Автор: Shuangyan Liu, Ching-hang Cheung, Lam-for Kwok
Источник: Australian Information Security Management – Conferences, Symposia and Campus Events
Shuangyan Liu, Ching-hang Cheung, Lam-for Kwok. Разграничение знаний при моделировании информационной безопасности системы. В статье описаны методы анализа рисков, представление знаний и интеграции данных в систему безопасности, предложена модель разграничения знаний пользователей при моделировании системы информационной безопасности.
Процесс сбора данных для оценки рисков в значительной степени зависит от опыта сотрудников служб безопасности организации. Трудно иметь нужный персонал по информационной безопасности, который понимает требования и текущее состояние безопасности организации и в то же время обладает навыками выполнения оценки риска. Однако хорошо определенная модель знаний может помочь описать категории знаний, необходимых для руководства процессом сбора данных. В этой статье вводится структура знаний, которая включает модель знаний для определения скелета данных среды риска организации и шаблонов безопасности об отношениях между угрозой, сущностью и контрмерами; и механизм интеграции данных для интеграции распределенных данных, связанных с безопасностью, в репозиторий данных безопасности, который является специфическим для организации и моделирование информационной безопасности.
Большинство предприятий согласны с тем, что знания являются важным активом для выживания и успеха в конкурентной среде; это осознание является одной из основных причин экспоненциального роста знаний в последнее десятилетие [Benjamins, et. al, 1998]. Знания могут быть любого рода: молчаливые, задокументированные или процедурные. Знание информационной безопасности имеет первостепенное значение для поддержания хорошей информационной безопасности организации, особенно в области оценки рисков информационной безопасности.
Деятельность по оценке рисков включает в себя процесс обременительного сбора данных, который включает сбор информации об активах, угрозах, уязвимостях и т. д. Однако компетентность эффективно собирать данные основывается на опыте безопасности в отношении угроз и контрмер в различных областях [Landoll, 2006]. Методология, которая может помочь собрать данные безопасности, основанные на предыдущем опыте безопасности является необходимой.
В этой статье представлена структура знаний для управления процессом сбора данных для обеспечения модели информационной безопасности. Эта структура включает модель знаний для предоставления подробных определений знаний о безопасности и механизм интеграции данных для применения знаний о безопасности, поддерживаемых в модели, для руководства данными.
Модель информационной безопасности ([Kwok et al., 1997], [Kwok et al., 1999], [Kwok et al., 2004]), которая накапливает оперативные данные и опыт безопасности, сформулирована для содействия процессу сбора данных для анализа рисков исследования. Она направлена на сбор всех имеющихся в настоящее время данных информационной безопасности и со временем ввода новых данных.
Прототип ISM ([Fung et al., 2003], [Kwok et al., 2001]) предоставляет структуру каталогов для хранения документации безопасности в электронном виде. Электронная документация по безопасности обеспечивает общий источник информации для широкого круга сотрудников, ответственных за обеспечение информационной безопасности, и сводит к минимуму дублирование усилий по набору данных.
Однако эта структура каталогов делает данные безопасности и знания безопасности смешанными. Неудобно хранить и обновлять данные, связанные с безопасностью, в организации, и знания в области безопасности не могут повторно использоваться и совместно использоваться в течение длительного периода времени для процесса периодического анализа рисков.
Для моделирования информационной безопасности, как уже упоминалось выше, наша база знаний нацелена на предоставление методологии сбора обновленных данных безопасности, которые являются специфическими для требований к данным процесса сбора данных под руководством знаний о безопасности, которые поддерживаются в этих рамках.
Представлены три компонента модели знаний: «Скелет данных», «Шаблоны общей безопасности» и «Шаблонные экземпляры шаблонов безопасности». Первые два компонента основаны на предыдущем ISM, в котором Data Skeleton представляет структуру данных об окружающей среде риска организации, а шаблоны общей безопасности - отношения между угрозой, сущностью и контрмерами. В нашем исследовании для экспертов по безопасности предоставляется интерфейс для создания шаблонных экземпляров шаблонов безопасности на основе их опыта безопасности и первых двух компонентов в модели. Онтологическое представление в модели знаний разрабатывает определения компонентов. Преимущества использования представления онтологий будут обсуждаться позже.
Механизм интеграции данных в рамках системы позволяет интегрировать распределенные данные, связанные с безопасностью, в специализированный репозиторий данных безопасности под руководством знаний о безопасности, которые представлены в онтологии (подробности описаны ниже). Предложено структурированное соответствие между схемой требований данных (глобальной схемой) и исходными схемами.
Предлагаемый скелет данных представляет собой структуру контекста риска организации, но не будет содержать каких-либо данных, связанных с безопасностью, специфичных для организации, которая является пропускной способностью хранилища данных конкретных данных.
Подобно скелету данных, общие шаблоны безопасности также основаны на предыдущем ISM, который отображает структуры распространения угрозы в вышеуказанных группах и шаблоны мер, противодействующих t reat. Концепция шаблона распространения угроз заключается в том, что угроза, действующая на объект, может вызвать другую угрозу для другого объекта. Общие отношения отношения серьезности (TE) и TETE, представленные в ISM [Kwok et. al, 2004] используются для выражения общей модели безопасности распространения угрозы в модели.
Определение шаблона контрмер имеет два соображения: (1) соответствующее предложение контрмеры каждой паре ThreatEntity; (2) развертывание дополнительных контрмер для обеспечения эффективности первоначальной контрмеры. Общие отношения отношения противодействий к угрозе (TEC) и TECTE, представленные в ISM [Kwok et. al, 2004] применяются для определения общей схемы защиты контрмеры в модели.
Фактически, экземпляры шаблонов общих шаблонов безопасности являются примерами шаблонов общих отношений, упомянутых выше. Например, сценарий угрозы «пользовательская смарт-карта дублируется» может быть представлен как пример отношения TE. Этому экземпляру может быть присвоено идентифицированное имя «TE0001». Он имеет два свойства: инцидент, угроза и цель. Сущность, в которой происходит инцидент. Угроза имеет значение «дублирование пользовательской смарт-карты» и цели. Объект имеет значение «пользователя смарт-карты».
Шаблоны общих шаблонов безопасности, такие как TE, TETE, TEC и TECTE, указывающие необходимые атрибуты этих классов отношений (как среднюю часть на рис. 2), должны предоставляться экспертам по безопасности для создания экземпляров шаблонов шаблонов безопасности (как правая часть рис.2). Значение требуемых атрибутов должно выбираться из концепций, представленных в скелете данных, в котором хранятся основные понятия угрозы, сущности и контрмеры.
Шаблонные экземпляры общих шаблонов безопасности могут помочь генерировать требования к данным для механизма интеграции данных. Экземпляры концепций угрозы, сущности и контрмеры могут быть созданы с помощью механизма интеграции данных, который будет рассмотрен ниже. Они известны как обычные примеры шаблонов безопасности в нашем исследовании.
Для представления компонентов в модели знаний построена фреймовая онтология. Кадры относятся к базовым понятиям в онтологии, например. классы, слоты или экземпляры. Эта онтология состоит из набора классов, организованных в таксономической иерархии. Мы также определяем слоты для этих классов. Экземпляры классов определяются путем предоставления определенных значений и дополнительных ограничений в этих слотах. Например, экземпляр шаблона шаблона безопасности «TE» может быть представлен как экземпляр классов TE в онтологии.
После процесса разработки поэтапного формирования формируется схема классификации онтологии (таблица 1). Онтология в настоящее время содержит 89 классов, включая классы от верхнего уровня до уровня бота.
Использование онтологии для представления компонентов в модели знаний направлено на то, чтобы помочь поддерживать глобальную схему механизма интеграции данных, которая будет рассмотрена ниже
Данные, связанные с безопасностью, представляют собой объекты, относящиеся к физическим и логическим аспектам безопасности. Объекты единиц, физических сетей и физических платформ связаны с физическими аспектами безопасности; и сущности информационных активов, прикладных систем и виртуальных сетей связаны с логическими аспектами безопасности
Внутренняя структура объектов безопасности показана на рисунке 3. Она описывает взаимосвязи между сущностями, описанными выше. Активы информации находятся в верхнем конце структуры, которые обрабатываются Application Systems. Виртуальные сети Host Application Systems, и они сами размещаются в физических сетях. Связанные блоки образуют физические сети, которые расположены на физических платформах. Физические платформы расположены в физической среде. Подробная информация о взаимоотношениях обсуждается в [Kwok et. al, 2001].
Данные об этих объектах могут быть записаны и должны распространяться в разных отделах организации. Эти данные предоставляют сотрудникам службы безопасности происхождение данных, связанных с безопасностью, которые необходимы для нашего механизма интеграции данных. Фактически данные, связанные с безопасностью, обычно внедряются в документацию, предназначенную для другой цели, отличной от документации, предназначенной в первую очередь для целей безопасности. В нашем исследовании эта документация относится к записям в рациональной базе данных.
Репозиторий специальных данных безопасности в структуре (рис.1) сохраняет результаты механизма интеграции данных, то есть примеры концепций, упомянутых выше. Понятиями являются значения атрибутов в экземпляре шаблона шаблонов безопасности. В этой статье примеры понятий называются обычными экземплярами шаблонов безопасности.
Данные, связанные с безопасностью, быстро меняются из-за быстро меняющейся среды риска. Если мы сможем динамически и непрерывно интегрировать данные, удовлетворяющие требованиям данных из распределенных источников данных в организации, в репозиторий данных конкретных данных, точные и обновленные данные могут быть предоставлены для оценки деятельности.
Предыдущие исследования по использованию онтологий в интеграции данных свидетельствуют о том, что для решения проблемы является эффективным решением [Исабель и др. al, 2005]. Таким образом, мы предлагаем аналогичный механизм интеграции данных для нашей структуры (рис. 4), который направлен на интеграцию распределенных данных, связанных с безопасностью, в репозиторий данных конкретных данных, в котором:
• глобальная схема устанавливается как глобальная онтология для модели знаний. Локальные онтологии оперативных данных также создаются для представления локальных источников данных; а также
• структурированная соответствия между глобальными схемами и исходными схемами адресована.
Предлагается структурированный процесс сопоставления между глобальной схемой и исходными схемами. Локальная онтология должна быть построена до отображения. XML-схема используется для представления как глобальной онтологии, так и локальной онтологии в нашем подходе (рис. 5).
Шаблонные экземпляры общих шаблонов безопасности определены в глобальной XML-схеме. Преобразователи глобальной схемы могут генерировать таблицу требований данных. Каждый столбец в этой таблице может отображать фактический элемент данных в локальном источнике данных через локальную схему, основанную на XML.
Например, таблица требований к данным с тремя столбцами, включая угрозу («Atta ker»), ее прямой целевой объект («Файловый сервер») и его косвенный целевой объект («Персональный файл»), может быть получена из экземпляров шаблона в глобальную схему на основе XML, как показано на рисунке 5.
После того, как была создана таблица требований к данным, семантическое сопоставление между элементами в локальных схемах на основе XML и в глобальной схеме необходимо для заполнения фактического элемента данных в локальном источнике данных в каждом столбце таблицы требований к данным. Соответствующие элементы должны иметь одинаковое семантическое значение в таблице требований данных. Например, элемент «атакующий» в исходной схеме центра сети может быть сопоставлен с узлом «инцидент» в глобальной схеме, который имеет значение «Атакующий» (рис. 5)
Автоматическое семантическое сопоставление может использовать концепцию системы описания источников обучения (LSD), которая использует машинное обучение для (полу) автоматического вычисления семантических сопоставлений между локальной схемой источника данных и глобальной схемой. Подробности этого процесса сопоставления можно найти в [AnHai et. al, 2000]. Тем не менее, процесс сопоставления вручную также применим для заполнения таблицы требований к данным.
После того как данные безопасности будут интегрированы в репозиторий данных конкретных данных через механизм интеграции данных, они могут применяться в нескольких мероприятиях по оценке рисков. Одним из видов деятельности является моделирование рисков.
Моделирование рисков может помочь сотрудникам службы безопасности получить весь набор влияющих на сущность лиц, специфичных для организации, если возникнет угроза. Это моделирование включает в себя следующие задачи: (1) выявление угроз для организации; (2) продемонстрировать результат угрозы, действующей на одну сущность или несколько субъектов. Эти задачи поднимают несколько требований к данным для процесса сбора данных, который включает в себя подготовку профиля угрозы, агрегирование затронутых объектов.
Общие примеры отношений TE и TETE, хранящихся в репозитории данных конкретных данных, предоставляют необходимые данные безопасности для моделирования рисков, которые могут быть использованы приложениями для визуализации результатов моделирования.
Рамки знаний, представленные в настоящем документе, представляют собой методологию, позволяющую направлять процесс сбора данных для деятельности по оценке рисков. Он имеет несколько преимуществ, которые в основном включают: (1) знания в области безопасности сохраняются формально для процесса моделирования периодической информационной безопасности; (2) обновленные данные безопасности, специфичные для организации, могут быть получены под руководством знаний о безопасности, которые поддерживаются в наших рамках.
Прототип структуры разрабатывается для проверки концепций применения онтологии в качестве глобальной схемы для механизма интеграции данных и структурированного соответствия между глобальной схемой и исходными схемами. Отчет о таком прототипе ожидается вскоре.