Дерево атаки

Деревья атак — это концептуальные диаграммы, показывающие, как актив или цель могут быть атакованы. ^[1] Деревья атак использовались в различных приложениях. В области информационных технологий они использовались для описания угроз компьютерным системам и возможных атак для реализации этих угроз. Однако их использование не ограничивается анализом обычных информационных систем. Они широко используются в оборонной и аэрокосмической сферах для анализа угроз против несанкционированных электронных систем (например, авионики на военных самолетах). ^[2] Деревья атак все чаще применяются к компьютерным системам управления (особенно в отношении электросетей ) . ^[3] Деревья атак также использовались для понимания угроз физическим системам.

Некоторые из самых ранних описаний деревьев атак можно найти в статьях и статьях Брюса Шнайера . ^[4] когда он был техническим директором Counterpane Internet Security . Шнайер явно участвовал в разработке концепций дерева атак и сыграл важную роль в их популяризации. Однако атрибуции в некоторых ранних общедоступных статьях о деревьях атак ^[5] также предполагают участие Агентства национальной безопасности в первоначальной разработке.

Деревья атак очень похожи, если не идентичны, деревьям угроз . Деревья угроз были разработаны Джонатаном Вайсом из Bell Laboratories в соответствии с рекомендациями MIL STD 1785. ^[6] для работы AT&T над командованием и контролем для федеральных приложений и впервые были описаны в его статье в 1982 году. ^[7] Эта работа позже обсуждалась в 1994 году Эдвардом Аморосо. ^[8]

Базовый [ править ]

Деревья атак представляют собой многоуровневые диаграммы, состоящие из одного корня, листьев и дочерних элементов. Снизу вверх дочерние узлы — это условия, которые должны быть удовлетворены, чтобы прямой родительский узел стал истинным; когда корень удовлетворен, атака завершена. Каждый узел может быть удовлетворен только своими прямыми дочерними узлами .

Узел ; может быть дочерним по отношению к другому узлу в таком случае становится логичным, что для осуществления атаки необходимо предпринять несколько шагов. Например, рассмотрим классные компьютеры, прикрепленные к партам. Чтобы украсть один, необходимо перерезать страховочный трос или открыть замок. Замок можно открыть взломом или получением ключа. Ключ можно получить, угрожая владельцу ключа, подкупив его или забрав его там, где он хранится (например, под ковриком для мыши). Таким образом, можно нарисовать четырехуровневое дерево атак, один из которых — ( Подкупить ключа , Получить ключ , Разблокировать замок , Украсть компьютер ).

Атака, описанная в узле, одной или нескольких из многих атак, описанных в дочерних узлах может потребовать реализации . В приведенном выше условии показаны только условия ИЛИ ; однако условие «И» может быть создано, например, путем предположения, что электронная сигнализация должна быть отключена тогда и только тогда, когда кабель будет перерезан. Вместо того, чтобы делать эту задачу дочерним узлом разрезания замка, обе задачи могут просто достичь суммирующего узла. путь (( Отключить сигнализацию , Обрезать кабель ), Украсть компьютер Таким образом создается ).

Деревья атак связаны с установленным формализмом дерева отказов. ^[9] дерева отказов Методология использует логические выражения для определения условий, когда родительские узлы удовлетворяются конечными узлами. Включив априорные вероятности в каждый узел, можно выполнить расчет вероятностей для более высоких узлов, используя правило Байеса . Однако на самом деле точные оценки вероятности либо недоступны, либо их сбор слишком дорог. Что касается компьютерной безопасности с активными участниками (т. е. злоумышленниками), распределение вероятностей событий, вероятно, не является независимым и неравномерным, следовательно, наивный байесовский анализ непригоден.

Поскольку методы байесовского анализа, используемые при анализе дерева отказов, не могут быть законно применены к деревьям атак, аналитики вместо этого используют другие методы. ^[10]^[11] чтобы определить, какие атаки будут предпочтительными для конкретного злоумышленника. Они могут включать сравнение возможностей злоумышленника (времени, денег, навыков, оборудования) с требованиями к ресурсам указанной атаки. Атаки, которые близки к возможностям злоумышленника или выходят за их пределы, менее предпочтительны, чем атаки, которые считаются дешевыми и простыми. Степень, в которой атака удовлетворяет целям противника, также влияет на выбор злоумышленника. Атаки, которые соответствуют возможностям противника и удовлетворяют его целям, более вероятны, чем те, которые этого не делают.

Обследование [ править ]

Деревья атак могут стать большими и сложными, особенно когда речь идет о конкретных атаках. Полное дерево атаки может содержать сотни или тысячи различных путей, каждый из которых ведет к завершению атаки. Тем не менее, эти деревья очень полезны для определения существующих угроз и способов борьбы с ними.

Деревья атак могут помочь в определении стратегии обеспечения безопасности информации . Однако важно учитывать, что реализация политики для реализации этой стратегии меняет дерево атак. Например, от компьютерных вирусов можно защититься, отказав системному администратору в доступе к прямому изменению существующих программ и папок программ, вместо этого потребовав менеджера пакетов использования . Это добавляет к дереву атак возможность конструктивных недостатков или эксплойтов в менеджере пакетов.

Можно заметить, что наиболее эффективный способ снизить угрозу на дереве атак — это уменьшить ее как ближе к корню можно . Хотя это теоретически обосновано, обычно невозможно просто смягчить угрозу без других последствий для продолжения работы системы. Например, угрозу заражения системы Windows вирусами можно значительно снизить, используя стандартную учетную запись (не администратора) и NTFS вместо FAT файловой системы , чтобы обычные пользователи не могли изменять операционную систему. Реализация этого исключает любой способ, предвиденный или непредвиденный, с помощью которого обычный пользователь может заразить операционную систему вирусом. ^{[ нужна ссылка ]}; однако при этом также требуется, чтобы пользователи переключались на учетную запись администратора для выполнения административных задач, что создает другой набор угроз в дереве и увеличивает операционные издержки. Кроме того, пользователи по-прежнему могут заражать файлы, к которым у них есть разрешения на запись, включая файлы и документы.

Системы, использующие кооперативные агенты, которые динамически исследуют и идентифицируют цепочки уязвимостей , создавая деревья атак, создаются с 2000 года. ^[12]

для моделирования дерева атак Программное обеспечение

несколько коммерческих пакетов и продуктов с открытым исходным кодом Доступно .

Открытый исходный код [ править ]

ADTool от Университета Люксембурга
АТ-АТ
Лиственный
Энт
Морской Монстр

Коммерческий [ править ]

AttackTree+ от Isograph
Безопасное ИТ- инфраструктура от Amenaza Technologies
RiskTree от 2T Security

См. также [ править ]

Ссылки [ править ]

^ Р. Ширей (август 2007 г.). Глоссарий по интернет-безопасности, версия 2 . Сетевая рабочая группа. дои : 10.17487/RFC4949 . РФК 4949 . Информационный.
^ Министерство обороны США, «Руководство по оборонным закупкам», раздел 8.5.3.3.
^ Чи-Вуи Тен, Чен-Чинг Лю, Манимаран Говиндарасу, Оценка уязвимостей кибербезопасности для систем SCADA с использованием деревьев атак, «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 30 июня 2010 г. Проверено 4 апреля 2012 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
^ Шнайер, Брюс (декабрь 1999 г.). «Атакующие деревья» . Журнал доктора Добба, т.24, №12 . Архивировано из оригинала 6 августа 2007 года . Проверено 16 августа 2007 г.
^ Крис Солтер, О. Сами Сайджари, Брюс Шнайер, Джим Валлнер, К методологии безопасного системного проектирования, «Архивная копия» (PDF) . Архивировано (PDF) из оригинала 23 июня 2011 г. Проверено 4 апреля 2012 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
^ «Программа инженерной безопасности системы MIL-STD-1785» . Everyspec.com . Проверено 5 сентября 2023 г.
^ «Процесс проектирования системной безопасности, 14-я Национальная конференция по компьютерной безопасности, Вашингтон, округ Колумбия» (PDF) . Проверено 18 марта 2023 г.
^ Аморосо, Эдвард (1994). Основы компьютерной безопасности . Река Аппер-Седл: Прентис-Холл . ISBN 0-13-108929-3 .
^ «Справочник по дереву отказов для аэрокосмических приложений» (PDF) . Архивировано из оригинала (PDF) 28 декабря 2016 г. Проверено 26 февраля 2019 г.
^ Дональд Л. Бакшоу, Грегори С. Парнелл, Уиллард Л. Улькенхольц, Дональд Л. Паркс, Джеймс М. Валлнер, О. Сами Сайджари, Анализ проектирования критически важных информационных систем, ориентированный на выполнение задач, Исследование военных операций V10, N2, 2005, [1] ^{[ постоянная мертвая ссылка ]}
^ Терренс Р. Инголдсби, Amenaza Technologies Limited, Анализ рисков угроз на основе дерева атак, технический документ поставщика, «Архивная копия» (PDF) . Архивировано (PDF) из оригинала 4 марта 2016 г. Проверено 9 апреля 2012 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
^ «NOOSE — эксперт по сетевой объектно-ориентированной безопасности, 14-я конференция по системному администрированию (LISA 2000), Новый Орлеан» . Проверено 21 апреля 2010 г.

[rfc4949-1] Р. Ширей (август 2007 г.). Глоссарий по интернет-безопасности, версия 2 . Сетевая рабочая группа. дои : 10.17487/RFC4949 . РФК 4949 . Информационный.

[2] Министерство обороны США, «Руководство по оборонным закупкам», раздел 8.5.3.3.

[3] Чи-Вуи Тен, Чен-Чинг Лю, Манимаран Говиндарасу, Оценка уязвимостей кибербезопасности для систем SCADA с использованием деревьев атак, «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 30 июня 2010 г. Проверено 4 апреля 2012 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )

[Attack_Trees-4] Шнайер, Брюс (декабрь 1999 г.). «Атакующие деревья» . Журнал доктора Добба, т.24, №12 . Архивировано из оригинала 6 августа 2007 года . Проверено 16 августа 2007 г.

[5] Крис Солтер, О. Сами Сайджари, Брюс Шнайер, Джим Валлнер, К методологии безопасного системного проектирования, «Архивная копия» (PDF) . Архивировано (PDF) из оригинала 23 июня 2011 г. Проверено 4 апреля 2012 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )

[6] «Программа инженерной безопасности системы MIL-STD-1785» . Everyspec.com . Проверено 5 сентября 2023 г.

[7] «Процесс проектирования системной безопасности, 14-я Национальная конференция по компьютерной безопасности, Вашингтон, округ Колумбия» (PDF) . Проверено 18 марта 2023 г.

[Threat_trees-8] Аморосо, Эдвард (1994). Основы компьютерной безопасности . Река Аппер-Седл: Прентис-Холл . ISBN 0-13-108929-3 .

[Fault_Tree_Analysis-9] «Справочник по дереву отказов для аэрокосмических приложений» (PDF) . Архивировано из оригинала (PDF) 28 декабря 2016 г. Проверено 26 февраля 2019 г.

[10] Дональд Л. Бакшоу, Грегори С. Парнелл, Уиллард Л. Улькенхольц, Дональд Л. Паркс, Джеймс М. Валлнер, О. Сами Сайджари, Анализ проектирования критически важных информационных систем, ориентированный на выполнение задач, Исследование военных операций V10, N2, 2005, [1] ^{[ постоянная мертвая ссылка ]}

[11] Терренс Р. Инголдсби, Amenaza Technologies Limited, Анализ рисков угроз на основе дерева атак, технический документ поставщика, «Архивная копия» (PDF) . Архивировано (PDF) из оригинала 4 марта 2016 г. Проверено 9 апреля 2012 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )

[NOOSE-12] «NOOSE — эксперт по сетевой объектно-ориентированной безопасности, 14-я конференция по системному администрированию (LISA 2000), Новый Орлеан» . Проверено 21 апреля 2010 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]