автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Метод прогнозирования информационных угроз на основе модели анализа хакерских конференций

На правах рукописи к>

Хусаинова Эльвира Робертовна

МЕТОД ПРОГНОЗИРОВАНИЯ ИНФОРМАЦИОННЫХ УГРОЗ НА ОСНОВЕ МОДЕЛИ АНАЛИЗА ХАКЕРСКИХ КОНФЕРЕНЦИЙ

Специальность 05.13.19. Методы и системы защиты информации, информационная безопасность

Автореферат

диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 2010

□□3494234

003494234

УДК 004.056

Работа выполнена на кафедре «Безопасные информационные технологии» Санкт-Петербургского государственного университета информационных технологий, механики и оптики (СПб ГУ ИТМО).

Научный руководитель: Доктор технических наук, профессор

Осовецкий Леонид Георгиевич

Официальные оппоненты: Доктор технических наук, профессор

Воробьев Владимир Иванович

Кандидат технических наук, профессор Звонов Валерий Степанович

Ведущая организация: Уральский Государственный Университет им.

А.М. Горького

Защита состоитсяЦр15 часов 50 минут на заседании диссертационного совета Д 212.227.05 при Санкт-Петербургском Государственном университете информационных технологий, механики и оптики, по адресу: 197101, Санкт-Петербург, Кронверский пр., д. 49.

С диссертацией можно ознакомиться в библиотеке СПб ГУ ИТМО.

Автореферат разослан 2010]

Ученый секретарь Диссертационного совета Д 212.227.05

кандидат технических наук,доцент / _Поляков В.И.

/СУ

Общая характеристика работы

Актуальность темы

Предотвращение компьютерных атак со стороны злоумышленников, выявление возможных уязвимостей программного обеспечения -первоочередная задача для специалистов, работающих в сфере информационных технологий.

Для прогнозирования возможных уязвимостей перспективно обратиться к материалам так называемых «хакерских конференций». Докладчики на таких конференциях делятся своим опытом борьбы с «кибертерроризмом». Они демонстрируют пути устранения основных угроз безопасности и помогают слушателям составить представление о целостной инфраструктуре, где легко реализуются предупреждающие стратегии, а также демонстрируются новейшие решения в области управления информационной безопасностью; участники конференции стремятся опередить злоумышленников и защитить системы от возможных угроз: разрабатываются инструменты, позволяющие определять уязвимые места систем еще до того, как они подвергаются атакам.

Важнейшей особенностью «хакерских» конференций можно считать исследование широко-распространенного программного обеспечения на предмет его защищенности. С каждым годом выявляются все новые и новые уязвимости известных продуктов информационных технологий, и именно конференции позволяют заявить об этом и оценить масштабы информационных угроз, к которым могут привести подобные новые уязвимости, которые еще не были достаточно хорошо изучены специалистами по защите.

Материалы подобных «хакерских» конференций могут существенно помочь специалистам в области защиты информации для прогнозирования новых уязвимостей, так как в полной мере отражают картину поля информационных угроз.

Цели диссертации

Целью диссертации является разработка модели анализа «хакерских»

4 I

конференций и метода прогнозирования перспективных угроз информационной безопасности.

Объект и предмет исследования

Объектом исследования являются элементы, составляющие «хакерскую» конференцию: объекты и субъекты конференции, используемые на ней методы защиты информации, угрозы информационной безопасности.

Предмет исследования — инструментарий, позволяющий смоделировать и формализовать процесс функционирования конференции для прогнозирования перспективных угроз информационной безопасности. Методы исследования

При решении поставленных задач использованы методы статистического анализа и моделирования систем.

Основные научные положения, выносимые на защиту

1. Аналитическая модель «хакерских» конференций.

2. Метод прогнозирования перспективных угроз информационной безопасности.

3. Методика построения системы защиты современных объектов ИТ и ТКС на основе модели анализа «хакерских» конференций и метода прогнозирования перспективных угроз информационной безопасности. Основные результаты работы

• Подготовлен обзор ведущих «хакерских» конференций, проанализировано их влияние на состояние информационной безопасности.

• Разработана аналитическая модель «хакерских» конференций.

• На основе модели разработан метод прогнозирования перспективных угроз информационной безопасности.

• На основе модели анализа «хакерских» конференций и метода прогнозирования перспективных угроз информационной безопасности разработана методика построения системы защиты объектов

информатизации с учетом прогнозирования внешних угроз.

Научная новизна

Научная новизна работы состоит в том, что для прогнозирования перспективных угроз, для улучшения точности прогнозов и повышения качества средств защиты информации предлагается модель анализа «хакерских» конференций, отличающаяся от существующих формализованным представлением конференции на основе опыта по организации соревнований «Capture the Flag». На основе данной модели разработан метод, позволяющий учесть силу и вероятность возникновения атак, направленных на определенные типы уязвимостей для формирования адаптивной системы защиты информации.

Практическая ценность

Работа определяет способ получения оценок вероятности возникновения угроз, силы атак, а также величин риска информационной безопасности. Результаты, полученные при помощи метода определения вероятности возникновения атак, можно применять как самостоятельно при исследовании глобального поля угроз, так и для формирования адаптивной системы защиты информации, учитывающей силу и вероятность возникновения атак, направленных на определенные типы уязвимостей.

Данная работа может быть полезна специалистам по защите информации для построения системы обеспечения информационной безопасности, аналитикам в данной области, а так же специалистам по страхованию информации для определения рисков.

Достоверность результатов исследования подтверждается корректностью постановок задач, формулировок выводов, адекватностью применяемых методов задачам исследования и их особенностям, вводимыми допущениями и ограничениями, непротиворечивостью полученных результатов данным предшествующих исследований и практическим результатам в вопросах защиты информации, публикацией основных результатов и их широким обсуждением.

Апробация работы

Основные цели, положения и результаты диссертационной работы докладывались и обсуждались на: научно-технической конференции «День антивирусной безопасности» (Санкт-Петербург, октябрь 2007), на XXXVII научной и учебно-методической конференции СПбГУ ИТМО (Санкт-Петербург, февраль 2008), XXXII научно-технической конференции «Теория и технология программирования и защиты информации» (Санкт-Петербург, май 2008), на круглом столе «Актуальные проблемы гостайны» (Санкт-Петербург, октябрь 2008), на Конференции Молодых Ученых СПбГУ ИТМО (Санкт-Петербург, апрель 2009), XXXIV научно-технической конференции «Теория и технология программирования и защиты информации» (Санкт-Петербург, май 2009), VIII Ежегодной всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» (Сочи, сентябрь 2009г.) и на XXXIX научной и учебно-методической конференции СПбГУ ИТМО (Санкт-Петербург, февраль 2010).

Внедрение результатов

Результаты работы использованы при организации конференции «Capture the Flag», а также реализованы в учебном процессе кафедры БИТ СПбГУ ИТМО по специальности 090103 и при организации работы в мультимедийном классе при Гуманитарном Факультете СПбГУ ИТМО.

Публикации по теме диссертации

Основные положения диссертации изложены в 6 печатных работах, из них I в журнале, реферируемом ВАК.

Структура и объем диссертации

Диссертация состоит из введения, четырех глав, заключения и списка литературы. Материал изложен на 111 страницах машинописного текста, содержит 5 рисунков и 24 таблицы, список литературы состоит из 47 наименований.

Содержание работы

Во введении обосновывается актуальность темы работы, сформулированы её цели, научная новизна, описаны возможности практического использования полученных научных результатов и представлены основные положения, выносимые на защиту.

В первой главе сделан обзор «хакерских» конференций, рассмотрены основные методы их исследования.

В параграфе 1.1 приведен обзор ведущих «хакерских» конференций, описаны их основные задачи и динамика развития.

В параграфе 1.2 рассмотрены угрозы и уязвимости информационной компьютерной безопасности и методы защиты информации в современных ИТ и ТКС, исследование и применение которых освещено в материалах съездов «хакеров».

В параграфе 1.3 описаны существующие методы прогнозирования возможных атак, их достоинства, недостатки и возможность их применения по отношению к «хакерским» конференциям.

В параграфе 1.4 описана методика проведения соревнований в рамках конференции «Capture the Flag».

Во второй главе описана схема функционирования конференции (рис. 1.), исследованы информационные потоки в среде конференции, разработана аналитическая модель оценки «хакерских» конференций.

Ирты

' 1

• 11 1М гч г,« ' - 11." тшят в® - ^илнсии |ГГ.,Н1М1 пи • Сваи»

Рис. 1. Модель проведения конференции

В параграфе 2.1 построена общая схема взаимодействия элементов конференции, описаны информационные потоки.

В параграфе 2.2 заданы основные характеристики каждого из элементов конференции (табл. 1). Выражены показатели в значениях от 0 до 1, так как они отражают степень влияния показателя на итоговую вероятность возникновения атак.

Табл. 1. Базовые характеристики конференции

Элемент Показатель Обозначение

Партнеры масштаб базы исследований В

персональная заинтересованность партнера I

Организаторы уровень подготовки организаторов ^орг

мотивация организаторов торг

Участники коэффициент количества участников Ч

усредненный уровень подготовки участников 15„

мотивация участников шуч

Объекты уровень специфичности объектов О

доля конкретной технологии

Методы уровень специфичности методов исследования м

Часть базовых характеристик находим переводя экспертные оценки в числовой эквивалент, другие находим в соответствии с соотношениями

показателей.

Например, масштаб базы исследований-задается по табл. 2.

Табл. 2. Определение масштаба базы исследований

в Описание партнеров конференции

1 более 5 крупных корпораций, ведущих университетов или государственных структур;

0,9 1-2 крупных корпораций, университетов или государственных структур при участии нескольких средних сервис-провайдеров;

0,8 государственные службы ведущих развитых государств;

0,7 одна крупная корпорация или ведущий университет;

0,5 несколько средних компаний;

0,3 несколько мелких компаний;

0,1 группа энтузиастов.

А в качестве показателя персональной заинтересованности партнера (/) возьмем долю от вклада (выраженного в материальном эквиваленте) одной, наиболее заинтересованной в проведении конференции компании (1).

lcma\

1=-, (1)

&

где ic - доля каждого партнера.

Если компании-партнеры могут иметь схожие интересы, поэтому в случаях, когда к проведению конференции привлечены несколько компаний, работающих в схожих отраслях, значение I стоит вычислять по суммарной доле вклада таких компаний (2).

Igmax

l=-, (2)

&

где ig - суммарная доля каждой группы партнеров, обладающих схожим полем интересов.

В параграфе 2.3 производится вычисление производных показателей конференции.

Базовые характеристики по отдельности лишь формализуют описание конференции, однако, в комплексе, они позволяют оценить степень значимости исследований. Чтобы оценить оценить степень влияния конференции на распространение конкретной проблемы, необходимо ввести показатели, учитывающие несколько факторов.

Для того, чтобы в целом охарактеризовать то, насколько сильно влияют участники на достоверность исследований, зададим степень вовлеченности участников в процесс, обозначим этот показатель за S. На степень вовлеченности оказывают равное влияние коэффициент количества участников, их уровень подготовки и мотивация. Однако простое произведение коэффициентов снизит искомый показатель, что для дальнейшего исследования недопустимо, так как исказит итоговые данные о вероятности атак, поэтому для вычисления степени вовлеченности воспользуемся средним геометрическим этих величин (3).

S = 3V q * 1уч * Шуч (3)

Чтобы измерить воздействие организаторов зададим и степень вовлеченности организаторов, обозначим этот показатель за I. На степень вошгеченности также, как и в случае с участниками, оказывают влияние уровень подготовки и мотивация, однако, на этот раз оно не равносильное: степень подготовки здесь существеннее, так как в первую очередь от нее зависит результативность конференции, поэтому для подсчета данного показателя воспользуемся взвешенным средним геометрическим:

Ь = Чр/*торг (4)

Базовые характеристики партнеров на данном этапе перерабатывать не будем, так как они отражают разные аспекты влияния, и их комбинация ничего не даст.

При помощи показателя доли конкретной технологии в проблематике конференции вычислим коэффициент количества участников, занятых в изучении конкретной технологии, А,.

= (с1„+051*1)',*(1-сУ) (5)

Добавочный коэффициент 0,1*1)ч *(1-с)я) в формуле (5) появился в следствии того, что некоторые из участников конференции заинтересованы в изучении не одной, а нескольких проблем, и чем выше средняя квалификация, тем больше таких участников.

В параграфе 2.4 определяется уровень влияния конференции. Для этого вычисляем величину, отражающую степень влияния конференции на формирование новых угроз информационной безопасности и способов защиты, назовем этот показатель научно-технический потенциал и обозначим за Г. На потенциал конференции оказывают равное влияние основные показатели вовлеченности каждой из групп субъектов, поэтому для его вычисления воспользуемся средним геометрическим:

Т = 3^ВЧЛ8~ (6)

Численное значение, полученное из формулы (6) позволяет дать общую характеристику достоверности исследований а также оценить вероятность воз-

никновения новых уязвимостей, базирующихся на результатах конференции (табл. 3).

Табл. З.Определение значимости исследований конференции

т Значение конференции для науки Уровень влияния

0,9 — 1 Результаты конференции оказывают наиболее сильное влияние на развитие проблематики вопросов, поднятых в ходе исследований. Субъекты конференции обладают широкими возможностями для внедрения принципиально новых и совершенствования существующих эффективных методов и форм взлома и защиты информации. Безусловный

0,8 — 0,9 Результаты конференции оказывают сильное влияние на развитие проблематики вопросов, поднятых в ходе исследований. Субъекты конференции обладают широкими возможностями для внедрения новых и совершенствования существующих эффективных методов взлома и защиты информации.

0,7 — 0,8 Результаты конференции оказывают достаточное влияние на развитие проблематики вопросов, поднятых в ходе исследований. Субъекты конференции обладают возможностями для внедрения новых или совершенствования существующих методов взлома и защиты информации. Высокий

т Значение конференции для науки Уровень влияния

0,6 — 0,7 Результаты конференции оказывают заметное влияние на развитие проблематики вопросов, поднятых в ходе исследований. Субъекты конференции обладают некоторыми возможностями для внедрения новых или совершенствования существующих методов взлома и защиты информации.

0,5 — 0,6 Результаты конференции оказывают небольшое влияние на развитие проблематики вопросов, поднятых в ходе исследований. Субъекты конференции не обладают достаточными возможностями для внедрения новых методов взлома и защиты информации, однако, в состоянии заметно повлиять на направление совершенствования существующих. Средний

0,4 — 0,5 Результаты конференции оказывают небольшое влияние на развитие проблематики вопросов, поднятых в ходе исследований. Субъекты конференции не обладают достаточными возможностями для внедрения новых методов взлома и защиты информации, однако, в состоянии усовершенствовать существующие.

0,3 — 0,4 Результаты конференции не оказывают заметного влияния на развитие проблематики вопросов, поднятых в ходе исследований. Субъекты обладают возможностями для небольшого улучшения эффективности существующих методов взлома и защиты информации. Низкий

0,2 — 0,3 Результаты конференции не оказывают влияния на развитие проблематики вопросов, поднятых в ходе исследований. Субъекты обладают возможностями для незначительного улучшения эффективности существующих методов взлома и защиты информации.

т Значение конференции для науки Уровень влияния

0 — 0,2 Субъекты не обладают возможностями для улучшения эффективности существующих методов взлома и защиты информации, а лишь получают незначительный опыт в области взлома и защиты информационных систем. Незначительный

В третьей главе на основе данных аналитической модели функционирования конференции разработан метод прогнозирования перспективных уязвимостей на основе данных хакерских конференций.

В параграфе 3.1 разработан способ вычисления вероятностных характеристик конференции.

Критичность атак, обозначим ее С зависит от масштаба базы исследований, степени вовлеченности организаторов и участников и уровня специфичности методов исследования, так как чем более специализированные методы применяются для исследований, а значит и для последующих атак, тем выше будет уровень причиненного ущерба. Для вычисления критичности зададим формулу (7).

С =В * Ь * Б * М (7)

Вероятность возникновения атак, эксплуатирующих уязвимости, изученные в рамках конференции (обозначим ее Р) зависит от степени вовлеченности организаторов и участников, а так же от того насколько сильны мотивации заинтересованных в результатах конференции субъектов (этот параметр отражает характеристика персональной заинтересованности партнера). Еще одним показателем, напрямую влияющим на вероятность возникновения атак, является уровень специфичности объектов, так как то, насколько сужен круг исследуемых объектов, указывает на возможность появления угроз для подобных объектов (8).

Р = 4 Б *Ь * I * О (8)

Еще один важный показатель, который определяет защищенность информационной системы — это риск (обозначим его Я). Этот параметр демонстрирует насколько сильно атаки, которые могут быть спровоцированы в результате исследований конференции, повлияют на состояние защищенности информационных систем в целом. Риск зависит от вероятности возникновения атак и от их критичности (9).

/р*С (9)

В параграфе 3.2 вычисляются вероятностные характеристики объектов исследования:

Вероятность возникновения атак, направленных на п-ую уязвимость (Р„), вычислим по формуле (10).

Рп = УР*БП (10)

А критичность атак, направленных на п-ую уязвимость (С„), вычислим по формуле (11).

С^ЛГС^В» (11)

Как и в случае с общей критичностью, критичность атак, направленных на п-ую уязвимость позволяет оценить степень возможного ущерба, но только от данного вида атак.

Риск эксплуатации п-ой уязвимости (/?„), вычислим по формуле (12).

11П = Ч'СГ1*Р„ (12)

Риск эксплуатации п-ой уязвимости демонстрирует насколько сильно атаки, которые могут быть спровоцированы в результате исследований в данной области, повлияют на состояние информационной безопасности, касательно рассматриваемой проблемы.

В параграфе 3.3 разработан способ вычисления общих вероятностных характеристик, позволяющих учесть данные сразу нескольких крупных конференций, тех научно-технический потенциал (Т) которых превышает 0,6, а уровень их влияния, соответственно, характеризуется, как высокий или безусловный.

Для определения обобщенных параметров будем использовать взвешенное среднее геометрическое значение с учетом показателя научно-технического потенциала каждой конференции.

Таким образом вычислим значения основных вероятностных характеристик обще-глобальной информационной безопасности.

Глобальную критичность атак выразим формулой:

1

СЛц = (С1Т1*С214-...-СкТк)Т,+Т2 + ™ + 1' , (13)

где к - количество конференций, взятых для исследования.

Глобальную вероятность атак выразим:

1

Ро^-СР!11^,12*.-^^) Т1+Т2 + -+Тк , (14)

где к - количество конференций, взятых для исследования.

И глобальный риск:

^общ ' * Робщ (15)

Полученное подобным образом значение Кобщ можно интерпретировать в соответствии со шкалой, приведенной в табл. 4.

Табл. 4. Шкала оценки риска глобальной информационной безопасности

Ковш | Уровень риска Рекомендации по снижению риска

0,8 — 1 Критический Необходимо максимизировать защиту ресурсов, а также применять все возможные способы снижения рисков информационной безопасности: страхование, привлекать дополнительные ресурсы, методы и специалистов по защите информации.

Кч>б|Ц Уровень риска Рекомендации по снижению риска

0,6 — 0,8 Высокий Необходимо усиливать защиту ресурсов, а также применять различные способы снижения рисков информационной безопасности: страхование, привлекать дополнительные ресурсы, методы и специалистов по защите информации.

0,4 — 0,6 Средний Необходимо применять различные способы снижения рисков информационной безопасности: использовать дополнительные ресурсы, методы защиты информации, а так же усиливать контроль за соблюдением политик безопасности и мониторинг нарушений.

0,2 — 0,4 Низкий Необходимо усиливать контроль за соблюдением политик безопасности и мониторинг нарушений.

0 — 0,2 Минимальный Предпринимать меры не нужно.

Тем же способом вычислим значения основных вероятностных характеристик для каждой из рассматриваемых на конференциях проблем.

Общую критичность атак, направленных на п-ую уязвимость выразим формулой: _!_

Спобщ = (Сп1тьСп2Т^...,СпкТк)Т1+Т2 + - + Тк , (16)

где к - количество конференций, взятых для исследования.

Общую вероятность возникновения атак, направленных на п-ую уязвимость:

1

гр гр гр Т0 + + Тк

Рп общ= (Рп 1 Рп 2 * ... * Рп к ) " " , (17)

где к - количество конференций, взятых для исследования. Общий риск эксплуатации п-ой уязвимости:

1В I

В параграфе 3.4 описан способ определения погрешности для полученных вероятностных характеристик.

В четвертой главе разработана методика построения системы защиты объектов информатизации с учетом прогнозирования внешних угроз.

В параграфе 4.1 приведены практические примеры исследования глобального поля угроз, состоящего из нескольких этапов, в ходе которых необходимо:

• определить базовые показатели модели функционирования каждой

конференции;

• вычислить производные показатели;

• рассчитать вероятностные характеристики;

• провести сравнительный анализ поля угроз.

Для трех рассмотренных в примере конференций: Defcon, Chaos Computer Camp и Hacking at Random полученные базовые характеристики можно представить в виде табл. 5.

Табл. 5. Базовые характеристики для конференций Defcon, Chaos Computer Camp и Hacking at Random

Показатель Обозначение Defcon Chaos Computer Camp Hacking at Random

масштаб базы исследований В 1 0,5 0,9

персональная заинтересованность партнера I 0,4 0,2 0,35

уровень подготовки организаторов Црг 1 1 1

мотивация организаторов Ш<,рг 0,85 0,85 0,85

коэффициент количества участников q 1 0,8 0,9

усредненный уровень подготовки участников 1уЧ 0,8 0,8 0,8

мотивация участников Щч 1 0,8 0,9

уровень специфичности объектов О 0,6 0,4 0,6

доля исследований уязвимостей веб-приложений d„ 0,05 0,1 0,15

уровень специфичности методов исследования M 1 1 1

Вычислим производные показатели для Defcon и ее научно-технический потенциал:

• степень вовлеченности организаторов

Li = 3Vl*l* 0,85 = 0,95 (19),

• степень вовлеченности участников

S, = Зл/1*0,8*1^0,93 (20),

• и коэффициент количества участников, занятых в изучении конкретной

технологии

Dweb ! = Vl* (0,05 + 0,1*0,8*(1-0,05)) = 0,23 (21),

• научно-технический потенциал

Т\ = Ч 1*0,93*0,95 = 0,93 (22).

Сделаем то же для Chaos Computer Сашр и Hacking at Random. Из полученных результатов, можно сделать вывод, что уровень влияния конференций Defcon и Hacking at Random оценивается, как безусловный, а Chaos Computer Camp — как высокий, а значит все три конференции заслуживают дальнейшего рассмотрения.

Применив метод определения вероятности возникновения атак, вычислим вероятностные характеристики конференции Defcon:

• критичность возможных атак

C,=4Vl * 0,95 * 0,93 * Г= 0,97 (23),

• вероятность их возникновения

Р, = M 0,93 * 0,95 * 0,4 * 0,6 = 0,68 (24),

20 I

• риск

R, = VÎ,97 * 0,68 = 0,81 (25).

Сделаем то же для Chaos Computer Camp и Hacking at Random.

Вычислим глобальный риск на основе данных трех конференций. Из формул (15-17) получим:

1

** = (R,Tl*R,Tï*.(26),

что в данном случае соответствует:

1

R<Ä, = (RiTl *R2T2 * RS13/' (27).

Вычислим значение глобального риска.

1

Ro6m = (0,8l0,93*0,630,72* 0,780.91)°'93+0'72+0Я= 0,75 (28).

Полученное оценочное значение 0,75 соответствует высокому уровню глобального риска, а значит необходимо усиливать защиту ресурсов, а также применять различные способы снижения рисков информационной безопасности: страхование, привлекать дополнительные ресурсы, методы и специалистов по защите информации.

В параграфе 4.2 предлагается данные, полученные ранее, использовать и для построения прогнозов по актуальности изучения тех или иных проблем в области информационной безопасности. Для этого необходимо выявить основные типы уязвимостей и оценить для каждой общий риск ее эксплуатации.

На прошедших в 2009 г. конференциях выделим несколько проблем и определим уровень риска для камодой из них. На основе полученных данных можем сравнить проблемы между собой и сделать выводы о приоритетности изучения каждой из них (рис. 2).

О

Рис 2. Сравнение актуальности проблем

£ Программное обеспечение ® IP-телефония Банковские карты

Ei Java Script

В9 Мобильные устройства ® Беспроводные сети П Браузеры И GSM-сети

И Системы управления

полетами Ш УУеЬ-приложения Я Каналы передачи изображения © Кибер-война И ОЕСТ-телефоны ® 551-прогокопы Я социальные сети

В параграфе 4.3 на основе полученных данных разработана методика оценки необходимого количества инвестиций в информационную безопасность.

Показатель глобального риска (Лобщ) отражает картину в области информационной безопасности в целом, а это значит, что при помощи него можно оценить, на сколько необходимо увеличить количество средств, затрачиваемых на защиту информации. Введем некоторые обозначения;

А, - бюджет ИТ-компании на защиту информации на прогнозируемый период (например за год);

А,., - бюджет ИТ-компании на защиту информации на предыдущий период (например за год);

Р - коэффициент роста бюджета.

А, = Р * Ам (29).

Бюджет на защиту информации за предыдущий период находится в ведении компании, значит нам остается выразить коэффициент. Если компания не проводила серьезной реструктуризации, а средства выделялись лишь на поддержание должного уровня защищенности, то бюджет необходимо по

крайней мере не уменьшать, а также нужно учесть рост поля угроз, а следовательно выразить коэффициент роста бюджета можно следующим образом:

Р = 1 + Ксбщ . (30).

Для Яобщ " 0,75 коэффициент роста бюджета на защиту информации составит 1,75, то есть затраты на обеспечение информационной безопасности необходимо увеличить на 75 %.

Однако данное утверждение справедливо только для компаний, вся деятельность которых находится только в сфере информационных технологий, в реальности такое встречается не часто, поэтому необходимо ввести коэффициент, отражающий процент ИТ-ресурсов компании относительно ее общих активов (обозначим его Z), тогда формула вычисления коэффициента роста бюджета на защиту информации примет вид:

¥=1+г*Кв6л (31).

Пример: Рассчитаем этот показатель для предприятия, чьи активы на 40 % состоят из ИТ-ресурсов:

Б = 1+0,4* 0,75 = 1,3 (32).

Следовательно в этом случае затраты на обеспечение информационной безопасности необходимо увеличить на 30 %.

Для того, чтобы распределить средства на обеспечение информационной безопасности между различными типами средств защиты, воспользуемся данными, полученными ранее. Долю затрат на решение каждой из актуальных проблем (обозначим ее Е„) найдем исходя из общих значений риска:

И, обш

Е„=-, (33)

где п — количество актуальных проблем,

а] - комер проблемы от 1 до п.

Необходимо отметить, что в данном случае учитывать стоит только те проблемы, которые могут бьгть актуальны для компании. Например, если

компания не связана с авиацией, то БОБ-атаки в системе управления полетами на нее никак не повлияют.

В заключении приведены основные результаты исследования и полученные выводы. Проанализирована эффективность практического применения данной методики, сделаны выводы о теоретической значимости и о возможности практического применения данного исследования для эффективного прогнозирования как глобальных угроз информационной безопасности, так и возможного появления новых уязвимостей конкретных информационных систем и технологий.

24 I

Список публикаций по теме диссертации

1. Хусаинова Э.Р. Использование мультимедийного учебника как средства компьютерных технологий при обучении иностранному языку - Научно-технический вестник СПбГУ ИТМО. Выпуск 36. Гуманитарные и экономические проблемы. - СПб: СПбГУ ИТМО, 2007. С. 199-203.

2. Хусаинова Э.Р. Лингводидактический аспект использования интернет-ресурсов на занятиях по иностранному языку - Гуманитарные исследования: Сборник научных трудов. - СПб.: ООО Издательство «Диалог», 2009. С.158-163.

3. Хусаинова Э.Р., Торшенко Ю.А. Прогнозирование уязвимостей программного обеспечения на основе обзора хакерских конференций -Сборник трудов конференции молодых ученых. Выпуск 6. Информационные технологии. - СПб: СПбГУ ИТМО, 2009. С.115-119.

4. Хусаинова Э.Р. Прогнозирование угроз информационной безопасности на основе обзора хакерских конференций - Труды Х1У-Й международной научно-практической конференции «Теория и технология программирования и защиты информации». - СПб: СПбГУ ИТМО, 2009. С.41-43.

5. Хусаинова Э.Р. Модель угроз информационной безопасности на основе материалов хакерских конференций - Труды VIII Ежегодной всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты», с. 10-11.

6. Хусаинова Э.Р. Модель оценки угроз информационной безопасности на основе материалов хакерских конференций - Научно-технический вестник СПб ГУ ИТМО №2, с. 104-107.

Тиражирование и брошюровка выполнены в Центре "Университетские Телекоммуникации".

Санкт-Петербург, Кронверкский пр., 49. Тел. (812) 233-46-69.

Лицензия ПДД №69-182 от 26.11.96 Тираж 100 экз.

ВВЕДЕНИЕ.

ГЛАВА 1. ПРОГНОЗИРОВАНИЕ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОТИ В РАМКАХ ХАКЕРСКИХ КОНФЕРЕНЦИЙ.

1.1. Динамика развития и основные задачи конференций хакеров.

1.2. Обзор прогнозируемых атак и уязвимостей информационной безопасности по материалам съездов хакеров.

1.3. Способы прогнозирования угроз информационной безопасности.

1.4. Соревнования CTF по компьютерной безопасности.

ГЛАВА 2. ОПИСАТЕЛЬНАЯ МОДЕЛЬ ФУНКЦИОНИРОВАНИЯ КОНФЕРЕНЦИИ.

2.1. Общая схема взаимодействия элементов конференции.

2.2. Определение базовых показателей конференции.

2.3. Определение производных показателей конференции.

2.4. Определение уровня влияния конференции.

ГЛАВА 3. МЕТОД ОПРЕДЕЛЕНИЯ ВЕРОЯТНОСТИ ВОЗНИКНОВЕНИЯ АТАК.

3.1. Вычисление вероятностных характеристик конференции.

3.2. Вычисление вероятностных характеристик объектов исследования.

3.3. Вычисление общих вероятностных характеристик.

3.4. Определение погрешности для вероятностных характеристик.

ГЛАВА 4. МЕТОДИКА ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ С УЧЕТОМ ПРОГНОЗИРОВАНИЯ.

4.1. Исследование глобального поля угроз.

4.2. Построение прогнозов в области угроз информационной безопасности

4.3. Оценка необходимого количества инвестиций в информационную безопасность^.

Актуальность темы

Предотвращение компьютерных атак со стороны злоумышленников, выявление возможных уязвимостей программного обеспечения — первоочередная задача для специалистов, работающих в сфере информационных технологий.

Для прогнозирования возможных уязвимостей перспективно обратиться к материалам так называемых «хакерских конференций». Докладчики на таких конференциях делятся своим опытом борьбы с «кибертерроризмом». Они демонстрируют пути устранения основных угроз безопасности и помогают слушателям составить представление о целостной инфраструктуре, где легко реализуются предупреждающие стратегии; так же демонстрируются новейшие решения в области управления информационной безопасностью; участники конференции стремятся опередить злоумышленников и защитить системы от возможных угроз: разрабатываются инструменты, позволяющие определять уязвимые места систем еще до того, как они подвергаются атакам.

Важнейшей особенностью «хакерских» конференций можно считать исследование широко-распространенного программного обеспечения на предмет его защищенности. С каждым годом выявляются все новые и новые уязвимости известных продуктов информационных технологий, и именно конференции позволяют заявить об этом и оценить масштабы информационных угроз, к которым могут привести подобные новые уязвимости, которые еще не были достаточно хорошо изучены специалистами по защите.

Материалы подобных «хакерских» конференций могут существенно помочь специалистам в области защиты информации для прогнозирования новых уязвимостей, так как в полной мере отражают картину поля информационных угроз.

Цели и задачи диссертации

Целью диссертации является разработка модели анализа «хакерских» конференций и метода прогнозирования вероятных угроз информационной безопасности.

Для достижения данной цели были поставлены следующие задачи: о разработка аналитической модели «хакерских» конференций; о разработка метода прогнозирования вероятных угроз информационной безопасности; о разработка методики построения системы защиты современных объектов ИТ и ТКС на основе модели анализа «хакерских» конференций и метода прогнозирования вероятных угроз информационной безопасности.

Объект и предмет исследования

Объектом исследования являются элементы, составляющие • «хакерскую» конференцию: объекты и субъекты конференции, используемые на ней методы защиты информации, угрозы информационной безопасности.

Предмет исследования — инструментарий, позволяющий смоделировать и формализовать процесс функционирования конференции для прогнозирования вероятных угроз информационной безопасности.

Методы исследования

Для решения поставленных задач были использованы методы математической логики, моделирования и графо-аналитические методы.

Научная новизна

Научная новизна работы состоит в том, что для прогнозирования вероятных угроз, для улучшения точности прогнозов и повышения качества средств защиты информации предлагается модель оценки и анализа «хакерских» конференций, отличающаяся от существующих формализованным представлением конференции на основе опыта по организации соревнований «Capture the Flag»).

Практическая ценность

Работа определяет способ получения оценок вероятности возникновения угроз, силы атак, а также величин риска информационной безопасности. Результаты, полученные при помощи метода определения вероятности возникновения атак, можно применять как самостоятельно при исследовании глобального поля угроз, так и для формирования адаптивной системы защиты информации, учитывающей силу и вероятность возникновения атак, направленных на определенные типы уязвимостей [37, 38].

Данная работы может быть полезна специалистам по защите информации для построения системы обеспечения информационной безопасности, аналитиком в данной области, а так же специалистам по страхованию информации для определения рисков.

Структура работы

Диссертация состоит из введения, четырех глав, заключения и списка литературы.

ЗАКЛЮЧЕНИЕ

Результатом данного исследования является метод, позволяющий делать эффективные прогнозы как глобальных угроз информационной безопасности, так и возможного появления новых уязвимостей конкретных информационных систем и технологий.

В процессе исследования были достигнуты следующие результаты:

• Подготовлен обзор ведущих «хакерских» конференций, проанализировано их влияние на состояние информационной безопасности.

• Разработана аналитическая модель «хакерских» конференций.

• На основе модели разработан метод прогнозирования перспективных угроз информационной безопасности.

• На основе модели анализа «хакерских» конференций и метода прогнозирования перспективных угроз информационной безопасности разработана методика построения системы защиты объектов информатизации с учетом прогнозирования внешних угроз. Разработанный метод можно применять как самостоятельно при исследовании глобального поля угроз, так и для формирования адаптивной системы защиты информации, учитывающей силу и вероятность возникновения атак, направленных на определенные типы уязвимостей.

1. Атаки хакеров происходят примерно каждые 39 секунд // Код доступа: http://www.hackzone.ru/news/view/id/5204/

2. Вершинин М.В. Современные молодежные субкультуры: хакеры. // Код доступа: http://psyfactor.org/lib/vershinin4.htm

3. Громов И. Американские эксперты выявили самые популярные логины и пароли.// http://www.securelist.com/ru/weblog/27661/rss/weblog

4. Зосимовская Н. Инцидентами безопасности надо управлять// ИКС. — июнь 2009. №6. - С.65-66

5. Климовский А.А. К анализу подходов классификации компьютерных атак // Материалы международной научной конференции по проблемам безопасности и противодействия терроризму. — М.:МЦНМО, 2006 -480с.

6. Колегов Д. Н. , Чернушенко Ю. Н. , «О соревнованиях CTF по компьютерной безопасности», ПДМ, 2008, № 2, 81-83.// http://mi.mathnet.ru/pdm3 8

7. Марк ' Купцов RUCTF 2009. // Код доступа: http://www.kb.csu.ru/index.php/olimpiads/136-ructf-2009

8. Мешков Г. На сайте MySpace устранена серьезная уязвимость. 2007 г., http://security.compulenta.ru/328721/

9. Молчанов С. Актуальные угрозы в сфере электронного 6n3Heca.//Connect. август 2009. - С. 146-149

10. На Дефконе прошло соревнование по взлому беспроводных сетей //

11. Код доступа: http://www.securitylab.ru/news/215891 .php

12. На первом дне соревнований Pwn20wn были взломаны Safari, IE и Firefox, Новостной портал «Open NET» 19.03.2009г. Код доступа: http ://www. opennet.ru

13. Новостной портал «Internet Security» // Код доступа: www. internets е cur ity. ru

14. Новостной портал «Security Lab» //Код доступа: securitylab.ru

15. Основатель Black Hat вошел в состав Совета по национальной безопасности США // Новостной портал «Security Lab» 09.06.2009 г. // Код доступа: http://www.securitylab.ru/news/381086.php

16. Официальный сайт Корпорации по присвоению доменных имен и номеров в Интернете (ICANN) // Код доступа: http://blog.icann.org/about/

17. Официальный сайт конференции «ВА-Соп» // Код доступа: http://ba-con.com.ar/

18. Официальный сайт конференции «Blackhat» // Код доступа: www.blackhat.com

19. Официальный сайт конференции «CansecWest» // Код доступа: http://cansecwest.com/

20. Официальный сайт конференции «Chaos Computer Club» // Код доступа: www.ccc.de

21. Официальный сайт конференции «Defcon» // Код доступа: www.defcon.org

22. Официальный сайт конференции «EusecWest» // Код доступа: http://eusecwest.com/

23. Официальный сайт конференции «h2k2» // Код доступа: www.h2k2.net

24. Официальный сайт конференции «Hack in the Box» // Код доступа: www.hackinthebox. org

25. Официальный сайт конференции «Layerone» // Код доступа: www.layerone.info

26. Официальный сайт конференции «PacSec» // Код доступа: http://pacsec.jp/index.html

27. Официальный сайт конференции «Power of Community» // Код доступа: www.powerofcommunity. org

28. Официальный сайт конференции «RuCTFE 2009», // Код доступа: http://habrahabr.rU/blogs/infosecurity/75362/#habracut

29. Официальный сайт конференции «Тоогсоп» // Код доступа: www.toorcon.org

30. Официальный сайт конференции «What the hack?» // Код доступа: www. whatthehack. org

31. Официальный сайт конференции «y2hack» // Код доступа: www.y2hack.com

32. Риаллайфовые тусовки. // Журнал «Хакер» №2(062) 2004 г., стр. 102

33. Сердюк В.А. Анализ современных тенденций построения моделей информационных атак // Информационные технологии, №4, 2004.

34. Скляров И. Hack-Faq Журнал «Хакер» №1(097) 2007 г., стр. 62

35. Финкель Е. Интернет. 25. Израиль, 2007

36. Форритал Дж. Защита от хакеров Web-приложений. М.: Компания АйТи, ДМК-Пресс, 2006. 496с.

37. Фостер Дж. С. Защита от взлома. Сокеты, shell-код, эксплойты. ДМК Пресс, 2006. 784с.

38. Хусаинова Э.Р. Использование мультимедийного учебника как средства компьютерных технологий при обучении иностранному языку Научно-технический вестник СПбГУ ИТМО. Выпуск 36. Гуманитарные и экономические проблемы. - СПб: СПбГУ ИТМО, 2007. С. 199-203.

39. Хусаинова. Э.Р. Лингводидактический аспект использования интернет-ресурсов на занятиях по иностранному языку Гуманитарные исследования: Сборник научных трудов. - СПб.: ООО Издательство «Диалог», 2009. С. 158163.

40. Хусаинова Э.Р. Модель оценки угроз информационной безопасности на основе материалов хакерских конференций Научно-технический вестник СПб ГУ ИТМО №2, с. 104-107.

41. Хусаинова Э.Р. Модель угроз информационной безопасности на основе материалов хакерских конференций Труды VIII Ежегодной всероссийской конференции «Обеспечение информационной безопасности. Региональные аспекты» с. 10-11.

42. Хусаинова Э.Р. Прогнозирование угроз информационной безопасности на основе обзора хакерских конференций Труды XIV-й международнойи защиты информации». СПб: СПбГУ ИТМО, 2009. С.41-43.

43. Costanze Kurz Das anonyme Preisausschreiben. //die Datenschleuder. -2007.-№91.-S. 14-17

44. DEF CON 17 Post-con News // Код доступа: http://www.defcon.org/html/defcon-17/dc-17-index.html

45. HAR 2009Wiki // Код доступа: https://wiki.har2009.org/page/MainPage