|
ν
t
x
n
t
x
,n
,n
σˆ
μ
σˆ
1
1
,
(1)
где
x
– среднее арифметическое значение выборки;
1
,n
t
– критическое значение
t -
статистики (распределения Стьюдента) с уровнем значимости α, числом степеней свободы
1
n
;
σˆ
– среднеквадратическое отклонение по выборке. В формуле (1) под выборкой
понимается список рейтингов всех возможных источников.
После расчета доверительного интервала делаются выводы о возможности
использования того или иного источника. Стоит заметить, что если источник не имеет
никакого рейтинга, то определить его достоверность с помощью доверительного интервала
невозможно.
Подход, основанный на имитационном моделировании, реализует, например, метод
Монте-Карло. В данном методе в качестве входных параметров выступает статистическое
распределение. Суть метода заключается в построении модели, состоящей из случайных
величин, над которыми проводится серия экспериментов с целью выявления влияния
исходных данных на зависящие от них величины.
В работе [4] изложена методика оценки риска, предлагаемая непосредственно для КФС.
Оценивать риск предлагается по следующим формулам:
m
j
j
j
t
R
t
R
1
)
(
ω
)
(
,
n
j
ji
ji
ji
j
C
t
P
t
T
t
R
1
)
(
)
(
)
(
,
Альманах научных работ молодых ученых
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1
21
где
)
(t
R
– риск системы в момент времени t ;
)
(t
R
j
– риск атакуемого узла j в момент
времени t ;
j
ω – значение хоста j в КФС.
ji
ji
ji
C
t
P
t
T
),
(
),
(
– серьезность, вероятность успеха
атаки и последствия атаки кибератаки
i
на хосте j в момент времени t ;
m
– количество
хостов в КФС, а
n
– типы кибератак.
RiskWatch – методология, разработанная одноименной компанией. В качестве оценки
риска в методике выступают ожидаемые годовые потери (ALE), которые рассчитываются по
формуле:
Frequency
Factor
Exposure
Value
ALE=Asset
,
где
ALE
– оценка ожидаемых годовых потерь для одного конкретного актива от реализации
одной угрозы;
e
Asset Valu
– стоимость рассматриваемого актива;
actor
Exposure F
–
коэффициент воздействия – показывает, какая часть (в процентах) от стоимости актива,
подвергается риску; Frequency – частота возникновения нежелательного события.
Каждый из рассмотренных подходов может быть применим для оценки риска в КФС,
но они имеют свои недостатки, что, в свою очередь, ведет к неточной оценке риска.
Например, в подходе, основанном на экспертном оценивании, а также на накопленном
опыте, нет возможности учесть текущие параметры КФС, а также итоговая оценка будет
субъективной. В методе Монте-Карло сложно учесть все факторы риска в одной модели. В
методе RiskWatch также нет возможности менять риск модель динамически. Метод из
работы [2] позволяет производить оценку риска в реальном времени, однако оценка
получается точечной, что не позволяет учесть неполные входные данные.
Опираясь на проведенный анализ можно предложить подход, объединяющий в себе
несколько рассмотренных подходов, а именно, экспертное оценивание, метод Монте-Карло,
а также текущие параметры системы. Схематично предлагаемый подход оценки риска
представлен на рисунке.
Факторы риска
События
безопасности
Экспертные
данные
Данные с
датчиков и
оконечных
устройств
Риск
модель
Профиль
риска
Средства
защиты
Порождают
Противодействуют
Используются
для уточнения
Требуют создания
Анализ
данных
Рисунок. Синтез различных источников оценивания в рамках единой модели
В рамках предлагаемой модели под факторами риска рассматриваются как источники
угроз, так и связанные с ними компоненты системы, и способы реализации угроз на
компонентах системы. Под риск-моделью понимается объединение множества источников
угроз, самих угроз, компонентов системы и связей между ними, представленное в виде
направленного графа [5]. Профиль риска показывает плотность распределения оценок
влияния каждого фактора риска на уровень безопасности системы. Экспертные данные
являются входной информацией для оценивания, а данные с датчиков – информацией для
уточнения параметров модели. Анализ данных подразумевает сбор статистических данных
Альманах научных работ молодых ученых
XLVII научной и учебно-методической конференции Университета ИТМО. Том 1
22
работы датчиков с целью выявления изменения их показаний. На базе уточненной модели
строится актуальный профиль риска, который передается на комплекс средств защиты для
оптимизации его работы.
Для адекватного анализа данных, получаемых с датчиков, в рамках предложенного
подхода необходимо использовать собственную статистику для определения аномалий в
работе КФС.
Поскольку для расчета итогового профиля риска используются текущие параметры
КФС, то итоговый профиль получается динамическим. Динамическая оценка позволяет
оценивать текущий уровень безопасности КФС, что позволяет оперативно реагировать на
события безопасности, неучтенные или некорректно оцененные при первоначальной
экспертной оценке.
В дальнейшем в целях реализации предлагаемого подхода планируется разработать
методы учета и анализа дополнительных данных, получаемых с датчиков, а также
моделирование работы предлагаемого метода с использованием программной реализации.
Do'stlaringiz bilan baham: |
