Привет! С вами снова Даниил Нейман из отдела развития инициатив ИБ-сообществ. Это продолжение цикла статей о проблеме, с которой сталкивается специалист при анализе кибератак, — о сложности анализа без использования стандартизированных методов моделирования, используемых для разбиения и визуального представления этапов кибератаки.
Ранее были рассмотрены методы моделирования атак на основе сценариев использования и темпоральные методы моделирования. А завершим цикл статей мы рассмотрением методов, основанных на графах. Отличительная черта этих методов — использование графов, где сущностями являются вершины графа, а связями между ними — ребра.
Дерево атаки
Метод впервые был формально описан в 1999 году. В нем этапы сценария атаки расписываются в виде древовидной структуры, где корневая вершина представляет собой цель атаки, а листья дерева — способы ее достижения.
Используем дерево для представления атаки с Mimikatz и дампом LSA-секретов, описанной в прошлых статьях.
Плюсы подхода:
Простота описания атаки за счет малого количества видов связей и объектов.
Наличие логики AND и OR. Она позволяет указать условия, обязательные для выполнения действия.
Минусы:
С помощью древовидной структуры сложно описать взаимодействие между разными атаками или комбинациями атак.
Если система имеет большое количество возможных векторов атак, то дерево может быстро стать слишком громоздким и трудным для восприятия.
Сеть Петри
Метод основан на математической модели, разработанной в 1960-x годах немецким математиком Карлом Петри, которую он использовал для описания химических процессов. Рассмотрим логику ее построения.
Сети Петри состоят из четырех элементов:
множество позиций P,
множество переходов T,
входная функция I,
выходная функция O.
Входная и выходная функции связаны с переходами и позициями. Входная функция I отображает переход T во множество позиций I(T), называемых входными позициями перехода. Выходная функция O отображает переход P в множество позиций O(P), называемых выходными позициями перехода.
Сети Петри управляются количеством и распределением фишек на диаграмме, требуемых для запуска переходов. Переход запускается удалением фишек из его входных позиций и образованием новых фишек, помещаемых в выходные позиции.
Переход запускается, если каждая из его входных позиций имеет хотя бы одну фишку.
С помощью следующих конструкций в сетях Петри можно реализовать логику AND и OR.
Опишем сеть Петри для нашего примера.
Плюсы подхода:
Хорошо показывает последовательность и параллельность действий злоумышленника путем переходов с фишками.
Основан на математической модели, что помогает решить проблему стандартизации метода.
Возможно реализовать логические операторы через основные элементы.
Минусы:
Сложные моделирование и проверки с учетом всех возможных переменных и переходов.
Может оказаться трудным для понимания и использования специалистами, не знакомыми с ним.
Дерево неисправностей
Метод был выведен в 1962 году и по своей структуре похож на метод дерева атак. Основные отличия первого от второго — добавление специальных блоков для принятия решений и разделение событий на различные типы.
Рассмотрим основные элементы схемы.
Построим дерево неисправностей для нашего примера. Начнем с определения конечного критического события, которое будет результатом некоторых действий. Эти действия выстраиваются в виде древовидной структуры.
Плюс:
Большая стандартизированная теоретическая составляющая с различными видами связей и объектов.
Минусы:
Плохая масштабируемость, затрудняющая создание, анализ и изменение диаграмм.
Подходит только для последовательных и независимых событий ввиду фокусировки на одном конечном событии.
Дерево событий
Метод начал активно разрабатываться в 70-е годы для описания возможных рисков. Его использовали на атомных электростанциях, химических заводах и при конструировании космических аппаратов. Он заменил ранее рассмотренные деревья неисправностей, так как диаграммы получались слишком большими и трудными для анализа.
В основе метода лежит определение первоначального события — первого существенного отклонения от нормальной ситуации, которое может привести к многочисленным нежелательным последствиям (например, взрыв может начать пожар).
Рассмотрим пример с определенными ранее процедурами атаки.
Используя этот метод, мы подсвечиваем альтернативные действия злоумышленника, которые он может совершить для получения нужного ему исхода. Однако большой минус подхода — в том, что определяется только одно начальное событие. Это, в свою очередь, не дает полностью покрыть все угрозы, особенно если они реализуются параллельно. В качестве примера можно привести аварию на АЭС «Фукусима-1»: одной из ее причин стало цунами, возникшее в ходе землетрясения. Риск того, что эти два события произойдут одновременно, не был учтен.
Плюс:
Позволяет оценить все возможные исходы одного начального события путем анализа каждого последующего шага в цепочке. Подсвечивает не только худшие исходы, но и промежуточные или благоприятные.
Минусы:
Не учитывает параллельные и связанные события, которые могут происходить во время основного.
Плохо масштабируется при большом количестве переменных.
Дерево решений
Метод схож с методом дерева событий. Основным отличием является использование блок-схемы для описания действий и их связей.
Приведем пример.
На диаграмме прямоугольные блоки представляют собой действия злоумышленника, а ромбы — условия, от исхода которых зависят дальнейшие возможные действия. Отсюда и название — дерево решений.
Плюсы и минусы метода совпадают с преимуществами и недостатками дерева событий, большое различие только в визуальном представлении.
Граф атаки
Прежде чем перейти к описанию метода графов атак, дадим определение семантическим сетям.
Семантическая сеть — это модель данных, в которой информация представляется в виде ориентированного графа. Его вершины соответствуют объектам, а ребра — их свойствам.
Семантические сети позволяют в удобном виде выстраивать логические цепочки и проводить параллели между схожими типами информации. Это лежит в основе метода графов, где различные элементы связываются друг с другом с целью построения и полного описания сценария атаки.
Таким образом, перед тем, как составлять конкретный граф атаки, следует выделить основные связи между его элементами. Для примера выделим несколько простых связей.
И сущностей.
Далее построим граф атаки для нашего примера.
Плюсы:
Интуитивное представление всех возможных связей и действий, позволяющее в легком для понимания виде визуализировать потенциальные атаки.
Возможность моделировать сложные многоэтапные атаки, включая ситуации, где злоумышленник комбинирует разные уязвимости для достижения одной или нескольких целей.
Минусы:
Проблема стандартизации возможных связей между объектами, что, в свою очередь, приводит к проблемам с масштабируемостью (из-за выделения слишком большого количества элементов и связей).
Таким образом, мы рассмотрели основные методы моделирования атак, которые могут использоваться для анализа угроз, предсказания поведения злоумышленников и для разработки более эффективных мер защиты. При этом важно понимать, что ни один из подходов не является универсальным. Выбор метода зависит от целей анализа, сложности сценария атаки и от доступных ресурсов.
Методы, основанные на сценариях использования, особенно полезны для построения обобщенного сценария атаки. Они фокусируются на представлении атаки через последовательность потенциальных действий злоумышленника, что упрощает анализ и интерпретацию.
Темпоральные методы позволяют учесть время, последовательность событий и их зависимость и поэтому незаменимы при анализе сложных атак с параллельными действиями.
Методы, основанные на графах, позволяют выстроить взаимосвязи между объектами и этапами атаки, подходят для многоступенчатых и комбинированных сценариев.
Рассмотрев все эти подходы, можно сказать, что их дальнейшая разработка и внедрение позволят повысить эффективность анализа сценариев, интерпретировать кибератаки в виде схем и стандартизированных данных. Используя полученные сведения, возможно создать основу для разработки более надежных систем защиты. Кроме того, благодаря унифицированному формату экспертные знания и лучшие практики станут доступными для всех специалистов. Это ускорит развитие индустрии информационной безопасности во всем мире.