Методика аналізу якості роботи механізму валідації вразливостей корпоративних мереж

Анотація

У статті розглядається проблема визначення та оцінки якості роботи механізму валідації вразливостей інформаційних систем та мереж. На основі практичного аналізу процесу валідації вразливостей та отриманих, за допомогою поліномів Бернштейна, аналітичних залежностей базових характеристик якості валідації вразливостей, було виділено та охарактеризовано додаткові ключові показники, які дозволяють з великою достовірністю стверджувати про позитивний хід або наслідки валідації вразливостей цільової корпоративної мережі. Експериментально визначено інтервали даних показників, при яких механізм валідації вразливостей має високу якість. Окрім цього, в ході проведення розрахунків, також було виведено єдиний інтегральний показник для кількісної оцінки якості роботи механізму валідації вразливостей корпоративних мереж та проведено експериментальне дослідження і оцінку якості роботи механізму автоматичної валідації вразливостей плагіна db_autopwn призначеного для автоматизації засобу експлуатації вразливостей Metasploit framework.
В результаті, було запропоновано методику аналізу якості механізму валідації вразливостей корпоративних мереж, яка дозволяє кількісно оцінити якість роботи досліджуваного механізму валідації, що в свою чергу дозволить в режимі реального часу відслідковувати та контролювати хід валідації виявлених вразливостей. Також, в дослідженні було отримано залежності визначених ключових показників якості роботи механізму валідації вразливостей від часу раціонального циклу, що надає змогу будувати функції належностей для нечітких множин. Побудова даних множин, зокрема, дозволить приймати рішення з мінімальними ризиками щодо проведення активного аналізу захищеності корпоративних мереж.

Ключові слова: активний аналіз захищеності, корпоративна мережа, цільова система, показники якості механізму, валідація вразливостей.

Список використаної літератури
1. Киричок Р.В. Тест на проникнення як імітаційний підхід до аналізу захищеності корпоративних інформаційних систем. Сучасний захист інформації. 2018. №2(34). C. 53-58.
2. Chen F., Su J., and Zhang Y. A scalable approach to full attack graphs generation. Engineering Secure Software and Systems, Springer. 2009. P. 150-163.
3. Абрамов Е.С., Андреев А.В., Мордвин Д.В. Применение графов атак для моделирования вредоносных сетевых воздействий. Известия Южного федерального университета. Технические науки. 2012.Том 26. Вып.1. С.165-173.
4. Barik M., Sengupta A., Mazumdar C. Attack graph generation and analysis techniques. Defence Science Journal. 2016. №66(6). P. 559-567.
5. Шипилева А.В. Автоматическая генерация графов атак на основе ветвящихся процессов в случайной среде. Международная научно-практическая конференция «Новая наука: стратегии и векторы развития». Часть 2. г. Стерлитамак, 8 марта 2017 г. Стерлитамак. С. 143-144.
6. Durkota K. and Lisy V. Computing optimal policies for attack graphs with action failures and costs. In 7th European Starting AI Researchers` Symposium «STAIRS’14». January 2014.
7. Sarraute C., Buffet O., Hoffmann J. POMDPs make better hackers: Accounting for uncertainty in penetration testing. In Proceedings of the 26th AAAI Conference on Artificial Intelligence «AAAI’12». Toronto, ON, Canada, July 2012. AAAI Press. P. 1816-1824
8. Obes, J., Richarte G., Sarraute C. Attack planning in the real world. In Proceedings of the 2nd Workshop on Intelligent Security «SecArt’10». Atlanta, USA. July 12, 2010.
9. Qiu X., Wang S., Jia Q., Xia C. and Lv L. Automatic generation algorithm of penetration graph in penetration testing. Proceedings of the 2014 Ninth International Conference on P2P, Parallel, Grid, Cloud and Internet Computing, IEEE. Guangdong, China. Nov 8-10, 2014. P. 531-537.
10. Steinmetz M. Critical constrained planning and an application to network penetration testing. 26th Int Conf on Automated Planning and Scheduling. 2016. P.141-144.
11. Hoffman J. Simulated Penetration Testing: From “Dijkstra” to “Turing Test++”. In Proceedings of the Twenty-Fifth International Conference on Automated Planning and Scheduling, «ICAPS’15». Jerusalem, Israel. June 7-11, 2015. P. 364–372.
12. Luan J., Wang J., Xue M. Automated Vulnerability Modeling and Verification for Penetration Testing Using Petri Nets. Springer, Lecture Notes in Computer Science. July 2016.
13. Киричок Р.В., Шуклін Г.В., Барабаш О.В., Гайдур Г.І. Моделювання механізму валідації вразливостей при активному аналізі захищеності корпоративних мереж за допомогою поліномів Бернштейна. // Сучасні інформаційні системи. Том 4, №3(2020) С.118-123.
14. Киричок Р.В., Шуклін Г.В. Алгоритм побудови аналітичних залежностей показників якості валідації вразливостей при активному аналізі захищеності корпоративних мереж. IX Міжнародна науково-практична конференція «SCIENCE, SOCIETY, EDUCATION: TOPICAL ISSUES AND DEVELOPMENT PROSPECTS». м. Харків, 2-4 серпня 2020 р. Харків. С. 113-115.