Котенко Игорь Витальевич дтн., профессор лаборатория...
Transcript of Котенко Игорь Витальевич дтн., профессор лаборатория...
![Page 1: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/1.jpg)
………
…
Котенко Игорь Витальевич, д.т.н., профессор, лаборатория проблем компьютерной безопасности лаборатория проблем компьютерной безопасности,
СПИИРАН,Новикова Евгения Сергеевна к т н СПбГЭТУ ЛЭТИНовикова Евгения Сергеевна, к.т.н., СПбГЭТУ «ЛЭТИ»,Архипов Юрий Анатольевич, ЗАО «НПП «ТЕЛДА»
РусКрипто’2015, 17-21 марта 2015 г.
![Page 2: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/2.jpg)
План докладаПлан доклада
Введение Введение
Релевантные работыРелевантные работы
Визуальная модельу д
Метрики защищенности
Реализация
Эксперименты
Заключение
РусКрипто’2015, 17-21 марта 2015 г.
![Page 3: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/3.jpg)
OSSIM: карта рисковOSSIM: карта рисков
Карта рисков отображает информацию о состоянии риска (R), уязвимостей (V) и доступности (A) каждого сетевого объекта, расположенного на карте в виде светофоров
РусКрипто’2015, 17-21 марта 2015 г.
расположенного на карте в виде светофоров
![Page 4: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/4.jpg)
Метафора представления метрик защищенности на основе циферблата [Erbacher 2012]на основе циферблата [Erbacher, 2012]
Каждая метрика представляется с использованием циферблата,Каждая метрика представляется с использованием циферблата, и ее значение "усиливается" цветом, чтобы сделать боле быстрым восприятие. Наружное кольцо соответствует более позднему (текущему) значениюпозднему (текущему) значению
Набор метрик представляется с помощью множества различных циферблатов (cyber command gauge cluster ) для поддержки принятия контрмер и выполнения других задач защиты информации
РусКрипто’2015, 17-21 марта 2015 г.
![Page 5: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/5.jpg)
Модель оперативного индикатора доверия [M t k t l 2013][Matuszak et al., 2013]
В одном индикаторе отображается три типа доверия В одном индикаторе отображается три типа доверия, цвет используется для задания значения доверия
Э Эти параметры представляются в виде части наружного кольца круга. Круг в центре обозначает общее доверие, рассчитываемое как взвешенная сумма других видов рассчитываемое как взвешенная сумма других видов доверия
РусКрипто’2015, 17-21 марта 2015 г.
![Page 6: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/6.jpg)
Предлагаемое представление метрик защищенности
Для предоставления пользователям возможности анализировать несколько метрик предложена модель визуализации (глиф) на основе кругов, способная отображать предыдущие значения метрик предыдущие значения метрик
Круг разделяется на n секторов, которые отображают значения n метрик. Внешние кольца представляют предыдущие значения р р р у
Для отображения критичности значения используется цвет Модификация этой модели – от критичности значения метрики зависит радиус сектора
90909090
РусКрипто’2015, 17-21 марта 2015 г.
![Page 7: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/7.jpg)
Отображение глифов на топологии сети
РусКрипто’2015, 17-21 марта 2015 г.
![Page 8: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/8.jpg)
Представление больших сетей в виде матрицы глифов
подсети расположены на оси ординат а отдельные хосты подсети расположены на оси ординат, а отдельные хосты расположены на оси абсцисс
для поддержки навигации и анализа данных обеспечиваются д дд р ц дфункции зуммирования или специальных механизмов масштабирования, таких как волшебный объектив (magic lens) или рыбий глаз (fisheye)
РусКрипто’2015, 17-21 марта 2015 г.
или рыбий глаз (fisheye)
![Page 9: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/9.jpg)
Классификация метрик защищенностиКлассификация метрик защищенности
РусКрипто’2015, 17-21 марта 2015 г.
![Page 10: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/10.jpg)
Подсистема визуализации VisSecAnalyzer: цели и задачиVisSecAnalyzer - подсистема визуализации дляVisSecAnalyzer подсистема визуализации для SIEM-компонентов, включая систему моделирования атак и оценивания защищенности (AMSEC)(AMSEC)
Задачи VisSecAnalyzer: Визуализация графов атак сгенерированных AMSEC Визуализация графов атак , сгенерированных AMSEC Визуализация метрик защищенности, вычисленных
AMSECAMSEC Конфигурирование сетей и хостов сети Загрузка и сохранение конфигурации сети из/в файлру р ф ур ц ф
или базу данных Загрузка отчетов об уязвимостях, сформированных
йсканерами уязвимостей Реализация экспериментов “что-если” для оценки
последствий эксплуатации уязвимостей
РусКрипто’2015, 17-21 марта 2015 г.
последствий эксплуатации уязвимостей
![Page 11: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/11.jpg)
Архитектура подсистемы визуализации Vi S A lVisSecAnalyzer
Компонент SIEM-системы Функциональная расширяемость Гибкая связь между компонентами
Н б й Независимая разработка модулейателя
Контроллер Графические
Слой управляющих сервисов
ователь
пользова Контроллер графических компонент
компоненты
Пользо
терфейс п
Менеджер Plug‐insPlug‐insПодключаемые Plug‐insPlug‐insФункциональные
Инт
д рплагинов
gдмодули
gу цкомпоненты
РусКрипто’2015, 17-21 марта 2015 г.
![Page 12: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/12.jpg)
Графический интерфейс Графический интерфейс VizSecAnalyzerVizSecAnalyzer
Figure 8 The main view of the VizSecAnalyzer
РусКрипто’2015, 17-21 марта 2015 г.
Figure 8. The main view of the VizSecAnalyzer
![Page 13: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/13.jpg)
Представление хоста с использованием Представление хоста с использованием глифаглифаС Схема кодирования цвета: • Для рациональных и интервальных параметров определено пять
интервалов, обозначенных как {None, Low, Medium, Above Medium, интервалов, обозначенных как {None, Low, Medium, Above Medium, High}. Эти значения кодируются с использованием шкалы “желтый – красный”, за исключением значения None, которое обозначается с помощью зеленого цвета.
• Для кодирования уровня критичности хоста используется другая схема так как эта метрика должна применяться для приоритезациисхема, так как эта метрика должна применяться для приоритезациидействий аналитика и не предназначена для оповещения о возможной опасности, как другие метрики., дру р
РусКрипто’2015, 17-21 марта 2015 г.
![Page 14: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/14.jpg)
Глифдля отображения метрик RORIRORI ‐ Return On Response Investment
О Она учитывает стоимость контрмеры, связанное с контрмерой снижение риска, ценность хоста для бизнеса и
C1 ‐ Ничего не делать (RORI = 0.0%).C2 ‐ Блокирование подозрительных
ожидаемые потери
учетных записей (RORI = 400.36%).C3 ‐ Активация систем обнаружения вторжений (IDS) в стратегических местах вторжений (IDS) в стратегических местах (RORI = 308.96%).C4 ‐ Изменение порта (RORI = 163.64%).C5 ‐ Активация многофакторной аутентификации (RORI = 386.07%).C6 ‐ Активация правил обнаружения C6 ‐ Активация правил обнаружения аномального поведения (RORI = 411.52%).C7 ‐ Временная деактивация учетной
РусКрипто’2015, 17-21 марта 2015 г.
записи (RORI = 259.40%).
![Page 15: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/15.jpg)
Структура сети
РусКрипто’2015, 17-21 марта 2015 г.
![Page 16: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/16.jpg)
Параметры сети для экспериментов• massif‐1 and massif‐2: Red Hat JBoss Community Application Server 5.0.1;
Windows Server 2008 R2 for x64‐based Systems;• massif‐3: NetIQ eDirectory 8.8.6.0; Novell SUSE Linux Enterprise Desktop massif 3: NetIQ eDirectory 8.8.6.0; Novell SUSE Linux Enterprise Desktop
12ServicePack 1;• massif‐i: Novell Suse Linux Enterprise Desktop 11 Service Pack 1 and Citrix Ica
Cli t F Li Client For Linux 11.0;• (n1) Firewall: Linux Kernel 2.6.27.33, Citrix Ica Client For Linux 11.0;• (n1)External mobile users: Google Android Operating System 4.1.2;g g• (n1)External users and (n1)Internal users: Microsoft Windows 7 64‐bit; Apple
iTunes 9.0.3;Microsoft Office 2007 SP1; Microsoft Internet Explorer 7;• (n1)Proxy server: Linux Kernel 2 6 27 33; Gnome KDE;(n1)Proxy server: Linux Kernel 2.6.27.33; Gnome KDE;• (n1)Web server: Windows Ftp Server 2.3.0; Windows Server 2008 for 32‐bit
Systems; Sun iPlanetWeb Server 4.1 SP10 Enterprise;( )DB d ( ) DB A h S f F d i D b • (n1)DB server 1 and (n1) DB server 2: Apache Software Foundation; Derby 10.1.3.1; phpMYAdmin 3.5.2.2; Oracle MySQL 5.5.25; Linux Kernel2.6.27.33;
• (n1)Administrator: VMware vCenter Server Appliance (vCSA) 5.1;Ubuntu linux( ) pp ( ) 5 ;10.04; Gnome KDE;
• (n1)Mail server: Windows Server 2008 for 32‐bit Systems; Microsoft Exchange Server 2007 Service Pack 1; Microsoft Sharepoint Server 2007 sp1x64;
РусКрипто’2015, 17-21 марта 2015 г.
Server 2007 Service Pack 1; Microsoft Sharepoint Server 2007 sp1x64;• (n1)Mobile devices: Apple iPhone OS 4.0.
![Page 17: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/17.jpg)
Первоначальный уровень защищенности хостов сетихостов сети
РусКрипто’2015, 17-21 марта 2015 г.
![Page 18: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/18.jpg)
Реконфигурация хостов
• Аналитик может нажать на интересующий глиф и получить подробную информацию об уязвимостях
• Например, для massif‐1 иmassif‐2 уязвимости – в Wi d S R f 6 b d Windows Server 2008 R2 for x62‐based systems, и возможное решение – в инсталляции соответствующего
i k Wi d S 8 R SP f 6 b d service pack для Windows Server 2008 R2 SP1 for x62‐based systemsУ б ф й if i• Уязвимости, обнаруженные на файерволеmassif‐iсвязаны с Novell SUSE Linux Enterprise Desktop 11 Service Pack 1 и Citrix Ica Client For Linux 11 0 возможное Pack 1 и Citrix Ica Client For Linux 11.0, возможное решение – обновить ПО
• Аналитик может оценить необходимость этих контрмер • Аналитик может оценить необходимость этих контрмер до их реализации за счет изменения конфигурации хостов и пересчета метрик защищенности
РусКрипто’2015, 17-21 марта 2015 г.
хостов и пересчета метрик защищенности
![Page 19: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/19.jpg)
Уровень защищенности хостов сети после реконфигурацииреконфигурации
РусКрипто’2015, 17-21 марта 2015 г.
![Page 20: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/20.jpg)
Уровни защищенности хостов сети до и после реконфигурациии после реконфигурации
РусКрипто’2015, 17-21 марта 2015 г.
![Page 21: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/21.jpg)
Заключение Проанализированы методики визуализации, используемые для представления высокоуровневой информации для д р д ур ф р ц дситуационной осведомленности, и предложен подход к визуализации метрик защищенности, который позволяет проводить сравнительный анализ текущих и предыдущих значений
Разработанная визуальная модель может быть использована для представления данных разных типов и обозначать как метрики низкого уровня, так и мета‐метрики, такие как уровень воздействия атаки
Для оценки эффективности предложенного подхода реализован сценарий Олимпийских Игр, в процессе
выполнения которого оценивался уровень защищенности сети Дана положительная оценка со стороны администраторов и
РусКрипто’2015, 17-21 марта 2015 г.
отмечена компактность представления метрик
![Page 22: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/22.jpg)
Будущие исследования Дальнейшая разработка и анализ предложенной Дальнейшая разработка и анализ предложенной визуальной модели и ее применимости для различных задач защиты информациизада защ фор ац
Оценка эффективности предложенной подсистемы визуализации в том числе оценка удобства работы визуализации, в том числе оценка удобства работы (usability) графического пользовательского интерфейса
РусКрипто’2015, 17-21 марта 2015 г.
![Page 23: Котенко Игорь Витальевич дтн., профессор лаборатория ...](https://reader034.fdocuments.net/reader034/viewer/2022050407/627075edfd59b8090e13a7e6/html5/thumbnails/23.jpg)
Контактная информацияКонтактная информацияКонтактная информацияКонтактная информацияКотенко Игорь Витальевич (СПИИРАН)
[email protected]://comsec.spb.ru/kotenko/
Благодарностид р• Работа выполнена при финансовой поддержке РФФИ (13-01-00843,
14-07-00697, 14-07-00417, 15-07-07451), программы фундаментальных исследований ОНИТ РАН проекта ENGENSECфундаментальных исследований ОНИТ РАН, проекта ENGENSEC программы Европейского Сообщества TEMPUS и Министерства образования и науки Российской Федерации (соглашение № 14 604 21 0033 й ф14.604.21.0033, уникальный идентификатор соглашения RFMEFI60414X0033; соглашение № 14.604.21.0137, уникальный идентификатор соглашения RFMEFI60414X0137; соглашение № 14.604.21.0147, уникальный идентификатор соглашения RFMEFI60414X0147).
РусКрипто’2015, 17-21 марта 2015 г.