Оценка защищенности компьютерных сетей на основе метрик CVSS


https://doi.org/10.15217/issn1684-8853.2017.6.76

Полный текст:


Аннотация

Введение: в современных условиях чрезвычайно актуальной является проблема улучшения качества оценки защищенности компьютерных сетей для автоматизированных систем защиты, целью которых является проактивная защита от атак, за счет применения объективных количественных показателей защищенности, вычисляемых с использованием метрик открытой системы оценки защищенности CVSS (Common Vulnerability Scoring System) и аналитических моделей. Цель исследования: совершенствование разработанного ранее подхода к оценке защищенности на основе аналитического моделирования, применения открытых стандартов представления данных безопасности и метрик CVSS благодаря новой версии CVSS. В основе подхода лежит графовая модель действий злоумышленника, формируемая с использованием метрик CVSS. Неточности предыдущей версии формата CVSS привели к некоторым допущениям при автоматической генерации графа действий злоумышленника. Предполагается, что применение метрик новой версии позволит усовершенствовать процедуру генерации графа и оценки защищенности на его основе. Результаты: исследования показали, что результаты оценки защищенности существенно зависят от корректности входных данных. Для получения исходных оценок уязвимостей применена система CVSS (метрики для оценки уязвимостей, их описание и критерии назначения оценок) и открытые базы уязвимостей. Выявлены недостатки описания метрик CVSS версии 2 и отличия CVSS версии 3, а именно: введены новые качественные значения метрик для учета существенных для безопасности характеристик, которые ранее игнорировались; определены области возможных значений метрик, снимающие существовавшую ранее неопределенность. Разработан новый подход к моделированию атак и анализу защищенности компьютерных сетей на основе формата CVSS версии 3, описаны его преимущества по сравнению с предложенным авторами ранее подходом, заключающиеся в устранении допущений при формировании графа действий злоумышленника, связанных с определением предусловий и постусловий атакующих действий. Приведены примеры применения метрик CVSS версии 3 для оценки защищенности компьютерных сетей на основе использования методов аналитического моделирования. Практическая значимость: новизна и практическая значимость предложенного подхода заключаются в совершенствовании процедур генерации графа атак и анализа защищенности компьютерных сетей на основе использования нового формата оценки уязвимостей CVSS версии 3 в рамках программной системы оценки защищенности компьютерных сетей.

Об авторах

Елена Владимировна Дойникова
Санкт-Петербургский институт информатики и автоматизации РАН; Университет ИТМО
Россия


Андрей Алексеевич Чечулин
Санкт-Петербургский институт информатики и автоматизации РАН; Университет ИТМО
Россия


Игорь Витальевич Котенко
Санкт-Петербургский институт информатики и автоматизации РАН; Университет ИТМО
Россия


Список литературы

1. Artz M. NetSPA, a Network Security Planning Architecture: Master’s Thesis. - Massachusetts Institute of Technology, 2002. - 96 p.

2. Lippmann R. P. Validating and Restoring Defense in Depth using Attack Graphs // Proc. of MILCOM 2006. Washington, DC. P. 1-10.

3. Ingols K., Lippmann R., Piwowarski K. Practical Attack Graph Generation for Network Defense//Proc. of 22nd Annual Conf. on the Computer Security Applications, Miami Beach, FL. IEEE, 2006. P. 121-130.

4. Singhal A. Ou X. Security Risk Analysis of Enterprise Networks using Probabilistic Attack Graphs: NIST Interagency Report 7788. - Gaithersburg: National Institute of Standards and Technology, 2011. - 24 p.

5. Man D., Yang W., Yang Y., Wang W., Zhang L. A Quantitative Evaluation Model for Network Security // Proc. of the 2007 Intern. Conf. on Computational Intelligence and Security. Dec. 2007. P. 773-777.

6. Wu Y.-S., Foo B., Mao Y.-C., Bagchi S., Spafford E. H. Automated Adaptive Intrusion Containment in Systems of Interacting Services // The Intern. Journal of Computer and Telecommunications Networking. 2007. Vol. 51. P. 1334-1360.

7. Stakhanova N., Basu S., Wong J. A Cost-Sensitive Model for Preemptive Intrusion Response Systems // Proc. of the 21st Intern. Conf. on Advanced Networking and Applications. 2007. P. 1-8.

8. Liu Y., Man Y. Network Vulnerability Assessment using Bayesian Networks // Proc. of the SPIE. 2005. Vol. 5812. P. 61-71.

9. Frigault M., Wang L., Singhal A., Jajodia S. Measuring Network Security using Dynamic Bayesian Network //Proc. of the ACM Workshop on Quality of Protection. October 2008. P. 23-30.

10. Dantu R., Kolan P., Cangussu J., Dantu R., Kolan P. Network Risk Management using Attacker Profiling // Security and Communication Networks. 2009. Vol. 2. N 1. P. 83-96.

11. Wang L., Islam T., Long T., Singhal A., Jajodia S. An Attack Graph-Based Probabilistic Security Metric //Proc. of the 22nd Annual IFIP WG 11.3 Working Conf. on Data and Applications Security, Heidelberg. Springer-Verlag Berlin, 2008. P. 283296.

12. Poolsappasit N., Dewri R., Ray I. Dynamic Security Risk Management using Bayesian Attack Graphs // IEEE Transactions on Dependable and Security Computing. 2012. Vol. 9. N 1. P. 61-74.

13. Kotenko I., Chechulin A. Computer Attack Modeling and Security Evaluation based on Attack Graphs // Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS’2013): Proc. of the IEEE 7th Intern. Conf. Berlin, Germany, September 2013. P. 614-619.

14. Kotenko I., Chechulin A. A Cyber Attack Modeling and Impact Assessment Framework // Proc. of the 5th Intern. Conf. on Cyber Conflict 2013 (CyCon 2013). Tallinn, Estonia: IEEE and NATO COE Publications, June 2013. P. 119-142.

15. Дойникова Е. В., Котенко И. В. Методики и программный компонент оценки рисков на основе графов атак для систем управления информацией и событиями безопасности // Информационно-управляющие системы. 2016. № 5. С. 54-65. doi:10.15217/ issn1684-8853.2016.5.54

16. Chechulin A., Kotenko I. Attack Tree-based Approach for Real-Time Security Event Processing // Automatic Control and Computer Sciences. 2015. Vol. 49. N 8. P. 701-704.

17. Common Vulnerability Scoring System (CVSS-SIG). FIRST website. https://www.first.org/cvss (дата обращения: 18.09.2017).

18. Common Platform Enumeration (CPE). NVD website. https://nvd.nist.gov/cpe.cfm (дата обращения: 18.09.2017).

19. Common Configuration Enumeration (CCE). NVD website. https://nvd.nist.gov/cce/index.cfm (дата обращения: 18.09.2017).

20. Mell P., Scarforne K., Romanosky S. A Complete Guide to the Common Vulnerability Scoring System Version 2.0 (CVSS). 2007. - 23 p. https://www.first.org/ cvss/v2/guide (дата обращения: 18.09.2017).

21. NVD website. https://nvd.nist.gov (дата обращения: 18.09.2017).

22. Common Vulnerability Scoring System v3.0: Specification Document. FIRST Org. Inc, 2015. - 21 p. https:// www.first.org/cvss/specification-document (дата обращения: 18.09.2017).

23. Barnum S. Common Attack Pattern Enumeration and Classification (CAPEC). - Schema Description, 2008. - 26 p.

24. Common Vulnerabilities and Exposures (CVE). http:// cve.mitre.org. (дата обращения: 18.09.2017).

25. Kotenko I., Doynikova E. Dynamical Calculation of Security Metrics for Countermeasure Selection in Computer Networks // Proc. of the 24th Euromicro Intern. Conf. on Parallel, Distributed and Network-based Processing (PDP 2016), Heraklion, Crete, Greece, Feb. 2016, Los Alamitos, California. IEEE Computer Society, 2016. P. 558-565.

26. Котенко И. В., Дойникова Е. В. Методика выбора контрмер в системах управления информацией и событиями безопасности // Информационноуправляющие системы. 2015. № 3. С. 60-69. doi:10.15217/ issn1684-8853.2015.3.60


Дополнительные файлы

Для цитирования: Дойникова Е.В., Чечулин А.А., Котенко И.В. Оценка защищенности компьютерных сетей на основе метрик CVSS. Информационно-управляющие системы. 2017;(6):76-87. https://doi.org/10.15217/issn1684-8853.2017.6.76

For citation: Doynikova E.V., Chechulin A.A., Kotenko I.V. Computer Network Security Evaluation based on CVSS Metrics. Information and Control Systems. 2017;(6):76-87. (In Russ.) https://doi.org/10.15217/issn1684-8853.2017.6.76

Просмотров: 62


Creative Commons License
Контент доступен под лицензией Creative Commons Attribution 4.0 License.


ISSN 1684-8853 (Print)
ISSN 2541-8610 (Online)