МЕТОДИКА  ПОСТРОЕНИЯ  ГРАФОВ  АТАК ДЛЯ  СИСТЕМ  АНАЛИЗА СОБЫТИЙ  БЕЗОПАСНОСТИ

Чечулин  Андрей  Алексеевич

науч.  сотр.,  Санкт-Петербургский  институт

  информатики  и  автоматизации  РАН  (СПИИРАН),

  г.  Санкт-Петербург

Е-mail: 

TECHNIQUE  OF  ATTACK GRAPHS  BUILDING  FOR  SYSTEMS OF  SECURITY  EVENT  ANALYSIS

Andrey  Chechulin

Researcher,  St.Petersburg  Institute  for  Informatics  and  Automation 

of  the  Russian  Academy  of  Sciences  (SPIIRAS),

  St.  Petersburg

Работа  выполняется  при  финансовой  поддержке  РФФИ,  программы  фундаментальных  исследований  ОНИТ  РАН,  Министер­ства  образования  и  науки  Российской  Федерации  (государственный  контракт  11.519.11.4008),  при  частичной  финансовой  поддержке,  осуществляемой  в  рамках  проектов  Евросоюза  SecFutur  и  MASSIF,  а  также  в  рамках  других  проектов.

АННОТАЦИЯ

Данная  работа  посвящена  исследованию  задачи  учета  сетевых  событий,  происходящих  в  реальном  времени,  в  системах  модели­рования  сетевых  атак.  Объектом  исследования  является  процесс  моделирования  сетевых  атак.  В  статье  рассматриваются  основные  входные  и  выходные  данные  системы  моделирования  и  информа­ционные  потоки  внутри  нее.  Также  в  данной  работе  приведено  описание  разработанного  прототипа  системы  моделирования.

ABSTRACT

This  paper  is  devoted  to  techniques  for  security  event  processing  in  the  attack  modelling  systems.  The  object  of  this  research  is  the  process  of  network  attack  modelling.  In  the  paper  the  main  input  and  output  data  as  well  as  the  internal  information  flows  for  attack  modelling  system  are  considered.  Also  the  description  of  implemented  prototype  is  presented.

Ключевые  слова:  графы  атак;  обработка  событий  безопасности;  обнаружение  нарушителей.

Keywords:  attack  graphs;  processing  of  the  security  event;  malefactors  recognition.

Введение

Основными  задачами  систем  управления  информацией  и  собы­тиями  безопасности  (Security  Information  and  Event  Management,  SIEM)  являются  сбор,  обработка  и  анализ  событий  безопасности,  обнару­жение  в  режиме  реального  времени  атак  и  нарушений  политик  безопасности,  оценка  защищенности  ресурсов,  выработка  и  принятие  решений  по  защите  информации  [2,  3]. 

В  SIEM-системах  нового  поколения  анализ  событий,  инцидентов  и  их  последствий  включает  процедуры  моделирования  событий  и  атак,  анализа  уязвимостей  и  защищенности  системы,  определения  харак­теристик  нарушителей,  оценки  риска,  прогнозирования  событий  и  инцидентов. 

Предполагается,  что  моделирование  инцидентов  и  событий  безопасности,  основанное  на  автоматических  механизмах,  которые  используют  информацию  об  истории  анализируемых  сетевых  событий  и  прогнозе  будущих  событий,  а  также  реализующее  автоматическую  подстройку  параметров  мониторинга  событий  к  текущему  состоя­нию  защищаемой  системы,  позволит  повысить  уровень  защищен­ности  сети  [8].

Поскольку  результаты  работы  подсистемы  моделирования  атак  часто  не  могут  быть  вычислены  в  реальном  времени,  их  использование  в  процессах  реального  времени  затруднено.  Однако,  построенные  графы  атак  сохраняют  актуальность  достаточное  время  (до  значи­тельных  изменений  в  политике  безопасности  или  физической  топологии  сети).  Благодаря  этому  в  рамках  общей  системы  анализа  событий  предлагается  использовать  построенные  заранее  графы  атак.  Эти  графы  атак  могут  применяться  для  решения  двух  основных  типов  задач:  для  предсказания  последующих  действий  нарушителя  и  для  анализа  и  выявления  его  прошлых  действий,  приведших  систему  к  текущему  состоянию. 

Методика  построения  графов  атак

Графы  атак  применяются  в  системах  аналитического  моделиро­вания  атак  для  оценки  уровня  защищенности  системы  к  потенциально  возможным  атакам  и  улучшения  точности  определения  атакующих  действий  осуществленных  нарушителем.  При  этом  главной  проблемой  моделирования  атак  в  существующих  системах  управления  информа­цией  и  событиями  безопасности  является  невозможность  выполнения  моделирования  в  реальном  времени.  Для  решения  этой  проблемы  предлагается  разделить  процесс  построения  графов  на  подготовительный  (не  real-time)  и  рабочий  (near  real-time)  этап.  В  данной  работе  представлен  подход  к  построению  графов  атак  на  подготовительном  этапе.

На  этапе  подготовки  к  построению  деревьев  атак,  для  каждого  хоста  строится  3-х  мерная  матрица  по  следующим  данным:  (1)  класс  атак  (сбор  данных,  подготовительные  действия,  повышение  приви­легий,  выполнение  цели  атаки);  (2)  необходимый  тип  доступа  (удаленный  источник  без  прав  доступа,  удаленный  пользователь  системы,  локальный  пользователь  системы,  администратор);  (3)  уровень  знаний  нарушителя  (типы  уязвимостей,  которые  нарушитель  может  реализовывать).

В  результате,  для  каждого  хоста  формируется  список  возможных  атакующих  действий  разбитых  в  группы  по  следующим  параметрам:  класс  атаки,  необходимый  тип  доступа  и  необходимый  уровень  знаний  нарушителя,  а  для  каждой  группы,  в  свою  очередь,  формируется  список  конкретных  атак  и  уязвимостей,  которые  эти  атаки  реализуют.  Общий  список  уязвимостей  формируется  на  основе  описания  программно  аппаратного  обеспечения  хоста  на  языке  CPE  [4]  и  таких  открытых  баз  уязвимостей  как  NVD  (“National  Vulnerability  Database”).  Так  же  источниками  данных  об  открытых  уязвимостях  могут  служить  отчеты  сканнеров  безопасности,  таких  как  Nessus,  MaxPatrol.  Уязвимости  в  системе  хранятся  в  формате  CVE  [5].

Кроме  отдельных  уязвимостей  при  построении  графа  атак  используются  шаблоны  атак  в  формате  CAPEC  [6],  которые  могут  выступать  не  только  в  качестве  входной  информации  для  построения  графов  атак,  но  и  как  результат  анализа  безопасности  —  они  могут  описывать  наиболее  часто  встретившиеся  последовательности  эксплуатаций  уязвимостей  и  других  действий  атакующего  [1].

Следующая  стадия  атаки  —  поиск  уязвимого  программного  обеспечения.  Для  этого  используются  следующие  шаблоны:  CAPEC-310  (Scanning  for  Vulnerable  Software),  CAPEC-300  (Port  Scanning)  и  т.  д.  На  третьей  стадии  проведения  атаки  используются  как  отдельные  уязвимости  из  словаря  CVE,  так  и  шаблоны,  например,  CAPEC-233  (Privilege  Escalation)  и  т.  д.

После  формирования  матрицы  потенциальных  атак  для  каждого  хоста,  для  анализируемой  сети  выбираются  возможные  типы  наруши­телей  и  точки  доступа,  в  которых  они  могут  получить  доступ  к  сети. 

Далее,  для  каждой  выбранной  модели  нарушителя  составляется  список  возможных  целей.  Так,  для  внутреннего  пользователя  это  может  быть  месть  (т.  е.  причинение  максимального  ущерба  компании),  для  внешнего  хакера  —  это  может  быть  доступ  к  некоторой  конфиденциальной  информации  расположенной  на  опре­деленном  сервере  внутри  сети,  а  для  червя,  целью  может  быть  распространение  инфекции  по  сети. 

Соответственно,  моделью  нарушителя  для  конкретной  сети  является  множество  пар  (тип  нарушителя,  цель),  которые  определяют  ограничения  по  использованию  атакующих  действий  и  возможные  начальные  точки  доступа  в  сеть.  После  этого  на  основе  собранной  информации  формируются  графы  атак  для  всех  выбранных  моделей  нарушителя. 

Заключение

В  настоящей  работе  предложена  методика  построения  графов  атак,  предназначенная  для  повышения  точности  и  оперативности  обнаружения  атак  в  общем  потоке  событий.  Кроме  того,  анализ  графов  атак,  построенных  по  предложенной  методике,  позволяет  оценить  общий  уровень  защищенности  сети,  выявить  слабые  места  и  оценить  возможные  контрмеры,  направленные  на  повышение  уровня  защищен­ности  сети.  Новизна  подхода  заключается  в  способе  построения  графов  атак  (он  позволяет  строить  многоуровневые  модели  сценариев  атак  на  основе  как  известных,  так  и  предполагаемых  (нулевого  дня)  уязвимостей)  и  применении  графов  атак  и  зависимостей  сервисов  для  расчета  метрик  безопасности.

В  настоящее  время  продолжаются  исследования  способов  позволяющих  повысить  эффективность  построения  графов  атак,  и,  продолжается  разработка  программного  прототипа  подсистемы  моделирования  атак,  как  базового  компонента  общей  SIEM-системы,  разрабатываемой  в  рамках  проекта  MASSIF  [7].

Список  литературы: 

1. Котенко  И.В.,  Дойникова  Е.В.,  Чечулин  А.А.  Общее  перечисление  и  классификация  шаблонов  атак  (CAPEC):  описание  и  примеры  применения  //  Защита  информации.  Инсайд,  №  4,  2012.  С.  54—66.
2. Котенко  И.В.,  Саенко  И.Б.,  Полубелова  О.В.,  Чечулин  А.А.  Применение  технологии  управления  информацией  и  событиями  безопасности  для  защиты  информации  в  критически  важных  инфраструктурах  //  Труды  СПИИРАН.  Вып.1  (20).  СПб.:  Наука,  2012.  С.  27—56.
3. Котенко  И.В.,  Саенко  И.Б.,  Полубелова  О.В.,  Чечулин  А.А.  Технологии  управления  информацией  и  событиями  безопасности  для  защиты  компьютерных  сетей  //  Проблемы  информационной  безопасности.  Компьютерные  системы.  №  2,  2012.  С.  57—68.
4. Common  Platform  Enumeration  (CPE).  http://cpe.mitre.org/  (дата  обращения  29.01.2013).
5. Common  Vulnerabilities  and  Exposures  (CVE).  http://cve.mitre.org/  (дата  обращения  29.01.2013).
6. Common  Attack  Pattern  Enumeration  and  Classification  (CAPEC).  http://capec.mitre.org/  (дата  обращения  29.01.2013).
7. MASSIF  Project.  http://www.massif-project.eu/  (дата  обращения  29.01.2013).
8. Ruiz  J.F.,  Desnitsky  V.,  Harjani  R.,  Manna  A.,  Kotenko  I.  and  Chechulin  A.A  Methodology  for  the  Analysis  and  Modeling  of  Security  Threats  and  Attacks  for  Systems  of  Embedded  Components  //  20th  Euromicro  International  Conference  on  Parallel,  Distributed,  and  Network-Based  Processing.  IEEE  Computer  Society.  2012.  P.  261—268.  ISSN  1066-6192.