автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Вероятностно-реляционные модели и алгоритмы обработки профиля уязвимостей пользователей при анализе защищенности персонала информационных систем от социоинженерных атак

ВЕРОЯТНОСТНО-РЕЛЯЦИОННЫЕ МОДЕЛИ И АЛГОРИТМЫ ОБРАБОТКИ ПРОФИЛЯ УЯЗВИМОСТЕЙ ПОЛЬЗОВАТЕЛЕЙ ПРИ АНАЛИЗЕ ЗАЩИЩЕННОСТИ ПЕРСОНАЛА ИНФОРМАЦИОННЫХ СИСТЕМ ОТ СОЦИОИНЖЕНЕРНЫХ АТАК

05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 1 4 Н0Я Ш

2013

005538а»I

005538397

Работа выполнена в лаборатории теоретических и междисциплинарных проблем информатики Федерального государственного бюджетного учреждения науки Санкт-Петербургского института информатики и автоматизации Российской академии наук и на кафедре информатики математико-механического факультета Санкт-Петербургского государственного университета.

Научный руководитель ТУЛУПЬЕВ Александр Львович,

доктор физико-математических наук, доцент, заведующий лабораторией теоретических и междисциплинарных проблем информатики Федерального государственного бюджетного учреждения науки Санкт-Петербургского института информатики и автоматизации Российской академии наук, профессор кафедры информатики Санкт-Петербургского государственного университета.

Официальные оппоненты ОСИПОВ Василий Юрьевич,

доктор технических наук, профессор, ведущий научный сотрудник лаборатории объектно-ориентированных геоинформационных систем Федерального государственного бюджетного учреждения науки Санкт-Петербургского института информатики и автоматизации Российской академии наук.

ГОНЧАРЕНКО Владимир Анатольевич,

кандидат технических наук, доцент, профессор кафедры информационно-вычислительных систем и сетей факультета информационного обеспечения и вычислительной техники (номер 6) Военно-космической академии им. А.Ф. Можайского.

Ведущая организация Федеральное государственное бюджетное образова-

тельное учреждение высшего профессионального образования Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики.

Защита диссертации состоится «29» ноября 2013 г. в 14:30 на заседании диссертационного совета Д.002.199.01 при Федеральном государственном бюджетном учреждении науки Санкт-Петербургском институте информатики и автоматизации Российской академии наук по адресу: 199178, Санкт-Петербург, В.О., 14 линия, 39.

С диссертацией можно ознакомиться в библиотеке Федерального государственного бюджетного учреждения науки Санкт-Петербургского института информатики и автоматизации Российской академии наук

Автореферат разослан «29» октября 2013 г.

Ученый секретарь

диссертационного совета Д.002.199.01 кандидат технических наук Л7" У^"" ' Ф.Г. Нестерук

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы исследований. В настоящее время одной из важнейших проблем в области обеспечения информационной безопасности является защита пользователей информационных систем от социоинженерных (социо-технических) атак. Рост числа инцидентов нарушения конфиденциальности информации из-за ошибок пользователей ставит особенно остро вопросы анализа защищенности пользователей от социоинженерных атак и выработки контрмер против таких атак.

В то же время, разработки в сфере информационной безопасности преимущественно концентрируются на реализации различных методов защиты информационных систем от программно-технических атак. Тем не менее, все больше исследователей и сотрудников отделов информационной безопасности (Кий A.B., Козленко A.B., Копчак Я.М., Котенко И.В., Разумов Л., Саенко И.Б., Собецкий И., , Харечкин П.В., Шоров A.B., Юсупов P.M., Abu-Musa A. A., Caldwell Т., Сох J., Dorothy D.E., Kawano М., Puhakainen P., Siponen M., Takemura Т., Umino А.) сталкиваются с проблемами защищенности пользователей информационных систем (ИС).

Существуют различные методы анализа защищенности программно-технической составляющей информационной системы. Наиболее яркими являются подходы, разработанные И.В. Котенко и под его руководством М.В. Степашкиным и A.A. Чечулиным, базирующиеся на формировании и анализе деревьев атак, а также подходов, основанных на SIEM-системах. Эти подходы признаны специалистами в области информационной безопасности, однако они не предоставляют методов оценки потенциально возможных последствий киберпреступлений, сопряженных с социоинже-нерными атаками на пользователей информационных систем, хотя такие методы могли бы внести существенный вклад в обеспечение информационной безопасности предприятия. Представляется актуальным развить эти подходы и обобщить их с целью обеспечения анализа защищенности пользователей информационных систем от социоинженерных атак. В данный момент выявление утечек конфиденциальной информации по вине пользователей происходит постфактум, когда урон организации уже нанесен. Получение актуальной информации о защищенности пользователей и рисках информационной безопасности, связанных с ними, крайне важно по двум причинам:

• руководителю организации необходимо иметь средства для самостоятельного, в значительной степени независимого измерения степени защищенности персонала, задействованного в бизнес-процессах, протекающих в его организации, от социоинженерных атак, а не полностью полагаться на специалистов из служб безопасности и информационной безопасности,

• руководителю организации необходимо оценивать затраты на проведение комплекса мер по обеспечению/актуализации защиты от социоинженерных (социо-технических) атак с учетом его ожидаемой эффективности, а также обладать по возможности исчерпывающей информацией о преимуществах внедрения данного комплекса.

Таким образом, актуальной является проблема развития (формирования) подходов, моделей, методов и алгоритмов автоматизированного анализа защищенности пользователей информационных систем от социоинженерных атак, что будет способствовать созданию комплекса программ, которые учитывают более широкую номенклатуру факторов в мониторинге уровня защищенности информационных систем.

Степень разработанности. Специалисты в области информационной безопасности концентрируются на защите программно-технической составляющей информационных систем. Среди них особое место занимают достижения школы И.В. Котенко — а именно подход, базирующийся на формировании и анализе деревьев атак — алгоритмы деревьев атак допускают обобщения, позволяющие учитывать угрозы, создаваемые социо-инженерными атаками. Кроме того, стоит отметить системы контроля поведения пользователей информационной системы, работа которых предусматривает создание модели поведения пользователей на основе накапливающейся статистической инфор-

мации: в случае, если реальное поведение пользователя отличается от моделируемого, происходит рекомендация блокировки деятельности пользователя. Очевидными недостатками подобного подхода является обнаружение нарушения конфиденциальности данных постфактум, а также то, что в подобном подходе не предусмотрена оценка уровня защищенности критичной информации, содержащейся в информационной системе.

Целью исследования является развитие существующего подхода к анализу защищенности информационных систем, основанного на исследовании деревьев атак, за счет реализации возможности учета пользователей информационных систем, структуры социальных связей таких пользователей и их доступа к элементам информационных систем, профиля уязвимостей пользователей, а также особенностей доступа к хранящимся в системе документам, обладающих определенными уровнями критичности. Предложенная формализация основана, в частности, на предположении что защищенность пользователей информационных систем содержательно может быть оценена только в контексте оценок защищенности критичных документов либо производных от таких оценок выделенных характеристик.

Для достижения указанной цели в диссертационной работе поставлены и решены следующие задачи:

• адаптировать и развить модели компонент, входящих в комплекс «информационная система - персонал - критичные документы», а также сформировать модели фрагмента профиля уязвимостей пользователя, и, дополнительно, модели связей степени проявления уязвимостей пользователей и степени выраженности психологических особенностей личности;

• разработать алгоритмы имитации социоинженерной атаки злоумышленника среди пользователей информационных систем, связи между которыми представлены в виде социального графа;

• разработать алгоритмы формирования совокупности возможных реализаций социоинженерных атак и построения оценки защищенности пользователей информационной системы по результатам анализа этой совокупности;

• реализовать указанные алгоритмы в программных модулях системы автоматизированного анализа защищенности пользователей информационных систем от социоинженерных атак.

Объектом исследования является анализ защищенности пользователей информационных систем от социоинженерных атак.

Предметом исследования являются модели, методы и алгоритмы автоматизированного анализа защищенности пользователей информационных систем от социоинженерных атак.

Научная новизна исследования заключается в следующем:

1. Разработаны информационные, реляционно-алгебраические, вероятностно-реляционные модели комплекса «информационная система - персонал - критические документы». Основным отличием данных моделей от используемых в анализе программно-технической защищенности информационных систем является формальное представление модели пользователей как вершин графа с уровнем выраженности уязвимостей пользователя, содержащихся в профиле уязвимостей пользователя, представление социальных связей между пользователями информационной системы как дуг графа, а также представление связей «пользователь - хост». Кроме того, разработанные модели при имитации социоинженерных атакующих воздействий учитывают исчерпание ресурсов злоумышленника, в отличие от методов анализа программно-технической защищенности информационных систем, которые используют такой параметр как квалификация злоумышленника, которая, вообще говоря, неисчерпаема.

2. Отличительной особенностью модели пользователя информационной системы является возможность представления недетерминированных связей степени

проявления уязвимостей пользователя и других характеристик пользователя. В качестве иллюстративного примера в настоящей диссертационной работе рассмотрены зависимости между уровнем выраженности уязвимостей пользователя и степенью проявления психологических особенностей личности.

3. Разработаны алгоритмы имитации распространения социоинженерных атак среди пользователей информационных систем. Отличительной особенностью данных алгоритмов является имитация атакующих действий злоумышленника и их распространения среди пользователей, представленных через граф социальных связей. Успех реализации (распространения) атакующего действия по вершинам и дугам данного графа недетерминирован (характеризуется вероятностью), что отличает предложенную модель от основывающихся на графах, строящихся при анализе программно-технической защищенности информационных систем, где успех атакующего воздействия на программно-технические компоненты информационной системы детерминирован.

4. Разработан алгоритм расчета оценки защищенности пользователей информационных систем от социоинженерных атак. Отличительной особенностью данного алгоритма является комплексный подход к оценке вероятности успеха имитации социоинженерного атакующего воздействия на пользователей информационных систем, состоящий в том, что происходит анализ степени выраженности уязвимостей пользователя, а также анализ социальных связей пользователей информационных систем, что, в том числе, позволяет получить оценку вероятности успеха злоумышленника в доступе к критичным документам через пользователей информационной системы.

Теоретическая и практическая значимость работы. Разработанные модели, методы и алгоритмы предназначены для оценки защищенности персонала, которая исходит из оценки защищенности критичных документов, доступных пользователям при рассмотрении социоинженерных атак злоумышленника на пользователей информационной системы. Рассматриваемый подход позволяет формализовать модель пользователя информационных систем с помощью индивидуального профиля уязвимостей пользователя информационной системы, допускающего представление и обработку связей между степенью проявления уязвимостей пользователя и уровнем выраженности психологических особенностей личности (термин «профиль уязвимостей пользователя» сформирован по аналогии с такими терминами, как, например, «профиль психологических особенностей личности» и «профиль психологической защиты личности» использующимися в психологических науках). Рассматриваемые модели и методы создают основания для проведения превентивных мер защиты конфиденциальной информации, позволяют смоделировать уязвимости пользователя и впоследствии разработать ряд управленческих мер для снижения степени проявления данных уязвимостей. Рассматриваемые модели и методы позволяют создать комплекс программ, автоматизирующий анализ защищенности пользователей информационных систем от социоинженерных атак злоумышленника. Предлагаемый подход позволяет формулировать новые задачи по исследованию отношений между уровнем выраженности психологических особенностей личности и степенью проявления уязвимостей пользователя, обеспечивая представление таких связей для последующего использования их в комплексе программ, позволяющем автоматизировано оценивать степень защищенности критичных документов в информационной системе. Наконец, рассматриваемые модели и методы позволяют создать комплекс программ, автоматизирующий анализ защищенности пользователей информационных систем от социоинженерных атак злоумышленника.

Кроме того, разработанные модели и методы создают предпосылки для создания базы данных уязвимостей пользователей, которая может быть использована аналогично имеющимся базам данных уязвимостей программно-технического комплекса, например ОБХ/ОВ1 или Предлагаемый подход формирует основу для проведения

1OSVDB. URL: http://direct.osvdb.org/(дата обращения 01.10.2113)

2 NVD. URL: http://nvd.nist.gov/ (дата обращения 01.10.2113)

мониторинга пользователей информационных систем на постоянной основе с целью выявления наиболее критичных уязвимостей пользователя и, в последствии, для осуществления превентивных мер обеспечения безопасности пользователей информационных систем.

Разработанные в рамках диссертационной работы модели, методы и алгоритмы используются в исследованиях, проводимых в настоящее время лабораторией теоретических и междисциплинарных проблем информатики в Санкт-Петербургском институте информатики и автоматизации Российской академии наук в рамках бюджетных научно-исследовательских работ. В том числе, грант РФФИ на 2010-2012 гг., проект № 10-01-00640-а «Интеллектуальные модели и методы анализа защищенности информационных систем от социоинженерных атак (деревья атак)», грант СПбГУ на 2011-2013 гг. Проект №6.38.72.2011 «Моделирование комплексов «информационная система-персонал» для агрегированной оценки их готовности к отражению социоинженерных атак», фант РФФИ на 2012 г., проект № 12-01-16040-моб_з_рос «Научный проект "Комплекс программ для анализа защищенности пользователей информационных систем с учетом их психологически обусловленных уязвимостей" для представления на научном мероприятии 1-й Международный симпозиум "Гибридные и синергетические интеллектуальные системы: теория и практика (ГИСИС'2012)"», грант Правительства Санкт-Петербурга для победителей конкурса фантов Санкт-Петербурга для студентов, аспирантов, молодых ученых, молодых кандидатов наук 2011 г. Соискатель является победителем конкурса на получение стипендии Президента Российской Федерации (пр. 747/4 от 21.03.2012), Победитель конкурса на получение стипендии Правительства Российской федерации (пр. 874 от 29.10.2012).

Полученные в работе результаты можно использовать для моделирования и анализа степени защищенности комплекса «информационная система - персонал -критичные документы» от социоинжененых атакующих воздействий злоумышленника.

Методология и методы исследования. Методологическую основу диссертации составили принципы моделирования изучаемых систем, позволяющие представлять их в виде математических и/или информационных моделей, исследование которых далее может быть осуществлено традиционными методами математики и информатики.

Методы исследования, используемые в диссертации, относятся к методам реляционной алгебры, теории вероятностей, теории графов, а также, частично — в задаче имитации социоинженерных атакующих воздействий злоумышленника — имитационному моделированию.

Положения, выносимые на защиту

• Модели комплекса «информационная система - персонал - критичные документы»,

• Алгоритмы имитации распространения социоинженерных атак среди пользователей информационных систем, представленных графом социальных связей,

• Алгоритм имитации социоинженерной атаки, с последующей оценкой степени защищенности пользователей информационных систем, зависящей от степени выраженности уязвимостей пользователя,

• Компоненты комплекса программ, реализующие алгоритмы, автоматизированного анализа достижимости критичных документов и защищенности пользователей информационных систем от социоинженерных атакующих воздействий злоумышленника.

Степень достоверности и апробация результатов. Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается тщательным анализом состояния исследований в области и в смежных областях (искусственный интеллект, обработка знаний с неопределенностью), подтверждается опытной эксплуатацией программ, реализующих алгоритмы, основанные на теоретических результатах, полученных в диссертационном исследовании. Основные положения и результаты диссертационной работы докладывались на следующих научных и научно-практических конференциях: 1) Научная сессия МИФИ-2011, г. Москва, 2011 г.; 2) VII

Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР-2011)», г. Санкт-Петербург, 2011г.; 3) Современные информационные технологии и ИТ-образование, г. Москва, 2011г.; 4) 1-й Международный симпозиум «Гибридные и синергетические интеллектуальные системы: теория и практика», Калининградская обл, г. Светлогорск, 2012 г.; 5) С.П.И.С.O.K. - 2012: Материалы всероссийской научной конференции по проблемам информатики, г. Санкт-Петербург, 2012 г.; 6) VI Международная научно-техническая конференция молодых специалистов, аспирантов и студентов «Математическое и компьютерное моделирование естественнонаучных и социальных проблем», г. Пенза, 2012 г.; 7) XV Международная конференция по мягким вычислениям и измерениям. SCM-2012, г. Санкт-Петербург, 2012 г.; 8) XIII Санкт-Петербургская международная конференция. Региональная информатика-2012 (РИ-2012). г. Санкт-Петербург, 2012 г.; 9) Научная сессия НИЯУ МИФИ-2013, г. Москва, 2013 г.; 10) Современные проблемы математики. Тезисы Международной (44-я Всероссийской) молодежной школы-конференции, г. Екатеринбург, 2013 г.; 11) Вторая Международная научно-практическая конференция "Социальный компьютинг, технологии развития, социально-гуманитарные эффекты" (ISC-13), г. Москва, 2013 г. 12) С.П.И.С.О.К. -2013: Материалы всероссийской научной конференции по проблемам информатики, г. Санкт-Петербург, 2013 г.

Публикации. По теме диссертации было сделано 59 публикаций и приравненных к ним научных работ. Из них 11 статей (из которых 3 единоличных) в изданиях из «Перечня рецензируемых научных журналов и изданий для опубликования основных научных результатов», утвержденного ВАК, 14 статей и докладов на научных конференциях (из которых 6 единоличных), 15 тезисов докладов на научных конференциях, 12 зарегистрированных программ ЭВМ и алгоритмов (3 — в РОСПАТЕНТе и 9 в ОФЭР-НиО/ЦИТиСе). Материалы диссертационного исследования вошли в 7 прошедших госрегистрацию в ЦИТиС научных отчетов.

Личный вклад Азарова A.A. в ключевые публикации с соавторами кратко характеризуется следующим образом: в [1, 13, 14] ему принадлежит формализация информационных моделей комплекса «информационная система - персонал - критичные документы»; в [2, 22, 23, 24, 25] — формализованное представление пользователей информационных систем и степени выраженности их психологических характеристик; в [3, 5, 7, 19]— основные модели комплекса «информационная система - персонал -критичные документы», представленные с помощью вероятностно-реляционных и реляционно-алгебраических моделей; в [4, 15, 17, 18]— описание работы прототипа комплекса программ, описание работы основных функций такого комплекса программ; в [26-38] — представление результатов работы прототипа комплекса программ, формализованное описание работы основных модулей прототипа комплекса программ; в [9] — алгоритмы распространения социо-инженерного атакующего воздействия злоумышленника среди пользователей информационной системы, представленных в виде графа социальных связей пользователей, а также результаты, согласованные с изложенными в публикациях.

Структура диссертации. Диссертация состоит из введения, четырех глав, заключения, списка литературы из более чем 150 наименований. Общий объем диссертационной работы — 232 страницы. В приложении приведен глоссарий и свидетельства о регистрации программных продуктов и баз данных.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность диссертационного исследования, описывается степень разработанности его темы, цель и задачи, объект и предмет исследования, методология и методы исследования, научная новизна, обоснованность и достоверность полученных результатов, теоретическая и практическая значимость исследования, а также апробация, приведены характеристики структуры диссертации.

В первой главе содержится описание теоретических и методологических аспектов анализа защищенности пользователей информационных систем от социоинженер-ных атак. Также приведен обзор различных методик анализа действий пользователей в системе с целью выявления угрозообразующего поведения, а именно: функционально-ролевой модели разграничения доступа в социотехнических информационных системах на основе среды радикалов и выявлением аномального поведения пользователя относительно его предшествующего поведения в информационной системе. Кроме того, рассмотрены методы выявления достаточных для работы с критичной информацией прав пользователей, таких как способ снижения вероятности успеха реализации угроз нарушения конфиденциальности информации. Отмечаются недостатки данных подходов, в частности, они не предлагают мер диагностики и профилактики деструктивного поведения пользователей, а также их применение крайне затруднительно в реалиях современного бизнеса.

Анализ предметной области обеспечения информационной безопасности информационных систем выявил потребность в автоматизированных оценках и мониторинге степени защищенности пользователей информационных систем от социоинже-нерных атак. Рядом исследователей (Кий A.B., Козленко A.B., Копчак Я.М., Котенко И.В., Разумов Л., Саенко И.Б., Собецкий И., Харечкин П.В., Шоров A.B., Юсупов P.M., Abu-Musa A. A., Caldwell Т., Сох J., Dorothy D.E., Kawano М., Puhakainen P., Siponen M., Takemura Т., Umino А.) подчеркивается необходимость защиты пользователей информационных систем от социоинженерных атак, а также защиты информационных систем от инсайдерских атак пользователей. В публикациях по указанной тематике отмечается, отсутствие проработанных, эффективных методик степени анализа защищенности пользователей информационных систем и методик, которые бы содержали научно обоснованные превентивные меры снижения риска нарушения защиты конфиденциальной информации, хранящейся в информационной системе, при реализации социоинженерных атак в отношении ее пользователей.

Вторая глава посвящена рассмотрению первого теоретического результата диссертации — четырем предложенным моделям комплекса «информационная система - персонал - критичные документы»: информационные модели, реляционно-алгебраические модели и вероятностные графические модели (байесовских сетей доверия).

С точки зрения цели работы, предлагается рассматривать модель структуры комплекса «информационная система - персонал - критичные документы» в виде графа (V,E). В этом графе вершинами выступают программно-технические устройства (хосты) и пользователи информационной системы, а ребра отвечают за представлеие набора связей каждого отдельного пользователя с программно-техническими устройствами информационной системы, а также связей между устройствами и между пользователями.

Атрибуты (пометки) графа соответствуют существенным свойствам пользователей и программно-технических устройств (хостов) информационной системы. Моделям пользователей информационных систем, ассоциированным с вершинами описанного графа, сопоставлены следующие атрибуты (пометки):

• множество устройств, к которым у данного пользователя есть доступ (данный пункт также подразумевает доступ к конфиденциальной информации, которая хранится на данных устройствах);

• права доступа пользователя к конфиденциальной информации;

• должность пользователя;

• права доступа пользователя к контролируемым зонам;

• профиль уязвимостей пользователя, содержащий уровень выраженности уязви-мостей пользователя.

Моделям хостов информационной системы, ассоциированным с вершинам описанного графа, сопоставлены следующие атрибуты (пометки):

• критичные документы, хранящиеся на устройствах;

• программно-технические характеристики устройств;

• местоположение программно-технических устройств (хостов) относительно контролируемых зон информационной системы.

Информационная модель тесно связана с двумя другими математическими моделями — вероятностно-реляционной и реляционно-алгебраической. Так реляционно-алгебраическая модель, используемая для анализа степени защищенности пользователей информационных систем от социоинженерных атакующих воздействий злоумышленника, состоит из следующих компонент: I — критичная информация (система документов), характеризующаяся критичностью, Я — хосты, характеризующиеся программно-техническим наполнением и связями, V — пользователей, характеризующихся профилем уязвимостей пользователя, А — атакующие действия злоумышленника, а также Я — ресурсы злоумышленника. Рассматриваются несколько декартовых произведений вида Ахи, Нхи , С/х/ , над которыми заданы отношения между указанными сущностями и вероятностные оценки переходов (распространения атаки) от сущности к сущности в случае имитации социоинженерных атакующих действий злоумышленника.

В отличие от реляционно-алгебраической модели, вероятностно-реляционная модель учитывает стохастический (случайный) характер успешности социоинженерного атакующего воздействия злоумышленника на пользователей информационных систем. В рамках этой модели профиль уязвимостей пользователя содержит уровни выраженности уязвимостей пользователя и формализуется как трехмерный массив. В зависимости от уровня выраженности уязвимостей пользователя ответные реакции пользователя на социоинженерные атакующие воздействия злоумышленника имеют различную вероятность, обозначаемую как р¡^, где к — определенный пользователь информационной системы, г — определенная уязвимость этого пользователя, содержащаяся в профиле уязвимостей пользователя, а у — определенное социоинженерное атакующее воздействие злоумышленника, направленное на данную уязвимость пользователя.

В случае, если была задана функция р# — вероятность доступа к хосту у пользователя, вводится функция РН(Ъ,1), которая определяется следующим образом:

PH(hj>hj+\)

j:hj,hj+ie{h,}

т.е. вероятность достижения атакой узла, содержащего информацию / в случае, если начальной точкой имитации распространения атаки злоумышленника является пользователь, имеющий доступ к хосту h .

Если заданы вероятности переходов, характеризующие переходы среди пользователей информационных систем, представленных виде графа социальных связей пользователей, вершины которого представляют собой оценки уровня выраженности уязвимостей пользователя, и отношение достижимости информации I через хосты h , то введем вероятность достижения узла, содержащего информацию I, пользователем и следующим образом:

Pj(u,l)= £ Pu{»,Pijk)-PH{haJY uaeU,

(p,jt~hayUH

Кроме того, представленные модели также описаны в виде реляционных таблиц, что позволяет рассчитывать определенные характеристики уровня защищенности информационной систем за счет особым образом построенных SQL запросов.

Система моделей, представленная в виде байесовских сетей доверия, содержит набор F (feature) психологических особенности человека. Элементы относящиеся к профилю уязвимостей пользователя, содержатся в V (vulnerability). А атакующие действия злоумышленника, направленные на индивида (через его уязвимости) представлены в Л (attack). Подконтрольность индивида в случае успешной психологической атаки обозначается С (например, готовность пользователя получать доступ через информационную сеть, воздействовать на других пользователей, и т.д.). В модели задается сеть, в которой априорные распределения для психологических особенностей и атакующих действий извлекаются из степени проявления уязвимостей, включенных в профиль уязвимостей, а также из экспертных оценок наиболее вероятных атакующих воздействий злоумышленника — т.е. носят статистический характер. Построенная таким образом модель позволяет формализовать процесс осуществления общей социоинженерной атаки по отношению к «усредненному» сотруднику. Такая сеть представлена на рисунке 1. Вероятность подконтрольности индивида злоумышленнику после социоинженерных атакующих воздействий злоумышленника будет р{Ск \R,......^Л,.,,...,^,).

Описание информационных и реляционно-алгебраических моделей снабжено примером их применения в имитации социоинженерных атакующих действий злоумышленника на пользователей информационной системы.

Ключевой особенностью каждого подхода к моделированию комплекса является соответствующим образом формализованный профиль уязвимостей пользователя. Профиль уязвимостей пользователя позволяет расширить подход к анализу программно-технической защищенности информационных систем на основании рассмотрения алгоритмов деревьев атак, за счет перехода от знаний о хостах, «поведение», или, скорее, реакции которых детерминированы, и их уязвимостей к знаниям о пользователях, и недетерминированным связям между ними, которые позволяет отобразить профиль уязвимостей пользователя. Основой формализованной модели пользователя являются модели степени проявления уязвимостей пользователя.

Рисунок 1. «Обобщенная» байесовская сеть доверия для моделирования атакующих действий на пользователя

Дополнительно рассмотрены модели, в которых учитываются связи уровня выраженности уязвимостей пользователя и степенью проявления психологических особенностей личности. Такие связи моделируются на основании линейных регрессионных уравнений (относящееся к области психологических наук отбор и описание атрибутов личности пользователей, а также интерпретация связей между ними, используемых в этой модели, вынесены в приложении 3 к диссертации).

Третья глава диссертации содержит основные результаты настоящей работы, выносимые на защиту. Эти результаты связанны с алгоритмизацией имитации социоин-

женерных атак злоумышленника в контексте информационных и реляционно-алгебраических моделей.

Набор алгоритмов, ассоциированный с реляционно-алгебраическими моделями, включает в себя алгоритм поиска всевозможных ациклических путей в графе социальных связей пользователя, алгоритм обхода в ширину социальных связей пользователя и усовершенствованный алгоритм обхода в ширину графов социальных связей. Входными данными для этого набора алгоритмов являются оценки уровня выраженности уязвимостей пользователя, содержащихся в модели профиля уязвимостей пользователей, и идентификатор пользователя, для которого производится анализ подверженности социоинженерным атакующим воздействиям злоумышленника за счет имитации атаки: Р, — вероятность успешности атаки на ; -того сотрудника, если у злоумышленника есть на него выход. Р^ — вероятность выхода злоумышленника на пользователя у через пользователя / если пользователь г уже успешно атакован. Результатами работы данных алгоритмов является вычисление вероятности того, что злоумышленнику от пользователя т удастся перейти по графу социальных связей пользователей до пользователя у через пользователей ^(данный путь обозначается как

/я-...-/¿-...-у):

п-1

>'»'■■■ ч ■■-}=} ■где''=т=у •

4=1

Теперь, когда у нас есть алгоритм для расчета вероятности атаки на данного пользователя у через цепь пользователей, вычислим оценку вероятности успеха атаки

через несколько альтернативных цепей пользователей Р,:

к

1=1

Во втором и третьем алгоритмах из представленного набора введено условное ранжирование пользователей по уровням. Утверждение «Пользователи находятся на одном уровне» значит, что длина минимального пути в графе межличностных связей между первой жертвой злоумышленника и данными пользователями одинакова. «Уровень ниже», соответственно обозначает, что длина минимального пути у пользователей, находящихся на этом уровне, на одно ребро больше.

В основе второго алгоритма лежит обход в ширину графа социальных связей пользователей информационных систем, где для каждого сотрудника вычисляется вероятность успешности проведения социоинженерной атаки через него на всех пользователей, с которыми у вершины, ассоциированной с данным пользователем, есть ребро в графе социальных связей пользователей информационной системы. Причем учитываются только связи с пользователями, находящимися на одном уровне с рассматриваемым сотрудником, и с пользователями, находящимися на уровнях ниже.

Основным отличием третьего алгоритма от второго является имитация распространения социоинженерной атаки на пользователей в направлении от сотрудников с меньшими номерами их уровня. Причем пользователи учитываются в порядке их просмотра и подсчета вероятности успеха имитируемого социоинженерного атакующего воздействия злоумышленника на них.

В диссертации разработаны алгоритмы расчетов оценки степени защищенности пользователей информационных систем от социоинженерных атак, которые в значительной степени опираются на известные алгоритмы обхода графов. Вычисление оценки степени защищенности осуществляются пошагово при обходе соответствующих графов социальных связей пользователей информационной системы. Здесь и далее, когда мы говорим о вычислительной сложности описываемых алгоритмов, мы считаем, что

для представления чисел имеет фиксированный размер, а сложность операций с ними задается константой. Вычислительная сложность основного алгоритма линейно зависит от каждого из двух параметров, характеризующих объем исходных данных, в отдельности: числа пользователей и числа межличностных связей пользователей, и пропорциональна их произведению.

Сложность алгоритма поиска всевозможных путей в графе составляет

О

где и — количество пользователей в системе, а т1 — количество меж-

i=i

личностных связей у пользователя /. Сложность алгоритма обхода в ширину графа межличностных связей пользователя составляет 0(nmax,=i Л(т,)), где и —количество пользователей в системе, а /я, — количество межличностных связей у пользователя <. Сложность усовершенствованного алгоритма обхода в ширину графа межличностных связей пользователя составляет 0(«min,=i л(и,т,)), где л — количество пользователей в системе, а щ — количество межличностных связей у пользователя i. Исходя из того, что во всех трех подходах в формуле вычисления сложности алгоритма присутствует п, различие в конечном показателе вычислительной сложности кроется во вто-

п

ром члене произведения. В первом алгоритме это ^^т, , во втором max,=i л(т,), а в

г=1

третьем min,_i л (п, т,). Можно заметить, что

п

УХ >max,=1 „(m;)>mini=1 „(п,ш;) .

/=1

Таким образом, за счет модифицированных методов, аппроксимирующих оценки степени защищенности пользователей (то есть за счет уменьшения точности оценок), создаются предпосылки к уменьшению времени, требуемого для анализа защищенности пользователей информационных систем от социоинженерных атакующих воздействий злоумышленника, и, таким образом, ускорению работы соответствующего комплекса программ.

Второй набор алгоритмов (рисунок 2) содержит модификацию алгоритма деревьев атак в случае социоинженерных атак злоумышленника по рекомпенсационному принципу, а также усовершенствованный алгоритм. Основным отличием данных алгоритмов является использование более развитого профиля уязвимостей пользователя при моделировании дерева социоинженерных атак на пользователей информационной системы.

Входными параметрами для алгоритма имитации атаки служат критичный документ, необходимый злоумышленнику, идентификатор пользователя, на которого совершается атака и ресурсы злоумышленника, с помощью которых он может склонять пользователей к совершению противоправных действий. Результатом работы первого алгоритма является бинарная оценка успешности имитации социоинженерной атаки злоумышленника, и, в случае успешности такой атаки, генерация дерева атак, отображающего всех пользователей, попавших под воздействие злоумышленника, и все критичные документы, которые стали доступны злоумышленнику помимо искомого. Во втором алгоритме результатом работы является оценка вероятности успеха имитируемой социоинженерной атаки злоумышленника на пользователей информационных систем, а также генерация дерева атак, отображающего всех пользователей, попавших под воздействие злоумышленника, и все критичные документы, которые стали доступны злоумышленнику помимо искомого.

Рисунок 2. Блок-схема алгоритмов имитации социоинженерной атаки злоумышленника на пользователей информационной системы (упрощенно).

Наконец, рассмотрены подходы к получению характеристик точности вычисляемых оценок защищенности.

Все перечисленные наборы алгоритмов получили описанную в четвертой главе диссертации программную реализацию в виде прототипа комплекса программ для автоматизированного анализа защищенности пользователей информационных систем от социоинженерных атак злоумышленника. Он используется для апробации указанных алгоритмов, визуализации входных и выходных данных и проведения вычислительных экспериментов. С помощью этого прототипа иллюстрируется применение теоретических результатов диссертации в автоматизированном анализе защищенности пользователей информационных систем. Структура прототипа комплекса программ включает в себя базу данных и семь программных модулей, упомянутых ниже.

Модуль связи с базой данных необходим для создания, модификации, сохранения или загрузки имеющихся данных о моделях компонент информационной системы и модели самой информационной системы.

Модуль создания и наполнения моделей компонент информационной системы позволяет пользователю занести имеющуюся информацию о существующих моделях информационной системы в базу данных.

В модуле визуализации модели информационной системы информационная система представлена в виде графа, описанного во второй главе настоящей работы, вершинами которого выступают пользователи и программно-технические устройства (хосты) системы, а дугами обозначается доступ пользователей к программно-техническим устройствам информационной системы, а также связи между такими устройствами. С вершинами-хостами ассоциированы документы с различными аспектами критичности (целостность, доступность, конфиденциальность), которые снабжены оценками.

itjcamp iSior.c

im

РК Ш.

FK2 FK1 i«i comp..х iii camp у

îotrudei_sutcess

РК iа

'«)_уЫпегзЬШ1у i(J_»ser_v«lnefab!iity_fai:e intfUCti?f'i_3C.(iOA P_success

M>ne„access

PK Щ.

FKÎ FK2 id_us«fs_jgroups id_zone user's_acc«ss iisei,s_rights

Vui«eraW!fty

PK Щ.

vulnerability iotmder_aetiûn

id^docii nient id_user

id_C(tmp

id_user_gr0iip

U ersGroup

PK ID

M,™

id_oser ïci„ifS«r_group

Рисунок 3. Структура связей основных таблиц используемой в комплексе программ базы данных.

Модуль оценки уровня выраженности уязвимостей пользователя на основе степени проявления психологических особенностей личности используется для формирования модели индивидуального профиля уязвимостей для каждого сотрудника организации.

Модуль имитации распространения социоинженерной атаки злоумышленника среди пользователей информационных систем, связи между которыми представлены в виде графа социальных связей, а вершинами этого графа являются модели профиля уязвимостей пользователя, позволяет получать оценки защищенности пользователей информационных систем согласно уровню выраженности уязвимостей пользователей, указанных в моделях профиля уязвимостей пользователя. В данном модуле используется реляционно-алгебраическое представление моделей комплекса «информационная система - персонал - критичные документы», рассмотренное во второй главе диссертации.

Модуль имитации социоинженерной атаки злоумышленника на пользователей информационной системы, с учетом профиля уязвимостей пользователя, обеспечивает визуализацию дерева имитированной социоинженерной атаки злоумышленника.

Модуль выделения групп пользователей информационной системы предназначен для последующей работы с группами пользователей со специфичными различиями по зонам доступа.

В комплекс программ включена база данных (рисунок 3), основанная на реализации реляционно-алгебраических моделей, представленных в виде системы таблиц СУБД (MS Access, MySQL).

Программный комплекс реализован на языках С# и MySQL, работает с базой данных Microsoft Access 2010 и MySQL Server 2010, содержит более 10 тысяч строк кода при числе классов более 50.

ЗАКЛЮЧЕНИЕ

В заключении приведены выводы, раскрывающие основные научные результаты, выносимые на защиту. В области обеспечения информационной безопасности разработка методов, моделей, алгоритмов и программного обеспечения для автоматизации анализа и оценки степени защищенности пользователей информационных систем от социоинженерных атак является одной из нерешенных, наиболее актуальных проблем. На основе развития подхода, базирующегося на формировании и анализе деревьев

атак (И.В. Котенко, М.В. Степашкин, A.A. Чечулин), в данной диссертационной работе предложен новый подход к анализу защищенности комплекса «информационная система — персонал — критичные документы» от социоинженерных атак злоумышленника, нашедший отражение в следующих результатах диссертационной работы:

1. Разработаны формализованные описания данных моделей комплекса «информационная система - персонал - критичные документы». Представлен ряд различных моделей, а именно информационные, реляционно-алгебраические, вероятностно-реляционные и вероятностные графические модели (байесовские сети доверия) для представления комплекса информационная система — персонал — критичные документы» и его компонент. Кроме того, учитывается профиль уязвимостей пользователя, построенный на основе психологических особенностях личности пользователей.

2. Разработан алгоритм имитации социоинженерной атаки, зависящий от степени выраженности уязвимостей пользователя. Данный алгоритм использует адаптированный алгоритм деревьев атак, который успешно применяется для анализа защищенности программно-технической составляющей информационных систем. _____

3. Разработаны следующие наборы алгоритмов: набор алгоритмов, ассоциированный с реляционно-алгебраическими моделями включает в себя алгоритм поиска всевозможных ациклических путей в графе социальных связей пользователя, алгоритм обхода в ширину социальных связей пользователя и усовершенствованный алгоритм обхода в ширину графов социальных связей и набору алгоритмов, содержащих модификацию алгоритма деревьев атак на случай социоинженерных атак злоумышленника по рекомпенсационному принципу, а также один усовершенствованный алгоритм, отличающийся включением в анализ защищенности пользователей степени проявления уязвимостей пользователя. Получены оценки сложности указанных алгоритмов.

4. Реализован прототип комплекса программ позволяющий на основе указанных выше алгоритмов проводить автоматизированный анализ защищенности пользователей информационных систем от социоинженерных атакующих воздействий злоумышленника на основе данных о ресурсах злоумышленника, компонент комплекса «информационная система — персонал — критичные документы» и профиля уязвимостей пользователя.

Совокупность полученных результатов позволит не только анализировать и оценивать риски нарушения информационной безопасности, ассоциированной с ранее не учитывавшимися факторами — социоинженерными атаками, но и совершенствовать средства обеспечения информационной безопасности, в частности организационное обеспечение: своевременно учитывать изменения уровня защищенности критичных документов в информационной системе в зависимости от ротации кадров (то есть изменения состава пользователей и отношений между ними).

СПИСОК РАБОТ, ОПУБЛИКОВАННЫХ АВТОРОМ ПО ТЕМЕ ДИССЕРТАЦИИ

Статьи, опубликованные в изданиях из «Перечня рецензируемых научных журналов и изданий для опубликования основных научных результатов»

1. Ванюшичева О.Ю., Тулупьева Т.В., Пащенко А.Е., Тулупьев А.Л., Азаров A.A. Количественные измерения поведенческих проявлений уязвимостей пользователя, ассоциированных с социоинженерными атаками. // Труды СПИИРАН. 2011. Вып. 19. С. 34-47.

2. Тулупьева Т.В., Тулупьев А.Л., Азаров A.A., Пащенко А.Е.Психологическая защита как фактор уязвимости пользователя в контексте социоинженерных атак // Труды СПИИРАН. 2011. Вып. 18. С. 74-92.

3. Азаров A.A., Тулупьева Т.В., Фильченков A.A., Тулупьев А.Л. Вероятностно-реляционный подход к представлению модели комплекса «Информационная система - персонал - критичные документы». // Труды СПИИРАН. 2012. Вып. 20. С. 5771.

4. Азаров A.A., Тулупьева Т.В., Тулупьев А.Л. Прототип комплекса программ для анализа защищенности персонала информационных систем построенный на основе фрагмента профиля уязвимостей пользователя. // Труды СПИИРАН. 2012. Вып. 21. С. 21-40.

5. Азаров A.A., Тулупьев А.Л., Тулупьева T.B. SQL-представление реляционно-вероятностных моделей социоинженерных атак в задачах расчета агрегированных оценок защищенности персонала информационной системы // Труды СПИИРАН.

2012. Вып. 22. С. 31-44.

6. Азаров A.A. Основы мониторинга защищенности персонала информационных систем от социотехнических атак // Труды СПИИРАН. 2012. Вып. 4(23). С. 30-49.

7. Азаров A.A., Тулупьев А.Л., Соловцов Н.Б., Тулупьева Т.В. SQL-представление реляционно-вероятностных моделей социоинженерных атак в задачах расчета агрегированных оценок защищенности персонала информационной системы с учетом весов связей между пользователями // Труды СПИИРАН. 2013. Вып. 24. С. 41-53.

8. Азаров A.A. Анализ защищенности пользователей информационных систем на основе графических моделей, содержащих профили уязвимостей // Труды СПИИРАН.

2013. Вып. 24. С. 54Н55.

9. Азаров A.A., Тулупьев А.Л., Соловцов Н.Б., Тулупьева Т.В. Ускорение расчетов оценки защищенности пользователей информационной системы за счет элиминации маловероятных траекторий социоинженерных атак // Труды СПИИРАН. 2013. 2(25). С. 171-181.

10. Тулупьева Т.В., Тулупьев А.Л., Азаров A.A. Психологические аспекты оценки безопасности информации в контексте социоинженерных атак // Медико-биологические и социально-психологические проблемы безопасности в чрезвычайных ситуациях. 2013. №1(26). С. 77-83.

11. Азаров A.A. Моделирование профиля уязвимостей пользователя в задачах оценки защищенности от социоинженерных атак // Информационно-измерительные и управляющие системы. 2013. №9, т. 11. С. 49-52.

Научные статьи и доклады, опубликованные в других изданиях

12. Тулупьев А.Л., Азаров A.A., Тулупьева Т.В., Пащенко А.Е., Степашкин М.В.Социально-психологические факторы, влияющие на степень уязвимости пользователей автоматизированных информационных систем с точки зрения социоинженерных атак // Труды СПИИРАН. 2010. Вып. 1 (12). С. 200-214.

13. Тулупьев А.Л., Азаров A.A., Пащенко А.Е. Информационная модель пользователя, находящегося под угрозой социоинженерной атаки // Труды СПИИРАН. 2010. Вып. 2(13). С. 143-155.

14. Тулупьев А.Л., Азаров A.A., Пащенко А.Е. Информационные модели компонент комплекса «Информационная система - персонал», находящегося под угрозой социоинженерных атак // Труды СПИИРАН. 2010. Вып. 3 (14). С. 50-57.

15. Тулупьев А.Л., Азаров A.A., Тулупьева Т.В., Пащенко А.Е. Визуальный инструментарий для построения информационных моделей комплекса «информационная система - персонал», использующихся в имитации социоинженерных атак // Труды СПИИРАН. 2010. Вып. 4 (15). С. 231-245.

16. Азаров A.A. Разработка программного комплекса для анализа угроз безопасности информационных систем с учетом человеческого фактора // Каталог XIV Конкурса бизнес-идей, научно-технических разработок и научно-исследовательских проектов «Молодые, дерзкие, перспективные». СПб.: Лема. 2011. С. 27-28.

17. Азаров А. А., ТулупьеваТ.В., Тулупьев А.Л., Пащенко А.Е.Создание программного комплекса для анализа защищенности информационных систем с учетом человеческого фактора. II Современные информационные технологии и ИТ-образование. Сборник научных трудов VIMeждyнapoднoй научно-практической конференции. М: МГУ. 2011. С. 470-477.

18. Азаров A.A., Тулупьева Т.В., Тулупьев А.Л., Ванюшичева О.Ю. Комплекс программ для анализазащищенности пользователей информационных систем с учетом их

психологически обусловленных уязвимостей. // 1-й Международный симпозиум «Гибридные и синергетические интеллектуальные системы: теория и практика» (Светлогорск, 29 июня -2 июля 2012 г.) Материалы 1-го международного симпозиума. В 2 т. Т. 1 К.: БФУ им. И. Канта. 2012. С. 144-154.

19. Пащенко А.Е., Фильченков A.A., Тулупьев А.Л., Азаров A.A., Тулупьева Т.В. Вероят-носто-реляционный подход к представлению комплекса «информационная система - персонал - критичные документы» // 1-й Международный симпозиум «Гибридные и синергетические интеллектуальные системы: теория и практика» (Светлогорск, 29 июня -2 июля 2012 г.). Материалы 1-го международного симпозиума. В 2 т. Т. 2 К.: БФУ им. И. Канта. 2012. С. 30-40.

20. Азаров A.A., Тулупьева Т.В., Тулупьев А.Л. Агентоориентированный подход к моделированию комплекса «Информационная Система -Персонал - Злоумышленник»в задачах оценки защищенности от социоинженерных атак. // Список-2012: Материалы всероссийской научной конференции по проблемам информатики (25-27 апреля 2012 г., Санкт-Петербург). СПб.: ВВМ, 2012. С. 374-377.

21. Азаров A.A., Ванюшичева О.Ю. Синтез агрегированных оценок вероятности реакций пользователя в ответ на социоинженерное атакующее действие. II VI Международная научно-техническая конференция молодых специалистов, аспирантов и студентов «Математическое и компьютерное моделирование естественнонаучных и социальных проблем» (МК-70-912) (Пенза, 21-24 мая 2012 г.). П: Приволжский Дом Знаний. 2012. С. 117-120.

22. Тулупьев А.Л., Тулупьева Т.В., Азаров A.A., Григорьева О.Ю. Психологические особенности персонала, предрасполагающие к успешной реализации социоинженерных атак // Научные труды Северо-Западного института управления РАНХиГС. 2012. Т. 3, вып. 3(7). С. 256-266.

23. Тулупьева Т.В., Тулупьев А.Л., Азаров A.A., Пащенко А.Е. Особенности личности, лежащие в основе уязвимостей пользователей к социоинженерным атакам И Материалы Второй Международной научно-практической конференции "Социальный компьютинг, технологии развития, социально-гуманитарные эффекты" (ISC-13): сборник статей и тезисов. М.: Изд-во, 2013. С. 186-197.

24. Азаров A.A., Тулупьева Т.В., Фильченков A.A., Суворова A.B., Мусина В.Ф., Тулупьев А.Л. Защищенность пользователей информационных систем от социоинженерных атак: психологические аспекты // Материалы Второй Международной научно-практической конференции "Социальный компьютинг, технологии развития, социально-гуманитарные эффекты" (ISC-13): сборник статей и тезисов. М.: Изд-во, 2013. С. 207-218.

25. Азаров A.A. Модели комплекса «информационная система - персонал - критичные документы» при оценке защищенности пользователей информационных систем. // Список-2013: Материалы всероссийской научной конференции по проблемам информатики (23-26 апреля 2013 г., Санкт-Петербург). СПб.: ВВМ, 2013. С. 709-716.

Зарегистрированные программы для ЭВМ

26. Азаров A.A., Тулупьев А.Л., Тулупьева Т.В., Пащенко А.Е., Степашкин М.В. База данных структуры связей персонала и программно-технических компонент распределенной информационной системы Distributed Computer System Personnel, Software and Hardware Components Interlinks Structure Database, MDB Version 1 (D.C.S.P.S.H.I.S. DB mdb.v.1). // Свид. о гос. регистрации программы для ЭВМбазы данных. Per. № 20116200092 от 11.01.2011. Бюл. Программы для ЭВМ, Базы данных, Топологии интегральных микросхем. 2011. 2(75)(Зч.).С. 640.

27. Азаров A.A., Тулупьев А.Л., Тулупьева Т.В., Пащенко А.Е., Степашкин М.В. База данных структуры связей персонала и программно-технических компонент распределенной информационной системы Distributed Computer System Personnel, Software and Hardware Components Interlinks Structure Database, MDB Version 1 (D.C.S.P.S.H.I.S. DB mdb.v.1). II Свид. о гос. регистрации программы для ЭВМ базы

данных. Per. № 20116200092 от 11.01.2011. Бюл. Программы для ЭВМ, Базы данных, Топологии интегральных микросхем. 2011. 2(75)(Зч.).С. 640.

28. Азаров A.A., Тулупьев А.Л., Тулупьева Т.В., Пащенко А.Е., Степашкин М.В. Программа для визуализации структуры связей персонала и программно-технических компонент распределенной информационной системы Distributed Computer System Personnel, Software and Hardware Components Interlinks Structure Visualizer, JavaVersion 1 (D.C.S.P.S.H.I.S. Visualizer j.v. 1). // Свид. о гос. регистрации программы для ЭВМ. Per. № 2011610187 от 11.01.2011. Бюл. Программы для ЭВМ, Базы данных, Топологии интегральных микросхем. 2011. 2(75)(1ч.).С. 46.

29. Азаров A.A., Тулупьев А.Л., Тулупьева Т.В., Пащенко А.Е., Степашкин М.В Программа для построения модели структуры связей персонала и программно-технических компонент распределенной информационной системы Distributed Computer System Personnel, Software, and Hardware Components Interlinks Structure Builder, JavaVersion 1 (D.C.S.P.S.H.I.S. Builderj.v.1) // Свид. о гос. регистрации программы для ЭВМ. Per. № 2011610186 от 11.01.2011. Бюл. Программы для ЭВМ, Базы данных, Топологии интегральных микросхем. 2011. 2(75)(1ч.). С. 45-46.

30. Тулупьев А.Л., Азаров A.A., Тулупьева Т.В., Пащенко А.Е., Степашкин М.В. База данных компонент информационной модели взаимодействий персонала и программно-технических составляющих распределенной автоматизированной информационной системы (информационная карта, свидетельство) // Свид. об отраслевой регистрации разработки, отвечающей требованиям новизны, приоритетности и научности, (ИНИМ РАО ОФЭРНиО) № 16308 от 01.11.2010

31. Тулупьев А.Л., Азаров A.A., Тулупьева Т.В., Пащенко А.Е., Степашкин М.В. Программа для визуального конструирования информационной модели взаимодействий персонала и программно-технических составляющих распределенной автоматизированной информационной системы, (информационная карта, Свидетельсво) // Свид. об отраслевой регистрации разработки, отвечающей требованиям новизны, приоритетности и научности, (ИНИМ РАО ОФЭРНиО) № 16309 от 01.11.2010

32. Тулупьев АЛ., Азаров АА, Пащенко АЕ., Тулупьева Т.В.Программа моделирования социоинженерных атак на основе уязвимостей по рекомпенсационному типу персонала распределенной автоматизированной информационной системы (свидетельство). Госуд. регистрация № 50201151364 от 27.10.2011 (ЦИТиС). Свид. о регистрации электронного ресурса, (ОФЭРНиО ИНИМ ГАН РАО) № 17520 от 26.10.2011. Бюлл. «Хроники объедин. фонда электр. ресурсов «Наука и образование». 2011. № 10(29). С. 17.

33. Тулупьев АЛ., Аверьянова ЛИ., Азаров АА, Пащенко А.Е., Тулупьева Т.В.Реляционная база данных для хранения информационной модели комплекса 'система критичных документов - информационная система - персонал'. Госуд. регистрация № 50201151496 от 28.11.2011 (ЦИТиС). Свид. о регистрации электронного ресурса, (ОФЭРНиО ИНИМ ГАН РАО) № 17633 от 28.11.2011. Бюлл. «Хроники объедин. фонда электр. ресурсов «Наука и образование». 2011. № 11(30). С. 29.

34. Тулупьев А.Л., Аверьянова А.И., Азаров A.A., Пащенко А.Е., Тулупьева Т.В. Система подготовки базы данных для анализа защищенности комплекса 'система критичных документов - информационная система - персонал' от социоинженерных атак Госуд. регистрация № 50201151495 от 28.11.2011 (ЦИТиС). Свид. о регистрации электронного ресурса, (ОФЭРНиО ИНИМ ГАН РАО) № 17634 от 28.11.2011. Бюлл. «Хроники объедин. фонда электр. ресурсов «Наука и образование». 2011. № 11(30). С. 30.

35. Тулупьев А.Л., Аверьянова А.И., Азаров A.A., Пащенко А.Е., Тулупьева Т.В. Комплекс программ для анализа защищенности персонала информационных систем от социоинженерных атак рекомпенсационного типа (С#-версия). Госуд. регистрация № 50201250636 от 10.05.2012 (ЦИТиС). Свид. о регистрации электронного ресурса, (ОФЭРНиО ИНИМ ГАН РАО) № 18296 от 10.05.2012. Бюлл. «Хроники объедин. фонда электр. ресурсов «Наука и образование». 2012. № 05(36). С. 16-17.

36. Тулупьев А.Л., Азаров A.A., Григорьева О.Ю., Пащенко А.Е., Тулупьева Т.В. Прототип комплекса программ для расчета вероятностей действий пользователя в ответ на атакующие воздействия злоумышленника и определения общей вероятности получения злоумышленником идентификационных данных пользователя. Госуд. регистрация № 50201250635 от 10.05.2012 (ЦИТиС). Свид. о регистрации электронного ресурса, (ОФЭРНиО ИНИМ ГАН РАО) № 18297 от 10.05.2012. Бюлл. «Хроники объ-един. фонда электр. ресурсов «Наука и образование». 2012. № 05(36). С. 17.

37. Тулупьев А.Л., Азаров A.A., Григорьева О.Ю., Пащенко А.Е., Тулупьева Т.В. Прототип комплекса программ для построения профиля уязвимостей пользователя на основе его профиля психологических особенностей. Госуд. регистрация Na 50201250634 от 10.05.2012 (ЦИТиС). Свид. о регистрации электронного ресурса, (ОФЭРНиО ИНИМ ГАН РАО) № 18298 от 10.05.2012. Бюлл. «Хроники объедин. фонда электр. ресурсов «Наука и образование». 2012. № 05(36). С. 17.

38. Тулупьев А.Л., Азаров A.A., Григорьева О.Ю., Пащенко А.Е., Тулупьева Т.В. Реляционная база данных для хранения информационной модели комплекса «Система критичных документов - информационная система - персонал». Госуд. регистрация № 50201250633 от 10.05.2012 (ЦИТиС). Свид. о регистрации электронного ресурса, (ОФЭРНиО ИНИМ ГАН РАО) № 18299 от 10.05.2012. Бюлл. «Хроники объедин. фонда электр. ресурсов «Наука и образование». 2012. № 05(36). С. 17-18.

V

и

Подписано в печать 29.10.2013г. Формат А5, цифровая печать. Тираж 120 экз., объем -1 п.л. Заказ 10/108. Отпечатано в ЦОП «Копировальный Центр Василеостровский» Россия, Санкт-Петербург, В.О., 6-линия, д.29. тел. 702-80-90, факс: 328-61-84 e-mail: vs@copy.spb.ru

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Санкт-Петербургский государственный университет»

Федеральное государственное бюджетное учреждение науки Санкт-Петербургский институт информатики и автоматизации ^ Российской академии наук

04201363705

АЗАРОВ Артур Александрович

ВЕРОЯТНОСТНО-РЕЛЯЦИОННЫЕ МОДЕЛИ И АЛГОРИТМЫ ОБРАБОТКИ ПРОФИЛЯ УЯЗВИМОСТЕЙ ПОЛЬЗОВАТЕЛЕЙ ПРИ АНАЛИЗЕ ЗАЩИЩЕННОСТИ ПЕРСОНАЛА ИНФОРМАЦИОННЫХ СИСТЕМ ОТ СОЦИОИНЖЕНЕРНЫХ АТАК

Специальность 05.13.19 - Методы и системы защиты информации,

информационная безопасность

Диссертация на соискание ученой степени кандидата технических наук

Научный руководитель д.ф.-м.н. доцент Тулупьев А.Л.

Санкт-Петербург 2013

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ.............................................................................................................................................3

ГЛАВА 1. АНАЛИЗ СОВРЕМЕННОГО СОСТОЯНИЯ ПРОБЛЕМЫ БЕЗОПАСНОСТИ ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННЫХ СИСТЕМ......................................................................18

1 1 ВВЕДЕНИЕ 18

12 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 18 1 3 СОЦИОТЕХНИЧЕСКИЕ МЕТОДЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К

ИНФОРМАЦИИ 22 1 4 МЕТОДЫ ВЫЯВЛЕНИЯ ДОСТАТОЧНЫХ ДЛЯ РАБОТЫ С КРИТИЧНОЙ ИНФОРМАЦИЕЙ

ПРАВ ПОЛЬЗОВАТЕЛЯ 29 1 5 ПОДХОД К АНАЛИЗУ ЗАЩИЩЕННОСТИ ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННЫХ

СИСТЕМ ОТ СОЦИОИНЖЕНЕРНЫХ АТАК ПОНИМАНИЕ ПРОБЛЕМЫ ЗА РУБЕЖОМ 34

1 6 МЕТОДИКА АНАЛИЗА ЗАЩИЩЕННОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ 37

1 7 ВЫВОДЫ ПО ГЛАВЕ 1 39

ГЛАВА 2. МОДЕЛИ КОМПЛЕКСА «ИНФОРМАЦИОННАЯ СИСТЕМА - ПЕРСОНАЛ -КРИТИЧНЫЕ ДОКУМЕНТЫ».............................................................................................................42

2 1 ВВЕДЕНИЕ 42 2 2 КОМПОНЕНТЫ КОМПЛЕКСА «ИНФОРМАЦИОННАЯ СИСТЕМА - ПЕРСОНАЛ -КРИТИЧНЫЕ ДОКУМЕНТЫ» 43 2 3 ВЕРОЯТНОСТНО-РЕЛЯЦИОННЫЙ ПОДХОД К ПРЕДСТАВЛЕНИЮ МОДЕЛЕЙ КОМПЛЕКСА «ИНФОРМАЦИОННАЯ СИСТЕМА - ПЕРСОНАЛ - КРИТИЧНЫЕ ДОКУМЕНТЫ»

51

2 4 БОЬПРЕДСТАВЛЕНИЕ МОДЕЛЕЙ КОМПЛЕКСА «ИНФОРМАЦИОННАЯ СИСТЕМА-ПЕРСОНАЛ - КРИТИЧНАЯ ИНФОРМАЦИЯ» 66

2 5 ПРЕДСТАВЛЕНИЕ КОМПЛЕКСА «ИНФОРМАЦИОННАЯ СИСТЕМА-ПЕРСОНАЛ -КРИТИЧНЫЕ ДОКУМЕНТЫ» С ПОМОЩЬЮ ВЕРОЯТНОСТНО-ГРАФИЧЕСКИХ МОДЕЛЕЙ 79

2 6 ВЫВОДЫ ПО ГЛАВЕ 2 85

ГЛАВА 3. АЛГОРИТМЫ ОБРАБОТКИ ПРОФИЛЯ УЯЗВИМОСТЕЙ ПОЛЬЗОВАТЕЛЯ............87

3 1 ВВЕДЕНИЕ 87 3 2 ИМИТАЦИЯ СОЦИОИНЖЕНЕРНЫХ АТАК НА СОЦИАЛЬНОМ ГРАФЕ 88 3 3 ИМИТАЦИЯ СОЦИО-ИНЖЕНЕРНЫХ АТАК В КОМПЛЕКСЕ «ИНФОРМАЦИОННАЯ СИСТЕМА - ПЕРСОНАЛ-КРИТИЧНЫЕ ДОКУМЕНТЫ 101

3 4 ВЫВОДЫ ПО ГЛАВЕ 3 115

ГЛАВА 4. ПРОТОТИП КОМПЛЕКСА ПРОГРАММ........................................................................117

4 1 ВВЕДЕНИЕ 117 4 2 ЛОГИЧЕСКАЯ СТРУКТУРА БАЗЫ ДАННЫХ 117 4 3 СТРУКТУРА ПРОТОТИПА КОМПЛЕКСА ПРОГРАММ 131 4 4 ОПИСАНИЕ РАБОТЫ ПРОТОТИПА КОМПЛЕКСА ПРОГРАММ 148 4 5 ВЫВОДЫ ПО ГЛАВЕ 4 166

ЗАКЛЮЧЕНИЕ...................................................................................................................................169

ЛИТЕРАТУРА....................................................................................................................................172

ПРИЛОЖЕНИЕ 1. ГЛОССАРИЙ......................................................................................................196

ПРИЛОЖЕНИЕ 2. СВИДЕТЕЛЬСТВА О РЕГИСТРАЦИИ.............................................................203

ПРИЛОЖЕНИЕ 3. ОПИСАНИЕ АТРИБУТОВ ЛИЧНОСТИ ПОЛЬЗОВАТЕЛЯ, А ТАКЖЕ ИНТЕРПРЕТАЦИЯ СВЯЗЕЙ МЕЖДУ НИМИ..................................................................................216

ПРИЛОЖЕНИЕ 4. АКТЫ О ВНЕДРЕНИИ.......................................................................................225

ПРИЛОЖЕНИЕ 5. ЛИСТИНГ КОДА, РЕАЛИЗУЮЩИЙ АЛГОРИТМЫ РАЗДЕЛОВ 3.2.1-3.2.3. 228

ВВЕДЕНИЕ

В настоящее время одной из важнейших проблем в области обеспечения информационной безопасности является защита пользователей информационных систем от социоинженерных (социо-технических) атак. Рост числа инцидентов нарушения конфиденциальности информации из-за ошибок пользователей ставит особенно остро вопросы анализа защищенности пользователей от социоинженерных атак и выработки контрмер против таких атак.

В то же время, разработки в сфере информационной безопасности [47, 48, 67, 76, 79, 122, 123, 124, 125, 126, 127, 141-143] преимущественно концентрируются на разработке различных методов защиты информационных систем от программно-технических атак. Тем не менее, все больше исследователей и сотрудников отделов информационной безопасности начинает обращать внимание на проблемы защищенности пользователей информационных систем (ИС) [47, 48, 67, 76, 79, 122, 123].

Существуют различные подходы к анализу защищенности программно-технической составляющей информационной системы, наиболее яркими являются подходы, разработанные под руководством И.В. Котенков, алгоритмы деревьев атак и SIEM-системы [52, 54-59, 157, 158]. Эти подходы признаны специалистами в области информационной безопасности, однако они не обеспечивают методов оценки, предотвращения и диагностики киберпреступлений, вызванных социоинженерными атаками на пользователей информационных систем, которые могли бы внести существенный вклад в обеспечение информационной безопасности предприятия. Необходимо развить эти подходы и обобщить на случай анализа защищен-

ности пользователей информационных систем от социоинженерных атак, но на данном этапе выявление утечек конфиденциальной информации по вине пользователей происходит постфактум, когда урон компании уже нанесен. Тем не менее, решение данных проблем крайне важно по двум причинам:

• руководителю организации необходимо обладать средствами для самостоятельного, в значительной степени независимого измерения степени защищенности персонала, задействованного в бизнес-процессах, протекающих в его организации, от социоинженерных атак, а не полностью полагаться на специалистов из служб безопасности и информационной безопасности,

• руководителю организации необходимо оценивать затраты на проведение комплекса мер по обеспечению/актуализации защиты от социоинженерных (социо-технических) атак с учетом его ожидаемой эффективности, а также обладать, по возможности, исчерпывающей информацией о преимуществах внедрения данного комплекса.

Таким образом, актуальной является проблема формирования моделей, методов и алгоритмов автоматизированного анализа защищенности пользователей информационных систем от социоинженерных атак. Развитие указанных моделей, методов и алгоритмов будет способствовать созданию комплекса программ, которые учитывают широкую номенклатуру факторов в мониторинге уровня защищенности информационных систем.

Целью исследования является развитие существующего подхода к анализу защищенности информационных систем, основанно-

го на исследовании деревьев атак, за счет учета пользователей информационных систем, структуры социальных связей таких пользователей и их доступ к элементам информационных систем, профили уязвимостей пользователей, а также особенности доступа к хранящимся в системе документам, обладающих определенными уровнями критичности. Предложенная формализация исходит, в частности, из предположений о том, что защищенность пользователей информационных систем содержательно может быть оценена только в контексте оценок защищенности критичных документов либо производных от таких оценок характеристик.

Для достижения поставленной цели в диссертационной работе поставлены и решены следующие задачи:

• адаптировать и развить модели компонент, входящих в комплекс «информационная система - персонал - критичные документы»;

• сформировать модели фрагмента профиля уязвимостей пользователя, и, дополнительно, моделей связей степени проявления уязвимостей пользователей и степенью выраженности психологических особенностей личности;

• разработать алгоритмов имитации социоинженерной атаки злоумышленника среди пользователей информационных систем, связи между которыми представлены в виде социального графа;

• разработать алгоритм формирования совокупности возможных реализаций социоинженерных атак и построение оценки защищенности пользователей информационной системы по результатам анализа этой совокупности;

• реализовать указанные алгоритмы в программных модулях системы автоматизированного анализа защищенности пользователей информационных систем от социоинже-нерных атак, реализующих указанные алгоритмы.

Объектом исследования является анализ защищенности пользователей информационных систем от социоинженерных атак.

Предметом исследования являются модели, методы и алгоритмы автоматизированного анализа защищенности пользователей информационных систем от социоинженерных атак.

Методологическую и теоретическую основу диссертации составили принципы моделирования изучаемых систем, позволяющие представлять их в виде математических и/или информационных моделей, исследование которых далее может быть осуществлено традиционными методами математики и информатики.

Методы исследования, используемые в диссертации, относятся к методам реляционной алгебры, теории вероятностей, теории графов, а также, частично в задаче имитации социоинженерных атакующих воздействий злоумышленника, имитационному моделированию.

Методы исследования, используемые в диссертации, относятся к методам реляционной алгебры, теории вероятностей, теории графов, а также, частично в задаче имитации социоинженерных атакующих воздействий злоумышленника, имитационное моделирование.

Основными результатами, выносимыми на защиту, являются:

• модели комплекса «информационная система - персонал - критичные документы».

• алгоритмы имитации распространения социоинженерных атак среди пользователей информационных систем, представленных в виде вершин графа социальных связей.

• алгоритм имитации социоинженерной атаки, с последующей оценкой степени защищенности пользователей информационных систем, зависящей от степени выраженности уязвимостей пользователя;

• программы, реализующие алгоритмы, позволяющие проводить автоматизированный анализ достижимости критичных документов и защищенности пользователей информационных систем от социоинженерных атакующих воздействий злоумышленника.

Полученные результаты соответствуют следующим пунктам «9. Модели и методы оценки защищенности информации и информационной безопасности объекта» (результат 1), «10. Модели и методы оценки эффективности систем (комплексов) обеспечения информационной безопасности объектов защиты» (результаты 1, 2 и 3) и «13. Принципы и решения (технические, математические, организационные и др.) по созданию новых и совершенствованию существующих средств защиты информации и обеспечения информационной безопасности» (результаты 2, 3 и 4). паспорта специальности 05.13.19 - «Методы и системы защиты информации, информационная безопасность».

Научная новизна исследования заключается в следующем:

1. Разработаны информационные, реляционно-алгебраические, вероятностно-реляционные модели комплекса «информационная система - персонал - критические документы». Основным отличием данных моделей от используемых в анализе программно-технической защищенности информационных систем является формальное представление модели пользователей как вершин графа с уровнем выраженности уязвимостей пользователя, содержащихся в профиле уязвимостей пользователя, представление социальных связей между пользователями информационной системы как дуг графа, а также представление связей «пользователь - хост». Кроме того, в разработанных моделях при имитации социоинженерных атакующих воздействий происходит учет исчерпания ресурсов злоумышленника, в отличии анализа программно-технической защищенности информационных систем, в которой используется квалификация злоумышленника, которая неисчерпаема.

2. Отличительной особенностью модели пользователя информационной системы также является возможность представления недетерминированных связей степени проявления уязвимостей пользователя и других характеристик пользователя. В качестве иллюстративного примера в настоящей диссертационной работе рассмотрены зависимости между уровнем выраженности уязвимостей пользователя и степенью проявления психологических особенностей личности.

3. Разработаны алгоритмы имитации распространения со-циоинженерных атак среди пользователей информационных систем. Отличительной особенностью данных алгоритмов является имитация атакующих действий злоумышленника и их распространения среди пользователей, представленных через граф социальных связей. Данный граф недетерминирован, что отличает его от графов, строящихся при анализе программно-технической защищенности информационных систем, где все возможные состояния информационной системы детерминированы.

4. Разработан алгоритм расчета оценки защищенности пользователей информационных систем от социоинженерных атак. Отличительной особенностью данного алгоритма является комплексный подход к оценке вероятности успеха имитации социоинженерного атакующего воздействия на пользователей информационных систем. Таким образом, данный алгоритм позволяет получить оценку вероятности успеха злоумышленника в получении критичной информации.

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается за счет тщательного анализа состояния исследований в области и в смежных областях (искусственный интеллект, обработка знаний с неопределенностью), подтверждается работоспособностью программ, реализующих алгоритмы, основанные на*теоретических результатах, полученных в диссертационном исследовании.

Теоретическая и практическая значимость исследования.

Разработанные модели, методы и алгоритмы предназначены для оценки защищенности критичной информации при рассмотрении социоинженерных атак злоумышленника на пользователей информационной системы. Рассматриваемый подход позволяет формализовать модель пользователя информационных систем с помощью индивидуального профиля уязвимостей пользователя информационной системы, допускающего представление и обработку связей между степенью проявления уязвимостей пользователя и уровнем выраженности психологических особенностей личности. Рассматриваемые модели и методы создают основания для проведения превентивных мер защиты конфиденциальной информации, позволяют смоделировать уязвимости пользователя и впоследствии разработать ряд управленческих мер для снижения степени проявления данных уязвимостей. Разработанные модели и методы позволяют создать базу данных уязвимостей пользователей, которая может быть применена к анализу рисков нарушения информационной безопасности аналогично существующим базам данных уязвимостей программно-технического комплекса информационных систем. Предлагаемый подход позволяет формулировать новые задачи по исследованию отношений между уровнем выраженности психологических особенностей личности и степенью проявления уязвимостей пользователя, обеспечивая представление таких связей для последующего использования их в комплексе программ, позволяющем -автоматизировано-оценивать степень защищенности критичных документов в информационной системе. Наконец, рассматриваемые модели и методы позволяют создать комплекс программ, автоматизирующий анализ защищенности пользователей информационных систем от социоинженерных атак злоумышленника.

Кроме того, представленные модели создают предпосылки для создания базы данных уязвимостей пользователей, которая может быть использована аналогично имеющимся базам данных уязвимостей программно-технического комплекса, например 08\ЛЭВ [163] или NN/0 [162]. Предлагаемый подход формирует основу для провидения мониторинга пользователей информационных систем на постоянной основе с целью выявления наиболее критичных уязвимостей пользователя и, в последствии, превентивных мер обеспечения безопасности пользователей информационных систем.

Разработанные в рамках диссертационной работы модели, методы и алгоритмы используются в исследованиях, проводимых в настоящее время лабораторией теоретических и междисциплинарных проблем информатики в Санкт-Петербургском институте информатики и автоматизации Российской академии наук в рамках бюджетных научно-исследовательских работ. В том числе, грант РФФИ на 2010-2012 гг., проект № 10-01-00640-а «Интеллектуальные модели и методы анализа защищенности информационных систем от социоинженерных атак (деревья атак)», грант СПбГУ на 2011-2013 гг. Проект №6.38.72.2011 «Моделирование комплексов «информационная система-персонал» для агрегированной оценки их готовности к отражению ссоциоинженерных атак», грант РФФИ на 2012 г., проект № 12-01-16040-моб_з_рос «Научный проект "Комплекс программ для анализа защищенности пользователей информационных систем с учетом их психологически обусловленных уязвимостей" для представления, на научном мероприятии -1-й Международный симпозиум "Гибридные и синергетические интеллектуальные системы: теория и практика (ГИСИС'2012)"», грант Правительства Санкт-Петербурга для победите