Основные проблемы синтеза графов атак.
Построение адекватной модели. Эффективное моделирование подразумевает автоматизацию процесса построения модели сети. При этом необходимы данные об имеющихся уязвимостях, политики маршрутизации, внедренной политики безопасности и т.д. Обычно во всех топологических сканерах безопасности присутствуют подсистемы, взаимодействующие со сканерами безопасности, МЭ, СОА, маршрутизаторами и другими средствами для построения адекватной модели сети.
Кроме этого, необходимо определить достижимость между всеми хостами, учитывая, например, МЭ и маршрутизаторы. Во многих работах граф строится в предположении наличия таких данных. Простейший подход вычисления доступности требует дополнительных N 2 шагов перед построением графа и заключается в построении матрицы достижимости A размера N×N, где a[i][j] = 1 тогда и только тогда, когда хост j доступен хосту i. Определение достижимости устройств в крупной сети является трудной задачей. Не всегда возможно определить достижимость устройства, используя только сканеры безопасности. Точное определение достижимости между хостами требует анализа конфигурационных правил МЭ, маршрутизаторов, коммутаторов, VPN-шлюзов, персональных МЭ и других устройств. На рис. 5 приведена архитектура топологического сканера безопасности NetSPA.
Рис. 5
Применимость алгоритмов для реальных сетей. Многие алгоритмы построения графов не могут быть применены для реальных сетей. Так, все подходы, основанные на использовании полных графов, являются не эффективными. Например, полный граф атак часто не мог быть вычислен в [24] даже при наличии 13 уязвимостей в файловой системе UNIX-хоста.
Для повышения эффективности решений может использоваться агрегация [2, 21] подобных хостов как для улучшения наглядности графа атак, так и для повышения производительности. Простейшая агрегация заключается в замене группы идентичных хостов на один хост. Другой метод заключается в построении ограниченного графа, используемого исключительно для ответа на следующие вопросы: какие хосты могут быть скомпрометированы нарушителем с некоторого хоста и какое минимальное множество эксплойтов позволит нарушителю достигнуть его цели? Также неизвестным параметрам системы можно присваивать некоторые значения по умолчанию [2].
Генерация рекомендаций по графу атак. В результате построения графа атак и его анализа необходимо выдать рекомендации по предотвращению возможных атак. Данные рекомендации могут предполагать как изменения в сетевой архитектуре, так и установку обновлений ПО. Noel и Jajodia в [2] разработали подходы для выдачи подобных рекомендаций.
Топология анализа защищенности.
Далее рассматриваются три наиболее мощные и интересные системы анализа защищенности. Приводится их архитектура, иллюстрируются примеры графов атак и, где это возможно, экспериментальные данные.
TVA tool (Topological vulnerability analysis tool) [22]. Система разработана в университете Джорджа Мэйсона. Описания элементарных атак, сети и цели нарушителя вводятся вручную в модели предусловий и постусловий. Для генерации и анализа графа атак используется полиномиальный алгоритм. Данная система не только генерирует граф, но и предлагает меры по повышению уровня безопасности. Данное средство имеет много недостатков: модели описываются вручную, при определении достижимости хостов правила МЭ и ACL маршрутизаторов не анализируются (вместо этого используется сканер Nessus, который определяет достижимость двух любых хостов), алгоритм, лежащий в основе TVA, имеет оценку вычислительной сложности O(N 6).
Система NetSPA[25-28] разработана в Массачусетском технологическом институте. Исследования в области анализа защищенности ведутся с 1999 года. Первая версия NetSPA строит полные графы атак и способна анализировать небольшие сети (порядка 100 хостов). С введением графов предсказаний (predictive graph) производительность системы значительно повысилась – были проанализированы реальные сети из 3400 хостов и моделируемые сети из 10000 хостов. Последняя ее редакция на сегодняшний день является наиболее мощной и способна анализировать моделируемые сети из 50000 хостов за 4 мин. (Windows Server 2003, Xeon 3.2 GHz, 2 GB).
Интеллектуальная система анализа защищенности (САЗ). Разработана в 2006 в СПИИРАН [12, 13]. В данной системе анализа защищенности используются две базовые модели: модель формирования общего графа атак и модель оценки уровня защищенности. Архитектура САЗ представлена на рис. 8. Граф атак отражает возможные распределенные сценарии атак с учетом конфигурации сети, реализуемой политики безопасности, а также местоположения, целей, уровня знаний и стратегий нарушителя.