Разработка методики прогнозирования динамики изменения вектора компьютерной атаки с точки зрения нарушителя : диссертация на соискание ученой степени кандидата технических наук : 2.3.6
Оглавление
ВВЕДЕНИЕ ………………………………………………………………………………………………………………………………………….. 4 Глава 1. Анализ состояния предметной области. Постановка задач исследования …………………………………10 1.1. Анализ нормативно-правовой базы, регламентирующей подходы к оценке угроз компьютерных атак …………………………………………………………………………………………………………..10
1.1.1. Определение базового набора мер защиты информации………………………………………………………….13
1.1.2. Адаптация базового набора мер защиты информации……………………………………………………………..22
1.1.3. Уточнение адаптированного базового набора мер защиты информации………………………………….. 22
1.1.4. Дополнение уточнённого адаптированного базового набора мер защиты информации…………….30
1.1.5. Существующие ограничения Методики ФСТЭК России ………………………………………………………… 30
1.2. Анализ международных методик, используемых для оценки угроз компьютерных атак…………..32
1.2.1. Методология IT-Grundschutz………………………………………………………………………………………………….. 32
1.2.2. Ограничения методологии IT-Grundschutz ……………………………………………………………………………… 43
1.2.3. Методология ISO 2700x …………………………………………………………………………………………………………. 43
1.2.4. Ограничения методологии ISO ………………………………………………………………………………………………. 52
1.3. Анализ научных подходов к определению и прогнозированию компьютерных атак ……………….. 53
1.4. Постановка задач исследования …………………………………………………………………………………………….. 59
Глава 2. Разработка математической модели принятия решения нарушителем о проведении компьютерной атаки и математической модели, описывающей динамику компьютерной атаки во времени63 2.1. Базовые принципы и подходы к построению математических моделей, описывающих принятие решения нарушителем о проведении компьютерной атаки и ее динамику …………………………………………….. 63 2.2. Разработка математической модели принятия решения нарушителем о проведении
компьютерной атаки…………………………………………………………………………………………………………………………….67
2.2.1. Функция ожидаемой полезности компьютерной атаки …………………………………………………………… 67
2.2.2. Анализ функции ожидаемой полезности…………………………………………………………………………………69
2.2.3. Вероятность достаточности ожидаемой полезности………………………………………………………………..72
2.2.4. Обоснование выбора источников первичной информации для расчета ожидаемой полезности от
киберпреступления ……………………………………………………………………………………………………………………………… 72 2.2.5. Пример оценивания вероятности принятия решения преступником о проведении компьютерной атаки …………………………………………………………………………………………………………..77 2.2.6. Анализ результатов……………………………………………………………………………………………………………….. 79 2.3. Разработка математической модели, описывающей динамику возможности реализации компьютерной атаки во времени…………………………………………………………………………………………………………..80 2.4. Подтверждение адекватности математической модели динамики распространение компьютерной атака на примере компьютерной атаки, реализованной с помощью вредоносного программного обеспечения WannaCry…………………………………………………………………………………………………………………………91
2.4.1. Динамика реализации КА ……………………………………………………………………………………………………… 92
2.4.2. Математическое обоснование выбора апроксимирующей функции методом наименьших
квадратов ……………………………………………………………………………………………………………………………………………. 97 2.5. Экспериментальные исследования динамики развития компьютерной атаки ………………………….. 98
2.5.1. Описание экспериментального стенда……………………………………………………………………………………. 98
2.5.2. Методика проведения натурного моделирования компьютерной атаки………………………………….101
2.5.3. Анализ результатов моделирования динамики развития компьютерной атаки ………………………. 104
2.5.4. Результаты аппроксимации экспериментальной зависимости числа зараженных узлов от времени107
2.6. Разработка рекомендаций для оценивания параметров математических моделей, описывающих динамику компьютерной атаки ………………………………………………………………………………………………………….. 110
2.6.1. Этапы реализации компьютерной атаки……………………………………………………………………………….. 110
2.6.2. Методы компьютерной атаки ………………………………………………………………………………………………. 114
2.6.3. Выбор характеристик компьютерной атаки, влияющих на возможность ее реализации………….118
2.6.4. Выбор параметров функции изменения возможности реализации компьютерной атаки во
времени …………………………………………………………………………………………………………119 2.6.5. Обоснование выбора источников первичной информации для расчета возможности реализации метода компьютерной атаки ………………………………………………………………………………………………………………. 121 2.6.6. Оценка адекватности модели проведения компьютерной атаки на примере компьютерной атаки, реализованной с помощью вредоносного программного обеспечения Petya…………………………………………122 2.6.7. Итоги анализа математической модели развития компьютерной атаки …………………………………. 128
3
2.7. Выводы……………………………………………………………………………………………………………………………….. 131 Глава 3. Разработка методики прогнозирования динамики вероятности проведения компьютерной атаки, основанной на использовании предложенных математических моделей, и подтверждение ее работоспособности ……………………………………………………………………………………………………………………………. 132 3.1. Анализ общедоступных источников информации о компьютерных атаках с точки зрения достаточности хранимой в них информации для идентификации параметров разработанных математических моделей компьютерной атаки и оценки их адекватности …………………………………………… 133
3.2. Модель нарушителя и ее влияние на компьютерную атаку ……………………………………………………136
3.3. Методика оценивания параметров функции прогнозирования динамики компьютерной атаки 137
3.4. Пример практического использования методики прогнозирования динамики компьютерной
атаки, основанной на использовании предложенных математических моделей…………………………………….140 3.5. Выводы……………………………………………………………………………………………………………………………….. 151 ЗАКЛЮЧЕНИЕ …………………………………………………………………………………………………………………………………. 153 Список сокращений……………………………………………………………………………………………………………………………154 Список литературы…………………………………………………………………………………………………………………………….156 Приложение A. Присвоение категории значимости объектам критической информационной инфраструктуры в соответствии с показателями критериев значимости ……………………………………………… 179 Приложение B. Уровни возможностей нарушителей по реализации угроз безопасности информации183 ПриложениеC. Оценка ущерба от различных сценариев негативных последствий инцидентов информационной безопасности…………………………………………………………………………………………………………..185 Приложение D. Научные подходы, используемые для определения и прогнозирования компьютерных атак ……………………………………………………………………………………………………………186
Приложение E.
Приложение F.
Приложение G.
ПриложениеH.
атаке ……………………………………………………………………………………………………………214
Актуальность темы исследования и степень ее проработанности
Защита информации (ЗИ) предусмотрена Статьей 16 Федерального закона (ФЗ) от 27.07.2006 «Об информации, информационных технологиях и о защите информации» [1], а также иными нормативно-правовыми актами, разработанными государственными регуляторами в области информационной безопасности (ИБ). Данные документы предусматривают применение типовых наборов методов и средств ЗИ, сформированных на базе типовых моделей угроз ИБ, созданных ФСТЭК России и ФСБ России [2, 3, 4]. При этом действующим законодательством предусмотрена возможность дополнения перечня актуальных угроз ИБ новыми моделями угроз (МУ) [5, 6, 7, 8]. В соответствие с «Методикой определения угроз БИ», разработанной ФСТЭК России [5], оценка угроз ИБ осуществляется с помощью метода экспертных оценок.
Международные стандарты [9−17] для оценки угроз ИБ предлагают использовать:
− методологию IT-Grundschutz, которая, в одних случаях, рекомендует использовать в организациях и информационных системах (ИС) набор мер ЗИ, состав которого определен на основе сценариев негативных последствий для активов организации, в других, также использовать дополнительный перечень мер ЗИ, формируемых экспертным путем;
− методологию ISO 2700x, рекомендующую формировать набор требований по ЗИ на основе оценки рисков ИБ, которая осуществляется экспертным путем в соответствии с внутренним положением организации по оценке рисков ИБ (при этом, ответственность за принятие рисков в целом несет руководитель организации (владелец активов)).
Необходимо отметить, что метод экспертных оценок, которому, как показывает практика ИБ, присущ ряд ограничений (в том числе: субъективность; отсутствие полноты или избыточность; сложная повторяемость процесса) не обеспечивает формирования исчерпывающего перечня мер по ЗИ. При этом, очевидно, что данный метод предназначен для получения оценок угроз ИБ в
5
конкретный момент времени, но не для их прогнозирования в последующие моменты времени.
В этой связи были предприняты многочисленные попытки модернизации действующих международных стандартов и нормативно-правовых документов в области обеспечения ИБ с целью автоматизации процесса формирования профилей ЗИ, использования соответвующих методов визуализации, повышения эффективности экспертной оценки, а также специальных методов ее проведения [18-31]. Необходимо отметить, что оценки угроз и рисков ИБ в данных работах проводились, исключительно, с точки зрения организации/владельца актива. Кроме того, в большинстве этих работ авторы даже не пытались оценивать эффективность и практическую применимость, предложенных ими изменений.
Также отметим, работы [32−35], в которых проведен анализ контента форумов DarkNet, в первую очередь, информации об инцидентах ИБ, вновь разрабатываемых и/или уже известных и активно обсуждаемых на форумах DarkNet методах компьютерных атак (КА), с целью прогнозирования соответствующих векторов КА с учетом частоты их упоминаний, а также эмоциональной окраски обсуждений. Данные работы, с нашей точки зрения, следует рассматривать, как первые попытки учета информированности нарушителя о методе проведения КА при оценке угроз ИБ, однако, не завершившиеся созданием рекомендаций по оценке целесообразности проведения КА с точки зрения нарушителя. В этой связи использование информации, извлекаемой из форумов DarkNet для прогнозирования векторов КА осталась низкой.
Эффективность прогнозов новых уязвимостей программного обеспечения (ПО) с помощью методов одинарного, двойного и тройного экспоненциального сглаживания [36-38], статистических методов (Кростона, ARIMA) [35, 36, 39, 40], кластерного анализа [41, 42], нейронных сетей [36, 43] и машинного обучения [36, 43, 44], основанные на анализе накопленной информации о количестве уязвимостей и их типах в предыдущих версиях, а также и векторов КА, основанных на анализе частоты упоминаний методов КА за определенные
6
временные периоды в DarkNet [35], оказались не эффективными, так как существенно расходятся с реальными данными.
При этом необходимо отметить, что данные методы позволяют получать оценки уязвимостей исключительно с точки зрения атакующей стороны. В тоже время в экономической и финансовых сферах, а также в области предупреждений преступлений общей практики накоплен положительный опыт применения для анализа экономических мотивов преступников «Теории положений о криминологии» (ТПК) Ч. Беккариа и И. Бентама [45−47], которая, однако, при оценке вероятностей КА ранее не использовалась. В этой связи разработка подходов для оценки угроз ИБ с учетом экономических интересов нарушителя является актуальной.
Цель диссертационного исследования состоит в научно обоснованной разработке метода оценивания с точки зрения нарушителя вероятностей проведения успешных КА и прогнозирования динамики их изменения во времени.
Для достижения поставленной цели сформулированы и решены следующие задачи:
1. Анализ нормативно-правовой базы, регламентирующей подходы к оценке угроз ИБ, и научных подходов, используемых для определения и прогнозирования КА.
2. Разработка и обоснование базовых принципов и подходов к построению математической модели оценки вероятности реализации нарушителем КА и математической модели, описывающей динамику изменения вектора КА во времени, построенного с точки зрения нарушителя.
3. Разработка методики прогнозирования динамики изменения вектора КА, основанной на использовании предложенных математических моделей, и подтверждение ее работоспособности.
Объект исследования: математические методы и модели анализа и прогнозирования КА.
7
Предмет исследования: методы оценивания с точки зрения нарушителя вероятностей проведения успешных КА, математические модели, описывающие динамику КА, обеспечивающие прогнозирование векторов вероятных КА.
Научная новизна работы заключается в разработке научно обоснованных:
1. математической модели оценки вероятности реализации нарушителем КА и идентификации ее параметров, основанной на положениях ТПК (соответствует п. 7 паспорта специальности);
2. математической модели, описывающей динамику возмоности реализации нарушителем КА во времени, и идентификации ее параметров, основанной на положениях Теории диффузии инноваций (ТДИ) (соответствует п. 14 паспорта специальности);
3. методики прогнозирования динамики векторов КА, построенной с точки зрения нарушителя (соответствует п. 15 паспорта специальности).
Практическая и теоретическая значимость работы заключается в:
1. обосновании целесообразности применения ТПК для разработки математической модели принятия решения нарушителем о проведении КА;
2. обосновании целесообразности использования ТДИ, развитой в работах Э. Роджерса [48], Ф. Басса [49], Э. Мэнсфилда [50] и Т. Хагерстранда [51], для построения математической модели, описывающей динамику изменения вектора КА во времени;
3. обоснованном выборе набора источников информации, обеспечивающих идентификацию параметров разработанных моделей;
4. подтверждении адекватности методики прогнозирования динамики векторов КА с точки зрения нарушителя, позволяющая выявлять тренды развития КА.
Методология и методы исследований. В работе использованы математическое моделирование, методы системного анализа, ТПК, ТДИ.
Основные положения, выносимые на защиту
1.На основе ТПК построена математическая модель принятия решения нарушителем о проведении КА, адекватность которой подтверждена результатами
8
анализа КА, реализованной с помощью вредоносного программного обеспечения (ВПО) Petya, а также результатами натурного моделирования КА с помощью программно-аппаратного комплекса (ПАК) «Ampire».
2.На основе ТПК и ТДИ построена математическая модель динамики распространения КА, адекватность которой подтверждена результатами анализа динамики КА, реализованной с помощью ВПО WannaCry.
3.На основе построенных математической моделей принятия решения нарушителем о проведении КА и математической модели, описывающей динамику распространения КА, разработана методика прогнозирования динамики изменения вектора КА, адекватность которой подтверждена согласованностью результатов прогнозирования вектора КА в 2019 г. с помощью данной методики с результатами анализа доступной статистической информации об успешно реализованных КА в 2019 г.
Достоверность полученных результатов обеспечивается использованием известных математических методов, адекватных задачам исследования, а также согласованностью оценок КА, полученных с помощью предложенных моделей и методики, с результами анализа известных КА и результами натурного моделирования КА, проведенного с помощью ПАК «Ampire».
Внедрение результатов диссертационного исследования. Результаты диссертационного исследования используются в федеральном государственном автономном образовательном учреждении высшего образования «Уральский федеральный университет им. Первого Президента России Б.Н. Ельцина» (акт об использовании No 33.02-32/230 от 20.08.2021), Акционерным обществом «Перспективный мониторинг» (акт об использовании No ИПМ-2021-0104 от 23.08.2021).
Апробация работы. Основные результаты работы докладывались на следующих научных конференциях:
1. III Международной студенческой научной конференции «Инновационные механизмы управления цифровой и региональной экономикой», 17.06-18.06.2021, Москва, 2021.
9
2.Международной научной конференции Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT), 13.05- 14.05.2021, Екатеринбург, 2021.
3. Международной научно-технической конференции «Автоматизация», 6.09-12.09.2020, Сочи, 2020.
4.Международной научной конференции Ural Symposium on Biomedical Engineering, Radioelectronics and Information Technology (USBEREIT), 14.05- 15.05.2020, Екатеринбург, 2020.
5. I Международная научая конференция «Технические науки: проблемы и перспективы», март 2011, Санкт-Петербург, 2011.
Личный вклад. Автор обосновал возможность прогнозирования динамики векторов КА с точки зрения нарушителя во времени на основе данных из общедоступных источников информации о КА получив практически подтвержденные результаты оценки. Разработал научно обоснованные математические модели определения ожидаемой полезности от КА и динамики возможности реализации КА во времени с точки зрения нарушителя.
Публикации. По теме диссертации опубликовано 10 научных работ, в том числе 6 научных статей в изданиях, определенных ВАК РФ и Аттестационным советом УрФУ, из них 2 в изданиях, индексируемых в международных цитатно- аналитически базах Scopus и Web of Science.
Объем и структура работы. Диссертация состоит из введения, 3 глав, заключения и 8 приложений. Полный объем диссертации составляет 218 страниц, включая 26 рисунков и 25 таблиц. Список литературы содержит 178 наименований
Помогаем с подготовкой сопроводительных документов
Хочешь уникальную работу?
Больше 3 000 экспертов уже готовы начать работу над твоим проектом!
5 (1241 отзыв)
4.8 (373 отзыва)
4.8 (30 отзывов)
5 (9 отзывов)
4.5 (330 отзывов)
5 (91 отзыв)
4.1 (20 отзывов)
5 (8 отзывов)
4.7 (82 отзыва)
