Автоматизированное определение активов и оценка их критичности для анализа защищенности информационных систем

The research aims to develop the technique for an automated detection of information system assets and comparative assessment of their criticality for farther security analysis of the target infrastructure. The assets are all information and technology objects of the target infrastructure. The size, heterogeneity, complexity of interconnections, distribution and constant modification of the modern information systems complicate this task. An automated and adaptive determination of information and technology assets and connections between them based on the determination of the static and dynamic objects of the initially uncertain infrastructure is rather challenging problem. The paper proposes dynamic model of connections between objects of the target infrastructure and the technique for its building based on the event correlation approach. The developed technique is based on the statistical analysis of the empirical data on the system events. The technique allows determining main types of analysed infrastructure, their characteristics and hierarchy. The hierarchy is constructed considering the frequency of objects use, and as the result represents their relative criticality for the system operation. For the listed goals the indexes are introduced that determine belonging of properties to the same type, joint use of the properties, as well as dynamic indexes that characterize the variability of properties relative to each other. The resulting model is used for the initial comparative assessment of criticality for the system objects. The paper describes the input data, the developed models and proposed technique for the assets detection and comparison of their criticality. The experiments that demonstrate an application of the developed technique on the example of analyzing security logs of Windows operating system are provided.Цель исследования заключается в разработке методики автоматизированного выделения активов информационной системы и сравнительной оценки уровня их критичности для последующей оценки защищенности анализируемой целевой инфраструктуры. Под активами в данном случае понимаются все информационно-технологические объекты целевой инфраструктуры. Размеры, разнородность, сложность взаимосвязей, распределенность и динамичность современных информационных систем затрудняют определение целевой инфраструктуры и критичности информационно-технологических активов для ее корректного функционирования. Автоматизированное и адаптивное определение состава информационно-технологических активов и связей между ними на основе выделения статичных и динамичных объектов изначально неопределенной инфраструктуры является достаточно сложной задачей. Ее предлагается решить за счет построения актуальной динамической модели отношений объектов целевой инфраструктуры с использованием разработанной методики, которая реализует подход на основе корреляции событий, происходящих в системе. Разработанная методика основана на статистическом анализе эмпирических данных о событиях в системе. Методика позволяет выделить основные типы объектов инфраструктуры, их характеристики и иерархию, основанную на частоте использования объектов, и, как следствие, отражающую их относительную критичность для функционирования системы. Для этого в работе вводятся показатели, характеризующие принадлежность свойств одному типу, совместное использование свойств, а также показатели динамичности, характеризующие вариативность свойств относительно друг друга. Результирующая модель используется для сравнительной оценки уровня критичности типов объектов системы. В работе описываются используемые входные данные и модели, а также методика определения типов и сравнения критичности активов системы. Приведены эксперименты, показывающие работоспособность методики на примере анализа журналов безопасности операционной системы Windows

Автоматизированное определение активов и оценка их критичности для анализа защищенности информационных систем

Цель исследования заключается в разработке методики автоматизированного выделения активов информационной системы и сравнительной оценки уровня их критичности для последующей оценки защищенности анализируемой целевой инфраструктуры. Под активами в данном случае понимаются все информационно-технологические объекты целевой инфраструктуры. Размеры, разнородность, сложность взаимосвязей, распределенность и динамичность современных информационных систем затрудняют определение целевой инфраструктуры и критичности информационно-технологических активов для ее корректного функционирования. Автоматизированное и адаптивное определение состава информационно-технологических активов и связей между ними на основе выделения статичных и динамичных объектов изначально неопределенной инфраструктуры является достаточно сложной задачей. Ее предлагается решить за счет построения актуальной динамической модели отношений объектов целевой инфраструктуры с использованием разработанной методики, которая реализует подход на основе корреляции событий, происходящих в системе. Разработанная методика основана на статистическом анализе эмпирических данных о событиях в системе. Методика позволяет выделить основные типы объектов инфраструктуры, их характеристики и иерархию, основанную на частоте использования объектов, и, как следствие, отражающую их относительную критичность для функционирования системы. Для этого в работе вводятся показатели, характеризующие принадлежность свойств одному типу, совместное использование свойств, а также показатели динамичности, характеризующие вариативность свойств относительно друг друга. Результирующая модель используется для сравнительной оценки уровня критичности типов объектов системы. В работе описываются используемые входные данные и модели, а также методика определения типов и сравнения критичности активов системы. Приведены эксперименты, показывающие работоспособность методики на примере анализа журналов безопасности операционной системы Windows

Ускорение расчетов оценки защищенности пользователей информационной системы за счет элиминации маловероятных траекторий социо-инженерных атак

In the field of information security it is necessary to develop scientific and proved and mathematical methods and the models reflecting specifics of subject domain for ensuring activity of experts, allowing to automate the analysis of information systems user’s security from socio-engineering attacks. The purpose of this paper is consideration of a method of of success probability search of socio-engineering attacking impact on each user in the "personnel - information system - critical documents" complex where users and communications between them are presented as graph. The algorithm assumes search of various acyclic ways between two users.Для обеспечения деятельности специалистов в области информационной безопасности необходимо разработать научно-обоснованные и отражающие специфику предметной области математические методы и модели, позволяющие автоматизировать анализ защищенности пользователей информационных систем от социо-инженерных атак. Целью настоящей работы является рассмотрение метода поиска вероятности успеха социо-инженерного атакующего воздействия на каждого пользователя в комплексе «персонал - информационная система – критичные документы», пользователи которого и связи между ними представлены виде графа. Алгоритм предполагает поиск всевозможных ациклических путей между двумя пользователями

Анализ защищенности пользователей информационных систем на основе графических моделей, содержащих профили уязвимостей

The problem of critical information protection is now one of the most actual in in-formation technologies though it is necessary to recognize that, from the historical point of view, closely related to it problems arose much earlier — probably, at the same time with writing emergence. The standard approach to the solution of these problems consists in development, diversification and complication of applied technical measures of safety. Thus possibilities of technical attacks to systems are minimized. At the same time, each protected information system has the authorized users who work at the lawful bases in it and often have legal access to confidential information. The purpose of this article is creation of an analysis algorithm of resistance of users of information systems from socio-engineering attacks taking into account a profile of vulnerabilities of the user.Проблема защиты критичной информации в настоящее время является одной из самых актуальных в информационных технологиях, хотя нельзя не признать, что, с исторической точки зрения, близкородственные ей проблемы зародились гораздо раньше — видимо, одновременно с возникновением письменности. Общепринятый подход к решению данных проблем заключается в развитии, диверсификации и усложнении применяемых технических мер обеспечения безопасности. Таким образом минимизируются возможности технических атак на системы. В то же время, каждая защищаемая информационная система имеет санкционированных пользователей, которые на законных основаниях работают в ней и зачастую имеют легальный доступ к конфиденциальной информации. Целью данной статьи является построение алгоритма анализа резистентности пользователей информационных систем от социо-инженерных атак с учетом профиля уязвимостей пользователя

Динамический перерасчет показателей защищенности на примере определения потенциала атаки

Analysis of security risks and calculation of security metrics is an important task for Security Information and Events Management (SIEM) systems. It allows recognizing the current security situation and necessary countermeasures. The paper considers a technique for calculation of the security metrics in the near real time and demonstrates it on the example of the recalculation of the attack potentiality.Анализ информационных рисков и вычисление показателей защищенности являются важными задачами для систем управления информацией и событиями безопасности (Security Information and Events Management, SIEM). Они позволяют определить текущую ситуацию в области защищенности и необходимые контрмеры. Данная статья рассматривает методику вычисления показателей защищенности во времени, близком к реальному, и демонстрирует ее применение на примере перерасчета потенциала атаки

Показатели и методики оценки защищенности компьютерных сетей на основе графов атак и графов зависимостей сервисов

The paper considers the last researches in the area of the security metrics. Classification of the known metrics is suggested. Multilevel approach to the security assessment is suggested. It is based on the attack graphs and service dependencies graphs. The approach allows evaluating different aspect of the system security considering its topology, operation mode, historical data about incidents and other information.В данной работе рассматриваются основные направления исследований в области показателей защищенности и вводится сформированная на их основе классификация показателей. Кроме того, предлагается многоуровневый подход к оценке защищенности, включающий систему показателей защищенности и методики их расчета, основанные на графах атак и зависимостях сервисов. Данный подход позволяет оценивать различные аспекты защищенности системы с учетом ее топологии, режима работы, исторических данных об инцидентах и другой информации

Home-Based Intrusion Detection System

Wireless network security has an important role in our daily lives. It has received significant attention, although wireless communication is facing different security threats. Some security efforts have been applied to overcome wireless attacks. Unfortunately, complete attack prevention is not accurately achievable. Intrusion Detection System (IDS) is an additional field of computer security. It is concerned with software that can distinguish between legitimate users and malicious users of a computer system and make a controlled response when an attack is detected. The project proposed to develop IDS technology on the windows platform. The IDS adopted misuse detection, which is based on signature recognition. The main objective of this proposal is to detect any network vulnerabilities and threats that concern home-based attacks or intrusion. There are five steps in our methodology: The first step is to create awareness of the problem by understanding the purpose and scope of the learning, as well as the problem, which are necessary to be solved. The second step is to make suggestion that the intrusion detection system is protecting the network of the homes. The third step is to develop signature by establishing a set of rule thorough processes for testing IDS. The fourth step is evaluating and testing the system that has been developed. This design used the sensor to find and match activity signatures found in the checked environment to the known signatures in the signature database. Finally, the conclusion in this phase showed the results of the study and the achievement of the objectives of the study. This IDS project will contribute to the efforts to protect users from the internal and external intruders

SQL-представление реляционно-вероятностных моделей социо-инженерных атак в задачах расчета агрегированных оценок защищенности персонала информационной системы

Risk analysis of information security nowadays is an extremely important topic, due to the fact that insurance companies want to have probably more exact characteristics about the probable size of a damage and the necessary sum of insurance, and the company, wishing to insure the information risks, also wants to understand, for what it does pay at the conclusion of the contract of insurance and if these fees are reasonable. Besides, both mentioned above parties don't want to lose their resources. Thus, it is necessary to learn to receive adequate, but at the same time complex, aggregated estimates of security of information systems. The purpose of the present article is consideration of setting of general relations in a complex «the personnel information system – critical documents» at socio-engineering attack of the malefactor, and then illustration of work of principles of a likelihood and relational approach on simplified (for availability and brevity of a statement) example. We’ll use the mixed terminology borrowed from the theory of the relations and the theory of relational DB.Анализ рисков информационной безопасности в настоящее время является особо актуальной темой, в силу того, что и страховые компании хотят иметь возможно более точные характеристики о вероятном размере ущерба и необходимой сумме страхования, и компании, желающие застраховать свои информационные риски, также хотят понимать, за что именно и насколько обоснованно платятся те или иные суммы при заключении договора страхования. Кроме того, ни одна из названных сторон не хочет терять собственные ресурсы. Таким образом, необходимо научиться получать адекватные, но в то же время комплексные, агрегированные оценки защищенности информационных систем. Целью настоящей статьи является рассмотрение варианта задания основных отношений в комплексе «персонал - информационная система – критичные документы» при социо-инженерной атаке злоумышленника, а затем иллюстрация работы принципов вероятностно-реляционного подхода на упрощенном (для доступности и краткости изложения) примере. Будем использовать смешанную терминологию, заимствованную из теории отношений и теории реляционных БД

The Methodology for Evaluating Response Cost for Intrusion Response Systems

Recent advances in the field of intrusion detection brought new requirements to intrusion prevention and response. Traditionally, the response to the detected attack was selected and deployed manually, in the recent years the focus has shifted towards developing automated and semi-automated methodologies for responding to intrusions. In this context, the cost-sensitive intrusion response models have gained the most interest mainly due to their emphasis on the balance between potential damage incurred by the intrusion and cost of the response. However, one of the challenges in applying this approach is defining consistent and adaptable measurement of these cost factors on the basis of requirements and policy of the system being protected against intrusions. In this paper we present a structured methodology for evaluating cost of responses based on three factors: the response operational cost associated with the daily maintenance of the response, the response goodness that measures the applicability of the selected response for a detected intrusion and the response impact on the system that refers to the possible response effect on the system functionality. The proposed approach provides consistent basis for response evaluation across different systems while incorporating security policy and properties of specific system environment. We demonstrate the advantages of the proposed cost model and evaluate it on the example of three systems

Вероятностно-реляционный подход к представлению модели комплекса «Информационная система – персонал – критичные документы»

One of the main problems of researches in the field of socio-engineering attacks is the development of analysis algorithms (assessment) of information system's users' protection estimated on the basis of computing complexity. According to preliminary estimates the application of probabilistic relational algorithm will essentially reduce computing complexity of a program complex. Use of the specified approach will also allow to increase flexibility in a task of estimation of criticality of the documents available in system and chances of successful realization of attacks, in description of communications’ system and accesses among actual components of a complex «information system – personnel – critical documents», and among specified components and the malefactor. Relational models will probably allow to use effective computational methods, implemented in modern DBSM for fast SQL-links implementation.Одной из основных проблем исследований в области социо-инженерных атак является развитие приемлемых по вычислительной сложности алгоритмов анализа (оценки) защищенности персонала информационных систем. По предварительным оценкам именно применение вероятностно-реляционного алгоритма поможет существенно уменьшить вычислительную сложность программного комплекса. Использование указанного подхода позволит также увеличить гибкость в задании оценок критичности документов, доступных в системе, оценок шансов успешной реализации атак, описании системы связей и доступа среди собственно компонент комплекса «информационная система – персонал – критичные документы» и среди указанных компонент, и злоумышленника. Реляционные модели, возможно, позволят при вычислениях оценок степени защищенности использовать вычислительные методы, которые эффективно реализованы в современных СУБД для быстрого выполнения SQL-запросов