1 СОДЕРЖАНИЕ Подписка на журнал осуществляется в почтовых отделениях по каталогу «Пресса России». Подписной индекс 40707 научный рецензируемый журнал №4(50) 2022 г. Выходит 6 раз в год Журнал выходит с 2013 г. (Свидетельство о регистрации ПИ № ФС77-75239). Перерегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций 07.03.2019. Журнал входит в перечень научных изданий, в которых должны быть опубликованы основные результаты исследований соискателей учёных степеней кандидата и/или доктора наук, а также в российский индекс научного цитирования RSCI на международной платформе научных публикаций Web of Science (WoS) Главный редактор МАРКОВ Алексей Сергеевич, д.т.н., с.н.с., Москва Председатель редакционного совета ШЕРЕМЕТ Игорь Анатольевич, академик РАН, д.т.н., профессор, Москва редакционный совет БАСАРАБ Михаил Алексеевич, д. ф.-м. н., Москва КАЛАШНИКОВ Андрей Олегович, д.т.н., Москва КРУГЛИКОВ Сергей Владимирович, д.в.н., к.т.н., профессор, Минск, Беларусь ПЕТРЕНКО Сергей Анатольевич, д.т.н., профессор, Иннополис СТАРОДУБЦЕВ Юрий Иванович, д.в.н., профессор, Санкт-Петербург ЯЗОВ Юрий Константинович, д.т.н., профессор, Воронеж редакционная коллегия Б АРАНОВ Алексей Павлович, д.ф.-м.н., профессор, Москва БЕГАЕВ Алексей Николаевич, к.т.н., Санкт-Петербург ГАРБУК Сергей Владимирович, к.т.н., с.н.с., Москва ГАЦЕНКО Олег Юрьевич, д.т.н., с.н.с., Санкт-Петербург ЗУБАРЕВ Игорь Витальевич, к.т.н., доцент, Москва КОЗАЧОК Александр Васильевич, д.т.н., Орел МАКАРЕНКО Гри горий Иванович, шеф-редактор, Москва ПАНЧЕНКО Владислав Яковлевич, академик РАН, д. ф.-м. н., профессор, Москва ПУДОВКИНА Марина Александровна, д.ф.-м.н., профессор, Москва ТАРАСОВ Анатолий Михайлович, д.ю.н., профессор, Москва ЦИРЛОВ Валентин Леонидович, к.т.н., доцент, Москва ШАХАЛОВ Игорь Юрьевич , ответственный секретарь, Москва ШУБИНСКИЙ Игорь Борисович, д.т.н., профессор, Москва учредитель и издатель АО «Научно-производственноеобъединение«Эшелон»Надномеромработали: Г.И. Макаренко – шеф-редактор И.Ю.Шахалов – отв. секретарь И.М. Ануфриев – дизайн Е.А. Ускова – лит. редактор Подписано в печать 18.08.2022 г. Общий тираж 120 экз. Цена свободная Адрес: 107023, Москва, ул. Электрозаводская, д. 24, стр. 1. E-mail: editor@cyberrus.com, тел.: +7 (985) 939-75-01. Требования, предъявляемые к рукописям, размещены на сайте: ww w.cyberrus.com Концептуальные вопросы Кибербезопасности безопасность персональных данных: новый взгляд на старую проблему Минзов А.С. , Невский А.Ю., Баронов О.Р. .................... 2 управление рисКами информационной безопасности логиКо-лингвистичесКое моделирование угроз безопасности информации в информационных системах Язов Ю.К., Соловьев С.В.,Тарелкин М.А. 13 модель оценКи безопасности слоЖной сети (часть 1) Калашников А.О., Бугайский К.А. ......................... 26 методы и средства анализа защищенности методичесКий подход К КомплеКсному описанию обЪеКта информационной защиты Кругликов С.В., Касанин С.Н., Кулешов Ю.В. 39 сетевая анализбезопасностьмоделейиметодиК, используемых для атрибуции наруШителей Кибербезопасности при реализации целевых атаК Котенко И.В., Хмыров С.С. .............................. 52 определение оптимальных параметров Конфигурирования информационных систем в условиях сетевой разведКи Горбачев А.А., Соколовский С.П., Каплин М.А. ................ 80 применение методов Кодирования и Криптографии использование DNS-туннелирования для передачи вредоносного программного обеспечения Москвичев А.Д., Москвичева К.С. 91
2 Безопасность персональных данных: новый взгляд на старую проблему Вопросы кибербезопасности. 2022. № 4(50) Безопасность персональных данных: новый взгляд на старую проБлему Минзов А.С.1 , Невский А.Ю.2, Баронов О.Р.3 Цель статьи: разработка единой модели представления персональных данных на основе решаемых в органи зациях задач с их использованием. Это позволяет определить минимально необходимое количество параметров в модели персональных данных при определенной вероятности решения этих задач и разработать механизм от ветственности оператора персональных данных за их компрометацию. Методы исследования: системный анализ существующих нормативных и других документов, теория мно жеств и алгебра логики. Результат: в статье рассматриваются подходы описания модели персональных данных на основе решаемых в организациях задач, разработаны требования к совершенствованию системы защиты информации в инфор мационных системах персональных данных (ИСПДН) и ответственности оператора персональных данных за обе спечение их конфиденциальности, целостности и доступности. Предложенная модель может быть использована в качестве методологической основы для нового подхода к решению задач по безопасной обработке, хранению, передачи ПДн. Научная новизна: предложен новый подход к описанию модели ПДн, основанный на решении 2-х групп задач, которые требуют применения ПДн. Определены классы угроз безопасности субъекту ПДн при компро метации данных, введено понятие «ПДн с общими групповыми признаками» и обоснована необходимость их защиты, а также сформулированы требования к системам информационной безопасности ПДн и механизмам ответственности операторов ПДн. Ключевые слова: информационная безопасность, модель персональных данных, угрозы, оператор персо нальных данных, ответственность. DOI:10.21681/2311-3456-2022-4-2-12 1 Минзов Анатолий Степанович, доктор технических наук, профессор, профессор кафедры безопасности и информационных технологий национального исследовательского университета МЭИ, Москва, Россия. E-mail: MinzovAS@mpei.ru 2 Невский Александр Юрьевич, кандидат технических наук, заведующий кафедрой безопасности и информационных технологий национального исследовательского университета МЭИ, Москва, Россия. E-mail: NevskiyAU@mpei.ru 3 Баронов Олег Рюрикович, кандидат технических наук, доцент кафедры безопасности и информационных технологий национального исследовательского университета МЭИ, Москва, Россия. E-mail: BaronovOR@mpei.ru Введение Появление в Европе новой концепции защиты персональных данных в 2018 году, к сожалению, не нашло широкого отражения в отечественной печати. Хотя взгляд на систему защиты персональных данных в этой концепции несколько изменился в сторону рас ширения как самого понятия «персональные данные», так и в сторону создания более жестких механизмов обеспечения безопасности, контроля и ответственно сти Воператоров.2006году был принят Федеральный закон №1524, который стал для специалистов служб ин 4 Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ (ред. от 02.07.2021) «О персональных данных». формационной безопасности началом новой очень сложной работы по обеспечению требований Кон ституции РФ в части защиты персональных данных граждан России. За эти годы был достигнут опреде ленный уровень понимания термина персональных данных (ПДн) и методов их защиты в информацион ных системах, а также отработана технология орга низации защиты ПДн в хозяйствующих субъектах. Наверное, можно было на этом и остановиться, но в Европе было принята новая концепция защиты ПДн GDPR (General Data Protection Regulation), которая внесла существенные и весьма значительные изме
3 УДК 004.94УДК 004.415.53 Концептуальные вопросы кибербезопасности DOI:10.21681/2311-3456-2022-4-2-12 нения в понятийный аппарат, механизмы защиты и ответственности, включая 5: расширение понятие ПДн и отнесение к пер сональным данным информации, которая ра нее не использовалась (электронные адреса, IP-адреса, метки сервера, система предпочте ний пользователя при работе в сети, профили пользователей в социальных сетях и т.д.); более легкий доступ субъектов к их ПДн, вклю чая предоставление дополнительной информа ции о том, как обрабатываются эти данные; право на переносимость данных — измене ние правил передачи персональных данных между поставщиками услуг; право на забвение («право на удаление персо нальных данных»), когда субъект ПДн больше не хочет чтобы его персональные данные обраба тывались, если для этого нет никаких законных оснований; право знать, если данные пользователя были взломаны, что предполагает незамедлительное его информирование о нарушениях безопасно сти данных. Кроме того, GDPR предоставляет простые и рабо чие инструменты гражданам ЕС для реализации своих прав, упрощая механизмы обращения в надзорные органы, например, жалобы в электронном виде. Анализ современного состояния системы защиты персональных данных показал, что этих изменений не достаточно и ряд проблем остается по-прежнему нере шенными. Среди них можно выделить следующие: Сохраняющееся противоречие между целями защиты ПДн и практическими результатами обеспечения их информационной безопасно сти. Это проявляется в том, что сегодня прак тически отсутствует система контроля за рас пространением ПДн в различных формах доку ментов на бумажных и электронных носителях, а меры ответственности за их несанкциониро ванное распространение весьма условны и не соответствуют потерям субъектов ПДн при ком прометации их данных [1-2]. До настоящего времени не определен круг за дач, решаемых в организациях с использова нием ПДн. Отсюда у администрации этих орга низаций возникает неуемное желание узнать о субъекте ПДн как можно больше [3]. 5 Общий регламент защиты персональных данных GDPR [Электрон ный ресурс]. URL: https://gdpr-text.com/ru/ (дата обращения: 24.06.2022). Расширение понятия ПДн в область «любой» информации о субъекте ПДн не нашло отраже ния в системе защиты информации и в самих информационных системах. Это должно было привести к появлению новых функций монито ринга и защиты ПДн в социальных сетях, поис ковых системах и браузерах [4]. Появление научных публикаций по вопросам обезличивания ПДн и обсуждение технологий реализации этих процессов не отвечают на главные вопросы: какие задачи можно решать с обезличенными данными, кто их будет решать и как контролировать эти процессы [5-7]. В настоящее время определена ответствен ность операторов ПДн за несоблюдение требо ваний обработки ПДн, которая зависит от се рьезности нарушения согласно ФЗ-152, а так же отдельных статей Трудового, Гражданского, Административного и Уголовного Кодексов Российской Федерации, но этого недостаточно. Требуется создание механизма определения ответственности за подобные нарушения [3]. Отсутствие механизмов оценки достоверности ПДн может привести к существенным ошибкам в оценке действий субъекта ПДн в процессах правосудной деятельности. Эти и другие обстоятельства натолкнули нас на определенные размышления о дальнейшем развитии системы защиты ПДн. Не все поставленные вопросы будут рассмотрены в этой статье, но мы остановимся на наиболее важных и принципиальных из них. 1. Сущность понятия «персональные данные Определимся, прежде всего, с понятиями «иденти фикация» и «аутентификация», которые мы будем ис пользовать в обработке персональных данных. Идентификация – это определение пользователя в автоматизированной системе по его уникальному при знаку – идентификатору6. В роли идентификатора может выступать имя пользователя в системе (логин), числовой или буквенно-числовой код, электронная подпись, ИНН, СНИЛС, электронная почта, номер мобильного телефона или другая информация. По существу, под идентифика цией понимается техническая процедура проверки при надлежности идентификатора списку или базе данных. Аутентификация – это проверка подлинности лица, которое хочет получить доступ к системе. Для 6 ГОСТ Р 58833-2020 Идентификация и аутентификация. Общие по ложения
4 Безопасность персональных данных: новый взгляд на старую проблему Вопросы кибербезопасности. 2022. № 4(50) подтверждения доступа могут использоваться пароль или цифровой код (PIN-код), техническое или про граммное устройство (например, смарт-карта, токен, электронная подпись), или биометрические данные (например, фотография или отпечаток пальца), либо другая информация, отождествляемая с личностью человека. В том случае, если используется несколько способов подтверждения – такая аутентификация на зываетсяТерминмногофакторной.«персональныеданные» определен сегодня как любая информация, относящаяся к прямо или кос венно (directly or indirectly7) определенному или опре деляемому (identified or identifiable) физическому лицу (субъекту персональных данных) (by reference to an iden tifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person)8,9 Весьма заметно различие в этих определениях в части выделения источников персональных данных: фамилия (имя) – как идентификатор; число – как идентификатор; локальные данные (отнесенные к субъекту ПДн);онлайновый идентификатор (IP-адрес и другие метки, относящиеся к владельцу компьютера в сети);информация о физиологических, психологиче ских, интеллектуальных, экономических, куль турных и социальных параметрах (идентично стей) физического лица. Такой подход к определению ПДн, создает принци пиально новый механизм защиты конфиденциальной информации, которая может различаться по трем ка тегориям:1.Персональные данные – это большая часть дан ных относящихся сегодня к другим видам тайн: банковской, страховой, налоговой, медицинской, нотариальной, усыновления, ЗАГС и еще несколь ких десятков других тайн). 2. Служебная тайна. 3. Коммерческая тайна. Первая категория (ПДн) используется в самом большом количестве информационных систем 7 Курсивом выделены фрагменты этого определения в Европейском регламенте GDPR [2]. 8 Федеральный закон Российской Федерации от 27.07.2006 № 152ФЗ (ред. от 02.07.2021) «О персональных данных». 9 Общий регламент защиты персональных данных GDPR [Электронный ресурс]. URL: https://gdpr-text.com/ru/ (дата обращения: 24.06.2022). (ИСПДн) в различных сферах деятельности. Это позво ляет создать единую методологию защиты информа ции в ИСПДн с различными уровнями защиты и ответ ственности операторов ПДн. Такой подход позволяет упростить систему защиты ПДн, но, с другой стороны, требует создания новых механизмов классификации уровня защищенности ИСПДн и механизмов ответ ственности операторов ПДн. В последней версии ФЗ №152 вместо терминов «идентификация» и «идентифицируемый» используются термины «определенный» и «определяемый», что на рушает смысл понятия ПДн, так как не уточняет пра вил определения принадлежности данных к ПДн и по ФЗ №152 требует дополнительно уточнения кем и как определен набор персональных данных. При введении термина «идентифицированный» в таких дополнениях нет смысла, он определен как техническая процедура. Остаются также неопределенными понятия «прямая» и «косвенная» информация о ПДн. Эти опре деления существуют в контексте понимания прямой и косвенной речи, но для ПДН они не имеют смыс ла, так как к ПДн относится любая информация, от носящаяся к физическому лицу. Примеры ПДн также не раскрывают содержание этих терминов, так как в представленном наборе их невозможно классифици ровать10: «Прямо или косвенно человек может быть идентифицирован с использованием идентификатора, фамилии, идентификационного номера, данных о местоположении, любые онлайн-идентификаторы, а также при помощи характерных для данного лица физических, физиологических, генетических, духовных, экономических, культурных факторов или ссылаясь на факторы социальной идентичности и т.п.». Практически понятия «прямая или косвенная» иденти фикация в системе защиты ПДн сегодня не использу ются, что также вносит неопределенность в понима ние сущности ПДн. Очень важно, что в последней версии GDPR уточ нено, что данные становятся персональными, если, используя некую их совокупность, можно однозначно идентифицировать человека11. Термин «однознач ность» имеет много синонимов, но ближе к смыслу об работки ПДн трактуется как «определенность» предъ явленного набора признаков, совпадающих с одним из наборов в базе данных. 10 Общий регламент защиты персональных данных GDPR [Электронный ресурс]. URL: https://gdpr-text.com/ru/ (дата обращения: 24.06.2022). 11 Информация о GDPR на русском языке [Электронный ресурс]. URL: https://ogdpr.eu/ru (дата обращения: 25.06.2022).
5 УДК 004.94УДК 004.415.53 Концептуальные вопросы кибербезопасности DOI:10.21681/2311-3456-2022-4-2-12 Пусть Хk вектор данных о субъекте ПДн, который идентифицируется в базе данных Х, тогда условием однозначной идентификацией субъекта ПДн является: ∀⊂ ∃= =XX XX jjn jk j,, 1 (1) Из выражения (1) можно сделать следующий вывод: создание искусственных записей данных о владельцах ПДн может быть способом снижения требований к за щищенности этих данных, так как их невозможно одно значно идентифицировать по предъявляемым наборам данных и необходимы дополнительные параметры. От личить искусственно созданную запись от реальной в базе данных можно по дополнительному параметру –криптографической хэш-функции (hash), вычисляемой от идентификатора записи параметров ПДн (аj) и срав нением его с заранее вычисленным значением. При этом, для искусственно созданных записей значение идентификатора hj определяется по значению (aj+1). Тогда условие (1) будет иметь следующий вид: ∀⊂ ∃=() () = () =XX XX X hasha jjn jk jj j,, 1 ∃=() () = () =XX X hasha jkn jj j 1 (2) В выражении (2) представлен один из предложен ных авторами статьи способов обезличивания данных (псевдоанонимизация) за счет создания искусствен ных записей в базе данных. Полный набор практиче ских правил обезличивания приведен в работах [5-8], также в других источниках12 и требует дальнейших ис следований в части создания системы защиты и кон троля безопасности ИСПДн. Остается также невыясненным вопрос об «неодно значной» идентификации субъекта ПДн в GDPR. Един ственным объяснением появления этого термина может быть использование вероятностного подхода к идентификации субъекта ПДн. При полном совпаде нии предъявляемых признаков субъекта ПДН с иден 12 Pseudonymisation techniques and best practices [Электронный ресурс]. URL: https://www.enisa.europa.eu/publications/ pseudonymisation-techniques-and-best-practices/@@download/ fullReport (дата обращения: 02.07.2022). GDPR & deploying pseudonymisation techniques [Электронный ресурс]. URL: https://www.enisa.europa.eu/news/enisa-news/ gdpr-deploying-pseudonymisation-techniques (дата обращения: 24.06.2022). Cybersecurity to the Rescue: Pseudonymisation for Personal Data Protection [Электронный ресурс]. URL: https://www.enisa.europa.eu/ news/enisa-news/cybersecurity-to-the-rescue-pseudonymisation-forpersonal-data-protection (дата обращения: 24.06.2022). Data Pseudonymisation: Advanced Techniques and Use Cases [Электронный ресурс]. URL: https://www.enisa.europa.eu/ publications/data-pseudonymisation-advanced-techniques-and-usecases (дата обращения: 24.06.2022). тифицируемыми в БД ИСПДн можно говорить об одно значной идентификации с вероятностью равной 1. В других случаях, вероятность идентификации субъекта ПДн определяется как суммарная частота (р) незави симых признаков в БД ИСПДн: pp i n i =− () = ∏ 11 1 (3) где рi – частота идентифицируемого i-го признака в БД ИСПДн. p – вероятность соответствия предъявляемых для идентификации признаков субъекту ПДн в БД ИСПДн. Класс неоднозначно определенных ПДн достаточ но широкий и очень часто мы его используем его в различных сферах деятельности, включающих: рас следование инцидентов, криминалистику, деловую разведку, маркетинг, социологические исследования, судебно-правовую деятельность, PR, информацион ные войны и другие направления, в которых очень важны групповые, а не уникальные признаки субъек тов ПДн. С точки зрения требований GDPR эти данные не относятся к ПДн и не требуют защиты. Но это да леко не так и группам субъектам ПДн с общими при знаками также может быть нанесен ущерб. Значит и этот класс ПДн также требует защиты или каких-либо ограничений по сбору этих данных. В Федеральном законе № 152 «О персональных данных» подход, основанный на понятии однозначной и неоднозначной идентификации субъекта ПДн, на прямую не рассматривается, но условие принадлеж ности данных определенному физическому лицу пред полагает выполнения принципа однозначности (1). Но вернемся к данным о субъекте ПДн, которые в нашем законодательстве ранее вообще не рассма тривались [2]: время инициации запроса пользова телем; адрес web-страницы, посещенной активным пользователем; HTTP referer (ссылка); user agent13 , coockie14, src ip, src port, dst ip, dst port, геоидентифи катор. Этот список можно продолжать техническими характеристиками компьютера субъекта ПДн, верси ей операционной системы, монитора, МАС – адреса ми оборудования сети и специализированными све дениями, собираемыми поисковыми системами по результатам запросов. 13 User Agent это строка, которую используют веб-браузеры в качестве своего имени, она содержит не только имя браузера, но и версию операционной системы и другие параметры. По user agent можно определить достаточно много параметров, например, название операционной системы, её версию и разрядность. 14 Сookie небольшой фрагмент данных, отправленный вебсервером и хранимый на компьютере пользователя
6 Безопасность персональных данных: новый взгляд на старую проблему Вопросы кибербезопасности. 2022. № 4(50) Существуют и другие, весьма чувствительные к угрозам ПДн, которые составляют огромное количе ство измеряемых, наблюдаемых и классифицируе мых признаков:биометрические данные — физические, физио логические или поведенческие признаки физи ческого лица, при помощи которых возможно однозначно идентифицировать человека. Напри мер, изображения человеческого лица, отпечат ки пальцев, сетчатки глаза, запись голоса и т.п.; данные о здоровье – данные о физическом или психическом здоровье человека, включающие медицинские анализы, заключения и истории болезней и другую информацию; генетические данные – унаследованные или приобретенные генетические признаки физи ческого лица, предоставляющие уникальную информацию о физиологии или здоровье, а так же соответствующие биологические образцы. Кроме того, нельзя упомянуть и о другой информа ции, имеющей непосредственное отношение к субъ екту ПДн:банковские счета и динамика их состояния; опубликованные произведения интеллектуаль ной информация,собственности;произведенная субъектом ПДн в социальных сетях и других ресурсах Интернет; сведения о субъекте ПДн, оставляемые в мо бильных сетях, регистрирующих устройствах транспортных и других систем. Таким образом, перечень сведений, относящихся к личности, практически неисчерпаем и может быть со временем продолжен. Каждый из признаков способен идентифицировать субъект ПДн (СПДн) с определенной вероятностью, которая может быть определена исходя из частоты этого признака в наблюдаемой выборке при условии, что этот признак имеет прямую связь с любым уникальным идентификатором личности (СНИЛС, ИНН, номер телефона мобильной связи, адрес электронной почты, реквизиты паспорта или удостоверения лично сти, номер личного автомобиля, водительские права и др.). Признаки личности хранятся в специально органи зованных базах данных, предназначенных для реше ния государственных, производственных, социальных, политических, культурных и других задач. Таким образом, существующее определение не имеет точного смысла, трудно интерпретируемо, не отражает задачи и механизмы ответственности опе раторов обработки ПДн, что затрудняет (а практи чески исключает) правоприменение норм ФЗ 152 к его нарушителям. В качестве примера приведем следующее сообщение15 «Глава Сбербанка Герман Греф уже принес извинения 200 клиентам, чьи персональные данные попали в интернет, а также всем клиентам банка за доставленные переживания. «Мы сделали серьезные выводы и кардинально усиливаем контроль доступа к работе наших систем сотрудников банка, чтобы минимизировать влияние человеческого фактора», — приводятся слова Грефа в сообщении банка». Кто оценил ущерб, нанесенный клиентам сбербанка и кто его возместил? Понятие «человеческий фактор» не применимо к системам ин формационной безопасности и говорит лишь о неком петентности администрации организации. 2. Модель описания задач, решение которых требует использования персональных данных Представим модель персональных данных для ре шения определенных задач из рассмотренного нами содержания понятия «персональные данные»: Nk → F(ak, x1, x2, … , xn ) → Zk | (p ≥ pk) (4) F-1( x1, x2, … , xn ) → ak → Nk | (p ≥ pk), (5) где Nk – вектор параметров определенного субъекта ПДн. Этот параметр устанавливается в зависимости от решаемых социальных, экономических, политиче ских и других задач, в которых требуется информация об этом субъекте. F(ak, x1,…, xn ) – функция преобразования вектора параметров субъекта ПДн во внутреннюю форму их хранения в базе данных и назначение внутреннего идентификатора ak для задачи Zk, которая решается с применением этого набора персональных данных. F-1(x1,…, xn ) – обратная функция определения субъ екта ПДн по предъявленным параметрам. Эта функция решает 2 задачи: определение наличия в БД предъяв ленных параметров (идентификация) и выдача заклю чения о результатах аутентификации определяемого ФЛ. р –достоверность аутентификации по заданно му набору данных для неоднозначно определенных (групповых) ПДн. рk –требуемая достоверность решения задачи Zk Рассмотрим подробнее классификацию параме тров ПДн и решаемых задач, связанных с обработкой 15 В Сбербанке заявили о 5000 жертвах утечки данных https://www. interfax.ru/business/679460
7 УДК 004.94УДК 004.415.53 Концептуальные вопросы кибербезопасности DOI:10.21681/2311-3456-2022-4-2-12 ПДн. Параметры вектора Nk с учетом уточненного зна чения термина ПДн в концепции GDPR [2] могут вклю чать следующую информацию: 1. Внутренний идентификатор в БД (ak). 2. Отраслевые идентификаторы (СНИЛС, ИНН, номер и серия паспорта, номер личного автомобиля, и др.). В настоящее время их количество явно избы точно для систем электронного учета16. Поэтому, впол не достаточно наличие единого и уникального иден тификатора личности, но, желательно, по всемирной классификации. При этом предполагается, что полная информация о владельце ПДн хранится в реестре ин формационной системы государства, в котором вла делец ПДн имеет гражданство. 3. Характеристики электронных идентификато ров личности (карты, таблетки, RFID-метки, электрон ный паспорт, электронная подпись, электронные иден тификаторы, вживляемые в тело владельца ПДн17). Эти идентификаторы действуют в определенные периоды деятельности человека при решении различных задач, связанных с обработкой ПДн (Zk) и обычно использу ются при идентификации и аутентификации личности при допуске на объект, в информационную систему или при других случаях аутентификации личности. 4. Признаки, сохраняющие свойства личности на длительное время, в том числе и после жизни человека (медицинская карта с историями заболе ваний, личные дела, ДНК, социальные сети, поиско вые системы, страницы сайтов и блогов с участием владельца ПДн, архивы электронной почты и мессен джеров, финансово-кредитные истории в автомати зированных банковских системах, государственные информационные системы, интеллектуальная соб ственность, информация о родственниках и друзьях, архивы трудовой и другой деятельности). Эти данные могут подвергаться забвению при определенных ус ловиях18 5. Неустойчивые признаки владельца ПДн, сохраняемые от нескольких до десятков лет (психо физиологические параметры личности человека и его 16 Кто придумал создавать такое количество отраслевых классифика торов и во сколько обходится государству их содержание и учет ? К сожалению, на эти вопросы нет ответов. 17 Приказ Минпромэнерго РФ от 07.08.2007 №311 «Об утверждении стратегии развития электронной промышленности России на пе риод до 2025 года», так определяет одну из перспектив развития электронных материалов и структур: «...Наноэлектроника будет интегрироваться с биообъектами и обеспечивать непрерывный контроль за поддержанием их жизнедеятельности, улучшением качества жизни, и таким образом сокращать социальные расходы государства.» [электронный ресурс] URL: https://www.roi.ru/9352/ 18 Общий регламент защиты персональных данных GDPR [Электрон ный ресурс]. URL: https://gdpr-text.com/ru/ (дата обращения: 24.06.2022). фотографии, профили в различных информационных системах, система предпочтений при использовании ресурсов интернет и поисковых систем, информа ционная среда и техническое окружение человека в информационных системах, мнения, взгляды, отно шения и другие реакции владельца на ситуации в ин формационных системах, имущественное состояние, привычки, хобби и привязанности, стиль работы в информационных системах, почтовые адреса, друзья, досье и другие выявляемые признаки). 6. Признаки, которые можно определить, изме рить или сопоставить только в период жизни взрослого человека: (паспорт с биометрическими показа телями личности, отпечатки пальцев, рисунок сосудов рук, радужная оболочка глаза, группа крови, рентге новские снимки, описательные словесные портреты, телосложение, рост, размер обуви). Параметры Nk устанавливаются в зависимости от следующих решаемых задач (Zk), использующих на боры признаков ПДн { x1, x2, … , xn }. Нами были вы делены следующие основные группы задач, список которых может быть продолжен: 1. Допустимые условия обычного прохода на терри торию организации (идентификация локальная). 2. Условия регистрации при проживании в гостини це (идентификатор государственной информаци онной системы). 3. Идентификация проезда в транспорте (иденти фикатор социальный или определяющий условия проезда). 4. Идентификация и аутентификация в социальной сети и других ресурсах интернет. 5. Идентификация и аутентификация в информаци онных системах и АСУ. 6. Идентификация в системах контроля и управле ния доступом. 7. Идентификация и аутентификация в средствах до веренной загрузки. 8. Идентификация и аутентификация в системах электронной подписи (простая и усиленная). 9. Взаимодействие с органами МВД и другими ве домствами (группа задач). 10. Необходимые сведения при поступлении на об учение, работу, службу. 11. Сведения для оказания медицинских услуг (груп па задач). 12. Сведения для оказания банковских услуг. 13. Сведения для оказание государственных услуг (социальных, ЗАГС и др.). 14. Сведения для регистрации при страховании.
8 Безопасность персональных данных: новый взгляд на старую проблему Вопросы кибербезопасности. 2022. № 4(50) 15. Сведения для получения визы. 16. Сведения для заключения договоров при сделках. 17. Сведения для электронного и обычного голосо вания. 18. Признаки и условия подтверждения доказа тельств участия субъекта ПДН в преступной дея тельности (группа различных задач). Гораздо сложнее определить значение достоверно сти pk . Для разных задач оно может быть различным. Например, при решении первой задачи, условие про хождения на территорию организации может быть при рk ³ 0,7. При решении 18-й задачи достоверность со вершения тяжкого преступления должна быть не ниже 0,99999. Однако, при этом, из совокупности набора признаков Fk должны быть обязательно исключены те из них, распространение которых не контролируется человеком (биоматериал, отпечатки пальцев и другая информация, относящаяся к определению ДНК). Кон кретно граничное значение достоверности соверше ния преступления должна быть определено на между народном уровне обсуждения этой проблемы и может пересматриваться в зависимости от погрешностей измерения параметров признаков ПДн. Условием решения каждой задачи (Zk) является опре деление некоторых множеств признаков ПДн, при кото рых достигается выполнение задачи с вероятность не ниже заданной из всех возможных наборов данных (n): zi, zi ∈ Zk, (Ni | pi ≥ pk), при i = 1..n (6) Конкретное содержание этого набора данных опре деляется нормативным актом государства, ведомства или организации. Однако, чем выше значение вероят ности решения задачи идентификации владельца ПДн, тем выше и ответственность этой организации за без опасность сохранения ПДн. Конкретные значения от ветственности операторов обработки ПДн определяют ся угрозами личности в зависимости от набора данных, которые были скомпрометированы (опубликованы без согласия владельца, похищены и использованы в мо шеннических целях). В настоящее время в научной среде эти вопросы практически не обсуждаются. 3. Классификация угроз безопасности персональным данным для человека К сожалению, базовая модель угроз ПДн19 и мето дические рекомендации20 не рассматривают угрозы 19 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год. 20 Методика оценки угроз безопасности информации. ФСТЭК России, 05.022.2022 личности, хотя это может привести к более глубокому пониманию методов защиты ПДн, которые потребуют принятия определенных организационных и техниче ских решений, не предусмотренных существующими нормативными документами21,22 . Выделим наиболее важные угрозы безопасности для субъекта ПДН [8]: 1. Фальсификация субъекта ПДн путем использова ния поддельных документов. 2. Шантажирование субъекта ПДн открытыми пу бликациями компрометирующего характера. 3. Психологическое давление постоянными атака ми на субъекта ПДн с целью принуждения и ма нипулирования (троллинг). 4. Сбор сведений о системах предпочтений субъек та ПДн. 5. Сбор сведений о геолокации субъекта ПДн. 6. Компрометация субъекта ПДн путем публикаций аудио и видео записей с личной (частной) инфор мацией. 7. Выполнение несанкционированных действий от имени субъекта ПДн. 8. Изменение документов субъекта ПДн. 9. Захват недвижимости субъекта ПДн при фальси фикации документов. 10. Овладение счетами субъекта ПДн применением методов социальной инженерии. 11. Подмена (фальсификация) биологических образ цов субъекта ПДн. 12. Подлог на месте преступления свидетельств субъ екта ПДн. 13. Манипуляция общественным мнением в отноше нии субъекта ПДн. 14. Раскрытие личной и семейной тайны. 15. Добывание личной информации методами соци альной инженерии. 16. Получение доступа к ключам электронной подпи си и использования их в личных целях. 17. Использование технических средств (снифферы) для контроля трафика сообщений (мессенджеров, электронной почты и передаваемых файлов). 18. Создание ложной системы доказательств прояв ления активности пользователя в сети. 19. Создание фантомов (профилей пользователей) в социальных сетях с компрометирующей инфор мацией. 21 Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». 22 Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
9 УДК 004.94УДК 004.415.53 Концептуальные вопросы кибербезопасности DOI:10.21681/2311-3456-2022-4-2-12 20. Атака на репутацию цели. 21. Нанесение ущерба здоровью цели атаки. 22. Нанесение ущерба близким и родным цели. 23. Создание напряженности, паники у группы лиц, объединенных по национальным, территориаль ным или социальным групповым признакам. 24. Распространение компрометирующих слухов по групповым признакам. 25. Выполнение несанкционированных действий от имени субъекта ПДн. Практически все эти угрозы реализуются на пол ной или частичной открытости ПДН, которая может произойти как по вине самого субъекта ПДн, так и при плохой защите ПДН по вине оператора обработки ПДн. В последнем случае необходимо учитывать эти угрозы в модели ответственности оператора ПДн. 4. Требования к системе управления персональными данными и ответственности за их обработку Исходя из изложенных нами моделей представле ния ПДн, решаемых задач и угроз субъектам ПДн уро вень их защищенности в системах обработки должен определяться:1.Количеством параметров в принятой организа цией модели ПДн (Nk) и решаемых в ИСПДн задач (Zk). Чем больше параметров в принятой модели ПДн в организации, тем больше уровень защи щенности ИСПДн. 2. Характером угроз владельцам ПДн при ком прометации данных, содержащихся о них в БД ИСПДн. Чем больше угроз может быть реализо вано, тем выше уровень защищенности ИСПДн. 3. Требованиями по достоверности аутентификации владельцев ПДн (рk). Это требование определяет ся тем, что в БД ИСПДН, в которых проводится об работка неоднозначно классифицируемых запи сей ПДн с определенными общими групповыми признаками, могут быть реализованы групповые угрозы. Масштабы этих угроз зависят от объемов БД ИСПДн, способов группирования выборок субъектов ПДн и модели угроз. 4. Полным набором защитных мероприятий, вклю чающих меры по локализации обработки ПДн, контроля за их распространением и расследова нием инцидентов. Существующие требования по защите информации в ИСПДН не содержат пол ный набор мероприятий по защите ИСПДН, в том числе [11,12,13]: по требованиям к архитектуре ИСПДН, позво ляющей локализовать обработку ПДн в защи щенной среде; по организации системы защиты ПДн на всех этапах их обработки: по контролю за распространением и уничтоже нием информации о ПДн в различных формах их представления. 5. Соответствующей моделью ответственности орга низации за обработку ПДн. Уровень ответственности за компрометацию, ис кажение или передачу информации о ПДн должен определяться:1.Количеством параметров в принятой организа цией модели ПДн (Nk) для решения разных задач. 2. Количеством владельцев ПДн (числом записей в базе данных). 3. Модели угроз, которые могут быть реализованы для владельцев ПДн. 4. Величиной параметра экономической эффектив ности или бюджета организации для определения максимального уровня штрафных санкций при инцидентах информационной безопасности, свя занных с компрометацией ПДн. Заключение Современное определение ПДн трактует прак тически все ИС, имеющие персональные данные, как информационные системы ПДн (ИСПДн).Обезадачи (4,5) имеют вероятностный смысл. Это означает, что достичь определенную веро ятность аутентификации возможно большим количеством «слабых» признаков или/и умень шением множества объектов в базе данных. Если первая задача (4) не может быть точно определена, то вторая задача (5) должна иметь конкретные критерии решения задачи аутенти фикации физического лица (при устройстве на работу, при допуске к конфиденциальной инфор мации, при определении полноты улик и т.д.). Рассмотренные требования к защите ПДн ори ентирована на угрозы физическому лицу и мо гут быть использована при выборе модели ПДн для решения конкретной задачи. Предложенные требования к системе защиты ПДн стимулируют организации, проводящие об работку ПДн, к уменьшению количества пара метров в модели данных и созданию системы контроля за их распространением.
10 Безопасность персональных данных: новый взгляд на старую проблему Вопросы кибербезопасности. 2022. № 4(50) Технологии больших данных [9, 14] и использо вание различных источников информации [10, 15] практически могут свести к нулю усилия по обезличиванию ПДн. Это потребует введения новых технологий контроля ответственности операторов ПДн за распространение БД c ПДн. Существующие мнения о необходимости вве дения полного контроля в Интернете за счет отсутствия анонимности пользователей [11] не совпадают с мнением авторов этой статьи и не соответствует тенденциям развития информа ционных систем. Это возможно только при ре шении специальных задач по постановлению судебных органов. Необходимость анонимно сти ПДн должна регулироваться самим субъек том ПДн, а уровень защищенности этих данных должен определяться оценками рисков [12] и моделью ответственности оператора ПДн. Литература 1. Солдатова В.И. Защита персональных данных в условиях применения цифровых технологий. Lex russica (Русский закон). 2020;73(2). С.33-43. https://doi.org/10.17803/1729-5920.2020.159.2.033-043 2. Мочалов А. Н. Цифровой профиль: основные риски для конституционных прав человека в условиях правовой неопределенности // Lex russica. — 2021. — Т. 74. — № 9. — С. 88–101. — DOI: 10.17803/1729-5920.2021.178.9.088-101. 3. Chris Jay Hofnagle, Bart van der Sloot and Frederik Zuiderveen Borgesius (2019) European Union General Data Protection Regulation: What it is and what it means, Information and Communications Technology Act, 28:1, 65-98, DOI: 10.1080/ 13600834.2019 .1573501 4. Чехарина В. И. О конституционализации права на защиту персональных данных: из зарубежного опыта // Международный жур нал гуманитарных и естественных наук. – 2020. – №. 3-2. – С. 223-228. 5. Харитонова А. Р. Сохранность и анонимность персональных данных в социальных сетях // Предпринимательское право. Прило жение» Право и Бизнес». – 2019. – №. 4. – С. 48-55. eLIBRARY ID: 41321580 6. Кузнецова С. С. Право на анонимность в сети Интернет: актуальные вопросы реализации и защиты // Российское право: обра зование, практика, наука. 2020. № 5. С. 33–41. DOI: 10.34076/2410-2709-2020-5-33-41 7. Карцхия А. А. Тенденции развития правовых институтов под влиянием пандемии: российский и зарубежный опыт // Мониторинг правоприменения. – 2021. – №. 1 (38). – С. 10-15. DOI:10.21681/2226-0692-2021-1-10-15 8. Докучаев В. А., Маклачкова В. В., Статьев В. Ю. Классификация угроз безопасности персональных данных в информационных системах // T-Comm - Телекоммуникации и Транспорт.– 2020. № 1 9. Рожкова М. А., Глонина В. Н. Персональные и неперсональные данные в составе больших данных // Право цифровой экономи ки–2020. Ежегодник-антология/рук. и науч. ред. МА Рожкова. Москва: Статут. – 2020. – С. 271-296. 10. Ingo Siegert, Vered Silber Varod, Nehoray Carmi, Pawel Kamocki (2020) Personal data protection and academia: GDPR issues and multi-modal datacollections «in the wild»\ Article in Online Journal of Applied Knowledge Management • June 2020. DOI: 10.36965/OJAKM.2020.8(1)16-31 11. Смоленский М. Б., Левшин Н. С. Законодательство о персональных данных как инструмент государственного регулирования в сфере информационных коммуникаций // Наука и образование: хозяйство и экономика; предпринимательство; право и управ ление. – 2019. – №. 5. – С. 75-80. 12. Моделирование рисков информационной безопасности в цифровой экономике: монография / А.С. Минзов, Е.Н. Черемисина, Н.А. Токарева, С.В. Бобылева; под ред. А.С. Минзова. — М.: КУРС, 2021. — 112 с. 13. Станкевич М.А., Игнатьев Н.А., Смирнов И.В., Кисельникова Н.В. Выявление личностных черт у пользователей социальной сети ВКонтакте // Вопросы кибербезопасности. 2019. № 4 (32). С. 80-87. DOI: 10.21681/2311-3456-2019-4-80-87 14. Кондаков С.Е., Чудин К.С. Разработка исследовательского аппарата оценки эффективности мер обеспечения защиты персональ ных данных // Вопросы кибербезопасности. 2021. № 5 (45). С. 45-51. DOI: 10.21681/2311-3456-2021-5-45-51 15. Дорофеев А.В., Марков А.С. Структурированный мониторинг открытых персональных данных в сети интернет // Мониторинг правоприменения. 2016. № 1 (18). С. 41-53.
E-mail:
Yu. Nevsky,
The emergence in Europe of a new concept of personal data (PD) protection in 2018 did not find wide coverage in the domestic press. The PD protection system in this concept has changed somewhat in the direction of expanding both the very concept of “personal data”, and in the direction of creating strict mechanisms for ensuring and controlling security.
profil’: osnovnye riski dlja konstitucionnyh prav cheloveka v uslovijah
The proposed model can be used as a novel approach to solving the problems of secure processing, storage, transfer and liability.
25 Oleg
11 УДК 004.94УДК 004.415.53 Концептуальные вопросы кибербезопасности DOI:10.21681/2311-3456-2022-4-2-12 Security of perSonal data: a new look at the problemold Minzov A.S23. , Nevsky A.Yu24. , Baronov O.R.25
Scientific novelty. A new approach to the description of the PD model is proposed, based on the solution of 2 groups of tasks that require the use of this data. The classes of security threats to the subject of PD in case of their compromise are determined. Requirements for information security systems and mechanisms of responsibility of personal data operators are formulated. information security, personal data model, threats, personal data operator, responsibility, GDPR. cifrovyh Lex russica (Russkij zakon). 2020;73(2). S.33Cifrovoj pravovoj neopredelennosti // Lex russica. — S. 88–101. DOI: 10.17803/1729-5920.2021.178.9.088-101. Professor of the Department of Security and Information Technologies, National Research University MPEI, Moscow, Russia. MinzovAS@mpei.ru Alexander Ph.D., Head of the Department of Security and Information Technologies, National Research University MPEI, Moscow, Russia. NevskiyAU@mpei.ru R. Baronov, Ph.D., Associate Professor of the Department of Security and Information Technologies, National Research University MPEI, Moscow, Russia.E-mail: BaronovOR@mpei.ru
—
2021. — T. 74. — № 9. —
24
Keywords:
Main research methods: system analysis of existing normative and other documents, set theory and algebra of logic.
tehnologij.
References 1. Soldatova V.I. Zashhita personal’nyh dannyh v uslovijah primenenija
43. https://doi.org/10.17803/1729-5920.2020.159.2.033-043 2. Mochalov A. N.
E-mail:
The purpose of the article: the development of a unified model for the presentation of PD to solve certain problems.Thisallows you to determine the minimum required number of parameters in the PD model with a certain probability of solving these problems and develop a mechanism for responsibility for their processing.
3. Chris Jay Hofnagle, Bart van der Sloot and Frederik Zuiderveen Borgesius (2019) European Union General Data Protection Regulation: What it is and what it means, Information and Communications Technology Act, 28:1, 65-98, DOI: 10.1080/ 13600834.2019 .1573501 4. Cheharina V. I. O konstitucionalizacii prava na zashhitu personal›nyh dannyh: iz zarubezhnogo opyta //Mezhdunarodnyj zhurnal gumanitarnyh i estestvennyh nauk. – 2020. – №. 3-2. – S. 223-228. 5. Haritonova A. R. Sohrannost› i anonimnost› personal›nyh dannyh v social›nyh setjah //Predprinimatel›skoe pravo. Prilozhenie» Pravo i Biznes». – 2019. – №. 4. – S. 48-55. 6. Kuznecova S. S. Pravo na anonimnost› v seti Internet: aktual›nye voprosy realizacii i zashhity // Rossijskoe pravo: obrazovanie, praktika, nauka. 2020. № 5. S. 33–41. DOI: 10.34076/2410-2709-2020-5-33-41 7. Karchija A. A. Tendencii razvitija pravovyh institutov pod vlijaniem pandemii: rossijskij i zarubezhnyj opyt //Monitoring pravoprimenenija. – 2021. – №. 1 (38). – S. 10-15. 8. Dokuchaev V. A., Maklachkova V. V., Stat›ev V. Ju. Klassifikacija ugroz bezopasnosti personal›nyh dannyh v informacionnyh sistemah // T-Comm - Telekommunikacii i Transport.– 2020. № 1 9. Rozhkova M. A., Glonina V. N. Personal›nye i nepersonal›nye dannye v sostave bol›shih dannyh // Pravo cifrovoj jekonomiki–2020. Ezhegodnik-antologija/ruk. i nauch. red. MA Rozhkova. Moskva: Statut. – 2020. – S. 271-296. 23 Anatoly S. Minzov, Dr.Sc.,
12 Безопасность персональных данных: новый взгляд на старую проблему Вопросы кибербезопасности. 2022. № 4(50) 10. Ingo Siegert, Vered Silber Varod, Nehoray Carmi, Pawel Kamocki (2020) Personal data protection and academia: GDPR issues and multi-modal datacollections «in the wild»\ Article in Online Journal of Applied Knowledge Management · June 2020. DOI: 10.36965/ OJAKM.2020.8(1)16-31 11. Smolenskij M. B., Levshin N. S. Zakonodatel›stvo o personal›nyh dannyh kak instrument gosudarstvennogo regulirovanija v sfere informacionnyh kommunikacij // Nauka i obrazovanie: hozjajstvo i jekonomika; predprinimatel›stvo; pravo i upravlenie. – 2019. – №. 5. – S. 75-80. 12. Modelirovanie riskov informacionnoj bezopasnosti v cifrovoj jekonomike: monografija / A.S. Minzov, E.N. Cheremisina, N.A. Tokareva, S.V. Bobyleva; pod red. A.S. Minzova. — M.: KURS, 2021. — 112 s. 13. Stankevich M.A., Ignat’ev N.A., Smirnov I.V., Kisel’nikova N.V. Vyjavlenie lichnostnyh chert u pol’zovatelej social’noj seti VKontakte // Voprosy kiberbezopasnosti. 2019. № 4 (32). S. 80-87. DOI: 10.21681/2311-3456-2019-4-80-87 14. Kondakov S.E., Chudin K.S. Razrabotka issledovatel’skogo apparata ocenki jeffektivnosti mer obespechenija zashhity personal’nyh dannyh // Voprosy kiberbezopasnosti. 2021. № 5 (45). S. 45-51. DOI: 10.21681/2311-3456-2021-5-45-51 15. Dorofeev A.V., Markov A.S. Strukturirovannyj monitoring otkrytyh personal’nyh dannyh v seti internet // Monitoring pravoprimenenija. 2016. № 1 (18). S. 41-53.
13 УДК 004.94УДК 004.056.53 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-13-25 логико-лингвистическое моделирование угроз Безопасности информации в информационных системах Язов Ю.К1., Соловьев С.В.2,Тарелкин М.А.3 Цель статьи: оценка возможностей применения и сравнительная характеристика реляционных языков логи ко-лингвистического моделирования для формализованного описания процессов реализации угроз безопасно сти информации в информационных системах. Метод: применение аппарата логико-лингвистического моделирования, позволяющего формально описать угрозы безопасности информации и совокупность действий, выполняемых в ходе их реализации, с учетом воз можностей реляционных языков описания, таких как язык Кодда, контекстно-свободный плекс-язык, язык RXкодов, синтагматических цепей и семантических сетей. Полученный результат: дана краткая характеристика и сравнительный анализа реляционных языков логиколингвистического моделирования, указаны особенности, влияющие на возможности их применения для описа ния угроз безопасности информации и процессов их реализации. Показана целесообразность такого моделиро вания при создании перспективных экспертных систем (систем поддержки принятия решения при организации и ведении технической защиты информации в информационных системах), предназначенных для автоматизиро ванного и автоматического анализа угроз, при ведении банка данных угроз по результатам мониторинга публи каций о них в сети Internet. Приведены примеры построения формальных логико-лингвистических описаний широко известных угроз проведения компьютерных атак на информационные системы с использованием языков RX-кодов, синтагма тических цепей и семантических сетей, даны предложения по построению на основе реляционных языков спе циализированного языка логико-лингвистического описания угроз, в том числе в условиях применения мер и средств защиты от них. Отмечено, что предложенный подход к логико-лингвистическому моделированию угроз безопасности инфор мации применим в случае отсутствия необходимости учета фактора времени при оценке возможностей их реа лизации, однако позволяет формировать исходные данные для такой оценки. Ключевые слова: реляционный язык, оценка, функциональная модель, сеть Петри-Маркова, мера защиты. DOI:10.21681/2311-3456-2022-4-13-25 1 Язов Юрий Константинович, доктор технических наук, профессор, главный научный сотрудник управления ФАУ «ГНИИИ ПТЗИ ФСТЭК России», г. Воронеж, Российская Федерация. E mail: Yazoff_1946@mail.ru 2 Соловьев Сергей Вениаминович, начальник управления ФАУ «ГНИИИ ПТЗИ ФСТЭК России», г. Воронеж, Российская Федерация. E mail: gniii@fstec.ru 3 Тарелкин Михаил Андреевич, старший научный сотрудник ФАУ «ГНИИИ ПТЗИ ФСТЭК России», г. Воронеж, Российская Федерация. E mail: gniii@fstec.ru 1. Введение Огромное разнообразие угроз безопасности ин формации в информационных системах (ИС) и спосо бов их реализации обусловили необходимость созда ния электронных баз данных для сбора и накопления сведений об угрозах, их актуализации и применения для решения задач защиты информации в ИС. Сегодня эти сведения представляют собой вербальные описа ния, что практически исключает их использование в автоматизированном режиме в формальных проце дурах и алгоритмах анализа угроз. Вместе с тем уже сегодня крайне востребованы для автоматизации процессов прогнозирования и анализа угроз соответ ствующие экспертные системы [1 – 3], основанные на использовании элементов теории искусственного
14 Логико-лингвистическое моделирование угроз безопасности информации... Вопросы кибербезопасности. 2022. № 4(50) интеллекта, таких как искусственные нейронные сети, нечеткие множества и нечеткая логика, генетические алгоритмы, эволюционная семиотика [4] и др. Пере ход от вербальных к формальным описаниям угроз безопасности информации связан с необходимостью разработки соответствующих правил формального описания. Весьма перспективным для этого является использование логико-лингвистических моделей [5]. До сих пор логико-лингвистические описания исполь зовались преимущественно для решения задач по иска разнородной информации [6], построения онто логических баз знаний [7] и семантического анализа контента в сетях общего пользования [8, 9 ], а также при решении отдельных частных вопросов обеспече ния безопасности информации, таких как оценивание защищенности на основе семантической модели ме трик и данных [10], автоматизация анализа уязвимо стей программного обеспечения [11], семантический анализ информационных рисков и угроз [12 – 15] и др. Если в вербальных моделях применяются есте ственные языки описания, то в логико-лингвистиче ских моделях – символьные описания с использова нием специально созданных искусственных языков. В соответствии с [5] в классификационную схему искусственных языков, как правило, включают три группы языков: 1) логические языки, которые используются в фор мальных системах логического типа, таких как ис числение высказываний или исчисление предикатов первого порядка, многозначные логики и модальные исчисления;2)реляционные языки, для которых характерно введение конечного множества бинарных отноше ний, с помощью которых передаются бинарные связи между элементами языка; 3) языки ролевых фреймов, в которых каждая еди ница в предложении описывается через семантиче ские роли, которые она может выполнять. При использовании этих языков могут приме няться формализмы математической логики, теории нечетких множеств, теории графов и др. Строгость логических отношений между элементами описания может варьироваться в широких пределах: от отно шений, выраженных нечеткими оценками, до отно шений строгого детерминизма. Наиболее часто упо минаются в литературе и используются на практике так называемые реляционные языки (от англ. relation – отношение) и языки ролевых фреймов [5]. Следует отметить, что, хотя фреймовые языки пред ставления знаний предоставляют пользователю опре деленную свободу при описании знаний, так как допу скают различные способы описания данных в пределах одного фрейма, их недостатками являются, во-первых, возможность применения для решения сравнительно несложных задач описания, так как при расширении описания фреймовая сеть имеет свойство разрастать ся до значительных размеров и проблемы поиска ре шения в таких сетях становятся трудноразрешимыми, поскольку связи между фреймами в сетях, описываю щих объемные знания, как правило, неоднозначны. Во-вторых, фреймовые сети менее приспособлены к адаптации, так как внесение новых фреймов и из менение слотов (элементов описания) в имеющихся фреймах может повлечь противоречия и зацикливания в ссылках при движении по иерархической структуре фреймовой сети. В связи с этим возможности языков фреймов для описания угроз безопасности информа ции в ИС далее не рассматриваются. В данной статье излагается подход к использова нию реляционных языков для формального описания угроз безопасности информации в ИС. 2. Краткая характеристика реляционных языков для логико-лингвистического моделирования угроз К реляционным языкам, как правило, относят та бличные языки Кодда, контекстно-свободный плексязык, тензорный язык Крона4,RX-коды, синтагма тические цепи и семантические сети, [5]. Краткая характеристика этих языков приведена в таблице (табл.1), кроме тензорного языка, который оказывает ся весьма сложным в практическом применении при описании угроз. Анализ табличных языков Кодда и, контекстно-сво бодного плекс-языка показал, что их весьма сложно использовать при логико-лингвистическом описании угроз безопасности или из-за недостаточных вырази тельных возможностей, а тензорный язык Крона ока зывается весьма сложным в использовании даже при описании весьма простых угроз. Рассматривая широко известные RX-коды, необхо димо отметить, что в этом языке в качестве правиль ных синтаксических выражений используются двойки из множества понятий X j m {} и множества отношений Ri {} (см. табл.1) и конъюнкции двоек. Для интерпре тации выражений языка RX-кодов всем понятиям и отношениям предписываются некоторые семантиче ские значения, например, для понятий: X i 1 – «угроза 4 Сегодня известно достаточно много и других языков, однако их возможности для описания угроз безопасности информации весьма ограничены и далее не рассматриваются.
15 УДК 004.94УДК 004.056.53 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-13-25 перехвата трафика с использованием «сниффера», от носящаяся с номером 1 к i -му классу угроз, объеди няющему все угрозы перехвата трафика; X j 1 – «угро за переполнения буфера операционной системы», от носящаяся с номером 1 к j -му классу угроз «Отказ в обслуживании».Семантические значения для отношений могут быть, например, следующие: R m – «иметь имя»; Rk - «повторять» с порядковым номером k ; R n - «быть меньше» с порядковым номером n и т.д. Приведем пример использования языка RX-кодов для описания угрозы атаки «sin-flood». Пример 1. Суть атаки «syn-flood» заключается в посылке большого количества пакетов сообщений, сформированных по протоколу TCP с запросом на со единение с атакуемым компьютером (TCP-запросов). Атакуемый компьютер по технологии установления соединений направляет на атакующий компьютер хакера квитанцию о получении запроса и согласии на установление виртуального канала, при этом за писывает данные запросившего компьютера в буфер. Атакующий, получив эту квитанцию, должен был бы направить свое уведомление о том, что он начина ет передачу, которая на атакуемой стороне является сигналом для очищения буфера и начала приема па кетов. Однако хакер не посылает это уведомление, а направляет следующий запрос, что заканчивается очередной записью данных об атакующем компьюте ре в буфер атакуемого. Это многократно повторяется, что приводит к переполнению буфера атакуемого ком пьютера и его «зависанию». Пусть рассматриваемая угроза обозначается как X 0 0 и в описании угрозы используются следующие по нятия: X 1 1 - имеет место класс угроз «Отказ в обслужи вании»; X 2 1 – имя угрозы «Переполнение буфера опе рационной системы»; X 3 1 – источником угрозы являет ся внешний нарушитель; X 4 1 – пакет с запросом на со единение отправлен; X 5 1 – состояние буфера операци онной системы атакуемого компьютера нормальное; X 5 2 – состояние буфера операционной системы ата куемого компьютера соответствует отказу в обслужива нии; X 6 1 – количество отправленных хакером пакетов а запросом на соединение превышает предельное для буфера атакуемого компьютера значение; X 7 1 – состо яние компьютера «отказ в обслуживании». Суть отношений между понятиями состоит в следу ющем: R1 – имеет место; R2 – выполняется повтор; R3 – выполняется условие; R4 – следствием является. Для расширения возможностей описания могут ис пользоваться пропозициональные связки, такие как операция конъюнкции & (соответствующая логике «И»), операция дезъюнкции в разделительном смысле ∨ (соответствующая логике «ИЛИ», когда утверждает ся одно и только одно из высказываний), и др. Простейшая формальная запись угрозы атаки «syn-flood» с использованием RX-кодов показана на рисунке (рис.1). Язык синтагматических цепей (СЦ) предоставляет значительно больше возможностей для описания угроз безопасности информации, чем язык RX-кодов. Это об условлено не только тем, что построение синтагм инту итивно понятно, но и тем, что для расширения его возможностей используются квантификаторы, модификаторы и императивы5. Еще более важным 5 Императивы словесные выражения указаний, реализуемых в ИС в интересах, например, парирования угроз или решения других за дач защиты. Примерами императивов являются такие слова и сло восочетания, как «провести идентификацию», «изменить пароль доступа» и др. Квантификаторы служат для введения количествен ных и качественных мер для понятий, отношений и императивов. Примерами идентификаторов могут быть слова «всегда», «для всех», «очень редко» и т.п. Модификаторы приписывают понятиям, отношениям и императивам некоторые характеристики, которые в них ранее не фиксировались. Примерами квантификаторов могут быть слова «опасная», «аварийное», «зависание» и т.п. Имеют место () класс угроз «Отказ в обслуживании»() ; имя угрозыбуферапереполнение () ; Источник угрозы внешний нарушитель () ; Состояние буфера операционной системы до атаки нормальное () 1 1X Повторяется () отправка хакером пактов с запросом на соединение () , пока выполняется условие () , при котором имеет место () нормальное состояние буферасистемыоперационной () При наличии условия () , когда количество отправленных хакером пакетов превышает предельное для буфера атакуемого компьютера значение () следствием () становится состояние переполнение буфера () и имеет место () отказ в обслуживании () ( {) }0111111121 01112131524315364517 ()()()()&ˆ XRXRXRXRXRXRRXRXRXRX =∨ 1 7X 1 2X 1 3X 1 5X 2 5X 4R 3R2R 3R 1R 1 6X 1R 1 5X 1R 1 4X Рис.1. Пример формальной записи угрозы сетевой атаки «syn-flood» с использованием RX-кодов
16 Логико-лингвистическое моделирование угроз безопасности информации... Вопросы кибербезопасности. 2022. № 4(50) 1Таблица [2]описанияязыковреляционныххарактеристикаКраткая Наименова№-ФормаязыканиезаписиинформациинаязыкеДостоинстваинедостатки 1 Табличный Коддаязык фортаблицыстрокивидевобластипредметнойоДанные множестве:назадаютсямально HI HH k =× ×× 1 ... , где H 1 атрибутовзначениймножества–j1 а, I множество–видевданныхсущностей,имен n (отношений-арных nk ≤ ) формойтабличнойсКоддаязыкинформатизациизареНа основутеоретическуюсоставлялинформациипредставления Сданных.базвсевозможныхразработкиметодоввсехпочти представязыкэтотзнанийобработкиизаписизренияточки онпрактикенаноинтерес,историческийскореесегодняляет различныхпостроениядлябазисакачествевиспользуется Языкуровня.высокогоболееязыковразвитияиданныхбаз приегопоэтомузнания,неноданные,описыватьпозволяет нецелеугрозописаниялогико-лингвистическогодляменение сообразно[1] 2 Контекстно- свободный плекс-язык плекс-являются:языкаэтогокомпонентамиОсновными колиопределенноеимеющийобъект,(абстрактныйэлементы ссоединениядлявыходовивходовестьтоконтактов,чество грамиконкатенацииоперацияплекс-элементами),другими плекс-элементовсоединенияправилаопределяющаяматика, Опеязыка.алфавитобразуютПлекс-элементысобой.между элеменматрицей,задаетсяформальноконкатенациирация контактамимеждусвязиотражаюткоторойты i и j естьто, матрицей A ij γ четверка:называетсяязыкаГрамматикой. Gv AV R = 0 ,, , где, v 0 символ,начальный–Aa p = {} алфавит–плекс-элементов;терминальных Vv k = {} вспомогаалфавит–плекс-элементов;тельных R [2]выводаправилмножество–еговозможностьявляетсяязыкадостоинствомОсновным представленияформыгибкойдостаточнокакиспользования когдаПричем,знаний.базахвобъектовразличныхструктур устаноможновсегдаструктура,новаянекотораяпоявляется дляязыкаданногограмматикииалфавиталидостаточновить, необходиилизнаний,базевпредставленияадекватногоее модифииплекс-элементаминовымиалфавитдополнятьмо языка.грамматикуцировать угрозописаниядляязыкаэтогоприменениевзгляд,нашНа нецелесообразноинформациибезопасности 3 RX-кодовЯзык языкамдескрипторнымназываемымтаккотноситсяЯзык* . поиотношениявыступаютязыкаэтогоединицамиБазовыми отт.е.парадигмастическими,называемыеОтношения,нятия. буквойобозначаютсявсегда,существующиминошениями, Ri с буквойобозначаютсяПонятияиндексами.нижнимиразличными X mj правильныхкачествеВиндексами.нижнимииверхнимис двойкииспользуютсявыраженийсинтаксических R и X mj лю, пуполучающиесяконъюнкции,идвоектакихконъюнкциибые выражении.синтаксическомправильномвXлюбогозаменытем опуобычнопутанице,кприводитнеэтоесликонъюнкции,Знак используютсяотношениядействиязоныуказаниядляаскается, RX-кодов.языкасинтаксисестьиправилаЭтискобки.круглые понятиямвсемRX-кодовязыкавыраженийинтерпретацииДля семантиче-некоторыепредписываютсяжесткоотношениями опипозволяетRX-кодам,присущаяиерархия,Естественная древовидныхметодомобластипредметнойознаниясывать существенныенакладываетодновременнооднакоструктур, том,вДеловозможности.описательныеихнаограничения являетсявсегдапонятиеязыкеэтомвопределяемоечто уроводногопонятиямимеждуотношенияадерева,корнем понятийодноуровневыхсочлененияДляучитываются.неня средств.(внеязыковых)дополнительныхвведениетребуется эфвесьмапозволяетограничениеэтоименнотемсВместе базорганизацииприRX-кодовязыкиспользоватьфективно определяиграютотношенияродовидовыекоторыхвзнаний, конструкдревовидныеязыкаестественногоДляроль.ющую понятиямимеждуотношениянемВхарактерны.стольнеции многочис-содержатиструктурусетевуюправило,какимеют, * В дескрипторных языках отражаются только понятия и имена, которые называют дескрипторами.
17 УДК 004.94УДК 004.056.53 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-13-25 Наименова№-ФормаязыканиезаписиинформациинаязыкеДостоинстваинедостатки 3 RX-кодовЯзык произвозможнымоказываетсяслучаеэтомВзначения.ские котоопределенные,ранеечерезпонятийновыхвыводводить признаковкачествеввыступаютпонятияновогоэтогодлярые самихчерезопределяютсяпонятиякоторыхвциклы,ленные естезаписидляRX-кодовиспользованииприПоэтомусебя. трудноопределенныевозникаюттекстовственно-языковых методыосновеихнапостроенныеиRX-кодыФактически,сти. тексты,отражатьадекватномогутнезнанийпредставления недостатосновнымКязыке.естественномнанаписанные следующие:относятRX-кодовкам корнемявляетсявсегдапонятиеязыкеэтомвопределяемое учинеуровняодногопонятиямимеждуотношенияадерева, понятийодноуровневыхсочленениядляэтомпритываются, средств,(внеязыковых)дополнительныхвведениетребуется языка;использованиезатрудняетчто изапросовнаписаниясложностьопределеннаяимеется базахвзаписейпоискаалгоритмысложныеимедленные знаний; (подескрипторовкоординацияложнаяместоиметьможет отношений).инятий ограниченноенаходитRX-кодовязыкизложенногоучетомС испольбытьможетонтемсВместепрактике.наприменение инфорбезопасностиугрознесложныхописаниядлязования нихознанийбазахсоответствующихвмации 4 Язык синтагматических цепей Язык цепейсинтагматических расширесути,появляется, лецепейсинтагматическихосновеВRX-кодов.языканием тройкисобойпредставляющиесинтагмы,элементарныежат вида xr y где, x понятие-процесс(понятие-класс,понятия– понятие-состояние),или y имена,–r междуотношение– отнонаходитсяпозициисреднейвеслиНапример,ними. дляпонятие,стоитпозициилевойвтоимя»,«иметьшение имяуказываетсяпозицииправойвкоторого «троизсостоитцепьсинтагматическаяRX-кодовототличиеВ именами.ипонятиямимеждуотношениеопределяющихек», записи.формальнойпостроениеоблегчаетсущественноЭто описаниягромоздкостьсложность,относятсянедостаткамК сложностьпонятий,зависимостиучетфактов,совокупности синтагматемсВместепонятий.(производных)новыхвывода использовабытьмогутRX-коды,икакже,такцепитические информации.безопасностиугрознесложныхописаниядляны 5 Язык семантических сетей термов:классамитремязадаютсясетисемантическиеФормально понятиями Xx xx n = {} 12 ,, ..., именами, Ii ii m = {} 12 ,, ..., отношениямии R rr r = {} ρ ,, ,..., 12 Отношение. ρ «иметьозначаетОноособое.– падежные,наподразделяютсяотношенияостальныеимя», иерархические,причинно-следственные,характеристические, топологические.ивременные отношенияПадежные дейосновукакпредикатсвязывают словами.остальнымиспредложением,определяемогоствия, отношенияХарактеристические схарактеристикусвязывают значениемсохарактеристикуиобъектомхарактеризуемым характеристики. отношенияПричинно-следственные связы другоеапричиной,являетсякоторыхизоднопонятия,вают сепомощьюсобозначенийвыборесоответствующемПри совосложныеоченьвыразитьможносетеймантических синтагматическихиRX-кодовототличиеВфактов.купности тольконеописыватьпозволяютсетисемантическиесетей объектов,совокупностиприсущиеотношения,постоянные объектами.междуотношения(ситуативные)временныеино заключасетейсемантическихязыкаособенностьВажная (обобщатьпонятияновыевыводитьспособностиеговется отношений.структурытиповойвыделениясчетзаситуации) ситуаописаниядляиспользуетсятольконеособенностьЭта ситуационномприпродуктивнойвесьмаоказаласьона–ций языкевописанийобобщениеПостепенноерешений.поиске
18 Логико-лингвистическое моделирование угроз безопасности информации... Вопросы кибербезопасности. 2022. № 4(50) Наименова№-ФормаязыканиезаписиинформациинаязыкеДостоинстваинедостатки 5 Язык семантических сетей следствием. отношенияИерархические то,науказывают объекдругогочастьюсоставнойявляетсяобъектодинчто понятия.другиечерезопределяетсяпонятиеодно–илита отношенияВременные иабсолютныетипов:двухбывают устаотношениявременныеАбсолютныеотносительные. вре(точками)отрезкамииобъектамимеждунавливаются раньше»,«бытьсвязкиэто–относительныеаоси,менной др.ипозже»«быть«одновременно», отношеТопологические ния коорсистемыкакой-либоточкамисобъектысвязывают «бытьрасположение:взаимноеихнауказываютлибодинат далеетакилевее»«располагатьсясзади»,«бытьвпереди», построениюкконцов,концевприводит,сетейсемантических перемензаполнениивсвободоймаксимальнойсописания параметрами.свободнымисоипонятиямиконкретныминых испольпозволяетсетейсемантическихсвойствоважноеЭто неКзнаний.базинтеллектуальныхсозданииприихзовать следующие:отнестиможносетейсемантическихдостаткам структуры,пассивныесобойпредставляютониво-первых, фораппаратспециальныйнеобходимкоторыхобработкидля использованиепредставление,во-вторых,вывода;мального остаетсяугрозсложныхописаниипризнаниймодификацияи наличииприособеннопроцедурой,трудоемкойдостаточно описания.элементамиеемеждуотношениймножественных преодолимы.вполненедостаткиэтиОднако является расширение состава элементов описания процесса реализации угроз такими классами функ циональности как модальность6, что можно использо вать в алгоритмах функционирования перспективных систем поддержки принятия решений по ТЗИ. Рассмо трим описание той же атаки «syn-flood» с использова нием языка синтагматических цепей. Пример 2. Введем следующие понятия и отноше ния: A0 – атака «syn-flood»; b1 – компьютер хакера; b2 – атакуемый компьютер; b3 – запрос на соедине ние; b4 – буфер атакуемого компьютера; b5 – квитан ция; b6 – уведомление; n1 – количество передавае мых на атакуемый компьютер пакетов с запросами на соединение; n2 – предельно допустимое количе ство записей в буфер атакуемого компьютера о за просившем соединение компьютере; s1 – состояние буфера нормальное; s2 – переполнение буфера (за висание); r1 – имеет имя; r2 – передает, r3 – блоки рует; r4 – получает; r5 – записывает; r6 – находится в состоянии; r7 – повторяет; r8 – больше; r9 стало причиной; i0 – класс атаки; i1 – TCP-пакет с запросом на соединение; i2 – TCP-пакет с квитанцией о согла сии на соединение; i3 – сведения о компьютере, за просившем соединение, записываемые в буфер; k 0 – «Отказ в обслуживании». Тогда формальная запись данной атаки имеет следующий вид: Ai rk br br sb ri br ib ri 001027261121241253 = () () () () ()() {} Ai rk br br sb ri br ib ri br ib001027261121241253222 = () () () () ()() () 1 132918392 ri rn rn rs () {} Ai rk br br sb ri br ib ri br ib001027261121241253222 = () () () () ()() () 1 132918392 ri rn rn rs () {} (1) Такое формальное описание угрозы позволяет вы делить признаки, по которым можно осуществлять по иск в автоматическом режиме записи о данной угро зе в базе данных, при сборе в сети Internet информа ции в интересах статистического анализа реализации угроз и др. 3. Модификация языка семантических сетей в интересах его использования для логиколингвистического моделирования угроз Семантические сети (СС) представляют собой сле дующий шаг в развитии машинно-читаемых представ лений информации. Они дают возможность получать логические выводы на основании введенных правил. 6 Модальность (от лат. Modus мера, способ) оценка связи, устанавливаемой в высказывании, данная с той или иной точки зрения. Модальная оценка выражается с помощью модальных понятий: «необходимо», «возможно», «случайно», «доказуемо», «опровержимо», «обязательно», «разрешено», «хорошо» и т.п.
19 УДК 004.94УДК 004.056.53 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-13-25 СС, как и СЦ, формально определяется тремя класса ми термов [5, 6]: 1) понятиями XX XX s = {} 12,,..., ; 2) именами Ii ii m = {} 12,,..., ; 3) предикатами (типа ми отношений) R RR R q = {} ρ,, , 12..., , при этом пре дикат ρ является особым, означающим «иметь имя», между понятиями в виде триплета ( xrkjxs ) и между именами в виде триплета ( ir i pg h ). Запись на языке СС значительно богаче, так как с ее помощью можно выразить сложные совокупности фактов, описывать не только постоянные отношения, присущие объекту моделирования, но и ситуативные отношения, а также обобщать ситуации за счет выде ления типовых структур отношений [6]. Это позволяет использовать их при создании иерархических баз зна ний и разработке формальных процедур ситуацион ного поиска решений. Применительно к задачам ТЗИ этот язык пока непосредственно не использовался. В отличие от традиционного языка СС, применяемо го чаще всего для поиска семантической информа ции [5, 6, 8], созданный затем язык ситуационного управления (ЯСУ) [16] применяется для описания по рядка действий в ходе управления процессами и объ ектами, распознавания ситуаций и др. Вместе с тем, при описании угроз с использованием реляционных языков, в том числе языков СС и ЯСУ, не учитывает ся фактор времени, то есть не описывается динамика процессов реализации угроз, для чего, в основном, применяются аппараты марковских, полумарковских процессов и составных сетей Петри-Маркова [16]. Однако для построения математических моделей на основе указанных аппаратов, оценивания возможно стей реализации угроз, определения состава актуаль ных угроз и т.д. требуются соответствующие исходные данные об угрозах, при этом из-за большого количе ства угроз и объема сведений о них для формирова ния исходных данных необходимо не только автомати зировать их поиск в базе знаний, но и подготавливать эти данные в нужном для расчетов формате. Для этого также может быть использовано описание угроз на ос нове реляционных языков. Специфика задач ТЗИ обусловливает то, что, как и в интересах ситуационного управления был преоб разован язык СС в ЯСУ [3], для решения задач ТЗИ язык СС тоже должен быть соответствующим образом изменен в части понятий, имен и отношений. Такими изменениями в языке СС могут быть, например, по аналогии с [6], отношения, устанавливаемые между действиями, соответствующими процессам реали зации угроз, то есть отношения между предикатами, определяющими такие действия. В этом случае все предикаты, определяющие отношения, разбиваются на три подмножества: отношения между понятиями, между именами и отношения между предикатами, сами определяющие другие отношения. Примеры некоторых понятий, имен и отношений между именами применительно к задачам описания и анализа угроз безопасности информации в ИС при ведены в таблицах (табл.2 и 3). Это позволяет в формальном описании угрозы связы вать между собой последовательно выполняемые и обу словленные действия. Для описания угроз в этом случае используются четыре класса термов: 1) понятия X s {} ; 2) имена i m {} ; 3) предикаты, определяющие отноше ния между понятиями в виде триплетов ( xrkjxs ) и между именами – ( ir i pg h ); 4) предикаты, опреде ляющие отношения между выполняемыми действиями в виде триплетов ( rrudrb ), к которым относятся, например, отношения следования, временные, кауза тивные и др. Семантическую сеть представляют часто в виде ориентированного графа, вершинами которого являются понятия и имена, а дугами – отношения меж ду ними. Пример графа, описывающего понятия угрозы копирования файла конфиденциальной информации с использованием файла cookie без раскрытия сценария реализации, приведен на рис.2. Рассмотрим отдельно описание способа (сцена рия) реализации угрозы копирования нужной нару шителю информации с использованием файла cookie. Пример 3. Введем с учетом табл. 2 и 3 следую щие обозначения: i21 – имя способа реализации угрозы копирования информации с использовани ем файла cookie; i12 – файл cookie; i16 – компьютер атакующего; i17 – атакуемый компьютер; i19 – ком пьютер со сниффером для перехвата файлов cookies; i20 – поисковая система; r res 21 () – передача запроса на информационный ресурс в поисковую систему; r cook 21 () – передача файла cookie с поисковой маши ны на атакуемый хост; r25 – перехват файла cookie на компьютер-посредник с установленной программой «сниффер» и передача его на компьютер атакующего; r27 – внедрение в файл cookie вредоносного скрип та; r scr 21 () – передача файла cookie, инфицированного вредоносным скриптом, на атакуемый компьютер; r scr 20 () – прием и просмотр веб-браузером атакуемого компьютера файла cookie и запуск на ис полнение внедренного в него скрипта; r24 – копиро вание файла; r f 21 () – передача скопированного вредо носным скриптом файла на хост атакующего. Тогда формальная запись способа реализации угрозы на языке СС имеет вид:
20 Логико-лингвистическое моделирование угроз безопасности информации... Вопросы кибербезопасности. 2022. № 4(50) Таблица 2 Примеры некоторых понятий и имен, используемых для описания угроз безопасности информации с применением семантических сетей № Понятие Обозначениепонятия Имя понятия имениОбозначениепонятия 1 Наименованиеугрозы X 0 Угроза копирования файла пользовательских данных с использованием файла cookie i1 2 Угроза уничтожения файла i2 3 Угроза подмены (модификации) файла i3 4 Угроза исполняемогоблокированияфайла i4 5 Класс угрозы X 1 Угроза проникновения в операционную среду i5 6 Угроза отказа в обслуживании i6 7 Угроза перехвата трафика i7 8 Источник угрозы X 2 Внешний i8 9 Внутренний i9 10 воздействияОбъект X 3 Каталог i10 11 Файл системный i11 12 Файл cookie i12 13 Текстовый файл i13 14 Графический файл i14 15 Исполняемый файл прикладной программы i15 16 Хост X 4 Хост атакующего i16 17 Хост атакуемого i17 18 Хост-«жертва» i18 19 Хост – «посредник» i19 20 Поисковая система i20 21 Способ реализации X 5 Идентификатор №1 i21 22 Идентификатор №2 i22 23 Состояние X 6 Нормальное i23 24 Отказ в обслуживании i24 25 Угроза реализована i25 26 Угроза блокирована i26 27 Вспомогательное X 7 Сетевой адрес i27 28 Предельное количество записей в буфер i28 29 Вредоносная программа i29 30 Количество отправленных пакетов i30 31 Уровеньугрозыопасности X 8 Недопустимая i31 32 Высокая опасность i32 33 Средняя опасность i33 34 Низкая опасность i34
21 УДК 004.94УДК 004.056.53 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-13-25 Таблица 3 Примеры некоторых отношений между понятиями и именами при формальной записи процессов реализации угроз № Тип отношения Содержание отношения Обозначение 1 Временные Быть одновременно r1 2 Быть позже r2 3 Быть раньше r3 4 Структурные Быть в одном сегменте r4 5 Находиться за пределами сети r5 6 Содержаться в файле r6 7 Быть за межсетевым экраном r7 8 Сравнительные Быть равным r8 9 Быть больше r9 10 Быть меньше r10 11 Классификационные Содержать в качестве элемента r11 12 Относиться к чему либо (например, к категории – виду, классу, типу) r12 13 Идентифицирующие Иметь имя r13 14 Быть чем либо (например источником, уязвимостью и т.д.) r14 15 Быть актуальной r15 16 Каузативные Быть целью для… r16 17 Быть причиной для… r17 18 Быть следствием для… r18 19 Быть условием для… r19 20 Динамические Принять что-то (пакет, сообщение, квитанцию и т.д. r20 21 Передать на r21 22 Повторить r22 23 Блокировать r23 24 Копировать r24 25 Перехватить r25 26 Ограничить r26 27 Модифицировать r27 28 Прагматические Служить для r28 29 Находиться в состоянии r29 30 Обеспечить r30 31 Быть дополнением r31 32 Следования Происходить непосредственно перед началом следующего действия r32 33 Происходить непосредственно после завершения предыдущего действия r33 34 Происходить параллельно с другим действием (другими действиями) r34
22 Логико-лингвистическое моделирование угроз безопасности информации... Вопросы кибербезопасности. 2022. № 4(50) Xi ir ii ri ir ii reri scook 521172120202117192516162712 ρ && && &() () i ir ii ri ir ii ri ir scrscr 16 21 17 17 20 12 17 11 13 29 24 13 17 21 () () && && & f i() 16ri ir ii scri ook 02117192516162712 && &() i ir ii scri rscr 16 21 17 17 20 12 21 () () && f i() 16 Xi ir ii ri ir ii reri scook 521172120202117192516162712 ρ && && &() () i ir ii ri ir ii ri ir scrscr 16 21 17 17 20 12 17 11 13 29 24 13 17 21 () () && && & f i() 16 (2) Подобные записи можно использовать в перспек тивных экспертных системах, предназначенных для автоматического или автоматизированного анализа угроз безопасности информации, в специализирован ных системах поддержки принятия решений по ТЗИ в ИС, при решении задач сбора и обработки данных об угрозах безопасности информации по результатам мониторинга сети Internet в интересах ведения Бан ка данных угроз безопасности информации ФСТЭК России и др. Расширение рассмотренных языков для логико-лингвистического моделирования угроз позво лит, кроме того, формально описывать способы при менения мер и средств защиты от актуальных угроз безопасности информации в ИС, способы обхода (преодоления) мер и средств защиты, а также подго тавливать в автоматизированном режиме данные по угрозам для расчетов показателей оценки эффектив ности применения мер и средств защиты с использо ванием соответствующих математических моделей. 4. Выводы 1. Переход от вербальных к формальным описани ям угроз безопасности информации и необходимость использования элементов искусственного интеллекта для их анализа востребованы практикой организации и ведения ТЗИ от НСД, что обусловлено большим объ емом данных об угрозах, обработка которых крайне затруднительна без ее автоматизации. Для формали зации описаний угроз, то есть разработки их логиколингвистических моделей, могут быть использованы реляционные языки описания. Логико-лингвистиче ские модели угроз, подлежащие включению в соот ветствующие базы знаний, востребованы сегодня для обеспечения решения таких задач ТЗИ от НСД, как ве дения Банка данных угроз безопасности информации ФСТЭК России, выявление состава актуальных угроз безопасности информации в различных классах ИС, формирование их описаний для включения в состав частных моделей угроз, автоматизированная подго товка данных для количественных оценок возможно Класс угрозы Угроза безопасностинарушенияинформации с использованием файла cookie Наименованиеугрозы Источникугрозы Объект воздействия приугрозыреализацииугрозы Несанкционированноедействие Способ (сценарий) реализации угрозы опасностиОценка использованиеминформациикопированияУгрозасфайла cookie Внешний использованиемизмененияУгрозаучетныхзаписейсфайла cookie ПользовательскийфайлСистемныйфайлУчетнаязапись МодификацияУничтожениеКопированиеПеремещениеДескрипторныйфайл Блокирование НедопустимаяВысокаяСредняяНизкая Формальная запись угрозы с использованием языка семантической сети без раскрытия способа ее реализации ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) ( ) 010121113501122138011331313 011441316011441317011441319 011551321011661325011881332 Xi&XrXXri&XrXXri&XrXXri& &XrXXri&XrXXri&XrXXri& &XrXXri&XrXXri&XrXXri ρ Рис.2. Семантическая сеть, описывающая понятие угрозы копирования файла пользовательских данных, без раскрытия способа ее реализации
23 УДК 004.94УДК 004.056.53 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-13-25 стей их реализации, построение специализированных экспертных систем (систем поддержки принятия ре шений), необходимых для подготовки и принятия ре шений по ТЗИ от НСД, и др. 2. Для логико-лингвистического моделирования угроз безопасности информации могут использо ваться языки RX-кодов, синтагматических цепей и семантических сетей. Наибольшими выразительны ми возможностями обладает язык семантических сетей, однако для несложных описаний угроз могут быть успешно применены также языки RX-кодов и синтагматических цепей. В связи с этим целесообраз но создание на основе понятий, имен и отношений указанных языков единого реляционного языка, по зволяющего не только на формальной основе описы вать угрозы безопасности информации и процессы их реализации, но и применение мер и средств защиты от них, способы их обхода и преодоления, а также хранить результаты анализа и количественные оцен ки возможностей реализации каждой из актуальных угроз и эффективности мер и средств защиты от них в различных ИС. Литература 1. Язов Ю.К., Соловьев С.В. Организация защиты информации в информационных системах от несанкционированного доступа. Монография. – Воронеж: Кварта. 2018. – 588 с. ISBN 978-5-93737-158-4 2. Киреева Н.В., Поздняк И.С., Филиппов Н.В. Подход к созданию экспертной системы оценки информационной безопасности теле коммуникационных систем // Электросвязь. 2022. №2. С. 61 – 66. ISSN 0013-5771 3. Зегжда П.Д., Анисимов В.Г., Супрун А.Ф., Анисимов Е.Г., Сауренко Т.Н. Модели и метод поддержки принятия решений по обе спечению информационной безопасности информационно-управляющих систем // Проблемы информационной безопасности. Компьютерные системы. 2018 . №1. С. 43 – 47. ISSN 2071-8217 4. Букатова И.Л. Эволюционное моделирование: идеи, основы теории, приложения. М.: Знание, 2020. - 888 c. 5. Балан В.П., Душкин А.В., Новосельцев В.И., Сумин В.И. Введение в системное проектирование интеллектуальных баз знаний / Под ред. В.И. Новосельцева – М.: Горячая линия – Телеком. 2016. – 107 с. ISBN 978-5-9912-0589-4 6. Кравченко Ю.А. Задачи семантического поиска, классификации, структуризации и интеграции информации в контексте проблем управления знаниями // Известия ЮФУ. Технические науки. 2016. №7(180). С. 6 – 18. ISSN 1999 – 9429 7. Марченко А.А. Метод автоматического построения онтологических баз знаний. II. Автоматическое определение семантических отношений в онтологической сети // Кибернетика и системный анализ. 2016. Том 52, №2. ISSN 0023-1274 8. Ярушкина Н.Г., Мошкин В.С., Филиппов А.А., Гуськов Г.Ю. Романов А.А., Наместиков А.М. Разработка программной системы се мантического анализа контента социальных медиа. Математическое моделирование инфокоммуникационных систем // Радио техника. 2018. №6. С.73 – 79. ISSN 033-8486 9. Umara Noor, Zahid Anwar, Asad Waqar Malik, Sharifullah Khan, Shahzad Saleem A machine learning framework for investigating data breaches based on semantic analysis of adversary’s attack patterns in threat intelligence repositories // Future Generation Computer Systems. 2019. Volume 95. С.467 – 487. DOI 10.1016/Future.2019.01.022 10. Дойникова Е.В. Федорченко А.В., Котенко И.В., Новикова Е.С. Методика оценивания защищенности на основе семантической модели метрик и данных // Вопросы кибербезопасности. 2021. №1 (41). С. 29 – 40. DOI 10.21681/ 2311-3456-2021-1-29-40 11. Васильев В.И., Вульфин А.М., Кучкарова Н.В. Автоматизация анализа уязвимостей программного обеспечения на основе техно логии text mining // Вопросы кибербезопасности. 2020. №4 (38). С. 22 – 31. DOI 10.21681/ 2311-3456-2020-04-22-31 12. Федорченко А.В., Дойникова Е.В., Котенко И.В. Автоматизированное определение активов и оценка их критичности для анализа защищенности информационных систем // Труды СПИИРАН. 2019. Т.18. №5. С. 1182-1211. DOI 10.15622/ sp.2019.18.5.11821211 13. Гаршина В.В., Степанцов В.А., Данковцева А.Ю. Семантический анализ информационных рисков и угроз на основе онтологии стандарта ISO/IES 27001 // Вестник Воронежского государственного университета, серия «Системный анализ и информацион ные технологии». 2018. №4. С. 73 – 80. ISSN 1995 – 5499 14. Бубакар И., Будько М.Б., Будько М.Ю., Гирик А.В. Онтологическое обеспечение управления рисками информационной безопас ности. Труды ИСП РАН. 2021,том 33, вып. 5. С. 41-64. DOI: 10.15514/ISPRAS–2021–33(5)–3 15. Васильев В. И., Вульфин А. М., Кириллова А. Д., Кучкарова Н. В. Методика оценки актуальных угроз и уязвимостей на основе тех нологий когнитивного моделирования и Text Mining // Системы управления, связи и безопасности. 2021. № 3. С. 110-134. DOI: 10.24412/2410-9916-2021-3-110-134 16. Язов Ю.К., Анищенко А.В. Сети Петри-Маркова и их применение для моделирования процессов реализации угроз безопасности информации в информационных системах. Монография. – Воронеж: Кварта, 2020. – 173 с. ISBN 978-5-93737-187-4
Voronezh,
Keywords: security threat, relational language, assessment, functional model, Petri-Markov net, security measure. FSTEC of Russia», Russia. PTZI FSTEC Russia», Russia.
References 1. Jazov Ju.K., Solov’ev S.V. Organizacija zashhity informacii v informacionnyh sistemah ot nesankcionirovannogo dostupa. Monografija. –Voronezh: Kvarta. 2018. – 588 s. ISBN 978-5-93737-158-4 2. Kireeva N.V., Pozdnjak I.S., Filippov N.V. Podhod k sozdaniju jekspertnoj sistemy ocenki informacionnoj bezopasnosti telekommunikacionnyh sistem // Jelektrosvjaz’. 2022. №2. S. 61 – 66. ISSN 0013-5771 3. Zegzhda P.D., Anisimov V.G., Suprun A.F., Anisimov E.G., Saurenko T.N. Modeli i metod podderzhki prinjatija reshenij po obespecheniju informacionnoj bezopasnosti informacionno-upravljajushhih sistem // Problemy informacionnoj bezopasnosti. Komp’juternye sistemy. 2018 . №1. S. 43 – 47. ISSN 2071-8217 4. Bukatova I.L. Jevoljucionnoe modelirovanie: idei, osnovy teorii, prilozhenija. M.: Znanie, 2020. – 888 c. 5. Balan V.P., Dushkin A.V., Novosel’cev V.I., Sumin V.I. Vvedenie v sistemnoe proektirovanie intellektual’nyh baz znanij / Pod red. V.I. Novosel’ceva – M.: Gorjachaja linija – Telekom. 2016. – 107 s. ISBN 978-5-9912-0589-4 6. Kravchenko Ju.A. Zadachi semanticheskogo poiska, klassifikacii, strukturizacii i integracii informacii v kontekste problem upravlenija znanijami // Izvestija JuFU. Tehnicheskie nauki. 2016. №7(180). S. 6 – 18. ISSN 1999 – 9429 7. Marchenko A.A. Metod avtomaticheskogo postroenija ontologicheskih baz znanij. II. Avtomaticheskoe opredelenie semanticheskih otnoshenij v ontologicheskoj seti // Kibernetika i sistemnyj analiz. 2016. Tom 52, №2. ISSN 0023-1274 8. Jarushkina N.G., Moshkin V.S., Filippov A.A., Gus’kov G.Ju. Romanov A.A., Namestikov A.M. Razrabotka programmnoj sistemy semanticheskogo analiza kontenta social’nyh media. Matematicheskoe modelirovanie infokommunikacionnyh sistem // Radiotehnika. 2018. №6. S.73 – 79. ISSN 033-8486 9. Umara Noor, Zahid Anwar, Asad Waqar Malik, Sharifullah Khan, Shahzad Saleem A machine learning framework for investigating data breaches based on semantic analysis of adversary’s attack patterns in threat intelligence repositories // Future Generation Computer Systems. 2019. Volume 95. S.467 – 487. DOI 10.1016/Future.2019.01.022 7 Yury K. Yazov, Dr.Sc., Professor, Chief Researcher of the Department of FAU «GNIII PTZI FSTEC of Russia», Voronezh, Russia. E mail: Yazoff_1946@mail.ru. 8 Sergey V. Soloviev, Head of Department of the FAU «GNII PTZI
E mail: gniii@fstec.ru. 9 Mikhail A. Tarelkin, Senior Researcher, FAU «GNII
Method: application of the logical-linguistic modeling apparatus, which makes it possible to formally describe information security threats and a set of actions performed in the course of their implementation, taking into account the capabilities of relational description languages, such as Codd’s language, context-free plex-language, RX-code language, syntagmatic chains and semantic networks.
E mail: gniii@fstec.ru.
24 Логико-лингвистическое моделирование угроз безопасности информации... Вопросы кибербезопасности. 2022. № 4(50) loGical-linGuiStic modelinG of Security threatS information in information SyStemS Yazov Yu.K.7, Soloviev S.V.8, Tarelkin M.A.9
Purpose: assessment of the possibility, definition of conditions and a brief description of the relational languages of logical-linguistic modeling for a formalized description and presentation of the processes of implementing information security threats in information systems.
Result: a brief description and comparative analysis of relational description languages and features that affect the possibility of their use for describing threats to information security and logical-linguistic modeling of their implementation processes are given. The expediency of such modeling is shown when creating promising expert systems designed for automated and automatic analysis of threats, when maintaining a data bank of threats based on the results of monitoring publications about them on the Internet.
Examples of constructing formal logical-linguistic descriptions of well-known threats of computer attacks on information systems using RX-code languages and semantic networks are given, proposals are made for expanding the language of semantic networks to describe threats, taking into account new data on threats and methods for their implementation.
It is noted that the proposed approach to modeling the processes of implementation of information security threats, as a rule, is applicable in the absence of the need to take into account the time factor when assessing the possibilities of their implementation.
Voronezh,
of
25 УДК 004.94УДК 004.056.53 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-13-25 10. Dojnikova E.V. Fedorchenko A.V., Kotenko I.V., Novikova E.S. Metodika ocenivanija zashhishhennosti na osnove semanticheskoj modeli metrik i dannyh // Voprosy kiberbezopasnosti. 2021. №1 (41). S. 29 – 40. DOI 10.21681/ 2311-3456-2021-1-29-40 11. Vasil’ev V.I., Vul’fin A.M., Kuchkarova N.V. Avtomatizacija analiza ujazvimostej programmnogo obespechenija na osnove tehnologii text mining // Voprosy kiberbezopasnosti. 2020. №4 (38). S. 22 – 31. DOI 10.21681/ 2311-3456-2020-04-22-31 12. Fedorchenko A.V., Dojnikova E.V., Kotenko I.V. Avtomatizirovannoe opredelenie aktivov i ocenka ih kritichnosti dlja analiza zashhishhennosti informacionnyh sistem // Trudy SPIIRAN. 2019. T.18. №5. S. 1182-1211. DOI 10.15622/ sp.2019.18.5.1182-1211 13. Garshina V.V., Stepancov V.A., Dankovceva A.Ju. Semanticheskij analiz informacionnyh riskov i ugroz na osnove ontologii standarta ISO/IES 27001 // Vestnik Voronezhskogo gosudarstvennogo universiteta, serija «Sistemnyj analiz i informacionnye tehnologii». 2018. №4. S. 73 – 80. ISSN 1995 – 5499 14. Bubakar I., Bud’ko M.B., Bud’ko M.Ju., Girik A.V. Ontologicheskoe obespechenie upravlenija riskami informacionnoj bezopasnosti. Trudy ISP RAN. 2021,tom 33, vyp. 5. S. 41-64. DOI: 10.15514/ISPRAS–2021–33(5)–3 15. Vasil’ev V. I., Vul’fin A. M., Kirillova A. D., Kuchkarova N. V. Metodika ocenki aktual’nyh ugroz i ujazvimostej na osnove tehnologij kognitivnogo modelirovanija i Text Mining // Sistemy upravlenija, svjazi i bezopasnosti. 2021. № 3. S. 110-134. DOI: 10.24412/24109916-2021-3-110-134 16. Jazov Ju.K., Anishhenko A.V. Seti Petri-Markova i ih primenenie dlja modelirovanija processov realizacii ugroz bezopasnosti informacii v informacionnyh sistemah. Monografija. – Voronezh: Kvarta, 2020. – 173 s. ISBN 978-5-93737-187-4
26 Модель оценки безопасности сложной сети (Часть 1) Вопросы кибербезопасности. 2022. № 4(50) модель оценки Безопасности слоЖной сети (часть 1) Калашников А.О.1, Бугайский К.А.2 Цель статьи: разработка механизмов оценки действий агентов сложных информационных систем с точки зрения информационной безопасности. Метод исследования: теоретико-игровые модели с использованием методов стохастического моделирования. Полученный результат: дано описание предметной области применения модели, показано, что действия нарушителя и защитника могут рассматриваться с точки зрения получения и дальнейшей эскалации прав доступа на объектах информационной системы. Показано, что модель информационного противоборства защитника и нарушителя может быть представлена тройкой «граф, агент, правила». Дано определение ос новных терминов и понятий модели. Разработаны базовые принципы функционирования модели. Показана возможность реализации расчетов результатов деятельности агентов и итогов игры в условиях информацион ной неопределенности. Определен перечень базовых величин модели позволяющих рассчитывать затраты и выигрыши участников игры. Разработаны основные правила расчетов затрат и выигрышей. Определены входные параметры модели, задаваемые при ее инициализации. Показаны роль и место «игры с природой» для вычисления базовых величин модели. Научная новизна: состоит в применении энтропийного подхода к расчету базовых величин, определяющих результаты моделирования отдельных операций и действия агентов в условиях информационной неопреде ленности. Ключевые слова: модель информационной безопасности, оценка сложных систем, теоретико-игровой под ход, информационная неопределенность, игра с природой. DOI:10.21681/2311-3456-2022-4-26-38 1 Калашников Андрей Олегович, доктор технических наук, главный научный сотрудник лаборатории «Сложных сетей» ФГБУН Институт проблем управления им. В.А. Трапезникова РАН, г. Москва, Россия. E mail: aokalash@ipu.ru 2 Бугайский Константин Алексеевич, младший научный сотрудник лаборатории «Сложных сетей» ФГБУН Институт проблем управления им. В.А. Трапезникова РАН, г. Москва, Россия. E-mail: kabuga@ipu.ru Введение Основным трендом в развитии современных ин формационных систем является переход на широкое использование облачных технологий, включая такие варианты как: «Функция как Сервис» (FaaS) и гранич ные вычисления (Edge). Также необходимо отметить параллельный бурный рост использования киберфи зических устройств в различных областях человече ской деятельности, взаимодействующая совокупность которых, называется обычно «Интернет вещей» (IoT). В целом же можно говорить о том, что современные информационные системы строятся на основе микро сервисов и архитектуры «Инфраструктура как Код» (IaC) [1]. Как результат, вопросы информационной безопасности подобных систем приходится рассма тривать в рамках сложной сетевой структуры, каждый элемент которой имеет собственные механизмы реа лизации прав доступа субъектов к объектам. В услови ях наличия в составе сложной сети сотен и тысяч таких элементов вопрос оценивания потенциальных путей нарушения прав доступа (и соответственно конфиден циальности, целостности и доступности) представляет собой, как правило, задачу полного перебора. Одним из способов решения таких задач являет ся имитационное моделирование. В данной работе предложена модель анализа информационной без опасности (далее – ИБ) информационной системы (далее – ИС) как сложной сети. Модель обеспечивает формирование исходных данных для последующего проведения имитационных экспериментов на осно ве многократного выполнения различных последова тельностей шагов взаимоувязанных процессов атаки и защиты. Имитация выполнения последовательности
27 УДК 004.94УДК 519.7 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-26-38 шагов нацелена на оценку соотношений затраты-при обретения ресурсов и динамику их изменений в про цессах атаки и защиты. Формируемые последователь ности шагов используемых при имитации процессов атаки и защиты обеспечивают необходимую вариа тивность моделирования указанных процессов. Описание предметной области Определим ИС как набор элементов и связей меж ду ними. Для ИС набор элементов должен представ лять собой различные комбинации документов (под которыми будем понимать документацию, информа ционные ресурсы, базы данных и пр.), программных и аппаратных средств, а также персонал (пользова телей). С точки зрения ИБ целесообразно документы (в смысле, определенном выше), аппаратные и про граммные средства рассматривать как объекты, а персонал — как субъекты модели ИС. Защите подле жит информация, обрабатываемая в ИС — документы в терминах модели. Но, необходимо отметить, что: информация (документы) ИС может существо вать только на физических носителях; обработка информации в ИС может осущест вляться только с помощью программных средств — процессов (активных или работаю щих) в терминах модели. Таким образом, ИС может быть представлена в виде сложного графа (сети), состоящего из узлов, каж дый из которых включает в себя определенный на боров документов и процессов [2]. При этом следует учесть,работачто: процессов узлов определяется специ альными документами — конфигурациями, яв ляющимися неотъемлемой частью узлов и вхо дящих в сферу ИБ с точки зрения защиты таких документов;защитаинформации в ИС может быть обеспе чена только путем управления правами доступа субъектов к Особенностьобъектам.современных программных (пре жде всего) и аппаратных средств заключается в том, что в рамках одного узла (элемента) ИС все права доступа (прежде всего — модификация, удаление и создание документов и процессов) можно разделить на два типа: права пользователя в отношении ограниченно го набора процессов и документов; права супер-пользователя (администратора, системы) в отношении всех процессов и доку ментов узла. При этом, как правило, пользователю доступна для чтения или запуска значительно большая часть доку ментов и процессов, чем для изменения. В модели учтено, что наличие прав пользователя на узле дает возможность собирать значительные объемы инфор мации о конфигурации как узла, так и ИС в целом. Современные тенденции и принципы построения ИС требуют, чтобы модель обеспечивала: учет виртуализации, которую можно рассматри вать как вложенность узлов; учет нескольких уровней управления — на каж дом из уровней вложенности как минимум. В качестве иллюстрации можно привести случай аренды виртуальных машин у провайдера облачной инфраструктуры. Следует учесть, что нарушение прав доступа на одном из уровней вложенности означает получение прав собственности над узлами на ниже лежащих уровнях. Таким образом, ИС — как сложная система — должна быть представлена в виде графа, учитывающего вложенности узлов. Этого можно до стичь, если рассматривать различные типы связей узлов наобменграфе:данными в рамках вложенности в кон тейнерах;обменданными в рамках управления узлами; обмен данными между узлами. При этом необходимо учитывать, что: первые два обмена могут быть представлены отношением «родитель – потомок»; все обмены имеют двухсторонний характер; один узел может иметь несколько связей и как родитель и как потомок. Процессы ИБ в ИС могут быть представлены как действия защитника по управлению правами поль зователя и как действия нарушителя по нарушению (присвоению и/или эскалации) этих прав [3 - 11]. Дей ствия нарушителя приводят к получению прав на уров не легитимного пользователя или супер-пользователя узла. Без потери общности в рамках модели наруши тель и защитник могут рассматриваться как активные сущности – агенты, а остальные пользователи ИС как пассивные сущности – носители тех или иных прав доступа к документам и процессам. В силу свойства активность/пассивность в модели рассматриваются только действия нарушителя и защитника. В самом общем виде смысл деятельности нарушителя заклю чается в нанесении ущерба ИС в том или ином виде, а защитника – в предотвращении такого ущерба. Но по скольку понятие полного ущерба предполагает вклю чение в модель бизнес-процессов обслуживаемых
28 Модель оценки безопасности сложной сети (Часть 1) Вопросы кибербезопасности. 2022. № 4(50) данной ИС, рассмотрение всех характеристик и видов ущерба приведет к значительному усложнению моде ли. Поэтомупринятьцелесообразно:вкачествеущерба нарушение конфи денциальности, целостности и доступности (да лее – КЦД) информации в ИС; рассматривать глобальные цели защитника и нарушителя, а также способы их достижения. Тогда деятельность нарушителя и защитника мо жет рассматриваться как антагонистическая игра, а в качестве стратегий игроков – распределение неко торого ресурса. Без потери общности процессы ИБ в ИС можно рассматривать в виде тройки «нарушитель, защитник, атака». Описание нарушителя Для целей моделирования рассматриваются сле дующие глобальные цели деструктивных действий на рушителя:а)получение несанкционированного доступа к ин формации (далее – НСД); б) нарушение штатного режима работы ИС. Получение НСД предполагает, что нарушитель за интересован в получении как можно более полного доступа к хранящимся в системе данным. Нарушитель может быть заинтересован в получении некоторой конкретной информации, однако чаще при таких ата ках нарушителя интересует как можно более полный сбор всех доступных сведений. Такой нарушитель, как правило, заинтересован в долговременном ис пользовании результатов атаки. Это означает, что чем дольше его действия остаются незамеченными, тем больший выигрыш он получает от осуществленной атаки. Цель нарушения штатной работы системы мож но представить как стремление к нарушению КЦД. Нарушение целостности информации означает, что нарушитель модифицирует данные или процесс таким образом, чтобы повлиять на работу системы. Наруше ние доступности информации влечет как правило вре менную остановку деятельности узлов ИС. Что может быть организовано, например, с помощью атаки на отказ в обслуживании на каналы доступа к ИС. В самом общем случае следует положить, что полу чение НСД и разрушение инфраструктуры ИС предпола гает также получение прав администратора в самой ИС или на различных уровнях вложенности ее инфраструк туры. В рамках модели будем считать, что действия на рушителя определяются следующими мотивами: обеспечение максимальной скрытности своих действий; распространение своего влияния на макси мальное число узлов ИС; получение максимально возможного контроля над процессами как на отдельных узлах, так и в ИС в целом. С одной стороны, определение целей и мотивов нарушителя выходят за пределы модели и может быть сформулировано только на основании экспертной оцен ки. С другой — целесообразно рассматривать комбина ции перечисленных мотивов как стратегии поведения нарушителя, базирующиеся на получении прав доступа. Реальный нарушитель может комбинировать данные мотивы в процессе осуществления атаки, направленной на достижение некой глобальной цели. Достижение ко торой должно рассматриваться как последовательное –через доступные связи – перемещение нарушителя по узлам ИС с целью установления контроля над как можно большим числом узлов или как целенаправленное дви жение к конкретному узлу. При этом целесообразно учи тывать расположение нарушителя относительно ИС: внутри ИС, если нарушитель обладает правами пользователя или если имеет доступ к инфра структуре ИС (особенно актуально для геогра фически распределенных облачных систем). извне ИС, если нарушитель может осуществить подключение к системе с использованием или нет данных авторизации или, когда злоумыш ленник получает контроль над внешними ресур сами, используемыми ИС (ее пользователями). Внешнее расположение нарушителя относительно ИС (на отдельном узле вне графа ИС) предполагает выделение на графе ИС определенных узлов и вне сение дополнительных связей этих узлов с внешним узлом нарушителя. Описание защитника Для целей моделирования будем полагать, что цели защитника противоположны целям нарушителя и представляют собой действия по недопущению НСД и сохранению/восстановлению КЦД и работоспособ ности системы. В качестве мотивов, определяющих действия защитника, можно указать следующие: а) мониторинг инфраструктуры; б) противодействие нарушителю. Мониторинг инфраструктуры предполагает не толь ко сокращение времени на обнаружение деструктив ных действий нарушителя, но и получение информа ции, позволяющей:определитьцель перемещений нарушителя по графу ИС;
29 УДК 004.94УДК 519.7 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-26-38 оценить уровень его осведомленности о состоя нии осуществитьинфраструктуры;отборнаиболее опасного сцена рия развития Противодействиеатаки.нарушителю предусматривает не только достижение целей защиты, но и выполнение действий по блокированию атаки, включающих: увеличение затрат нарушителя на выполнение дальнейших действий, в том числе за счет по вышения защищенности узлов на основе выяв ленных действий нарушителя; создание ложных целей и сокращение доступ ных нарушителю узлов и связей между ними если это допускают бизнес-процессы ИС. Возможные комбинации мотивов действий за щитника образуют его стратегии действий по за щите информации в ИС. Мероприятия по противо действию нарушителю также формализуются в виде «перемещения» защитника по графу. Но, в отличие от нарушителя, защитник, как правило, действует на известной ему топологии графа. С учётом этого обстоятельства, защитнику не требуется совершать последовательных переходов по рёбрам графа, т. е. защитник может занимать в любой момент любую вершинуОтметим,графа.что построение современных ИС имеет выраженную тенденцию к гибридизации инфраструк туры. Например, сочетание частного и гибридного облаков, аренда ресурсов у различных провайдеров услуг, различные комбинации «классических» серве ров и систем (типа АСУ ТП) с различными вариантами виртуализации. Все это говорит о необходимости вве дения в модель нескольких защитников с определен ными зонами ответственности. Кроме того, в пользу такого решения выступают положения руководящих документов об организации ИБ в ИС. Тогда можно разделить защитников на типы по преимущественной реализации мотивов администраторызащиты:ИБ(АИБ) - преимущественно занимающиеся анализом целей и сценариев поведения нарушителя на основе результатов мониторинга;администраторы ИТ (АИТ) - осуществляющие непосредственное противодействие атаке на объектах (элементах) ИС в зоне своей ответ ственности или компетентности. При этом АИБ могут осуществлять непосредствен ное администрирование средств защиты информа ции (далее – СЗИ), включенные в качестве отдельных узлов в граф, описывающий ИС. Что, в частности, по зволяет моделировать усложнение условий для разви тия атаки. Модель должна обеспечивать возможность анализа как на уровне отдельного защитника, так и на уровне группы защитников, действующих самосто ятельно. Вопросы кооперативного действия защитни ков на уровнях обмена информации, согласования действий, выбора цели защиты и т. п. в настоящей статье не рассматриваются. Описание атак Поскольку в основе модели лежит теоретико-игро вой подход, то атака рассматривается как противо борство нарушителя и защитника, выражающееся в поочередном выполнении тех или иных последова тельных действий. Реализация стратегий по достиже нию глобальных целей для нарушителя и защитника могут быть описаны обобщенными алгоритмами. Обобщённый алгоритм поведения нарушителя мо жет быть описан в виде трех стадий: 1. Вторжение в систему – происходит первичное инфицирование ИС, как правило, выражающееся в установлении нарушителем контроля над одним из объектов (элементов) ИС В рамках модели такой объ ект – точка вторжения – может задаваться целевым или случайным образом. 2. Развитие атаки – на этой стадии нарушитель по следовательно перемещается по объектам (графу) ИС и пытается установить над ними необходимый кон троль чтобы определить объекты, соответствующие целевым установкам. 3. Финальная стадия атаки, при которой происхо дит собственно реализация целей и мотивов атакую щего (несанкционированный доступ к объектам, вы ведение объектов из строя и пр.). Положим, что реализация алгоритма нарушите ля будет проявляться в получении им определенных прав на узле, допускающих изменение состояния до кументов и процессов из его состава. Обобщённый алгоритм поведения защитника так же может быть описан в виде трех стадий: 1. Выполнение определенных действий на узлах, повышающих уровень обнаружения атак. 2. Поиск вторжения в систему. Целенаправленный (последовательный) или случайный обход узлов с це лью обнаружения изменений текущих прав субъектов на объекты относительно легитимных. 3. Противодействие атаке, предполагающее опре деление пораженных узлов и выполнение тех или иных действий по повышению уровней обнаружения атак или защищенности на смежных узлах.
30 Модель оценки безопасности сложной сети (Часть 1) Вопросы кибербезопасности. 2022. № 4(50) Вопросы восстановления штатных прав доступа на узлах, а также нарушения каналов управления со стороны нарушителя являются предметом отдельного исследования, поскольку без принятия дополнитель ных мер это вызывает зацикливание в работе моде ли, связанное с нарушением/восстановлением прав доступа на одном и том же узле на последовательных ходах нарушителя и защитника. Необходимо отметить следующую особенность реализации алгоритмов нарушителя и защитника. В каждый конкретный момент времени нарушитель и защитник могут выполнять те или иные действия толь ко с определенным узлом. Что позволяет говорить о реализации локальных целей на этом узле. Для упро щения модели будем считать тождественными поня тия «локальная цель» и «действие агента». Действия нарушителя ДН1 – получение прав неавторизованного пользо вателя и выполнение доступных действий (например, формирования пакетов для их прохождения через прокси или балансировщик); ДН2 – получение прав текущего пользователя без деструктивного воздействия (например, кража или по лучение установочных данных из других источников и их использование);ДН3–получение прав текущего пользователя в ре зультате деструктивного воздействия; ДН4 – получение системных прав (супер-пользова теля) без деструктивного воздействия; ДН5 – получение системных прав (супер-пользова теля) в результате деструктивного воздействия. Следует отметить, что приведенный перечень дей ствий не является исчерпывающим или обязательным и может расширяться или видоизменяться. Результа ты выполнения действий нарушителем отображаются в изменении статуса узла. Действия защитника ДЗ1 – контрольная проверка (опрос) состояния всех точек мониторинга; ДЗ2 – изменение узла для усиления функций мони торинга действий нарушителя (создание новой точки мониторинга);ДЗ3–изменение узла для усиления защитных свойств (включая изменение настроек и режимов ра боты);ДЗ4 – отключение узла (инцидентного ребра) от смежного узла, захваченного нарушителем; ДЗ5 – изменение стоимости узла с целью создания узла-приманки за счет изменений в процессах и до кументах.Дляупрощения модели будем полагать, что защит ник может оценивать действия нарушителя только по результатам захвата узлов, являющихся точками мо ниторинга и усиленной защиты. Соответственно, нару шитель не имеет информации о наличии и расположе нии таких Следуетузлов.отметить, что приведенный перечень дей ствий также не является исчерпывающим или обяза тельным и может расширяться или видоизменяться. Положения данного раздела позволяют рассматри вать деятельность нарушителя и защитника как проти воборство, «полем» которого выступает ИС. Противо борство заключается в попытках нарушить КЦД узлов ИС со стороны нарушителя и противодействие этим попыткам со стороны защитника. Таким образом, в основу модели может быть положен теоретико-игро вой подход. При этом ИС может быть представлена в виде графа, действия нарушителя и защитника – как перемещение по ребрам графа и выполнение опре деленных действий над элементами ИС – вершинами или узлами графа [3, 12 - 14]. Основания модели На основании [15 - 17] в рамках модели сделаем следующие допущения. Д1. Перемещение агентов (здесь и далее – ата кующий или защитник) по узлам графа, подчинено достижению некоторой глобальной цели. В каждый конкретный момент времени агент выполняет те или иные операции с определенным узлом ИС. При этом каждому узлу графа может быть поставлена в соответ ствие определенная локальная цель, которая может быть достигнута в результате выполнения соответству ющего набора действий (шагов). То есть, действия агентов могут быть представлены в виде последова тельностивыборшагов:атакуемого в данный момент времени объекта;формирование локальной цели для этого объ екта;выполнение необходимого набора операций по достижению локальной цели. Д2. Возможности агентов по реализации тех или иных действий на узле, касающихся КЦД, определя ются уровнем полномочий, получаемых в ходе выпол нения операций. Получаемые агентом уровни полно мочий на узлах являются отображением:
32 Модель оценки безопасности сложной сети (Часть 1) Вопросы кибербезопасности. 2022. № 4(50) Таким образом, основная деятельность агента представляет собой выполнение операций для умень шения неопределенности при достижении глобальной или локальной цели. Тогда деятельность агента можно рассматривать как реализацию двух событий – полу чение и оценивание информации о состоянии узла в результате успешного выполнения определенного действия. События получения информации и успеш ности необходимых для этого действий взаимосвяза ны и Пустьвзаимообусловлены.имеемсобытие A – получение и оценива ние информации в результате наступления события B – успешной реализации действия. Используя эн тропийный подход запишем: HA BH AH BH BA| () = () () + (|) (2) Выражение (2) показывает, насколько уменьшит ся неопределенность агента за счет получения инфор мации в результате реализации действия. Дадим трак товку членам выражения с точки зрения описанной ранее предметной области: HA B| () – прирост информированности аген та в случае успешности выполнения действий (операций) на узле (против узла); HA() – ценность узла (операции) с точки зре ния агента – максимально возможное умень шение неопределенности, возникающее при получении наибольших прав доступа на узле; HB() – уменьшение неопределенности, вы званное способностью агента выбрать и успеш но реализовать оптимальное действие или по тенциал агента; HB A (|) – успешность выполнения действий в зависимости от имеющейся информации или оценка усилий агента. Последний член выражения (2) нуждается в допол нительном обсуждении. Он описывает неопределен ность события B при условии наступления события A . Но в рамках проблемной области событие A нужно трактовать как наличие информации предше ствующей событию B . Тогда, выражение (2) можно переписать как: HA BH AH BH BA nn nn nn| () = () () + (|) 1 , где n – порядковый номер шага агента при реализа ции локальной или глобальной цели. Соответственно можно говорить о рекуррентной функции, описывающей деятельность агента по реа лизации его стратегии в течение всего времени вы полнения атаки. В нашем случае вид функции H * () не имеет принципиального значения. Гораздо важнее, что вы ражение (2) позволяет говорить о наличии единой безразмерной шкалы 01 оценивания всех основ ных параметров, описывающих деятельность агента. Тогда в соответствии с ресурсной моделью атаки [6] можно говорить о представлении неопределенности как некоторого ресурса с помощью функции ото бражения f * : H *� () → . Но тогда необходимо го ворить и о наличии функции отображения усилий Ω агента по уменьшению неопределенности H * () : g H *:* Ω → () . Что дает возможность при рас смотрении деятельности агента говорить о функции ug f *** = – композиции двух предыдущих функций. Мерой неопределенности является энтропия, по зволяющая в общем случае оценить количество ин формации, получаемой агентом в случае выполнения тех или иных действий. Рассмотрим с этих позиций еще раз кортеж (1), описывающий деятельность аген та с учетом трактовок выражения (2). Ценность узла и ценность операции. Чем выше ценность узла или операции, тем больше информации получает агент. Что можно трактовать как прираще ние ресурса. Соответственно, с повышением ценно сти должно увеличиваться приращение ресурса. Усилия агента. Зависимость успеха выполнения действий от имеющейся информации позволяет рас сматривать усилия именно как ресурс, потраченный на сбор и обработку необходимой информации. Тогда чем больше информации имеет агент перед выполне нием действий, тем больше ресурса он израсходовал. Потенциал агента характеризует его возможности по перемещению на графе ИС (число захваченных уз лов и доступных связей), вытекающие из имеющихся (полученных) прав на захваченных узлах. Представля ется очевидным, что чем выше права агента на узле, тем больше он имеет информации и тем выше его по тенциал.Информированность агента. Согласно выражению (2), информированность агента является интеграль ной характеристикой. Соответственно, чем ценнее узел и чем успешнее выполнены действия в отноше нии его (2), тем больше информации и ресурса полу чает агент. В соответствии со сказанным выше в рамках модели будем считать, что выражение для ресурса имеет вид: =+ au b* (3), где: a – коэффициент масштаба, задающий число единиц ресурса размером ε , размещаемых на шкале [0, 1]; b – коэффициент сдвига, задающий минимально воз
33 УДК 004.94УДК 519.7 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-26-38 можное число единиц ресурса в зависимости от рас сматриваемой характеристики деятельности агента. Оценка базовых величин модели Исходя из изложенного выше можно выделить не которые переменные модели, которые являются ато марными (неделимыми) и определяют все последую щие1.расчеты.Ценность узла. Ценность или стоимость узла определяется количественной – степень вершины графа (узла) и качественной – функциональность –характеристиками. Обе характеристики будем рас сматривать, как источники роста потенциала аген та. Функциональная характеристика узла w v f может определяться общепринятым способом для каче ственных характеристик – по шкале Харрингтона от значения «очень низкий» до значения «очень высо кий». Это позволяет абстрагироваться от конкретных особенностей внутренней структуры узла, но позво ляет оценить его роль и место в ИС. Степень верши ны узла является непосредственным отображением его привлекательности для атакующего или важности для защитника. Кроме того, степень вершины любого узла дает дополнительную информацию о структуре графа и определяет возможности агента по дальней шему продвижению по графу. Каждое инцидентное ребро вершины в наиболее общем виде может быть охарактеризовано вероятностью успешной реализа ции действий агента. Положим, что эти вероятности одинаковы для всех ребер независимо от типа аген та. При этом следует считать, что для каждого из ин цидентных ребер действия агента представляют со бой независимые и несовместные события. То есть, можно выразить количественную характеристику цен ности узла w v e с информационной точки зрения как: w v e = ln σ , где σ – число инцидентных ребер узла v . Тогда мы можем получить верхнюю оценку стоимо сти узла ww w vv f v e+ =+ . Верхняя оценка w v + соответ ствует успешной реализации действий направленных на получение максимальных прав доступа на узле. Что соответствует действиям агента типа Д5 для ата кующего или защитника. Определим нижнюю оценку стоимости узла. Как следует из описания деятельности агента и описания предметной области, наиболее рас пространенными для атакующего и защитника будут действия типа Д1. С одной стороны, такие действия практически не зависят от функциональной ценности узла w v f , но, с другой стороны, для выполнения аген том действий типа Д1, узел должен содержать в себе некий базовый функционал. Эмпирически установим, базовый функционал узла ww v b v f= 01 , . Тогда нижняя оценка ценности узла ww w vv b v e=+ . Наличие нижней и верхней оценок стоимости узла и их соотношение с действиями агента дают основание рассматривать стоимость узла, как интервал ww v b v f ,� на единой шкале, смещенный на величину w v e относительно на чальной точки отсчета шкалы. Такой подход позволяет оценить выигрыш агента в результате выполнения тех или иных действий на узле. Исходя из выражения (3) можно записать, что стоимость узла равна: ww w vv f v e=+ α (4), где α – масштабный коэффициент. Который, исходя из традиционного представления вероятностей, целе сообразно принять равным 100. 2. Выигрыш агента. Выигрыш агента является не обходимой при теоретико-игровом подходе интеграль ной величиной, характеризующей успешность его действий. Выигрыш агента увеличивает его потенциал или снижает неопределенность в результате успешной реализации последовательности операций по дости жению локальной цели на узле. Тогда вероятность успешной реализации отдельной операции можно рассматривать как событие, а действие как последо вательность событий с определенными вероятностя ми pi . Каждая операция дает (независимо от успеш ности) агенту некоторую информацию и чем выше вероятности успеха отдельных операций, тем больше снижается неопределенность агента. Пусть действие состоит из τ операций. Тогда общая неопределен ность относительно узла будет максимальна при усло вии равной вероятности для всех операций H + = ln τ Итоговая неопределенность после выполнения всех операций будет определяться (по Шеннону), как Hp p i ii τ τ = = ∑1ln . Соответственно выигрыш агента как снижение неопределенности равен HH H−+ =− τ В соответствии с выражением (2) можно оценивать выигрыш агента его по той же шкале, что и стоимость узла. Для перевода величины H в единицы ресурса используем приведенные ранее соотношения между действиями агента (атакующего и защитника) Д1 и Д5, успешная реализация которых соответствуют – в случае представления стоимости узла как шкалы –минимальному и максимальному значениям этой шкалы. Тогда выигрыш агента в результате успешной реализации действия может быть представлен в виде: bH w vv = * (4).
34 Модель оценки безопасности сложной сети (Часть 1) Вопросы кибербезопасности. 2022. № 4(50) 3. Затраты агента. Затраты агента определяются на конкретном узле для каждого выполняемого дей ствия количеством входящих в его состав операций и их стоимостью. Стоимость отдельной операции опре деляется прежде всего ее сложностью ρ , но также за висит от условий ее применения – состояния узла µ С другой стороны, стоимость операции имеет субъек тивную характеристику – зависимость от квалифика ции агента θ . Поэтому стоимость операции будем рассматривать обобщенно – в виде функции усилий агента γρ = f . Сложность операции и квали фикацию агента в рамках модели целесообразно определять по шкале качественных оценок Харринг тона, то есть ρ ∈[] 01 и θ ∈[] 01 . Состояние узла µ ∈[] 01 имеет различные трактовки для операций защитника и атакующего, поэтому целесообразно различать эти величины: µ= . Для атакующе го состояние узла µ можно рассматривать как некий уровень защищенности узла, который необходимо преодолеть для успешного завершения операции. Для защитника состояние узла µ является характеристи кой, описывающей свойства узла прежде всего с точ ки зрения выявления действий атакующего (монито ринга). Отметим, что для атакующего γ должна моно тонно и непрерывно расти с ростом ρ и µ , но убы вать с ростом θ . Для защитника ситуация аналогична, поскольку увеличение показателей мониторинга вле чет увеличение затрат на их обработку. С учетом тре бований непрерывности и монотонности по каждой переменной целесообразно определить функцию уси лий агента как γ ρµ θ θ= + lnlnln . С уче том особенностей логарифмической функции прове дем нормировку ее переменных следующим обра зом: γρ =+()lnln1 . Тогда получаем область определения функции усилий агента от 1 до 4 и область значений – от 0 до 1,4. В таблице 1 приведе ны значения функции γ для различных сочетаний ρ , µ и θ в их предельных значениях 0 и 1. Усилия агента отсутствуют при его максимальной квалификации и равенству 0 параметров сложности операции и состояния узла. Напротив, усилия агента максимальны при равенстве 0 его квалификации, но наибольших значениях сложности операции и состоя ния узла. Такое распределение значений соответству ет реальным обстоятельствам деятельности агента. Приведем граничные значения функции для аргумен тов равных 0,1 и 0,9. Тогда получаем γ = 124 , при наибольших усилиях агента ρµ== 09 , и θ = 01 , , а при наименьших, когда 01 , и θ = 09 , , соответственно получаем γ = 024 , ,. Следует обра тить внимание на значения функции при равных ар гументах. С точки зрения энтропийного подхода это можно рассматривать как максимум энтропии для оценки затрачиваемых агентом усилий на выполне ние операции. Согласно формуле частотной энтропии H p i i = ln1 можно записать γ = ln1 pi для отдельной операции и тогда pie = 1/ γ можно трактовать как по роговое значение, которое необходимо преодолеть для успешного выполнения операции. Для приве денных ранее граничных значений функции усилий агента получаются следующие пороговые значения для вероятности успешного выполнения операции: γ = 024 , , i = 079 и γ = 124 , , i = 029. Таким образом, можно записать, что пороговое значение вероятности успешной реализации операции не пре вышение которого требует повторного выполнения данной операции равно: δ γ= 1/ e (6). В соответствии с (2) и (3) для выражения затрат агента в единицах ресурса необходимо определить масштабный коэффициент. Агент может определить ценность узла только в результате выполнения опре деленных действий, которые – в силу их определе ния – могут быть представлены как доли на отрезке ww v b v f ,� . Тогда можно записать πw v f , где π ∈[] 01 –масштабный коэффициент, показывающий долю от дельного действия агента на отрезке ww v b v f ,� . Соот ветственно, усилия агента по выполнению конкрет ной операции могут быть представлены как доля от максимального усилия по выполнению операций σγ γii max = / , где γ max = 124 , . Поскольку каждое Таблица 1 Значения функции усилий агента θ 0 0 0 1 0 0 0 1 0 1 1 0 0 0 1 1 0 1 0 1 1 1 1 1 γ 0,69 1,1 1,1 1,39 0 0,41 0,41 0,69
35 УДК 004.94УДК 519.7 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-26-38 действие представляет из себя набор операций, то ко нечные затраты агента на реализацию того или иного действия c v являются аддитивной функцией усилий агента по выполнению операций: cw vv f i i = = ∑ πσ τ 1 (7). Выражение (7) дает нижнюю оценку, то есть мини мально необходимые затраты агента на выполнение операций. Отметим, что ценностные (и ресурсные) ха рактеристики деятельности агента необходимо будут различаться для атакующего и защитника до момента получения системных прав доступа на узле, что соот ветствует π = 1 4. Определение успешности выполнения опера ций является необходимым для расчетов затрат и вы игрышей агента. В основу определения успешности положены следующие предположения: а) для успешного осуществления операции необхо димо наличие определенных условий в конфигурации и режимах функционирования объекта; б) для успешного осуществления операции необхо димо наличие определенных возможностей (инстру ментов) у агента; в) успешность выполнения операции зависит от способности агента находить и использовать условия и возможности, то есть от квалификации агента. Полный учет всех условий и возможностей являет ся практически невыполнимой задачей (например, наличие уязвимостей нулевого дня или разработка индивидуальных эксплойтов для конкретных атак). Од нако методом Монте-Карло возможно провести моде лирование вероятности наличия условий и возможно стей как двух случайных величин, которые в рамках противоборства можно рассматривать как независи мые. Для получения значений двух случайных величин β1 и β2 необходимо использовать два независимых генератора случайных чисел таким образом, чтобы вырабатываемые значения образовывали пары βi 1 и βi 2. Формирование пар обеспечивает моделирование необходимого соответствия условия и возможностей. То есть каждая генерируемая пара представляет со бой возможный вариант соответствия вероятностей наличия условий и возможностей для отдельного узла. Положим, что способности агента по использованию условий и возможностей, представленных каждой парой ββ ii 12 , определяется его квалификацией. Тогда, определив математическое ожидание m 1 , m 2 для каждой из сгенерированных случайных величин ββ ii 12 , мы может определить доверительный ин тервал, при попадании в который будем считать, что условия или возможности могут быть использованы агентом. Доверительный интервал сформируем как εθ ** /= ()m ∓ 2 . Тогда проведем преобразование случайных величин ββ12 по следующему правилу: β βε βε '* ** ** , = ∈ ∉ 1 0 Это дает возможность сформировать новую слу чайную величину y , отражающую состояние пар ββ ii 12 для всех N значений: y ii Ni ii Ni i ii ii = ∀= [] ∃= ∧= () ∀= [] ∃= ∨ 11 11 01 0 12 1 '' ' ββ '' 2 0= Полученные таким образом значения yi случай ной величины y показывают для каких из N сгене рированных пар βi 1 и βi 2 , iN = [] 1, , агент может одно временно использовать имеющиеся для данного узла возможности и условия, то есть успешно выполнить операцию, определяемую данными возможностями и условиями. Тогда можно определить величину: p N y i N i = = ∑ 11 (8), как вероятность успешного выполнения операции. В соответствии с (6) можно записать правило P ≤ δ , определяющее необходимость повторного выполне ния операции агентом. Завершая описание базовых величин модели, ука жем с учетом (5–8) правила расчета затрат и выигры ша агента: Cc p a v V v =∀ ∨∀ = ∑ 1 δ (9), B abp v V v =∃ > = ∑ 1 ,( )δ (10), Заключение В первой части статьи на основании описания предметной области в классических терминах ИБ –нарушитель, защитник, атака – предложено рассма тривать вопросы защиты информации, как противо борство агентов в рамках теоретико-игровой модели. Реализация противоборства может быть представлена как выполнение агентами определенной очередности операций по определенным правилам получения и использования прав пользователя и системных прав
36 Модель оценки безопасности сложной сети (Часть 1) Вопросы кибербезопасности. 2022. № 4(50) на узле. Таким образом модель противоборства мо жет быть представлена тройкой «граф, агент, прави ла» и описана, как перемещения агентов по графу на основе заданных правил. Показано, что все опе рации по достижению локальных и глобальной цели выполняются агентом в условиях неопределенности. Приведены и определены базовые величины модели, позволяющие рассчитывать затраты и выигрыш аген тов на основе безразмерных единиц ресурса. Рас четы базируются на стохастическом моделировании методом Монте-Карло «игры с природой». Для прове дения расчетов задаются входные параметры моде ли, в качестве которых – кроме собственно графа ИС – используются ценность узла, сложность операции, квалификация агента, состояние узла. Все входные параметры модели должны задаваться на этапе ее инициализации. Полное описание модели на основе тройки «граф, агент, правила» будет сделано во второй части статьи. Литература 1. Калашников А.О. Инфраструктура как код: формируется новая реальность информационной безопасности / А.О. Калашников, К.А. Бугайский // Информация и безопасность. 2019. Т. 22. № 4. С. 495-506. 2. Лаврова Д. С. Моделирование сетевой инфраструктуры сложных объектов для решения задачи противодействия кибератакам / Д. С. Лаврова, Д. П. Зегжда, Е. А. Зайцева // Вопросы кибербезопасности. – 2019. – № 2(30). – С. 13-20. DOI:10.21681/23113456-2019-2-13-20 3. Дойникова Е. В. Оценивание защищенности и выбор контрмер для управления кибербезопасностью / Е. В. Дойникова, И. В. Котенко. М.: РАН, 2021. — 184 с. ISBN 978-5-907366-23-7. 4. Середкин С. П. Моделирование угроз безопасности информации на основе банка угроз Федеральной службы по техническому и экспортному контролю России / С. П. Середкин // Информационные технологии и математическое моделирование в управлении сложными системами. – 2022. – № 1(13). – С. 43-54. 5. Сердечный А. Л. Моделирование, анализ и противодействие сценариям компьютерных атак, реализуемых группировкой APT29 в распределенных компьютерных системах / А. Л. Сердечный, П. С. Краюшкин, М. А. Тарелкин, Ю. К. Язов // Информация и без опасность. – 2021. – Т. 24. – № 1. – С. 83-92. 6. Сердечный А. Л. Моделирование, анализ и противодействие сценариям компьютерных атак, реализуемых группировкой APT3 в распределенных компьютерных системах / А. Л. Сердечный, А. В. Айдаркин, М. А. Тарелкин, А. Е. Дешина // Информация и безопасность. – 2021. – Т. 24. – № 1. – С. 35-46. 7. Будников С. А. Моделирование APT-атак, эксплуатирующих уязвимость Zerologon / С. А. Будников, Е. Е. Бутрик, С. В. Соловьев // Вопросы кибербезопасности. – 2021. – № 6(46). – С. 47-61. DOI:10.21681/2311-3456-2021-6-47-61 8. Егошин Н. С. Модель типовых угроз безопасности информации, основанная на модели информационных потоков / Н. С. Егошин // Доклады Томского государственного университета систем управления и радиоэлектроники. – 2021. – Т. 24. – № 3. – С. 21-25. 9. Кондаков С. Е. Модель процесса проведения компьютерных атак с использованием специальных информационных воздействий / С. Е. Кондаков, И. С. Рудь // Вопросы кибербезопасности. – 2021. – № 5(45). – С. 12-20. DOI:10.21681/2311-3456-2021-5-12-20 10. Ерышов В. Г. Моделирование процесса защиты объектов критической информационной структуры промышленных предприятий от компьютерных атак / В. Г. Ерышов, Р. Д. Куликов // Морской вестник. – 2021. – № 1(77). – С. 91-96. 11. Ховансков С. А. Методика защиты распределенных вычислений в многоагентной системе / С. А. Ховансков, В. А. Литвиненко, В. С. Хованскова // Известия ЮФУ. Технические науки. – 2019. – № 4(206). – С. 68-80. 12. Дойникова Е. В. Оценка защищенности компьютерных сетей на основе метрик CVSS / Е. В. Дойникова, А. А. Чечулин, И. В. Котен ко // Информационно-управляющие системы. – 2017. – № 6(91). – С. 76-87. 13. Пучков В. В. Анализ защищенности киберфизических систем с использованием графов атак / В. В. Пучков, И. В. Котенко // Ин формационная безопасность регионов России (ИБРР-2021) : Материалы конференции, Санкт-Петербург, 27–29 октября 2021 года. – Санкт-Петербург: Региональная общественная организация “Санкт-Петербургское Общество информатики, вычислитель ной техники, систем связи и управления”, 2021. – С. 98-100. 14. Левшун Д. С. Проблемные вопросы информационной безопасности киберфизических систем / Д. С. Левшун, Д. А. Гайфулина, А. А. Чечулин, И. В. Котенко // Информатика и автоматизация. – 2020. – Т. 19. – № 5. – С. 1050-1088. 15. Калашников, А.О. Модель управления информационной безопасностью критической информационной инфраструктуры на основе выявления аномальных состояний (часть 1) / А.О. Калашников, Е.В. Аникина // Информация и безопасность. – 2018. – Т. 21. – № 2. – С. 145-154. 16. Калашников, А.О. Модели количественного оценивания компьютерных атак / А.О. Калашников, К.А. Бугайский, Е.В. Аникина // Информация и безопасность. – 2019. – Т. 22. – № 4. – С. 517-538. 17. Вдовикина Н.В. Операционные системы: взаимодействие процессов / Н.В. Вдовикина, И.В. Машечкин, А.Н. Терехин, А.Н. Томи лин. – М.: МАКС Пресс, 2008. 216 с.
5.
– №
Sciences, Moscow, Russia. E-mail: aokalash@ipu.ru 4 Konstantin A. Bugajskij, Junior Researcher of the Laboratory «Complex networks» Institute
–
Keywords: information security model, assessment of complex systems, game-theoretic approach, information uncertainty, playing with nature. D. P. Zegzhda, E. A. Zajceva // Voprosy’ kiberbezopasnosti. – 2019. – № 2(30). – S. 13-20. DOI:10.21681/2311-3456-20192-13-20 Dojnikova E. V. Ocenivanie zashhishhennosti i vy’bor kontrmer dlya upravleniya kiberbezopasnost’yu / Dojnikova, Seredkin i matematicheskoe modelirovanie v upravlenii slozhny’mi sistemami. 2022. – № 1(13). S. 43-54. Serdechny’j A. L. Modelirovanie, analiz i protivodejstvie scenariyam komp’yuterny’x atak, realizuemy’x gruppirovkoj APT29 v raspredelenny’x komp’yuterny’x sistemax / A. L. Serdechny’j, P. S. Krayushkin, M. A. Tarelkin, Yu. K. Yazov // Informaciya i bezopasnost’. –2021. T. 24. 1. S. 83-92. Serdechny’j A. L. Modelirovanie, analiz i protivodejstvie scenariyam komp’yuterny’x atak, realizuemy’x Academy of of of Russian Academy of
–
The result: the description of the subject area of application of the model is given, it is shown that the actions of the violator and defender can be considered from the point of view of obtaining and further escalation of access rights on the objects of the information system. It is shown that the model of information confrontation between the defender and the violator can be represented by the triple “graph, agent, rules”. The definition of the basic terms and concepts of the model is given. The basic principles of the model functioning have been developed. The possibility of implementing calculations of the results of agents’ activities and the results of the game in the conditions of information uncertainty is shown. A list of basic values of the model is defined that allow calculating the costs and winnings of the participants of the game. The basic rules for calculating costs and winnings have been developed. The input parameters of the model that are set during its initialization are defined. The role and place of “playing with nature” for calculating the basic values of the model are shown.
–
Purpose of the article: development of mechanisms for evaluating the actions of agents of complex information systems from the point of view of information security.
I. V. Kotenko. M.: RAN, 2021. — 184 s., ISBN 978-5-907366-23-7. 4. Seredkin S. P. Modelirovanie ugroz bezopasnosti informacii na osnove banka ugroz Federal’noj sluzhby’ po texnicheskomu i e’ksportnomu kontrolyu Rossii / S. P.
–
References 1. Kalashnikov A.O. Infrastruktura kak kod: formiruetsya novaya real’nost’ informacionnoj bezopasnosti / A.O. Kalashnikov, K.A. Bugajskij // Informaciya i bezopasnost’. 2019. T. 22. № 4. S. 495-506. 2. Lavrova D. S. Modelirovanie setevoj infrastruktury’ slozhny’x ob”ektov dlya resheniya zadachi protivodejstviya kiberatakam / D. S. Lavrova,
37 УДК 004.94УДК 519.7 Управление рисками информационной безопасности DOI:10.21681/2311-3456-2022-4-26-38 a model for aSSeSSinG the Security of a networkcomplex(part1) Kalashnikov A.O.3, Bugajskij K.A.4
Control Sciences
gruppirovkoj APT3 v raspredelenny’x komp’yuterny’x sistemax / A. L. Serdechny’j, A. V. Ajdarkin, M. A. Tarelkin, A. E. Deshina // Informaciya i bezopasnost’. –2021. – T. 24. – № 1. – S. 35-46. 7. Budnikov S. A. Modelirovanie APT-atak, e’kspluatiruyushhix uyazvimost’ Zerologon / S. A. Budnikov, E. E. Butrik, S. V. Solov’ev // Voprosy’ kiberbezopasnosti. – 2021. – № 6(46). – S. 47-61. DOI:10.21681/2311-3456-2021-6-47-61 8. Egoshin N. S. Model’ tipovy’x ugroz bezopasnosti informacii, osnovannaya na modeli informacionny’x potokov / N. S. Egoshin // Doklady’ Tomskogo gosudarstvennogo universiteta sistem upravleniya i radioe’lektroniki. – 2021. – T. 24. – № 3. – S. 21-25. 9. Kondakov S. E. Model’ processa provedeniya komp’yuterny’x atak s ispol’zovaniem special’ny’x informacionny’x vozdejstvij / S. E. Kondakov, I. S. Rud’ // Voprosy’ kiberbezopasnosti. – 2021. № 5(45). S. 12-20. DOI:10.21681/2311-3456-2021-5-12-20 10. Ery’shov V. G. Modelirovanie processa zashhity’ ob”ektov kriticheskoj informacionnoj struktury’ promy’shlenny’x predpriyatij ot komp’yuterny’x atak / V. G. Ery’shov, R. D. Kulikov // Morskoj vestnik. – 2021. – № 1(77). – S. 91-96. 3 Andrey O. Kalashnikov, Dr.Sc., Chief Scientist of the Laboratory «Complex networks» Institute of Control Sciences of Russian
E. V.
6.
// Informacionny’e texnologii
Research method: game-theoretic models using stochastic modeling methods.
Sciences, Moscow, Russia. E mail: kabuga@ipu.ru
3.
anomal’ny’x
15.
38 Модель оценки безопасности сложной сети (Часть 1) Вопросы кибербезопасности. 2022. № 4(50) 11. Xovanskov S. A. Metodika zashhity’ raspredelenny’x vy’chislenij v mnogoagentnoj sisteme / S. A. Xovanskov, V. A. Litvinenko, V. S. Xovanskova // Izvestiya YuFU. Texnicheskie nauki. – 2019. – № 4(206). S. 68-80. 12. Dojnikova E. V. Ocenka zashhishhennosti komp’yuterny’x setej na osnove metrik CVSS / E. V. Dojnikova, A. A. Chechulin, I. V. Kotenko // Informacionno-upravlyayushhie sistemy’. – 2017. – № 6(91). S. 76-87. 13. Puchkov V. V. Analiz zashhishhennosti kiberfizicheskix sistem s ispol’zovaniem grafov atak / V. V. Puchkov, I. V. Kotenko // Informacionnaya bezopasnost’ regionov Rossii (IBRR-2021) : Materialy’ konferencii, Sankt-Peterburg, 27–29 oktyabrya 2021 goda. –Sankt-Peterburg: Regional’naya obshhestvennaya organizaciya “Sankt-Peterburgskoe Obshhestvo informatiki, vy’chislitel’noj texniki, sistem svyazi i upravleniya”, 2021. – S. 98-100.
14. Levshun D. S. Problemny’e voprosy’ informacionnoj bezopasnosti kiberfizicheskix sistem / D. S. Levshun, D. A. Gajfulina, A. A. Chechulin, I. V. Kotenko // Informatika i avtomatizaciya. – 2020. – T. 19. – № 5. – S. 1050-1088. Kalashnikov, A.O. Model’ upravleniya informacionnoj bezopasnost’yu kriticheskoj informacionnoj infrastruktury’ na osnove vy’yavleniya sostoyanij (chast’ 1) / A.O. Kalashnikov, E.V. Anikina // Informaciya
i bezopasnost’. – 2018. – T. 21. – № 2. – S. 145-154. 16. Kalashnikov, A.O. Modeli kolichestvennogo ocenivaniya komp’yuterny’x atak / A.O. Kalashnikov, K.A. Bugajskij, E.V. Anikina // Informaciya i bezopasnost’. – 2019. – T. 22. – № 4. – S. 517-538. 17. Vdovikina N.V. Operacionny’e sistemy’: vzaimodejstvie processov / N.V. Vdovikina, I.V. Mashechkin, A.N. Terexin, A.N. Tomilin. – M.: MAKS Press, 2008. 216 s.
39 УДК 004.94УДК 004.056 Методы и средства анализа защищенности DOI:10.21681/2311-3456-2022-4-39-51 методический подход к комплексному описанию оБЪекта информационной заЩиты Кругликов С.В.1, Касанин С.Н.2, Кулешов Ю.В.3 ЦельАннотациястатьи: на основе анализа комплексного подхода к оценке угроз безопасности информации обосновать методический подход к комплексному описанию объекта информационной защиты с оценкой его рисков. Пред ложить инструмент для построения частных моделей и системы управления информационной безопасности. Метод исследования: использование частного интегрального показателя защищенности, который отражает средний риск нанесения ущерба при реализации угрозы определенного вида и характеризует степень ее опас ности. Анализ архитектуры объекта оценки в приложении по отношению к возможным нарушениям информа ционной безопасности, оценка риска угроз безопасности информации с использованием аппарата теории не четких множеств при рассмотрении методического подхода к комплексному описанию объекта информационной защиты с оценкой его рисков. Полученный результат: предложен комплексный подход к оценке угроз безопасности информации. Оценка состояния объекта защиты при нарушении безопасности проводится с помощью частного интегрального пока зателя защищенности, характеризующего возможности по нанесению ущерба при ее реализации, по которому производится ранжирование. На основании этого обоснован методический подход к комплексному описанию объекта информационной защиты с оценкой его рисков, используя анализ архитектуры объекта в приложении к возможным нарушениям информационной безопасности, а также производить оценку риска с использованием аппарата теории нечетких множеств. Данный методический подход является формальным инструментом для по строения частных моделей и системы управления информационной безопасности в целом. На основании этих моделей можно разработать: методики количественной оценки защищенности; методы и подходы к описанию факторов, влияющих на защищенность; методики оценки защищенности операционных систем с использовани ем методологического подхода к безопасности информационных систем. Ключевые слова: информационная безопасность, информационная система, защита информации, угроза информационной безопасности, объект информационной защиты, объект оценки, киберпространство. DOI:10.21681/2311-3456-2022-4-39-51 1 Кругликов Сергей Владимирович, доктор военных наук, генеральный директор государственного научного учреждения «Объединенный институт проблем информатики Национальной академии наук Белоруссии», Минск, Белоруссия. E-mail: secretary_od@newman.bas-net.by 2 Касанин Сергей Николаевич, кандидат технических наук, доцент, заместитель генерального директора по научной работе государственного научного учреждения «Объединенный институт проблем информатики Национальной академии наук Белоруссии», Минск, Белоруссия. E-mail: kas.sv40@rambltr.ru 3 Кулешов Юрий Владимирович, кандидат военных наук, доцент, начальник военного факультета в учреждении образования «Белорусский государственный университет информатики и радиоэлектроники», Минск, Белоруссия. E-mail: prcom@bsuir.by Введение Анализ современных аналитических публикаций показывает, что в настоящее время средства инфор мационного воздействия и защиты развиваются наи более динамично [1-28]. Это, прежде всего, объясня ется такими свойствами инфосферы, как неисчерпае мость и восполняемость инфоресурсов, возможность их быстрого копирования, перемещения практически без потерь на огромные расстояния с высокой скоро стью и степенью достоверности, компактность источ ников и носителей информации, мгновенная реакция (отклик) инфосферы на трудно идентифицируемое в от ношении источников информационное воздействие. Военное руководство Соединенных Штатов рас сматривает киберпространство как одну из сред про ведения военных операций наряду с наземной, мор ской, воздушной и космической. В 2015 году Пентагон разработал «Стратегию действий министерства обо роны США в киберпространстве», которая определила основные направления развития киберпотенциала вооруженных сил и предъявляемые к нему требова
40 Методический подход к комплексному описанию объекта информационной... Вопросы кибербезопасности. 2022. № 4(50) ния. В качестве основных противников Соединенных Штатов в киберпространстве названы Россия, Китай, Северная Корея и Иран. В соответствии с положени ями новой стратегии США должны использовать все имеющиеся возможности для отражения любой угро жающей интересам страны кибератаки. Содержание «Стратегии действий министерства обороны США в киберпространстве» свидетельствует о намерении военного ведомства играть главную роль в обеспе чении национальной кибербезопасности, а также о стремлении обладать возможностями для ведения масштабных разведывательных, наступательных и оборонительных киберопераций. При этом важное значение придается взаимодействию с союзниками и партнерамиРазработка[1].ивнедрение передовых технологий во енного назначения является главным направлением деятельности управления перспективных исследова ний МО США (DARPA). Объём финансирования DARPA в этом направлении составляет около 400 млн долл. США в год. Развитие средств и способов ведения на ступательных и оборонительных действий в киберпро странстве DARPA предполагает продолжить в рамках начатого в 2018 году проекта «Комплексные киберо перации» (Symbiotic Cyber Operations). Значительные усилия DARPA в области киберразведки в настоящее время сконцентрированы на повышении точности и оперативности определения конкретных источников деструктивных действий в киберпространстве [2]. В своей работе [3] известный американский журна лист Шейн Харрис подробно описывает историю соз дания военно-сетевого комплекса США и сегодняшние тенденции его развития. Военные США рассматривают киберпространство как пятый театр военных действий (наряду с наземным, морским, воздушным и косми ческим), в котором участвуют Министерство обороны, АНБ, ЦРУ, независимые группы хакеров – все, кто мо жет создавать и использовать компьютерные вирусы для нанесения удара по врагу. Изложена роль кибер войн в иракской войне, о коллаборации госструктур с такими сетевыми гигантами, как Facebook и Google, в целях сбора информации о пользователях [3]. В развитых странах мира обосновывается необ ходимость формирования нового вида Вооруженных Сил, предназначенного для ведения военных дей ствий в киберпространстве. С этой целью ведется раз работка моделей современного боя с применением кибератак [4, 5]. Прорабатываются основные цели «техносферной войны» и способы их достижения, по рядок проведения операций в киберпространстве, которые становятся одной из перспективных форм применения вооруженных сил [6, 7]. Современные информационно-коммуникацион ные онлайн-технологий, применятся для дестабилиза ции национальных политических режимов, включая технологии массовой политической пропаганды и манипуляции общественным сознанием в интернетпространстве. Рассматривается вероятность исполь зования кибероружия в ходе военных действий для провоцирования техногенных катастроф на промыш ленных предприятиях и энергетических объектах, при водящих к жертвам среди мирного населения и се рьезному ущербу экономике [8-10]. В целях минимизации последствий применения средств информационного воздействия создаются си стемы, способные осуществлять предупреждение и за благовременное пресечение компьютерных атак на критически важные информационные ресурсы. Разра батываются подходы к аналитическому моделированию кибератак, организации защиты информации в инфор мационных системах от несанкционированного досту па, а также теоретико-методологические подходы к ре шению задачи формирования перечня актуальных для защищаемой автоматизированной системы компью терных атак [11-15]. Совершенствуются методы тести рования информационных систем на проникновение, теоретически и практически прорабатываются подходы к аудиту информационной безопасности критической информационной инфраструктуры, проводиться анализ защищенности информационных ресурсов [16-22]. Наличие «информационного общества» в ведущих экономически развитых западных странах не смогло способствовать устойчивому экономическому росту. В ряде случаев современные Интернет-сети привели к ряду государственных переворотов, принесли несчастье многим публичным людям, так как пользователи соци альных сетей фактически не несут никакой ответствен ности за свои высказывания. В связи с этим возникла необходимость правового регулирования информаци онной безопасности в законодательствах стран мира, незамедлительное создание механизмов международ ного управления, одним из которых могут стать Прави ла поведения государств в информационном простран стве, обеспечение международной информационной безопасности, формирования под эгидой ООН режима контроля над вооружениями, основанными на инфор мационно-коммуникационных технологиях [23-26]. В [27] был выработан и предложен методический подход к оценке вероятностей реализации угроз без опасности информации (УБИ). Как было указано,
41 УДК 004.94УДК 004.056 Методы и средства анализа защищенности DOI:10.21681/2311-3456-2022-4-39-51 проблематика исследований в данной предметной области связана со сложностью оценки эффективно сти обеспечения безопасности информации. Это об условлено неопределенностью режимов и характера эксплуатации объектов информационных технологий (ОИТ) и средств защиты информации (СЗИ) по причи не отсутствия полной информации обо всех режимах их функционирования, а также появлением различ ных видов угроз, бурным развитием современных технических средств воздействия на информацион ные ресурсы потенциальным нарушителем и возмож ностью по_явления новых способов и средств нару шения информации (новых угроз). Теоретический анализ Рассуждая и вырабатывая концептуальные подхо ды к комплексной оценке УБИ, отметим следующее. На наш взгляд, для построения комплексной защиты информации необходимо выявить в первую очередь УБИ и оценить их последствия, а именно опасность 4 эксплуатации с учетом информации мониторинга, выявления нарушений информационной безопасности (ИБ) и динамического управления рисками. В этом случае оценку следует проводить с использованием моделей общей оценки угроз, которые являются основой оценки как самих УБИ, так и потерь, которые могут иметь место при их проявлении. Модели данного типа важны еще и тем, что именно на них в основном выявлены те условия, при которых такие оценки могут быть адекват ны реальным процессам защиты информации. К настоящему времени разработаны различные табличные, диаграммные, формализованные, имитационные модели УБИ. Следует отметить, что, несмотря на достоинства этих моделей, ни одна из них не позволяет одновременно учесть три основных параметра уязвимость, активизируемую атакой, метод ее реализации и возможные последствия. Другими словами, возникает противоречие между теорией и практикой информационной защиты из за неразрешенности вопросов в подходах к комплексности оц енки УБИ. Предлагаемый авторами статьи порядок комплексной оценки и ранжирования УБИ приведен на рис. 1. н ,1, , , j jвjвjв jjнjн AajJ Kkk Kkk ,1,k VvkK 0 ,00 01,1 ,, ii i i ttопi опi i iiii YyiI приtt Kt Ke приtt Kkfkk КонфиденциальностьВажностьЦенностьСтоимостьАрхитектураОИТУгрозы Места хранения Узлы формальной обработки Узлы переработки Каналы передачи данных Каналы доступа, утечки или воздействия на информацию КвалификацияМотивацияИнформационныересурсы 0 ,00 01, 1 ,, дjj kk j Kttдj дj j kkkk VvkK приtt Kt Ke приtt Kkfkk уязвимостиВероятностныевООиСЗИ Способы и средства обеспечения безопасности на основаниибезопасностиполитики , ,,, ikik kjkj ikjikjikj Ww Ww Wwf Уязвимости по каждой угрозе и активу Способы и преодолениясредствазащиты ИспользуемыйресурсМотивация ;, kijkijkij ErErEr rrr Расширенныйсписокугроз Ущерб несанкционированногоотдоступакресурсам Рис. 1. Порядок оценки и ранжирования угроз безопасности
42 Методический подход к комплексному описанию объекта информационной... Вопросы кибербезопасности. 2022. № 4(50) каждой угрозы. Предлагается формирование мето дологии выявления УБИ осуществлять по следующим направлениям:систематизация и статистическая оценка атак и попыток несанкционированного доступа к объ ектам экспериментальноеинформации; тестирование информаци онных систем (ИС) на предмет обнаружения уязвимых мест, использование которых воз можно для реализации угроз; создание аналитических и имитационных мо делей процессов функционирования ИС, угроз безопасности и генераторов атак; экспертный анализ и экспертные оценки с при влечением специалистов – системных адми нистраторов, администраторов безопасности, аудиторов информационной безопасности и других специалистов в области информацион ной безопасности. При этом оценка УБИ является одним из основных этапов процесса анализа и управления рисками при создании и эксплуатации ИС. Она должна включать априорную оценку на этапе разработки, уточненную периодическую оценку в процессе эксплуатации с учетом информации мониторинга, выявления нару шений информационной безопасности (ИБ) и дина мического управления рисками. В этом случае оценку следует проводить с использованием моделей общей оценки угроз, которые являются основой оценки как самих УБИ, так и потерь, которые могут иметь место при их проявлении. Модели данного типа важны еще и тем, что именно на них в основном выявлены те условия, при которых такие оценки могут быть адек ватны реальным процессам защиты информации. К настоящему времени разработаны различные та бличные, диаграммные, формализованные, имитаци онные модели УБИ. Следует отметить, что, несмотря на достоинства этих моделей, ни одна из них не позволяет одновре менно учесть три основных параметра – уязвимость, активизируемую атакой, метод ее реализации и воз можные последствия. Другими словами, возникает противоречие между теорией и практикой информа ционной защиты из-за неразрешенности вопросов в подходах к комплексности оценки УБИ. Предлагае мый авторами статьи порядок комплексной оценки и ранжирования УБИ приведен на рис. 1. Для определения потенциала УБИ в этом случае целесообразно использовать частный интегральный показатель защищенности: Rr Pr Pj ikJ ji ij j i kj cpi ==∑∑∑=,, 1 , (1) Он отражает средний риск нанесения ущерба при реализации угрозы определенного вида и характери зует степень ее опасности. В зависимости от априор ного описания оценки показатель может быть в т. ч. нечетким статистическим и нечетким. В первом случае для определения элементов мно жества рисков используются вероятностные оценки нечеткого случайного события: вероятность p rf rr ikdr jikj ikjikj() = () () −∞ ∞ ∫ µ ; (2) математическое ожидание Er Er kjEr i ikj ikj= () (), ; (3) дисперсия Dr rE rr ikEr j ikjikj ikjikj= () () () + () () () ∫05 2 0 1 , Dr rE rr Er ikd j ikjikj ikjikj= () () () + () () () ∫05 2 2 0 1 , , (4) где rr , – соответствующие ветви функции принад лежности при обратном отображении µµ = µµ = Для определения потенциала атаки используются формулы теории вероятностей, поскольку в данном случае кроме нечеткости по Заде используются допол нительные операции, такие как включение, алгебра ическая сумма и алгебраическое произведение по Бандлеру и Кохоуту, эквивалентность. При втором подходе для определения потенциала атаки операция суммирования определяется выра жением rξ ξξξξ µ= ∑∑ ; , (5) в котором суммирование элементов носителей явля ется скалярным, а значение функции принадлежности вычисляется согласно правилу центра тяжести, ис пользуемого в операции дефазификации µ µ ξ ξ ξ ξ r r ¾ ¾¾ ¾ ∑ ∑ ∑∑ = () (6) Таким образом, предложенный комплексный под ход к оценке и ранжированию УБИ предусматривает
43 УДК 004.94УДК 004.056 Методы и средства анализа защищенности DOI:10.21681/2311-3456-2022-4-39-51 *** { }ikjΘ=θ ( {)} ,, Wwyvaikj(={)} , Wwyvik = ( {)} , Wwvakj = *** а1 а2 а3 аj *** v1 * v2 * v3 * v4 * vk * у1 * yi у4 Внешняя среда Объект оценки Угрозы Y Уязвимости V Активы А у2 у3 { }Yyi = , i,I 1= { }Vvk = , k,K 1= { }Aj =α , j,J 1= Рис. 2. Граф состояний объекта оценки использование частного интегрального показателя защищенности, характеризующего возможности по нанесению ущерба при ее реализации, по которому и производится ранжирование. Рассуждая далее, выработаем подход к оценке состояний объекта оценки (ОО) при нарушении без опасности (рис. 2). Внешняя среда характеризуется нечетким множе ством угроз активам Yy y ii = () {} , µ , iI = 1, (7) элементы которого определяются нечетким случай ным коэффициентом опасности в качестве его дина мической характеристики. В общем случае данный коэффициент можно описать выражением x t припри tt iKe i i tt ii() = ≤ > () 010 0λ ti0 , (8) где Kk ii = = ∏ ξ ξ 1 1 1 1 Ξ , ξ ξ = = ∏ 2 2 2 1 Ξ , ti 0 – параметры угрозы. ОО характеризуется двумя множествами: уязвимостей Vvk = {} , kK = 1, (9) и активов (информации или ресурсов) Aa j = {} , jJ = 1, . (10) Уязвимости предлагается характеризовать коэф фициентом доступности, который является их дина мической характеристикой и в общем случае опреде ляется выражением vt t kKe k k Kt t kk() = ≤ () > () 0 1 0 0 t k0 при при , (11) где KK jj = = ∏ ς ς 1 1Σ , tij 0 – параметры уязвимости. Коэффициенты K i , K k являются нечеткими слу чайными величинами Kk fk iik ii = () () () ,, µ ,Kk fk kkk kk = () () () ,, µ , (12)
44 Методический подход к комплексному описанию объекта информационной... Вопросы кибербезопасности. 2022. № 4(50) где k η оценочное значение соответствующего коэф фициента (среднее значение), f kk ηη µ( ) ( ), слу чайная и нечеткая составляющие нечеткой случайной величины.Активы характеризуются нечетким коэффициен том ценности Kkjjk =j== = ( ) () , µ со стороны нару шителей (важность, ценность и степень заинтересо ванности в их получении) и коэффициентом ценности Kkj2k j2 j2 = ( ) () , µ со стороны их владельцев (важ ность, стоимость, влияние на организацию, возмож ность восстановления и др.). Между угрозами безопасности и уязвимостями ОО существует однозначная связь, образующая 2-доль ный H-вершинный граф: GY VEH= () ,, , (13) где Ee eh HH HhIJ ij = {} = {} =< ×,,, 1 – множе ство ребер графа G; eyhivk = () = {},,01 Ребро eh = 1 , если угроза yi может быть реализо вана через уязвимость vk , т.е. ∃∈ () ∃∈ () ∃ () = ()yY vV ikee ik ik 1 (14) Каждому ребру eyikvik = () , приписан вес wik , являющийся элементом нечеткого множества Wwikf ik ik = {} ,, µ , (15) где wk ik ik = – элемент-носитель, означающий коэф фициент опасности определенной угрозы при ее реа лизации через определенную уязвимость; f ik ik, µ – совместные плотность распределения и функция принадлежности, соответственно. Уязвимости и активы также образуют 2-дольный D-вершинный граф GV AEd= () ,, , (16) где Ee ed DD ddKJ kj = {} = {} =< ⋅ ,,, 1 – множе ство ребер графа G; evdkaejd = () = {},, , 01 – ребро графа G, удовлетво ряющее условию ∃∈ () ∃∈ () ∃ () = ()vV aA kje kj kj 1 . Каждому ребру evkjakj = () , приписан вес w kj , являющийся элементом нечеткого множества Ww kj kj = {} , µ , (17) где wk kj kj = коэффициент опасности данной уязви мости для данного актива; µkj – совместная функция принадлежности. Объединение графов GY VE H = () ,, и GV AE D = () ,, приводит к 3-дольному LH D=× -вершинному графу GY VA E L = () ,,, (18) Результирующее открытое ребро eyikva ji kj = () = {},, , 01 множества ребер Ee el LlL ikj = {} = {} = ,, 1 графа G удовлетворяет условию ∃∈ () ∃∈ () ∃∈ () ∃ () = ()yY vV aA ikee jikj ikj 1 . (19) Каждому ребру eyikva ji kj = () ,, приписан вес wikj , являющийся элементом случайного нечеткого множества Wwikfjikj ikj = {} ,, µ , (20) где wkikjikj = – коэффициент возможности принятия ОО состояния нарушения ИБ ikj( ) , характеризующий возможность реализации угрозы через определенную уязвимость на определенный актив, µikj – функция принадлежности элемента wkikjikj = нечеткому множеству Wwikjikj = {} , µ . Граф GY VA EL= () ,,, представляет собой граф состояний ОИТ с позиций ИБ. Он характеризует мно жество состояний ОО Θ= {} θikj при нарушении ИБ с учетом заинтересованности нарушителя ИБ, ха рактеризуемой коэффициентом ценности активов Kkjhk jh jh = () () , µ . Для определения взаимосвязи между элементами множеств Yyi = {} , iI = 1, , Vvk = {} , kK = 1, и Aa j = {} , jJ = 1, можно использовать базовые по ложения о сотрудничестве, конфликте и безразличии между подсистемами ℑ1 и ℑ2 , входящими в окружение некоторой системы ℑ= ℑℑ ℑ {} 12,,..., n , суть которых заключается в следующем: если qq qq qq ij ij ij ij ij ij ℑℑ () <ℑ ℑ () ℑℑ () >ℑ ℑ () ℑℑ () =ℑ ℑ () ,,, ,,, ,,, ℑℜ ℑ () ℑℑ ℑ ℑℜ ℑ () ℑ j j j j c j i ,,jij jiℑℜ ℑ () ℑ i j 1 j i , кофликтмежду сотрудничествомежду безразличиемежду ии и (21) где q – функция полезности системы; ℑ= ∅j . Мера структурного взаимодействия, которая при ℑ= j 2 определяется соотношением
45 УДК 004.94УДК 004.056 Методы и средства анализа защищенности DOI:10.21681/2311-3456-2022-4-39-51 µij j ij i j i j j qqj q ℑ () =ℑ ℑ () −ℑ ℑ () = ∂ℑ ℑ () ∂ℑ ℑ,,, 2 (22) Таким образом, рассмотренный комплексный под ход к оценке угроз безопасности информации c оцен кой состояния объекта защиты при нарушении без опасности показал отсутствие механизмов достовер ного подтверждения качества и достаточности средств защиты и недостаточной проработки вопросов моде лей системы защиты, системы показателей и критери ев безопасности ИТ. Это обусловливает необходимость развития норма тивно-методической базы, методик и моделей оценки защищенности на основе системного подхода. Перво степенным направлением можно назвать разработку моделей систем безопасности, критериев и показателей защищенности, методов их оценки и оценки элементов безопасности, методик оценки защищенности на всех 9 ранжирования и сравнения с некоторым допустимым пороговым значением. Ранжирование угроз безопасности выполняется на основании оценочного значения потенциала угрозы, который определяется категориями опасности нарушителя безопасности и опасности угрозы. Рис 3 Содержание процесса комплексного обследования и описания объекта оценки Для оценки опасности нарушителя целесообразно использовать его персональные характеристики: квалификация, мотивация и используемый ресурс. Для оценки опасности угрозы предлагается использовать ее характеристики, такие как способ реализации, цели реализации угрозы и используемое уязвимое место. Далее необходимо оценить потенциал угроз безопасности. Потенциал угроз структурыАнализобъекта Состав объекта. Структурные составляющие. Расположение активов, подлежащих защите по структуре объекта Действие Анализ объекта оценки Результат акАнализтивовобъекта Перечень информационных ресурсов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну. Требования к уровням их защищенности от несанкционированного доступа при передаче, хранении и обработке в ИС Анализ архитектуры объекта в приложении к нарушениямвозможнымИБ Каналы доступа, утечки или воздействия на Переченьинформацию.уязвимых мест. Перечень общих угроз безопасности Идентификация активов, общих угроз, уязвимых мест изащитытребований Идентифицированный список общих угроз безопасности, уязвимых мест и активов с требованиями безопасности по каждой категории нарушителей. Выходные данные Активы безопасностОбщиеугрозыи УязвимыеместаОО Требованиязащиты Идентифицированный список безопаснПолитикаостиорганизации Цели и задачи организации, активы, подлежащие защите и их ценность, классы угроз, от которых требуется защита, общие требования безопасности, категории нарушителей, требования защиты по классам угроз, метод анализа и управления рисками Исходные данные Рис. 3. Содержание процесса комплексного обследования и описания объекта оценки
46 Методический подход к комплексному описанию объекта информационной... Вопросы кибербезопасности. 2022. № 4(50) этапах жизненного цикла ОИТ. Также важна динамиче ская оценка рисков на основе системного подхода. В данном случае первостепенное значение имеют только те свойства элементов защиты, которые определяют вза имодействие друг с другом, оказывают влияние на систе му в целом и на достижение поставленной цели. На наш взгляд для комплексного обследования и описания ОО прежде всего, необходимо определиться с исходными данными. Можно утверждать, что исходными данными будет являться политика безопасности органи зации, которая определяет: цели и задачи организации; активы, подлежащие защите и их ценность; классы угроз, от которых требуется защита; общие требования без опасности; категории нарушителей; требования защиты по классам угроз; метод анализа и управления рисками. Исходя из перечисленного, предлагается содержа ние процесса комплексного обследования и описания ОО проводить по схеме, представленной на рис. 3. В результате проведения анализа по предложенной авторами схеме, можно сформировать выходные дан ные, которые могут включать: активы, подлежащие за щите; общие угрозы безопасности для анализируемого объекта оценки; уязвимые места объекта оценки; тре бования защиты. 10 Путем сравнения рассчитанных потенциалов угроз с некоторым пороговым значением формируются перечни исключенных угроз и актуальных угроз для данного объекта оценки (рис 4). Рис. 4. Процесс определения перечня актуальных угроз Проводя рассуждения далее, выработаем подход к оценке риска с использованием аппарата теории нечетких множеств. Величину возможных потерь можно оценить по следующей формуле: ЦЕНА ПОТЕРИ= Рн × УЩЕРБ, (23) где под ущербом понимается материальная стоимость актива, Рн мера, возможность перехода в состояние нарушения ИБ. Она определяется Исходные данные угрозыОбщие Уязвимыеместа Уровеньзащиты Требуемый МетодбезопасностиуровеньоценкирисковАктивыУгрозыОпасностьугрозы Класс Характеристика Способ Уязвимое местоЦель УгрозыПотенциалугрозы Класс Характеристика Актив ВероятностьУщерб Ранжирование угроз исключенныхПереченьугроз ПорогактуальныхПеречень≥угроз НарушительнарушителяОпасность Категории Характеристика Квалификация РесурсМотивация Рис. 4. Процесс определения перечня актуальных угроз
47 УДК 004.94УДК 004.056 Методы и средства анализа защищенности DOI:10.21681/2311-3456-2022-4-39-51 Эти выходные данные процесса анализа объекта оценки являются исходными данными для определе ния перечня актуальных угроз. Дополнительными ис ходными данными являются требуемый уровень без опасности и метод оценки рисков. Формирование пе речня актуальных для ОО угроз проводится на основа нии их ранжирования и сравнения с некоторым допу стимым пороговым значением. Ранжирование угроз безопасности выполняется на основании оценочного значения потенциала угрозы, который определяется категориями опасности нарушителя безопасности и опасности угрозы. Для оценки опасности нарушителя целесообразно использовать его персональные характеристики: ква лификация, мотивация и используемый ресурс. Для оценки опасности угрозы предлагается использовать ее характеристики, такие как способ реализации, цели реализации угрозы и используемое уязвимое место. Далее необходимо оценить потенциал угроз безопас ности. Потенциал угроз безопасности можно оценить на основании оценочных значений следующих факторов без опасности: актив, ущерб, вероятность реализации угрозы. Путем сравнения рассчитанных потенциалов угроз с некоторым пороговым значением формируются переч ни исключенных угроз и актуальных угроз для данного объекта оценки (рис. 4). Проводя рассуждения далее, выработаем подход к оценке риска с использованием аппарата теории не четкихВеличинумножеств.возможных потерь можно оценить по сле дующей формуле: ЦЕНА ПОТЕРИ= Рн × УЩЕРБ, (23) где под ущербом понимается материальная стоимость актива, Рн – мера, характеризующая возможность пе рехода в состояние нарушения ИБ. Она определяется через параметры и характеристики угроз безопасно сти, уязвимостей ОО и активов. При оценке состояний объекта оценки при наруше нии ИБ с использованием нечетких множеств элементы множеств угроз безопасности Yy y ii = () {} , µ , iI = 1, , уязвимостей Vv v kk = () {} , µ , kK = 1, и активов (информации и/или ресурсов) A aajj= () {} , µ , jJ = 1, , характеризующих взаи модействие ОО с внешней средой, описываются нечет кими величинами kk k= () () , µ , где k ∈[] 01 ; –оценочное среднее значение соответствующего нечет кого коэффициента k, µ k () ∈[] 01 ; – функция принад лежности нечеткой величины k Величина риска rr yv ika jikj ikji kj •• () =⋅ , µ (24) будет определяться с использованием выражений ryikva ji kj ikji kj •• =⋅ ⋅= (),min ,,µµ . (25) Ущерб j-му активу описывается формулой Urjis kj j ik =⋅ ∑ , , (26) а суммарный ущерб Uriksjj ik j =⋅ ∑ ,, , (27) где sj – материальная ценность j-го актива. Степень опасности угрозы yi, оценивается по не скольким параметрам и рассчитываются по формулам: y yy iiy iil l L il l L l il,, min() == == ∏∏ 11 , (28) где yil ∈[] 01 ; – оценочное среднее значение l-го параметра i-й угрозы; µil ∈[] 01 ; – степень принад лежности нечеткой величины yil – l-го параметра i-й угрозы; L – количество параметров угрозы. Степень опасности уязвимости vk и значимость актива a j оцениваются аналогично. Следует отме тить, что параметры угроз, уязвимостей и активов не обязательно должны оцениваться по шкале от 0 до 1. В случае, если используется другая шкала оценки па раметров, необходимо провести нормировку. Все параметры угроз, уязвимостей и активов (за исключением материальной стоимости актива) оце ниваются в соответствии с приведенными выше баль ными шкалами и представляются в виде нечетких величин с L=5 термами на множестве-носителе [0; 1]. Функции принадлежности значения параметра ki терму j представляют собой колоколообразные функ ции с максимумом в точках 0; 0,25; 0,5; 0,75; 1 для 1-го … 5-го термов соответственно и могут быть рас считаны по формуле: µ βi j i i k kL i L() = +⋅ () −+ = 1 11 1 15 2 ,, µ βi j i i k kL i L() = +⋅ () −+ = 1 11 1 15 2 ,, (29) Для теоретической проработки подхода рассмо трим особенности реализации операции умножения нечетких величин (рис. 5). Выполнение операции умножения с использо ванием максминной композиции над большим ко личеством переменных ведет быстрому росту пар kk , µ() , задающих нечеткую величину. Так, в
48 Методический подход к комплексному описанию объекта информационной... Вопросы кибербезопасности. 2022. № 4(50) нашем случае в зависимости от источника угроз риск оценивается по 8 или 9 параметрам, каждый из кото рых после преобразования в нечеткую величину (фаз зификации) описывается пятью парами kk , µ() . Риск, в таком случае, будет содержать до двух миллио нов таких пар, что явно избыточно и требует больших вычислительных затрат. Основываясь на принципе обобщения, максмин ная композиция реализуется двумя процедурами. Первая выполняется по формуле: µ βi j i i k kL i L() = +⋅ () −+ = 1 11 1 15 2 ,, = () ∧ () () () == µµ xi yj ij j m i n xy xy/ 11 ∪∪ (30) Во второй процедуре осуществляется поглощение не скольких компонентов µzkzzk kr() =/, 1, (r-количество компонентов с равнозначными носителями) одним µzs s zz() / ; zs zk() = ()max . Результат пер вой процедуры можно увидеть на рисунке 5в. Вторая процедура несколько уменьшает количе ство полученных точек, однако оно все равно оста ется велико, при этом все равно остаются точки, степень принадлежности которых заметно ниже, чем у ближайших соседей, т.е. функция принадлежности результирующего числа имеет множество провалов. Наличие этих провалов практически не влияет на конечный результат, и их можно отбросить, заменив функцию принадлежности огибающей (рисунок 5г). В результате количество пар kk , µ() может быть уменьшеноПолучить огибающую можно, производя опера цию умножения с помощью α-уровневого принци па обобщения. Суть его заключается в следующем. Исходные числа урезаются по уровню α (т.е. из всех ai, bj остаются только те, для которых степень при надлежности не меньше α), вычисляются значения ai×bj и для всех min( )max()ab za ijbij ≤≤ степень принадлежности принимается равной α. Проделав эту операцию для множества α от 0 до 1 (в MatLab используется 101 значение α = 0:1 с шагом 0,01) и объединив полученные результаты как во второй процедуре максминной композиции, получим иско мую огибающую, значение которой с помощью ин терполяции можно рассчитать для любых значений множества-носителя. Рис. 5. Выполнение операции умножения а, б – нечеткие числа a и b; в – результат первой процедуры максминной композиции при умножении чисел axb; г – результат умножения axb полученный с помощью α-уровневого принципа обобщения
49 УДК 004.94УДК 004.056 Методы и средства анализа защищенности DOI:10.21681/2311-3456-2022-4-39-51 Заключение Таким образом, предложенный методический подход позволяет построить результат на любом выходном мно жестве-носителе с любым желаемым числом компонен тов и получить огибающую, производя операцию умно жения с помощью α-уровневого принципа обобщения. На основании изложенных принципов целесоо бразно разработать программу в среде MatLab, про изводящую анализ рисков при различных значениях входныхРазработанныйпеременных.методический подход, представ ляющий собой содержание и взаимосвязь процедур управления ИБ на всех этапах жизненного цикла ОО, является формальным инструментом для построения частных моделей и системы управления ИБ в целом. Предложенные модели позволяют разработать: мето дики количественной оценки защищенности; методы и подходы к описанию факторов, влияющих на защи щенность; методики оценки защищенности операци онных систем с использованием методологического подхода к безопасности ИС. Проведенные исследо вания показали необходимость продолжения работ в данном направлении. Литература 1. Колосков, С. Стратегия действий министерства обороны США в киберпространстве / С. Колосков // Зарубежное военное обо зрение. - 2016. - № 10. - С. 3-7. 2. Баташов, В. Деятельность министерства обороны США по развитию новых технологий в сфере кибербезопасности / В. Баташов // Зарубежное военное обозрение. - 2018. - № 10. - С. 10-13. 3. Харрис Ш. Кибер войн@. Пятый театр военных действий – М.: Альпина нон-фикшн, 2016. - 390 с. 4. Стародубцев Ю.И., Закалкин П.В., Иванов С.А. Многовекторный конфликт в киберпространстве как предпосылка формирования нового вида Вооруженных Сил // Военная мысль. 2021. № 12. С.126-135. 5. Бойко А.А. Боевая эффективность кибератак: аналитическое моделирование современного боя. Системы управления, связи и безопасности. 2020. N 4. С. 101-133. 6. Стародубцев Ю.И., Закалкин П.В., Иванов С.А. Техносферная война как основной способ разрешения конфликтов в условиях глобализации // Военная мысль. 2020. № 10. С.16-21. 7. Тумар В.А., Левчук Н.Н. Киберпространство как среда противоборства: военный аспект и Белорусский опыт нормотворчества // Вестник Академии военных наук. 2020. № 3 (72). С.43-49. 8. Володенков С.В. Интернет-коммуникации в глобальном пространстве современного политического управления. – М.: Издатель ство Московского университета; Проспект, 2018. 272 с., ил. 9. Дурнев Р.А., Крюков К.Ю., Дедученко Ф.М. Предупреждение техногенных катастроф, провоцируемых в ходе военных действий // Военная мысль. 2019. № 10. С. 41-48. 10. Зарудницкий В.Б. Характер и содержание военных конфликтов в современных условиях и обозримой перспективе // Военная мысль. 2021. № 1. С.34-44. 11. Бирюков Д.Н., Ломако А.Г., Петренко С.А. Порождение сценариев предупреждения компьютерных атак. Защита информации. Инсайд. 2017. N 4 (76). С. 70-79. 12. Дроботун Е.Б. Теоретические основы построения систем защиты от компьютерных атак для автоматизированных систем управ ления. Монография. – СПб.: Наукоемкие технологии, 2017. – 120 с., ил. ISBN 978-5-9909412-2-9. 13. Марков А.С. Технические решения по реализации подсистем ГосСОПКА. В книге: Управление информационной безопасностью в современном обществе. Сборник научных трудов V Международной научно-практической конференции. 2017. С. 85-96. 14. Лаута О.С., Коцыняк М.А., Иванов Д.А., Гудков М.А. Моделирование компьютерных атак на основе метода преобразования стоха стических сетей. В сборнике: Радиолокация, навигация, связь. Сборник трудов XXIV Международной научно-технической конфе ренции. В 5-и томах. 2018. С. 137-146. 15. Язов Ю.К. Организация защиты информации в информационных системах от несанкционированного доступа: монография / Ю.К. Язов, С.В. Соловьев. Воронеж: Кварта, 2018. – 588 с. 16. Бегаев А.Н., Бегаев С.Н., Федотов В.А. Тестирование на проникновение. СПб.: Университет ИТМО, 2018. – 45 с. 17. Дорофеев А.В., Лемберская Е.Х., Рауткин Ю.В. Анализ защищенности: нормативная база, методологии и инструменты. Защита информации. Инсайд. 2018. N 4 (82). С. 63-69. 18. Макаренко С.И. Аудит безопасности критической инфраструктуры специальными информационными воздействиями. Моногра фия. – СПб.: Наукоемкие технологии, 2018.– 122 с. 19. Коцыняк М.А., Лаута О.С., Иванов Д.А. Математическая модель таргетированной компьютерной атаки. Наукоемкие технологии в космических исследованиях Земли. 2019. Т. 11. N 2. С. 73–81. DOI: 24411/2409-5419-2018-10261. 20. Дергунов И.Ю., Зима В.М., Глыбовский П.А., Мажников П.В. Модель процесса интеллектуального тестирования АС на проникнове ние с учетом временных параметров. Защита информации. Инсайд. 2020. N 5 (95). С. 64-67. 21. Жиленков А.А., Черный С.Г. Система безаварийного управления критически важными объектами в условиях кибернетических атак // Вопросы кибербезопасности. 2020. № 2 (36). С. 58-66. DOI:10.21681/2311-3456-2020-2-58-66. 22. Котенко И.В., Крибель А.М., Лаута О.С., Саенко И.Б. Анализ процесса самоподобия сетевого трафика как подход к обнаружению кибератак на компьютерные сети // Электросвязь. 2020. № 12. С.54-59. DOI:10.34832/ELSV.2020.13.12.008. 23. Бочков С.И., Макаренко Г.И., Федичев А.В. Об окинавской хартии глобального информационного общества и задачах развития российских систем коммуникации // Правовая информатика. 2018. № 1. С. 4-14. DOI: 10.21681/1994-1404-2018-1-04-14 24. Ромашкина Н.П. Глобальные военно-политические проблемы международной информационной безопасности: тенденции, угро зы, перспективы // Вопросы кибербезопасности. 2019. № 1(29). С. 2-8. DOI: 10.21681/2311-3456-2019-1-2-9.
Keywords: information security, information system, information protection, information security threat, information protection object, assessment object, cyberspace.
5 Sergey N. Kasanin, Ph.D. (in Tech.), Associate Professor, Deputy General Director for Research of the State Scientific Institution «United Institute of Informatics Problems of the National Academy of Sciences of Belarus», Minsk, Belarus. E-mail: kas.sv40@rambltr.ru
References 1. Koloskov, S. Strategija dejstvij ministerstva oborony SShA v kiberprostranstve / S. Koloskov // Zarubezhnoe voennoe obozrenie.2016. - № 10. - S. 3-7.
2. Batashov, V. Dejatel’nost’ ministerstva oborony SShA po razvitiju novyh tehnologij v sfere kiberbezopasnosti / V.Batashov // Zarubezhnoe voennoe obozrenie. - 2018. - № 10. - S. 10-13.
3. Harris Sh. Kiber vojn@. Pjatyj teatr voennyh dejstvij – M.: Al’pina non-fikshn, 2016. - 390 s.
Result: proposed a comprehensive approach to assessing threats to the security of information. The assessment of the state of the protection object in case of violation of security is carried out with the help of particular integral index of security, which characterizes the possibility of inflicting damage in its implementation, according to which the ranking is made. On the basis of this methodical approach to complex description of the object of information protection with an assessment of its risks, using analysis of architecture of the object in application to possible violations of information security, and also making an assessment of risk using the apparatus of the theory of fuzzy sets is substantiated. This methodical approach is a formal tool for building private models and information security management system as a whole. On the basis of these models, it is possible to develop: methods of quantitative estimation of security; methods and approaches to the description of the factors influencing security; methods of security estimation of operating systems with use of the methodological approach to information systems security.
4 Sergey V. Kruglikov, Dr.Sc. (in Military), Director General of the State Scientific Institution “United Institute of Informatics Problems of the National Academy of Sciences of Belarus”, Minsk, Belarus. E-mail: secretary_od@newman.bas-net.by
Purpose:Abstract on the basis of analysis of a comprehensive approach to the assessment of threats to information security to substantiate a methodological approach to a comprehensive description of the object of information protection with an assessment of its risks. Offer a tool for building private models and information security management system.
6 Yuri V. Kuleshov, Ph.D. (in Military), Associate Professor, Head of the Military Faculty at the Educational Institution “Belarusian State University of Informatics and Radioelectronics”, Minsk, Belarus. E mail: prcom@bsuir.by
50 Методический подход к комплексному описанию объекта информационной... Вопросы кибербезопасности. 2022. № 4(50) 25. Карцхия А.А., Макаренко Г.И., Сергин М.Ю. Современные тренды киберугроз и трансформация понятия кибербезопасности в условиях цифровизации системы права // Вопросы кибербезопасности. 2019. № 3 (31). С. 18-23. DOI: 10.21681/2311-34562019-3-18-23. 26. Ромашкина Н.П., Марков А.С., Стефанович Д.В. Международная безопасность, стратегическая стабильность и информационные технологии: Монография / Н.П. Ромашкина, А.С. Марков, Д.В. Стефанович. – Москва, 2020. Сер. Библиотека Национального ис следовательского института мировой экономики и международных отношений имени Е.М. Примакова. – 98 с. ил. 27. Кулешов, Ю.Е., Паскробка, С.И., Сергиенко, В.А., Касанин, С.Н. Методический подход к оценке вероятностей реализации угроз безопасности информации/ Ю.Е. Кулешов, С.И. Паскробка, В.А. Сергиенко, С.Н. Касанин // Научно-производственный журнал «Веснiк сувязi». - 2017. - №5. - С. 56-59. methodical approach to the complex deScription of information protection obJect Kruglikov S.V.4, Kasanin S.N.5, Kuleshov Y.E.6
Research method: use of partial integral index of security, which reflects the average risk of damage during the implementation of a threat of a certain type and characterizes the degree of danger. Analysis of the architecture of the object of assessment in relation to possible violations of information security, information security risk assessment using the apparatus of the theory of fuzzy sets when considering the methodological approach to a comprehensive description of the object of information security with an assessment of its risks.
7. Tumar V.A., Levchuk N.N. Kiberprostranstvo kak sreda protivoborstva: voennyj aspekt i Belorusskij opyt normotvorchestva // Vestnik Akademii voennyh nauk. 2020. № 3 (72). S.43-49.
20. Dergunov I.Ju., Zima V.M., Glybovskij P.A., Mazhnikov P.V. Model’ processa intellektual’nogo testirovanija AS na proniknovenie s uchetom vremennyh parametrov.Zashhita informacii. Insajd. 2020. N 5 (95). S. 64-67.
10. Zarudnickij V.B. Harakter i soderzhanie voennyh konfliktov v sovremennyh uslovijah i obozrimoj perspektive // Voennaja mysl’. 2021. № 1. S.34-44. 11. Birjukov D.N., Lomako A.G., Petrenko S.A. Porozhdenie scenariev preduprezhdenija komp’juternyh atak.Zashhita informacii. Insajd. 2017. N 4 (76). S. 70-79. Drobotun E.B. Teoreticheskie osnovy postroenija sistem zashhity ot komp’juternyh atak dlja avtomatizirovannyh sistem upravlenija. Monografija. – SPb.: Naukoemkie tehnologii, 2017. – 120 s., il. ISBN 978-5-9909412-2-9. Markov A.S. Tehnicheskie reshenija po realizacii podsistem GosSOPKA. V knige: Upravlenie informacionnoj bezopasnost’ju v sovremennom obshhestve. Sbornik nauchnyh trudov V Mezhdunarodnoj nauchno-prakticheskoj konferencii. 2017. S. 85-96. Lauta O.S., Kocynjak M.A., Ivanov D.A., Gudkov M.A. Modelirovanie komp’juternyh atak na osnove metoda preobrazovanija setej. Radiolokacija, Sbornik Mezhdunarodnoj 5-i tomah. S. 137-146. Jazov Organizacija zashhity informacii v sistemah ot nesankcionirovannogo dostupa: monografija / Ju.K. Jazov, S.V. Solov’ev. Voronezh: Kvarta, 2018. – 588 s. 16. Begaev A.N., Begaev S.N., Fedotov V.A. Testirovanie na proniknovenie. SPb.: Universitet ITMO, 2018. – 45 s. Dorofeev A.V., Lemberskaja E.H., Rautkin Ju.V. Analiz zashhishhennosti: normativnaja baza, metodologii i instrumenty.Zashhita informacii. Insajd. 2018. N 4 (82). S. 63-69. 18. Makarenko S.I. Audit bezopasnosti kriticheskoj infrastruktury special’nymi informacionnymi vozdejstvijami. Monografija. – SPb.: Naukoemkie tehnologii, 2018. – 122 s. 19. Kocynjak M.A., Lauta O.S., Ivanov D.A. Matematicheskaja model’ targetirovannoj komp’juternoj ataki.Naukoemkie tehnologii v kosmicheskih issledovanijah Zemli. 2019. T. 11. N 2. S. 73–81. DOI: 24411/2409-5419-2018-10261.
14.
26. Romashkina N.P., Markov A.S., Stefanovich D.V. Mezhdunarodnaja bezopasnost’, strategicheskaja stabil’nost’ i informacionnye tehnologii: Monografija / N.P. Romashkina, A.S. Markov, D.V. Stefanovich. – Moskva, 2020. Ser. Biblioteka Nacional’nogo issledovatel’skogo instituta mirovoj jekonomiki i mezhdunarodnyh otnoshenij imeni E.M. Primakova. – 98 s. il. 27. Kuleshov, Ju.E., Paskrobka, S.I., Sergienko, V.A., Kasanin, S.N. Metodicheskij podhod k ocenke verojatnostej realizacii ugroz bezopasnosti informacii/ Ju.E. Kuleshov, S.I. Paskrobka, V.A. Sergienko, S.N. Kasanin // Nauchno-proizvodstvennyj zhurnal «Vesnik suvjazi». - 2017. - №5. - S. 56-59.
12.
22. Kotenko I.V., Kribel’ A.M., Lauta O.S., Saenko I.B. Analiz processa samopodobija setevogo trafika kak podhod k obnaruzheniju kiberatak na komp’juternye seti // Jelektrosvjaz’. 2020. № 12. S.54-59. DOI:10.34832/ELSV.2020.13.12.008.
13.
trudov XXIV
informacionnyh
stohasticheskih
8. Volodenkov S.V. Internet-kommunikacii v global’nom prostranstve sovremennogo politicheskogo upravlenija. – M.: Izdatel’stvo Moskovskogo universiteta; Prospekt, 2018. 272 s., il.
17.
23. Bochkov S.I., Makarenko G.I., Fedichev A.V. Ob okinavskoj hartii global’nogo informacionnogo obshhestva i zadachah razvitija rossijskih sistem kommunikacii // Pravovaja informatika. 2018. № 1. S. 4-14. DOI: 10.21681/1994-1404-2018-1-04-14 24. Romashkina N.P. Global’nye voenno-politicheskie problemy mezhdunarodnoj informacionnoj bezopasnosti: tendencii, ugrozy, perspektivy // Voprosy kiberbezopasnosti. 2019. № 1(29). S. 2-8. DOI: 10.21681/2311-3456-2019-1-2-9.
navigacija, svjaz’.
51 УДК 004.94УДК 004.056 Методы и средства анализа защищенности DOI:10.21681/2311-3456-2022-4-39-51 4. Starodubcev Ju.I., Zakalkin P.V., Ivanov S.A. Mnogovektornyj konflikt v kiberprostranstve kak predposylka formirovanija novogo vida Vooruzhennyh Sil // Voennaja mysl’. 2021. № 12. S.126-135. 5. Bojko A.A. Boevaja jeffektivnost’ kiberatak: analiticheskoe modelirovanie sovremennogo boja. Sistemy upravlenija, svjazi i bezopasnosti. 2020. N 4. S. 101-133. 6. Starodubcev Ju.I., Zakalkin P.V., Ivanov S.A. Tehnosfernaja vojna kak osnovnoj sposob razreshenija konfliktov v uslovijah globalizacii // Voennaja mysl’. 2020. № 10. S.16-21.
9. Durnev R.A., Krjukov K.Ju., Deduchenko F.M. Preduprezhdenie tehnogennyh katastrof, provociruemyh v hode voennyh dejstvij // Voennaja mysl’. 2019. № 10. S. 41-48.
15.
21. Zhilenkov A.A., Chernyj S.G. Sistema bezavarijnogo upravlenija kriticheski vazhnymi ob#ektami v uslovijah kiberneticheskih atak // Voprosy kiberbezopasnosti. 2020. № 2 (36). S. 58-66. DOI:10.21681/2311-3456-2020-2-58-66.
nauchno-tehnicheskoj konferencii. V
V sbornike:
2018.
Ju.K.
25. Karchija A.A., Makarenko G.I., Sergin M.Ju. Sovremennye trendy kiberugroz i transformacija ponjatija kiberbezopasnosti v uslovijah cifrovizacii sistemy prava // Voprosy kiberbezopasnosti. 2019. № 3 (31). S. 18-23. DOI: 10.21681/2311-3456- 2019-3-18-23.
52 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) анализ моделей и методик, используемых для атриБуции наруШителей киБерБезопасности при реализации целевых атак Котенко И.В.1, Хмыров С.С.2 Цель работы: анализ моделей и методик, используемых для атрибуции нарушителей кибербезопасности в интересах построения перспективной системы атрибуции при реализации целевых атак на объекты критиче ской информационной инфраструктуры. Метод исследования: системный анализ открытых источников данных по атрибуции кибернарушителей при реализации целевых атак на объекты критической информационной инфраструктуры за период в основ ном за последние пять лет. Полученный результат: на базе рассмотрения открытых источников в работе представлен анализ моделей и методик, используемых для атрибуции кибернарушителей при реализации целевых атак, и применяемых как в научных, так и практических проектах. В работе проведен анализ новых моделей, используемых для атрибуции, позволяющих осуществлять сбор данных на тактико-техническом и социо-политическом уровнях. Выделены основные показатели проводимых кибератак и нарушителей, существенные для реализации про цессов атрибуции. Рассмотрен порядок формирования данных для профилирования кибергруппировок, а так же возможности применения рассмотренных моделей и методик в интересах построения перспективной си стемы атрибуции кибернарушителя при реализации целевых атак на объекты критической информационной инфраструктуры. Анализ выполнен по источникам за двадцатилетний период, между тем основные рассма триваемые работы были опубликованы за последние пять лет. Анализ не претендует на полноту, но делается попытка охватить наиболее значимые исследования. Научная новизна состоит в том, что представленная статья является одной из первых отечественных работ, предоставляющих развернутый анализ исследований, опубликованных за последние годы в области атрибу ции нарушителей кибербезопасности. Рассмотрены такие модели как «цепочка кибервторжений», «унифици рованная цепочка кибервторжений», базовая и расширенная модели анализа вторжений Diamond, модель ATT&CK. Приведены примеры методик атрибуции аргументированного рассуждения с доказательствами на техническом и социальных уровнях и использования технических артефактов для выявления ложных флагов при атрибуции. Кроме того, перечислены тенденции в области использования современных решений по об наружению и атрибуции атак на основе искусственного интеллекта и машинного обучения. Ключевые слова: кибератака, кибероперация, критическая инфраструктура, искусственный интеллект, ма шинное обучение, продвинутая постоянная угроза, обнаружение вторжений, профилирование нарушителей, цепочка кибервторжений. DOI:10.21681/2311-3456-2022-4-52-79 1 Котенко Игорь Витальевич, доктор технических наук, профессор, главный научный сотрудник и руководитель лаборатории проблем компьютерной безопасности, ФГБУН «Санкт-Петербургский Федеральный исследовательский центр Российской академии наук» (СПб ФИЦ РАН), г. Санкт-Петербург, Россия. E mail: ivkote@comsec.spb.ru 2 Хмыров Семен Сергеевич, аспирант, ФГБУН «Санкт-Петербургский Федеральный исследовательский центр Российской академии наук» (СПб ФИЦ РАН), г. Санкт-Петербург, Россия. E-mail: khmyrov.s.s@gmail.com 1. Введение Странами НАТО на саммите 2016 года в Варша ве было признано, что кибератака может причинить ущерб, сопоставимый с ущербом от вооруженного на падения, а киберпространство объявили областью рав ной другим обычным военным областям — суше, морю и воздуху [1]. Поводом послужили кибератаки, повлияв шие на целостность суверенитета ряда государств [26]. По мере того, как технологии становятся все более продвинутыми и сложными, меняются и методики, ко торые используются в современных кибератаках.
53 УДК 004.94УДК 004.056 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-52-79 Средства защиты информации, применяемые про тив традиционных угроз безопасности, часто являют ся неэффективными против современных целевых кибератак. Это связано с тем, что кибернарушители (кибергруппировки), стоящие за вторжением, сосре доточены на конкретной цели и имеют возможность адаптироваться к принятым защитным методам и средствам реагирования на инциденты. Целью на рушителей чаще всего становятся критическая ин формационная инфраструктура (КИИ) или объекты КИИ. Одним из важнейших инструментов сдержива ния государственных агрессий и проведения целе направленных киберопераций является способность осуществлять эффективную атрибуцию нарушителя [7, 8], под которой понимается процесс идентификации нарушителя, инициировавшего (реализующего) кибе ратаку, его целей, мотивов, выполняемых действий и используемых средств реализации атаки. В большинстве случаев атрибуция нарушителей осуществляется после совершения кибератаки и пре имущественно ручным методом. Основу традицион ной атрибуции составляет анализ методов и средств, применяемых нарушителями. Возможность эффек тивной автоматизированной и интеллектуальной атри буции в реальном времени делает научную задачу ис следования и построения эффективных систем атри буции нарушителей перспективной для исследований. Для этого необходим развернутый анализ совре менных моделей, используемых для атрибуции, в ин тересах построения перспективной системы атрибу ции нарушителя при целевых атаках на КИИ. Работа структурирована следующим образом. Во втором разделе рассматриваются понятия целевых атак и продвинутых постоянных угроз (APT, Advanced Persistent Threats), дается определение понятия атри буции кибернарушителей, и перечисляются основные проблемы, связанные с созданием систем атрибуции. В третьем разделе проводится анализ моделей, ис пользуемых для атрибуции. Во четвертом разделе вы полняется предварительный обобщенный анализ под ходов к реализации методик и созданию автоматизи рованных систем атрибуции, а также более детально анализируются две значимых методики, предложен ных для атрибуции нарушителей кибербезопасности. 2. Понятия целевых атак, APT и атрибуции В настоящее время увеличивается количество це левых кибератак на КИИ [9-11]. Однако четкого опре деления и единых критериев, позволяющих относить разные типы кибератак к целевым, среди экспертов до сих пор не определено [12]. Целевые (таргетиро ванные) кибератаки необходимо отличать от других традиционных кибератак, к которым относятся атаки случайного характера и широкого фокуса, направ ленные на компрометацию большого количества пользователей и систем. Кибернарушители, осущест вляющие целевые кибератаки, четко разделяют цели в ожидании необходимого момента для организации запланированного сценария атаки. У них есть опреде ленные намерения (мотив). В большинстве случаев –это финансовая выгода, нарушение технологических (бизнес) процессов, промышленный шпионаж, кража интеллектуальной собственности, саботаж КИИ. Целе вые кибератаки структурированы и технологически продвинуты. Атакующая сторона высоко мотивиро ванна и обладает необходимыми профессиональны ми навыками. В совокупности данные факторы обра зуют необходимый базис для целевых кибератак. Часто целевые кибератаки обозначают как APT (Advanced Persistent Threats) – продвинутые постоян ные угрозы [13]. Эксперты утверждают, что целевые кибератаки не всегда носят характер продвинутых постоянных угроз [14]. Отличительная характеристика APT адаптация к защитным мерам и поиск новых сла бых мест в системе безопасности объекта атаки. Как правило, нарушитель обладает значительными ресур сами, которые позволяют ему создавать возможности для достижения целей посредством различных векто ров вторжения и оставаться незамеченным в ском прометированной системе длительное время. Такие кибератаки, по большей части, представляют собой санкционированные правительством специализиро ванные компании, выполняемые преимущественно на информационно-телекоммуникационную инфра структуру военных и государственных объектов. Чаще всего в проведении целевых вредоносных компаний подозревают спецслужбы других стран и отряды «пра вительственных хакеров» [15]. Именно такие атаки, которые реализует противник с высоким уровнем зна ний и умений, обладающий значительными ресурса ми для использования множества различных векторов атак, действующий для достижения некоторой конеч ной цели, необходимо классифицировать как APT. Обобщая все сказанное выше, целевые кибера таки – это класс специализированных, многоуровне вых атак, направленных на ограниченный и заранее выбранный набор ценных активов или физических систем с явной целью кражи, компрометации конфи денциальных данных или саботажа систем. Данный тип кибератак включает в себя структурированный
54 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) комплекс мероприятий, формируя жизненный цикл целевой атаки [16 – 18]. Атрибуция кибератаки – это процесс идентифика ции происхождения и источника кибератаки с целью установления злоумышленника или группы злоумыш ленников, инициировавших атаку [19, 20]. Другими словами, под атрибуцией кибератаки понимается процесс установления (определения) субъекта (акто ра) кибератаки относительно объекта деструктивного воздействия.Постоянно меняющейся ландшафт киберугроз и стремительный рост экосистемы рынков даркнета [21, 22] позволил применять на практике схожий ин струментарий, усложняя идентификацию конкретной кибергруппировки. Методы запутывания аналитиков и аналитических систем во время расследования ин цидента также затрудняют атрибуцию. APT стараются подделывать время компиляции, работают в нерабо чее время, внедряют различные языки или уникаль ные культурные свидетельства в строки кода, повтор но регистрируют раннее используемые командноуправляющие домены других злоумышленников и т.п. Применяется универсальное программное обе спечение (ПО), которое эффективно при достижении краткосрочной цели или выполнении узконаправлен ной задачи. Такое же ПО используют как кибергруп пировки, так и отдельные нарушители. Поскольку в большинстве случаев применяется одно и то же ПО, выяснить, стоит ли за целевой кибератакой APT или обычный злоумышленник очень проблематично. Со ответственно, свидетельства и доказательства, приме няемые для атрибуции атак, можно подделать и зама скировать, тем самым усложнив атрибуцию. Выделим основные проблемы атрибуции: постоянное прогрессирование APT; определение источников (мест запуска и ини циализации) определениекибератаки;ответственного за кибератаку (ос новного обработкаактора);большого количества несортирован ных (сырых) децентрализацияданных;и запутанность существую щих систем публично-частной атрибуции; использование методов имитации кибератак с целью формирования ложных обвинений конкретного нарушителя, кибергруппировки и (или) государства; APT часто применяют определенные методы и сценарии реализации атаки, выстраивая не обходимую среду (экосистему) для достижения поставленных целей, выполняется распреде ленная согласованная последовательность сложно отслеживаемых этапов (возможно не сколько зависимых или независимых цепочек действий). 3. Модели, используемые для атрибуции 3.1. Модель Cyber Kill Chain Чтобы лучше понимать и анализировать APT была разработана описательная модель Cyber Kill Chain (CKC, «цепочка кибервторжений») и ее расширенная версия. Основой для модели послужила концепция Kill Chain (Цепочки убийств), которая была впервые при нята военными для описания действий, используемых противником для атаки и уничтожения цели. Распознавание этапов CKC дает возможность идентифицировать злоумышленников и принять ответ ные меры. Используя эту модель, компания Lockheed Martin разработала собственную модель CKC [23]. CKC это схематическое описание последователь ных действий (этапов) нарушителя в виде взаимосвя занных звеньев цепи. Модель направлена на изуче ние поведения нарушителя. Базовая версия модели CKC включает в себя (предполагает) семь этапов, необходимых для реали зации успешной кибератаки (рис. 1) [24]: 1) разведка; 2) вооружение; 3) доставка; 4) эксплуатация; 5) установка; 6) командование и контроль; 7) выполнение действий. Модель CKC описывает атаку внешнего злоумыш ленника, пытающегося получить доступ к данным или активам внутри периметра целевого объекта. Злоумышленник выполняет разведку, вторжение, ис пользование уязвимостей. Далее следует получение и повышение привилегий, перемещение для доступа к более ценным активам. На финальной стадии пред принимается попытка сокрытия своей активности, и производится эксфильтрация (скрытная выгрузка) не обходимых данных за пределы целевой среды. Предлагаемый подход позволяет экспертам иден тифицировать методы и средства, применяемые злоу мышленниками на каждом этапе кибератаки [25]. Базовая модель неоднократно подвергалась ис следователями модернизации для применения в разных областях [26-29], в том числе и для киберфи
55 УДК 004.94УДК 004.056 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-52-79 зических систем [30]. Традиционная модель CKC ори ентирована на учет периметра целевого объекта и использование вредоносного программного обеспе чения (ПО). Таким образом, эта модель не охватывает другие векторы атак, происходящие за периметром целевого объекта. 3.2. Модель Unified Kill Chain С учетом постоянно наращиваемых векторов атак и инструментария нарушителя число этапов было увели чено до 18-ти, и такая модель получила название Unified Kill Chain (UCK, «унифицированная цепочка кибервтор жений»). В расширенной версии модели цепочка этапов представлена следующим образом (рис. 2) [31, 32]. Рассмотрим данные этапы. Этап 1. Разведка (Reconnaissance). На данном этапе, осуществляется сбор информации об атакуе мой цели. Устанавливается организационная струк тура, применяемые информационные технологии, средства защиты (злоумышленники будут пытаться идентифицировать и исследовать существующие меж сетевые экраны, системы предотвращения вторже ний, механизмы аутентификации и др.). Для выявле ния «узких» мест и определения наименее защищен ных элементов (служб, сервисов) в информационно–коммуникационной инфраструктуре потенциальной жертвы анализируются технологические процессы. В случае с объектами КИИ, проводится возможная Рис. 1. Этапы базовой модели CKC
56 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) оценка ущерба национальным и стратегическим ин тересам государства. Полученная информация высту пает в роли базы данных и знаний при выполнении следующего этапа. Этап 2. Вооружение (Weaponization). Выполняют ся подготовительные мероприятия, направленные на создание инфраструктуры, необходимой для атаки. Используется существующее или разрабатывается собственное уникальное вредоносное ПО, в том чис ле эксплойты, шифровальщики (ransomware) и т.п. Этап 3. Доставка (Delivery). Активная фаза атаки, главная задача которой внедрение и распростране ние применяемого вредоносного решения в целевой среде.Этап 4. Социальная инженерия (Social Engineering). Применяются методы, направленные на манипулиро вание персоналом (пользователями) с целью совер шения необходимых злоумышленнику (небезопас ных)Этапдействий.5.Эксплуатация (Exploitation). Активация вре доносного решения на скомпрометированном целе вом объекте. На этапе эксплуатации злоумышленники ищут дополнительные уязвимости или слабые места, которые они могут использовать в системах организа ции. Например, извне злоумышленник может не иметь доступа к базам данных, но после вторжения он может увидеть, что база данных использует старую версию ПО и подвержена хорошо известной уязвимости. Этап 6. Обеспечение постоянного присутствия (Persistence). Осуществляется любой доступ, действие или изменение в доверенной среде с целью обеспе чения длительного (постоянного) присутствия злоу мышленника в целевой системе. Этап 7. Уклонение от защиты (Defense Evasion). Применяются методы и средства для обхода средств защиты и сокрытия присутствия в целевой системе. Этап 8. Командование и контроль (Command & Control). Осуществляется администрирование вредо носного решения, его обновление, получение ново го функционала, реализация полного спектра команд для достижения поставленных целей. Этап 9. Продвижение внутрь (Pivoting). Злоумыш ленники устанавливают доступ через контролируемую систему в другие системы, к которым нет прямого до ступа.Этап 10. Обнаружение (Discovery). Применяются методы и средства, позволяющие злоумышленнику ориентироваться в системе-жертве для дальнейших действий, получать информацию о целевой системе, сетевом окружении и новых возможностях. Этап 11. Повышение привилегий (Privilege Escalation). Реализуются методы и средства, которые дают возможность злоумышленнику получить более широкие права в целевой системе. Цель нарушителя получить привилегии для дополнительных систем или учетных записей. Предпринимаются атаки методом 1 Разведка 2 Вооружение 4 Социальнаяинженерия 5 Эксплуатация 18 Достижение цели атаки 17 Манипуляции с целью 16 Эксфильтрация 9 Продвижение внутрь 8 Командование и контроль 7 Уклонение от защиты 6 Обеспечениепостоянногоприсутствия 11 Повышениепривилегий 12 Исполнение 13 Доступ к даннымучетным 14 Боковое смещение 15 Сбор данных 3 Доставка 10 Обнаружение Рис. 2. Этапы расширенной модели UKC
57 УДК 004.94УДК 004.056 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-52-79 грубой силы, поиск незащищенных хранилищ учетных данных, осуществляется слежка за незашифрован ным сетевым трафиком и т.д. Этап 12. Исполнение (Execution). Применяются методы и средства, позволяющие выполнять вредо носный код в локальной или удаленной системе. Этап 13. Доступ к учетным данным (Credential Access). Используются методы и средства, обеспечи вающие доступ или контроль над учетными данными системы, службы или домена. Этап 14. Боковое смещение (Lateral Movement). Используется методика получения нарушителями до ступа к другим удаленным системам, подключенным к скомпрометированной целевой среде для управле ния или деструктивного воздействия, поиска конфи денциальной информации или доступа к критически важным активам. При боковом смещении злоумыш ленник часто использует уязвимости нулевого дня или конфиденциальные данные из удаленных систем без применения специализированного инструментария. Этап 15. Сбор данных (Collection). Осуществляют ся идентификация и сбор необходимых конфиденци альных данных из целевой сети. Этап 16. Эксфильтрация (Exfiltration). Используются методы и средства скрытной выгрузки данных за пре делы целевой среды. Они способствуют краже конфи денциальных данных или удалению данных из целевой сети (попытки замести следы). Эксфильтрация может включать в себя такие методы, как обфускация (напри мер, посредством фальсификации временных меток, удаления или изменения журналов, манипуляции в си стеме безопасности, чтобы скрыть предыдущие этапы в цепочке уничтожения и создать впечатление, что кон фиденциальные данные или системы не были затрону ты и т.д.), отказ в обслуживании или шифрование. Этап 17. Манипуляции с целью атаки (Impact). Ре ализуются методы и средства манипулирования, пре рывания или уничтожения целевой системы и (или) данных (атаки на доступность и целостность) для до стижения конечной цели и (или) сокрытия следов. Этап 18. Достижение цели (Objectives). Выполне ние действий по реализации кибератаки, направлен ных на достижение цели реализации кибератаки. Модель UKC предполагает, что APT может не прой ти все возможные этапы, и некоторые этапы могут повторяться. Например, если на этапе уклонения от защиты нарушитель был обнаружен, последует кор ректировка применяемых методов с целью прохожде ния данного этапа до тех пор, пока не будет достигнута цель реализации кибератаки. Повторяющийся набор действий по достижению цели может быть представ лен в виде «петли» (рис. 3). Модель UKC дает понимание сложных кибератак, представляющих собой APT [33-36]. В ходе их рекон струкции каждый этап можно разбить на отдельные блоки, характерные для конкретной APT. Блоки мо гут характеризоваться индивидуальными атрибутами (включая спецификацию поведения, используемых методов и средств). ВооружениеДоставкаСоциальнаяинженерия Эксплуатация Обеспечение постоянного присутствия Разведка УклонениеКомандованиеиконтрольотзащиты ПервоначальныйПлацдарм (точка опоры) Продвижениевнутрь Рис. 3. Представление действий по реализации кибератаки в виде «петли» С помощью анализа «петли» на отдельных фазах ата ки по мере ее реализации можно определить общее количество попыток достижения цели реализации кибе ратаки. Данная информация позволит сформировать значение атрибутов «Настойчивость» или «Интенсив ность», характеризующих нарушителя (или APT). Также в сочетании с применяемыми методами и средствами можно означить атрибуты «Мастерство» или «Техниче ский уровень». Общее количество итогового времени, необходимого на подготовку, можно учитывать для определения значения атрибута «Время». Соответственно, учитывая затраченное время, можно постараться спрогнозировать деструктивное воздействие и итоговые последствия. На основе дан ных, полученных в ходе анализа оставленных следов, артефактов, а также периода до обнаружения APT, так же можно определить атрибут «Незаметность». Инфор
58 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) мация об атакованном целевом объекте КИИ исполь зуется для определения атрибута «Специализация». В зависимости от принадлежности к той или иной кате гории КИИ, можно определить атрибут, характеризую щий умение преодолевать защитные меры и прони кать в целевую систему, например «Неудержимость». Итоговые последствия могут отражать уровень агрес сии и другие атрибуты результатов выполнения APT. Сравнение различных цепочек реализации кибера таки дает возможность выявить сходство или отличие отдельных цепочек. По итогам анализа формируется профильСледуетAPT.отметить, что проанализированные моде ли обладают достаточным набором характеристик, не обходимых для исследований целевых атак (APT). Они позволяют cформировать профиль нарушителя на аб страктном уровне. Исследуя цепочку этапов, эксперты и аналитики могут понять фазы APT, источники сбора данных, векторы атаки, определить применяемые ме тодики реализации атаки и используемый инструмен тарий. Полученные сведения помогут сформировать профиль нарушителя, идентифицировать метрики для своевременного определения этапов цепочки кибе ратак и выявить возможность реализации атрибуции. Полученные в ходе анализа каждого жизненного цик ла кибератаки данные в дальнейшем могут приме няться для формирования набора профилей APT [37]. Рассмотренная модель активно применяется экс пертами и исследователями [38]. Перспективным направлением является использование методов ма шинного обучения, в том числе глубокого обучения, для автоматизации процессов извлечения и иден тификации соответствующих методов и средств, от дельных этапов цепочек, уникальных признаков APT и других функций, которые будут включены в процесс атрибуции [39-44]. В [45-49] предлагается решение задач обработки большого потока несортированных данных (сырых) и снижения количества ложных сра батываний (информационного шума). 3.3. Модель Diamond Модель анализа вторжений Diamond Model (DM) описывает основные действия нарушителя в ходе кибератаки на основе определения возможных опе раций, выполняемых над инфраструктурой целевого объекта атаки. Данные действия называются в моде ли событиями.Вбазовойверсии [50] события включают четыре основных компонента: злоумышленник; возможности (злоумышленника); жертва (целевой объект, цель ата ки); инфраструктура (целевого объекта). Компоненты соединены ребрами, которые подчеркивают взаи мосвязь между ними (рис. 4). Злоумышленник — актор (нарушитель), атакую щий жертву после анализа своих возможностей по реализуемым операциям над её инфра структурой.Возможности характеристики, описывающие инструменты и методы злоумышленника, при меняемые в ходе кибератаки. Злоумышленник Инфраструктура Возможности Жертва Мета характеристики Временная метка РесурсыМетодологияНаправлениеРезультатФаза Рис. 4. Модель анализа вторжений Diamond [50]
59 УДК 004.94УДК 004.056 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-52-79 Инфраструктура описывает связи (физические и логические), которые злоумышленник исполь зует для реализации возможностей по достиже нию Жертварезультата.цель,на которую осуществляется кибе ратака злоумышленника. Для расширения свойств основных компонентов до полнительно присутствуют мета-характеристики (функ ции): временная метка (начало события, конец собы тия), фаза, результат, направление, методология и ресур сы. Модель DM расширяется с помощью мета-характе ристик. Описанные по умолчанию мета-характеристики не являются окончательными. Модель DM не ограничи вается перечисленными выше компонентами. 3.4. Расширенная модель Diamond (Extended Diamond Model) Расширенная модель Diamond (Extended Diamond Model, EDM) [51] дополнена двумя мета-характеристи ками (признаками), отражающими (1) применяемые нарушителем технологии и (2) социально-политические мотивы. Технологии устанавливают взаимосвязь между инфраструктурой и возможностями, описывая методы и средства, позволяющие инфраструктуре и возмож ностям эффективно взаимодействовать. Например, если нарушитель применяет систему доменных имен (Domain Name System, DNS) для администрирования вредоносного решения в целях осуществления коман дования и контроля (C&C) над инфраструктурой жерт вы, тогда DNS является частью технологий. Взаимосвязь между злоумышленником и жертвой описывает социально – политическая (social-political) мета-характеристика. Она характеризует основные потребности, стремления и намерения нарушителя. Анализ таких данных позволяет выявить причину, по которой была выбрана жертва, её ценность для злоу мышленника и как можно использовать данную взаи мосвязь для противодействия нарушителю (рис. 5) [51]. Перемещаясь от одной вершины к другой, приме няя полученные сведения в ходе анализа кибератаки, исследователи формируют гипотезы. Опровержение, доказательство или изменение данных гипотез в моде ли называется аналитическим вращением (Pivoting). Наличие установленных моделью компонентов позво ляет сосредоточиться на конкретной вершине (функ ции) для целенаправленного («центрированного») ана лизаТакимвторжения.образом, выполняя анализ со стороны жерт вы, аналитики могут понять, как именно произошла кибератака, выявить уязвимые места и скомпроме тированную инфраструктуру, со стороны инфраструк туры – возможности нарушителей, осуществляемые Злоумышленник Инфраструктура Возможности Жертва Социально Политическая Технологии Мета характеристики Временная метка РесурсыМетодологияНаправлениеРезультатФаза Рис. 5. Расширенная модель Diamond Социально-политическая[51]
60 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) действия в инфраструктуре (над инфраструктурой), и ориентируясь на нарушителя – сформировать область атакованных объектов, чтобы определить специализа цию нарушителя. В соответствии с данной моделью нарушитель вы полняет последовательные действия, которые содер жат минимум две результативные фазы для выполне ния поставленной задачи. Такие действия называются потоком активности и имеют причинно-следственную связь. Потоки могут проходить по вертикали и горизон тали. Поток активности представлен в виде структури рованного по фазам графа атак [52]. Вершина явля ется событием, а дуги (ориентированные ребра) отра жают причинно-следственные связи между событиями. На рис. 6 изображен пример потока активности, от ражающего действия нарушителей в отношении жертв. Связи, выделенные пунктиром, обозначают способ ность аналитиков объединять гипотезы. Такой подход позволяет заполнять пробелы в ходе анализа кибера таки. Подграфы этих потоков называются противобор ствующими процессами, которые могут быть полезны позже для группировки и классификации действий на основе процесса, а не отдельных индикаторов. Пример описания значений потока активности жертвы № 3, представлен в табл. 1. Чтобы спрогнозировать потенциальный вектор атаки противника, в модели объединяются поток ак тивности и граф атак в граф активности-атаки (рис. 7). Знания о действительных векторах атак интегрируют ся в множество гипотетических векторов для обозна чения потенциальных или традиционных путей реали зации атаки в будущем. Для решения задач по атрибуции нарушителя, в модели предлагается концепция группы действий. Схожие сведения о кибератаке (инфраструктуре, возможностях, процессах и потоках) объединяются в группы общих (похожих) вредоносных событий. На основании таких данных формируются группы нару шителей. Группы могут включать в себя подгруппы и т.п. Концепция является гибкой и применима для идентификации любой группы нарушителей, в том числеПроцессAPT. формирования группы действий, включа ет шесть этапов: 1. Постановка аналитической задачи. Определя ется аналитическая задача, которую необходимо ре шить с помощью группы действий; 2. Выбор метрик. Определяется набор метрик (по казателей, характеристик), по которым измеряется сходство между кибератаками. Рис. 6. Пример потока активности [52]
61 УДК 004.94УДК 004.056 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-52-79 3. Создание группы. Путем кластеризации похожих сведений по заданным метрикам формируется груп па действий.4.Ростгруппы. Расширение группы действий за счет обогащения дополнительными сведениями. 5. Анализ. Группа действий анализируется на пред мет решения и дополнения аналитической задачи. 6. Переопределение. Для поддержания групп дей ствия в актуальном состоянии, производится их пере смотр на основе обновленных сведений. Одним из преимуществ данной модели является предоставление списка функций, которые должны присутствовать в каждом событии. Данный подход по вышает эффективность модели, так как позволяет вы являть пробелы в знаниях о кибератаке и с помощью множества гипотез устранять недостатки в аналити ческих сведениях [53]. Модель устанавливает основу для онтологий, таксономий, протоколов обмена ин формацией о киберугрозах и управления знаниями. Модель может дополняться на определенных уровнях другими моделями. Например, интеграция с моде лью UKC позволит улучшить результаты при анализе отдельных этапов действий нарушителя [54]. Модель может также использоваться для анализа вторжений и классификации событий в реальном времени на основе применения аналитического подхода и струк турирования данных об уже исследованных наруши телях (кибератаках). Можно отметить, что модель об ладает широким потенциалом для применения для атрибуции нарушителей [55]. 3.5. Модель (матрица) MITRE ATT&CK Модель ATT&CK (Adversarial Tactics, Techniques & Common Knowledge тактики, техники и общие знания о кибератаках), еще называемая матрицей или базой знаний, основана на реальных событиях и содержит информацию о методах, методиках и процедурах, при меняемых нарушителями. Информация в базе знаний MITRE ATT&CK представлена в виде набора матриц. Представим ниже основные компоненты модели MITRE ATT&CK [56]: тактики; техники; подтехники; про цедуры. Тактики обозначают промежуточные или основ ные цели нарушителя во время реализации кибера таки. Каждая тактическая категория включает в себя техники и подтехники (субтехники). Техники составляют приёмы, помогающие нару шителям для достижения основных целей. Таблица 1 Пример описания действий (потока активности) нарушителя (этап)Фаза № события Дуга Действия нарушителя Итог (Reconnaissance)Разведка 11 M Сканирование веб-сервисов на наличие уязвимостей Результат уязвимыхсообщаетсканированияоналичиивеб-сервисовивозможностипримененияэксплойта (Weaponization)Вооружение Подбор эксплойта Эксплойт найден Доставка (Delivery) 12 N Доставка эксплойта жертве по сети Доставкауспешноосуществлена Эксплуатация(Exploitation) Запуск эксплойта Запуск осуществлен успешно (Installation)Установка Установка на уязвимый сервер жертвы средств администрированияудаленного Установкауспешнозавершена ниеКомандоваиконтроль(Command&Control) 13 O Соединение с компроме тированным сервером Получен доступ к средствам администрирования,удалённогосервердоступендлявыполненияудаленныхкоманд Выполнениедействий(ActiononObjectives) 14 Выгрузкациальныхконфиденданных Данные успешно загружены нарушителем
62 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) Подтехники (инструментарий) представляют собой более детальное описание на низком уровне техник, включающее сведения об инструментарии. Процедуры реализуют конкретные случаи приме нения техник и Формальнуюподтехник.взаимосвязь между отдельными ком понентами модели можно отобразить в виде диаграм мы (рис. Модель8).представлена в виде технологических до менов и включает следующие области применения: (1) MITRE ATT&CK Enterprise корпоративный сегмент; (2) MITRE ATT&CK Mobile для мобильных устройств; (3) MITRE ATT&CK Industrial Control Systems (ICS) про мышленные системы управления, такие как автома тизированные системы управления технологическим производством (АСУ ТП) и системы диспетчеризации и сбора данных (SCADA). В корпоративном сегменте на данный момент вы делено четырнадцать тактик [57]: разведка нарушителями ведется сбор полез ной информации для планирования и совер шенствования кибератаки; развитие ресурсов этап предполагает подго товку инфраструктуры, необходимой для втор жения, и расширения возможностей инстру ментария; первоначальный доступ нарушителями осу ществляется попытка осуществления доступа к информационным ресурсам целевого объекта; делается попытка закрепиться в сети жертвы; реализация запуск вредоносного кода (реали зация инструментария) на подконтрольном узле или системе; на данной стадии, атакующие пы таются расширить свои возможности в инфра структуре обеспечениежертвы;постоянного присутствия обеспе чение длительного доступа к скомпрометиро ванной среде на основе применения методов, позволяющих осуществлять устойчивый доступ в условиях изменения скомпрометированной среды;повышение привилегий нарушители осущест вляют попытки расширить свои права, получить более высокие привилегии в целевой системе; уклонение от защиты нарушителями применя ются методы обхода средств защиты и сокры тия своего присутствия в целевой системе; доступ к учетным данным манипуляция учет ными данными пользователей, информацион ных систем, служб с целью получения санкцио нированного доступа к скомпрометированной инфраструктуре жертвы; Рис. 7. Пример графа активности – атаки [52]
63 УДК 004.94УДК 004.056 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-52-79 обнаружение — нарушители производят сбор сведений об инфраструктуре с целью реализа ции боковоекибератаки;смещение — перемещение внутри скомпрометированной инфраструктуры за счет информационных ресурсов жертвы для дости жения основной цели; сбор данных — нарушителями применяются ме тоды идентификации и агрегации конфиденци альных данных в скомпрометированной среде для их кражи, изменения или уничтожения; командование и контроль — нарушителями при меняются методики для обеспечения связи и администрирования управляемой ими инфра структуры;эксфильтрация — выгрузка (хищение) данных из целевой причинениесреды;ущерба — воздействие на инфра структуру жертвы для реализации цели атаки и со крытие следов или затруднение противодействия. Для категоризации и описания действий нарушите лей на ранних стадиях жизненного цикла реализации кибератаки, тактики «Разведка и Развитие ресурсов» классифицированы в качестве подготовительного этапа (PRE Matrix). Выделяется десять базовых техник на этапе разведки и семь техник на этапе подготовки ресурсов. В качестве дополнительной детализации и повышения сравнительных характеристик действий нарушителей на начальном этапе PRE Matrix можно интегрировать в модель CKC. В отличие от модели CKC, в модели ATT&CK тактики не образуют последовательность, а предполага ются выборочные действия нарушителей. Модель ATT&CK включает в себя классификацию известных группировок или отдельных акторов, отсле живаемых государственными и частными организа циями в сфере киберприступлений. Сведения о них сгруппированы в отдельный профиль и включают сле дующие характеристики [58]: название уникальныйгруппировки;идентификатор (id); связанные группировки (кибератаки); описание;применяемые техники и подтехники; Говоряинструментарий.оКИИ,отдельно стоит выделить подмодель MITRE ATT&CK для систем промышленного управле ния (MITRE ATT&CK Industrial Control Systems) [59, 60]. Именно индустриальные системы отвечают за технологические процессы КИИ. Основной фокус сде лан на методах нарушителей, цель которых состоит в причинении ущерба промышленным системам (про цессам). Отличия от модели для корпоративного сег мента являются несущественными. Всего выделено двенадцатьпервоначальныйтактик: доступ; реализация;обеспечение постоянного присутствия; повышение привилегий; уклонение;обнаружение; Рис. 8. Взаимосвязи модели MITRE ATT&CK [56]
64 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) боковое смещение; сбор командованиеданных; и контроль; подавление функции отклика (функция запрета реагирования) действия нарушителей направ лены на блокировку функций оповещения опе ратора системы об инцидентах безопасности, установленных для технологических процессов; происходит маскировка деструктивного воздей ствия на систему путем предотвращения ожи даемых сигналов тревоги на сбои, критические отклонения от заданных сценариев в работе; в отличие от методов применяемых на стадии «уклонение», приемы подавления функции от клика могут быть более интрузивными, напри мер, активная блокировка реакции на базовые события нарушениебезопасности;управления процессами манипу ляция, нарушение или отключение контролиру емых физических процессов в целевой среде; часто применяется с тактикой «Подавления функции Матрицапричинениеотклика»;ущерба.промышленных систем предлагает базо вые определения поведения нарушителей в данной среде. В своей области проект является авторитетным и перспективным для применения в системе атрибу ции нарушителей при целевых атаках на объекты КИИ. В целях детального анализа и повышения качества атрибуции, можно рассмотреть (исследовать) приме нение матрицы в сочетании с выше рассмотренными ее компонентами и моделями анализа вторжений. За исключением традиционного назначения (мо делирование угроз, смягчение последствий, плани рование киберучений) модель MITRE ATT&CK может использоваться в качестве поведенческой модели нарушителей (APT) и описывать действия на протя жении всего жизненного цикла кибератаки [61]. На основе имеющихся профилей кибергруппировок модель MITRE ATT&CK позволяет проводить атрибу цию методом классификации полученных данных по характерным для конкретных APT признакам (сигна турам). Кроме того, эта модель может выступать ис точником обогащения существующей базы профили рования APT [62]. 4. Методики и системы для атрибуции кибернарушителей Проведем обобщенный анализ подходов к реали зации методик и созданию автоматизированных си стем атрибуции и представим несколько примеров разработанных методик и реализованных систем, которые можно использовать для атрибуции киберна рушителей. 4.3. Обобщенный анализ подходов к реализации методик и созданию автоматизированных систем атрибуции КИИ подвергаются многомерным киберугрозам, в которых сложно выделить границы между информаци онными технологиями и промышленными системами перемещаясь по сетям, атакующие используют ин формационные технологии для выбора и реализации вектора атак на АСУ ТП [63]. Следовательно, необхо димо применять комплексный (гибридный) подход для анализа и атрибуции целевых атак на КИИ [64, 65]. Важнейшим элементом при выполнении атрибу ции является сбор необходимых данных. Данные, которые собираются, обрабатываются и анализиру ются для понимания мотивов, целей и поведения на рушителя [66, 67]. Применяемые стандарты, напри мер, XML, JSON, CybOX/STIX, OpenIOC, IODEF, CAPEC и MAEC позволяют детально описывать инциденты кибербезопасности [68]. Общепринятыми протокола ми обмена данных об угрозах являются TAXII и STIX [69]. Их использование делает обмен данными сво евременным и безопасным. Предлагаемый подход CyberSANE [70] направлен на работу с моделями ана лиза вторжений, способными определять скрытые и косвенные векторы кибератак на целевую систему, в том числе атаки, которые используются APT, програм мы-вымогатели и ботнеты. Аналитика угроз основана на сборе данных из открытых источников, социальных сетей, специализированных форумах, даркнете и т.п. Данные о нарушителях разделяются на три типа: тактические – информация технического харак тера, получаемая от различных индикаторов компрометации;операционные– сведения для формирования профиля, например, о тактиках, техниках и про цедурах (ТТП). Специализации, возможностях, географической локации и т.п.; стратегические – данные о возможном ущербе в случае деструктивного воздействия на целе вой объект. Чтобы обеспечить структурированный формат данных, процесс обработки информации проходит не сколько стадий (рис. 12): планирование процедур сбора и обработки не обходимых данных и процедур их анализа для
65 УДК 004.94УДК 004.056 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-52-79 автоматизированного или ручного выполнения сценариев;сбориобработка данных – сбор необходимой информации, организация единого формата, удаление дубликатов данных. Обработка вклю чает оперативный поиск и извлечения конкрет ных сведений, кластеризация данных; подготовка – анализ данных, выявление недо статков в работе алгоритмов, применяемых на ранних этапах. Исследование на предмет подо зрительного или вредоносного содержания; распространение – передача данных о киберу грозах, в том числе компоненту атрибуции, обе спечивая обогащение информацией по анали зу угроз Использование[67]. аналитики угроз входит в состав большинства современных решений по обнаруже нию и атрибуции APT [71, 72]: Kaspersky Threat Intel ligence Portal, IBM X-Force Exchange, Anomali Threat Stream, SolarWinds Security Event Manager, Palo Alto Networks Cortex XSOAR TIM и др. Данный подход поддерживает возможность авто матизации, обновления в режиме реального време ни, интеграции с различными системами, примене ния методов искусственного интеллекта и машинного обучения.Наличие стандартов описания угроз и протоколов обмена данными, позволяют автоматизировать про цесс атрибуции. Ввиду нехватки подготовленных спе циалистов, автоматизация является приоритетным направлением у большинства организаций. Приме нение методов машинного обучения позволяет повы сить эффективность операций атрибуции [73]. Широкое применение обновлений в режиме ре ального времени дает возможность своевременно обогащать структурированными данными базу про филей нарушителей (APT), поддерживая ее в актуаль ном состоянии [72]. Для повышения эффективности процессов анализа целевых кибератак и атрибуции важна интеграция си стем атрибуции с SIEM-системами и другими системами управления безопасностью, позволяя анализировать и коррелировать информацию из других источников. Улучшать атрибуцию можно за счет интеграции перспективных методик. В [74] аналитика киберугроз, основанная на правилах ассоциативного анализа дан ных, позволяет идентифицировать кибератаку, связы вать ее с нарушителем, а также удалять избыточные сведения, не связанные с атрибуцией кибератаки. Возможность применения искусственного интел лекта и машинного обучения, повышает процессы ав томатизации и интеллектуализации, в целом позволяя добиться более качественных результатов при атрибу ции нарушителей, осуществляющих целевые атаки на КИИПерспективные[75]. алгоритмы машинного обучения в сфере кибербезопасности, а также возможные векто ры атак на интеллектуальные системы, применяющие такие алгоритмы рассмотрены в [76]. Таксономия ал горитмов машинного обучения, хорошо зарекомен Рис. 12. Цикл формирования данных о киберугрозах [67]
66 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) довавших себя при решении этих задач, представлена на рис. 9 (необходимые пояснения и соответствия на английском даны на рисунке). В большом количестве работ, например [77-81], выполнен анализ применения методов глубокого обучения для обнаружения кибератак, в том числе на КИИ, и решения задач атрибуции кибернарушителей. Обнаружение APT с использованием методов машинного обучения в некоторых случаях дает высокие результаты. Например, применение вариантов искусственной иммунной системы и рекуррентных нейронных сетей для обнаружения APT, показало, что предложенные алгоритмы обеспечивают не только возможность обнаружения, но и позволяют провести атрибуцию APT с точностью от 62 до 99,20% [82]. В работе [83] удалось с высокой точностью выявить APT в реальном времени и провести классификацию кибератак. В работе [84] автоматизированное профилирование APT с применением машинного обучения на основе шаблонов целевых атак позволило обеспечить значения точности атрибуции от 83 до 94 %. Метод аргументированного рассуждения с доказательствами на техническом и социальных уровнях для атрибуции кибератак представлен в работе [85]. Методика использования технических артефактов для выявления ложных флагов при атрибуции целевых кибератак представлена в [86]. Рассмотрим ниже две последние методики более детально. (argumentation-based reasoner, ABR)на аргументированном рассуждении 4.2. Методика и система атрибуции, основанные В [85] предложены методика и исследовательский прототип системы атрибуции на основе аргументации, которые призваны помочь исследователям и специалистам в процессе атрибуции кибератак. Архитектура ABR состоит из двух основных компонентов: компонента вывода (рассуждений) и базы знаний (рис. 10). 19 Методы обучения рЛинейнаяегрессия Деревья решений Алгоритмы баггинга (Bagging) Случайный лес (Random Forest) AdaBoost Алгоритмы бустинга (Boosting) Градиентныйбустинг XGBoost Рекуррентнаянейроннаясеть (Recurrent Neural Network, RNN) Нейронная сеть на основе долгой краткосрочнойпамяти (Long short term memory LSTM) Модели авторегрессии (ARIMA/ARMA) Метод опорных векторов (Support Vector Machine SVM) Наивный байесовский классификатор Метод K ближайших соседей (K nearest neighbors, KNN) Логистическаярегрессия Сверточнаянейроннаясеть (Convolutional Neural Network, CNN) сОстаточнаяеть(Residual Net, ResNet) Эффективнаясеть (Efficient Net) сМобильнаяеть (Mobile Net) Трансформеры Метод К средних (K means) АИерархическаякластеризациягломеративнаякластеризация (Agglomerative Clustering) DBSCAN MeanShift Факторный анализ соответствий (Factor Analysis of Correspondences) ГМодельауссовойсмеси (Gaussian Mixture Model GMM) Метод главных компонентов (Principa Component Analysis PCA) Анализ независимых компонентов (Independent Component Analysis ICA) Модели Монте Карло Скрытаямарковскаямодель Q обучение Глубокое Q обучение пбМетодлижайшейоптимизацииолитики (Proximal Policy Opt mizati on, PPO) бОсновныепредметныеоласти ббОКомпьютерноезрениераоткатекстовнаестественномязыкеКлассическаянаукаоданных ТбИВидеозораженияекстВременныерядыСтруктурированныеданные ARIMA интегрированная модель авторегрессии скользящего среднего (autoregressive integrated moving average) ARMA модель авторегрессии скользящего среднего (autoregressive moving average model) DBSCAN Плотностной алгоритм пространственной кластеризации с присутствием шума (Density based spatial clustering of applications with noise) MeanShift метод сдвига среднего значения Рис. 9. Таксономия алгоритмов машинного обучения [76] Обнаружение APT с использованием методов машинного обучения в некоторых случаях дают высокие результаты. Например, применение вариантов искусственной иммунной системы и рекуррентных нейронных сетей для обнаружения APT, показало, что предложенные алгоритмы обеспечивают не только возможность обнаружения, но и позволяют провести атрибуцию APT с точностью от 62 до 99,20% [ 82]. В работе [83] удалось с высокой точностью выявить APT в реальном времени и провести классификацию кибератак. В работе [84] автоматизированное профилирование APT с применением машинного обучения на основе шаблонов целевых атак позволило обеспечить значения точности атрибуции от 83 до 94 %. Метод аргументированного рассуждения с доказательствами на техническом и социальных уровнях для атрибуции кибератак представлен в работе [85]. Методика использования технических артефактов для выявления ложных флагов при атрибуции целевых ки бератак представлена в [86]. Рассмотрим ниже две последние методики более детально. 4.2. Методика и система атрибуции, основанные на аргументированном рассуждении (argumentationbasedreasoner,ABR) В [85] предложены методика и исследовательский прототип системы атрибуции на основе аргументации, которые призваны помочь исследователям и специалистам в процессе атрибуцииАрхитектуракибератак.ABR состоит из двух основных компонентов: компонента вывода (рассуждений) и базы знаний (рис. 10). Рис. 9. Таксономия алгоритмов машинного обучения [76]
67 УДК 004.94УДК 004.056 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-52-79ABRиспользуеткактехнические, так и социальные доказательства (свидетельства), полученные в ходе анализа целевой кибератаки. При обработке входных данных нетехнического характера используется со циальная модель атрибуции, называемая Q-моделью [87]. Доказательства и правила аргументированного рассуждения разделяются на три уровня: техниче ский, операционный и стратегический. Комбинация информации на этих уровнях направлена на имита цию процесса расследования киберинцидентов в це лях атрибуции Техническийкибератак.уровень состоит из правил, которые касаются доказательств, полученных в результате про цесса расследования инцидентов, связанных с техни ческими аспектами реализации атаки и тем, как она была осуществлена (трафик, логи и др.). На этом уровне определяются, например, IP-адрес, с которого была со вершена атака, время атаки, данные журналов (систе мы логирования), тип атаки, используемый код. Операционный уровень состоит из правил, каса ющихся нетехнических доказательств, относящихся к социальным аспектам. На этом уровне выявляются, например, сведения о том, где произошла киберата ка, ее возможные мотивы, необходимые возможно сти для ее совершения, политический или экономиче ский контекст данной целевой атаки. Стратегический уровень состоит из правил, отно сящихся к идентификации кибернарушителя. На этом уровне определяются, например, сведения о том, кто совершил атаку, кому она была выгодна. Правила операционного уровня используют ин формацию, полученную от технического уровня, а правила стратегического уровня используют инфор мацию, полученную от технического и операцион ного уровней. Все три уровня используют данные, предоставленные пользователем, а также фоновые знания. Эта категоризация доказательств и правил на трех уровнях направлена на то, чтобы подражать анализу следователя в процессе расследования ки бератаки и атрибуции кибернарушителя, когда сле дователь переходит от технического уровня к опе рационному и от операционного к стратегическому, используя выводы из предыдущих уровней. Кроме того, данная категоризация повышает удобство ис пользования ABR, учитывая знания следователя на всех уровнях. Общие знания Знания конкретной предметной области База знаний Техническийуровень Операционныйуровень Стратегическийуровень Компонент вывода Компоненты вывода на основе аргументации (ABR) Пользователь Рис. 10. Компоненты аргументированного рассуждения [85] ABR использует как технические, так и социальные доказательства (свидетельства), полученные в ходе анализа целевой кибератаки . При обработке входных данных нетехнического характера используется социальная модель атрибуции, называемая Q моделью [87]. Доказательства и правила аргументированного рассуждения разделяются на три уровня: технический, операционный и стратегический. Комбинация информации на этих уровнях направлена на имитацию процесса расследования киберинцидентов в целях атрибуции кибератак. Технический уровень состоит из правил, которые касаются Рис. 10. Компоненты аргументированного рассуждения [85]
68 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) Основываясь на реальных кибератаках из обще доступных источников, ABR включает в себя около двухсот правил рассуждений. Данные правила были преобразованы в общие правила аргументации и являются одним из основных компонентов ABR. Взаи модействуя между собой на разных уровнях, правила позволяют выполнять рассуждения, лежащие в осно ве атрибуции реальных кибератак. Они также подраз деляются на три уровня: технический, операционный и стратегический.Знанияподразделяются на общие знания и зна ния, относящиеся к предметной области. Кроме зна ний и данных о реальных атаках, в своей работе ABR также использует фоновые знания, содержащие ин формацию, не относящуюся к конкретным случаям (целевым кибератакам). Применение фоновых зна ний помогает минимизировать ошибки, связанные с человеческим фактором. Набор данных состоит из фрагментов информации, которые используются пра вилами вывода в качестве предварительных условий для ответа на запросы пользователя (исследователя, аналитика). Фоновые знания ABR могут быть обнов лены и обогащены пользователем. Стоит отметить, что получение осмысленных выводов посредством при менения правил к знаниям зависит от правильности предоставленных знаний. Общие знания состоят из информации о характе ристиках стран, международных отношениях между ними и классификации организаций и промышлен ных предприятий и др. Эта информация используется вместе с предоставленными доказательствами (сви детельствами) для проведения анализа. К данной категории также относятся данные о киберпотенци але и возможностях государств. Оценивая киберпо тенциал государства, можно ограничивать типы атак, которые могут входить в состав реализуемых целе вых атак. В качестве источников этой информации могут служить, например, данные группы глобально го индекса кибербезопасности (Global Сybersecurity Index, GCI) [88] и кибервозможности стран, участву ющих в кибервойне [89]. GCI представляет собой составной индекс, объединяющий 25 показателей в один эталонный показатель для мониторинга и срав нения уровня обязательств государств в отношении кибербезопасности. Выделяется три группы стран: ведущие, развивающиеся и инициирующие. Кроме того, на основе кибервозможностей в кибервойне [89] некоторые страны определяются, как киберсверхдержавы (США, КНР, Российская Федерация, Израиль, Великобритания). Знания предметной области состоят из информа ции об известных APT, отдельных кибергруппировках и осуществленных кибератаках. Данная информация в основном используется на стратегическом и техни ческом уровнях. Известные APT включают следующий набор атрибутов: название или идентификатор; стра на происхождения; страны/организации, на которые кибергруппировка обращала внимание в прошлом; вредоносное ПО или фрагменты вредоносного ПО (подозреваемые или подтвержденные), связанные с кибергруппировкой, а также отношения этой ки бергруппировки с другими субъектами (например, правительствами). Еще одна важная часть предмет но-ориентированных знаний — сходство с прошлыми целевыми атаками. Например, сходство с вредонос ной программой, связанной с конкретной APT, может указывать на то, что за кибератаку может нести ответ ственность одна и та же кибергруппировка. Полученные в ходе работы ABR результаты являют ся аргументами для новых гипотез исследования кибе ратаки. Использование аргументированного подхода, основанного на предпочтениях и абдуктивных рассуж дениях [90], позволяет ABR работать с противоречивы ми доказательствами (гипотезами) и заполнять пробе лы в знаниях, возникающие из-за неполноты данных. Представленная в [83] методика позволяет осу ществлять атрибуцию кибернарушителей итеративно, делая выводы прозрачно для аналитиков. Несмотря на способность осуществлять атрибуцию и выстраи вать гипотезы, ABR сильно зависит от правильности предоставленных данных. Основная цель ABR по мочь аналитику в процессе анализа и предоставить полезную информацию. Говоря о перспективной си стеме атрибуции в целом, применение методики рас суждения на основе аргументации может рассматри ваться как дополнительное средство автоматизации, повышая быстродействие и точность процесса атри буции кибернарушителя. 4.3. Методика использования технических артефактов для выявления ложных флагов при атрибуции целевых кибератак Ложный флаг [91] относится к тактике, применяемой кибернарушителями с целью скрыть деструктивную ак тивность в ходе целевой кибератаки или скрыть свое присутствие, обвинив в реализации кибератаки третью сторону. В [86] предлагается модель атрибуции кибер нарушителя с применением технических артефактов (цифрового следа). Каждое деструктивное воздействие способно оставлять после себя артефакты [86].
69 УДК 004.94УДК 004.056 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-52-79Предполагается,чтоанализируя цифровой след ки бернарушителя, аналитики формируют входные дан ные для процесса атрибуции кибератаки. Не сумев выявить сфальсифицированные сведения, процесс атрибуции пойдет по ложному сценарию. В отличие от простого обнаружения атак, атрибуция фокусируется на связи действий с действующими лицами. Поэтому важной задачей становится определение профилей акторов [92], которые используются для сравнения действий с известными профилями, зафиксирован ными в уже реализованных APT. Зная, какие следы оставляют злоумышленники, можно определить, ка кие из них достаточно уникальны, а какие можно лег ко подделать, запутав расследование. В соответствии с базовой моделью «цепочка ки бервторжений» [23], в [86] все следы (артефакты) кибернарушителей условно подразделяются на арте факты разведки, вооружения, доставки, эксплуатации, установки, управления и контроля, а также действий. К артефактам разведки относятся активные попыт ки сканирования на сетевом уровне, действия по ана лизу профилей на сайтах социальных сетей, фишинг для сбора информации, атаки методом перебора па ролей на внешние сервисы, например веб-почту и т.п. Артефакты вооружения представляются данны ми о первоначальной технике проникновения, в том числе насколько сложной она была и сколько усилий потребовалось кибернарушителю, использовались ли известные уязвимости и известный инструментарий или были задействованы совершенно новые, разра ботанные специально для исследуемой кибератаки. Анализ следов вооружения позволяет собрать атрибу ты о возможностях и ресурсах злоумышленников. К артефактам доставки относятся пути доставки вредоносного ПО (электронная почта, мгновенные сообщения, интернет-форум, SQL-инъекция, попут ная загрузка и т.д.) и связанная с ними информация (идентификаторы, URL-адреса и т.п.). Артефакты эксплуатации определяются атрибута ми, метаданными, дизайном и функционалом вредо носного ПО. Индикаторами целенаправленной атаки являются использование редкой уязвимости или экс плойта, адаптированного к целевой среде. Фаза установки обычно включает в себя довольно сложные действия, которые выполняются индивиду ально в зависимости от злоумышленника и от жертвы. В группу артефактов установки включают следы, ха рактеризующие используемые при установке методы и процедуры, данные файлов журналов, мониторинга сети и затронутых хостов, а также результаты крими налистической экспертизы использованных вредо носных программ (например, остатков файлов) и ра бочихВопросыстанций.аналитиков, касающиеся фазы управ ления и контроля, сосредоточены на фактической инфраструктуре, используемой кибернарушителями. Эффективная инфраструктура для командования и контроля требует больших затрат на установку и об служивание, ее часто повторно используют или сдают в аренду. Артефакты управления и контроля, которые могут помочь в процессе атрибуции: журналы DNS, информация о домене, применяемые методы уклоне ния от обнаружения. На этапе выполнения действий кибернарушители часто раскрывают информацию о себе, например, ис пользуя известную зону сброса для извлеченных дан ных или выполняя действия, связанные с событиями в физическом мире (например, нанося ущерб посред ством кибератаки в ответ на политические события). К артефактам действий относят: аномальный сетевой трафик, данные журналов с эксплуатируемых рабочих станций, используемые инструменты и их конфигура цию, применяемую внешнюю инфраструктуру. В [86] утверждается, что атрибуция кибернаруши телей заключается в том, чтобы задавать правильные вопросы и давать правдоподобные ответы (строить гипотезы). Данный процесс сравнивается с игрой в головоломку разные части обнаруживаются в любой последовательности, но в конечном итоге они должны складываться в единую картину. Предлагаемая мо дель атрибуции кибернарушителей (Cyber Attribution Model, CAM) [86] состоит из двух основных компонен тов (рис. 11): (1) расследования кибератак и (2) про филирования субъектов киберугроз. Атрибуция происходит путем сопоставления этих компонентов. Каждый компонент использует техни ческие и социально-политические индикаторы в соче тании с компонентами CAM-подхода. Основная цель расследования кибератаки ответить на вопросы, кто жертва и почему, а также что произошло и как. Ответы на эти вопросы определяются компонента ми (1) виктимология, (2) инфраструктура, (3) возмож ности и (4) мотивация. Они помогают обнаруживать способы и методы реализации конкретной кибератаки, необходимые возможности кибернарушителей, а также возможные «ложные флаги». Целью профилирования субъектов киберугроз является разработка профилей на основе прошлых атак и поиск профиля, соответствующего вы водам на основе расследования кибератак.
70 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) Профилирование субъектов киберугроз осущест вляется либо непрерывно, либо по мере необходи мости для поддержки расследований. В последнем случае компонент (1) и компонент (2) выполняются параллельно, чтобы найти соответствие между приме ненными методами и возможными профилями кибер нарушителей. В обоих компонентах технические и со циально-политические индикаторы помогают понять факты и распознать сложные взаимосвязи и возмож ные операции под ложным флагом. Профилирование субъектов киберугроз аналогично профилированию в других областях. Поскольку технологии быстро ме няются, аналитики должны постоянно быть в курсе новейших методов реализации атак. Таким образом, профилирование субъектов киберугроз направлено на периодическое создание, обновление и управле ние профилями субъектов угроз (кибернарушителей). С технической точки зрения процесс атрибуции (рис. 11) заключается в обнаружении источника ба зовых данных, сборе аналитиками артефактов, извле чения полезных данных и формировании ответа на ключевые вопросы: Вопрос 1. Сколько усилий (например, требуется большая команда, большое количество рабочих ча сов) требуется кибернарушителю для подделки арте факта, либо изменения своих действия для создания других следов? Вопрос 2. Сколько специальных знаний требуется, чтобы манипулировать соответствующими артефакта ми и оставлять лишь незначительные следы? Вопрос 3. Насколько сложно обнаружить следы ма нипуляций или маскировки? Вопрос 4. Насколько уникальны и/или детализиро ваны потенциальные следы (артефакты)? Вопрос 5. Насколько тесно связаны другие арте факты (важно для создания целостной картины)? Для выполнения атрибуции на первом этапе ана литики определяют, какие источники данных доступ ны. В качестве источников данных может выступать рассмотренная матрица MITRE ATT&CK [56]. Кроме того, необходимо учитывать дополнительные (в ос новном внешние) источники данных, включая каналы информации об угрозах, социальные сети и новост ные ленты. Как только потенциально релевантные ис точники будут определены, исследователи собирают артефакты, получают информацию более высокого уровня и формулируют ключевые вопросы в ходе про цесса атрибуции. Рис. 11. Модель кибератрибуции (CAM), применяемая для выявления несоответствий (ложных флагов) в процессе атрибуции [92]
71 УДК 004.94УДК 004.056 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-52-79Основаннаянатщательнойоценке технических сле дов, атрибуция направлена на то, чтобы лучше понять точку зрения злоумышленника. В этом процессе анализ артефактов, рассмотренных ранее, позволяет дать от веты на вопросы, касающиеся инфраструктуры жертвы (и любой третьей стороны), возможностей актора и его конкретной мотивации. Многие отдельные свойства ки бератаки могут быть сфальсифицированы и замаскиро ваны, например, IP-адрес скрывается с использовани ем (цепочек) прокси-серверов или сети TOR, злоумыш ленники выдают себя за других, фальсифицируют язы ковые настройки, вводят ложные артефакты в коде и т.п. Тем не менее, довольно сложно правильно собрать все эти цифровые следы. Тщательная атрибуция долж на уделять особое внимание всей последовательности действий. Если какой-то один фактор выглядит странно или не вписывается в очевидный сценарий, его необхо димо перепроверить, совершив повторный анализ. Следует отметить, что «ложные флаги» всегда при сутствуют по следующим причинам: применяемые кибернарушителями эксплойты содержат переработанный код или использова лись раннее и стали общедоступны; разрабатывается специализированное ПО для имитации поведения и увеличения сложности атрибуции вредоносных программ; чаще всего эксплойты и вредоносные програм мы покупаются, а не разрабатываются; инструментарий для целевых кибератак можно взять в аренду как услугу; на этапе «командование и контроль», вредонос ное ПО использует известную инфраструктуру (третьих лиц), которая не относится к операто рам вредоносного ПО; применяются методы социальной инженерии с целью направить расследование по ложному сценарию; выполнение действий с целью скрыть следы или в вести аналитиков в заблуждение (напри мер, с использованием шифрования данных). В перспективной системе атрибуции кибернару шителей при реализации ими целевых атак на объек ты КИИ должен присутствовать компонент распозна вания (поиска) «ложных флагов». Заключение В данной работе представлен анализ актуальных моделей и методик, используемых для атрибуции на рушителей кибербезопасности при реализации целе вых кибератак на объекты критической инфраструк туры. Рассматриваемый класс угроз – целевые атаки на объекты КИИ, важным подклассом которых явля ются продвинутые постоянные угрозы (APT), требу ет многоуровневой классификации на каждом этапе жизненного цикла кибератаки. Применение моделей «цепочка кибервторжений» CK и UKC для описания этапов вторжения, сопостав ления индикаторов на различных фазах действия APT, выявление закономерностей, связывающих отдель ные вторжения с более широкими кампаниями по ре ализации кибератак, позволяет формировать данные для понимания итеративного характера целевых атак и реализации предварительной атрибуции нарушите ля и целевых кибератак. Модели анализа вторжений DM и EDM позволяют проводить высокоуровневую атрибуцию с учетом не только анализа методик, методов и инструментария реализации кибератак, но и социально-политического контекста, выстраивая причинно-следственные свя зи, а также поддерживать атрибуцию и выявление це левыхДополнениемкибератак. к данным моделям является об ширная база знаний MITRE ATT&CK. Ее применение позволяет осуществлять категоризацию и формиро 24 Вопрос Насколько сложно обнаружить следы манипуляци й или маскировки? Вопрос 4. Насколько уникальны и/или детализированы потенциальные следы (артефакты)? Вопрос 5 Насколько тесно связаны другие артефакты (важно для создания целостной картины)? 1. Обнаружение источника предоставляющего базовые артефакты, зависящие от конкретного случая 2 Сбор артефактов 3 Извлечение полезной информации 4 Ответ на вопрос, который помогает атрибуции Рис. 11 Упрощенное представление процесса атрибуции Для выполнения атрибуции на первом этапе аналитики определяют, какие источники данных доступны. В качестве источников данных может выступать рассмотренная матрица MITREATT&CK[56] Кроме того, необходимо учитывать дополнительные (в основном внешние) источники данных, включая каналы информации об угрозах, социальные сети и новостные ленты. Как только потенциально релевантные источники будут определены, исследователи соб ирают артефакты, получают информацию более высокого уровня и формулируют ключевые вопросы в ходе процесса атрибуции. Основанная на тщательной оценке технических следов, атрибуция направлена на то, чтобы лучше понять точку зрения злоумышленника. В этом процессе анализ артефактов, рассмотренных ранее, позволяет дать ответы на вопросы, касающиеся инфраструктуры Рис. 11. Упрощенное представление процесса атрибуции
72 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) вание поведенческих признаков нарушителя (APT) и производить поведенческую атрибуцию. Чтобы минимизировать факторы постоянной эво люции APT и целевых атак, в ходе атрибуции необхо димо применять новые методы и алгоритмы. Обога щение данных о киберугрозах и кибергруппировках, методы искусственного интеллекта и машинного обу чения позволяют перейти от ручных методик к автома тизированным и повысить эффективность атрибуции при целевых атаках на КИИ. Представленные методики атрибуции на основе аргументации и использования технических артефак тов для выявления ложных флагов при атрибуции яв ляются примерами реализуемых в настоящее время методик атрибуции кибернарушителей. В последующих работах в рамках концепции мно гоуровневой атрибуции, планируется развить разра ботанные авторами настоящей статьи модели, алго ритмы и методики атрибуции, основанные на методах генерации и анализа графов атак [93, 94] и методах машинного, в том числе глубокого обучения [95, 96]. Рецензент: Паращук Игорь Борисович, доктор технических наук, профессор, профессор Военной академии связи, СанктПетербург, Россия. E-mail: shchuk@rambler.ru Работа выполнена при финансовой поддержке Гранта РНФ № 21-71-20078 в Санкт-Петербургском Федеральном исследова тельском центре Российской академии наук. Литература 1. Stefano M. La strategia della Nato in ambito cyber / Mele Stefano // Europa Atlantica: [сайт] – URL: https://europaatlantica.it/ firewall/2019/06/la-strategia-della-nato-in-ambito-cyber/ (дата обращения: 28.04.2022). 2. James S. Carbanak Threatens Critical Infrastructure: Cybercriminal APTs Merit Significant Investigation and Discussion / S. James. –Washington, DC, USA: ICIT, 2017. – 16 p. 3. Bulusu S.T., Laborde R., Wazan A.S., Barrère F., Benzekri A. Et al. Describing advanced persistent threats using a multi-agent system approach // 2017 1st cyber security in networking conference (CSNet). – IEEE, 2017. – P.1-3. – DOI: 10.1109/CSNET.2017.8241997. 4. Widiyasono N., Giriantari I.A.D., Sudarma M., Linawati L. Detection of Mirai Malware Attacks in IoT Environments Using Random Forest Algorithms / N. Widiyasono, I. A. D. Giriantari, M. Sudarma, L. Linawati // TEM Journal. Volume 10, Issue 3, P.1209-1219. – DOI: 10.18421/TEM103– 27. 5. McAfee Labs Threats Report // McAfee: [сайт] – URL: https://www.mcafee.com/enterprise/en–us/threat–center/mcafee–labs/ reports.html (дата обращения: 28.04.2022). 6. Antonakakis M., April T., Bailey M., Bernhard M., Bursztein E., Cochran J., Zhou Y. et al. Understanding the mirai botnet // Proceedings of 26th USENIX security symposium (USENIX Security 17). – 2017. – P.1093-1110. 7. Eichensehr K.E. Decentralized cyberattack attribution / K.E. Eichensehr // American Journal of International Law. – 2019. – Volume 113. – P.213–217. 8. Tran D. The law of attribution: Rules for attribution the source of a cyber-attack / D Tran // Yale JL & Tech. – 2018. – Volume 20. – P. 376-411. 9. ACSC Releases Annual Cyber Threat Report for 2019–2020. CISA is part of the Department of Homeland Security: [сайт] – URL: https://us-cert.cisa.gov/ncas/current- activity/2020/09/10/acsc-releases-annual-cyber-threat-report-2019-2020 (дата обращения: 28.04.2022). 10. Актуальные киберугрозы: итоги 2020 года. Positive Technologies: [website] – URL: https://www.ptsecurity.com/ru-ru/research/ analytics/cybersecurity-threatscape-2020 (дата обращения: 28.04.2022). 11. Серия отчетов Cisco по информационной безопасности. Cisco: [сайт] – URL: https://www.cisco.com/c/ru_ru/products/security/ security-reports.html (дата обращения: 28.04.2022). 12. Edwards S. Effectively Testing APT Defences: Defining threats, addressing objections to testing and suggesting some practical approaches / S. Edwards, R. Ford, G. Szappanos. 2016 Virus Bulletin: [сайт] – URL: щения:effectively-testing-apt-defences-defining-threats-addressing-objections-testing-and-suggesting-some-practical-approacheshttps://www.virusbulletin.com/virusbulletin/2016/01/paper-(датаобра28.04.2022). 13. Chen P., Desmet L., Huygens C. A study on advanced persistent threats // IFIP International Conference on Communications and Multimedia Security. – Springer, Berlin, Heidelberg, 2014. – P.63-72. – DOI:10.1007/978– 3– 662– 44885– 4_5.hal– 01404186. 14. Edwards S., Ford R., Szappanos G. Effectively Testing APT Defences: Defining threats, addressing objections to testing and suggesting some practical approaches // Virus bulletin conference September. – 2015. P.291-299. 15. Clark R. M. Cyber-Physical Security: Protecting Critical Infrastructure at the State and Local Level / R. M. Clark, S. Hakim. Springer Cham, 2017. – 281 p. DOI: 10.1007/978-3-319-32824-9. 16. Интеллектуальные сервисы защиты информации в критических инфраструктурах / И.В. Котенко, И.Б. Саенко, Е.В. Дойникова [и др.]. – Санкт-Петербург: БХВ-Петербург, 2019. – 400 c. 17. Sood A. Targeted Cyber Attacks: Multi-staged Attacks Driven by Exploits and Malware / A. Sood, R. Enbody. Elsevier, USA, 2014. — 142 p. 18. Chen J. Special Issue on Advanced Persistent Threat / C. Jiageng, S. Chunhua, K.-H. Yeh, M. Yung // Future Generation Computer Systems. — 2018. — Vol.79. — P.243-246.
33.
44.
– P.277– 305.
45. Wilkens F. et al. Multi-Stage Attack Detection via Kill Chain State Machines // Proceedings of the 3rd Workshop on Cyber– Security Arms Race. – 2021. – P.13-24. – DOI: 10.1145/3474374.3486918.
29. Zhang R. et al. Constructing apt attack scenarios based on intrusion kill chain and fuzzy clustering // Security and Communication Networks. – 2017. – Vol. 2017. – Article ID 7536381, 9 p. – DOI: 10.1155/2017/7536381. Hahn A. et al. A multi-layered and kill-chain based security analysis framework for cyber-physical systems // International Journal of Critical Infrastructure Protection. – 2015. – Vol.11. – P.39-50. – DOI: 10.1016/j.ijcip.2015.08.003. Yadav T., Rao A. M. Technical aspects of cyber kill chain / T. Yadav, A.M. Rao // International Symposium on Security in Computing and Communication. (SSCC 2015). – Springer, Cham, 2015. – Vol.536. – P.438–452. – DOI: 10.1007/978– 3– 319– 22915– 7_40. The Unified Kill Chain: [сайт]. – URL: https://unifiedkillchain.com/ (дата обращения: 28.04.2022). Pols P. Modeling Fancy Bear Cyber Attacks: Designing a Unified Kill Chain for analyzing, comparing and defending against cyber-attacks / P. Pols // Leiden University. Student Repository: [сайт]. — URL: https://hdl.handle.net/1887/64569 (дата No.4. – DOI: 10.1007/s11416– 019– 00338– 7. Mackenzie P. WannaCry–Aftershock / P. Mackenzie // https://www.sophos.com: [сайт]. — URL: https://www.sophos.com/en-us/ (дата 28.04.2022). Y., Asyhari T., Rahman M.A. A Cyber Kill Chain Approach for Detecting Advanced Persistent Threats // Computers, Materials and Continua. – 2021. – Vol.67. – No.2. – P.2497-2513. – DOI: 10.32604/cmc.2021.014223. Aatiqah F.S., et al. A Cyber Kill Chain against APT attacks / F.S. Aatiqah, D. Menaga, G. Amarthiya, P. Divya // International Journal of Advanced Science and Technology. – 2020. – Vol.29. – No.10. – P.6899–6906. Chu W.L., Lin C.J., Chang K.N. Detection and classification of advanced persistent threats and attacks using the support vector machine // Applied Sciences. – 2019. – Vol.9. – No.21. – 4579. – 16 p. – DOI: 10.3390/app9214579. Hendler D., Kels S., Rubin A. Detecting malicious powershell commands using deep neural networks // Proceedings of the 2018 on Asia conference on computer and communications security. – 2018. – P.187-197. – DOI: 10.1145/3196494.3196511. 41. Li J., Cheng K., Wang S., Morstatter F., Trevino R.P., Tang J., Liu H. Feature selection: A data perspective / J.Li, K.Cheng, S.Wang, F.Morstatter, T.Morstatter, P.Robert, J.Tang, H.Liu // ACM computing surveys (CSUR). – 2017. – Vol.50. – No.6. – P.1-45. – DOI: 10.1145/3136625. Ghafir I., Hammoudeh M., Prenosil V., Han L., Hegarty R., Rabie K., Aparicio-Navarro F.J. Detection of advanced persistent threat using machine learning correlation analysis / I. Ghafir, M. Hammoudeh, V. Prenosil, L. Han, R. Hegarty, K. Rabie, F. J. Aparicio-Navarro // Future Generation Computer Systems. – 2018. – Vol.89. – P.349-359. – DOI: 10.1016/j.future.2018.06.055. Kiwia D. et al. A cyber kill chain-based taxonomy of banking Trojans for evolutionary computational intelligence / D. Kiwia, A. Dehghantanha, K. K. R. Choo, J. Slaughter // Journal of computational science. – 2018. – Vol.27. – P.394–409. – DOI: 10.1016/j. jocs.2017.10.020. Siddiqui S., Khan M. S., Ferens K., Kinsner, W. Detecting advanced persistent threats using fractal dimension based machine learning classification // Proceedings of the 2016 ACM on international workshop on security and privacy analytics. – 2016. – P.64-69. – DOI: 10.1145/2875475.2875484.
32.
medialibrary/PDFs/technical-papers/WannaCry-Aftershock.pdf
обращения:
39.
30.
40.
37. Ahmed
47.
42.
36.
73 УДК 004.94УДК 004.056 Сетевая безопасность 19.DOI:10.21681/2311-3456-2022-4-52-79RobertM.L.TheProblemswithSeeking and Avoiding True Attribution to Cyber Attacks / M. L. Robert // Sans: [сайт]. — URL: https:// www.sans.org/blog/the– problems– with– seeking– and– avoiding– true– attribution– to– cyber– attacks (дата обращения: 28.04.2022). 20. Lemay A., Calvet J., Menet F., Fernandez J.M. Survey of publicly available reports on advanced persistent threat actors // Computers & Security. – 2018. Vol.72. P.26-59. 21. Hayes D. A Framework for More Effective Dark Web Marketplace Investigations / D. Hayes, Fr Cappa, J. Cardon // Information. – 2018. – 9 (8). –186. – 17 p. – DOI: 10.3390/info9080186. 22. Arnold N., Ebrahimi M., Zhang N., Lazarine B., Patton M., Chen H., Samtani S. Darknet ecosystem cyberthreat intelligence (CTI) tool // 2019 IEEE International Conference on Intelligence and Security Informatics (ISI). – IEEE, 2019. – P.92-97. – DOI:10.1109/ ISI.2019.8823501. 23. Eric M. H. The Cyber Kill Chain / M. H. Eric // Lockheed Martin Corporation: [сайт]. — URL: https://www.lockheedmartin.com/en– us/ capabilities/cyber/cyber– kill– chain.html (дата обращения: 28.04.2022). 24. Хмыров С.С., Котенко И.В. Анализ расширенной модели «cyber kill chain» для атрибуции нарушителей кибербезопасности при реализации целевых атак на объекты критической инфраструктуры // XII Санкт-Петербургская межрегиональная конференция ИБРР-2021. 2021. С.103-105. 25. Bahrami P. N. et al. Cyber kill chain-based taxonomy of advanced persistent threat actors: analogy of tactics, techniques, and procedures / P. N. Bahrami, A. Dehghantanha, T. Dargahi, R. M. Parizi, K. K. R. Choo, H. H Javadi // Journal of information processing systems. – 2019. – Vol. 15. – No.4. – P.865-889. 26. Kim H., Kwon H. J., Kim K. K. Modified cyber kill chain model for multimedia service environments // Multimedia Tools and Applications. – 2019. – Vol.78. – No.3. – P.3153-3170. 27. Siddiqi M. A., Ghani N. Critical analysis on advanced persistent threats // International Journal of Computer Applications. – 2016. –Vol.141. – No.13. – P.46-50. – DOI: 10.5120/ijca2016909784. 28. Bhatt P., Yano E. T., Gustavsson P. Towards a framework to detect multi– stage advanced persistent threats attacks // 2014 IEEE 8th international symposium on service-oriented system engineering. – IEEE, 2014. – P.390-395. – DOI: 10.1109/SOSE.2014.53.
48.
обращения: 28.04.2022). 34. Case D. U. Analysis of the cyber-attack on the Ukrainian power grid // Electricity Information Sharing and Analysis Center (E– ISAC). –2016. –Vol.388. – P.1-29. 35. Dargahi T. et al. A cyber– kill– chain-based taxonomy of crypto– ransomware features // Journal of Computer Virology and Hacking Techniques. – 2019. – Vol.15. –
43.
49.
38.
46. Milajerdi S. M. et al. Holmes: Real– Time APT Detection through Correlation of Suspicious Information Flows // 2019 IEEE Symposium on Security and Privacy (SP). – IEEE, 2019. – P.1137-1152. – DOI: 10.1109/SP.2019.00026. Haas S., Fischer M. GAC: graph-based alert correlation for the detection of distributed multi– step attacks // Proceedings of the 33rd Annual ACM Symposium on Applied Computing. – 2018. – P.979– 988. – DOI: 10.1145/3167132.3167239. Sharafaldin I., Lashkari A. H., Ghorbani A. A. Toward generating a new intrusion detection dataset and intrusion traffic characterization // ICISSp. – 2018. – Vol.1. – P.108-116. – DOI: 10.5220/0006639801080116. Hossain M. N. et al. Dependence-Preserving Data Compaction for Scalable Forensic Analysis // 27th USENIX Security Symposium (USENIX Security 18). – 2018. – P.1723-1740.
31.
74 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) 50. Al-Mohannadi H. et al. Cyber-attack modeling analysis techniques: An overview // 2016 IEEE 4th international conference on future internet of things and cloud workshops (FiCloudW). – IEEE, 2016. – P.69-76. 51. The Diamond Model of Intrusion Analysis / S. Caltagirone, A. Pendergast, C. Betz // www.threatintel.academy: [сайт]. — URL: https:// www.threatintel.academy/wp-content/uploads/2020/07/diamond-model.pdf(дата обращения: 28.04.2022). 52. Mwiki H., Dargahi T., Dehghantanha A., Choo Raymond K.-K.R. Analysis and Triage of Advanced Hacking Groups Targeting Western Countries Critical National Infrastructure: APT28, RED October, and Regin: Theories, Methods, Tools and Technologies // Critical Infrastructure Security and Resilience. – 2019. P.221-244. – DOI:10.1007/978-3-030-00024-0_12. 53. Kotheimer J., O’Meara K., Shick D. Using honeynets and the diamond model for ICS threat analysis. – Carnegie-Mellon Univ. Pittsburgh. CMU/SEI-2016-TR-006. CERT Division. 2016. 54. Skopik F., Pahi T. Under false flag: Using technical artifacts for cyber attack attribution // Cybersecurity. – 2020. – Vol. 3. – No.1. – P.120. – DOI:10.1186/s42400-020-00048-4 55. Treverton G. The intelligence challenges of hybrid threats: Focus on cyber and virtual realm. – Swedish Defence University. – 2018. –36 p. 56. MITRE ATT&CK: Design and Philosophy // The MITRE Corporation: [сайт]. — URL: https://attack.mitre.org/docs/ATTACK_Design_and_ Philosophy_March_2020.pdf (дата обращения: 28.04.2022). 57. Best Practices for MITRE ATT&CK Mapping // www.cisa.gov: [сайт]. — URL: https://www.cisa.gov/uscert/sites/default/files/ publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf (дата обращения: 28.04.2022). 58. Manocha H. et al. Security Assessment Rating Framework for Enterprises using MITRE ATT&CK Matrix // arXiv preprint arXiv:2108.06559. – 2021. – DOI: 10.48550/arXiv.2108.06559. 59. Aigner A., Khelil A. A Security Qualification Matrix to Efficiently Measure Security in Cyber– Physical Systems // 2020 32nd International Conference on Microelectronics (ICM). – IEEE, 2020. – P.1-4. – DOI: 10.1109/ICM50269.2020.9331797. 60. Aigner A., Khelil A. A Benchmark of Security Metrics in Cyber– Physical Systems // 2020 IEEE International Conference on Sensing, Communication and Networking (SECON Workshops). – IEEE, 2020. – P.1-6. – DOI: 10.1109/SECONWorkshops50264.2020.9149779. 61. Kim K. et al. Automatically Attributing Mobile Threat Actors by Vectorized ATT&CK Matrix and Paired Indicator / K. Kim, Y. Shin, J. Lee, K. Lee // Sensors. – 2021. – Vol.21. – No.19. – 6522. – 12 p. – DOI: 10.3390/s21196522. 62. Georgiadou A., Mouzakitis S., Askounis D. Assessing MITRE ATT& Risk Using a Cyber–Security Culture Framework // Sensors. – 2021. – Vol.21. – No.9. – 3267. – 14 p. – DOI: 10.3390/s21093267. 63. Securing the Extended Internet of Things (XIoT) // The Global State of Industrial Cybersecurity: [сайт]. — URL: https://claroty.com/ (дата обращения: 28.04.2022). 64. Bodeau D.J. et al. Cyber Threat Modeling: Survey, Assessment, and Representative Framework / D.J. Bodeau, C.D. McCollum, D. B. Fox // www.mitre.org: [сайт]. — URL: https://www.mitre.org/sites/default/ files/publications/pr_18– 1174– ngci– cyber– threat–modeling.pdf (дата обращения: 28.04.2022). 65. National Institute of Standards and Framework for Improving Critical Infrastructure Cybersecurity. Version 1.0. February 12, 2014 / Institute of Standards and National // www.nist.gov: [сайт]. — URL: https://www.nist.gov/system/files/documents/cyberframework/ cybersecurity– framework– 021214.pdf (дата обращения: 28.04.2022). 66. Friedman J., Bouchard M. Definitive Guide to Cyber Threat Intelligence: Using Knowledge about Adversaries to Win the War against Targeted Attacks. – CyberEdge Group, 2015. 67. Seker E. Cyber Threat Intelligence Understanding Fundamentals. 2019. // https://www.researchgate.net: [сайт]. — URL: https:// www.researchgate.net/publication/335692544_Cyber_Threat_Intelligence_ Understanding_Fundamentals (дата обращения: 28.06.2022). 68. Дойникова Е.В., Котенко И.В. Оценивание защищенности и выбор контрмер для управления кибербезопасностью. СПб.: Изд-во «Наука», 2021. – 197 с. 69. TAXII Version 2.0. Committee Specification 01 // oasis-open.org: [сайт]. — URL: https://docs.oasis– open.org/cti/taxii/v2.0/taxii–v2.0.html (дата обращения: 28.04.2022). 70. Papastergiou S., Mouratidis H., Kalogeraki E.M. Handling of advanced persistent threats and complex incidents in healthcare, transportation and energy ICT infrastructures // Evolving Systems. – 2021. – Vol. 12. – No.1. – P.91-108. – DOI: 10.1007/s12530–020– 09335– 4. 71. Guercio, K. Top Threat Intelligence Platforms for 2022 / K. Guercio // www.esecurityplanet.com: [сайт]. — URL: https://www. esecurityplanet.com/products/threat-intelligence-platforms/ (дата обращения: 28.06.2022). 72. Gylling A. Enriching Attack Models with Cyber Threat Intelligence. Masters Theses / A. Gylling // Digitala Vetenskapliga Arkivet: [сайт]. — URL: http://kth.diva-portal.org/smash/get/diva2:1477504/ FULLTEXT01.pdf (дата обращения: 28.06.2022). 73. Noel L. RedAI: A Machine Learning Approach to Cyber Threat Intelligence. Masters Theses. 2020 // JMU Scholarly Commons: [сайт]. — URL: https://commons.lib.jmu.edu/cgi/ viewcontent.cgi?article=1093&context=masters202029 (дата обращения: 28.04.2022). 74. Sahrom A. M., Ariffin A., Selamat S. R., Yusof R. An Attribution of Cyberattack using Association Rule Mining (ARM) // International Journal of Advanced Computer Science and Applications (IJACSA). — 2020. – Vol. 11. – No. 2. – P.352-358. 75. Soldatos J., Philpot J., Giunta G. Cyber– Physical Threat Intelligence for Critical Infrastructures Security: A Guide to Integrated Cyber–Physical Protection of Modern Critical Infrastructures. – Now Publishers, 2020. – 450 p. 76. Securing machine learning algorithms / eds: A. Malatras, I. Agrafiotis, M. Adamczyk. European Union Agency for Cybersecurity (ENISA), 2021. — 70 p. 77. Ferrag M.A. et al. Deep learning techniques for cyber security intrusion detection: A detailed analysis // 6th International Symposium for ICS & SCADA Cyber Security Research 2019. – 2019. – P.126-136. 78. Ferrag M.A. et al. Deep learning for cyber security intrusion detection: Approaches, datasets, and comparative study // Journal of Information Security and Applications. – 2020. – Vol. 50. – 102419. 79. Браницкий А.А., Котенко И.В. Обнаружение сетевых атак на основе комплексирования нейронных, иммунных и нейро-нечетких классификаторов // Информационно-управляющие системы, 2015, № 4 (77), С.69-77. 80. Гайфулина Д.А., Котенко И.В. Применение методов глубокого обучения в задачах кибербезопасности. Часть 1 // Вопросы кибер безопасности. 2020. №3(37). C 76-86. DOI: 10.21681/2311-3456-2020-03-76-86. 81. Гайфулина Д.А., Котенко И.В. Применение методов глубокого обучения в задачах кибербезопасности. Часть 2 // Вопросы кибер
75 УДК 004.94УДК 004.056 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-52-79безопасности.2020.№4(38).С.11-21. DOI: 10.21681/2311-3456-2020-04-11-21. 82. Eke H. N., Petrovski A., Ahriz H. The use of machine learning algorithms for detecting advanced persistent threats // Proceedings of the 12th International Conference on Security of Information and Networks. – 2019. – P. 1-8. 83. Brogi G. Real-time detection of Advanced Persistent Threats using Information Flow Tracking and Hidden Markov Models. Doctoral dissertation – Conservatoire national des arts et metiers. – CNAM, 2018. 84. Noor U. et al. A machine learning– based FinTech cyber threat attribution framework using high– level indicators of compromise / U. Noor, Z. Anwar, T. Amjad, K. K. R. Choo // Future Generation Computer Systems. – 2019. – Vol. 96. – P.227-242. 85. Karafili E., Wang L., Lupu E. C. An argumentation-based reasoner to assist digital investigation and attribution of cyber-attacks // Forensic Science International: Digital Investigation. – 2020. – Vol. 32. – 300925. 86. Skopik F., Timea P. Under false flag: using technical artifacts for cyber attack attribution // Cybersecurity, 2020. Vol.8, No 3. 20 p. 87. Thomas R., Buchanan B. Attributing Cyber Attacks // Journal of Strategic Studies, 38: 1-2, 2015. P.4-37. 88. Global cybersecurity Index (GCI). International Telecommunication Union [сайт]. — URL: https://www.itu.int/dms_pub/itu-d/opb/str/DSTR-GCI.01-2017-PDF-E.pdf (дата обращения: 05.05.2022). 89. Breene K. Who are the cyberwar superpowers?: [сайт]. — URL: http://www.weforum.org/agenda/2016/05/who-are-the-cyberwarsuperpowers (дата обращения: 05.05.2022). 90. Kakas A., Moraitis P. Argumentation based decision making for autonomous agents // Proceedings of the second international joint conference on Autonomous agents and multiagent systems (AAMAS ‘03), 2003. P. 883-890. 91. Morgan R., Kelly D. A novel perspective on cyber attribution // 14th International Conference on Cyber Warfare and Security (ICCWS), 2019. 11 p. 92. Chiesa R., Ducci S., & Ciappi S. Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking. Auerbach Publications, 2008, 279 p. 93. Kotenko I., Doynikova E. Security Assessment of Computer Networks based on Attack Graphs and Security Events // Lecture Notes in Computer Science. 2014. Vol.8407. P.462-471. 94. Kotenko I., Chechulin A. Computer Attack Modeling and Security Evaluation based on Attack Graphs // Proceedings of the 2013 IEEE 7th International Conference on Intelligent Data Acquisition and Advanced Computing Systems, IDAACS 2013. 2013. С. 614-619. 95. Doynikova E., Novikova E., Gaifulina D., Kotenko I. Towards Attacker Attribution for Risk Analysis // Risks and Security of Internet and Systems – 15th International Conference, CRiSIS 2020, Paris, France, November 4-6, 2020, Revised Selected Papers. Lecture Notes in Computer Science, 12528. Joaquin Garcia-Alfaro, Jean Leneutre, Nora Cuppens, Reda Yaich (Eds.), Springer 2021, ISBN 978-3-03068886-8. P.347-353. 96. Котенко И.В., Хмыров С.С. Анализ актуальных методик атрибуции нарушителей кибербезопасности при реализации целевых атак на объекты критической инфраструктуры // Юбилейная X Международная научно-техническая и научно-методическая конфе ренция “Актуальные проблемы инфотелекоммуникаций в науке и образовании” (АПИНО-2021). 2021. СПб.: СПбГУТ, 2021. Том 1. С.536-541. analySiS of modelS and techniQueS uSed for attribution of cyber Security ViolatorS in the implementation of tarGeted attackS Kotenko I.V. 3, Khmyrov S.S. 4
Purpose of the paper: analysis of models and techniques used for attribution of cybersecurity violators in the interests of building a promising attribution system in the implementation of targeted attacks against critical information infrastructure objects. Research method: system analysis of open sources of data on the attribution of cyber-violators in the implementation of targeted attacks against critical information infrastructure objects over a period mainly over the last 5 years.
The result obtained: based on the consideration of open sources, the paper presents an analysis of the models and techniques used to attribute cyber intruders in the implementation of targeted attacks and used both in scientific and practical projects. The paper analyzes new models used for attribution, allowing the collection of data at the tactical-technical and socio-political levels. The main indicators of ongoing cyber attacks and intruders that are essential for the implementation of attribution processes are identified. The procedure for generating data for V. Kotenko, Dr.Sc., Professor, Chief Scientist and Head of Laboratory of Computer Security Problems at St. Petersburg Federal Research Center of the Russian Academy of Sciences (SPC RAS), St. Petersburg, Russia. E mail: ivkote@comsec.spb.ru 4 Semyon S. Khmyrov, Ph.D. Student at St. Petersburg Federal Research Center of the Russian Academy of Sciences (SPC RAS), St. Petersburg, Russia. E-mail: khmyrov.s.s@gmail.com
3 Igor
References 1. Stefano M. La strategia della Nato in ambito cyber / Mele Stefano // Europa Atlantica: [website] – URL: https://europaatlantica.it/ firewall/2019/06/la-strategia-della-nato-in-ambito-cyber/ (date of access: 28.04.2022).
7. Eichensehr K.E. Decentralized cyberattack attribution / K.E. Eichensehr // American Journal of International Law. – 2019. – Volume 113. – P.213–217.
5.
8. Tran D. The law of attribution: Rules for attribution the source of a cyber-attack / D Tran // Yale JL & Tech. – 2018. – Volume 20. – P. 376-411.
2. James S. Carbanak Threatens Critical Infrastructure: Cybercriminal APTs Merit Significant Investigation and Discussion / S. James. –Washington, DC, USA: ICIT, 2017. – 16 p. 3. Bulusu S.T., Laborde R., Wazan A.S., Barrère F., Benzekri A. Et al. Describing advanced persistent threats using a multi-agent system approach // 2017 1st cyber security in networking conference (CSNet). – IEEE, 2017. – P.1-3. – DOI: 10.1109/CSNET.2017.8241997. Widiyasono N., Giriantari I.A.D., Sudarma M., Linawati L. Detection of Mirai Malware Attacks in IoT Environments Using Random Forest Algorithms / N. Widiyasono, I. A. D. Giriantari, M. Sudarma, L. Linawati // TEM Journal. Volume 10, Issue 3, P.1209-1219. – DOI: 10.18421/TEM103– 27. McAfee Labs Threats Report // McAfee: [website] – URL: https://www.mcafee.com/enterprise/en–us/threat–center/mcafee–labs/ reports.html (date of access: 28.04.2022). Antonakakis M., April T., Bailey M., Bernhard M., Bursztein E., Cochran J., Zhou Y. et al. Understanding the mirai botnet // Proceedings of 26th USENIX security symposium (USENIX Security 17). 2017. – P.1093-1110.
21. Hayes D. A Framework for More Effective Dark Web Marketplace Investigations / D. Hayes, Fr Cappa, J. Cardon // Information. – 2018. – 9 (8). –186. – 17 p. – DOI: 10.3390/info9080186.
15. Clark R. M. Cyber-Physical Security: Protecting Critical Infrastructure at the State and Local Level / R. M. Clark, S. Hakim. Springer Cham, 2017. – 281 p. DOI: 10.1007/978-3-319-32824-9.
20. Lemay A., Calvet J., Menet F., Fernandez J.M. Survey of publicly available reports on advanced persistent threat actors // Computers & Security. – 2018. Vol.72. P.26-59.
9. ACSC Releases Annual Cyber Threat Report for 2019–2020. CISA is part of the Department of Homeland Security: [website] – URL: https://us-cert.cisa.gov/ncas/current- activity/2020/09/10/acsc-releases-annual-cyber-threat-report-2019-2020 (date of access: 28.04.2022).
13. Chen P., Desmet L., Huygens C. A study on advanced persistent threats // IFIP International Conference on Communications and Multimedia Security. – Springer, Berlin, Heidelberg, 2014. – P.63-72. – DOI:10.1007/978– 3– 662– 44885– 4_5.hal– 01404186.
10. Actual cyber threats: results of 2020. Positive Technologies: [website] – URL: https://www.ptsecurity.com/ru-ru/research/analytics/ cybersecurity-threatscape-2020 (date of access: 28.04.2022).
19. Robert M. L. The Problems with Seeking and Avoiding True Attribution to Cyber Attacks / M. L. Robert // Sans: [website]. — URL: https://www.sans.org/blog/the– problems– with– seeking– and– avoiding– true– attribution– to– cyber– attacks (date of access: 28.04.2022).
6.
Keywords: cyber attack, cyber operation, critical infrastructure, artificial intelligence, machine learning, advanced persistent threat, intrusion detection, intruder profiling, cyber кill сhain.
12. Edwards S. Effectively Testing APT Defences: Defining threats, addressing objections to testing and suggesting some practical approaches / S. Edwards, R. Ford, G. Szappanos. 2016 Virus Bulletin: [website] – URL: https://www.virusbulletin.com/virusbulletin/2016/01/ paper- effectively-testing-apt-defences-defining-threats-addressing-objections-testing-and-suggesting-some-practical-approaches (date of access: 28.04.2022).
76 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) profiling cybergroups is considered, as well as the possibility of using the considered models and techniques in the interests of building a promising system for attribution of a cyber intruder in the implementation of targeted attacks against critical information infrastructure objects. The analysis was carried out according to sources over a twentyyear period, meanwhile, the main works under consideration were published in the last 5 years. The analysis does not claim to be complete, but an attempt is made to cover the most significant studies. Scientific novelty lies in the fact that the presented paper is one of the first domestic works that provides a detailed analysis of studies published in recent years in the field of attribution of cyber security violators. Models such as «cyber intrusion chain», «unified cyber intrusion chain», Diamond basic and extended intrusion analysis models, ATT&CK model are considered. Examples of attribution methods for argumentation-based reasoning with evidence at the technical and social levels and the use of technical artifacts to identify false flags in attribution are given. Besides, the paper also lists trends in the usage of modern solutions for detecting and attributing attacks based on artificial intelligence and machine learning.
16. Intelligent information security services in critical infrastructures / I.V. Kotenko, I.B. Saenko, E.V. Doynikova [et al.]. – St. Petersburg: BHV-Petersburg, 2019. – 400 p. (in Russian).
11. Cisco Security Report Series. Cisco: [website] – URL: https://www.cisco.com/c/ru_ru/products/security/security-reports.html (date of access: 28.04.2022).
14. Edwards S., Ford R., Szappanos G. Effectively Testing APT Defences: Defining threats, addressing objections to testing and suggesting some practical approaches // Virus bulletin conference September. – 2015. P.291-299.
17. Sood A. Targeted Cyber Attacks: Multi-staged Attacks Driven by Exploits and Malware / A. Sood, R. Enbody. Elsevier, USA, 2014. — 142 p.
18. Chen J. Special Issue on Advanced Persistent Threat / C. Jiageng, S. Chunhua, K.-H. Yeh, M. Yung // Future Generation Computer Systems. — 2018. — Vol.79. — P.243-246.
4.
50.
27. Siddiqi M. A., Ghani N. Critical analysis on advanced persistent threats // International Journal of Computer Applications. – 2016. –Vol.141. – No.13. – P.46-50. – DOI: 10.5120/ijca2016909784.
28. Bhatt P., Yano E. T., Gustavsson P. Towards a framework to detect multi– stage advanced persistent threats attacks
–
43.
45.
// 2014 IEEE 8th international symposium on service oriented system engineering. – IEEE, 2014. – P.390-395. – DOI: 10.1109/SOSE.2014.53.
30.
Techniques. – 2019. –
37.
38.
39.
29. Zhang R. et al. Constructing apt attack scenarios based on intrusion kill chain and fuzzy clustering // Security and Communication Networks. – 2017. – Vol. 2017. – Article ID 7536381, 9 p. – DOI: 10.1155/2017/7536381. Hahn A. et al. A multi-layered and kill-chain based security analysis framework for cyber-physical systems // International Journal of Critical Infrastructure Protection. – 2015. – Vol.11. – P.39-50. – DOI: 10.1016/j.ijcip.2015.08.003. Yadav T., Rao A. M. Technical aspects of cyber kill chain / T. Yadav, A.M. Rao // International Symposium on Security in Computing and Communication. (SSCC 2015). – Springer, Cham, 2015. – Vol.536. – P.438–452. – DOI: 10.1007/978– 3– 319– 22915– 7_40. The Unified Kill Chain: [website]. – URL: https://unifiedkillchain.com/ (date of access: 28.04.2022). Pols P. Modeling Fancy Bear Cyber Attacks: Designing a Unified Kill Chain for analyzing, comparing and defending against cyber attacks / P. Pols // Leiden University. Student Repository: [website]. — URL: https://hdl.handle.net/1887/64569 (date of access: 28.04.2022). Case D. U. Analysis of the cyber attack on the Ukrainian power grid // Electricity Information Sharing and Analysis Center (E– ISAC). –2016. –Vol.388. – P.1-29. Journal of Computer Virology and Hacking Vol.15. – No.4. P.277– – DOI: 10.1007/s11416– 00338–https://www.sophos.com: [website]. — URL: https://www.sophos.com/en-us/ medialibrary/PDFs/technical-papers/WannaCry-Aftershock.pdf (date of access: 28.04.2022). Ahmed Y., Asyhari T., Rahman M.A. A Cyber Kill Chain Approach for Detecting Advanced Persistent Threats // Computers, Materials and Continua. – 2021. – Vol.67. – No.2. – P.2497-2513. – DOI: 10.32604/cmc.2021.014223. Aatiqah F.S., et al. A Cyber Kill Chain against APT attacks / F.S. Aatiqah, D. Menaga, G. Amarthiya, P. Divya // International Journal of Advanced Science and Technology. – 2020. – Vol.29. – No.10. – P.6899–6906. Chu W.L., Lin C.J., Chang K.N. Detection and classification of advanced persistent threats and attacks using the support vector machine // Applied Sciences. – 2019. – Vol.9. – No.21. – 4579. – 16 p. – DOI: 10.3390/app9214579. Hendler D., Kels S., Rubin A. Detecting malicious powershell commands using deep neural networks // Proceedings of the 2018 on Asia conference on computer and communications security. – 2018. – P.187-197. – DOI: 10.1145/3196494.3196511. Li J., Cheng K., Wang S., Morstatter F., Trevino R.P., Tang J., Liu H. Feature selection: A data perspective / J.Li, K.Cheng, S.Wang, F.Morstatter, T.Morstatter, P.Robert, J.Tang, H.Liu // ACM computing surveys (CSUR). – 2017. – Vol.50. – No.6. – P.1-45. – DOI: 10.1145/3136625. Ghafir I., Hammoudeh M., Prenosil V., Han L., Hegarty R., Rabie K., Aparicio-Navarro F.J. Detection of advanced persistent threat using machine learning correlation analysis / I. Ghafir, M. Hammoudeh, V. Prenosil, L. Han, R. Hegarty, K. Rabie, F. J. Aparicio-Navarro // Future Generation Computer Systems. – 2018. – Vol.89. – P.349-359. – DOI: 10.1016/j.future.2018.06.055. Kiwia D. et al. A cyber kill chain based taxonomy of banking Trojans for evolutionary computational intelligence / D. Kiwia, A. Dehghantanha, K. K. R. Choo, J. Slaughter // Journal of computational science. – 2018. – Vol.27. – P.394–409. – DOI: 10.1016/j. jocs.2017.10.020. Siddiqui S., Khan M. S., Ferens K., Kinsner, W. Detecting advanced persistent threats using fractal dimension based machine learning classification // Proceedings of the 2016 ACM on international workshop on security and privacy analytics. – 2016. – P.64-69. – DOI: 10.1145/2875475.2875484. Wilkens F. et al. Multi-Stage Attack Detection via Kill Chain State Machines // Proceedings of the 3rd Workshop on Cyber– Security Arms Race. – 2021. – P.13-24. – DOI: 10.1145/3474374.3486918. Milajerdi S. M. et al. Holmes: Real– Time APT Detection through Correlation of Suspicious Information Flows // 2019 IEEE Symposium on Security and Privacy (SP). – IEEE, 2019. – P.1137-1152. – DOI: 10.1109/SP.2019.00026. Haas S., Fischer M. GAC: graph-based alert correlation for the detection of distributed multi– step attacks // Proceedings of the 33rd Annual ACM Symposium on Applied Computing. – 2018. – P.979– 988. – DOI: 10.1145/3167132.3167239. Sharafaldin I., Lashkari A. H., Ghorbani A. A. Toward generating a new intrusion detection dataset and intrusion traffic characterization // ICISSp. – 2018. – Vol.1. – P.108-116. – DOI: 10.5220/0006639801080116. Hossain M. N. et al. Dependence-Preserving Data Compaction for Scalable Forensic Analysis // 27th USENIX Security Symposium (USENIX Security 18). – 2018. – P.1723-1740. Al-Mohannadi H. et al. Cyber-attack modeling analysis techniques: An overview // 2016 IEEE 4th international conference on future internet of things and cloud workshops (FiCloudW). – IEEE, 2016. – P.69-76. The Diamond Model of Intrusion Analysis / S. Caltagirone, A. Pendergast, C. Betz // www.threatintel.academy: [website]. — URL: https://www.threatintel.academy/wp-content/uploads/2020/07/diamond-model.pdf(date of access: 28.04.2022).
25. Bahrami P. N. et al. Cyber kill chain-based taxonomy of advanced persistent threat actors: analogy of tactics, techniques, and procedures / P. N. Bahrami, A. Dehghantanha, T. Dargahi, R. M. Parizi, K. K. R. Choo, H. H Javadi // Journal of information processing systems. – 2019. – Vol. 15. – No.4. – P.865-889.
34.
35. Dargahi T. et al. A cyber– kill– chain based taxonomy of crypto– ransomware features //
33.
52. Mwiki H., Dargahi T., Dehghantanha A., Choo Raymond K.-K.R. Analysis and Triage of Advanced Hacking Groups Targeting Western Countries Critical National Infrastructure: APT28, RED October, and Regin: Theories, Methods, Tools and Technologies // Critical Infrastructure Security and Resilience. – 2019. P.221-244. – DOI:10.1007/978-3-030-00024-0_12.
019–
41.
47.
26. Kim H., Kwon H. J., Kim K. K. Modified cyber kill chain model for multimedia service environments // Multimedia Tools and Applications. – 2019. – Vol.78. – No.3. – P.3153-3170.
49.
40.
77 УДК 004.94УДК 004.056 Сетевая безопасность 22.DOI:10.21681/2311-3456-2022-4-52-79ArnoldN.,EbrahimiM.,ZhangN., Lazarine B., Patton M., Chen H., Samtani S. Darknet ecosystem cyberthreat intelligence (CTI) tool // 2019 IEEE International Conference on Intelligence and Security Informatics (ISI). – IEEE, 2019. – P.92-97. – DOI:10.1109/ ISI.2019.8823501. 23. Eric M. H. The Cyber Kill Chain / M. H. Eric // Lockheed Martin Corporation: [website]. — URL: https://www.lockheedmartin.com/en–us/capabilities/cyber/cyber– kill– chain.html (date of access: 28.04.2022).
31.
42.
305.
51.
44.
24. Khmyrov S.S., Kotenko I.V. Analysis of the extended “cyber kill chain” model for attribution of cybersecurity violators in the implementation of targeted attacks on critical infrastructure objects // XII St. Petersburg Interregional Conference of the IBRR-2021. 2021. P.103-105 (in Russian).
7. 36. Mackenzie P. WannaCry–Aftershock / P. Mackenzie //
48.
32.
46.
access: 28.04.2022). 74. Sahrom A. M., Ariffin A., Selamat
68.
80. Gaifullina D.A., Kotenko I.V. Application of deep learning methods in cybersecurity tasks. Part 1 // Cybersecurity issues. 2020. №3(37). P.76-86. DOI: 10.21681/2311-3456-2020-03-76-86 (in Russian). 81. Gaifullina D.A., Kotenko I.V. Application of deep learning methods in cybersecurity tasks. Part 2 // Cybersecurity issues. 2020. No. 4(38). pp. 11-21. DOI: 10.21681/2311-3456-2020-04-11-21 (in Russian).
open.org/cti/taxii/v2.0/taxii–v2.0.html (date
esecurityplanet.com/products/threat-intelligence-platforms/ (date
Version 2.0. Committee Specification 01
oasis-open.org:
A. Gylling
access:
Journal of Advanced
Applications
75. Soldatos J.,
66. Friedman J., Bouchard M. Definitive Guide to Cyber Threat Intelligence: Using Knowledge about Adversaries to Win the War against Targeted Attacks. – CyberEdge Group, 2015. 67. Seker E. Cyber Threat Intelligence Understanding Fundamentals. 2019. // https://www.researchgate.net: [website]. — URL: https:// www.researchgate.net/publication/335692544_Cyber_Threat_Intelligence_ Understanding_Fundamentals (date of access: 28.06.2022). Doynikova E.V., Kotenko I.V. Assessment of security and countermeasure selection for cybersecurity management. St. Petersburg: Publishing house “Science”, 2021. – 197 p. (in Russian). 69. TAXII // [website]. — URL: https://docs.oasis–of 28.04.2022). – 2021. – Vol. 12. – No.1. – P.91-108. – DOI: // www.esecurityplanet.com: [website]. — URL: https://www. of 28.06.2022). / // (date of 28.06.2022). (date of S. R., Yusof R. An Attribution of Cyberattack using Association Rule Mining (ARM) // International Computer Science and (IJACSA). — 2020. – Vol. 11. – No. 2. – P.352-358. Philpot J., Giunta G. Cyber– Physical Threat Intelligence for Critical Infrastructures Security: A Guide to Integrated Cyber–Physical Protection of Modern Critical Infrastructures. – Now Publishers, 2020. – 450 p. 76. Securing machine learning algorithms / eds: A. Malatras, I. Agrafiotis, M. Adamczyk. European Union Agency for Cybersecurity (ENISA), 2021. — 70 p. 77. Ferrag M.A. et al. Deep learning techniques for cyber security intrusion detection: A detailed analysis // 6th International Symposium for ICS & SCADA Cyber Security Research 2019. – 2019. – P.126-136. Ferrag M.A. et al. Deep learning for cyber security intrusion detection: Approaches, datasets, and comparative study // Journal of Information Security and Applications. – 2020. – Vol. 50. – 102419. 79. Branitsky A.A., Kotenko I.V. Detection of network attacks based on the integration of neural, immune and neuro-fuzzy classifiers // Information and control systems, 2015, No. 4 (77), P.69-77 (in Russian).
10.1007/s12530–020– 09335– 4. 71. Guercio, K. Top Threat Intelligence Platforms for 2022 / K. Guercio
78 Анализ моделей и методик, используемых для атрибуции нарушителей... Вопросы кибербезопасности. 2022. № 4(50) 53. Kotheimer J., O’Meara K., Shick D. Using honeynets and the diamond model for ICS threat analysis. – Carnegie-Mellon Univ. Pittsburgh. CMU/SEI-2016-TR-006. CERT Division. 2016. 54. Skopik F., Pahi T. Under false flag: Using technical artifacts for cyber attack attribution // Cybersecurity. – 2020. – Vol. 3. – No.1. – P.120. – DOI:10.1186/s42400-020-00048-4 55. Treverton G. The intelligence challenges of hybrid threats: Focus on cyber and virtual realm. – Swedish Defence University. – 2018. –36 p. 56. MITRE ATT&CK: Design and Philosophy // The MITRE Corporation: [website]. — URL: https://attack.mitre.org/docs/ATTACK_Design_ and_Philosophy_March_2020.pdf (date of access: 28.04.2022). 57. Best Practices for MITRE ATT&CK Mapping // www.cisa.gov: [website]. — URL: https://www.cisa.gov/uscert/sites/default/files/ publications/Best%20Practices%20for%20MITRE%20ATTCK%20Mapping.pdf (date of access: 28.04.2022). 58. Manocha H. et al. Security Assessment Rating Framework for Enterprises using MITRE ATT&CK Matrix // arXiv preprint arXiv:2108.06559. – 2021. – DOI: 10.48550/arXiv.2108.06559. 59. Aigner A., Khelil A. A Security Qualification Matrix to Efficiently Measure Security in Cyber– Physical Systems // 2020 32nd International Conference on Microelectronics (ICM). – IEEE, 2020. – P.1-4. – DOI: 10.1109/ICM50269.2020.9331797. 60. Aigner A., Khelil A. A Benchmark of Security Metrics in Cyber– Physical Systems // 2020 IEEE International Conference on Sensing, Communication and Networking (SECON Workshops). – IEEE, 2020. – P.1-6. – DOI: 10.1109/SECONWorkshops50264.2020.9149779. 61. Kim K. et al. Automatically Attributing Mobile Threat Actors by Vectorized ATT&CK Matrix and Paired Indicator / K. Kim, Y. Shin, J. Lee, K. Lee // Sensors. – 2021. – Vol.21. – No.19. – 6522. – 12 p. – DOI: 10.3390/s21196522. 62. Georgiadou A., Mouzakitis S., Askounis D. Assessing MITRE ATT& Risk Using a Cyber–Security Culture Framework // Sensors. – 2021. – Vol.21. – No.9. – 3267. – 14 p. – DOI: 10.3390/s21093267. 63. Securing the Extended Internet of Things (XIoT) // The Global State of Industrial Cybersecurity: [website]. — URL: https://claroty.com/ (date of access: 28.04.2022). 64. Bodeau D.J. et al. Cyber Threat Modeling: Survey, Assessment, and Representative Framework / D.J. Bodeau, C.D. McCollum, D. B. Fox // www.mitre.org: [website]. — URL: https://www.mitre.org/sites/default/ files/publications/pr_18– 1174– ngci– cyber– threat–modeling.pdf (date of access: 28.04.2022). 65. National Institute of Standards and Framework for Improving Critical Infrastructure Cybersecurity. Version 1.0. February 12, 2014 / Institute of Standards and National // www.nist.gov: [website]. — URL: https://www.nist.gov/system/files/documents/cyberframework/ cybersecurity– framework– 021214.pdf (date of access: 28.04.2022).
access:
73. Noel L. RedAI: A Machine Learning Approach to Cyber Threat Intelligence. Masters Theses. 2020 // JMU Scholarly Commons: [website]. — URL: https://commons.lib.jmu.edu/cgi/ viewcontent.cgi?article=1093&context=masters202029
82. Eke H. N., Petrovski A., Ahriz H. The use of machine learning algorithms for detecting advanced persistent threats // Proceedings of the 12th International Conference on Security of Information and Networks. – 2019. – P. 1-8. 83. Brogi G. Real-time detection of Advanced Persistent Threats using Information Flow Tracking and Hidden Markov Models. Doctoral dissertation – Conservatoire national des arts et metiers. – CNAM, 2018. 84. Noor U. et al. A machine learning– based FinTech cyber threat attribution framework using high– level indicators of compromise / U. Noor, Z. Anwar, T. Amjad, K. K. R. Choo // Future Generation Computer Systems. – 2019. – Vol. 96. – P.227-242.
Digitala Vetenskapliga Arkivet: [website]. — URL: http://kth.diva-portal.org/smash/get/diva2:1477504/ FULLTEXT01.pdf
72. Gylling A. Enriching Attack Models with Cyber Threat Intelligence. Masters Theses
access:
78.
70. Papastergiou S., Mouratidis H., Kalogeraki E.M. Handling of advanced persistent threats and complex incidents in healthcare, transportation and energy ICT infrastructures // Evolving Systems.
90. Kakas A., Moraitis P. Argumentation based decision making for autonomous agents // Proceedings of the second international joint conference on Autonomous agents and multiagent systems (AAMAS ‘03), 2003. P. 883-890.
79 УДК 004.94УДК 004.056 Сетевая безопасность 85.DOI:10.21681/2311-3456-2022-4-52-79KarafiliE.,WangL.,LupuE.C.An argumentation-based reasoner to assist digital investigation and attribution of cyber-attacks // Forensic Science International: Digital Investigation. – 2020. – Vol. 32. – 300925. 86. Skopik F., Timea P. Under false flag: using technical artifacts for cyber attack attribution // Cybersecurity, 2020. Vol.8, No 3. 20 p. 87. Thomas R., Buchanan B. Attributing Cyber Attacks // Journal of Strategic Studies, 38: 1-2, 2015. P.4-37. 88. Global cybersecurity Index (GCI). International Telecommunication Union [website]. — URL: https://www.itu.int/dms_pub/itu-d/opb/ str/D-STR-GCI.01-2017-PDF-E.pdf (date of access: 05.05.2022). 89. Breene K. Who are the cyberwar superpowers?: [website]. — URL: http://www.weforum.org/agenda/2016/05/who-are-the-cyberwarsuperpowers (date of access: 05.05.2022).
91. Morgan R., Kelly D. A novel perspective on cyber attribution // 14th International Conference on Cyber Warfare and Security (ICCWS), 2019. 11 p. 92. Chiesa R., Ducci S., & Ciappi S. Profiling Hackers: The Science of Criminal Profiling as Applied to the World of Hacking. Auerbach Publications, 2008, 279 p. 93. Kotenko I., Doynikova E. Security Assessment of Computer Networks based on Attack Graphs and Security Events // Lecture Notes in Computer Science. 2014. Vol.8407. P.462-471. 94. Kotenko I., Chechulin A. Computer Attack Modeling and Security Evaluation based on Attack Graphs // Proceedings of the 2013 IEEE 7th International Conference on Intelligent Data Acquisition and Advanced Computing Systems, IDAACS 2013. 2013. С. 614-619. 95. Doynikova E., Novikova E., Gaifulina D., Kotenko I. Towards Attacker Attribution for Risk Analysis // Risks and Security of Internet and Systems – 15th International Conference, CRiSIS 2020, Paris, France, November 4-6, 2020, Revised Selected Papers. Lecture Notes in Computer Science, 12528. Joaquin Garcia-Alfaro, Jean Leneutre, Nora Cuppens, Reda Yaich (Eds.), Springer 2021, ISBN 978-3-03068886-8. P.347-353. 96. Kotenko I.V., Khmyrov S.S. Analysis of current methods of attribution of cybersecurity violators in the implementation of targeted attacks on critical infrastructure objects // 10th International Conference on Advanced Infotelecommunications (ICAIT 2021)2021. St. Petersburg: SPbGUT, 2021. Vol.1. P.536-541 (in Russian).
80 Определение оптимальных параметров конфигурирования информационных... Вопросы кибербезопасности. 2022. № 4(50) ОПРЕДЕЛЕНИЕ ОПТИМАЛЬНЫХ ПАРАМЕТРОВ КОНФИГУРИРОВАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ В УСЛОВИЯХ СЕТЕВОЙ РАЗВЕДКИ Горбачев А.А.1, Соколовский С.П.2, Каплин М.А. 3, Цель исследования: повышение защищенности информационных систем от сетевой разведки. Используемые методы: для достижения цели исследования в работе использованы методы математиче ской статистики и исследования случайных процессов. Результат исследования: решена задача определения оптимальной частоты конфигурирования структур но-функциональных характеристик информационной системы на каждом из этапов сетевой разведки с уче том выполнения требований по минимальному использованию ресурсных возможностей информационной системы и обеспечению заданного значения вероятности вскрытия ее характеристик. Процесс ведения се тевой разведки и противодействия ей формализован в виде марковского случайного процесса с дискрет ными состояниями и непрерывным временем. Исходя из соображений обеспечения устойчивости инфор мационного обмена между узлами информационной системы и возможностей средств сетевой разведки, определены минимальные значения интервалов времени конфигурирования структурно-функциональных характеристик. Полученные значения оптимальной и предельно допустимой частоты конфигурирования по зволяют оценивать время, необходимое для идентификации информационной системы и начала эксплуа тации ее уязвимостей, при заданных интенсивностях сетевого сканирования средствами разведки. Полу ченные результаты позволяют обеспечивать заданный уровень защищенности информационной системы и устойчивость ее информационного обмена за счет оптимальной частоты конфигурирования ее структурнофункциональных характеристик. Научная новизна: решение задачи скалярной оптимизации частоты конфигурирования структурно-функци ональных характеристик информационной системы в условиях сетевой разведки с использованием матема тического аппарата полумарковских случайных процессов. Ключевые слова: сетевое сканирование, случайный процесс, компьютерная атака, устойчивость инфор мационного обмена, вероятность вскрытия, средство разведки. DOI:10.21681/2311-3456-2022-4-80-90 1 Горбачев Александр Александрович, адъюнкт Краснодарского высшего военного орденов Жукова и Октябрьской Революции Краснознаменного училища имени генерала армии С.М. Штеменко, г. Краснодар, Россия. E‑mail: infosec23.00@ mail.ru. 2 Соколовский Сергей Петрович, кандидат технических наук, доцент Краснодарского высшего военного орденов Жукова и Октябрьской Революции Краснознаменного училища имени генерала армии С.М. Штеменко, г. Краснодар, Россия. E‑mail: mtd.krd@mail.ru. 3 Каплин Максим Андреевич, преподаватель Краснодарского высшего военного орденов Жукова и Октябрьской Революции Краснознаменного училища имени генерала армии С.М. Штеменко, г. Краснодар, Россия. E mail: popi901@yandex.ru. Введение Основным этапом любой из компьютерных атак (КА) является этап сетевой разведки (СР), открываю щий злоумышленнику широкие возможности по иссле дованию состава, структуры и алгоритмов функциони рования информационных систем (ИС), что обусловле но статичностью их структурно-функциональных харак теристик (СФХ). Однако появление технологии сетевой защиты Moving Target Defense (MTD), реализующей замену статических параметров ИС динамическими, позволяет оказывать злоумышленнику достаточно эффективные меры противодействия, направленные на снижение актуальности добытой средствами СР информации и вынуждающими его принимать невер ные решения в условиях неопределенности [1-7]. В качестве одного из направлений MTD выделяют техни ку динамически изменяемой сети (Dynamic network), направленную на конфигурирование сетевых пара метров, таких как используемые протоколы (вклю чая протоколы маршрутизации), IP-адреса и сетевые порты взаимодействия, MAC-адреса, алгоритмы шиф
81 УДК 004.94УДК 004.772 Сетевая безопасность рования,DOI:10.21681/2311-3456-2022-4-80-90используемыедляидентификации узлов ис точника и назначения, а также маршруты передачи трафика (информационные направления) [8-10]. В настоящее время разработан ряд научнотехнических предложений по конфигурированию структурно-функциональных характеристик (СФХ) ИС [11, 12]. Однако, в этих предложениях, а также в научных работах по исследованию функциони рования ИС в условиях СР в различных ситуациях а также [13-15], задача по определению оптималь ных параметров конфигурирования СФХ ИС, а имен но, частоты их конфигурирования, обеспечивающей минимизацию ресурсных затрат при заданном уров не защищенности ИС, не ставилась и не решалась. Вследствие чего настоящая статья будет посвящена решению данной задачи. Качественная постановка задачи Функционирование ИС с учетом конфигурирова ния ее СФХ на рассматриваемом уровне детализации связано со случайным взаимодействием элементов моделируемой системы со средствами СР, то есть с исследованием последовательностей случайных со бытий по поступлению в систему пакетов с определен ными идентификаторами. Указанные последователь ности событий инициируют переход ИС в пределах дискретного фазового пространства качественных состояний, характеризующих этапы СР. В связи с этим, оценка оптимальных параметров конфигурирования СФХ ИС, а именно частоты конфи гурирования СФХ ИС, производится на основании рас чета вероятностно-временных характеристик с учетом случайного характера описываемого процесса. Исходя из известных результатов4, полученных от носительно сходимости большинства массовых по токов независимых событий к процессу Пуассона, 4 Гнеденко Б. В., Коваленко И. Н. Введение в теорию массового обслуживания. М.: Наука, 1966. С. 152. вводится допущение об ординарности и отсутствии последействия рассматриваемых потоков событий. В общем случае поток событий является неоднород ным, что характеризуется нестационарностью случай ного процесса в широком смысле (зависимость его математического ожидания и дисперсии от времени). Вследствие того, что качественная характеристи ка моделируемой системы может быть представлена вектором дискретных состояний, изменяющихся под влиянием соответствующих последовательностей со бытий, целесообразно использование математиче ского аппарата теории вероятностей, в частности це пей (процессов) Маркова с непрерывным временем. Так как время ожидания наступления соседних собы тий в последовательности распределено экспоненци ально, то основной статистической характеристикой является интенсивность потока событий, численно равная математическому ожиданию количества со бытий в единицу времени. Марковский процесс с дискретным пространством состояний и непрерывным временем однозначно определяется ориентированным графом, представ ленным на рис 1. Пространство фазовых состояний моделируемой системы S представленных на графе является конечным множеством несовместных собы тий, описывающих существенные свойства системы и изменяющихся скачкообразно: S1 – состояние, в котором система функционирует в штатном режиме, активность средств СР и эксплуатация уязвимостей отсутствует; S2 – состояние, в котором злоумышлен ник с использованием средств СР идентифицировал IP-адреса и маски подсетей целевой системы, опре делил путь к целевым узлам системы; S3 – состояние, в котором злоумышленник с использованием средств СР вскрыл наличие средств сетевой защиты и иденти фицировал открытые сетевые порты; S4 – состояние, в котором злоумышленник с использованием средств СР идентифицировал типы и версии ОС, сервисов и служб, используемого ПО; S5 – состояние, в котором Рис. 1. Граф состояний моделируемой системы
82 Определение оптимальных параметров конфигурирования информационных... Вопросы кибербезопасности. 2022. № 4(50) злоумышленник осуществляет эксплуатацию уязвимостей.Эволюция процесса функционирования системы происходит под воздействием потоков случайных событий, которые характеризуются интенсивностями λij и трактуются следующим образом: λ12 – интенсивность потока ICMP- и DNS-запросов (определение пути к узлу и его активности); λ23 – интенсивность потока TCP- и UDP-запросов (определение открытых сетевых портов); λ34 – интенсивность потока TCP-, UDP- и ICMPзапросов (определение типа и версии ОС, сервисов и служб); λ45 – интенсивность потока событий по эксплуатации уязвимостей ИС. Значения интенсивностей потоков случайных событий, характеризующих действия злоумышленника при переходе моделируемой системы из состояния в состояние, определяются из следующих соображений. В рассматриваемом случае, в соответствии с особенностями функционирования сетевого сканера NMap [18], для TCP и UDP сканирования средство СР направляет в среднем два пакета на каждый сетевой порт, всего портов 65535 (TCP)+65535(UDP). Обычно сканируется только первые 1024 стандартных порта, итого 2048 (TCP+UDP). Для трассировки пути к узлу и для проверки его доступности NMap направляет каждому узлу два пакета ICMP Для распознавания типа и версии операционной системы (OS fingerprinting), программного обеспечения, а также сетевых сервисов и служб NMap отправляет до 16 TCP, UDP и ICMP запросов на известные открытые и закрытые порты целевого узла. Эти запросы специально применяются для исключения различных неоднозначностей в стандартных протоколах. В качестве средства противодействия СР применяется разработанное техническое решение, основанное на конфигурировании СФХ ИС, таких как IP-адреса, время их аренды, маска подсети, номера сетевых портов взаимодействия и доменные имена [19]. Основу технического решения составляет совокупность динамических DHCP и DNS серверов, управляемых специализированным контроллером, взаимодействующим с применяемыми в ИС средствами сетевой защиты. Потоки случайных событий, описывающие противодействие средствам СР со стороны системы защиты, характеризуются следующими параметрами: λ21 – интенсивность потока событий по конфигурированию IP-адресов узлов, изменяемых в рамках нескольких подсетей; λ31 – интенсивность потоков событий по конфигурированию IP-адресов узлов и номеров сетевых портов, изменяемых в рамках нескольких подсетей и пространства динамических портов, соответственно; λ41 – интенсивность потоков событий по конфигурированию IP-адресов узлов, номеров сетевых портов взаимодействия и доменных имен. Потоки событий средств защиты представляют собой команды между контроллером, DHCP сервером и клиентами на прекращение аренды действующих СФХ ИС и назначение новых. С целью проверки гипотезы о стационарности (однородности) марковского процесса, рассмотрим Рис. 2. Оценка зависимости интенсивности λ12(t)
83 УДК 004.94УДК 004.772 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-80-90 реализацию потока пакетов (ICMP- и DNS-запросов), посредством которых осуществляется сканирование адресного пространства IP-адресов узлов ИС. Оцен ка параметров потока пакетов осуществлялась с ис пользованием анализатора сетевого трафика Wire Shark, выборка проводилась на внешнем интерфей се маршрутизатора, отделяющего локальный сегмент моделируемой ИС, за интервал времени равный 2 часам. Применяя методы регрессионного анализа для оценки уравнения регрессии интенсивности λ12 от времени, с определенной степенью точности, можно сделать вывод о стационарности потока случайных со бытий на рассматриваемых временных интервалах (рис. 2). Формализованная постановка задачи Исходя из качественной интерпретации случай ного процесса, задачу по определению оптимальной частоты конфигурирования СФХ ИС можно сформули ровать следующим образом: с учетом заданной ма тематической модели ведения СР в условиях конфи гурирования СФХ, начальных условий и ограничений на матрицу входных, управляющих и выходных ха рактеристик модели, необходимо найти такой вектор управления (минимальных частот конфигурирования СФХ ИС), при которых обеспечивается определенная вероятность вскрытия (идентификации) ИС. Иными словами, решается задача определения оптимальных параметров конфигурирования СФХ, минимально ис пользующих ресурсные возможности ИС при обеспе чении заданного уровня ее защищенности (вероятно сти вскрытия ИС средствами СР). Вектор x(t) фазовых переменных (выходных харак теристик модели) системы – функции распределения Fij(t) времени, необходимого для достижения состо яния j из состояния i впервые. То есть функция рас пределения Fij(t) в момент времени t численно равна вероятности того, что система за интервал времени (0; t) впервые достигнет состояния j, если в начальный момент времени, система достоверно находилась в состоянии i: xt Ft Ft Ft(){(),(),,()}= 111215 (1) Входные характеристики модели можно пред ставить в виде квадратной матрицы интенсивностей потоков событий и/или плотностей вероятности слу чайных величин ζij времени по переходу системы из состояния Si в состояние Sj. λ == 11 15 51 55 11 ...15 ... ,( ) () ... () ft ft ft () ... ()ft ft51 55 . (2) Так как, рассматриваемый случайный процесс яв ляется марковским, то времена ожидания смены со стояний распределены по экспоненциальному закону с плотностями вероятностей: f te t ij ij ij t ζ λλ() ,, 0 (3) Вектор управления u(t) представляет собой набор средних интервалов времени ∆Ti , по истечении кото рых происходит конфигурирование (смена) СФХ ИС с целью воздействия на элементы вектора фазовых пе ременных системы. Указанные интервалы времени ∆Ti обратно пропорциональны интенсивностям (ча стотам) потоков событий конфигурирования СФХ ИС: uu uu= {,,} 123 , (4) uT uT uT11 21 22 31 33 41 11 1 == == ∆∆== ∆ λ;; . (5) Начальное условие: система в начальный момент времени t=0 достоверно находится в состоянии S1, то есть: xF FF(){(),(),,() 00}{,,,,} 110010000 1215 == . (6) Допустимые значения элементов вектора выход ных характеристик x(t) модели определяются, исходя из определения функции распределения непрерыв ной случайной величины: 01 ≤≤ Ft ij () . (7) Допустимые значения элементов вектора управле ния могут принимать следующие значения: uu uu uu1кр ≤≤ ≤∞ ≤≤ ∞3 , (8) Причем, минимальные значения интервалов вре мени uiкр конфигурирования СФХ ИС устанавливают ся, исходя из соображений обеспечения устойчиво сти информационного обмена между узлами ИС. Так, предельные частоты конфигурирования СФХ узла ИС задаются следующими: частота конфигурирования IP адресов u1кр. принимает значение от 30 мс, частота совместного конфигурирования IP-адресов и сетевых портов u2кр принимает значение от 60 мс, а конфи гурирование IP-адресов, сетевых портов и DNS-имен может производиться не чаще, чем через u3кр =5 сек. Выбор значений предельных частот конфигурирова ния каждого из СФХ ИС обусловлен наличием необхо димого времени на завершение аренды ранее задан
84 Определение оптимальных параметров конфигурирования информационных... Вопросы кибербезопасности. 2022. № 4(50) ных IP-адресов и других сетевых параметров, а также активных сетевых соединений и других процессов без нарушения информационного обмена в ИС [20]. Уравнение объекта управления (математическая модель процесса) представляет собой выражение по определению функций распределения времени, не обходимого для достижения впервые состояний слу чайного процесса: а) при условии, что марковский процесс представ ляет собой однонаправленную последовательность невозвратных состояний (без задействования меха низмов конфигурирования СФХ ИС), то плотность ве роятности суммы независимых случайных величин ζij времени по переходу системы из состояния Si в состо яние Sj, рассчитывается, исходя из формулы свертки [18]: f tf tf ftζζ ζζ12 45 12 1545++ ∗∗() () ... () , (9) а функция распределения рассчитывается соответ ственно: F tF tf ft dt t ζζ ζζ12 45 12 1545 0 ++ ∫∗∗() () ... () , (10) и свертка (10) для экспоненциальных распределений случайных величин ζij имеет следующий аналитиче ский вид: f t e ij ij ij ij ij t ij ij ζζ λ λ 12 45 1 5 12 112 5 ++ = =≠ = = ∏ ∏ , ,, (), 1 5 12 23 34 45 1 4 3 12 1623 ∑ ∀≠ ≠≠ == ,, () ! , () λ n nt t n te te = == = λ34 45 f t e ij ij ij ij ij t ij ij ζζ λ λ 12 45 1 5 12 112 5 ++ =≠ = = ∏ ∏ , ,, (), 1 5 12 23 34 45 1 4 3 12 1623 ∑ ∀≠ ≠≠ == ,, () ! , () λ n nt t n te te = == = λ34 45 (11) где n=3 – количество переходов системы из начально го состояния (S1) в финальное (S5); б) в противном случае (при λ21, λ31, λ41>0), существует возможность использования результатов теории полу марковских процессов [22], тогда искомая функция распределения в матричном виде будет иметь вид: F t j e s fs If sI If s x ts()lim()()(())=−() ×− →∞ 211111 π d ds xj xj + ∫ ω ω F t j e s fs If sI If s x ts()lim()()(())=−() ×− →∞ 211111 π d ds xj xj + ∫ ω ω (12) fs Lf te ft stdt ()()(), = [] = ∞ ∫ 0 (13) где f(s) – преобразование Лапласа от матрицы плот ностей вероятностей f(t); I – единичная матрица, раз мерность которой совпадает с мощностью простран ства фазовых состояний марковского процесса; опе ратор « × » обозначает бинарную операцию поэле ментного произведения элементов матриц. Функционал качества (целевая функция) представляет собой следующее выражение: Jx tu uF uF uF uF[( ), ,] (( max, (( maλ λ λ= 1121 12 2132 13 x x, (( )) max.uF3143 14λ кр. кр. кр. (14) где F кр. 12 – критическое значение вероятности того, что средство сетевой разведки достигнет состояния S2 за интервал времени ∆T1 ; F кр. 13 – критическое значе ние вероятности того, что средство СР достигнет со стояния S3 за интервал времени ∆T2 ; F14 кр – критическое значение вероятности того, что средство СР достигнет состояния S4 за интер вал времени ∆T3 Пусть F крFF12 13 14 02 , =кр кр . Определим функцию распределения F12(t) для ориентированного графа (рис.1) без конфигурирования СФХ ИС и опре делим значение среднего интервала времени ∆T1 реконфигурации значений IP-адресов узлов ИС: Ft fdte t t 12123 04 ()1. == ∫ (15) Как видно из рис. 3, получившееся значение ∆T102975 = , с на порядок выше предельно допу стимого значения u1кр =30 мс, что говорит о наличии адаптационного ресурса для повышения частоты кон фигурирования IP-адресов при повышении интенсив ности сканирования защищаемой ИС средством СР. Аналогично (рис. 3), определим функцию распределения F13(t) с учетом интенсивности λ21 1 1 0 2975== ∆T , с конфигурирования IP адресов и определим значение среднего интервала времени ∆T2 совместного изменения IP-адресов и сетевых портов на узлах ИС: Ft ee tt 1340303505 ()10000578018786118843 ,,, ,,=+ ⋅+ 2459899 TA ,∆=Ft ee e tt 134030350500 108 ()000578018786118843 ,,, ,,,=+ ⋅+ ⋅− ⋅ 0 2099 459899 t TA,,∆= Ft ee tt 1340303505 ()10000578018786 ,, ,,=+ ⋅+ 2459899 TA ,∆= (16) Значение ∆T2459899 = , с более, чем на поря док выше предельно допустимого значения u2кр =60 мс, что также указывает на существование адаптаци онного ресурса для повышения частоты конфигуриро вания IP-адресов и сетевых портов узлов ИС. Далее, с учетом значений IP-адресов и сетевых портов узлов определим функцию распределения
85 УДК 004.94УДК 004.772 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-80-90 Рис. 3. Определение значения интервала времени реконфигурации IP-адресов узлов ИС Рис. 4. Определение значений интервалов времени конфигурирования СФХ (IP-адресов, IP-адресов и сетевых портов, IP-адресов и сетевых портов и DNS-имен) узлов ИС
86 Определение оптимальных параметров конфигурирования информационных... Вопросы кибербезопасности. 2022. № 4(50) F14(t) и интервал времени совместного изменения IP адресов, сетевых портов и DNS-адресов ( ∆T3 ): Ft ee tt 13640303105409 (),, =⋅1,0+3,751710+0,60404,6507 +9,86707+ 5,57660,1049⋅− ⋅− ⋅ e ee e t tt 004034 3333030340, ,,,,,,, 3145900287 808 tt e TA −⋅ = 1,1388) ∆ ee tt 640303105409 ,,=⋅+3,751710+0,60404,65075,57667+ 0,1049⋅− ⋅− ⋅ e ee e t tt 333304034 030340, ,,,,,, 145900287 tt e−⋅1,1388) Ft ee tt 13640303105409 (),, =⋅1,0+3,751710+0,60404,6507 +9,86707+ 5,57660,1049 e ee e t tt 004034 3333030340, ,,,,,,, 3145900287 808 tt e TA = 1,1388) ∆ ee tt 640303105409 ,,=⋅+3,751710+0,60404,65075,57667+ 0,1049⋅− ⋅− ⋅ e ee e t tt 333304034 030340, ,,,,, 145900287 tt e−⋅1,1388) Ft ee tt 13640303105409 (),, =⋅1,0+3,751710+0,60404,6507 +9,86707+ 5,57660,1049⋅− ⋅− ⋅ e ee e t tt 004034 3333030340, ,,,,,,, 3145900287 808 tt e TA −⋅ = 1,1388) ∆ (17) Достигаемый положительный эффект за счет кон фигурирования СФХ ИС демонстрируется графиче ской интерпретацией функции распределения време ни, необходимого для достижения финального состоя ния S5, характеризующего эксплуатацию уязвимостей злоумышленником, без учета конфигурирования СФХ (рис. 5, кривая 1), с учетом оптимальных параметров конфигурации СФХ (рис. 5, кривая 2), и с учетом пре дельно допустимых параметров конфигурации СФХ (рис. 5, кривая 3). Как видно из рис. 5, использование оптимальных параметров конфигурирования СФХ ИС, минимально использующих ее ресурсы, обеспечивает увеличение времени, необходимого для начала эксплуатации уяз вимостей злоумышленником, при заданных интен сивностях сканирования, с вероятностью 0,2 более чем в два раза с ∆T ', = 468 с до ∆T '', = 1311 с, а конфигурирование СФХ ИС с предельными значения ми параметров, увеличивают продолжительность это го интервала времени более чем на два порядка до ∆T ''' = 1982 с. Также, решением системы дифференциальных уравнений Колмогорова с учетом варьирования од ного из дополнительных параметров, можно оценить характер переходного процесса и длительность вре мени, необходимого для начала эксплуатации уязви мостей злоумышленником, при фиксированных зна чениях параметров конфигурирования СФХ и измене нии интенсивности сканирования. Решение данной системы дифференциальных уравнений может быть получено в аналитической форме с использованием метода Эйлера и поиском собственных чисел и векторов матрицы интенсивно стей потоков событий либо с использованием числен ных методов (явные, неявные методы Рунге-Кутта, Эй лера, многошаговый метод Адамса, метод Гира и т.д.). Графическая форма численного решения вышеу казанного уравнения неявным методом Рунге-Кутта Рис. 5. Оценка эффекта от конфигурирования СФХ ИС в условиях сетевой разведки
87 УДК 004.94УДК 004.772 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-80-90 8 порядка (рис. 6) позволяет оценить характер зави симости вероятности пребывания системы в состоя нии S5 при увеличении интенсивности сканирования IP-адресов.Каквидно из рис. 6, при заданных предельных зна чениях параметров конфигурирования СФХ ИС, при интенсивности сканирования λ12 5= с-1 злоумышлен ником будет достоверно осуществлена идентифика ция ИС и проведена эксплуатация ее уязвимостей за интервал времени равный 2000 с. Таким образом, в зависимости от интенсивностей сканирования существует возможность конфигури рования СФХ ИС с целью снижения результативности ведения СР и возможности эксплуатации уязвимостей ИС, при заданном уровне защищенности ИС и обеспе чения устойчивости информационного обмена. Выводы В статье рассмотрена задача поиска оптималь ной частоты конфигурирования СФХ ИС на каждом из этапов СР с учетом выполнения требований по мини мальному использованию ресурсных возможностей ИС и обеспечению заданного значения вероятности ее вскрытия. С использованием методологии теории вероятностей и математической статистики выполне на качественная и формализованная постановка за дачи, сформулированы критерии оптимизации пара метров конфигурирования СФХ ИС. Получены значения оптимальных параметров кон фигурирования СФХ ИС, позволяющие обеспечивать заданный уровень защищенности ИС и устойчивости ее информационного обмена. Из полученных резуль татов видно, что конфигурирование СФХ ИС с опти мальными параметрами обеспечивает увеличение времени идентификации ИС средствами СР с после дующей эксплуатацией ее уязвимостей злоумышлен ником, при заданных интенсивностях сканирования, более чем в два раза, а конфигурирование СФХ ИС с предельными значениями параметров, увеличивает длительность идентификации с последующей эксплу атацией уязвимостей ИС более чем на два порядка. Научная новизна предложенного метода заключа ется в решении задачи скалярной оптимизации ча стоты конфигурирования структурно-функциональных характеристик информационной системы в условиях сетевой разведки с использованием математическо го аппарата полумарковских случайных процессов Рис. 6. Зависимость вероятностей пребывания системы от времени и интенсивности сканирования IP-адресов средствами СР Рецензент: Максимов Роман Викторович, доктор технических наук, профессор, профессор Краснодарского высшего военного орденов Жукова и Октябрьской Революции Краснознаменного училища имени генерала армии С.М. Штеменко, г. Краснодар, Россия. E-mail: rvmaxim@yandex.ru
88 Определение оптимальных параметров конфигурирования информационных... Вопросы кибербезопасности. 2022. № 4(50) Литература 1. Kanellopoulos, A., Vamvoudakis, K.G. A Moving Target Defense Control Framework for Cyber-Physical Systems. IEEE Trans. Autom. Control 2020, 65, 1029-1043. 2. Sengupta, S., Chowdhary, A., Sabur, A., Alshamrani, A., Huang, D., Kambhampati, S. A Survey of Moving Target Defenses for Network Security. IEEE Commun. Surv. Tutor. 2020, 22, 1909-1941. 3. Giraldo, J. and Cardenas, A. A. Moving target defense for attack mitigation in multi-vehicle systems. In Proactive and Dynamic Network Defense, Cham, Switzerland:Springer, 2019, 163-190. 4. Vadlamudi, S. G., Sengupta, S., Taguinod, M., Zhao, Z., Doup´e, A., Ahn, G.-J. and Kambhampati, S. Moving target defense for web applications using bayesian stackelberg games. In Proceedings of AAMAS, 2016, 1377–1378. 5. Иванов И.И., Максимов Р.В. Спецификация функциональной модели для расширения пространства демаскирующих признаков в виртуальных частных сетях / И.И. Иванов, Р.В. Максимов // Инновационная деятельность в Вооруженных Силах Российской Федерации: сб. тр. участников всеармейской научно-практической конференции. – Санкт-Петербург, 2017. С. 138-147. 6. Иванов И.И., Максимов Р.В. Этюды технологии маскирования функционально-логической структуры информационных систем / И.И. Иванов, Р.В. Максимов // Инновационная деятельность в Вооруженных Силах Российской Федерации: сб. тр. участников всеармейской научно-практической конференции. – Санкт-Петербург, 2017. С. 147-154. 7. Maximov R.V., Ivanov I.I., Sharifullin S.R. Network Topology Masking in Distributed Information Systems // Selected Papers of the VIII All-Russian Conference with International Participation «Secure Information Technologies» (BIT 2017). Bauman Moscow Technical University. December 6-7, 2017, Moscow, Russia. P. 83-87. 8. Yan S., Huang X., Ma M., Zhang P., Ma Y. A novel efficient address mutation scheme for IPv6 networks // IEEE Access, vol. 5, 2017. Р. 7724–7736. 9. Cho, J., Sharma, D.P. Toward Proactive, Adaptive Defense: A Survey on Moving Target Defense. IEEE Commun. Surv. Tutor. 2020, 22, 709-745. 10. Sokolovsky, S.P., Telenga, A.P., Voronchikhin, I.S. Moving target defense for securing Distributed Information Systems // Информатика: проблемы, методология, технологии. Сборник материалов XIX международной научно-методической конференции / под редакци ей Д.Н. Борисова. Воронеж.: ВГУ, 2019. С. 639-643. 11. Способ защиты вычислительных сетей. Пат. 2716220 Рос. Федерация, МПК G06F 21/606 / Максимов Р.В., Соколовский С.П., Ворончихин И.С.; заявитель и патентообладатель Краснодарское высшее военное училище (RU). № 2019123718; заявл. 22.07.2019; опубл. 06.03.20. Бюл. № 7. 33 с. 12. Способ защиты вычислительных сетей. Пат. 2726900 Рос. Федерация, МПК G06F 21/554 / Максимов Р.В., Соколовский С.П., Во рончихин И.С., Гритчин А.Д. и др.; заявитель и патентообладатель Краснодарское высшее военное училище (RU). № 2019140769; заявл. 19.12.2019; опубл. 16.07.20. Бюл. № 20. 45 с. 13. Максимов Р.В., Соколовский С.П., Ворончихин И.С. Алгоритм и технические решения динамического конфигурирования клиентсерверных вычислительных сетей // Информатика и автоматизация. 2020. № 5. С. 1018-1049. 14. Соколовский С.П. Модель защиты информационной системы от сетевой разведки динамическим управлением ее структурнофункциональными характеристиками // Вопросы оборонной техники. Серия 16 противодействие терроризму. 2020. № 7-8. С. 62-73. 15. Wang K., Chen X., Zhu Y. Random domain name and address mutation (RDAM) for thwarting reconnaissance attacks // PLoS ONE 12 (5): e01771112017, 2017. Р. 22. 16. 16. Соколовский С.П., Максимов Р.В., Ворончихин И.С. Алгоритм и технические решения динамического конфигурирования кли ент-серверных вычислительных сетей // Информатика и автоматизация, 2020. Т. 19. № 5. С. 1090–1121. 17. Iskolnyy B.B., Maximov R.V., Sharifullin S.R. Survivability Assessment of Distributed Information and Telecommunication Networks // Selected Papers of the VIII All-Russian Conference with International Participation «Secure Information Technologies» (BIT 2017). Bauman Moscow Technical University. December 6-7, 2017, Moscow, Russia. P. 59-65. 18. Glen D. Learn Kali Linux 2019: Perform powerful penetration testing using Kali Linux, Metasploit, Nessus, Nmap, and Wireshark. Birmingham: Packt Publishing, 2019. 550 p. 19. Мультисервисный маршрутизатор с управлением параметрами сетевых соединений и маскированием вычислительной сети. Пат. 205636 Рос. Федерация, МПК H04L 12/00 / Максимов Р.В., Соколовский С.П., Ворончихин И.С., Гугин А.Ю.; заявитель и патентообладатель Общество с ограниченной ответственностью «Питер Софт» (RU). – № 2020128357; заявл. 24.08.2020; опубл. 23.07.2021. Бюл. № 21. 21 с. 20. Wang, K., Chen, X., Zhu, Y. Random domain name and address mutation (RDAM) for thwarting reconnaissance attacks. PLoS ONE 12 (5): e01771112017, 2017, 22 р. https://doi.org/10.1371/journal.pone.0177111.
3. Giraldo, J. and Cardenas, A. A. Moving target defense for attack mitigation in multi-vehicle systems. In Proactive and Dynamic Network Defense, Cham, Switzerland:Springer, 2019, 163-190.
4. Vadlamudi, S. G., Sengupta, S., Taguinod, M., Zhao, Z., Doup´e, A., Ahn, G.-J. and Kambhampati, S. Moving target defense for web applications using bayesian stackelberg games. In Proceedings of AAMAS, 2016, 1377–1378.
5 Alexander A. Gorbachev, Applicant for academic degree of Ph.D., Krasnodar, Krasnodar Higher Military Orders of Zhukov and the October Revolution Red Banner School named after General of the Army S.M. Shtemenko, Krasnodar, Russia. E-mail: infosec23.00@mail.ru
References
Research objective: to improve the information systems security against network reconnaissance.
89 УДК 004.94УДК 004.772 Сетевая безопасность DOI:10.21681/2311-3456-2022-4-80-90
6 Sergey P. Sokolovsky, Ph.D., Associate Professor, Krasnodar Higher Military Orders of Zhukov and the October Revolution Red Banner School named after General of the Army S.M. Shtemenko, Krasnodar, Russia. E-mail: mtd.krd@mail.ru
Research result: the task of determining the optimal frequency of dynamic configuration of the information system’s structural and functional characteristics at each stage of network reconnaissance, taking into account the requirements for the minimum use of resource capabilities and ensuring a given value of the probability of disclosure of true values of the characteristics of the protected object was solved. The process of network reconnaissance and counteraction is formalized in the form of a Markov random process with discrete states and continuous time. Based on considerations of stability of information exchange between nodes of information system and capabilities of network reconnaissance, the maximum values of time intervals of dynamic configuration of structural and functional characteristics are determined. The obtained values of the optimal and maximum allowable frequency of dynamic configuration allow to estimate the time of disclosure of information system at given intensities of network scanning by reconnaissance tools. The results allow to provide a given level of protection of information system and the stability of its information exchange at the expense of the optimal frequency of dynamic configuration of its structural and functional characteristics.
7 Maxim A. Kaplin, Lecturer, Krasnodar Higher Military Orders of Zhukov and the October Revolution Red Banner School named after General of the Army S.M. Shtemenko, Krasnodar, Russia. E-mail: popi901@yandex.ru
6. Ivanov I.I., Maksimov R.V. Jetjudy tehnologii maskirovanija funkcional’no-logicheskoj struktury informacionnyh sistem / I.I. Ivanov, R.V. Maksimov // Innovacionnaja dejatel’nost’ v Vooruzhennyh Silah Rossijskoj Federacii: sb. tr. uchastnikov vsearmejskoj nauchnoprakticheskoj konferencii. – Sankt-Peterburg, 2017. S. 147-154.
1. Kanellopoulos, A., Vamvoudakis, K.G. A Moving Target Defense Control Framework for Cyber-Physical Systems. IEEE Trans. Autom. Control 2020, 65, 1029-1043.
5. Ivanov I.I., Maksimov R.V. Specifikacija funkcional’noj modeli dlja rasshirenija prostranstva demaskirujushhih priznakov v virtual’nyh chastnyh setjah / I.I. Ivanov, R.V. Maksimov // Innovacionnaja dejatel’nost’ v Vooruzhennyh Silah Rossijskoj Federacii: sb. tr. uchastnikov vsearmejskoj nauchno-prakticheskoj konferencii. – Sankt-Peterburg, 2017. S. 138-147.
Keywords: network scanning, random process, computer attack, stability of information exchange, probability of disclosure, reconnaissance tool.
determination of optimal parameterS for confiGurinG information SyStemS in the conditionS of network intelliGence Gorbachev A.A.5, Sokolovsky S.P.6, Kaplin M.A.7
Methods used: in order to achieve the goal of the research, the methods of mathematical statistics and random processes study were used.
2. Sengupta, S., Chowdhary, A., Sabur, A., Alshamrani, A., Huang, D., Kambhampati, S. A Survey of Moving Target Defenses for Network Security. IEEE Commun. Surv. Tutor. 2020, 22, 1909-1941.
Scientific novelty: solving the problem of scalar optimization of the frequency of configuration of the structural and functional characteristics of the information system under conditions of network reconnaissance using the mathematical apparatus of semi Markov random processes.
7. Maximov R.V., Ivanov I.I., Sharifullin S.R. Network Topology Masking in Distributed Information Systems // Selected Papers of the VIII All-Russian Conference with International Participation «Secure Information Technologies» (BIT 2017). Bauman Moscow Technical University. December 6-7, 2017, Moscow, Russia. P. 83-87.
90 Определение оптимальных параметров конфигурирования информационных... Вопросы кибербезопасности. 2022. № 4(50) 8. Yan S., Huang X., Ma M., Zhang P., Ma Y. A novel efficient address mutation scheme for IPv6 networks // IEEE Access, vol. 5, 2017. R. 7724–7736. 9. Cho, J., Sharma, D.P. Toward Proactive, Adaptive Defense: A Survey on Moving Target Defense. IEEE Commun. Surv. Tutor. 2020, 22, 709-745. 10. Sokolovsky, S.P., Telenga, A.P., Voronchikhin, I.S. Moving target defense for securing Distributed Information Systems // Informatika: problemy, metodologija, tehnologii. Sbornik materialov XIX mezhdunarodnoj nauchno-metodicheskoj konferencii / pod redakciej D.N. Borisova. – Voronezh.: VGU, 2019. S. 639-643. 11. Sposob zashhity vychislitel’nyh setej. Pat. 2716220 Ros. Federacija, MPK G06F 21/606 / Maksimov R.V., Sokolovskij S.P., Voronchihin I.S.; zajavitel’ i patentoobladatel’ Krasnodarskoe vysshee voennoe uchilishhe (RU). – № 2019123718; zajavl. 22.07.2019; opubl. 06.03.20. Bjul. № 7. 33 s. 12. Sposob zashhity vychislitel’nyh setej. Pat. 2726900 Ros. Federacija, MPK G06F 21/554 / Maksimov R.V., Sokolovskij S.P., Voronchihin I.S., Gritchin A.D. i dr.; zajavitel’ i patentoobladatel’ Krasnodarskoe vysshee voennoe uchilishhe (RU). – № 2019140769; zajavl. 19.12.2019; opubl. 16.07.20. Bjul. № 20. 45 s. 13. Maksimov R.V., Sokolovskij S.P., Voronchihin I.S. Algoritm i tehnicheskie reshenija dinamicheskogo konfigurirovanija klient-servernyh vychislitel’nyh setej // Informatika i avtomatizacija. 2020. № 5. S. 1018-1049. 14. Sokolovskij S.P. Model’ zashhity informacionnoj sistemy ot setevoj razvedki dinamicheskim upravleniem ee strukturno-funkcional’nymi harakteristikami // Voprosy oboronnoj tehniki. Serija 16 protivodejstvie terrorizmu. 2020. № 7-8. S. 62-73. 15. Wang K., Chen X., Zhu Y. Random domain name and address mutation (RDAM) for thwarting reconnaissance attacks // PLoS ONE 12 (5): e01771112017, 2017. R. 22. 16. Sokolovskij S.P., Maksimov R.V., Voronchihin I.S. Algoritm i tehnicheskie reshenija dinamicheskogo konfigurirovanija klient-servernyh vychislitel’nyh setej // Informatika i avtomatizacija, 2020. T. 19. № 5. S. 1090–1121. 17. Iskolnyy B.B., Maximov R.V., Sharifullin S.R. Survivability Assessment of Distributed Information and Telecommunication Networks // Selected Papers of the VIII All-Russian Conference with International Participation «Secure Information Technologies» (BIT 2017). Bauman Moscow Technical University. December 6-7, 2017, Moscow, Russia. P. 59-65. 18. Glen D. Learn Kali Linux 2019: Perform powerful penetration testing using Kali Linux, Metasploit, Nessus, Nmap, and Wireshark. Birmingham: Packt Publishing, 2019. 550 p. 19. Mul’tiservisnyj marshrutizator s upravleniem parametrami setevyh soedinenij i maskirovaniem vychislitel’noj seti. Pat. 205636 Ros. Federacija, MPK H04L 12/00 / Maksimov R.V., Sokolovskij S.P., Voronchihin I.S., Gugin A.Ju.; zajavitel’ i patentoobladatel’ Obshhestvo s ogranichennoj otvetstvennost’ju «Piter Soft» (RU). – № 2020128357; zajavl. 24.08.2020; opubl. 23.07.2021. Bjul. № 21. 21 s. 20. Wang, K., Chen, X., Zhu, Y. Random domain name and address mutation (RDAM) for thwarting reconnaissance attacks. PLoS ONE 12 (5): e01771112017, 2017, 22 r. https://doi.org/10.1371/journal.pone.0177111.
91 УДК 004.94УДК 004.056.57 Применение методов кодирования и криптографии ИСПОЛЬЗОВАНИЕ DNS-ТУННЕЛИРОВАНИЯ ДЛЯ ПЕРЕДАЧИ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ Москвичев А.Д.1, Москвичева К.С.2 Цель статьи: разработать способ увеличения уровня защищенности информационной системы от атаки с использованием DNS-туннелирования. Метод: использование энтропии для выявления доменов и поддоменов, использующихся при передаче данных через DNS-туннель. Полученный результат: рассмотрен метод передачи данных через протокол DNS в обход средств защиты информации. Осуществлена передача вредоносного файла с использованием DNS-туннелирования, произве ден анализ работы средств защиты информации при передаче. Средства защиты информации не выявляют передачу вредоносного файла через DNS-протокол, однако выявляют в случае передачи в открытом виде. Дано понятие энтропии информации, ее роли в обработке данных. С помощью расчета энтропии для домен ных имен выявлен домен, используемый при передаче вредоносного файла по DNS-туннелю. Сделан вывод о том, что энтропия может использоваться не только для выявления передачи данных через DNS-туннель, но и выявления активности вредоносного программного обеспечения, использующего в своей работе случайные доменные и поддоменные имена. Научная новизна заключается в том, что вредоносная активность выявляется без использования базы знаний. Нет необходимости сигнатурно проверять каждый DNS запрос, достаточно рассчитать энтропию для выявления атаки. Ключевые слова: компьютерная атака, защита информации, suricata, энтропия, SIEM, брокер сообщений, elasticsearch. DOI:10.21681/2311-3456-2022-4-91-99 Введение 1 Москвичев Антон Дмитриевич, аспирант, ФГБОУ ВО «Тихоокеанский государственный университет», г. Хабаровск, Россия. E-mail: anton.moskvichev.1996@yandex.ru, ORCID: 0000-0001-6532-2463 2 Москвичева Ксения Сергеевна, студент, ФГБОУ ВО «Тихоокеанский государственный университет», г. Хабаровск, Россия. E-mail: 2016104073@pnu.edu.ru. DNS (англ. Domain Name System – система домен ных имён) – компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись). Распределённая база данных DNS поддерживается с помощью иерар хии DNS-серверов, взаимодействующих по опреде лённому протоколу. Архитектура DNS остается неиз менной с момента своего создания, но функции суще ственно изменились. Начиная с 90- х годов, DNS стали использовать в качестве инструмента балансировки нагрузки серверов информационных ресурсов – алго ритм Round Robin, который применяется серверами доменных имен при ответе на запросы клиентов. Роль доменного имени в процессе установки соединения –получение IP адреса. DNS представляет собой службу стека TCP/IP, пре образующую доменные имена в IP-адрес или, наобо рот, конвертирующую IP-адрес в компьютерное или доменное имя. Этот процесс называется разрешени ем имен или адресов3 1. DNS протокол, общие сведения Система DNS функционирует по схеме рекурсив ных или итеративных запросов, когда компьютер-кли ент обращается за IP-адресом указанного пользова телем доменного имени к DNS-серверу, явно указан 3 Мищенко П.В. Сетевые службы FTP и DNS: учебное пособие / П.В. Мищенко. Новосибирск : Новосибирский государственный технический университет, 2018. 66 с. ISBN 978-5-7782-3731-5.
92 Определение оптимальных параметров конфигурирования информационных... Вопросы кибербезопасности. 2022. № 4(50) ному в свойствах его подключения к компьютерной сети или сообщаемому провайдером. В результате поиска DNS-сервер должен разрешить, то есть пре образовать доменное имя в IP-адрес и вернуть его клиенту. При итеративном методе разрешения имён DNS-сервер выступает в роли клиента и опрашивает другие DNS-сервера в порядке убывания, начиная от корневых DNS-серверов и заканчивая последним, ав торитетным за нужную DNS-зону 4. Рассмотрим, как работает данный метод: 1. Пользователь хочет получить доступ по имени www.inadmin.ru и отправляет запрос на свой DNS-сервер. 2. DNS сервер видит, что пришёл запрос, и у него в кэше нет ответа, какой IP-адрес у www.inadmin.ru. 3. Так как сервер не знает, где находится www.inad min.ru, он обращается к корневому DNS-серверу, и спрашивает, где находится www.inadmin.ru. 4. Корневой DNS-сервер не знает, где хранятся за писи для домена www.inadmin.ru, но знает, кто от ветственный за домен первого уровня .ru и воз вращает нашему DNS серверу его IP, например, 193.232.142.17. 5. Наш DNS сервер обращается к 193.232.142.17 с просьбой сообщить IP для www.inadmin.ru. Но этот DNS тоже не знает ничего про наш адрес. Но знает, что есть DNS-сервер, который отвеча ет за inadmin.ru ивозвращает его IP, например, 195.128.64.3. 6. Наш DNS сервер обращается к 195.128.64.3 с просьбой сообщить IP для www.inadmin.ru. А вот этот сервер уже имеет нужную нам ресурсную запись, в которой указан IP-адрес, который мы ищем, и возвращает его нашему DNS-серверу. 7. Наш DNS сервер возвращает данный IP-адрес клиенту. Теперь клиент может подключиться по имени к серверу www.inadmin.ru. При рекурсивном методе DNS-сервер просто пере сылает данные другому DNS-серверу, чтобы тот выпол нил всю работу (рекурсивно или итеративно) и вернул искомые данные, то есть возлагает задачу «хождения» по авторитетным DNS-серверам на своего «коллегу». Кроме того, существует прямой и обратный DNSзапрос. Система DNS преобразовывает имена в IPадреса и обратно. Обратное преобразование и осу ществляется по обратному DNS-запросу. Для этого зарезервирован специальный домен in-addr.arpa, в 4 Основы администрирования информационных систем : учебное по собие : [16+] / Д. О. Бобынцев, А. Л. Марухленко, Л. О. Марухленко [и др.]. Москва ; Берлин : Директ-Медиа, 2021. 201 с. : ил., табл. котором хранятся PTR-записи. Октеты IP адреса хра нятся в обратном порядке. Так для ip 1.2.3.4 будет соз дана запись вида 4.3.2.1.in-addr.arpa. При запросе имени происходит несколько важных процедур, которые необходимо учитывать. Во-первых, данные о связке имя – IP адрес может храниться в нескольких местах (Hosts, DNS Cash, Lmhosts, DNS Server и др). Для того что бы полностью понимать принцип работы – нужно знать порядок, в котором Windows пытается разрешить любое имя. 1. При разрешении имени сверяется с локальным именем компьютера. 2. Если локальное имя не совпадает с запраши ваемым, то выполнятеся поиск в DNS Cash. В DNS-кэш динамически загружаются данные из файла HOSTS, поэтому поиск по файлу hosts не происходит, его данные всегда в памяти ПК, что ускоряет обработку. Файл Hosts расположен в%systemroot% \System32\Drivers\Etc. 3. Если имя не разрешилось в IP адрес, то пересы лается на DNS сервер, который задан в сетевых настройках. 4. Если имя сервера плоское (к примеру: server1) и не может быть разрешено с помощью DNS, то имя конвертируется в NetBIOS имя и ищется в ло кальном кэше. 5. Если имя не может разрешиться, то ищется на WINS серверах. 6. Если имя не может быть определено и на WINS сервере, то ищется с помощью BROADCAST за проса в локальной подсети. 7. Если имя не определилось, то ищется в файле ПоискLMHOSTS.повсем 7-ми шагам прекращается, как только находится первое вхождение, удовлетворяю щие условиям. Посмотреть кэш можно по команде ipconfig /displaydns. Очистить кэш можно по команде ipconfig/flushdns.Ресурснаязапись является главной структурной единицей системы DNS, с помощью которой система выполняет свои функции. Фактически в ресурсных записях DNS-сервера содержатся все сведения, ко торые необходимы, чтобы дать ответ на поступивший DNS-запрос. Рассмотрим основные виды ресурсных записей 5 Запись A (address) – это главная адресная запись, необходимая для связи домена и IP5 Сергеев, А. Н. Основы локальных компьютерных сетей : учебное по собие для вузов / А. Н. Сергеев. 3 е изд., стер. Санкт-Петербург : Лань, 2021. 184 с. ISBN 978-5-8114-6855-3.
93 УДК 004.94УДК 004.056.57 Применение методов кодирования и криптографии DOI:10.21681/2311-3456-2022-4-91-99адресасервера.Проще говоря, для работы сайта и всех поддоменов. Для протокола IPv4 используется запись А, для протокола IPv6 – за пись CNAMEАААА.(Canonical name) – каноническое имя для псевдонима. Запись CNAME чаще всего ис пользуется для переадресации поддомена на другой домен. MX (Mail Exchanger) – адрес почтового шлюза для домена. Состоит из двух частей – приорите та и адреса узла. Записи MX критически важны для работы почты. Благодаря им отправляющая сторона «понимает» на какой сервер нужно от правлять почту для вашего домена. NS (Authoritative name server) – адрес узла, от вечающего за доменную зону. Проще говоря, запись NS указывает, какие DNS-серверы хра нят информацию о домене. Критически важна для работы службы DNS. Обратная DNS-запись PTR связывает IP-адрес сервера с его каноническим именем (доме ном). PTR-запись широко применяется в филь трации почты. Для всех серверов виртуально го хостинга REG.RU обратные DNS-записи уже прописаны. Если у вас виртуальный сервер VPS или выделенный сервер, прописать PTR-запись можно по инструкции. SOA (Start of Authority) – указывает, на каком сервере хранится эталонная информация о до менном имени. Критически важна для работы службы DNS. SPF (Sender Policy Framework) – указыва ет сервера, которые могут отправлять почту от имени домена. Запись SPF вносят в TXTзапись домена. TXT (Text string) – содержит любую текстовую запись. Широко применяется для проверок на право владения доменом при подключении до полнительных сервисов, а также для записи SPF и ключа DKIM. Записей TXT может быть сколько угодно. 2. Передача зараженного файла методом DNS-туннелирования Пусть злоумышленник получил доступ к узлу в ин формационной системе. Ему необходимо доставить вредоносное программное обеспечение на узел. Од нако, на периметре информационной системы уста новлен межсетевой экран, способный анализировать трафик на уровне приложения. Поэтому использова ние нелегитимных протоколов может скомпрометиро вать его нахождение в информационной системе. Поставленная задача решается путем передачи вредоносного программного обеспечения методом DNS-туннелирования. Алгоритм действий: 1. Злоумышленник размещает в сети подконтроль ный себе DNS-сервер. 2. Злоумышленник кодирует вредоносное про граммное обеспечение в текстовый формат, на пример, строку base64. 3. Злоумышленник размещает полученную строку на DNS-сервере в качестве ресурсной записи типа TXT. Для большей маскировки можно раз бить строку на подстроки и разместить в соответ ствие разным поддоменам. 4. Злоумышленник на узле с помощью утилиты nslookup запрашивает ресурсную запись у DNSсервера, тем самым получает вредоносное про граммное обеспечение в формате base64, пре образует с помощью powershell строку base64 в исполняемый файл. Для реализации атаки злоумышленник использует DNS-сервер bind9 с настройками для обслуживания домена evil.local [1, с.184; 2, с.383]. Информация о поддоменах домена evil.local расположена в файле / etc/bind/db.evil.local.Дляпроведенияэксперимента разработан сцена рий на языке bash (рис. 1) [3, с.187] для настройки DNS-сервера для передачи зараженного файла. В качестве зараженного файла выбрано вредоносное программное обеспечение mimikatz, представляю щее собой бинарный файл [4, с.136; 5, с.363]. Сце нарий преобразует файл mimikatz в формат base46 и записывает результат в файл mimi.b64. Далее для каждой строки из mimi.b64 сценарий генерирует имя поддомена и записывает в базу вместе с соответству ющей строкой. В качестве имени поддомена исполь зуется хеш MD5. Дополнительно сценарий записы вает полученные имена поддомена в файл urls. Этот файл нужен для сборки файла mimikatz на стороне жертвы, однако в нем нет необходимости если домен ные имена можно сгенерировать на стороне жертвы средствами операционной системы. Получение файла через DNS-туннель осуществля ется с помощью сценария на языке powershell (рис. 2) [6, с.23]. Сценарий принимает сгенерированный список поддоменов. Для каждого имени поддоме на делает запрос к DNS-серверу злоумышленника, тем самым получая части файла mimikatz в форма те base64, и записывает в файл mimi.b64. Далее
94 Использование dns-туннелирования для передачи вредоносного программного... Вопросы кибербезопасности. 2022. № 4(50) Рис. 1. Сценарий для настройки DNS-сервера для передачи зараженного файла Рис. 2. Сценарий, получающий файл mimikatz через DNS-туннель Рис. 3. Журналы системы обнаружения вторжений suricata при передаче файла mimikatz
95 УДК 004.94УДК 004.056.57 Применение методов кодирования и криптографии сценарийDOI:10.21681/2311-3456-2022-4-91-99декодируетсодержимое файла mimi.b64 и записывает в файл mimikatz.exe, который является исполняемым файлом mimikatz. Пусть в информационной системе, где находится компьютер жертвы, работает система обнаружения вторжений suricata. Тогда в случае передачи вредоносного программного обеспечения по открытому каналу, например, через протокол HTTP, система обнаружения вторжений видит вредоносные сигнатуры и оповещает отдел информационной безопасности с помощью соответствующих записей в журналах (рис. 3) [7, с.135]. В случае, когда вредоносное программное обеспечение передано через DNS-туннель, система обнаружения вторжений suricata не наблюдает вредоносных сигнатур (рис. 4). Сообщение от системы обнаружения вторжений связано с запросом к DNS-серверу типа TXT, однако это штатная работа системы, такое сообщение, вероятнее всего, отдел ИБ проигнорирует. с помощью расчета энтропии3. Обнаружение DNS-туннелирования Рассмотрим случайную величину ξ , которая принимает значения xx N1,, … с вероятностями pp N1,,. … . Возникает вопрос, как можно количественно охарактеризовать связь между априорной информацией о случайной величине ξ и ее функцией распределения. Эта связь должна отражать меру неопределенности нашего знания о случайной величине ξ . Такая мера неопределенности была введена Шенноном в виде выражения: HpNlogp i N ii =− () = ∑11 .# (1) Выражение (1) это энтропия распределения вероятностей Pp pR pp NNp N iN=…() ∈≥ +… += {} ()1101 ,,2 :, # Pp pR pp NNp N iN=…() ∈≥ +… += {} ()1101 ,,2 :, # (2) Если о случайной величине ξ ничего не известно, то из принципа максимума энтропии следует, что максимум энтропии достигается при pN i = 1 , при этом HlogN max = , что совпадает с качественными представлениями о неопределенности (более размытое распределение имеет большую неопределенность, чем распределение с явно выраженным пиком). Энтропия распределения вероятностей характеризует неопределенность исходов опыта, трудность предсказания его результата [8, с.311]. На практике при расчете энтропии для строк имеется закономерность: чем выше случайность строки, тем выше энтропия. Так как имена поддоменов, использующиеся злоумышленником при передаче данных методом DNS-туннелирования, имеют случайный характер, то их энтропия должна быть наибольшей. Пусть имеется 500 легитимных DNS-имен и одно DNS-имя, используемое при передаче данных методом DNS-туннелирования. Для расчета энтропии разработан скрипт на языке программирования python (рис. 5) [9, Таблицас.421].1содержит 10 доменов с наибольшей энтропией, рассчитанной сценарием. Самая высокая энтропия оказалась у домена, участвующего в передаче данных методом DNS-туннелирования. 4. Использование энтропии в SIEM-системах Для успешной реализации мероприятий защиты информационных инфраструктур необходимо решить ряд задач, связанных с созданием системы мониторинга угроз безопасности. Системы мониторинга реализуют апостериорный подход к защите информации, главная цель создания которой – снижение внутреннего и внешнего воздействий на инфраструктурные объекты до минимального уровня риска и минимизация возникающего ущерба [10, с.9]. Одним из наиболее перспективных и эффективных направлений в создании систем мониторинга угроз безопасности в настоящее время считается использоРис. 4. Журналы системы обнаружения вторжений suricata при передаче файла mimikatz через DNS-туннель
96 Использование dns-туннелирования для передачи вредоносного программного... Вопросы кибербезопасности. 2022. № 4(50) вание SIEM-системы, обеспечивающей управление информацией и событиями безопасности. Учитывая характер и содержание задач защиты в сервисных и критических инфраструктурах, представляется целесообразным положить в основу построения системы мониторинга концепцию SIEM-системы. Основная цель построения и функционирования SIEM-систем –значительно повысить уровень информационной безопасности в информационной инфраструктуре за счет обеспечения возможности манипулировать информацией о безопасности и осуществлять проактивное управление инцидентами и событиями безопасности в режиме близком к реальному времени.Проактивный означает «действующий до того, как ситуация станет критической». Предполагается, что проактивное управление инцидентами и событиями безопасности основывается на автоматических механизмах, которые используют информацию об «истории» анализируемых сетевых событий и прогнозе будущих событий, а также на автоматической подстройке параметров мониторинга событий к текущему состоянию защищаемой системы. Пусть имеется абстрактный SIEM (рис. 6), который получает информацию о DNS запросах, производимых из информационной системы. Информация поступает от источника событий в виде записей из журналов. Источником событий может выступать межсетевой экран, системы обнаружения и предотвращения вторжений и иные. Записи из журналов попадают в нормализатор, который преобразует их к единому формату и передают брокеру в качестве сообщений. Сообщения забирают из брокера различные модули для дальнейшей Использованиеобработки.энтропии для выявления передачи данных через DNS-туннель реализуется двумя способами. Первый, программное обеспечения подключается к брокеру сообщений в качестве модуля и, получая нормализованные события, делает расчет энтропии. В качестве брокера могут выступать RabbitMQ [11, с.175], Apache Kafka [12, с.93], NATS [13, с.131] и другие. Такой способ наиболее эффекРис. 5. Сценарий расчета энтропии для доменов Таблица 1 Результаты вычисления энтропии для доменов Доменное имя Энтропия Доменное имя Энтропия be8115a828faa92f99b55d877836eb00.evil.local 4,138262941 wrestling.com 3,700439718 antispyware.com 3,773557262 partysupplies.com 3,690116518 1stbandwidth.com 3,75 forsalebyowner.com 3,683542362 marketingtoday.com 3,725480557 university.com 3,664497779 healthinsurance.com 3,721611724 giftbasket.com 3,664497779
97 УДК 004.94УДК 004.056.57 Применение методов кодирования и криптографии тивный,DOI:10.21681/2311-3456-2022-4-91-99однаконевозможенв случае использования стороннего SIEM, так как требует изменения архитек туры. Второй, программное обеспечения с заданной периодичностью подключается к хранилищу событий и делает расчеты. Хранилищем могут выступать Neo4j [14, с.164], Elasticsearch [15, с.81], Yandex ClickHouse и другие. Такая реализация проще и подходит для лю бого SIEM, однако не так эффективна с точки зрения времени реагирования в силу большой задержки. Вывод Использование энтропии помогает обнаружить не только DNS-туннели, но и вредоносное программное обеспечение и веб-эксплойты, использующие домены и поддомены, созданные с использованием алгорит ма генерации доменов. Злоумышленники используют алгоритмы генерации доменов для создания случайно выглядящих доменов и поддоменов, используя своего рода «ключ» или «соль», которые могут расшифровать только они. Затем эти домены можно использовать для будущих атак. Поскольку эти домены генерируют ся случайным образом и могут работать только в тече ние короткого промежутка времени, специалистам по защите информации чрезвычайно сложно заблокиро вать их с помощью традиционных методов, таких как черныеИспользованиесписки. программного обеспечения, вы числяющего энтропию, в качестве модуля SIEM по зволяет быстро и эффективно выявлять DNS-имена, свидетельствующие о вредоносной активности, не ис пользуя базу знаний. Однако необходимо помнить, что энтропия – величина относительная. Слишком низкий порог будет приводить к частым ложным срабатыва ниям, а высокий – к пропускам. Рис. 6. Общая архитектура SIEM-систем Литература 1. Левицкий Н. Д. Удаленный сервер своими руками. От азов создания до практической работы: руководство / Н. Д. Левицкий. –Санкт-Петербург: Наука и Техника, 2021. – 400 с. – ISBN 978-5-94387-568 7. 2. Колисниченко Д. Н. LINUX. Полное руководство по работе и администрированию: руководство / Д. Н. Колисниченко. – СанктПетербург: Наука и Техника, 2021. – 480 с. – ISBN 978-5-94387-608-0. 3. Донцов, В. П. Linux на примерах: руководство / В. П. Донцов, И. В. Сафин. – Санкт-Петербург : Наука и Техника, 2017. – 352 с. –ISBN 978-5-94387-742-1. 4. Диогенес, Ю. Кибербезопасность. стратегия атак и обороны / Ю. Диогенес, Э. Озкайя; перевод с английского Д. А. Беликова. –Москва: ДМК Пресс, 2020. – 326 с. – ISBN 978-5-97060-709-1. 5. Белоус А. И. Основы кибербезопасности. Cтандарты, концепции, методы и средства обеспечения: энциклопедия / А. И. Белоус, В. А. Солодуха. – Москва : Техносфера, 2021. – 482 с. – ISBN 978-5-94836-612 8. 6. Бертрам А. Powershell для сисадминов / А. Бертрам – Санкт-Петербург: Издательский дом «Питер», 2021 – 416 с. 7. Коллинз, Майкл. Защита сетей. Подход на основе анализа данных / Майкл Коллинз. – М.: ДМК Пресс, 2020. – 307 с.: ил. – ISBN 978-5-97060-649-0. 8. Авдошин С.М. Дискретная математика. Модулярная алгебра, криптография, кодирование / С.М. Авдошин, А.А. Набебин. – Мо сква: ДМК Пресс, 2017. – 352 с. – ISBN 978-5-94074-408-3.
6.
6 Anton
Purpose of the article: to develop a way to increase the level of protection of an information system from an attack using DNS tunneling.
Keywords: computer attack, information protection, suricata, entropy, SIEM, message broker, elasticsearch.
5.
Method: using entropy to identify domains and subdomains used when transferring data through a DNS tunnel.
References
The scientific novelty lies in the fact that malicious activity is detected without using the knowledge base. There is no need to signature check each DNS request, it is enough to calculate the entropy to detect an attack.
98 Использование dns-туннелирования для передачи вредоносного программного... Вопросы кибербезопасности. 2022. № 4(50) 9. Борзунов С. В. Алгебра и геометрия с примерами на Python / С. В. Борзунов, С. Д. Кургалин. – 3-е изд., стер. – Санкт-Петербург : Лань, 2022. – 444 с. – ISBN 978-5-8114-9980-9. 10. Абденов А.Ж., Трушин В.А., Сулайман К. Анализ, описание и оценка функциональных узлов SIEM-системы [Книга]. – Новосибирск: Новосибирский государственный технический университет, 2018. – стр. 122. 11. Gavin M. Roy RabbitMQ in Depth / Gavin M. Roy — Shelter Island, NY: Manning Publications, 2018. — 264 p. 12. Narkhede N., Shapira G., Palino T. Kafka: The Definitive Guide. Real-Time Data and Stream Processing at Scale / Neha Narkhede, Gwen Shapira, Todd Palino — Sebastopol, USA: O’Reilly Media, 2017. — 566 p. 13. Quevedo W. Practical NATS / Waldemar Quevedo — San Francisco, California, USA: APRESS, 2018. — 260 p. 14. Нидхем М., Ходлер Э. Графовые алгоритмы. Практическая реализация на платформах Apache Spark и Neo4j. / пер. с англ. В. С. Яценкова – М.: ДМК Пресс, 2020. – 258 с. 15. Sachdeva G. S. Practical ELK Stack: Build Actionable Insights and Business Metrics Using the Combined Power of Elasticsearch, Logstash, and Kibana / Gurpreet S. Sachdeva — San Francisco, California, USA: APRESS, 2017. — 318 p. uSinG dnS tunnelinG to tranSfer maliciouSSoftware Moskvichev A.D.6, Moskvicheva K.S.7
7 Ksenia
3. Doncov, V. P. Linux na primerah : rukovodstvo / V. P. Doncov, I. V. Safin. – Sankt-Peterburg: Nauka i Tekhnika, 2017. – 352 s. – ISBN 978-5-94387-742-1. 4. Diogenes, YU. Kiberbezopasnost’. strategiya atak i oborony / YU. Diogenes, E. Ozkajya; perevod s anglijskogo D. A. Belikova. – Moskva : DMK Press, 2020. – 326 s. – ISBN 978-5-97060-709-1. Belous, A. I. Osnovy kiberbezopasnosti. Ctandarty, koncepcii, metody i sredstva obespecheniya: enciklopediya / A. I. Belous, V. A. Soloduha. – Moskva: Tekhnosfera, 2021. – 482 s. – ISBN 978-5-94836-612 8. Bertram A. Powershell dlya sisadminov / A. Bertram – Sankt-Peterburg: Izdatel’skij dom «Piter», 2021 – 416 s. D. Moskvichev, postgraduate, Pacific National University, Khabarovsk, Russia. E-mail: anton.moskvichev.1996@yandex.ru. ORCID: 0000-00016532-2463 S. Moskvicheva, student, Pacific National University, Khabarovsk, Russia. E-mail: 2016104073@pnu.edu.ru.
1. Levickij, N. D. Udalennyj server svoimi rukami. Ot azov sozdaniya do prakticheskoj raboty : rukovodstvo / N. D. Levickij. – SanktPeterburg: Nauka i Tekhnika, 2021. – 400 s. – ISBN 978-5-94387-568 7. 2. Kolisnichenko, D. N. LINUX. Polnoe rukovodstvo Po rabote i administrirovaniyu : rukovodstvo / D. N. Kolisnichenko. – Sankt-Peterburg: Nauka i Tekhnika, 2021. – 480 s. – ISBN 978-5-94387-608-0.
The result: a method of data transmission through the DNS protocol bypassing the information security tools is considered. A malicious file was transferred using DNS tunneling, and an analysis was made of the operation of information protection tools during transmission. Information security tools do not detect the transfer of a malicious file via the DNS protocol, but they do if it is transferred in clear text. The concept of information entropy, its role in data processing is given. By calculating the entropy for domain names, the domain used in the transmission of a malicious file through the DNS tunnel was identified. It is concluded that entropy can be used not only to detect data transfer through the DNS tunnel, but also to detect the activity of malicious software that uses random domain and subdomain names in its work.
99 УДК 004.94УДК 004.056.57 Применение методов кодирования и криптографии 7.DOI:10.21681/2311-3456-2022-4-91-99Kollinz,Majkl.Zashchitasetej.Podhod na osnove analiza dannyh / Majkl Kollinz. – M.: DMK Press, 2020. – 307 s.: il. – ISBN 978-597060-649-0. 8. Avdoshin, S.M. Diskretnaya matematika. Modulyarnaya algebra, kriptografiya, kodirovanie / S.M. Avdoshin, A.A. Nabebin. – Moskva: DMK Press, 2017. – 352 s. – ISBN 978-5-94074-408-3. 9. Borzunov, S. V. Algebra i geometriya s primerami na Python / S. V. Borzunov, S. D. Kurgalin. – 3-e izd., ster. – Sankt-Peterburg : Lan’, 2022. – 444 s. – ISBN 978-5-8114-9980-9. 10. Abdenov A.ZH., Trushin V.A., Sulajman K. Analiz, opisanie i ocenka funkcional’nyh uzlov SIEM-sistemy [Kniga]. – Novosibirsk: Novosibirskij gosudarstvennyj tekh-nicheskij universitet, 2018. – str. 122. 11. Gavin M. Roy RabbitMQ in Depth / Gavin M. Roy — Shelter Island, NY: Manning Publications, 2018. — 264 p. 12. Narkhede N., Shapira G., Palino T. Kafka: The Definitive Guide. Real-Time Data and Stream Processing at Scale / Neha Narkhede, Gwen Shapira, Todd Palino — Sebastopol, USA: O’Reilly Media, 2017. — 566 p. 13. Quevedo W. Practical NATS / Waldemar Quevedo — San Francisco, California, USA: APRESS, 2018. — 260 p. 14. Nidhem M., Hodler E. Grafovye algoritmy. Prakticheskaya realizaciya na platformah Apache Spark i Neo4j. / per. s angl. V. S. YAcenkova – M.: DMK Press, 2020. – 258 s. 15. Sachdeva G. S. Practical ELK Stack: Build Actionable Insights and Business Metrics Using the Combined Power of Elasticsearch, Logstash, and Kibana / Gurpreet S. Sachdeva — San Francisco, California, USA: APRESS, 2017. — 318 p.