УДК 681.32:007.5
DOI: 10.15587/1729-4061.2021.241638
Разработка метода оценки безопасности киберфизических систем на основе модели Лотки–Вольтерры
С. П. Евсеев, С. С. Погасий, С. В. Милевский, А. В. Милов, Е. А. Меленти, А.
В. Шматко, И. Н. Грод, Д. С. Берестов, Р. М. Федоренко, О. А. Курченко У статті відображені результати розробки методу оцінки безпеки кіберфі- зичних систем на основі моделі Лотки-Вольтери. Запропоновано моделі безпеки кіберфізичних систем: “хижак-жертва” з урахуванням обчислювальних можли- востей і спрямованості цільових кібератак, “хижак-жертва” з урахуванням мо- жливої конкуренції зловмисників по відношенню до “жертви”, “хижак-жертва”
з урахуванням взаємозв’язків між “видами жертв” і “видами хижаків”, “хижак- жертва” з урахуванням взаємозв’язків між “видами жертв” і “видами хижаків”.
На основі запропонованого підходу отримані коефіцієнти моделі Лотки- Вольтери α=0,39, β=0,32, γ=0,29, φ=0,27, які враховують синергізм і гибридность сучасних загроз, фінансування на формування та вдосконалення системи захисту, а також дозволяє визначити фінансові та обчислювальні можливості зловмисни- ка по виявленим загрозам.
Пропонований метод оцінки безпеки кіберфізичних систем ґрунтується на базі розробленого класифікатора загроз, дозволяє оцінити поточний рівень безпе- ки і в динаміці формувати рекомендації щодо розподілу обмежених ресурсів захи- сту на основі експертної оцінки відомих загроз. Такий підхід дозволяє проводити динамічне моделювання в оф-лайн режимі, що дозволяє на основі аналізу загроз своєчасно визначити можливості зловмисників і сформувати превентивні заходи захисту. При імітаційному моделюванні можуть використовуватися фактичні бази оцінки реальних загроз і інцидентів на кіберфізичні системи, що дозволяє провести експертну оцінку їх впливу як на окремі послуги безпеки, так і на скла- дові безпеки (кібербезпека, інформаційну безпеку та безпеку інформації).
Представлені результати імітаційного моделювання не суперечать графіч- ним результатами класичної моделі Лотки-Вольтер, що свідчить про адекват- ність запропонованого підходу з оцінки безпеки кіберфізичних систем.
Ключові слова: критична інфраструктура, система безпеки, класифікатор загроз, модель Лотки-Вольтери, методологія моделювання, рівень безпеки.
1. Введение
Создание крупных систем критической инфраструктуры, интенсификация ис- следований динамики киберфизических систем требуют постоянного совершен- ствования и обновления существующего аппарата моделирования и управления динамическими системами [1–5]. За последнее время произошло смещение центра
Not
a reprint
тяжести исследований в направлении разработки методологии динамических си- стем с изменяющимися параметрами. Использование методов анализа подобных систем позволяет резко расширить круг решаемых задач.
Современные требования практики к исследованию сложных кибер-физических систем привели к появлению нового класса систем – развивающихся [1–3]. Эти си- стемы характеризуются временной зависимостью их структуры, изменением в про- цессе развития набора входных и выходных параметров системы, значительным уровнем априорной неопределенности о закономерностях функционирования систе- мы. В настоящее время отсутствует удовлетворительное решение проблем модели- рования развивающихся киберфизических систем на основе причинно-следственной информации по данным периодически наблюдаемых процессов развития. Принци- пиальные трудности структурного синтеза модели обычно заменяются предположе- ниями о закономерностях эволюции системы с последующим сведением задачи к параметрической неопределенности в рамках классической теории динамических систем. На начальных стадиях исследования находятся задачи принятия решений в развивающихся кибер-физических системах, когда целевые установки определяются специалистом с помощью расплывчатых инструкций.
Развитие киберфизических систем в последние годы существенно изменило ин- фраструктуры современных не только информационно-кибернетических систем (ИКС), но и критических инфраструктур (КИ), а также систем Интернет-вещей (СИВ). Синтез данных инфраструктур позволяет существенно расширить цифровой спектр услуг, с одной стороны, но также повышает уровень киберугроз [6–9]. В то же время стремительный рост вычислительных технологий позволяет злоумышленни- кам формировать целевые, гибридные атаки, которые позволяют получать синерге- тический эффект [6, 8, 9]. В таких условиях неотъемлемой частью систем безопасно- сти является возможность не только своевременного реагирования на инциденты на элементы инфраструктуры, но и правильное их формирование. Немаловажной зада- чей является своевременное и правильное распределение ограниченных ресурсов безопасности в условиях постоянного изменения вектора кибератак. Для своевре- менного изменения структуры защитных ресурсов, оценки необходимого и текущего положения системы безопасности требуется использование моделей безопасности.
Такой подход позволяет существенно снизить затраты на восстановление инфра- структуры сети, своевременно принимать превентивные меры с требуемыми затра- тами на механизмы безопасности. Однако разделение безопасности на отдельные со- ставляющие: информационную безопасность, кибербезопасность, безопасность ин- формации в нормативных регуляторах приводит к формированию в каждой из со- ставляющих своих моделей [8, 9]. Такой подход не позволяет обеспечить учет ги- бридности и синергизма угроз, возможности их комплексирования с методами соци- альной инженерии, и формированием целевых атак. Одним из направлений, который обеспечивает формирование концептуальной основы построения систем безопасно- сти СИВ является модель зрелости безопасности [1, 2]. При этом под зрелостью без- опасности, понимается степень уверенности в том, что текущее состояние безопас-
For reading
only
ности отвечает всем потребностям организации и требованиям, связанным с без- опасностью [1]. Зрелость безопасности обеспечивает не только оценку текущего уровня безопасности, его необходимость, преимущества, но и затраты на его под- держку. Факторы, которые необходимо взвесить в таком анализе, включают кон- кретные угрозы отраслевой вертикали организации, нормативные требования, уни- кальные риски, существующие в среде, и профиль угроз организации [1]. Однако, построение системы безопасности предлагается строить по иерархической структуре с последующим дроблением на сегменты безопасности. Кроме того, в такой модели не учитываются возможности злоумышленников формировать свои сети, противо- стоять друг-другу при реализации угроз на одну “жертву”.
Таким образом, появляется необходимость своевременной оценки текущего состояния уровня безопасности киберфизических систем (КФС) в условиях совре- менных угроз, с учетом синтеза элементов инфраструктуры ИКС с СИВ в услови- ях динамического изменения обстановки.
2. Обзор литературы и постановка проблемы
Анализ оценки глобальных тенденций киберугроз показал, что на сегодняш- ний день нет возможности обеспечить безопасность в полном объеме. Так, в рабо- тах [3, 4] приводится анализ киберугроз за 2017–2019 гг. Представленный анализ свидетельствует, что вектор киберугроз изменяется с тенденциями развития циф- ровых услуг, Интернет-вещей и криптовалют на основе технологии блокчейн. В работе [5] представлены 10 главных трендов в сфере кибербезопасности в 2021 году, что подтверждает тенденции кибератак в условиях пандемии, – в первую очередь на биржи криптовалют, во-вторую – на частные VPN-каналы (в связи уда- ленной работой), и в третью – на основе методов социальной инженерии – фи- шинговых писем в формате pdf в рамках корпоративной почты. В работе [6] рас- смотрены методологические аспекты построения системы безопасности на основе крипто-кодовых конструкций, их применения в различных объектах критической инфраструктуры, а также возможности противостоять современным угрозам.
В [8] предлагается использовать динамические модели на основе методов тео- рии дифференциальных игр и дифференциальных преобразований, при этом обеспе- чивается оценка текущего состояния системы в офлайн режиме. Однако такие мето- ды требуют значительных вычислительных ресурсов, что существенно снижает воз- можность их практической реализации. В работе [9] авторы рассматривают исполь- зование динамических моделей в различных системах информационного простран- ства. Однако в моделях не учитывается возможность наращивания вычислительных возможностей злоумышленников, их объединения в группы с целью достижения це- лей атаки. В работе [10] авторы рассматривают экономические аспекты, которые мо- гут влиять на построение не только модели безопасности, но и практической ее реа- лизации в СЗИ транспортной системы. Однако авторы не учитывают комплексиро- вание угроз, их синергизм и гибридность, что позволяет с методами социальной ин- женерии формировать целевые (комплексированные) угрозы.
Not
a reprint
Анализ моделей построения систем защиты [6–10] показал, что сложился подход, основанный на представлении процесса ее обработки в виде абстрактной вычислительной среды. В этой среде функционирует множество субъектов (поль- зователей и процессов) одновременно с множеством объектов (ресурсы и наборы данных). При этом построение системы защиты заключается в создании защитной среды в виде некоторого множества ограничений и процедур. Оно должно быть способно под управлением ядра безопасности запретить несанкционированный и реализовать санкционированный доступ субъектов к объектам и защиту послед- них от преднамеренных и случайных внешних и внутренних угроз. Данный под- ход опирается на теоретические модели безопасности Хартсона, Белла–Лападулы, MMS Лендвера и Мак Лина, Биба, Кларка–Вилсона и др. и носит статический ха- рактер. Считается, что перечисленные модели являются инструментарием при разработке политик безопасности, определяющих множество требований, которые должны быть выполнены в конкретной реализации системы. Однако теоретиче- ские модели, были разработаны в 70-х–80-х годах прошлого столетия, и не учиты- вают современные реальности развития вычислительной техники, цифровых услуг, а также признаки синергизма и гибридности целевых угроз. Возможно только обеспечение контура безопасности непрерывных жизненно важных про- цессов, что существенно снижает не только качество обслуживания пользовате- лей, но и ставит под угрозу развитие производства компании/предприятия и т.п.
Кроме этого, появились новые типы кибертеррористов/злоумышленников, дей- ствия которых нацелено на тотальное разрушение. Новые политические хакеры, действия которых нацелено на изменение курса стран, новые и/или модифициро- ванные целевые кибератаки с признаками гибридности и синергизма обеспечива- ют взлом систем безопасности, основанных на различных моделях и концепциях их построения. Вместе с тем, бурный рост киберфизических систем, Интернет- вещей формирует мультисистемы, которые, с одной стороны, расширяют спектр цифровых услуг, а с другой – упрощают проведение целевых кибератак.
Вторым подходом является использование принципа достаточности в рамках упреждающей стратегии защиты, когда на этапе проектирования оцениваются по- тенциально возможные угрозы и реализуются механизмы защиты от них. Однако инфраструктура современных ИКС тесно связана с элементами киберфизических и Интернет-вещей систем, что значительно усложняет обеспечение безопасности в таких системах и сетях.
Одним из решений, которое было предложено в [11], является использование концепции построения системы безопасности на основе модели зрелости безопас- ности интернета вещей (IIC IoT Security Maturity Model, IoT SMM). Системный подход к выбору вариантов защиты обеспечивается объединением в соответству- ющие домены практик по эффекту от их применения: управление безопасностью и организационные меры (Governance); обеспечение безопасности в силу конструк- ции (by design, Enablement); укрепление безопасности (Hardening) [11]. Модель позволяет сделать правильный выбор мер и средств обеспечения безопасности,
For reading
only
сформировать архитектуру выбора на основе иерархии практик обеспечения без- опасности (security practices). Однако существенным недостатком такой системы может стать взлом верхнеуровневых доменов с последующей цепной реакцией взлома всей системы в целом, отсутствие учета синергизма и гибридности целе- вых атак и их модификаций. Кроме того, также как и в теоретических моделях не учитываются современные вычислительные ресурсы злоумышленников, а также признаки целевых угроз.
Перспективным направлением формирования систем безопасности являются динамические модели, однако часто их использование практически невозможно из-за непонимания руководством их целесообразности, значительным ростом эко- номических и вычислительных затрат по сравнению с классическими (стационар- ными) моделями. Особый интерес в этом направлении играет модель и ее моди- фикации Лотки-Вольтерры (“хищник–жертва”), что позволяет учитывать не толь- ко технические и экономические аспекты при построении системы безопасности, но и учитывать возможность “конкуренции” злоумышленников, формирования сетей для проведения целевых атак на “жертву”.
В работе [12] приведен математический аппарат использования модели Лот- ки-Вольтерры в различных областях – от окружающей среды, политологии, био- логии, медицины и физики. Однако отсутствие исследований их реализации не позволяет использовать данные модели в области безопасности. В работе [13] ав- торы рассматривают использование модели “жертва–хищник” в биологии, что позволяет интерпретировать подходы в область информационно- коммуникационных систем/киберпространства, рассматривая его как экосистему.
Однако в работе не учитываются возможности современных угроз, что суще- ственно затрудняет их практическую реализацию.
В работе [14] рассмотрена практическая возможность использования модели при оценке уровня безопасности объектов транспортной инфраструктуры. Однако использование в качестве “хищника” – систему безопасности, не позволяет учи- тывать изменения вектора киберугроз, тем более признаки синергизма и гибрид- ности, а также условия ограниченных экономических ресурсов. В работах [15, 16]
приведены исследования различных моделей обеспечения кибербезопасности на основе модели Лотки-Вольтеррры. Предложенный подход позволяет определить векторы киберугроз, однако без учета их синергизма и гибридности, комплекси- рования с методами социальной инженерии, что существенно снижает их практи- ческую ценность. В [17, 18] киберпространство рассматривается как цифровая экосистема, в которой системы могут адаптироваться и развиваться, что позволяет системной инженерии создавать “виды”, которые функционируют и адаптируются в этой экосистеме. Однако авторы не учитывают тенденции развития вычисли- тельных ресурсов, возможности злоумышленников, что не позволяет адекватно использовать данный подход в современных условиях. В работе [19] исследуется аналогия “хищник-жертва” для Интернета и представлены результаты о том, как различные уровни диверсификации видов влияют на устойчивость сети, а также
Not
a reprint
будет обсуждаться связь между диверсификацией, конкуренцией, антимонополь- ным законодательством и национальной безопасностью. В [20] предлагается ана- логии между вредоносными программами, и экологическими принципами поведе- ния “видов” – посредничество, паразитизм, хищничество и регулирование попу- ляции в зависимости от плотности. Однако отсутствие исследований современных угроз, их модификаций и появление новых, не обеспечивает требуемый уровень достоверности при оценке безопасности CFS. В [21] авторы предлагают использо- вать биологические принципы построения киберзащиты на основе муравьев (ABCD) – это мобильная устойчивая защита, обеспечивающая набор блуждаю- щих, био-вдохновленных, цифровых агентов-муравьев, работающих со стацио- нарными агентами в иерархии, возглавляемой человеком-супервизором. В рабо- те [22] авторами предлагается упрощение модели Лотки-Вольтерры путем исполь- зования функции модуляции. Функция умножается на обе стороны модели Лотки – Вольтерра, и модель преобразуется в линейные уравнения с параметрами, кото- рые должны быть оценены методом дробного интегрирования. В [23] авторы предлагают анализ модели “хищник–жертва” на основе характеристик, таких, как эффект Алли, эффект страха, каннибализм и иммиграция. Однако в работах [17–
23] не учитываются изменения вектора киберугроз, их гибридность и синергизм, что позволяет получать эмерджентный эффект при реализации целевых атак.
В работе [24] предложен концептуальный подход использования модели Лот- ки-Вольтерры в описании взаимосвязей и основных элементов инфраструктуры системы информационной безопасности при реагировании на инциденты. Однако авторы рассматривают только использование модели в одной из составляющих безопасности, без учета комплексирования угроз с методами социальной инжене- рии, признаками гибридности и синергизма.
В работе [25] предлагается использовать модель Лотки-Вольтерры для оценки зависимости защиты персональных данных от объема информации в системе и дове- рия к социальным сетям. Авторами в результате исследований доказано, что зависи- мость защиты персональных данных от доверия пропорциональна при неизменных остальных параметрах защиты. Однако при оценке угроз не рассматриваются тен- денции их развития и совершенствования, связь с методами социальной инженерии, что не позволяет учитывать возможность синергизма и гибридности угроз.
Таким образом, возникает необходимость рассмотрения данного подхода (использование модели “хищник–жертва”) с учетом современного развития вы- числительных ресурсов, финансовых возможностей как злоумышленников, так и
“защитников”. Необходимо также учитывать изменения вектора целевых атак с учетом их гибридности и синергизма по всем составляющим безопасности.
3. Цель и объекты исследования
Целью работы является разработка метода оценки безопасности киберфизи- ческих систем на основе модели Лотки-Вольтерры “хищник–жертва”. Метод дол- жен учитывать вычислительные и финансовые возможности злоумышленников,
For reading
only
признаки гибридности и синергизма целевых атак на все составляющие безопас- ности, взаимосвязи между “видами жертв” и “видами хищников”. Такой подход позволит своевременно получать динамическое изменение уровня безопасности, в офлайн режиме формировать превентивные меры на основе преднастроенных сценариев/профилей безопасности в условиях экономии финансовых затрат на со- ставляющие инфраструктуры безопасности.
Для достижения цели работы необходимо решить следующие задачи:
– разработать модели безопасности развивающихся киберфизических систем с учетом вычислительных возможностей и направленности целевых кибератак, возможной конкуренции злоумышленников по отношению к “жертве”, возможно- сти группирования злоумышленников/кибергрупп с целью достижения целей ки- бератаки;
– разработать модели безопасности киберфизических систем на основе моде- ли “хищник–жертва” с учетом взаимосвязей между “видами жертв” и “видами хищников”;
– разработать метод динамической оценки безопасности киберфизических систем на основе модели Лотки-Вольтерры “хищник–жертва”;
– провести исследования практической реализации предложенного подхода.
4. Материалы и методы исследования
Для оценки безопасности киберфизических систем в условиях воздействия современных целевых киберугроз с признаками гибридности и синергизма учиты- вается их комплексирование с методами социальной инженерии на элементы ин- фраструктур. При этом в классической модели Лотки-Вольтерры используются основные подходы на основе следующих парадигм:
– при отсутствии “хищников” “жертвы” экспоненциально размножаются;
– при отсутствии “жертв” “хищники” экспоненциально вымирают.
При этом, как правило, в работах [8, 9, 12, 17–19, 24, 25] в рамках “жертвы”
рассматриваются инциденты ИБ/злоумышленники, а в качестве “хищника” – меры защиты/элементы системы защиты. Это выглядит нелогично с точки зрения эко- системы, под которой понимается киберпространство. Математически модель
“хищник–жертва” можно описать как [14]:
1
1 1 2
2
2 2 1
; ,
dN N N N
dt
dN N N N
dt
(1)
где N1 – численность жертв, N2 – численность хищников, α – коэффициент рожда- емости жертв, β – коэффициент влияния хищника на жертву (коэффициент хищ-
Not
a reprint
ничества), φ – коэффициент смертности хищника, γ – коэффициент влияния жерт- вы на хищника.
Однако для оценки безопасности киберфизических систем предлагается ис- пользовать следующие понятия:
– “жертва” – система или элемент системы/инфраструктуры информационно- коммуникационной системы/киберфизической системы, которая подвержена це- левым угрозам с признаками синергизма и гибридности;
– “хищник” – целевая угроза или угроза на отдельные составные безопасно- сти (кибербезопасности (КБ), информационной безопасности (ИБ), безопасности информации (БИ)) на систему или элемент системы/инфраструктуры информаци- онно-коммуникационной системы/киберфизической системы либо системы Ин- тернет-вещей;
– безопасность информационных ресурсов (ИР) – состояние защищенности ИР, характеризуется способностью пользователей, технических средств и инфор- мационных технологий обеспечить конфиденциальность, целостность подлин- ность и доступность при их обработке в ИКС с СИВ;
– кибербезопасность ИР (КБ ИР) – набор средств, стратегий, принципов обеспечения безопасности, гарантий безопасности, подходов к управлению рис- ками, действий, профессиональной подготовки, страхование и технологий, кото- рые используются для защиты киберсереды ИКС с СИВ, ресурсов и пользователей киберфизических систем;
– информационная безопасность ИР (ИБ ИР) – состояние защищенности ин- формационной среды ИКС с СИВ, обеспечивающее ее формирование, использо- вание и развитие в интересах граждан и ИКС с СИВ;
– гибридность угроз ИБ, КБ, БИ – совокупность нескольких угроз на инфор- мационные ресурсы по составляющим безопасности: информационная безопас- ность, кибербезопасность, безопасность информации, направленных на отдельную услугу безопасности: конфиденциальность, целостность или подлинность. Это позволяет получить максимальный эффект от их комплексирования;
– синергизм угроз ИБ, КБ, БИ – комбинированное воздействие нескольких угроз на составляющие безопасности: информационной безопасности, кибербез- опасности, безопасность информации с услугами безопасности: конфиденциаль- ность, целостность, аутентичность. Оно характеризуется тем, что их объединенное действие существенно превосходит эффект каждого отдельно взятой угрозы и их простой суммы;
– эмерджентность ИКС/КФС– совокупность особых свойств ИКС/КФС, кото- рые не принадлежат ее подсистемам и блокам, а также сумме элементов, не свя- занных особыми системообразующими связями. На основе оценки синергизма и гибридности угроз на составляющие безопасности минимизируются затраты на инвестирование в построение системы безопасности для обеспечения оперативно- сти и достоверности передачи информации;
For reading
only
– уровень защищенности информационных ресурсов – качественный (коли- чественный) показатель способности системы защиты ИКС/КФС противостоять синергетическим и гибридным угрозам на составляющие безопасности: информа- ционную безопасность, кибербезопасность, безопасность информации;
– непрерывность бизнес-процессов – свойство системы, которая заключается в обеспечении бесперебойной работы внутренних и внешних приложений, что позво- ляет подсистемам и службам работать без перерыва во время запланированного про- стоя и незапланированных сбоев. Также это обеспечивает резервное копирование и хранение критических бизнес-данных и возможность их восстановления в течение разумного периода времени в случае неожиданного инцидента или аварии;
– контур безопасности бизнес-процессов – минимально допустимый ком- плекс средств защиты совокупности информационных ресурсов и связанных с ни- ми бизнес-процессов. Выполнение бизнес-процессов в заданной последовательно- сти приводит к достижению целей организации.
На рис. 1 представлена взаимосвязь предлагаемых дефиниций. Основным от- личием от известных подходов является возможность учитывать не только ком- плексирование угроз, формирование целевых атак, но и их влияние на отдельные составляющие безопасности. Такой подход обеспечивает детализацию современ- ных угроз, и упрощает понимание их влияния на уровень безопасности в целом.
Для определения взаимосвязей между “жертвой” и “хищником” используется классификатор угроз и этапы экспертной оценки, предложенные в работе [25] и представленный на рис. 2, 3. Такой подход позволяет учитывать характеристики и признаки современных угроз, минимизацию средств на поддержание систем за- щиты информации (СЗИ) с учетом непрерывности бизнес-процессов.
Для учета вычислительных ресурсов злоумышленников используется подход, предложенный в работе [26]. Имитационное моделирование моделей: “хищник–
жертва” с учетом вычислительных возможностей и направленности целевых ки- бератак, “хищник–жертва” с учетом возможной конкуренции злоумышленников по отношению к “жертве”, хищник–жертва” с учетом взаимосвязей между “вида- ми жертв” и “видами хищников”, хищник–жертва” с учетом взаимосвязей между
“видами жертв” и “видами хищников” с использованием программного пакета на Java Script представленного на веб-ресурсе [27]. При проведении экспертной оценки угроз((https://bdu.fstec.ru/threat) в работе [28] для объективности суждений экспертов предложены весовые коэффициенты компетентности экспертов. Выбор экспертов из научного сообщества проводится на основе анализа публикаций в наукометрических базах, направленности исследований, а также опыта практиче- ской работы в проведении экспертизы.
Not
a reprint
Обеспечение подлинности источника сообщений
Обеспечение доказательства принадлежности в случае отказа приема/передачи данных
Услуги безопасности Составляющие безопасности БЕЗОПАСНОСТЬ
набор средств, стратегий, принципов обеспечения
безопасности в киберпространстве КИБЕРБЕЗОПАСНОНОСТЬ
обеспечение безопасности персональных данных
человека и социума ИНФОРМАЦИОННАЯ
БЕЗОПАСНОНОСТЬ
возможность технических средств обеспечить
основные услуг безопасности БЕЗОПАСНОНОСТЬ
ИНФОРМАЦИИ
К Ц Д А Пр К Ц Д А Пр Пр Ц Д А К
УГРОЗЫ Синергизм угроз Гибридность угроз
Пр
А - конфиденциальность
- целостность
- доступность
- аутентичность
- причастность Обеспечение защиты
данных при передаче от пассивных атак К
Обеспечение защиты сети используя администрирование Д
Обеспечение защиты данных при хранении Ц
Рис. 1. Структура взаимосвязи дефиниций
For reading
only
ПЛАТФОРМА 2 – СОСТАВНАЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ПЛАТФОРМА 3 – УСЛУГИ БЕЗОПАСНОСТИ критический
01
высокий 02
средний 03
очень низкий 05 низкий
04
ИБ 01
КБ 02
БИ
03 ИБ
01 КБ
02 БИ
03
Ц 01
К 02
Д 03
Пр 05 А
04
Ц 01
К 02
Д 03
Пр 05 А
04
полное уничтожение CIF (01), уничтожение отдельных элементов CIF (02), полное блокирование функциональности CIF (03), частичное блокирование функциональности (04)
ПЛАТФОРМА 4 – ЦЕЛЬ ТЕРАКТА
01 02 03
уровень технических каналов (Н0), физический уровень ISO/OSI (Н1), канальный уровень (Н2), сетевой уровень (Н3), транспортный уровень (Н4), прикладной уровень (Н5), уровень физической защиты элементов ОКИ (Н6), уровень возможных закладных устройств (Н7).
ПЛАТФОРМА 5 – УРОВЕНЬ ИНФРАСТРУКТУРЫ ISO/OSI H1
01 H2
02
01 02 03 04 04
H3
03 H4
04 H5
05 H6
06 H7
07
H1
01 H2
02 H3
03 H4
04 H5
05 H6
06 H7
07
Fuel & Energy Complex (01), Transport (02), Life Support Networks (03), Telecommunications and Communication Networks (04), Financial and banking sector (05), Public administration and law-enforcement (06), Security and defense complex (07), Chemical industry (08), Emergency services and civil protection (09), Food processing industry and agricultural complex (10)
ПЛАТФОРМА 6 – КАТЕГОРИЯ ОБЪЕКТА КРИТИЧЕСКОЙ ИНФРАСТРУКТУРЫ
Рис. 2. Структура классификатора киберугроз
Not
a reprint
определяется автоматически на основе математических выражений ЭТАП 1. ФОРМИРОВАНИЕ МЕТРИЧЕСКИХ КОЭФФИЦИЕНТОВ УГРОЗ
1 1
1 N K
CPS CIF CPS CIF
j j ik
i k
w w
K
ЭТАП 2. ФОРМИРОВАНИЕ ВЕСОВЫХ КОЭФФИЦИЕНТОВ ПРОЯВЛЕНИЯ УГРОЗ
ЭТАП 3. ОПРЕДЕЛЕНИЕ РЕАЛИЗАЦИИ КАЖДОЙ УГРОЗЫ
, 0,067;0,133;0, 2;0, 267;0,333
CPS CIF
i i
1
1 , где
N
CPS CIF CPS CIF CPS CIF CPS CIF CPS CIF CPS CIF
j i j i j i j ik j i i
k
w P P w P
K
ЭТАП 4. ОПРЕДЕЛЕНИЕ РЕАЛИЗАЦИИ УГРОЗ НА УСЛУГУ БЕЗОПАСНОСТИ
1 1
M M
CFS CIF C CFS CIF C CPS CIF C CFS CIF Aff CFS CIF Aff CPS CIF Aff
synerg synerg i i synerg synerg i i
i i
W w W w
ЭТАП 5. ОПРЕДЕЛЕНИЕ СУММАРНОЙ УГРОЗ НА СОСТАВНУЮ БЕЗОПАСНОСТИ
ЭТАП 6. ОПРЕДЕЛЕНИЕ ЭКОНОМИЧЕСКИХ ЗАТРАТ НА ПРЕДОТВРАЩЕНИЕ АТАКИ
| 0
arg maxDl C
CPS CIF A A A CPS CIF D A
R i i i i L l l
Tr Tr
Tr Tr P C Tr Tr Tr K K
1 1 1 1 1 1
N M M M M M
CFS CIF CFS CIF C CFS CIF I CFS CIF A CFS CIF Au CFS CIF Aff CPS CIF
synerg synerg i synerg i synerg i synerg i synerg i i
i i i i i i
W w w w w w
Рис. 3. Этапы экспертной оценки киберугроз
Примечание: wCPS CIFj – экспертные весовые коэффициенты услуг безопасности:
конфиденциальности, целостности, доступности, аутентичности и причастности;
CPS CIFi – весовой коэффициент услуги безопасности: конфиденциальности, це-
лостности, доступности, аутентичности и подлинности проявления атаки i-й угро- зы, при этом PjCPS CIFi
CPS CIFi
; WsynergCFS CIFj– суммарная угроза по услугам безопасно- сти; WsynergCFS CIF – суммарная угроза по составляющим безопасности; TrRA – множествопотенциальных угроз, реализация которых эффективна для атакующего; Tri – угроза i-му информационному ресурсу; PiA – оценка стоимости успешности реа- лизации атаки на i-й ресурс со стороны атакующего; CiA – стоимость проведения
атаки на i-й ресурс со стороны атакующего.
For reading
only
5. Результаты разработки моделей безопасности киберфизических систем на основе модели “хищник–жертва”
5. 1. Разработка моделей безопасности развивающихся киберфизических систем с учетом вычислительных возможностей и направленности целевых кибератак, возможной конкуренции злоумышленников по отношению к
“жертве”, возможности группирования злоумышленников/кибергрупп с це- лью достижения целей кибератаки.
Разработка моделей безопасности развивающихся киберфизических систем с учетом вычислительных возможностей и направленности целевых кибератак.
Для использования модели “хищник–жертва” для моделирования динамики функционирования и оценки киберфизических систем необходимо не только дать предметную интерпретацию базовой модели в терминах и понятиях системы без- опасности, но и выполнить параметризацию модели. Другими словами, необходи- мо определить значения коэффициентов, входящих в уравнения модели, а также задать начальные значения исследуемых переменных.
Параметризацию модели начнем с первого ее уравнения.
Оценку численности элементов защиты контура безопасности непрерывности бизнес-процессов выполним, исходя из следующих предположений:
1. Угрозы направлены на соответствующие услуги безопасности, которые в классификаторе угроз представлены 3-й платформой [26].
2. Для каждой из услуг безопасности в контуре защиты имеются средства, ко- торые обеспечивают данные услуги. Распределение этих средств по рассматрива- емому диапазону услуг описывается вектором
AiC,A AiI, iA,AiAu,AiAff
, где, напри- мер, AiC – весовой коэффициент, который обеспечивает услугу конфиденциально- сти, AiI – весовой коэффициент, который обеспечивает услугу целостности; AiA – весовой коэффициент, который обеспечивает услугу доступности управления; AiAu – весовой коэффициент, который обеспечивает услугу аутентичности; AiAff – весо- вой коэффициент, который обеспечивает услугу принадлежности. При этом вы- полняется равенство1
1,
j i i j
A где j – услуги безопасности, i – угроза на элементы инфраструктуры КФС.
3. Угроза считается гибридной, если она направлена одновременно на все услуги безопасности.
Численность объектов, представляющих цели атак с учетом их гибридности, может быть представлена следующим образом:
1 1 1 1 1 1
1
,
Q Ci iC Ii iI Ai iA Aui iAu Affi iAffi
N N A N A N A N A N A (2)
Not
a reprint
где индексы переменных соответствуют основным услугам безопасности: C – конфиденциальность; І – целостность; А – доступность; Au – аутентичность, Aff – причастность (принадлежность); 1
i
NC – количество объектов, обеспечивающих услугу безопасности, как конфиденциальность; для других служб безопасности – аналогично; Q – общее количество известных киберугроз.
Предполагаем, что коэффициент внедрения новых элементов СЗИ α соответ- ствует уровню защищенности элементов, обеспечивающих услуги безопасности КФС. Уровень безопасности, согласно [9] оценивается в относительных единицах:
1 – соответствует максимальному уровню безопасности, обеспечиваемый систе- мой безопасности, 0 – система безопасности не обеспечивает защиту информаци- онных ресурсов.
Будем предполагать, что стоимости проведения атак и стоимости мероприя- тий по защите от них имеют нормальное распределение. В этом случае вероят- ность реализации угрозы при максимальных возможностях защиты A и нападения B будет определяться разницей плотностей вероятности F(B)–F(A), где A – пре- дельные возможности защиты, B – предельные возможности реализации атаки стороны нападения. Другими словами, F(B) определяет ту долю атак из их общего количества, которая может быть реализована злоумышленника, исходя из имею- щихся у них ресурсов. Аналогично, F(A) определяет долю атак, защиту от которых может обеспечить система безопасности, исходя из доступных ей ресурсов. При этих предположениях величина S=F(B)–F(A) определяет долю незащищенных це- лей, на которые могут быть направлены кибератаки. Тогда уровень безопасности определятся как доля информационных ресурсов, которые защищены от кибе- ратак. Эта величина может быть вычислена как:
1 12 1 121 d d ,
2 2
B t
A tS F B F A e t e t (3)
где S – уровень безопасности системы, F(B) и F(A) – доли ресурсов сторон кибер- конфликта, t – переменная интегрирования, определяющая уровень доступных ре- сурсов “хищника” и “жертвы”, μ и σ – величины, определяющие математическое ожидание и дисперсию статистического распределения имеющих у сторон ресурсов.
Оценки предельных уровней возможностей сторон киберконфликта основы- вается на использовании стоимостных оценок затрат на осуществление и предот- вращение угрозы, а также на оценке выигрыша, получаемого от реализации угро- зы и ее предотвращения [26].
Введение стоимостных показателей угроз позволяет реализовать алгоритм построения рейтинга потенциальных угроз и важности информационных ресур- сов, подлежащих защите.
