ПРАВИЛА РЕАЛІЗАЦІЇ ЕКСПЛОЙТІВ ПІД ЧАС АКТИВНОГО АНАЛІЗУ ЗАХИЩЕНОСТІ КОРПОРАТИВНИХ МЕРЕЖ НА ОСНОВІ НЕЧІТКОЇ ОЦІНКИ ЯКОСТІ МЕХАНІЗМУ ВАЛІДАЦІЇ ВРАЗЛИВОСТЕЙ
DOI:
https://doi.org/10.28925/2663-4023.2021.14.148157Ключові слова:
активний аналіз захищеності; корпоративна мережа; експлойт; валідація вразливостей; нечітка логікаАнотація
Динаміка зростання кількості вразливостей програмних та апаратних платформ корпоративних мереж, загальнодоступність модулів експлойтів даних вразливостей в мережах Інтернет та Даркнет, наряду з відсутністю достатньої кількості висококваліфікованих фахівців з кібербезпеки, робить проблему ефективної автоматизації превентивних механізмів захисту інформації досить актуальною. Зокрема, базові алгоритми послідовної реалізації експлойтів закладені в засоби експлуатації вразливостей є досить примітивними, а запропоновані підходи щодо їх покращення, потребують постійної адаптації математичних моделей реалізації атакуючих дій. Цим і обґрунтовується напрям даного дослідження. В роботі розглядається проблематика формування правил прийняття рішень щодо реалізації експлойтів вразливостей під час проведення активного аналізу захищеності корпоративних мереж. На основі результатів аналізу кількісних показників якості роботи механізму валідації виявлених вразливостей та використанні методів нечіткої логіки було сформовано нечітку систему, визначено функції належності для кожної з лінгвістичних змінних та побудовано базу знань, що дозволяє визначити рівень якості роботи механізму валідації виявлених вразливостей на основі всієї наявної інформації. Водночас, задля виключення «людського фактору» допущення помилки при валідації вразливостей, ґрунтуючись на сформованій нечіткій базі знань та визначених рівнях ефективності модулів експлойтів вразливостей, сформовано правила реалізації окремих модулів експлойтів під час проведення активного аналізу захищеності корпоративної мережі. Отримані результати надають можливість створювати експертні системи діагностування ефективності механізму валідації виявлених вразливостей цільових систем, а також допомагають вирішити питання відсутності кваліфікованих спеціалістів з аналізу та підтримки належного рівня інформаційної безпеки корпоративних мереж.
Завантаження
Посилання
State of Cybersecurity Resilience 2021 (4th Annual Report): How aligning security and the business creates cyber resilience. Accenture. https://www.accenture.com/_acnmedia/ PDF-165/Accenture-State-Of-Cybersecurity-2021.pdf
CVSS Severity Distribution Over Time. National vulnerability database. https://nvd.nist.gov/general/visualizations/vulnerability-visualizations/cvss-severity-distribution-over-time#CVSSSeverityOverTime.
Durkota, K. & Lisy, V. (2014). Computing optimal policies for attack graphs with action failures and costs. In 7th European Starting AI Researchers` Symposium (STAIRS). https://doi.org/10.3233/978-1-61499-421-3-101
Obes, J., Richarte, G., Sarraute, C. (2010). Attack planning in the real world. In 2nd Workshop on Intelligent Security (SecArt). https://arxiv.org/abs/1306.4044
Sarraute, C., Buffet, O., Hoffmann J. (2011). Penetration testing == POMDP solving? In 3rd Workshop on Intelligent Security (SecArt'11). https://arxiv.org/abs/1306.4714
Sarraute, C., Buffet, O., Hoffmann, J. (2012). POMDPs make better hackers: Accounting for uncertainty in penetration testing. In 26th AAAI Conference on Artificial Intelligence (AAAI’12). https://arxiv.org/abs/1307.8182
Shmaryahu, D., Shani, G., Hoffmann, J. (2017). Partially observable contingent planning for penetration testing. In 1st Int Workshop on Artificial Intelligence in Security. Melbourne. https://cyber.bgu.ac.il/wp-content/uploads/2017/10/IWAISe-17_paper_8-ds.pdf
Zhou, T., Zang, Y., Zhu, J. & Wang, Q. (2019). NIG-AP: a new method for automated penetration testing. Frontiers of Information Technology & Electronic Engineering. https://doi.org/10.1631/FITEE.1800532
Kyrychok, R., Zinchenko, О., Sribna, І., Marchenko, V., Kitura, О. (2021). Improved method of automatic active analysis of corporate network security. Ukrainian Information Security Research Journal, 23(2), 83-89. https://doi.org/10.18372/2410-7840.23.15725
Vulnerability & Exploit Database. Rapid7. https://www.rapid7.com/db/
Zak, Yu. (2013). Decision making in conditions of fuzzy and blurry data: Fuzzy technologies. Book House "LIBROKOM".
Kyrychok, R., Shuklin, G. (2020). Methodology for analysing the quality of the vulnerability validation mechanism in the corporate networks. Telecommunication and information technologies. 2(67). 29-40. https://doi.org/10.31673/2412-4338.2020.022930
Orlovsky, S. (1981). Decision-making problems with fuzzy initial information. The science.
Pospelov, D. (1986). Fuzzy Sets in Management and Artificial Intelligence Models. The science.
