УДК 004.056
ПРИМЕНЕНИЕ МЕТОДОВ АВТОМАТИЗАЦИИ ПРИ ОПРЕДЕЛЕНИИ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ C ПРИМЕНЕНИЕМ БАНКА ДАННЫХ УГРОЗ ФСТЭК РОССИИ
Валентин Валерьевич Селифанов
Управление Федеральной службы по техническому и экспортному контролю по Сибирскому федеральному округу, 630091, Россия, г. Ново сибирск, ул. Красный пр., 41, начальник 6-го отдела, тел. (923)247-25-81, e-mail: [email protected]
Полина Александровна Звягинцева
Сибирский государственный университет геосистем и технологий, 630108, Россия, г. Новосибирск, ул. Плахотного, 10, старший преподаватель кафедры наносистем и оптотехники, тел. (383)343-91-11, e-mail: [email protected]
Яна Викторовна Юракова
Новосибирский государственный университет экономики и управления, 630099, Россия, г. Новосибирск, ул. Каменская, 52/1, студентка 4-го курса, тел. (906)195-59-91, e-mail: [email protected]
Ирина Сергеевна Слонкина
Новосибирский государственный университет экономики и управления, 630099, Россия, г. Новосибирск, ул. Каменская, 52/1, студентка 4-го курса, тел. (953) 776-80-79, e-mail: [email protected]
В данной статье описана проблема построения прямых связей между уязвимостями и угрозами безопасности информации. Авторами разработан алгоритм, и создана программная реализация, позволяющая решить проблему, значительно снизив трудозатраты, тем самым получив выигрыш по времени, и сократить количество ошибок связанных с человеческим фактором. Заявленная теоретическая польза была подтверждена посредством тестирования, результаты которого приведе ны в статье.
Ключевые слова: информационная система, безопасность информации банк данных угроз, модель угроз, угроза, уязвимость, информационная безопасность, актуальность угроз, базовая метрика оценки уязвимостей, CVSS.
APPLICATION OF METHODS OF AUTOMATION IN DETERMINING THE RELEVANT THREATS TO THE SECURITY OF INFORMATION IN INFORMATION SYSTEMS USING THE DATA BANK OF THE THREATS OF THE FSTEC OF RUSSIA
Valentin V Selifanov
The office of the Federal service for technical and export control in the Siberian Federal district, 630091, Russia, Novosibirsk, 41 Krasny Prospect, Chief of the 6-th Department, tel. (923) 247-25-81, email: [email protected]
Polina A. Zviagintcheva
Siberian State University of Geosystems and Technologies, 630108, Russia, Novosibirsk, 10 Plakhotnogo St., Senior lecturer, Department of Nanosystems and Optics Engineering, tel. (383)343-91-11, e-mail: [email protected]
Yana V Yurakova
Novosibirsk State University of Economics and Management, 630099, Russia, Novosibirsk, 52/1 Ka-menskaya St., tel. (906)195-59-91, e-mail: [email protected]
Irina S. Slonkina
Novosibirsk State University of Economics and Management, 630099, Russia, Novosibirsk, 52/1 Ka-menskaya St., tel. (953)776-80-79, e-mail: [email protected]
This article describes the problem of constructing direct links between vulnerabilities and threats to information security. The authors have developed the algorithm and developed a software implementation to solve the problem, significantly reducing labor costs, thereby gaining a win on time, and to reduce the number of errors related to human factor. The stated theoretical use has been confirmed by testing, the results of which are presented in the article.
Key words: information system, information security, the data bank of the threats, the threat model, the threat, the vulnerability, information protection, the relevance of threats, the base metric vulnerability assessment, CVSS.
Одним из ключевых этапов проектирования системы защиты на предприятии является разработка модели угроз безопасности информации. Адекватные модели угроз информационной безопасности позволяют выявить существующие угрозы, разработать эффективные контрмеры, повысив тем самым уровень ИБ, и оптимизировать затраты на защиту.
В Российском Законодательстве существует ряд методических документов, содержащих рекомендации по разработке м одели угроз безопасности информации для информационных систем различного назначения, в частности:
- Приказ ФСТЭК России № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [1];
- «Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры» [2];
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [3];
- «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» [4].
Изучив нормативно-правовые и методические документы было выявлено, что при выявлении актуальных угроз в различных ИС необходимо учитывать следующие характеристики: источник угрозы, уязвимости, способствующие ее возникновению, способ реализации угрозы, последствия деструктивного воздействия.
Такая форма представления сведений об угрозе используется в «Банке данных угроз безопасности информации» (далее - БДУ), разработанном ФСТЭК России и опубликованном в форме электронного ресурса (URL:
http://bdu.fstec.ru). Он содержит сведения об основных угрозах и уязвимостях, характерных, в первую очередь, для государственных ИС и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.
Для определения актуальных угроз нужно установить корректные взаимосвязи между параметрами, характеризующими угрозу.
В описании каждой угрозы в БДУ содержатся сведения о типе нарушителя и его потенциале, способе реализации и возможных последствиях, что позволяет построить модель нарушителя и установить взаимосвязи между перечисленными параметрами угрозы. Наиболее сложной выглядит задача включение в характеристику (описание) угроз информации об уязвимостях ИС. При работе с БДУ возникает ряд проблем:
- каталог уязвимостей и каталог угроз представляются обособлено;
- большое количество информации требующей сопоставления вручную (каталог уязвимостей содержит в себе сведения о более чем 16 000 уязвимостей, а каталог угроз сведения о более чем 200 угрозах).
В виду отсутствия в Банке данных угроз средств автоматизации процедуры поиска и сопоставления, у оператора информационной системы два выхода -устанавливать связь между тысячами уязвимостей и сотнями угроз вручную посредством «поиска по тегам» [5] или разработать программное обеспечение позволяющее осуществлять рассматриваемые процедуры в автоматическом режиме. Изложенное выше определяет цель данной работы: разработка алгоритма для автоматизированного анализа и сопоставления угроз и уязвимостей на основе электронного ресурса (Банка данных угроз ФСТЭК России) и его реализация в виде программного приложения.
Алгоритм, на основе которого осуществляется автоматизированный анализ и сопоставление угроз и уязвимостей, включает шесть этапов.
На первом этапе оператор ИС формирует запрос, содержащий сведения о программном (или аппаратном) средстве с указанием формы прохождения процедуры аутентификации, указанием способа и уровня сложности получения доступа.
На втором этапе происходит обработка запроса и осуществляется выборка уязвимостей из БДУ в соответствии с введенными параметрами.
На третьем этапе рассчитывается значение базовой метрики вектора «CVSS», основываясь на том факте, что сведения предоставленные оператором на этапе построения запроса полностью коррелируют с полями записи об угрозе в БДУ, за исключением сведений о программном или аппаратном средстве (рис. 1)
На четвертом этапе, исходя из рассчитанных значений базовой метрики вектора CVSS и имеющихся сведений об уязвимости в БДУ, ис ключаются те угрозы, у которых рассчитанный показатель отличается от значения, заданного в сведениях об уязвимости. Для расчета значения базовой метрики вектора CVSS используется формула [7]:
Base Score = RoundUpi(Minimum[1,08^(Impact + Exploitability), 10]),
где RoundUpi(Minimum [ ], 10)- функция округления (до десятков в меньшую сторону). В табл. 1 приведены формулы и описания переменных используемых для расчета значения базовой метрики.
Базовая метрика вектора CVSS
Наименование полей в записи об угрозе
Способ получения доступа
Источник угрозы (внешний или внутренний нарушитель)
Сложность получения доступа
Источник угрозы (потенциал нарушителя)
Влияние на конфиденциальность
Последствия реализации угрозы (нарушение конф иденциальности)
Влияние на целостность
Последствия реализации угрозы (нарушение целостности)
Влияние на доступность
Последствия реализации угрозы (нарушение доступности)
Рис. 1. Соответствие метрик вектора СУ^ и значений полей записи об угрозе
Таблица 1
Сведения о переменных, используемых для расчета базовой метрики
Наимено-ва-ние переменной Описание Формула вычисления Описание параметров
Impact оценка последствий реализации 7,52 x[ISCBase- 0.029] -3,55x[ISCBase -0,02]15, где ISCBase= 1-[(1 -Impactconf) х(1-Impactinteg) х (1 -ImpactAvaii)] Impactconf - влияние на конфиденциальность, Impactinteg - влияние на целостность, ImpactAvail - влияние на доступность.
Exploitability оценка нарушителя 8,22 х Attack Vector х Attack Complexity xPrivilege Required Attack Vector - способ получения доступа, Attack Complexity -сложность получения доступа, Privilege Required - аутентификация.
На пятом этапе осуществляется отсеивание угроз на основе обобщенной матрицы парных сравнений «Типа программного обеспечения» (запись об уязвимости в БДУ) и «Объекта воздействия» (запись об угрозе в БДУ). В качестве критичного значения установлен коэффициент равный 0.5: если на пересечении
соответствующих строк и столбцов матрицы результат сравнения не превыш ает 0.5, угроза отбрасывается, т.к. не связана с выбранным типом программного обеспечения.
На шестом (заключительном) этапе формируется итоговая таблица, содержащая сведения об угрозах и уязвимостях, способствующих её реализации и актуальных для данной ИС.
Разработанный алгоритм реализован в виде программного приложения «ThreVulSec». В табл. 2 приведены основные сведения о программной реализации.
Таблица 2
Данные о программной реализации
Параметр Характеристика
Язык программирования «Python» версии 2.7.8.
Форма представления «Web »-страница
Поисковой движок «ElasticSearch». Примечание: выбор обоснован высокой степенью быстродействия и стойкостью к высоким нагрузкам.
Дополнительные возможности Реализована функция сохранения полученных результатов на рабочей станции в формате «xlsx».
Для корректной инсталляции разработанного приложения «ThreVulSec» на персональный компьютер в зависимости от операционной системы необходимо выполнить следующие действия:
- в «Microsoft Windows» установить интерпретатор «Python 2.7.8», «PyCharm» и загрузить модули «ElasticSearch 1.7.2», «JRE 7», «Flask»;
- в «Unix-системах» - установить «Python 2.7.8» и загрузить модули «ElasticSearch 1.7.2», «JRE 7», «Flask». Установка производится путем запуска файла «control/setup.py».
Перед первым запуском программы оператор должен обновить базу данных посредством запуска скрипта «control/renewDB.py». Далее обновление производится по мере необходимости.
При появлении новых типов программного обеспечения обновление обобщенной матрицы парных сравнений выполняется путем запуска «control/match_table». Заполнение матрицы происходит с использованием метода экспертной оценки [6]. По умолчанию используется обобщенная матрица парных сравнений, заполненная разработчиками. Оператор ИС должен выбрать из раскрывающегося списка следующие данные: вендора (производителя программного продукта); название программного продукта или аппаратной платформы; версию рассматриваемого программного продукта; указать способ получения доступа и оценить сложность его получения; сведения о процедуре прохождения аутентификации. На рисунке 2 представлен пользовательский интерфейс программы.
Добавить поле
Способ получения Сложность получения доступа доступа
АуТеНТИф ИКаЦИ Я
Рис. 2. Интерфейс информационной системы
Апробация была проведена на ряде примеров, один из них представлен ниже. Для примера был выбран web-браузер Firefox версии до 45.0. Результаты применения автоматизированной технологии и метода оценки вручную приведены в табл. 3.
Таблица 3
Тестирование алгоритма сопоставления «вручную» и с использованием «ThreVulSec»
Поиск по тегам С применением < ThreVulSec >
В БДУ ФСТЭК России на вкладке «уязвимости» заполняем поля соответствующими значениями. Формирование запроса оператором.
Промежуточный результат По данном запросу была найдена 41 запись. В качестве примера была выбрана: BDU:2015-11141 «Уязвимости браузера «ПгеАэх», позволяющие нарушителю выполнить произвольный код». Время поиска уязвимостей: 5 секунд. Используя матрицу парных сравнений «по умолчанию», сразу же получаем актуальные угрозы, уязвимости и таблицу, содержащую простроенные прямые связи между ними.
Формирование корректных тегов для поиска угроз. Результат: Количество найденных угроз: 8. Количество найденных уязвимостей: 41. Время затраченное на поиск: 20 сек.
Тег для поиска Найденные угрозы
код - УБИ. 001 «Угроза автоматического распространения вредоносного кода в грид-системе» - УБИ. 002 «Угроза агрегирования данных, передаваемых в грид-системе» - УБИ. 003 «Угроза анализа криптографических алгоритмов и их реализации» - УБИ. 004 «Угроза аппаратного сброса пароля BIOS» - УБИ. 005 «Угроза внедрения вредоносного кода в BIOS» - УБИ. 006 «Угроза внедрения кода или данных»
Окончание табл. 3
целочисленные переполнения
- УБИ. 007 «Угроза воздействия на программы с высокими привилегиями»
- УБИ. 008 «Угроза восстановления аутентификационной информации»
- УБИ. 009 «Угроза восстановления предыдущей уязвимой версии BIOS»
- УБИ. 010 «Угроза выхода процесса за пределы виртуальной машины»
- УБИ. 114 «Угроза переполнения целочисленных переменных»
По результатам анализа вручную было сделано следующее заключение: актуальными и взаимосвязанными с данной уязвимостью являются угрозы УБИ. 114 и УИБ.006.
Время, затраченное на анализ 11 угроз для уязвимости ВРЦ:2015-11141: около 10 минут._
При установлении прямых связей между уязвимостями и угрозами с использованием ручного метода выявлена 41 уязвимость. Для поиска угроз необходимо для каждой уязвимости составить список тегов, затем осуществить поиск угроз. В примере для одной из уязвимостей потребовалось оценить 11 угроз на соответствие. В процессе анализа угрозы УБИ.001-005 и УБИ.009-010 были отброшены из-за несоответствия типа программного обеспечения и объекта воздействия. Посредством более детального анализа сведений об угрозах УБИ.007-008 был сделан вывод об их неактуальности для рассматриваемой уязвимости. В результате только 2 из 11 найденных угроз оказались актуальными, что позволяет сделать вывод, что даже при грамотном составление тегов для поиска в результатах поиска выводятся угрозы не связанные с рассматриваемой уязвимостью. В целом, время, затрачиваемое на сопоставление всех угроз и уязвимостей «вручную» составило более 2 часов, в то время как использование программного приложения позволило выполнить всю работу за 20 секунд при более качественном выборе перечня угроз. Таким образом, применение «ТктеУи^ес» позволяет существенно сократить трудозатраты оператора и снизить уровень субъективности полученных результатов.
В результате выполненных исследований разработана автоматизированная технология, включающая алгоритм и реализующее его программное приложени е «ТктеУи^ес» для определения актуальных угроз безопасности информации на основе БДУ с рекомендациями по его использованию. Проведен сравнительный анализ традиционного метода «поиска по тегам» вручную и предложенной технологии, результаты которого показал и значительное сокращение времени на анализ угроз и уязвимостей при её применении. Повышение качества анализа угроз достигается также за счёт уменьшения разнообразных ошибок, связанных
с человеческим фактором. Примерами таких ошибок могут являться субъективная (некомпетентная) оценка соответствия угрозы найденной уязвимости, неверное определение ключевых слов (тегов) для поиска, невнимательность оператора по причине переутомленности от работы с большим количеством данных и ряд других.
Следует отметить, что БДУ ориентирован на анализ уязвимостей и угроз программного обеспечения и аппаратных платформ. Дальнейшее развитие разработанной технологии направлено на создание модулей, обрабатывающих нормативно-методические документы и стандарты по обеспечению информационной безопасности, что позволит существенно расширить «зону выявления угроз», в частности, за счёт учета аспектов организационного характера.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Приказ ФСТЭК России № 17 от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [Электронный ресурс]. - Режим доступа : http://fstec.ru/com-ponent/attachments/download/566
2. Руководящий документ ФСТЭК России от 18.05.2007 г. «Базовая мо дель угроз безопасности информации в ключевых системах информационной инфраструктуры» (Утвержден заместителем директора ФСТЭК России от 18.05.2007 г.).
3. Руководящий документ ФСТЭК России от 15.02.2008 г. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Утверждена Заместителем директора ФСТЭК России от 15.02.2008 г.).
4. Руководящий документ ФСБ России от 31.03.2015 г. «Методические рекомендации по разработке нормативных правовых актов, опр еделяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» (Утвержден руководством 8 Центра ФСБ России 31.03.2015 г. №149/7/2/6-432).
5. Селифанов В. В., Слонкина И. С., Юракова Я. В. Определение актуальных угроз безопасности информации в информационных системах, используя Банк данных угроз (bdu.fstec.ru) // Электронные средства и системы управления (ЭСиСУ-2016): Материалы XII Международной научно -практической конференции. - Томск, 2016. - №2 - с. 67-69.
6. Ельмеев В. Я. Прикладная социология: Очерки методологии / В.Я. Ельмеев, В.Г. Овсянников. — 2-е изд., испр. и доп. - СПб. : Изд-во С.-Петербургского государственного университета, 1999. —276 с.
7. First (Forum of Incident Response and Security Yeams) - Common Vulnerability Scoring System [Электронный ресурс]. - Режим доступа : https://first.org/cvss (Дата обращения: 12.01.2016 г.)
© В. В. Селифанов, П. А. Звягинцева, Я. В. Юракова, И. С. Слонкина, 2017