Динамика систем, механизмов и машин. 2019. Том 7, №4



Download 1,15 Mb.
Pdf ko'rish
bet4/5
Sana20.03.2022
Hajmi1,15 Mb.
#502493
1   2   3   4   5
Bog'liq
minimizatsiya-riskov-informatsionnoy-bezopasnosti-na-osnove-modelirovaniya-ugroz-bezopasnosti

C
1 ... 
C
4). Какие-то контрмеры могут закрывать сразу несколько вариантов (например, 
для подцели 
G
4 контрмера 
C
2), а для некоторых вариантов, возможно, потребуется сразу несколько контрмер 
(для подцели 
G
5 – контрмеры 
C
2 и 
C
3). Штриховая линия на рис. 1 обозначает, что узлы 
G
4 и 
G
5 маловероятны 
в случае организации атаки. 
Дерево атак создается описанием всех возможных реализаций атак злоумышленником с учетом первона-
чальной конфигурации ИС. Также учитывается уровень знаний злоумышленника и его финансовые средства. 
На основе этого производится анализ защищенности ИС (определение узких мест), формируются рекомендации 
по устранению обнаруженных уязвимостей с учетом их уровня критичности. Все объекты графа атак можно 
подразделить на активы уязвимости и угрозы. Активы задаются вершинами графа. Все возможные последова-
тельности действий нарушителя представляются дугами, связывающими вершины графа. 


Динамика систем, механизмов и машин. 2019. Том 7, № 4 
62 
Рис. 1. Дерево атак с определением контрмер
для всех вариантов реализации атаки 
Представим систему защиты информации в виде ориентированного графа 
𝐺 = (𝑇, 𝐶)
, где вершинами 
𝑇 = (𝑡
𝑖
), 𝑖 = 1, 𝑛
, будут угрозы активам со стороны злоумышленников, а дугами C – их связи (рис. 2). При 
этом каждая 
(𝑡
𝑘
, 𝑡
𝑖
)
дуга будет обозначать связь угрозы 
𝑡
𝑘
с угрозой 
𝑡
𝑖
, вероятная реализация которой является 
прямым следствием реализации угрозы 
𝑡
𝑘

Рис. 2. Граф угроз 
На рис. 2 обозначены следующие величины: 
ω
𝑡
𝑖
– количество возникновений угроз 
𝑡
𝑖

𝑝
𝑡
𝑖
– вероятность исполнения угрозы 
t
i

𝑑
𝑡
𝑖
– коэффициент разрушительности, показывающий величину разрушительного воздействия угрозы 
𝑡
𝑖
на актив; 
𝑂
𝑡
𝑖
⊂ O
– совокупность активов или ресурсов, на которые направлена угроза 
𝑡
𝑖

O
– множество активов, 
затронутых в модели;
𝑠
𝑡
𝑖
– стоимость средств предотвращения и защиты от исполнения угрозы 
𝑡
𝑖

Для выполнения задачи создания деревьев атак на ИС, была спроектирована БД «Угрозы ИБ системы» 
(рис. 3). Для автоматизации процесса моделирования создан объект БД «Активы», содержащий формализован-
ный список активов ИС. В процессе создания модели угроз активы выбираются из связанного списка, и дерево 
атак заполняется связанными представлениями уязвимостей и угроз, соответствующих этому активу в БД.
Рис. 3. Структура БД 
Структура БД была сформирована соответствии с нормативными документами. 


Динамика систем, механизмов и машин. 2019. Том 7, № 4 
63 
IV.
Р
ЕЗУЛЬТАТЫ РАЗРАБОТКИ ПРИЛОЖЕНИЯ ДЛЯ АВТОМАТИЗАЦИИ СОСТАВЛЕНИЯ МОДЕЛИ УГРОЗ
 
Банк данных, в котором хранятся данные об активах, уязвимостях, угрозах и контрмерах, реализован на 
языке 
C
# с использованием базы данных 
SQLite
3. (рис. 4). Уязвимости и угрозы сформированы из банка данных 
ФСТЭК (рис. 5, 6). 
Рис. 4. Просмотр таблицы «Активы» 
Рис. 5. Актуализация уязвимости в соответствии с банком данных ФСТЭК 
Рис. 6. Актуализация угроз в соответствии с банком данных ФСТЭК 


Динамика систем, механизмов и машин. 2019. Том 7, № 4 
64 
Структура БД позволяет для каждого актива привязать уязвимости и угрозы, что позволяет эффективно 
находить детальную информацию об активе. Для удобства обновления банка данных пользователем, были реа-
лизованы дополнительные функции, такие как просмотр вспомогательных таблиц, заполнение описания и вы-
бор шаблонных значений (рис. 7). 
Рис. 7. Добавление описание для уязвимости 
При запуске модуля «Моделирования угроз» выводиться список активов с полной информации из банка 
данных. Пользователь должен выбрать актив, который заносится в отдельный список. После выбора актива 
выводиться формализованный список по активу: уязвимости и угрозы (рис. 8). 
Рис. 8. Модуль «Моделирование угроз» 
Для визуализации графа строится орграф для выбранного актива и связанные с ним уязвимости и угрозы 
(рис. 9). 
Рис. 9. Визуализация графа по выбранному активу 


Динамика систем, механизмов и машин. 2019. Том 7, № 4 
65 
V.
О
БСУЖДЕНИЕ РЕЗУЛЬТАТОВ
Разработанная модель основана на модели угроз и уязвимостей. Для анализа рисков информации следует 
оценить все угрозы, которые оказывают воздействие на ИС. Также необходим анализ уязвимостей, через кото-
рые будут осуществляться угрозы. Проектирование актуальной для ИС компании модели угроз и уязвимостей 
осуществляется в соответствии с введенными данными. Полученная модель будет проанализирована на пред-
мет вероятности реализации УБИ на каждый ресурс. В зависимости от результатов анализа будут оценены рис-
ки. Программа сортирует угрозы по уязвимостям и в первом этапе рассчитывается уровень угрозы по уязвимо-
сти. Дальше программа по сортированным данным рассчитывает уровень угрозы по всем уязвимостям. Заклю-
чительным этапом является расчет общего уровня угроз по активу. После нахождений всех значение программу 
визуализирует граф и в текстовом виде представляет сценарию атаки (рис. 10). 
Рис. 10. Нахождение кратчайшего пути 
VI.
В
ЫВОДЫ И ЗАКЛЮЧЕНИЕ
Имеющаяся в приложении визуализация дает пользователю возможность увидеть построение атаки на 
ИС. Это существенно облегчит разработку структуры ИС в защищенном исполнении. Применяемый алгоритм, 
на основе нечеткой логики, позволяет анализировать информационные потоки, а так же находить наиболее кри-
тические угрозы и уязвимости ИС. Банк данных является расширяемым, что позволяет пользователю состав-
лять свой формализованный список актуальных угроз и уязвимостей для своего предприятия. Структура БД 
спроектирована на основе БДУ ФСТЭК, поэтому данные хранящихся в приложении являются актуальными для 
базовой модели угроз. В модуле «Моделирование угроз» выдается информация по активу и с ним связанные 
уязвимости и угрозы, что позволяет подробно узнать об актуальности данного актива. Для каждого актива со-
здается список графов с последующей визуализацией и расчетом. 
В результате разработанное приложение имеет собственную БД, реализует визуализацию построения 
ГАт, что позволяет пользователю получать в удобном виде наиболее полную, адекватную и всестороннюю ин-
формацию о своей ИС. 
С
ПИСОК ЛИТЕРАТУРЫ 
1. Грибанова-Подкина М. Ю. Построение модели угроз информационной безопасности информационной 
системы с использованием методологии объектно-ориентированного проектирования // Вопросы безопасности. 
2017. № 2. С. 25–34. 
2. ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения без-
опасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к без-
опасности. Введ. 2004-01-01. М.: ИПК Издательство стандартов. 2002. 
3. Нормативно-методический документ «Базовая модель угроз безопасности информации в ключевых 
системах информационной инфраструктуры». Утв. ФСТЭК России 18.05.2007. 
4. Котенко И. В., Степашкин М. В., Богданов B. C. Интеллектуальная система анализа защищенности 
компьютерных сетей. URL: http://www.positif.org/docs/SPIIRAS-NCAr06-Stepashkin.pdf. 
5. Sheyner O., Jha S., Wing J. Two Formal Analyses of Attack Graphs // II IEEE Computer Security Founda-
tions Workshop. Cape Brenton, Nova Scotia, Canada. June 2002. P. 49–63. 


Динамика систем, механизмов и машин. 2019. Том 7, № 4 
66 
6. J
ajodia S., Noel S. Managing Attack Graph Complexity Through Visual Hierarchical Aggregation // II In 1st 
International Workshop on Visualization and Data Mining for Computer Security. Washington, DC, USA. October 
2004. P. 109–118. 
7. Положение по аттестации объектов информатизации по требованиям безопасности информации. Утв. 
ФСТЭК России 25 ноября 1994. 
8. Stephenson P. Using formal methods for forensic analysis of intrusion events a preliminary examination. 
URL: http://www.imfgroup.com/Document Library.html. 
9. Колегов Д. Н. Проблемы синтеза и анализа графов атак. URL: http://www.securitylab.ru/contest/ 
299868.php. 2007. 
10. Гаранжа А. В., Губенко Н. Е. Применение метода построения деревьев атак для защиты интернет-
магазинов // Инновации в науке: материалы науч.о-технич. конф. студ., асп. и мол. учёных. Донецк, ДонНТУ. 
URL: http://masters.donntu.org/2017/fknt/garanzha/library/article2.htm. 2017. 
11. Lippmann R. P., Ingols K. W., Piwowarski K. Practical Attack Graph Generation for Network Defense. 
URL: http://www.ll.mit.edu/IST/pubs/70.pdf. 
УДК 004.056.53 

Download 1,15 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish