August 2013 Download this article as a PDFAbstract

Прогресс в оперативной кибербезопасности было трудно доказать. Несмотря на значительные исследования и развития инвестиций более 30 лет многие правительства, промышленных, финансовых и потребительских информационных систем по-прежнему успешно атаковали и эксплуатируются на регулярной основе. Одной из главных причин, что прогресс был настолько скудными является, что большинство технических решений кибербезопасности, которые были предлагаемые сроки были точки решения, которые не касаются оперативных компромиссные решения, расходы по осуществлению и последующим adversary адаптации по всему спектру уязвимостей. Кроме того принципы предписывающий безопасности, установленное ранее, такие, как Оранжевая книга были трудно применять с учетом нынешней системы сложности и приобретения подходов. Для решения этих проблем, авторы разработали на основе угрозы описательных методологий для более полной идентификации уязвимостей системы, для количественной оценки эффективности возможных средств защиты от этих уязвимостей и оценки оперативных последствий и компромиссные решения возможных ограждений.

Эта статья начинается с обсуждения компромиссов между казалось бы различные системы безопасности свойств, таких как конфиденциальность, целостность и доступность. Мы разрабатываем количественные основы для понимания этих компромиссные решения и проблемы, которые возникают, когда эти свойства безопасности все в игре внутри Организации. После того, как определены цели безопасности и защиты кандидатов, оценки рисков и выгод можно выполнить с помощью нового многодисциплинарного подхода, называемые «Запросы». Статья заканчивается с угрозой driven количественная методика, под названием «Трех принципов», для выявления уязвимостей и контрмер в сетевых кибер физических систем. Цель этой статьи — предложить оперативное руководство, основанные на методах, представленных здесь, для принятия обоснованных решений о безопасности cyber физической системы.

Введение

Кибератаки увеличение частоты и тяжести. Prolexic технологии (2013) сообщает, что средний уровень пакетов в секунду распределенного отказа в обслуживании (DDOS) атак достиг 47,4 млн пакетов в секунду и соответствующей средней пропускной способности достиг 49.24 Gbps во втором квартале 2013 года. Это увеличение 1655% и 925% соответственно за 2012.

Хотя DDOS-атаки являются относительно жестокой cyberweapons, так называемый «advanced постоянная угроза» (APT) относится к изощренным злоумышленником, которые работают более тонко против конкретных целей с конкретными целями. Например операция «Аврора» развернуты эксплойт нулевого дня веб браузер для получения детальной интеллектуальной собственности из высокотехнологичных компаний (McAfee Inc, 2010).

Сделано с blunt объектами (DDOS) или скальпелей (APT), ли кибератаки по-прежнему быть эффективной. В самом деле, предприятия, менеджеры ИТ безопасности считают, что их сети становятся все менее безопасным. 671 ИТ безопасности практиков, проведенного Институтом Ponemon (2012) показало, что лишь 33% считали их ИТ-сети являются более безопасным в 2012 году, чем в 2011 году. Несмотря на эти проблемы недавнее исследование Oracle (2013 год) показало, что даже с более общей ИТ безопасности расходов, предприятия до сих пор не защищают права активов.

Объединяя все эти факты и выводы, очевидно, что растущая среда связи становится все более сложным и более целенаправленное в то время как наша способность реагировать с соответствующие возражения на уровнях соответствующих инвестиций становится все сложнее.

Кибербезопасность исследований, разработок и поставщиков общин не помогает вопросы. Большинство исследователей и производителей содействовать их конкретных точечных решений за счет видеть более широкую картину безопасности. Например с одной стороны, «построить безопасность в» сообщество выступает за реорганизации и восстановления систем с нуля, чтобы быть более безопасным, с самого начала (например, Департамент национальной безопасности США; DARPA; Макгроу, 2013). С другой стороны, «большие данные» технологии безопасности способствуют обширные ИТ инструментария, лесозаготовки и анализ для любых приложений и сетевой инфраструктуры, которая уже развернута (например, Hewlett Packard; Splunk).

Эти крайности умоляют ключевой вопрос о том, какие комбинации cyberdefensives подходят для защиты предприятия от спектра угроз, с которыми он сталкивается с реально. Усилия правительства по разработке наилучшей практики безопасности и оценки рисков (например, Национальный институт стандартов и технологий, 2013), всеобъемлющий и благородная, но слишком общими, чтобы быть в оперативном отношении директивного характера для таких целей.

Для оценки корпоративного уровня кибербезопасности и инвестиций необходимы новые идеи. Новый подход, предложенный в этой статье основана на авторов 30-летний опыт в обеспечении сложных кибер физических систем в средах с государственного и частного секторов. Подход состоит из трех ингредиентов, которые будут изложены ниже подробно:

  1. Требования к конфиденциальности, целостности и доступности
  2. Количественная оценка и оценка кибербезопасности защиты инвестиций
  3. Определение кибербезопасности угроз и уязвимостей

Эта статья организована следующим образом вокруг этих ингредиентов. Второй раздел утверждает, что компромиссы между конфиденциальность, целостность и доступность неразрывно неизбежны в типичных корпоративных операциях и предлагает аналитические рамки для управления этими компромиссные решения. В третьем разделе методологии количественной оценки воздействия уязвимости и возражения, которые используются для смягчения их последствий, а именно «запросы». Четвертый раздел представляет базовую модель кибербезопасности, под названием «трех принципов» кибербезопасности-оценки уязвимости и смягчения их последствий. Наконец Пятый раздел содержит краткий обзор и обсуждение путей вперед на основе этих результатов.

Конфиденциальность, целостность и требования к доступности

Соображения безопасности и метрики не являются единственным критерием предприятия использовать менеджеры ИТ для принятия решений. Доход (или услуги в случае некоммерческой или правительства сущность) является результатом предоставления пользователям доступа к сетевым службам и информации, и это часто первичного водителя при торговле off безопасности от доступа.

На практике лица, принимающие решения должны постоянно уравновешивать доступность (то есть, способность конечных пользователей для извлечения выгоды из системы), конфиденциальности (например, защита информации от несанкционированного доступа) и целостность (например, защита информации от несанкционированного изменения). Эта задача включает комплекс, как правило и системы конкретного предприятия, компромиссные решения, которые требуют надлежащего баланса между свойствами, которые не полностью согласуются друг с другом.

Для того, чтобы такие решения tradeoff, более строгие и количественные, мы начали разрабатывать модели и соответствующие рамки для конфиденциальности, целостности и доступности (ЦРУ) управления рисками. Здесь мы кратко представить нашу работу по конкретному вопросу о введении «разнообразие» в предприятие ИТ-среды с целью повышения «безопасности». Разнообразие системы информации, в отличие от «монокультуры», часто получила высокую оценку как механизм для создания более устойчивых и безопасных систем, в которых компромисс одной системы не переводить сразу в последующем компромисс всех подобных систем.

Разнообразие могут быть введены в систему ИТ путем развертывания аппаратного и программного обеспечения от разных поставщиков или таких механизмов, как случайной адрес макетов или компилятора генерация исполняемого кода (Jajodia соавт., 2011). Более подробная информация о модели и соответствующие результаты можно найти в предстоящем техническом документе по этому вопросу (Cybenko и Хьюз, в печати).

Наша базовая модель предполагает сеть узлов, которые включают асинхронную распределенную систему, которая работает предприятие. Эти узлы могут быть установлены зеркальные или серверы баз данных, клиенты, маршрутизаторы или другие репликации устройств или в информационной системе. Дизайнер имеет выбор составляющих компонентов же (то есть, однородной или монокультуры) или компонентов другой в некотором роде (то есть разнообразные, движущихся целей, разнородных, или некоторые другой подход).

Компромисс узла (компонент или устройство) означает, что злоумышленник имеет контроль этого узла, такие как привилегии root или администратора в операционной системе, например. Цели компромисса часто кратко как нарушение одного или нескольких конфиденциальности, целостности и доступности свойства (Смит и Marchesini, 2008). Мы расцениваем эти цели в контексте сетевой системы функционально избыточных компонентов. В этой статье мы определим эти понятия следующим образом:

  • Доступность означает, что хотя бы один из узлов не были скомпрометированы и поэтому работает правильно. Указано иное, не все узлы в системе были скомпрометированы, и поэтому хотя бы один по-прежнему функционирует в смысле теории надежности.
  • Конфиденциальность означает, что ни один из узлов были скомпрометированы. Это определение основывается на предположении, что все клиенты, серверы или другие узлы содержат или иметь доступ к критическим, возможно же, информация. Таким образом если один узел будет взломана, что важной информации доступна для злоумышленника и так была нарушена конфиденциальность общей системы.
  • Целостность означает, что большинство узлов (компоненты) не были скомпрометированы так что, если запрашивать информацию от компонентов и сравнить результаты, хотя бы одной половины результатов будут совпадать. После того, как злоумышленник скомпрометировано более половины компонентов, у нас больше нет уверенности, что представленная большинством является правильным. Византийские неудачи (Лэмпорт соавт., 1982) также может быть смоделировано в этих рамках, whereby минимум одну треть, разные, но постоянная часть компонентов должны быть под угрозой для целостности атаки.

Время к компромисс, ti, ith узла является случайной переменной, распределенных в соответствии с функцией плотности вероятности, fi(t). Концепция времени компромисса, обсуждались более подробно ниже, основывается на предпосылке, что любой узел в конечном итоге compromisable и время, когда злоумышленник достигает компромисс является случайная величина (которая может включать злоумышленника квалификации уровня ресурсов, выбор стратегий нападения и так далее).

Например время для достижения успеха в грубой силы атаки на пароль будет распределяться по единой плотности между 0 (когда атака начинается) и время N/M, где N возможные пароли и случайные пароли M судят за единицу времени. Методы для оценки fi и ti для более сложных вычислительных систем были разработаны и оценены авторами (Карин соавт., 2008). Кроме того оценки времени компромисс плотности позволяют нам оценить затраты на компромисс ith компонента, а также общей системы или миссии.

For simplicity, we assume that each density has the same form for each component and define α to be the lower bound on the support of f, β to be the upper bound on the support of f, μ to be the mean, and m to be the median. Кроме того, мы позволим n обозначает степень разнообразия (то есть число различных версий, например, где ясно n = 1 представляет монокультуре) также, как число параллельных нападавших как будут происходить в скоординированного нападения национального государства или организованной преступностью.

В таблице 1 приведены несколько анализов, которые мы провели. Столбцы, которые помечены нападавших и разнообразие как описано; записи в столбцах для C, I и A, ожидаемое время нарушить конфиденциальность, целостность и доступность соответственно. Графическое изображение этого анализа для последней строки в таблице показано на рисунке 1 для иллюстрации широкой изменчивости по времени к компромиссу в этих различных сценариях. В этой ситуации, где мы имеем разнообразие n-fold и n параллельных нападавших, ожидаемое время для достижения различных целей безопасности ЦРУ значительно варьируется. Должны понимать, какие свойства безопасности являются наиболее важными для организации миссий и инвестировать соответственно.

Таблица 1. Предполагаемое время для злоумышленника для достижения одной из целей ЦРУ

Нападающие

Разнообразие

C

Я

A

1

1

Μ

Μ

Μ

1

n

Μ

nμ/2

nΜ

n

1

Α

Α

Α

n

n

Α

Μ

Β

Эта работа количественно превращает торгового пространства между конфиденциальности, целостности и доступности в зависимости от разнообразия сети и времени компромисс. В таком пространстве торговли, ИТ-менеджер должен определить «рабочей точки конструкции» или баланс между свойствами безопасности и другие важные системные свойства, такие как «сопровождения» и «полезность миссии».

Он является информативным, чтобы выработать простую возможность стоимость сравнения на основе этого торгового пространства. Например «затраты на сорвать» является стоимость противника на компромисс предприятие, которое непосредственно оценивается от времени к компромиссу сценарии, приведенные выше. Эта стоимость может сравнено к «стоимость из миссии нарушение», который является стоимость ИТ-менеджер при рассмотрении трех типов целей безопасности (например, ЦРУ), и компромисс которого нарушает Миссия предприятия (например, нарушения расходов может быть пропорционально количеству пользователей). Таким образом аналитические описания торгового пространства позволяет более стратегический анализ относительно различных ИТ-целей предприятия. Этот тип анализа более подробно описывается с использованием методологии в следующем разделе.

Рисунок 1

Рисунок 1. Предполагаемое время для достижения целей безопасности ЦРУ с n-fold разнообразие и n параллельных нападающих

Количественная оценка риска кибербезопасности: Техника запросов

Обсуждение выше обеспечивает рамки и методологию для определения различных целей безопасности и понимания возможных компромиссов между ними. Продвигаясь вперед, если мы получили коллекцию выявленных уязвимостей, препятствующих достижению целей и возможных возражений или ответы на эти уязвимости, то далее мы хотели бы иметь некоторый смысл о том, насколько эффективны предлагаемые возражения с точки зрения производительности метрик, которые выходят за рамки простого контрольного списка.

В области физической безопасности время на компромисс системы является признанным и поддающихся измерению производительности метрики. Например рассмотрим случай чрезмерно двери компании, поставщик правительства администрации общих служб США одобрил 5 класс безопасности vault двери подходит для хранения сведений о национальной безопасности. Эти двери должны обеспечивать защиту от несанкционированного проникновения на следующие периоды времени:

  • тайный вход 20 человеко-часов
  • 30 человек минут скрытой записи
  • 10 человек минут принудительного вступления
  • 20 человеко-часов против манипуляции замка
  • 20 человеко-часов от радиологического нападения

Обратите внимание, что разное время указаны для различных типов атак. Тайный вход означает метод записи, которые не поддаются обнаружению при нормальной эксплуатации или во время осмотра квалифицированным специалистом. Тайное запись означает метод входа, который бы оставить доказательств, но не будет обнаружить пользователя при нормальном использовании двери и только будет обнаружить во время осмотра квалифицированным специалистом. Принудительный вход означает метод входа, который оставило бы доказательства нападения и было бы легко различимы в нормальном использовании двери; Злоумышленник не имеет никакого отношения над оставляя доказательств, проникли дверь хранилища. Манипуляции с блокировки определяется как открытие комбинации замка без изменения физической структуры или disarranging частей. Как правило манипуляции будет осуществляться путем перемещения блокировки набора. Ввод радиологического нападения означает использование радиоактивных изотопов и из других источников, признаны эффективными в определении комбинации блокировок. Любые записи, сделанные в этих условиях в течение 20 человеко-часов считается неспособность сводом дверь.

Физическая безопасность является относительно зрелым с много опытом работы, поэтому такие меры стали признанными стандартами в рамках этой общины. Кибер физической системы безопасности все еще относительно новое, поэтому такие показатели еще не стандартизированы.

Авторы разработали технику, называемые запросами, для количественной оценки риска кибербезопасности, используя идеи из различных дисциплин и продемонстрировали эти методы в сценариях защиты программного обеспечения.

Например результат использования методологии запросов изображена на рисунке 2, которая показывает распределение времени для завершения успешной атаки против системы защищенного программного обеспечения. Горизонтальная ось времени (equatable стоимости в человеко-часах) и вертикальной оси представляет собой процент попыток, требующих соответствующего времени. Эмпирическая функция плотности вероятности оценивалась с использованием методологии запросов и изображены вертикальные полосы. Конкретный компромисс, который был смоделирован в этом примере было нападение защищенного программного обеспечения системы противника, целью которого является извлечь конкретные значения параметров из защищенного кода.

Рисунок 2

Рисунок 2. Пример функции плотности времени компромисс для защиты программного обеспечения защиты, разработанная авторами в ходе предыдущей работы по запросам

Сюжет на рисунке 2 показана функция плотности вероятности для время злоумышленнику нарушить защиту. Мы модели времени компромисс как случайной величины в запросах, потому что это зависит от уровня квалификации и подход, который злоумышленник принимает. Он может также зависеть от удачи. Рассмотрим, например, что мы на самом деле модель атаки грубой силы пароль таким образом уже-злоумышленник может быть повезло и очень быстро угадать правильно, но с очень малой вероятностью. Для атаки грубой силы пароль соответствующий участок будет горизонтальной линии на очень малой вероятности идти очень далеко в будущее.

Методология запросов состоит из нескольких шагов и успешно применяется в различных ситуациях кибернетической безопасности. Все семь шагов в методологии запросов изображены на правой части рис. 3; четыре основных компонентов методологии на левой стороне на рисунке 3 показаны и описаны ниже:

  1. Модель проблемы: Получить объективные количества таких, как экономическая ценность интеллектуальной собственности (IP) (например, актив защищенного программного обеспечения) для владельца IP; стоимость разработки ИС противника; Стоимость получения ИС посредством других возможных средств; и карта конкретных мер защиты активов ИС.
  2. Модель атаки: Используйте карту защиты и знания обратной разработки методологий для построения графа атак, в виде частично наблюдаемый процесс принятия Маркова (POMDP) (Рассел и Norvig, 2002).
  3. Количественное определение модели: Выполните контролируемые команды red нападение защищенных IP и другой красный или черный hat команды для проведения информационного рынка для оценки параметров POMDP.
  4. Используйте результаты: Полученные оценки можно решить, если предлагаемые меры защиты являются подходящими для конкретной уязвимости с точки зрения различных возможных затрат и выгод.

Рисунок 3

Рисунок 3. Семь этапов методологии запросов

Для иллюстрации такого анализа затрат выгод, рассмотрим сюжет, показанный на рисунке 4, который сравнивает два подхода для злоумышленников решить, когда следует прекратить нападения. Красная линия представляет собой разницу между стоимостью атаки до соответствующего времени и на благо успешного нападения; синяя линия является «стоимость to-go» значение продолжения атаки, учитывая, что она не до того времени. Стоимость to-go значение вычисляется с помощью динамического программирования, основанный на вероятности, показано на рисунке 2 и похож на методы, используемые для американских вариантов ценообразования.

На рисунке 4 показано, что бинарный метрики (например, true или false) не подходит для определения ли кибер физическая система может быть нарушена. Любая система, требующие пароля может быть скомпрометирована повезло угадать и так будет считаться небезопасным, если это метрика. Вместо этого мы утверждаем, что правильный вид метрики является, например, предполагаемая стоимость успешной атаки. Если это стоимость достаточно высока, злоумышленник, не будет в первую очередь осуществлять нападения. Это основа для всех схем шифрования государства искусства, поэтому наша позиция по этому полностью согласуется с существующей практикой и опытом в этой сфере.

Рисунок 4

Рисунок 4. Сравнение двух подходов для определения оптимального времени злоумышленнику остановить атаки

Три основы кибербезопасности

В начале нашей работы по анализу угрозы и уязвимости мы стремились определить простой- но по-прежнему рабоче значимые, необходимые и достаточные – условия для уязвимости кибер физической системы на существование. После выявления таких условий, конкретные способы можно определить и оценить.

Это привело нас определить три элемента как необходимые и достаточные для успешных атак происходит:

  1. Существование имманентной системы восприимчивости
  2. Угроза доступа к восприимчивости
  3. Способность угрозы использовать восприимчивость

Очевидно, что, когда эти три элемента присутствуют в системе, существует фактическая уязвимость.

Закон Мерфи-«Все, что может пойти не так, пойдет не так.» (Белл, 1989) — свидетельствует о том, что система с уязвимости будет использоваться с учетом соответствующей оперативной обстановки. Кроме того модель угрозы которая поддерживает рассуждения о ли присущие системе слабость поднимается до уровня уязвимости имеет важное значение для разработки рентабельных безопасности системы. Этот аспект имеет важное значение, поскольку безопасность ради безопасности не является ни доступным, так ни желательным, и поэтому уязвимости должны быть количественно и только смягчено до степени, необходимой для преследования бизнес-процессов предприятия или других миссий.

Мы кратко опишем эти три элемента ниже:

  1. System Susceptibility: Одновременно нельзя добиться абсолютной системы конфиденциальность, целостность и доступность. Таким образом все системы будут иметь дизайн компромиссов, в результате недостатков, присущих. Такие недостатки будут проявляться как программные ошибки/ошибки, недостатки протокола, неправильная конфигурация или ограничения физической реализации и могут быть организованы в следующие восемь категорий восприимчивости (национальной уязвимости база данных):
    1. Ошибка проверки входных данных (IVE): включает неспособность проверить неправильный ввод и чтение/запись с участием недопустимый адрес памяти. Эта категория восприимчивости также называется условие ошибки (BCE) или переполнение буфера (BOF).
    2. Ошибка проверки доступа (AVE): причины отказа в применении правильных привилегий для пользователя.
    3. Исключительные условия обработки ошибок (ЕЦОСЗ): возникает из-за сбоев в реагировании на неожиданные данные или условий.
    4. Экологические ошибки (EE): вызванные конкретными условиями вычислительной среды.
    5. Ошибка конфигурации (CE): Результаты неправильного системных настроек.
    6. Ошибка состояния гонки (RC): вызвано неправильной сериализации последовательности процессов.
    7. Ошибка конструктора (DE): причиной неправильного проектирования структуры программного обеспечения.
    8. Другие: включает восприимчивости, которые не принадлежат к типам, перечисленным выше. Эта категория восприимчивости иногда упоминается как нестандартная.
  2. Доступность угрозы: Угроза зонда и анализировать систему для того, чтобы узнать, какие восприимчивости доступны и как с целью последующей эксплуатации. Как правило угроза будет использовать точки доступа или услуг, предлагаемых системой для законных пользователей как исходную точку входа. Угроза доступа обычно является расширением доступа законных пользователей, потому что некоторые точки доступа могут быть без документов или не представляющих интерес для пользователей. Точки доступа включают беспроводные сети, устаревшие dialup линии, / Обслуживание портов, автоматические обновления и так далее. Кроме того коммерческих и с открытым исходным кодом системы доступны злоумышленнику для тестирования и использования проверки до начала реальной атаки. К вам предложат любой доступ, злоумышленник предоставляет возможность обучения.
  3. Возможность угрозы: После тщательного наблюдения (либо с помощью дистанционного наблюдения или на месте инструментирования) проектирование системы и ее функционирования злоумышленник попытается получить контроль, вскрывать или украсть подробную систему дизайн знаний или другие ценные данные. Такие попытки часто производятся с использованием либо известных или нулевой день эксплуатировать определяется после дополнительной системы обратного проектирования. Опытные злоумышленники обычно используют методический подход к обратный инжиниринг, во время которого они ожидают наблюдать определенные модели поведения системы. Эти системы поведения служат ориентирами для эксплуатации и значительно помочь злоумышленнику. Степень, в которой злоумышленник успешно будет зависеть от уровня их системы знаний, их возможности и ресурсы для разработки и использования специальных инструментов, учитывая функциональность и операционной среды системы и общий уровень инженерного опыта.

Эта форма модели угроз имеет глубокие корни в электронной войны (EW) тестирования и оценки сообщества. Это сообщество разделяет аналогичные рамки состязательной (то есть мера контрмеры) с кибер физической системы безопасности. Версия этой модели угроз было предложено для EW анализа уязвимости в 1978 году и называется анализ уязвимости связь данных (DVAL) (Guzie, 2000). DVAL имеет четыре компонента в определении уязвимости: восприимчивость, interceptibility, доступность и осуществимость. Однако в отличие от DVAL, три догматов угрозы модель предполагает, что «возможность» и «interceptibility» эффективно объединены в то, что мы называем «потенциал». В современных сложных кибер физических систем на основе технологий коммерческих off шельфа злоумышленники могут репетировать для почти любой данной операционной среды и создать потенциал эксплуатации. Такие репетиции возможно даже с специализированным компьютерным управлением системами, как показано, например, Stuxnet.

Таким образом, модель угроз три догматов полагает, что три ингредиенты являются необходимыми и достаточными для кибер физической уязвимости существуют: i) системы восприимчивость, ii) угрозы доступности и iii) угрозу возможности. Три модели угрозы элементы показаны на рисунке 5. Эта цифра изображает совместное появление этих ингредиентов, как пространство уязвимости и поэтому успешные атаки.

Рисунок 5

Рисунок 5. Три ингредиенты, необходимые и достаточные для кибер физической уязвимости существуют

Дополнительные доказательства того, что эта уязвимость модель подходит приходит от теории так называемой повседневной деятельности (Крыса) (Коэн и Фелсон, 1979), который используется в криминологии. Эта теория утверждает, что преступления возникают при совпадении трех элементов: i) есть мотивированный преступник, ii) существует нехватка опеки и iii) существует подходящей мишенью. Элементы крысы и перечисленные выше элементы модели угрозы имеют четкое соответствие: возможность = мотивированный преступник, доступность = отсутствие опекунов, восприимчивость = подходящую цель. Наша модель угроз также связана с «средствами, мотив и возможность» аргументы для убеждения присяжных вины подозреваемого. Суть заключается в том, что предыдущая работа в области криминологии является актуальной и в соответствии с нашим подходом к моделированию связи.

С эти три необходимые и достаточные условия для кибер физической уязвимости существуют мы можем разработать методы смягчения последствий и метрики для каждого состояния. Эти методы смягчения называются тремя принципами и соответствуют каждому условию, описанных выше. В совокупности трех принципов составляют системы безопасности инженерный подход, состоящий из безопасного проектирования методологии и оценки инструмента для оценки безопасности. Три внедряются и описаны ниже:

  1. Фокус на том, что имеет решающее значение: Первый принцип предписывает конструктору сознательно и методично сосредоточиться на том числе только те системные функции, которые имеют важное значение для миссии. Это признание Occam в razor в конструкторе систем. Приверженность этому принципу сокращает число потенциальных восприимчивости, и, следовательно, являются скомпрометированы пути между нападавших начальное состояние (например, точки доступа системы) и цели государств, в которых миссии основные функции, критические элементы управления или критически важные данные. Этот принцип устраняет эти точки доступа и восприимчивости, связанные с ненужных функций.
  2. Перемещение ключевых активов Out-of-Band: Второй постулат предписывает конструктору сознательно различать между доступом пользователей и злоумышленнику доступ для данной системы миссии. Этот принцип изменяет доступность системы и осуществляется путем перемещения данных/процессы, используемые функциями миссии essential, их контроля безопасности и связанные доступа точки out-of-band нападавшего логически, физически, или оба. Под «out-of-band» мы подразумеваем не доступны злоумышленнику через их доступа предпочтительным или доступных методов. Соблюдение этого принципа снижает угрозу для данной миссии (например, вариант использования) и может включить неизменные наблюдения состояния системы с датчиком контроля безопасности. И интенсивность разграничения доступа между пользователем и злоумышленником сильно зависит от типа механизма out-of-band и делается ли это в программном обеспечении или оборудовании.
  3. Обнаруживать, реагируют, адаптировать: Третий постулат предписывает конструктору использовать динамического зондирования и реагирования технологий (например, управления датчика или ссылки монитор безопасности), уменьшения угрозы возможностей и попыток эксплуатации через автоматизированные (предпочтительно вегетативная) системы поведения. Соблюдение этого принципа путает злоумышленника возможности путем возражения непредсказуемой системы (например, нестационарной) и адаптивной (то есть, с пенальти) вместо того, чтобы просто быть пассивным.

Так же, как каждый ингредиент модели угроз имеет заземления в классической криминологии теории и EW, каждый из трех принципов выступала и практикуется в той или иной форме компьютерной безопасности исследователей и разработчиков в прошлом. Более подробная информация и более всеобъемлющее рассмотрение трех принципов в более и более технические статьи (Хьюз и Cybenko, 2013).

Три обеспечивают количественную основу для следующих показателей безопасности, которые являются лишь иллюстративный характер более всеобъемлющих и количественных показателей, которые можно:

  1. Метрика восприимчивость системы: В простейшем случае эта конструкция системы метрика наставляет нас чтобы свести к минимуму число функций и услуг закона как точки доступа для системы критически важных функций. Эта метрика «достижимость» является прямым следствием первого принципа: для идентификации, реализации и защиты только критически.
  2. Метрика точки доступа: Минимизируйте объем ввода/вывода и системные процессы видимыми для злоумышленника. Этот показатель является прямым следствием второго принципа: для перемещения данных «out-of-band». Перечисление «в band» по сравнению с точками доступа «out-of-band» является одним из способов измерения применения второго Тенета.
  3. Метрика возможности угрозы: Минимизируйте полезную информацию в операциях системы в том смысле, что данные, собранные в одно время могут или не могут быть аналогичными или согласуются с данными, в другое время или на другом компьютере под наблюдением злоумышленника. Эта метрика «доказательства изменчивости» является прямым следствием третьего принципа: обнаружение, реагировать и адаптироваться. Она называется кибербезопасности практикующих «движущейся цели обороны».

Эти показатели могут быть легко измеряется путем перечисления точек доступа и ввод/вывод данных или процесса наблюдения вместе с определением функционального поведения системы.

Кроме того, существуют четкие экономические и эффективность компромиссы между, например, реализации принципа 3 (обнаружения, реагирования и адаптации) и Тенета 1 (осуществление только критических функций). Эти компромиссы могут решаться на основе запросов типа методологии и являются предметом текущей работы.

Заключение

В этой статье мы представили инициативе угрозы, описательные безопасности методологии, позволяющие рассуждения о кибер физической системы проектирования на стратегической основе. Мы считаем, что такой подход является четкой альтернативой традиционным предписывающий подходам к кибербезопасности, которые обеспечивают меньшюю проницательность в сравнительной ценности решений безопасности, с учетом всей системы безопасности торговли пространства. Лежащие в основе нашей методики является понятие «время компромисс.» Мы предлагаем, что это основные метрики, связанные с любой состязательной среде и что кибер физической системы безопасности ничем не отличается от физической безопасности в этом отношении. Конкретные метрики описаны, функционально связаны и расширить время к компромиссу. Эти метрики являются информативными и количественные руководства в разработке надежной системы. Будущая работа будет описывать математические основы трех принципов и обеспечить более полный вывод результирующей безопасности количественных показателей. Кроме того преимущества анализа сложной системы безопасности путем использования вероятностно формулировок, таких как запросы и анализ ЦРУ будет показано через сокращение на практике для различных вариантов использования. И наконец мы намерены разработать более четкую связь этих методологий для анализа безопасности жизненного цикла для кибер физических систем.

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
2 голоса были поданы с средний балл 5 звезд

Ключевые слова: доступность, конфиденциальность, целостность, количественные кибербезопасности, оценка риска, уязвимости

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.