Имитационное моделирование вопросов информационной безопасности как инструмент оценки защищённости и оптимизации затрат

Портал «МИР КОМПЬЮТЕРНОЙ АВТОМАТИЗАЦИИ»

МКА №1/2016
Павел Литвинов, ЗАО «РТСофт»


Введение

Тема кибербезопасности для энергетических компаний, в силу совершенно объективных причин, становится всё более актуальной (в тексте статьи будет сделан уклон на специфику энергетических компаний, но все методики и рекомендации практически полностью применимы к любым промышленным системам автоматизации и управления вне зависимости от отрасли). Сегодня процессы производства, передачи и распределения электроэнергии существенно зависят от информационных систем, включая и сети передачи данных. Энергокомпании централизованно осуществляют контроль и управление, что порождает качественно новые угрозы и риски, поскольку совсем недавно эти функции выполнялись локально и децентрализованно. Развитие технологий smart- и microgrids и умного учёта ведут к появлению многочисленных новых услуг и сервисов, в том числе и путём вовлечения потребителей, что кардинально меняет архитектуру систем в сторону распределённой автоматизации и меняет принципы управления, доступа и использования информационных систем. Другими словами, хакеры могут ставить под угрозу нормальное функционирование энергокомпаний уже не только путём удалённой атаки на объекты ИТ-инфраструктуры энергокомпаний, но и посредством атаки на (через) потребителей.

В ситуации, когда сокращение операционных расходов и увеличение выручки за счёт предоставления новых сервисов возможно главным образом только благодаря использованию передовых технологий, в том числе и «Интернета вещей», тенденцию к интеграции и увеличению числа связей между решениями и системами уже не остановить! Рост уязвимости подобных систем к кибератакам компенсируется использованием новых технологий и средств защиты. Как и в историческом процессе «соревнования» брони и оружия победителя не будет, на каждом витке технологической спирали будут совершенствоваться способы нападения и изыскиваться адекватные им средства защиты.

С практической точки зрения при планировании технических и организационных мероприятий по обеспечению информационной безопасности возникает оптимизационная задача минимизации затрат при максимальном снижении рисков и недопущении критических. Оговорка про критические риски является важным граничным условием. В бизнесе невозможно компенсировать все риски, такая линия поведения сделает вашу продукцию и услуги неконкурентоспособными, поэтому какие-то из них необходимо осознанно принять. Зачастую допустимо принятие даже части критических рисков. Главное – не допустить катастрофических рисков, при которых возникает угроза потери бизнеса или прямая опасность для жизни людей.

Объективные сложности оптимизации затрат

Очевидно, что целесообразность и точность определения необходимости дополнительных затрат на мероприятия по обеспечению кибербезопасности зависят от адекватности модели угроз и правильности расчёта рисков. Понятие риска относится к многомерным категориям, но в инженерном смысле и применительно к задаче анализа, «риск» – это вероятность, умноженная на последствия. В нашем случае, когда речь идёт о киберугрозах, обе части этого уравнения нам, к сожалению, неизвестны или могут быть оценены лишь приблизительно. В части оценки вероятности мы не можем полагаться на статистику – надёжной статистики применительно к конкретным системам просто не существует в силу ряда объективных и субъективных причин:

  • не все инциденты фиксируются, а тем более попадают в открытые отчёты;

  • не всегда есть возможность достоверно определить связь технологических сбоев с действиями хакеров, в «продвинутых» атаках обязательным является этап сокрытия следов проникновения;

  • самые потенциально опасные атаки реализуются редко или вообще пока не были зафиксированы, по существующей статистике от начала распространения продвинутых вирусов до их обнаружения проходят годы;

  • вероятность успешной атаки пропорциональна мотивации и ресурсу нарушителя, что в свою очередь является функцией времени и значительного количества событий, которые ещё не произошли и не могут быть достоверно предсказаны.

Что касается оценки ущерба, то здесь ситуация ещё сложнее. Все энергетические объекты являются сложными системами, поэтому нарушение функционирования любого элемента закономерно отражается на остальных элементах. В силу отсутствия знания о способах и видах будущих атак степень влияния на другие элементы предсказать сложно. Ещё больше затрудняет оценку тот факт, что в энергетическом секторе сбои могут вызвать каскадный эффект и/или эффект домино — когда проблемы в одной подсистеме незамедлительно или с небольшой задержкой приводят к сбою в зависимых подсистемах. Нарушение в энергетической инфраструктуре одной страны или региона может спровоцировать развитие каскадного эффекта в такой степени, что в результате пострадает инфраструктура других стран [1].

Предпосылки для проектирования моделей

Оптимизационная задача – сложная функция от начальных (граничных) условий, например таких, как размер организации и состав предъявляемых к ней требований регуляторов, точки зрения, с которой идёт рассмотрение, - специалиста по ИБ, руководителя или собственника. Очень важно на начальных этапах не перегружать модель, в надежде, что удастся с помощью математических методов создать саморегулирующуюся и самообучающуюся программу, которая сможет оптимально отвечать на все вопросы, в том числе и не заложенные в алгоритмы изначально. Принципы проектирования модели будут также отличаться в зависимости от сценария: требуется ли оптимизация защиты существующей инфраструктуры и программно-технических средств или речь  идёт о новом строительстве. При нарастающих кризисных явлениях чрезвычайно востребованным может быть моделирование сценария минимальной достаточности. Очевидно, что автоматическое урезание бюджета на мероприятия по обеспечению информационной безопасности, например на 30 %, выглядит, на первый взгляд, разумным, на фоне идущего процесса экономии и сокращения других бюджетов. Реальность такова, что без моделирования и оценки последствий легко можно оказаться в ситуации, когда из-за 30-процентной экономии получится, что оставшиеся 70 % мы потратим напрасно. Безопасность - комплексное и многофакторное понятие, способов атаки и потенциальных уязвимостей множество, и злоумышленники будут использовать любое слабое место. Метафора для этого тезиса очень простая – нет необходимости тратить деньги на решётки и сигнализацию на «окна», если мы не запираем «двери». Одним из лучших способов достижения пропорциональности и сбалансированности инвестиций для решения сложных задач является декомпозиция на более простые задачи. С точки зрения математики возможно последовательное применение параллельно-последовательной декомпозиции, а применительно к простым функциям построение их суперпозиции.

В рекомендациях National Institute of Standards and Technology «Framework for Improving Critical Infrastructure Cybersecurity» [2] содержится детальное описание процесса дробления функций на категории и подкатегории. Обратим внимание на верхний уровень функций (рис. 1), содержащий в причинно-следственной связи базовые функции, которые должны быть пропорционально обеспечены организационными и техническими средствами.

6278e608f634c6a72cbd892ee1ffd105.jpg

Рис. 1. Структура мероприятий для достижения конкретных результатов в области кибербезопасности

Обоснованный способ определения необходимых для моделирования агентов можно заимствовать из стандарта ISO/IEC 27032:2012 «Guidelines for cybersecurity» [3]. На рис. 2 приведён перечень видов агентов и отражены существенные связи между ними.

828f526c466e5338cfa45bdfc61cc212.jpg

Рис. 2. Концептуальная модель понятий безопасности и связей между ними

Совершенно аналогичную схему понятий безопасности и их взаимосвязи с точностью до тонкостей перевода содержит ГОСТ Р ИСО/МЭК 15408-1-2012.

Вышеупомянутый стандарт вносит важное расширение в общую модель риска, он представляет вероятность как суперпозицию «угроз» и «уязвимостей» (рис. 3).

bd294f8c9142b76125d95b0e4f3b3d48.jpg

Рис. 3. Общая модель риска согласно ISO/IEC 27032:2012

В предельных случаях это уточнение совершенно понятно: как бы ни были велики угрозы, если отсутствуют уязвимости, то вероятность реализации риска равна нулю.

В предметной области менеджмента рисков существует по крайней мере 31 метод, рекомендуемый для поддержки процесса оценки риска [4]. Все они имеют различную применимость и эффективность на разных стадиях: идентификации рисков, анализа последствий, анализа вероятностных характеристик, сравнительных оценок и уровня риска. Применительно к задаче построения модели угроз, на начальном этапе идентификации опасностей и риска для людей, оборудования, окружающей среды эффективно использовать методологии исследования опасности и работоспособности (HAZOP – Hazard and Operability Study). Сравнительная оценка риска может быть получена моделированием методом Монте-Карло. Это хороший способ оценки влияния неопределённости оценки параметров системы в широком диапазоне ситуаций, особенно если характер распределения переменных (равномерный, треугольный, нормальный или логарифмический) известен заранее из аналогичных процессов, физического смысла и т. п. Следует только помнить, что метод Монте-Карло не может адекватно моделировать события с очень высокой или очень низкой вероятностью появления. Практические рекомендации по использованию этих и других методов можно найти в [5].

Текущее состояние вопроса

Тема потенциала использования агентного моделирования энергетических систем в контексте кибербезопасности давно обсуждается в научном сообществе. Можно рекомендовать работы зарубежных [6] и российских [7] авторов, каждая из статей содержит обширный список литературы для знакомства с историей и текущим состоянием вопроса.

Несмотря на многолетний опыт исследований, отдельные положительные результаты и очевидную полезность, методы имитационного моделирования вопросов информационной безопасности не получили широкого практического применения. Для глубокого анализа причин можно построить отдельную модель, но чтобы не попасть в бесконечную рекурсию, ограничимся логическими построениями.

В первую очередь предположим, что и низкая востребованность предварительных результатов, и отказ от продолжения финансирования, связаны с отраслевой спецификой. Научная школа в энергетике чрезвычайно сильна и развита во всём, что касается планирования режимов, статики и динамики электрических процессов, оценки состояния и многого другого. В работе используется значительное количество симуляторов энергосистемы и режимных тренажёров диспетчера, построенных на их основе. Попытка, на этих же принципах и с той же высокой шкалой оценок и требований, подойти к обсуждаемой задаче, обречена на провал. В наших моделях не действуют физические законы Ома и Кирхгофа или дифференциальные уравнения, определяющие поведение электрических машин, все они, пусть и сложные для решения при большом количестве узлов, обеспечивают необходимую определённость и точность результата. Для преодоления этого конфликта ожиданий и восприятия результата необходимо взаимное движение навстречу команды аналитиков и персонала заказчика.

Другая очевидная трудность моделирования - необходимость работать на стыке совершенно разных предметных областей. Трудно ожидать, что глубокие познания в энергетике пересекутся с широкими представлениями в области информационной безопасности и умножатся на опыт в области применения статистики и методов математического моделирования в одном человеке. Даже если предположить, что мы найдём такого специалиста, то в силу масштабов задачи на решение ему потребуется слишком много времени. Мы с неизбежностью приходим к необходимости командной работы в таком проекте, распределения ролей, выработки и согласования терминологии и т. д. В крупной организации и холдинге это должна быть не разовая акция, а постоянный бизнес-процесс.

Старту работ чаще всего мешает отсутствие сформулированной постановки задач, требующих оптимизации путём моделирования. Наиболее частым состоянием вопросов информационной безопасности на предприятии является отсутствие собственных актуальных моделей угроз и нарушителя или даже заимствованных, но должным образом адаптированных к операционной деятельности энергокомпании. Ещё чаще отсутствуют какие либо метрики текущего состояния защищённости и понимание целевого состояния, что не позволяет эффективно и комплексно планировать мероприятия и объективно контролировать прогресс.

В последнюю очередь по списку, но не по значению поставим вопросы секретности. Любая информация о состоянии защищённости объектов КСИИ (Ключевая Система Информационной Инфраструктуры), пусть и полученная путём моделирования, является закрытой. Соблюдение режима конфиденциальности серьёзным образом осложняет выполнение работ по моделированию. Например, заказчик не имеет права (или опасается) раскрывать определённые данные и передаются только небольшие выборки или даже намеренно искажённые значения. При отладке модели это приводит, соответственно, к ошибочному определению вида распределения исходных данных и серьёзным ошибкам в масштабных коэффициентах, в результате чего оптимизационная кривая имеет «правильную форму и поведение», но начальная достоверность предсказанных численных значений становится низкой.

Метрики информационной безопасности

Вышеперечисленное наводит на мысль, что перед нами типичная «слоновая» задача, которая поддаётся решению только путём разбиения на части. Начнём процесс декомпозиции.

В первую очередь, для каждого объекта надо определиться с его «размерностью» и потенциальными «слабостями». Уязвимость – это неотъемлемое свойство практически любого элемента инфраструктуры информационных технологий: компьютера, телекоммуникационного оборудования, ПО, сервера, контроллера и т. п. Очевидно, что чем больше таких позиций, тем больше потенциальная «поверхность для атаки» в этом же перечне. (В скобках хотелось бы отметить, что при проведении моделирования наглядным образом можно продемонстрировать, что для каждой «размерности» объекта существует некий оптимум состава и средств защиты. В самом деле, оборудование и специализированное программное обеспечение, предназначенное для защиты от атак, также может содержать уязвимости и его наличие увеличивает «поверхность» для атаки. Особенно часто мишенью для хакеров становятся средства защиты, действующие в автоматическом режиме. Не будем также забывать, что взломщик обычно не является специалистом в энергетике, а в противодействии системам защиты разбирается лучше, поскольку одно и то же программное обеспечение используется в разных отраслях).

Отдельным вектором необходимо учесть и обслуживающий персонал. Каждому из видов устройств есть возможность экспертным путём или, основываясь на данных статистики, установить индивидуальный весовой коэффициент «уязвимости». Очевидно, что устройства, не имеющие доступа по IP, менее уязвимы, а по данным статистики OC Linux, реже подвергается вирусным атакам. Эти сравнительно несложные оценки, после нанесения на радарную диаграмму, дадут нам наглядную картину распределения потенциальных уязвимостей для обоснованного планирования мероприятий, а использовав формулу длины n -мерного вектора a = {a1 ; a2; ... ; an},

c055a7189893ee9e365f096196c45ff0.jpg

получим требуемую метрику.

Полученное значение можно привести таким образом, чтобы максимальное значение было равно единице, и получить синтетическую метрику «уязвимости» конкретного объекта. Принципиально важным является процесс запуска процедуры пересчёта при каждом изменении таких параметров как:

  • изменение количества, вида и состояния оборудования (отключённое и выведенное в ремонт оборудование не может использоваться для атаки);

  • численного состава персонала, его квалификации, ролей и обязанностей;

  • изменение конфигурации сети, разделения и объединения её сегментов;

  • при появлении новых сведений в базах данных уязвимостей (ФСТЭК России совместно с заинтересованными федеральными органами исполнительной власти и организациями сформировал банк данных угроз безопасности информации).

После нанесения значений на линию времени мы получим динамику изменений уязвимости как функцию времени, пока без учёта эффективности наших контрмер. При любом количестве объектов разных видов, применяя те же действия, мы можем получать различные радарные диаграммы в зависимости от решений, которые нам необходимо принять. И всегда иметь интегральный показатель, важный не сам по себе, а именно в динамике. Руководство компании будет иметь оценку, в какую сторону меняется ситуация со временем и какова динамика этих изменений.

Следуя описанной технологии, можно получить нужное количество как независимых метрик, так и производных от них KPI, ориентированных на принятие управленческих решений. В качестве отправной точки можно порекомендовать схему (рис. 4) приведённую в [8].

490faf86cd17b08326694cd6a1934a7a.jpg

Рис. 4. Логическая структура контроля мероприятий по обеспечению информационной безопасности

И ещё несколько слов о пользе, которая может быть получена от регулярного расчёта метрик и измерений характеристик процессов, связанных с информационной безопасностью. Общеизвестно, что решения надо принимать, основываясь на объективных данных. В большинстве случаев даже 15 значений это уже неплохо, а 30 – позволяет делать достаточно обоснованные предположения. В том числе появляется возможность сделать важное заключение: является ли измеряемый процесс регулярным в бизнес-понимании этого термина. Невозможно улучшать нерегулярные бизнес-процессы, их сначала надо «поставить»! Основным статистическим критерием и доказательством регулярности бизнес-процесса является тот факт, что отклонения его метрики или KPI хорошо описываются нормальным распределением (эти положения являются одним из краеугольных камней Лин Шесть Сигм).

Направления и методы оптимизации

Один из базовых способов ускорения вычислений в имитационных моделях, упрощения их создания и отладки - снижение размерности модели при одновременном уменьшении количества связей между агентами. Применим эту технику к получению портрета злоумышленника. Для классификации нарушителей определим набор признаков, влияющих на успех проведения атаки (рис. 5).

2daf47a3a4a4d5b67ce683a59017a722.jpg

Рис. 5. Набор признаков, влияющих на успех проведения атаки

Разные наборы значения по разным осям дают нам возможность построить «спектр нарушителей», для практических целей количество групп надо свести к уровню минимальной достаточности. В качестве первого приближения рекомендуем ограничиться следующей типизацией:

  • «Хакер-любитель» - частное лицо, пытающееся найти возможности и способы взлома технологических и SCADA-систем, имеющих интерфейсы в Интернет с помощью известных уязвимостей, найденных с использованием поисковой системы «Shodan»;

  • «Инсайдер» (в том числе «без злого умысла») - недовольный сотрудник или обслуживающий персонал собственной или сторонних организаций (поставщики, партнёры, наладчики), имеющий права доступа и знающий тонкости эксплуатации систем и способы хранения конфиденциальных данных;
  • «Враг» - преступные группировки и иностранные правительства (Cyber Espionage, Cyber Crime, Cyber Activism, Cyber Terrorism, Cyber War и т. п.).

Такое деление эквивалентно в математическом смысле переходу от матриц большей размерности к матрицам меньшей размерности или даже векторам.

На практике поведение «хакеров-любителей» успешно описывается языком вероятностей, поскольку по частоте и способам таких атак есть значительное количество статистических данных. Достаточно эффективной защитой являются специализированные программные и технические средства, даже простые и бюджетные. Мероприятия от этой категории нарушителей должны планироваться и выполняться в первую очередь. (Следует помнить, что в этом случае «не обязательно быть целью, чтобы стать жертвой». Например, вирус, предназначенный для кражи паролей в онлайновых играх, вполне может повредить АСУ ТП. Разумеется, авторы не тестировали его на совместимость с технологическими системами).

«Инсайдер» - самый сложный в моделировании и противодействии тип нарушителя. Риски, связанные с ними, часто недооцениваются. Компенсационные меры обязательно должны включать в себя комплекс организационно-технических мероприятий. Для их обоснованной разработки должны рассматриваться различные типизированные образы внутреннего нарушителя, такие как «халатный», «манипулируемый», «обиженный», «нелояльный», «подрабатывающий», «внедрённый». Полезную методологию и рекомендации можно также найти в [9]. Статистические данные, иллюстрирующие мотивацию внутренних нарушителей (рис. 6), опубликованные в [10], можно использовать в качестве начального приближения для выполнения оценок и как руководство к планированию мероприятий по противодействию.

8e303f91d3e9b47db9d90b7119460ab4.jpg

Рис. 6. Мотивация внутренних нарушителей

Что касается последнего типа нарушителя, то мы имеем сразу и наиболее сложные, и дорогие мероприятия по защите, а для объектов КСИИ ещё и высокие риски. Выходом из этой тупиковой, на первый взгляд, ситуации является понимание того факта, что вы не можете (и не должны!) самостоятельно и в одиночку противостоять таким угрозам. Наглядную аналогию можно найти в смежной области физической защиты и безопасности. Предположим, вокруг объекта установлен забор и ведётся видеонаблюдение, это совершенно адекватный способ защиты от диких животных, нетрезвых граждан, «охотников» за цветными металлами, но если объект атакует вооружённое бандформирование, надо вызывать ОМОН, спецназ или даже обращаться к военным. В нашем случае в специализированные подразделения МВД и ФСБ России. Целиком делегировать риск не получится. Обращение за помощью должно быть своевременным и обоснованным, а для последующего розыска и наказания виновных предоставлена доказательная база. С этой целью техническими и организационными средствами должно быть обеспечено обнаружение атак, мониторинг состояния и надёжное ведение журналов событий. В части мониторинга перспективным представляется сотрудничество с центром круглосуточного мониторинга киберугроз, недавно открытого на базе дочерней компании «Ростеха» — «РТ-Информ». Новое подразделение в круглосуточном режиме собирает данные о киберугрозах и инцидентах, связанных с информационной безопасностью всех входящих в состав госкорпорации предприятий, проводит мероприятия по нейтрализации угроз, а также будет расследовать инциденты.

Вероятная структура угроз

Точное понимание видов угроз имеет решающее значение для планирования мероприятий по защите. В качестве отправной точки можно использовать рекомендации [1], представленные в таблице.

Десять основных угроз для промышленных систем автоматизации и управления

Угроза

Примечание

1

Несанкционированное использование точек доступа дистанционного технического обслуживания

Точки доступа для технического обслуживания – специально созданные внешние входы в сеть ICS*, которые часто бывают недостаточно безопасными.

2

Сетевые атаки через корпоративную сеть

В большинстве случаев также существуют сетевые связи между офисами и сетью ICS, которые нарушители также могут использовать для получения доступа к сети.

3

Атаки на стандартные компоненты, используемые в сети ICS

Стандартные компоненты ИТ (готовые коммерческие продукты), такие как системное программное обеспечение, сервер приложений или баз данных, часто содержат недостатки и уязвимости, которыми могут воспользоваться нарушители. Если эти стандартные компоненты также используются в сети ICS, то риск успешной атаки на сеть ICS повышается.

4

(D)DoS-атаки

(Распределённая) атака типа «отказ в обслуживании» может негативно сказаться на работе сетевых соединений и важнейших ресурсов, а также вызвать сбой систем, например для того, чтобы прервать работу ICS.

5

Человеческая ошибка и саботаж

Преднамеренные действия – как со стороны внутренних, так и внешних нарушителей – представляют собой массовую угрозу для всех защищаемых объектов. Большую угрозу также представляют халатность и человеческая ошибка, особенно в отношении защиты конфиденциальности и доступности объектов.

6

Проникновение вируса через съёмный носитель и внешние устройства

Использование съёмных носителей и мобильных ИТ-компонентов персоналом всегда связано с высоким риском заражения вирусом.

7

Чтение и запись данных в сети ICS

Большинство компонентов контроля в настоящее время использует протоколы без использования шифрования, таким образом, коммуникации остаются незащищёнными. Это упрощает чтение и ввод команд управления.

8

Несанкционированный доступ к ресурсам

Внутренним нарушителям и нападающим, чьи атаки следуют за первоначальным внешним проникновением, особенно просто добиться успеха, если сервисы и компоненты в сетевой схеме процесса не используют методы аутентификации и авторизации или если эти методы ненадёжны.

9

Атаки на компоненты сети

Нападающие могут манипулировать компонентами сети, чтобы провести атаку с применением технологии «незаконный посредник» или, например, упростить анализ трафика.

10

Технические сбои или форс-мажор

Сбои в результате экстремальных погодных условий или технических неполадок могут произойти в любое время – в таких случаях можно только минимизировать риск и потенциальный ущерб.

* Промышленные системы автоматизации и управления. Также часто используется аббревиатура IACS- Industrial Automation & Control Systems


Не всегда можно полностью полагаться на готовые рекомендации в выборе пар {[угрозы] ´ [меры защиты]}. Во-первых, для части узкоспециальных систем их может просто не быть, во-вторых, ландшафт угроз постоянно меняется, и наконец авторы могли что-то пропустить или забыть учесть. Обеспечить полноту перебора всех возможных вариантов не прибегая к помощи вспомогательных средств достаточно сложно. В качестве примера (рис. 7) приведён один из интерфейсов информационно-аналитической системы, одна из подсистем которой помогает декомпозировать нормативно-справочную документацию предметной области и хранить её в виде иерархии тезисов.

e3adab3fd8d06d78a066df76fcb94e17.jpg

Рис. 7. Интерфейс информационно-аналитической системы разработки «РТСофт»

Работа по декомпозиции – это совместный труд аналитика и технолога, программное обеспечение позволяет формализовать этот процесс, поддержать процедурно и организовать коллективный ввод и редактирование информации, в том числе с использованием веб-интерфейса. На следующем этапе появляется возможность устанавливать связи между различными сущностями. Связи могут быть логические, семантические, причинно-следственные и т. п. На экране для примера взяты два документа - ГОСТ Р 51275-2006 «Перечень объективных и субъективных факторов, воздействующих на безопасность защищаемой информации объекта информатизации» и Приказ ФСТЭК №31 «Состав мер защиты информации и их базовые наборы для соответствующего класса защищённости автоматизированной системы управления». Каждому фактору мы можем поставить в соответствие одну или несколько мер защиты. Количество сущностей может быть и больше, «держать в голове» и ничего не пропустить без использования вспомогательных средств, в случае множественных связей, нереально даже в случае большого опыта и знаний в предметной области. Также средствами информационно-аналитической системы решается задача организации работы и консолидации оценок экспертов из разных предметных областей. Каждый эксперт отвечает за нахождение существенных связей между наборами сущностей в своей области знаний. Следующим шагом за установлением связей является «привязка узлов» к другим сущностям. Например, привязка к задачам и событиям даёт нам план мероприятий, к описаниям – связный структурированный документ и т. п.

Другой интересный опыт с целью упростить моделирование - это попытка создать специализированный язык – Cyber Security Modeling Language (CySeMoL) - предпринятая в «KTH Royal Institute of Technology» в Швеции [11]. Язык позволяет формально описать 59 видов атак, 58 типов защиты для 23-х разновидностей активов и установить отношения между этими сущностями. По замыслу авторов, CySeMoL позволяет пользователю, не обладающему специальными знаниями в области кибербезопасности, моделировать информационные системы масштаба предприятия и анализировать их уязвимость.

Мероприятия по обеспечению кибербезопасности

Мы рассмотрели темы рисков, уязвимостей, злоумышленников и угроз. Перейдём к обсуждению способов планирования, осуществления и контроля контрмер, направленных на защиту. Применим тот же самый приём – декомпозируем задачу на составляющие. Это позволит нам перейти от глобальной модели к суперпозиции локальных моделей. На первых шагах можно пренебречь связями, затем учесть только самые существенные из них и так постепенно увеличивать сложность. Такое приближение и последовательность действий вполне допустимы при выборе «ортотональных» друг другу доменов, что минимизирует взаимовлияние. Хороший вариант можно найти в [12]:

  • cистемное администрирование (SA);

  • cетевая безопасность (NS);

  • безопасность приложений (AS);

  • безопасность рабочих станций, серверов и устройств (ESDS);

  • идентификация, аутентификация и управление доступом (IAAM);

  • защита данных и криптография (DPC);

  • мониторинг, управление исправлениями (MVPM);

  • аварийное восстановление и физическая защита (HADRPP);

  • реагирование на инциденты (IR);

  • управление активами и управление цепочками поставок (AMSC);

  • политики безопасности, аудит и обучение персонала (PAET).

Как уже рассматривалось в разделе «Метрики информационной безопасности», радарная диаграмма является наглядным способом визуализации (рис. 8). Для примера возьмём экспертные оценки в баллах, нанесём значения на соответствующие оси, применим формулу (1) и получим соответственно метрики 7,2 и 15,7 (после приведения к единице – 0,22 и 0,47).

d91112b680ea6560ff1814319fd15a8a.jpg

Рис. 8. Пример представления текущего и целевого состояния мер по обеспечению киберзащиты

Вы можете использовать собственное разделение или адаптировать из существующих стандартов, как правило, содержащих такое деление. В зависимости от выбранного стандарта количество доменов может колебаться от десяти (Department of Homeland Security Cyber Resilience Review - DHS CRR) до тридцати пяти (Australian Defense Signals Directorate (DSD) Strategies)!

Если бы автору разрешили дать только один совет, на тему, как оптимизировать построение моделей, ответ был бы: «Меньше изобретайте сами, больше полагайтесь на стандарты!». Для каждого случая можно найти рекомендации, выбрать из них наиболее подходящие и на их основе начинать моделирование. В качестве примера рассмотрим подробнее порядок действий, выбрав раздел, где находится «управление исправлениями». Подходящим стандартом будет IEC TR 62443-2-3 «Patch management in the IACS environment» [13]. В нем содержится блок-схема алгоритма применения «заплаток безопасности», выпущенных производителями (рис. 9). Изучив схему, можно однозначно выбрать оптимальную методологию – дискретно-событийное моделирование. Также становятся очевидными направления прогнозирования и оптимизации – предполагаемое время ожидания, в течение которого система будет оставаться уязвимой, и порядок и момент наложения исправлений в случае необходимости остановки технологического процесса (нижняя часть схемы). Потенциально оптимизация времени наложения исправлений безопасности может дать значительный экономический эффект при обоснованном выборе альтернатив:

  • ждать до следующего планового отключения для вывода в ремонт или технического обслуживания;

  • инициировать немедленное обновление и мириться с потерями;

  • изменить график ТОиР, если потери от простоя значительные, но нельзя откладывать обновление из-за высоких рисков.

8c17f44b656154e21c2cec9cd7d959b9.jpg

Рис. 9. Patch management (Блок-схема в упомянутой версии стандарта может немного отличаться, автор использовал Draft 1 Edit 4, опубликованный в 2012 г.)

В случае большого парка оборудования и потока работ по обновлению ПО и прошивок контроллеров, если нас интересует моделирование на большой промежуток времени с целью принятия стратегических решений, лучше использовать моделирование методом системной динамики. За отправную точку при составлении системы дифференциальных уравнений можно взять схему, опубликованную в материалах CIGRE [14] (рис. 10).

b2d45e6466124a85dbfa93c89e1689e9.jpg

Рис. 10. Модель системной динамики для применения исправлений

Заключение

На частый вопрос заказчиков, в какой мере можно доверять результатам моделирования, можно ответить так. Сам процесс моделирования уже полезен, поскольку он подталкивает мыслить широко и объёмно и помогает нам формализовать знания и опыт инженеров и экспертов. В пользу моделирования свидетельствует также и такой простой факт, что при принятии решения мы доверяем своей интуиции и опыту. В теме кибербезопасности опыта у всех ещё мало, что касается «интуиции», это не более чем простые модели, которые строит наш мозг. Из психологии известно, что человеческому мозгу сложно построить интерполяции-экстраполяции и регрессии, отличные от линейных, и отслеживать взаимовлияние более чем пяти факторов. При этом процессы, зависимые от времени, обычно описываются системами дифференциальных уравнений, и форма и поведение результирующей оптимизационной кривой могут быть совершенно неожиданными.

У каждой методологии есть свои ограничения и область наиболее эффективного применения. Построить модель, которая «сама» предложит способы оптимизации, практически невозможно. Другое дело, когда есть конкретная задача и идеи по её решению. Тогда, с помощью моделирования, реально выполнить оценку последствий, сроков, стоимости, вероятности успешной реализации для каждого сценария, выбрать лучший вариант и оптимизировать план его реализации. Обсуждение и примеры моделирования различных сценариев оптимизации – это тема отдельной статьи.

Список литературы

  1. OSCE. Good Practices Guide on Non-Nuclear Critical Energy Infrastructure Protection (NNCEIP) from Terrorist Attacks Focusing on Threats Emanating from Cyberspace. 2013

  2. National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity. 2014

  3. ISO/IEC 27032:2012(E). Information technology — Security techniques — Guidelines for cybersecurity. 2012

  4. ГОСТ Р ИСО/МЭК 31010. Менеджмент риска. Mетоды оценки риска. 2011

  5. Pavel Fuchs, Jan Kamenicky, Tomas Saska, David Valis, Jaroslav Zajicek. Some Risk Assessment Methods and Examples of their Application. б.м. : Technical University of Liberec, 2011

  6. Paranjape, Raman. "Agent-Based Modeling of Power Systems Infrastructure Cyber Security". World Academy of Science, Engineering and Technology International Journal of Social, Behavioral, Educational, Economic, Business and Industrial Engineering, 2013 г., Т. Vol:7, No:8

  7. Д.И. Котенко, И.В. Котенко, И.Б. Саенко. Методика итерационного моделирования атак в больших компьютерных сетях. Труды СПИИРАН. 2012 г., Вып. 4(23)

  8. Jaquith, Andrew. Security metrics : replacing fear, uncertainty, and doubt. б.м. : Pearson Education, Inc., 2007. ISBN 0-32-134998-9

  9. Федюнина, А. П. Выявление характерологических признаков и составление психологического портрета возможного нарушителя и лояльного сотрудника в сфере информационной безопасности. Вестник АГТУ. 2006 г., Т. 4, 39

  10. SiFo-Studie 2009/10. Know-how-Schutz in Baden-Württemberg. Steinbeis-Edition Stuttgart, 2010 г.

  11. A Manual for the Cyber Security Modeling Language. Hannes Holm, Mathias Ekstedt, Teodor Sommestad, Matus Korman. Stockholm : Department of Industrial Information and Control Systems, Royal Institute of Technology, 2014

  12. Scott Donaldson, Stan Siegel, Chris Williams, Abdul Aslam. Enterprise Cybersecurity: How to Build a Successful Cyberdefense Program Against Advanced Threats. б.м. : Apress, 2015

  13. IEC TR 62443-2-3. Security for industrial automation and control systems – Part 2-3: Patch management in the IACS environment. Edition 1.0 2015-06

  14. Application and Management of Cybersecurity Measures for Protection and Control Systems. CIGRE, Joint Working Group B5/D2.46. 2014