изменяемых условиях // Программные продукты и системы. 2005. № 4. С. 45-48.
13. Борисов М.А., Заводцев И.В. Инструментальные средства оценки уязвимостей в автоматизированных системах. Научный журнал Вестник РГГУ. Серия: Информатика. Защита информации. Математика. 2010. № 12 (55)/10. С. 259-262.
14. Борисов М.А., Заводцев И.В., Чижов И.В. Основы программно-аппаратной защиты информации. № 1. 5-е изд., сущ. пер. и доп. М.: Либроком, 2019. 464 с.
15. Козленко А.В. Метод оценки уровня защиты информации от НСД в компьютерных сетях на основе графа защищенности // Труды СПИИРАН. 2012. Вып. 2 (21). С. 41-55.
16. The DFIR report. Real intrusions by real attackers, the truth behind the intrusion. URL: https://thedfirreport.com
СВЕДЕНИЯ ОБ АВТОРАХ
Заводцев Илья Валентинович, кандидат технических наук, доцент; доцент кафедры Московского государственного университета им. М.В. Ломоносова. Москва, Российская Федерация. E-mail: nilrs@rambler.ru Борисов Михаил Анатольевич, доцент кафедры Московского государственного университета им. М.В. Ломоносова. Москва, Российская Федерация. E-mail: bma_mv@rambler.ru
Бондаренко Николай Николаевич, аспирант Московского государственного университета им. М.В. Ломоносова. Москва, Российская Федерация. E-mail: bondarenkonn.corp@gmail.com
Мелешко Владимир Александрович, студент Московского государственного университета им. М.В. Ломоносова. Москва, Российская Федерация
10. Boyko A.A. Information conflict model of a special software tool and information security subsystem of an information technology tool. Radio Engineering. 2015. No. 4. Pp. 136-141. (In Rus.)
11. Boyko A.A. A Method for analytical modeling of the process of virus spread in computer networks of different structures. Proceedings of SPIIRAS. 2015. Vol. 5 (42). Pp. 196-211. (In Rus.)
12. Borisov M.A., Golod V.V., Osadchiy A.I., Trofimov V.V. Model of unauthorized access to information in dynamically changing conditions. Software Products and Systems. 2005. No. 4. Pp. 45-48. (In Rus.)
13. Borisov M.A., Zavodtsev I.V. Vulnerability assessment tools in automated systems. Scientific Journal Vestnik RGGU. Series Informatics. Data protection. Maths. 2010. No. 12 (55)/10. Pp. 259-262. (In Rus.)
14. Borisov M.A., Zavodtsev I.V., Chizhov I.V. Fundamentals of software and hardware information protection. No. 1. 5th ed., Ex. per. and additional. Moscow: Librokom, 2019. 464 p.
15. Kozlenko A.V. Method for assessing the level of information protection against unauthorized access in computer networks based on the security graph. Proceedings of SPIIRAS. 2012. Vol. 2 (21). Pp. 41-55. (In Rus.)
16. The DFIR report. Real intrusions by real attackers, the truth behind the intrusion. URL: https://thedfirreport.com
- заместитель генерального
ABOUT THE AUTHORS
Ilia V. Zavodtsev, Cand. Sci. (Eng.), Associate Professor; associate professor at the Lomonosov Moscow State University. Moscow, Russian Federation. E-mail: nilrs@ rambler.ru
Mikhail A. Borisov, associate professor at the Lomonosov Moscow State University. Moscow, Russian Federation. E-mail: bma_mv@rambler.ru
Nikolai N. Bondarenko, PhD student at the Lomonosov Moscow State University. Moscow, Russian Federation. E-mail: bondarenkonn.corp@gmail.com Vladimir A. Meleshko, student at the Lomonosov Moscow State University. Moscow, Russian Federation
Статья проверена программой Антиплагиат. Оригинальность - 82%
Рецензент: Тимошенко А.В., доктор технических наук, профессор; начальник комплексного отдела конструктора АО «Радиотехнический институт имени академика А.Л. Минца»
Статья поступила в редакцию 10.02.2022, принята к публикации 14.03.2022 The article was received on 10.02.2022, accepted for publication 14.03.2022
