СПОСОБ ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ОБЪЕКТОВ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ Российский патент 2025 года по МПК G06F21/57 G06N3/02 

ОБЛАСТЬ ТЕХНИКИ

Изобретение относится к области информационной безопасности, а именно к средствам оценки актуальности угроз безопасности информации (далее - угрозы). Изобретение может быть использовано как самостоятельно в рамках деятельности по анализу угроз безопасности информации информационной инфраструктуры организаций и ведомств, а также в составе систем автоматизации управления процессами информационной безопасности, рисками информационной безопасности и соответствия законодательству (SGRC-системы).

УРОВЕНЬ ТЕХНИКИ

Известен способ определения потенциальных угроз безопасности информации на основе сведений об уязвимостях программного обеспечения [1], содержащий этапы, на которых:

получают перечень известных уязвимостей программного обеспечения и угроз;

создают искусственные нейронные сети (ИНС), причём каждая искусственная нейронная сеть создаётся с четырьмя входами, принимающими значения признаков уязвимости программного обеспечения («класс уязвимости», «тип ошибки CWE», «тип программного обеспечения» и «базовая оценка CVSS»), одним скрытым слоем, содержащим 8 нейронов, и одним выходом для определения возможности реализации угроз, причём в качестве функции активации нейронов используется сигмоидальная функция;

получают набор обучающих выборок уязвимостей программного обеспечения для каждой ИНС, при этом значения признаков уязвимостей программного обеспечения предварительно кодируют таким образом, что значения категориальных признаков («класс уязвимости», «тип ошибки CWE» и «тип программного обеспечения») представляются отношением количества положительных примеров объектов обучающей выборки, относящихся к соответствующей категории, к общему количеству примеров обучающей выборки, относящихся к данной категории, а значение количественного признака «базовая оценка CVSS» нормализуется;

производят обучение созданных ИНС путём ввода сформированных для каждой ИНС обучающих выборок, причём обучение производят с использованием «Быстрого» метода обучения (предложенного Фальманом);

получают перечень выявленных в информационной системе уязвимостей программного обеспечения;

подают признаки каждой выявленной в информационной системе уязвимости программного обеспечения на вход каждой созданной ИНС и получают на выходе вероятность реализации соответствующей угрозы;

формируют ранжированный по вероятности реализации перечень потенциальных угроз.

Однако известный способ характеризуется ограниченными функциональными возможностями, по следующим причинам.

Во-первых, способ позволяет выявлять только угрозы, обусловленные наличием известных уязвимостей и (или) ошибок в программном обеспечении информационных систем. Примерами таких угроз являются угроза установки уязвимых версий обновления программного обеспечения BIOS и угроза избыточного выделения оперативной памяти. При этом, способ не позволяет выявлять угрозы, обусловленные используемыми информационными технологиями. Например, использование на объектах информационной инфраструктуры хотя бы одной информационной технологии из группы облачных технологий обуславливает актуальность угроз, характерных для облачных технологий, вне зависимости от программного обеспечения, используемого на таких объектах. Например, угрозы непрерывной модернизации облачной инфраструктуры и угрозы злоупотребления доверием потребителей облачных услуг.

Во-вторых, способ не учитывает угрозы и уязвимости отдельных компонентов программного обеспечения информационных систем.

В-третьих, область применения способа ограничена выявлением угроз в отношении только одного типа объектов информационной инфраструктуры организаций и ведомств - информационных систем.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯ

Техническая задача, положенная в основу настоящего изобретения, заключается в обеспечении возможности определения актуальных угроз объектов информационной инфраструктуры на основе сведений, полученных в ходе технического обследования таких объектов, в автоматизированном режиме.

Технический результат, на достижение которого направлено предполагаемое изобретение, заключается в снижении сложности и трудоемкости процесса формирования перечня актуальных угроз объектов информационной инфраструктуры.

Указанный технический результат достигается реализацией заявляемого способа определения актуальных угроз безопасности информации объектов информационной инфраструктуры, включающего в себя следующие шаги как в прототипе:

получают перечень известных уязвимостей программного обеспечения и угроз, обусловленных наличием уязвимостей программного обеспечения, необходимый для дальнейшего формирования обучающей выборки, причем данный перечень может быть получен из различных баз данных уязвимостей и угроз или других доступных источников;

создают ИНС для определения возможности реализации угроз, обусловленных наличием уязвимостей программного обеспечения, причем ИНС создают для каждой такой угрозы, актуальность которой необходимо проверить для объекта информационной инфраструктуры, причем каждую ИНС создают с четырьмя входами, принимающими значения признаков уязвимости («класс уязвимости», «тип ошибки CWE», «тип программного обеспечения» и «базовая оценка CVSS»), одним скрытым слоем, содержащим 8 нейронов, и одним выходом, на котором формируется вероятность реализации угрозы при заданных на входах ИНС признаках уязвимости;

получают набор обучающих выборок уязвимостей программного обеспечения (эталонных данных об уязвимостях) для каждой ИНС, причем каждый набор содержит два класса обучающих выборок: первый класс обучающих выборок представляет собой сведения об уязвимостях программного обеспечения, которые способны быть проэксплуатированы для реализации данной угрозы, а второй класс обучающих выборок представляет собой сведения об уязвимостях программного обеспечения, эксплуатация которых не может повлечь реализацию данной угрозы, при этом значения признаков уязвимостей программного обеспечения предварительно кодируют таким образом, что значения категориальных признаков («класс уязвимости», «тип ошибки CWE» и «тип программного обеспечения») представляются отношением количества положительных примеров объектов обучающей выборки, относящихся к соответствующей категории, к общему количеству примеров обучающей выборки, относящихся к данной категории, а значение количественного признака «базовая оценка CVSS» нормализуется;

производят обучение созданных ИНС на эталонных данных об уязвимостях путем ввода сформированных для каждой ИНС обучающих выборок первого и второго класса, причем выборки могут вводиться в произвольном порядке так, чтобы ИНС обучались определению уязвимостей программного обеспечения, которые потенциально могут повлечь реализацию соответствующих угроз;

получают перечень выявленных в программном обеспечении объекта информационной инфраструктуры уязвимостей по результатам анализа используемого на объекте информационной инфраструктуры программного обеспечения, а также программных платформ, библиотек и заимствованных модулей, используемых программным обеспечением в своей работе, на наличие известных уязвимостей, а также уязвимостей «нулевого дня», т.е. уязвимостей, о которых стало известно до момента выпуска разработчиком соответствующего программного обеспечения исправлений ошибок или соответствующих обновлений;

подают признаки каждой уязвимости, выявленной программном обеспечении объекта информационной инфраструктуры, на вход каждой созданной ИНС и получают на выходе вероятность реализации соответствующей угрозы;

дополнительно, согласно изобретению,

формируют базу данных признаков использования информационных технологий, включающей перечень известных групп информационных технологий и формализованный перечень признаков использования для каждой из групп информационных технологий;

получают перечень известных угроз, обусловленных используемыми информационными технологиями, причем данный перечень может быть получен из различных баз данных угроз или других доступных источников;

создают ИНС для определения возможности реализации угроз, обусловленных используемыми информационными технологиями, причём ИНС создают для каждой группы информационных технологий, использование которых необходимо выявить на объекте информационной инфраструктуры, а ИНС для каждой группы информационных технологий создают с количеством входов, соответствующим количеству признаков в формализованным перечне признаков использования конкретной группы информационных технологий, и одним выходом, на котором формируется вероятность использования информационных технологий конкретной группы информационных технологий при заданных на входах ИНС признаках использования информационных технологий;

получают набор обучающих выборок признаков использования групп информационных технологий (эталонных данных о группах) для каждой ИНС, причем каждый набор содержит два класса обучающих выборок: первый класс обучающих выборок представляет собой сведения о признаках использования групп информационных технологий, которые обуславливают актуальность угрозы, а второй класс обучающих выборок представляет собой сведения о признаках использования групп информационных технологий, которые не обуславливают актуальность угрозы, при этом значения признаков использования групп информационных технологий предварительно кодируют таким образом, что значения категориальных признаков представляются отношением количества положительных примеров объектов обучающей выборки, относящихся к соответствующей категории, к общему количеству примеров обучающей выборки, относящихся к данной категории;

производят обучение созданных ИНС на эталонных данных о группах путем ввода сформированных для каждой ИНС обучающих выборок первого и второго класса, а выборки могут вводиться в произвольном порядке так, чтобы ИНС обучались определению признаков использования групп информационных технологий, которые обуславливают актуальность соответствующих угроз;

получают перечень выявленных на объекте информационной инфраструктуры групп информационных технологий по результатам анализа сведений об объекте информационной инфраструктуры, полученных по результатам его обследования (сканирования);

подают признаки каждой группы информационных технологий, выявленной на объекте информационной инфраструктуры, на вход каждой созданной ИНС и получают на выходе вероятность реализации соответствующей угрозы, обусловленной используемыми информационными технологиями;

формируют ранжированный по вероятности реализации перечень потенциальных угроз по результатам работы ИНС, созданных для определения возможности реализации угроз, обусловленных наличием уязвимостей программного обеспечения, и ИНС, созданных для определения возможности реализации угроз, обусловленных используемыми информационными технологиями;

формируют перечень актуальных угроз объекта информационной инфраструктуры, отбрасывая все угрозы, реализация которых требует потенциала нарушителя выше заданного для объекта информационной инфраструктуры.

Эти отличительные признаки, по сравнению с прототипом, позволяют сделать вывод о соответствии заявляемого технического решения критерию "новизна".

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

На фиг. 1 представлена блок-схема последовательности операций, иллюстрирующая способ определения актуальных угроз безопасности информации объектов информационной инфраструктуры согласно примерному варианту реализации, который может быть выполнен, например, в виде веб-приложения, программного обеспечения для настольных или мобильных платформ.

На этапе 120 формируют базу данных признаков использования информационных технологий. Сведения об информационных технологиях могут храниться в базе данных таким образом, чтобы необходимую информацию можно было получить путем выполнения специальных запросов.

На этапе 111 получают перечень известных уязвимостей программного обеспечения и угроз, обусловленных наличием уязвимостей программного обеспечения. На этапе 121 получают перечень известных угроз, обусловленных используемыми информационными технологиями. Сведения об уязвимостях программного обеспечения и угрозах могут храниться в базе данных таким образом, чтобы необходимую информацию можно было получить путем выполнения специальных запросов.

На этапах 112 и 122 создают многослойные ИНС прямого распространения. Структура ИНС, создаваемых для определения возможности реализации угроз, обусловленных наличием уязвимостей программного обеспечения, показана на фиг. 2, а ИНС, создаваемых для определения возможности реализации угроз, обусловленных используемыми информационными технологиями, показана на фиг. 3. В качестве функции активации используется сигмоидальная функция (системное название - FANN SIGMOID). Многослойные ИНС могут быть реализованы с использованием одной из существующих программных библиотек для создания ИНС, например, с использованием библиотеки с открытым исходным кодом FANN (Fast Artificial Neural Network), использование которой возможно при разработке более, чем на 30 различных языках программирования [2].

На этапах 113 и 123 для обучения каждой созданной ИНС получают наборы обучающих выборок (эталонных данных об уязвимостях и эталонных данных о группах соответственно). Получение наборов обучающих выборок может быть осуществлено путем специально сформированных запросов к базе данных, созданной на этапах 111 и 112. Данные в обучающих выборках должны быть закодированы таким образом, что значения категориальных признаков представляются отношением количества положительных примеров объектов обучающей выборки, относящихся к соответствующей категории, к общему количеству примеров обучающей выборки, относящихся к данной категории.

На этапах 114 и 124 производят обучение созданных ИНС с использованием полученных эталонных данных об уязвимостях и эталонных данных о группах соответственно. В случае реализации ИНС с использованием библиотеки FANN процедура обучения может быть осуществлена с применением специальных функций для обучения ИНС, входящих в состав указанной библиотеки на выбранном языке программирования [2], при этом в качестве алгоритма обучения используется «Быстрый» метод обучения (системное название - FANNTRAINQUICKPROP).

На этапе 115 получают перечень выявленных на объекте информационной инфраструктуры уязвимостей используемого в нём программного обеспечения, а также программных платформ, библиотек и заимствованных модулей, используемых программным обеспечением в своей работе. Сведения об уязвимостях программного обеспечения объекта информационной инфраструктуры могут быть получены, например, путем сканирования объекта информационной инфраструктуры с использованием существующих сканеров уязвимостей или поиска в доступных источниках сведений об уязвимостях используемых на объекте информационной инфраструктуры версий программного обеспечения, а также версий программных платформ, библиотек и заимствованных модулей, используемых в исследуемых версиях программного обеспечения.

На этапе 116 поочередно подают параметры каждой уязвимости из составленного на этапе 115 перечня на вход каждой ИНС, созданной для определения возможности реализации угроз, обусловленных наличием уязвимостей программного обеспечения. А на этапе 126 поочередно подают параметры каждой группы информационных технологий из составленного на этапе 125 перечня на вход каждой ИНС, созданной для определения возможности реализации угроз, обусловленных используемыми информационными технологиями. В результате на выходе ИНС формируется значение вероятности реализации соответствующей угрозы. При использовании библиотеки FANN указанные на данном этапе операции могут быть реализованы на выбранном языке программирования с использованием специальных функций для запуска ИНС из указанной библиотеки [3].

На этапе 107 формируют ранжированный по вероятности реализации перечень потенциальных угроз.

На этапе 108 формируют перечень актуальных угроз объекта информационной инфраструктуры, отбрасывая все угрозы, реализация которых требует потенциала нарушителя выше заданного для объекта информационной инфраструктуры. Потенциал нарушителя выбирается экспертом на основе классификации, принятой в Банке данных угроз [4].

Заявляемый способ проверен экспериментально в лабораторных условиях. Предлагаемое техническое решение является новым, поскольку из общедоступных сведений не известен способ определения актуальных угроз безопасности информации объектов информационной инфраструктуры, использующий:

анализ совокупности признаков уязвимостей программного обеспечения и признаков групп информационных технологий;

структуры нейронных сетей, приведенные на фиг. 2 и фиг. 3;

формирование перечня потенциальных угроз как, обусловленных наличием уязвимостей программного обеспечения, так и обусловленных используемыми информационными технологиями;

фильтрацию потенциальных угроз на основе задаваемого потенциала нарушителя.

Предлагаемое техническое решение промышленно применимо, поскольку для его реализации может быть использовано стандартное компьютерное оборудование и программное обеспечение, выпускаемое промышленностью и имеющееся на рынке. Достоинства предлагаемого изобретения заключаются в следующем:

реализация способа позволяет в автоматизированном режиме решать трудоемкую задачу по получению сведений об актуальных угрозах объектов информационной инфраструктуры;

предлагаемый способ, в отличие от [1], позволяет включать в перечень актуальных угроз кроме угроз безопасности информации, обусловленных наличием уязвимостей программного обеспечения, также угрозы, обусловленные информационными технологиями, используемыми на объектах информационной инфраструктуры;

предлагаемый способ может быть реализован на большинстве современных языков программирования, при этом он может быть выполнен в виде веб-приложения, программного обеспечения для настольных или мобильных платформ;

реализация способа может быть осуществлена без финансовых затрат, поскольку для его реализации может быть использовано свободно распространяемое программное обеспечение.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Предлагаемое изобретение поясняется чертежами и графическими изображениями, на которых показаны:

на фиг. 1 - блок-схема последовательности операций, иллюстрирующая способ определения актуальных угроз;

на фиг. 2 - структура ИНС для определения возможности реализации угрозы безопасности информации, обусловленной наличием уязвимостей программного обеспечения;

на фиг. 3 - структура ИНС для определения возможности реализации угрозы безопасности информации, обусловленной используемыми информационными технологиями.

ИСТОЧНИКИ ИНФОРМАЦИИ

1. Способ определения потенциальных угроз безопасности информации на основе сведений об уязвимостях программного обеспечения. Патент на изобретение RU 2705460 С1 (опубл. 07.11.2019, МПК G06F 21/57, G06N 3/02).

2. FANN [Электронный ресурс] FANN Training: Режим доступа: http://libfann.github.io/fann/docs/files/fann_train-h.html свободный (дата обращения: 05.06.2024).

3. FANN [Электронный ресурс] FANN Creation/Execution: Режим доступа: http://libfann.github.io/fann/docs/files/fann-h.html свободный (дата обращения: 05.06.2024).

4. Банк данных угроз безопасности информации Федеральной службы по техническому и экспортному контролю [Электронный ресурс] Потенциал нарушителя (Attacker potential): Режим доступа: https://bdu.fstec.ru/ubi/terms/terms/view/id/38 свободный (дата обращения: 05.06.2024).

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении возможности определения актуальных угроз безопасности информации объектов информационной инфраструктуры. Указанный результат достигается за счет того, что получают перечень известных уязвимостей и угроз; создают искусственные нейронные сети (ИНС); получают набор обучающих выборок уязвимостей для ИНС; производят обучение ИНС; получают перечень выявленных уязвимостей; подают признаки выявленных уязвимостей на входы ИНС и получают на выходе вероятность реализации соответствующей угрозы; формируют базу данных признаков использования информационных технологий; получают перечень известных угроз; создают ИНС для определения возможности реализации угроз; получают набор обучающих выборок признаков использования групп информационных технологий для ИНС; производят обучение ИНС; получают перечень групп информационных технологий; подают признаки каждой группы информационных технологий на вход ИНС и получают на выходе вероятность реализации соответствующей угрозы; формируют ранжированный по вероятности реализации перечень потенциальных угроз; формируют перечень актуальных угроз объекта информационной инфраструктуры, отбрасывая все угрозы, реализация которых требует потенциала нарушителя выше заданного. 3 ил.

Способ определения актуальных угроз безопасности информации объектов информационной инфраструктуры, содержащий этапы, на которых:

получают перечень известных уязвимостей и угроз, обусловленных наличием уязвимостей программного обеспечения;

создают искусственные нейронные сети (ИНС), причем каждая искусственная нейронная сеть создается с четырьмя входами, принимающими значения признаков уязвимости «класс уязвимости», «тип ошибки CWE», «тип программного обеспечения» и «базовая оценка CVSS», одним скрытым слоем, содержащим 8 нейронов, и одним выходом для определения возможности реализации угроз, обусловленных наличием уязвимостей программного обеспечения;

получают набор обучающих выборок уязвимостей для каждой ИНС, при этом значения признаков уязвимостей предварительно кодируют таким образом, что значения категориальных признаков «класс уязвимости», «тип ошибки CWE» и «тип программного обеспечения» представляются отношением количества положительных примеров объектов обучающей выборки, относящихся к соответствующей категории, к общему количеству примеров обучающей выборки, относящихся к данной категории;

производят обучение созданных ИНС путем ввода сформированных для каждой ИНС обучающих выборок;

получают перечень выявленных в программном обеспечении объекта информационной инфраструктуры уязвимостей;

подают признаки каждой выявленной в программном обеспечении объекта информационной инфраструктуры уязвимости на вход каждой созданной ИНС и получают на выходе вероятность реализации соответствующей угрозы, обусловленной наличием уязвимостей программного обеспечения;

отличающийся тем, что

формируют базу данных признаков использования информационных технологий;

получают перечень известных угроз, обусловленных используемыми информационными технологиями;

создают ИНС для определения возможности реализации угроз, обусловленных используемыми информационными технологиями;

получают набор обучающих выборок признаков использования групп информационных технологий, т.е. эталонных данных о группах, для каждой ИНС;

производят обучение созданных ИНС на эталонных данных о группах;

получают перечень выявленных на объекте информационной инфраструктуры групп информационных технологий;

подают признаки каждой группы информационных технологий, выявленной на объекте информационной инфраструктуры, на вход каждой созданной ИНС и получают на выходе вероятность реализации соответствующей угрозы, обусловленной используемыми информационными технологиями;

формируют ранжированный по вероятности реализации перечень потенциальных угроз по результатам работы ИНС, созданных для определения возможности реализации угроз, обусловленных наличием уязвимостей программного обеспечения, и ИНС, созданных для определения возможности реализации угроз, обусловленных используемыми информационными технологиями;

формируют перечень актуальных угроз объекта информационной инфраструктуры, отбрасывая все угрозы, реализация которых требует потенциала нарушителя выше заданного для объекта информационной инфраструктуры.