Оценка уязвимостей в программном обеспечении организации на основе смешанных стратегий теории игр тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Михалева, Ульяна Анатольевна

1 Актуальность темы

Сегодня невозможно представить себе ни одну сферу человеческой деятельности без средств вычислительной техники и телекоммуникаций. Информационные технологии предлагают все новые и новые сервисы. Через Интернет становятся доступными электронные платежные системы, персональные финансовые порталы, электронные биржи и т. д. В связи с бурным развитием новых информационных технологий происходит усложнение задач обеспечения информационной безопасности (ИБ) [11, 42].

В работах отечественных исследователей проблематики ИБ А. А. Грушо, В. А. Герасименко, А. А. Кононова, А. А. Малюка, Д. С. Черешкина отмечается необходимость и актуальность системного подхода к решению задач защиты информации, обеспечивающего обоснованность, целостность и последовательность реализуемых мер, их максимальную эффективность. Такой подход позволяет систематизировать нормативно-правовые требования к ИБ и разработать на их основе научные, ориентированные на практическое применение методики, технологии и программы оптимизации деятельности по защите информации.

Так же в настоящее время известен ряд работ в области ИБ, например работы авторов: В. В. Дятчин, П. И. Тутубалин, К. В. Бормотов, А. П. Росенко, А. И. Захаров, Э. А. Лидский в которых применяются методы теории игр. В этих работах теория игр используется для выбора варианта размещения конфиденциальной информации; для оценки и прогнозирования достигнутого уровня защиты информации с учетом выбора наиболее целесообразной стратегии поведения игроков и т.д. В-данной диссертации используется новый способ построения платежной матрицы типа смешанной игры атаки и защиты, что позволяет повысить эффективность выявления наиболее опасных уязвимо-стей организации.

Постановка задачи управления ИБ предполагает осведомленность о существующих угрозах сервису и оценку связанных с ними информационных рисков. Оценка рисков является комплексной задачей и включает анализ организационной и программно-технической составляющей ИБ.

В соответствии с положением стандарта ISO/IEC Guide 73:2002, в котором предлагается методология оценки рисков, величина риска определяется тремя основными факторами:

• степенью уязвимости информационной системы,

• возможностью реализации угрозы через данную уязвимость,

• уровнем ущерба, который может быть причинен в случае реализации угрозы.

В данный момент существуют ряд методик анализа рисков, связанных с угрозами ИБ, такие как Ra2 art of Risk, Risk Advisor, Risk Watch, CRAMM, Система «АванГард», Digital Security Office и т. д.

Все перечисленные методики по-разному, но вполне успешно решают поставленную задачу в рамках, которые предусмотрел их разработчик. Они направлены на оценку рисков, связанных с уровнем защиты ИБ организации. Конечная цель данных методов - на основе анализа существующих способов защиты ИБ, предпринятых в организации, дать рекомендации по организации за-"щиты ИБ вплоть до рекомендации обучения соответствующего персонала. Таким образом, они направлены на создание преграды для угроз ИБ. В отличие от них, данная работа связана с непосредственным устранением самих угроз, конкретно, уязвимости в программном обеспечении.

Оба подхода являются необходимыми и совместимыми. В частности, на устранение угроз требуется время, например, когда обнаруживается уязвимость в программном обеспечении, много времени уходит на обновление программы, а некоторые угрозы устранить вообще невозможно. Выход в создании сетевых средств защиты, предупреждающих ущерб.

Проблема обнаружения уязвимости исследуется давно, и за время ее существования предпринимались различные попытки классифицировать уязвимости по различным критериям. Например, американские проекты Protection Analysis Project и RISOS, исследования лаборатории COAST или компании Internet Security Systems и т.д. Каждая организация проводила и обосновывала свою классификацию. Как показал анализ, нет четких определений и в названиях атак на информационный ресурс.

Для устранения неясности с определением уязвимости и наименованием атаки в 1999 году компания MITRE Corporation предложила решение, независимое от различных производителей средств поиска уязвимости. Это решение было реализовано в виде базы данных (БД) CVE (Common Vulnerability Enumeration), которая затем была переименована в Common Vulnerabilities and Exposures. Это позволило всем специалистам и производителям использовать единую классификацию.

На основе CVE разработаны специализированные открытые БД, содержащие информацию об известных уязвимостях в программных системах, степени их опасности, as также возможности проведения атак на эти уязвимости. Тем самым, возникла и стала актуальной задача эффективного использования I имеющихся данных.

В данной работе на основе информации о программном обеспечении, установленном в организации, и использовании открытой БД. об уязвимостях была разработана методика оценки рисков, связанных с конкретными уязвимо-стями в программном обеспечении. Результатом применения этой методики является множество наиболее опасных уязвимостей, которые необходимо устранять в первую очередь. Для оценки рисков были использованы методы теории игр. Параметры, определяющие стратегическое поведение партнеров игры, неизбежный риск и степень неопределенности избираются так, что они могут являться элементами множества, на котором строится игра. При этом удается связать эти элементы с задачей управления (устранение угроз). В диссертационной работе рассматривается решение актуальной задачи выбора параметров для построения игры, построение соответствующего множества их значений, оптимизации выбора решения партнерами игры.

2 Объект исследования

Уязвимости в программном обеспечении организации.

3 Предмет исследования

Эффективные алгоритмы оценки уязвимостей в программном обеспечении организации.

4 Цель диссертационной работы

Повышение эффективности оценки уязвимостей в программном обеспечении организации на основе смешанных стратегий теории игр с учётом затрат на реализацию атак и системы защиты с использованием базы данных уязвимостей.

5 Основные задачи диссертационной работы

Для достижения поставленной цели в диссертационной работе решаются следующие задачи:

1. Разработка алгоритма построения платежной матрицы игры с учетом затрат на реализацию атак и системы защиты.

2. Разработка модели ситуации противоборства собственника и злоумышленника.

3. Разработка практической методики оценки уязвимостей в программном обеспечении организации.

4. Реализация исследовательского прототипа системы оценки уязвимостей в программном обеспечении организации.

6 Методы исследований

Для решения поставленных задач использовались положения, теории вероятностей, математической статистики, теории игр, теории качественных решений.

7 Основные положения, выносимые на защиту

1. Алгоритм построения ПМ игры с учетом затрат на реализацию атак и системы защиты, использующий для учета риска модернизированную для исследуемой задачи систему С VSS., •

2. Модель ситуации противоборства собственника и злоумышленника.

3. Практическая методика оценки уязвимостей в программном обеспечении организации на основе смешанных стратегий теории игр.

4. Исследовательский прототип системы оценки уязвимостей в программном обеспечении организации.

8 Научная новизна

Научная новизна работы заключается в следующем:

1. Разработан алгоритм построения платежной матрицы игры, в отличие от известных подходов, учитывающий затраты на реализацию атак и системы защиты и использующий модернизированный для исследуемой задачи метод учета риска CVSS. При этом, понятие риска определено как сочетание вероятности опасного события — успешной атаки, и ее последствий - уровня ущерба.

2. Разработана модель ситуации противоборства собственника и злоумышленника, основанная на использовании смешанных стратегий теории игр, в отличие от существующих, позволяющая определить основные этапы оценки уязвимостей в программном обеспечении организации.

3. Разработана практическая методика оценки уязвимостей в программном обеспечении, основанная на использовании инвентаризации программного обеспечения^ организации, позволяющая определить имеющиеся уязвимости и выявить наиболее опасные из них.

9 Практическая значимость

Практическая ценность результатов, полученных в диссертации, заключается в разработке: методики оценки уязвимостей в программном обеспечении организации, обеспечивающая выявление наиболее опасных угроз в программном обеспечении организации. программного обеспечения, выполняющего определение уязвимостей в заданной программном обеспечении организации, выявление наиболее опасных из них и формирование практических рекомендаций по улучшению защищенности информационных систем.

10 Личный вклад" автора состоит в выполнении исследований по всем поставленным задачам, в том числе: моделирование ситуации противоборства на основе теории игр со смешанными стратегиями с учетом затрат, определение выражения для элемента платежной матрицы; разработка практической методики оценки уязвимостей в программном обеспечении в компьютерных сетях; разработка алгоритма и программного продукта для поиска наиболее опасных атак; составление рекомендаций участникам игры.

11 Краткий обзор глав

Диссертация состоит из введения, четырех глав, заключения, трех приложений и списка литературы.

Основные результаты работы заключаются в следующем:

1. Предложен способ построения платежной матрицы игры, при этом для учета риска использовалась система CVSS, модернизированная для исследуемой задачи. Понятие риска определено как сочетание вероятности опасного события - успешной атаки, и ее последствий - уровня ущерба. При расчете элемента платежной матрицы игры учитываются затраты в форме отношения расходов средств участниками игры.

2. Разработана модель ситуации противоборства собственника и злоумышленника на основе смешанных стратегий теории игр, позволяющая определить основные этапы оценки уязвимостей в программном обеспечении организации.

3. Разработана практическая методика оценки уязвимостей в программном обеспечении организации на основе смешанных стратегий теории игр.

4. Разработан исследовательский прототип системы оценки уязвимостей в программном обеспечении организации, позволяющий администратору информационной безопасности обнаружить известные уязвимости в защищаемой инфраструктуре, и с учетом предопределенной мотивации злоумышленника указать те из них, на которые защита должна обратить внимание в первую очередь.

ЗАКЛЮЧЕНИЕ

1. Баричев С. Пора заняться аудитом Электронный ресурс. // СЮ. 2004. №12. URL: http://offline.cio-world.ru/2004/32/37225/ (дата обращения: 25.03.2009).

2. Бармен С. Разработка правил информационной безопасности. М.: Вильяме, 2002. 208 с.

3. Белов Е. Б, Лось В. П. Основы информационной безопасности: учебное пособие для вузов. М.: Горячая линия-Телеком,'2006. 544 с.

4. Ботт Э., Зихерт К. Безопасность Windows: Windows 2000 и Windows ХР. СПб., Питер, 2003. 682 с.

5. Ванг Уоллес. Как не стать жертвой хакеров и мошенников в Internet. М:: ДиаСофт, 2005. 400 с.

6. Вентцель Е. С. Элементы теории игр. М.: Физматгиз, 1961. 68 с.

7. Винниченко И. В. Автоматизация процессов тестирования. Питер, 2005. 208 с.

8. Внутренние ИТ-угрозы в России 2006. // SECURITYLAB.RU: информационный портал по безопасности. URL:http://www.securitylab.ru/analytics/291346.php (дата обращения: 25.03.2009).

9. Гаценко О. Ю. Защита информации: основы организационного управле1ния. СПб.: Сентябрь, 2001. 225 с.

10. Голдовский И. Безопасность платежей в Интернете. СПб.: Питер, 2001. 240 с.

11. Голов А. Построение эффективной системы информационной безопасности Электронный ресурс. // Финансовая газета. 2006 №8. URL: http://www.topsbi.ru/default.asp?artID=998 (дата обращения: 25.03.2009).

12. Голованов В. Б., Зефиров С. Л., Курило А. П. Аудит информационной безопасности. М.: БДЦ-пресс, 2006. 304 с.

13. Гришина Н. Н. Организация комплексной системы защиты информации. М.: Гелиос АРВ, 2007. 256 с.

14. Гульев И. А. Компьютерные вирусы, взгляд изнутри. М.: ДМК, 1998. 304 с.

15. Даниловцева Е. Р., Дьякова Г. Н., Фарафонов В. Г. Теория игр. Основные понятия: Текст лекций. СПб.: СПбГУАП, 2003. 36 с.

16. Дастин Э., Пол Д, Рэшке Д. Автоматизированное тестирование программного обеспечения: внедрение, управление, эксплуатация. М.: Лори, 2003. 568 с.

17. Джонс К. Д., Джонсон Б. С., Шема М. Анти-хакер. Средства защиты компьютерных сетей. Справочник профессионала. М.: СП ЭКОМ, 2003. 688 с.

18. Долгин А. А., Хореев П. Б. Разработка сканера уязвимостей компьютерных систем на основе защищенных версий ОС Windows // Труды международной научно-технической конференции «Информационные средства и технологии». Т 2. М., 2005. С. 76-78 с.

19. Дрешер М. Стратегические игры. М.: Советское Радио, 1964. 379 с.

20. Дятчин В. В., Тутубалин П. И., Бормотов К. В. Применение теоретико-игровой модели для размещения конфиденциальной информации на' серверах корпоративной информационной системы // Исследование по информатике. Казань, 2007. Вып. 11. С. 89-94.

21. Ехлаков М. С., Захаров А. И., Лидский Э. А. Информационный анализ возможности прогнозирования надежности // Новые методы передачи и обработки информации. Екатеринбург: УГТУ УПИ, 2005. С. 297-299.

22. Захаров А. И. Принципы разработки стратегий атаки и защиты в компьютерных сетях // Научные труды VI отчетной конференции молодых ученых ГОУ УГТУ-УПИ 41. Екатеринбург: УГТУ УПИ, 2004. С. 234-235.

23. Захаров А. И., Лидский Э. А. Использование существующих баз данных при организации атаки и защиты информации // Научные труды международной научно-практической конференции «СВЯЗЬ-ПРОМ 2004» в рамках 1-го

24. Евро-Азиатского форума «СВЯЗЬ-ПРОМЭКСПО 2004». Екатеринбург: ЗАО «Компания Реал-Медиа», 2004. С. 345-346.

25. Захаров А. И., Лидский Э. А. Применение теории игр при выборе атаки /защиты информационного ресурса // Надежность, 2005. №4. С. 15-20.

26. Захаров А. И., Лидский Э. А. Прогнозирование инцидентов безопасности» в корпоративных сетях // Материалы X Международной конференции. 41. М.: Радио и Связь, 2005. С. 98-101.

27. Захаров А. И., Лидский Э. А., Михалева У. А. Качественные решения при выборе атаки/защиты информационного ресурса // Надежность, 2005. №3(12). С. 12-20.

28. Зегжда Д. П., Ивашко A.M. Как построить защищенную информационную систему. СПб.: Мир и семья, 1997. 312 с.

29. Зима В. М., Молдовянг А. А., Молдовян Н. А. Безопасность глобальных сетевых технологий. СПб.: БХВ-Петербург, 2000: 320 с.

30. Информационная безопасность и защита информации: учебное пособие. Ростов-на-Дону: ФГУ ГНИИ ИТТ Информика, 2004. 82 с.

31. Информационная безопасность систем, организационного управления. Теоретические основы. В 2 томах. Том 2. М: Наука, 2006 г. 496 с.

32. Канер Сэм. Тестирование программного обеспечения. К.: ДиаСофт, 2002. 544 с.

33. Кент Бек. Экстремальное программирование: разработка через тестирование. СПб.: Питер, 2002. 224 с.

34. Кинси Дж. Мак. Введение в теорию игр. М.: Физматгиз, 1960. 269 с.

35. Кириллов В. М., Соболев А. Н. Физические основы технических средств обеспечения информационной безопасности. М.: ГелиосАРВ, 2004. 224 с.

36. Клейменов С. А., Мельников В. П., Петраков А. М. Информационная безопасность и защита информации. М.: Академия, 2008. 336 с.

37. Козиол Дж, Личфилд Д., Мехта Н., Хассель Р., Эйтэл Д., Энли Кр, Эрен С. Искусство взлома и защиты систем. СПб.: Питер, 2006. 416 с.

38. Коликова Т. В., Котляров В. П. Основы тестирования программного обеспечения. М.: Бином, 2006. 288 с.

39. Крассовский Н. Н., Субботин А. И. Позиционные дифференциальные игры. М.: Наука, 1974. 455 с.

40. Крушевский А. В. Теория игр. Киев: Вища Школа, 1977. 216 с.

41. Кузнецов А. А. Защита деловой информации: секреты безопасности. М.: Экзамен, 2008. 255 с.

42. Купер. М, Норткат Ст., Фредерик К. Анализ типовых нарушений безопасности в сетях. М.: Вильяме, 2001. 464 с.

43. Куприянов А. И, Сахаров А. В., Шевцов В. А. Основы защиты информации. М.: Академия, 2006. 256 с.

44. Курбатов В., Скиба В. Руководство по защите от внутренних угроз информационной безопасности. СПб.: Питер, 2008. 320 с.

45. Ларичев О. И. Теория и методы принятия решений. М.: Лагос, 2003. 392 с.

46. Лидский Э. А. Игровая задача при конфликтной ситуации в информационной среде // Телекоммуникации. 2007. №6. С. 24-26.

47. Лидский Э. А., Михалева У. А. Оптимизация маршрута в ячеистых сетях связи // Телекоммуникации. 2009. №10. С. 10-14.

48. Лидский Э. А., Михалева У. А. Учет затрат на атаку и защиту в конфликтной ситуации // Научные труды международной научно-практической конференции «СВЯЗЬ-ПРОМ 2008» в рамках 5-го Евро-Азиатского форума

49. СВЯЗЬ-ПРОМЭКСПО 2008». Екатеринбург: ЗАО «Компания Реал-Медиа», 2004. С. 439-440.

50. Липаев В. В. Отладка сложных программ. М.: Энергоатомиздат, 1993. 384 с.

51. Липаев В. В. Тестирование программ. М.: Радио и связь, 1986. 168 с.

52. Лукацкий А. Обнаружение атак. СПб: БХВ-Петербург, 2001. 624 с.

53. Лукацкий А. Управление патчами в корпоративной сети Электронный ресурс. URL: http://www.compdoc.ru/network/local/patchmanage/ (дата обращения: 25.03.2009).

54. Льюис Р., Райфа. X. Игры и решения. М.: ИЛ, 1961. 642 с.

55. Мак-Гроу Г., Хоглунд Г. Взлом программного обеспечения: анализ и использование кода. М.: Вильяме, 2005.400 с.

56. Мешкова Е. А., Остапенко Г. А. Информационные операции и атаки в со-циотехнических системах. Организационно-правовые аспекты противодействия. М. Горячая Линия Телеком, 2008. 208 с.

57. Малюк А. А. Информационная безопасность: концептуальные и методологические основы защиты информации. М.: Горячая линия-Телеком, 2004. 280 с.

58. Марков А. С, Миронов С. В., Цирлов В. Л. Выбор сетевого сканера для анализа защищенности сети // Byte. 2005. №6. С. 67-70.

59. Норткат С., Новак Дж. Обнаружение нарушений безопасности в сетях. М.: Вильяме, 2003. 448 с.

60. Отчет по уязвимостям за 2007 год. // SECURITYLAB.RU: информационный портал по безопасности. URL: http://www.securitylab.ru/analytics/312345.php (дата обращения: 25.03.2009).

61. Оуэн Г. Теория игр. Москва, Мир, 1971. 229 с.

62. Партыка Т. Л., Попов И. И. Информационная безопасность. М.: Форум, 2007. 368 с.

63. Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. М.: ДМК-Пресс, 2004. 392 с.

64. Программные продукты для анализа рисков // IS027000.RU: искусство управления информационной безопасностью. 2003. URL: http://www.iso27000.m/informacionnye-mbriki/upravlenie-riskami/programmnyc-produkty-dlya-analiza-riskov, (дата обращения: 25.03.2009).

65. Розен В. В. Цель, оптимальность, решение. Математические модели принятия оптимальных решений М.: Радио и связь, 1982. 168 с.

66. Романец Ю. В., Тимофеев П. А., Шаньгин В. Ф. Защита информации в компьютерных системах и сетях. М.: Радио и связь, 2001. 376 с.

67. Росенко А. П. Игровой метод оценки ущерба от реализации злоумышленником внутренних угроз безопасности конфиденциальной информации // Известия Южного федерального университета. Технические науки. Таганрог, 2007. Т.76, №1. С. 43-46.

68. Семененко В. А., Федоровой. В. Программно-аппаратная защита информации. М.: Московский государственный индустриальный университет, 2007. 339 с ■

69. Сидорин Ю. С. Технические средства защиты информации: учебное пособие. СПб.: Политехи, ун-та, 2005. 141 с.

70. Симонов С. В. Технологии и инструментарий для управления рисками /Jet1.fo: информационный бюллетень №2(117). М.: Джет Инфо Паблишер, 2003. 32 с.

71. Современные методы и средства анализа и контроля рисков информационных систем компаний //DEEPLACE.MD: статьи по IT-системам. Молдова, 2001. URL: http://www.deeplace.md/rus/section/172/ (дата обращения: 25.03.2009).

72. Соммервилл И. Инженерия программного обеспечения. М.: Вильяме, 2002. 624 с.

73. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» // Вестник банка России, 2006. N6 (876).

74. Тамре JI. Введение в тестирование программного обеспечения. М.: Вильяме, 2003. 368 с.

75. Фленов М. Web-сервер глазами хакера. СПб.: БХВ-Петербург, 2007. 288 с.

76. Фленов М. Компьютер глазами хакера. СПБ.: БХВ-Петербург, 2006. 328 с.

77. Фостер Дж. С. Защита от взлома. Сокеты, shell-код, эксплойты. М.: ДМК-пресс,2006. 784 с.

78. Хансон Г., Хансон Д. База данных: разработка и управление. М.: Бином, 1999. 699 с.

79. Хорев П. Б. Методы и средства защиты информации в компьютерных системах. М.: Изд. Центр «Академия», 2005. 256 с.

80. Цирлов В. JI. Основы информационной безопасности. Краткий курс. М.: Феникс, 2008. 174 с.

81. Черешкин Д. С. Проблемы управления информационной безопасностью. М.: Едиториал УРСС, 2002. 192 с.

82. Чирилло Дж. Обнаружение хакерских атак, СПб.: Питер, 2002. 864 с.

83. Шанкин Г. П. Ценность информации. Вопросы теории и приложений. М.: Филоматис, 2004. 128 с.

84. Щеглов А. Ю. Защита компьютерной информации. СПб.: Наука и техника, 2004. 384 с.

85. Эрик Ал. Типичные ошибки проектирования. СПб.: Питер, 2003. 224 с.

86. Эриксон Дж. Хакинг: искусство эксплойта. М.: Символ-плюс, 2005. 240 с.

87. Common Vulnerabilities & Exposures. The standard for information security vulnerability names. MITRE Corpopation Electronic resource. // Bedford, Massachusetts, The MITRE Corporation, 1997. URL: http://cve.mitre.org (дата обращения: 25.03.2009).

88. Cramm: the Internet portal devoted to CRAMM toolkit Electronic resource. // Siemens Enterprise Communications Ltd, 2009. URL: http://www.cramm.com (дата обращения: 25.03.2009).

89. Nvd.nist.gov: automating vulnerability management, security measurement, and compliance checking Electronic resource. // Nist.gov, 1996. URL:: http://nvd.nist.gov (дата обращения: 25.03.2009).

90. RA2 art of risk Electronic resource. // IT Governance Ltd, 2003. URL: http://www.itgovernance.co.uk/products/165 (дата обращения: 25.03.2009).

91. Secunia: report vulnerability // Copenhagen, 2002. URL: http://www.secunia.com (дата обращения: 25.03.2009).

92. The Twenty Most Critical Internet Security Vulnerabilities Electronic resource. // SANS Institute, 2000. URL: www.sans.org/top20" (дата обращения: 25.03.2009).

93. Astera: форум // Москва. Информационно-деловой портал: сайт. Москва, 2000. URL: http://www.astera.ru (дата обращения: 25.03.2009).

94. Infoforum: форум // Москва. Национальный форум информационной безопасности «ИНФОФОРУМ»: сайт. Москва, 2001. URL: http://www.infoforum.ru (дата обращения: 25.03.2009).

95. Sdteam: статьи // программирование, операционные системы, компьютеры, железо, графика: сайт. URL: http://www.sdteam.com (дата обращения: 25.03.2009).