-
Die
Erfindung betrifft den Bereich der Netzwerke, und insbesondere betrifft
die Erfindung den Bereich der Bewertung der Sicherheitsgefährdungen
von Netzwerken.
-
Zur
Zeit in der Entwicklung befindliche Informationssysteme und Computernetzwerk-Infrastrukturen werden
nunmehr unter Berücksichtigung
dessen gebaut, was ein annehmbares Risiko (oder einen angemessenen
Schutz) begründet.
Systemgegenstände
wie Hardware, Software und Systemknoten eines Computernetzwerks
müssen
zu einem mit ihrem Wert im Einklang stehenden Grad geschützt werden.
Zudem müssen diese
Gegenstände
nur geschützt
werden, bis die Gegenstände
ihren Wert verlieren. Jegliche Sicherheitsmerkmale und Systemarchitektur
sollte ferner ausreichenden Schutz über die Lebensdauer der verarbeiteten Daten
zur Verfügung
stellen. Um zu bewerten, ob irgendein mit einem Netzwerk verbundenes
Risiko annehmbar ist oder nicht, sammelt ein Sicherheitsingenieur
typischerweise alle sachdienlichen Informationen und analysiert
dann das mit dem Netzwerk verbundene Risiko.
-
Die
Risikoanalyse ist ein komplexer und zeitintensiver Prozess, der
notwendig ist, um die Gefährdungen
innerhalb eines Netzwerks und deren potentiellen Schaden zu bestimmen.
Zum Beispiel befolgt die Sicherheitstechnik bei der Untersuchung
der Sicherheitsrisiken in einem Computernetzwerk typischerweise
die folgenden Schritte
- 1) Identifizierung der
Gegenstände
des gesamten Computersystems.
- 2) Identifizierung der Schadensanfälligkeit (Gefährdungen)
der Gegenstände.
Dieser Schritt erfordert typischerweise die Vorstellungskraft vorherzusagen,
welcher Schaden an den Gegenständen
auftreten könnte und
aus welchen Quellen. Die drei grundlegenden Ziele der Computersicherheit
sind die Sicherung von Geheimhaltung, Integrität und Verfügbarkeit. Eine Gefährdung ist
jede Situation, die den Verlust von einer jener drei Eigenschaften
verursachen könnte.
- 3) Bestimmung der Wahrscheinlichkeit des Auftretens (Ausnutzung),
d. h. Bestimmung wie oft jede Gefährdung ausgenutzt werden wird.
Die Wahrscheinlichkeit des Auftretens betrifft die Strenge der existierenden Kontrollen
und die Wahrscheinlichkeit, dass jemand oder etwas die existierenden
Kontrollen umgehen wird.
- 4) Berechnung jedweder ungedeckten jährlichen Kosten (erwarteter
jährlicher
Verlust) durch Bestimmungen der erwarteten Kosten der einzelnen
Ereignisse.
- 5) Begutachtung der anwendbaren Kontrollen und ihrer Kosten.
- 6) Planung jährlicher
Einsparungen bezüglich
der Kontrolle.
-
Dieser
letzte Schritt der Analyse ist eine Kosten-Nutzen-Analyse, d. h.
kostet es weniger eine Kontrolle einzuführen oder die zu erwartenden
Kosten des Verlusts hinzunehmen? Die Risikoanalyse führt zu einem
Sicherheitsplan, der Verantwortungen für bestimmte Handlungen aufzeigt,
um die Sicherheit zu verbessern.
-
Heutzutage
erfordert die schnelle Entwicklung der Technologie und die starke
Verbreitung von Computern erhöhter
Leistungsfähigkeit
die Verwendung kommerzieller, standardisierter (engl. commercial-off-the-shelf
(COTS)) Hardware- und Software-Komponenten für kosteneffiziente Lösungen.
Diese starke Abhängigkeit
von COTS schließt
ein, dass handelsübliche
Sicherheitsmechanismen für
die meisten Anwendungen ausreichend sind. Sicherheitsarchitekturen
müssen
deshalb dafür
strukturiert sein, betriebsfähige,
lebenswichtige Computersysteme mit relativ anfälligen COTS-Komponenten zu
bauen. Komponenten mit höherer
Sicherheit können
an Gemeinde- oder Informationsgrenzen positioniert werden, wodurch
eine enklavebasierte Sicherheitsarchitektur gebildet wird, die eine
eingehende-Abwehr-Herangehensweise
zur Informationssicherung umsetzt.
-
Es
gibt einige Entwurfsserviceprogramme, d.h. Software-Programme, die
dem Systemarchitekten zur Verfügung
stehen, um ihm bei der Maximierung der verfügbaren Schutzmechanismen Hilfe
zu leisten, während er
innerhalb des Entwicklungsbudgets verbleibt. Risikoanalyseserviceprogramme
der gegenwärtigen
Generation sind gewöhnlich
Einzelanbieter-Lösungen,
die sich mit einem speziellen Aspekt oder Aspekten des Risikos befassen.
Diese Serviceprogramme pflegen in eine von drei Kategorien zu fallen:
- 1) Serviceprogramme, die ausgehend von Datenbanken
dokumentierter Gefährdungen
arbeiten und möglicherweise
bekannte Gefährdungen
(Schwachstellen) reparieren. Serviceprogramme diesen Typs sind hinsichtlich
Datenbankaktualisierungen anbieterabhängig, entweder in Form neuer
Produktversionen oder durch ein Dienstleistungsabonnement. Beispiele
dieser Kategorie umfassen Internet Scanner von ISS, CyberCop von
Network Associates, lnc. und STAT von Harris.
- 2) Monolithische Serviceprogramme, die verschiedene Parameter
verwenden, um einen Risikoindikator zu berechnen. Diese Serviceprogramme
sind schwierig zu unterhalten und kaum hinsichtlich der sich schnell entwickelnden
Gefährdungen
und der Technologieumgebung auf dem Laufenden zu halten. Ein Beispiel dieser
Serviceprogrammkategorie ist das Los Alamos Vulnerability Assessment
(LAVA) Serviceprogramm.
- 3) Serviceprogramme, die einen bestimmten Aspekt des Systems,
wie das Betriebssystem oder das Datenbankverwaltungssystem untersuchen,
aber die anderen Systemkomponenten ignorieren. SATAN zum Beispiel
analysiert Betriebssystemschwachstellen, aber ignoriert Infrastrukturkomponenten
wie Router.
-
Die
Verwendung von mehreren Serviceprogrammen einer Reihe verschiedener
Anbieter für
eine einzelne Computernetzwerkanalyse ist eine arbeitsintensive
Aufgabe. Typischerweise wird ein Sicherheitsingenieur eine Beschreibung
oder Darstellung des Systems (Netzwerk) mehrfach in mehreren Formaten
eingeben müssen.
Dann muss der Sicherheitsingenieur die sich aus diesen mehreren
Serviceprogrammen ergebenden Ausgaben manuell analysieren, zusammenführen und
in einen einzelnen Bericht über
den Sicherheitszustand eines Netzwerks verschmelzen. Anschließend kann
der Sicherheitsingenieur die Risikoanalyse vervollständigen (Berechnung
des erwarteten jährlichen
Verlusts, Begutachtung der Kontrollen, etc.), und dann das Verfahren
wiederholen, um Alternativen innerhalb der Sicherheitsrisiken, Systemleistungsmerkmale,
Einsatzfunktionalität
und Entwicklungsbudget zu analysieren.
-
Außerdem verwendet
keines dieser Serviceprogramme eine konzentrierte „Schnappschuss"-Herangehensweise
an das System mit einer „aufbohrenden" oder geschichteten
Annäherung,
um zu vereinfachen, wie man dem Risiko in verschiedenen Schichten
(Netz, Plattform, Datenbank etc.) des Systems begegnet. Diese Serviceprogramme
stellen System-Entwerfern beim Analysieren von Alternativen innerhalb
des Sicherheitsrisikos, der Systemleistungsmerkmale und der Einsatzfunktionalität wenig
Hilfe zur Verfügung.
Stattdessen wird eine „Risikolösung" bereitgestellt,
die sich mit einem besonderen Aspekt des Risikos befasst, zu dessen
Berechnung ein gegebenes Serviceprogramm entworfen wurde. Um eine
umfassende Risikobewertung zu entwickeln, müsste ein Sicherheitsingenieur
im Gebrauch von mehreren Serviceprogrammen geübt sein und die resultierenden
Ausgaben manuell korrelieren.
-
Ein
Gesichtspunkt einer erfolgreichen Risikoanalyse ist eine vollständige und
genaue Ansammlung von Daten, um Systemmodelle zu schaffen, die in
den Analyseserviceprogrammen verwendet werden. Viele gegenwärtige Risikoanalyseserviceprogramme
beruhen auf Erfassungsformularen, die von Anwendern ausgefüllt werden,
Systembedienungspersonal und Analytikern, welche die Daten zur Entwicklung
eines Systemmodels ermitteln, das in der Analyse verwendet wird.
Alternativ kann ein Serviceprogramm ein Computernetzwerk durchsuchen,
um verschiedene Schwachstellen in den Systemkomponenten zu prüfen.
-
Jedoch
haben diese Verfahren Nachteile. Textliche oder Erfassungsformular-basierte
Techniken zur Kenntniserhebung sind arbeitsintensiv und möglicherweise
langwierig für
den Analytiker. Viele der existierenden Serviceprogramme verwenden
dieselbe Information wieder, um verschiedene Aspekte der Systemsicherheit
zu analysieren. Es wäre
vorteilhafter einen zentralisierten Speicherungsort von Modellierungsdaten
zu verwenden, der eine Grundlage für den existierenden Serviceprogrammen
gemeinsame Eingaben zur Verfügung stellen
könnte.
Dieser Speicherungsort könnte
verwendet werden, um Datensätze
zur Verwendung durch Risikoanalyseserviceprogramme zu erzeugen,
was es mehreren Serviceprogrammen erlaubt, hinsichtlich desselben
Systems ohne getrennte Eingabe-Aktivitäten abzulaufen, was daher die
Möglichkeit
von Bedienerfehlern reduziert. Die Verwendung mehrerer Risikoanalysebewertungsengines
oder -backbends würde
es erlauben, verschiedene Aspekte des Systems zu untersuchen, ohne
dass die Kosten der Entwicklung eines Serviceprogramms entstehen,
welches alle Typen der Analyse durchführt. Die Integration der Informationen
und der sich ergebenden sachkundigen Bewertungen, die durch die
Verwendung mehrerer Serviceprogramme zur Verfügung stehen, würden ein
stabileres und genaueres Bild des Sicherheitszustands eines Systems
erzeugen. Diese Ergebnisse können
sachkundigere Entscheidung beim Systementwurf vereinfachen und so
ein Rahmenwerk für
alternative Evaluierung und Vergleich zur Verfügung stellen.
-
Der
Artikel „The
Network Vulnerability Tool (NVT) – A System Vulnerability Visualization
Architecture" von
Ronda R. Henning und Kevin L. Fox, in „Proceedings of the 22nd National Information System Security Conference,
(1) 1999, S. 97–111,
offenbart ein Netzwerksgefährdungsserviceprogramm
(engl. network vulnerability tool (NVT)), das auf einem Computer
läuft und
eine grafische Benutzeroberfläche
mit einem Systementwurfsfenster zum Anzeigen einer Netzwerk-Karte aufweist, die
ein Netzwerk darstellt, und bei der ausgewählte Bereiche der Netzwerk-Karte
eine jeweils andere Farbe annehmen, welche die festgestellte Gefährdung anzeigt.
Das Netzwerksgefährdungsserviceprogramm
erzeugt eine System-Objektmodelldatenbank, die das Netzwerk repräsentiert
und die Informationsdatenerfordernisse unterschiedlicher Netzwerkgefährdungs-Analyseprogramme
unterstützt.
Die System-Objektmodelldatenbank wird den unterschiedlichen Netzwerkgefährdungs-Analyseprogrammen
zur Verfügung
gestellt, die eine Analyse durchführen und ihre Ergebnisse für die Korrelation
zu einem Gefährdungszustandsergebnis
zurückgeben,
das dem Anwender angezeigt wird.
-
Es
ist daher die Aufgabe der vorliegenden Erfindung, ein Datenverarbeitungssystem
zur Verfügung
zu stellen, um die Sicherheitsgefährdung eines Netzwerks zu bewerten,
ohne dass das Netzwerk mehrfach untersucht werden muss, und insbesondere
Nutzbarkeit und Genauigkeit des Verarbeitungssystem gegenüber bekannten
Gefährdungsserviceprogrammen
zu verbessern.
-
Diese
Aufgabe wird durch eine grafische Benutzeroberfläche gelöst, die auf einem Computer-Bildschirm
enthalten ist und zur Feststellung des Gefährdungszustandes eines Netzwerkes
verwendet wird. Ein Systementwurfsfenster zeigt Netzwerk-Ikons einer
Netzwerk-Karte an, die verschiedene, in einem Netzwerk enthaltene
Netzwerkelemente repräsentieren.
Die jeweiligen Netzwerk-Ikons sind in einer Anordnung miteinander
verknüpft,
welche der Verbindung der Netzwerkelemente untereinander innerhalb
des Netzwerkes entspricht. Ausgewählte Bereiche der Netzwerk-Karte
nehmen eine jeweils andere Farbe an, die eine für den betreffenden Bereich
des Netzwerkes festgestellte Gefährdung
anzeigt, nachdem der Gefährdungszustand
des Netzwerkes festgestellt worden ist. Die Feststellung des Gefährdungszustandes
des Netzwerkes erfolgt durch Erzeugen einer System-Objektmodelldatenbank,
die eine Netzwerk-Systembeschreibung
in einer Objekt/Klassenhierarchie in der Weise repräsentiert
und speichert, dass die System-Objektmodelldatenbank die Informationsdatenerfordernisse
unterschiedlicher Netzwerkgefährdungsanalyseprogramme
unterstützt,
sowie durch Kombinieren der System-Objektmodelldatenbank mit aus
den unterschiedlichen Netzwerkgefährdungs-Analyseprogrammen gewonnenen
Ergebnisdaten zu einer Tatsachen-Datenbasis.
-
Der
Sicherheitszustand des Netzwerkes wird mithilfe zielorientierter
Fuzzy-Logik-Entscheidungsregeln
festgestellt, die durch Fuzzy-Inferenznetzwerkregeln und Fuzzy-Offenkundigkeitsschlussfolgern
funktionieren, sowie auf der Grundlage vorgegebener Ziele. Das Inferenznetzwerk
ist eine Hierarchie heuristischer Regeln, die Wahrscheinlichkeiten
ohne nähere
Kenntnis von a-priori-Wahrscheinlichkeiten weitergeben können.
-
Gemäß noch einem
weiteren Aspekt der vorliegenden Erfindung bestimmen die jeweiligen
Netzwerkelemente verschiedene Farben, die ein gefährdetes
Netzwerkelement anzeigen. Eine grafische Benutzeroberfläche kann
auch ein Verwaltungsfenster zum Anzeigen der Eigenschaften von Netzwerkelementen
umfassen. Ein Datenempfindlichkeits-Kasten kann benutzerwählbare Elemente
aufweisen, mit denen die Empfindlichkeit von Netzwerkelementen ausgewählt wird.
Ebenso kann die grafische Benutzeroberfläche einen Kasten zur Einsstellung
der Konfiguration ausgewählter
Knoten mit einem benutzerwählbaren
Gefährdungsprofil
aufweisen, mit dem ein Gefährdungsprofil
eines Netzwerkknotens ausgewählt
wird. Die Ikons können
mit Pfeilen miteinander verknüpft
sein, die jeweils eine andere Farbe annehmen, welche eine gefährdete Verbindung
anzeigt, die zwischen den entsprechenden Arbeitselementen besteht.
-
Gemäß noch einem
weiteren Aspekt der vorliegenden Erfindung ist eine grafische Benutzeroberfläche auf
einem Computer-Bildschirm enthalten und wird zur Feststellung des
Gefährdungszustandes
eines Netzwerkes verwendet. Zu ihr gehört ein Systementwurfsfenster
zum Anzeigen von Ikons einer Netzwerk-Karte, die für verschiedene,
in einem Netzwerk enthaltene Netzwerkknoten stehen. Die jeweiligen
Ikons sind in einer Anordnung miteinander verknüpft, welche der Verbindung
der Netzwerkknoten untereinander innerhalb des Netzwerkes entspricht.
Es kann ein Verwaltungsfenster vorgesehen sein, und die jeweiligen
Eigenschaften von Netzwerkknoten können angezeigt und editiert
werden. Nachdem ein Gefährdungszustand
des Netzwerkes festgestellt worden ist, nehmen die ausgewählten Ikons
die Farbe Rot an, wodurch einen Knoten mit höherem Risiko angezeigt wird,
und ausgewählte
Ikons werden gelb, wodurch ein Knoten mit weniger ernstem Risiko angezeigt
wird.
-
Das
Verwaltungsfenster umfasst weiterhin eine Knoteneigenschafts-Dialogbox zum Editieren
der Eigenschaften von Netzwerkknoten für alternative Netzwerkgestaltungen.
Eine grafische Benutzeroberfläche kann
auch einen Datenempfindlichkeits-Kasten umfassen, der benutzergewählte Elemente
zum Auswählen der
Empfindlichkeit von Netzwerkknoten aufweist. Ein Kasten zur Einsstellung
der Konfiguration ausgewählter Knoten
kann ein benutzerwählbares
Gefährdungsprofil
zum Auswählen
einer Gefährdung
eines entsprechenden Knoten aufweisen.
-
Gemäß noch einem
weiteren Aspekt der vorliegenden Erfindung kann ein Gefährdungszustandsfenster
benutzerlesbare Elemente anzeigen, welche gefährdete Netzwerkelemente anzeigen.
Die benutzerlesbaren Elemente können
ein Diagramm umfassen, welches gefährdete Netzwerkelemente anzeigt,
und können ein
Arbeitsblatt umfassen, welches die gefährdeten Netzwerkelemente anzeigt.
-
Die
vorliegende Erfindung wird nun anhand von Beispielen mit Bezugnahme
auf die beigefügten Zeichnungen
beschrieben, in denen:
-
1 ein
schematisches Blockdiagramm eines Netzwerks ist, welches Positionen
zeigt, an denen häufige
Probleme in Netzwerken gefunden werden.
-
2 ein
anderes schematisches Blockdiagramm eines Netzwerks ist, welches
eine identifizierte Schwachstelle zeigt, die von dem System und
dem Verfahren der vorliegenden Erfindung lokalisiert wurde.
-
3 ein
anderes Blockdiagramm ist, welches die gesamte Architektur des Systems
und des Verfahrens der vorliegenden Erfindung zeigt und welches
Filter darstellt, die in Verbindung mit der Netzwerkmodelldatenbank
verwendet werden.
-
4 ein
anderes schematisches Blockdiagramm der Architektur der vorliegenden
Erfindung ist, welches die Fuzzy-Logik-Analyse zeigt.
-
5 ein
anderes schematisches Blockdiagramm ist, welches High-Level-Architekturkomponenten des
Datenverarbeitungssystems und -verfahrens der vorliegenden Erfindung
zeigt.
-
6 ein
anderes schematisches High-Level-Blockdiagramm des Datenverarbeitungssystems
der vorliegenden Erfindung ist.
-
7 ein
Beispiel einer grafischen Benutzeroberfläche ist, die das Netzwerk in
Form einer Karte modelliert.
-
8A und 8B offene
Fenster zeigen, welche die Datenauflösung bei der Erstellung der
System-Objektmodelldatenbank zur Verfügung stellen.
-
9 ein
Beispiel einer grafischen Benutzeroberfläche ist, welche das Netzwerkmodell
zeigt.
-
10 eine
grafische Benutzeroberfläche
ist, welche verschiedene Berichtsoptionen für den Sicherheitszustand des
Netzwerks zeigt.
-
11 ein
Blockdiagramm ist, welches die elementaren Verarbeitungskomponenten
der zielorientierten Fuzzy-Logik-Verarbeitung
zeigt, welche in dem Datenverarbeitungssystem und -verfahren der
vorliegenden Erfindung verwendet werden.
-
12 ein
schematisches Blockdiagramm der Datenverschmelzung ist, welche in
dem Datenverarbeitungssystem und -verfahren der vorliegenden Erfindung
verwendet wird.
-
13 ein
anderes schematisches Blockdiagramm ist, welches ein Beispiel zielbasierter
Verschmelzungsregeln zeigt, welche in dem Datenverarbeitungssystem
und -verfahren der vorliegenden Erfindung verwendet werden.
-
14 ein
anderes Blockdiagramm ist, welches elementare Verfahrensschritte
und Komponenten zeigt, die in der Fuzzy-Logik-Verarbeitung des Datenverarbeitungssystems
und -verfahrens der vorliegenden Erfindung verwendet werden.
-
15 ein
Blockdiagramm ist, welches elementare Komponenten zeigt, die in
der Fehlerbaum-Analyse (DPL-f) zur Hinweissammlung und für die Fuzzy-Offenkundigkeitsschlussfolgerungsregeln
verwendet werden.
-
16 ein
Blockdiagramm ist, welches eine Objekt/Klassenhierarchie zeigt.
-
17 ein
Blockdiagramm ist, welches das Systemklassendiagramm der vorliegenden
Erfindung zeigt.
-
1 illustriert
ein Beispiel eines konventionellen Netzwerks 100, welches
interne Server 102 aufweist, die mit einem externen Router 104,
einem Kommunikationsnetzwerk 105 und einer Firewall 106 verbunden
sind. Ein interner Router 108 ist mit der Firewall 106,
einem Filialbüro 107 verbunden
sowie mit internen LAN-Netzwerk-Komponenten 110 und einem
Fernzugriffs-Server 112 sowie mit einem fernzugreifenden
Benutzer 114 verbunden.
-
Beim
Verwenden des Beispiels gemäß 1 beinhalten
oft innerhalb der Netzwerke entdeckte Probleme Hosts, wie die internen
Server 102, die unnötige
Dienstprogramme ablaufen lassen, zum Beispiel ein Denial-of-Service
und anonyme FTP, oder falsch konfigurierte Webserver, die zum Beispiel
interne Server sein könnten,
CGI-Skripte, anonyme FTP und SMTP. Die internen LANs 110 (Local
area networks) können
ungepatchte, veraltete, gefährdete
oder standardmäßig konfigurierte
Software und Firmware sowie schwache Passwörter aufweisen. Die LANs könnten ebenso
in unangemessener Weise exportierte Dienstprogramme zur gemeinsamen
Dateinutzung, wie NetWare-Dateidienste und NetBIOS aufweisen. Das
interne LAN 110 könnte ebenso
falsch konfigurierte oder ungepatchte Windows-NT-Server und Probleme
aufweisen, die durch einen Mangel an übergreifenden Richtlinien,
Verfahrensweisen, Standards und Leitfäden verursacht sind. Ein Fernzugriffs-Server 112 könnte ungesicherte
Fernzugangspunkte aufweisen und der externe Router 104 könnte Informationsverluste
durch Dienste aufweisen wie SNMP, SMIP, finger, roosers, SYSTAT,
NETSTAT, TELNET banners, Windows NT TCP 139 SMB (server message
block), und Zonentransfers zu unbenannten Serverhosts. Er könnte auch
unzureichende Protokollierungs-, Überwachungs- und Erkennungsfähigkeiten
haben. Das Filialbüro 107 könnte eine
unangemessene Vertrauensstellung aufweisen wie RLOGIN, RSH, oder
REXEC. Die Firewall 106 könnte falsch konfiguriert sein
oder könnte
eine falsch konfigurierte Router-Zugangskontrollliste aufweisen.
-
Obwohl
diese Netzwerkprobleme nur ein Beispiel üblicher Probleme sind, die
in Netzwerken 100 gefunden werden, gibt es viele andere
möglicherweise
auftretenden Probleme, wie dem Fachmann wohl bekannt.
-
Die
vorliegende Erfindung ist vorteilhaft, weil das System und das Verfahren
der vorliegenden Erfindung es erlauben, Schwachstellen eines Netzwerksystems
zu identifizieren. Die Software des Datenverarbeitungssystems und
-verfahrens können
sich auf einem Benutzer-Terminal 120 befinden, wie in 2 gezeigt, die
eine identifizierte Schwachstelle eines Knotens 112 zeigt,
welcher in dem internen LAN 110 verbunden ist. Zum Zweck
der Beschreibung können
das Datenverarbeitungssystem und -verfahren der vorliegenden Erfindung
als Netzwerk-Gefährdungsserviceprogramm
(NVT, engl. Network Vulnerability Tool) bezeichnet werden, d. h.
ein Serviceprogramm, das ein Anwender dazu verwendet, um Netzwerkschwachstellen
und -risiken zu bestimmen.
-
Das
Datenverarbeitungssystem, welches das NVT der vorliegenden Erfindung
bildet, kann auf eine Pentium-PC-Plattform geladen werden, auf der
Windows NT läuft.
Diese Art von Plattformen kann eine kostengünstige Lösung zur Verfügung stellen
und eine große
Vielfalt von Bewertungsserviceprogrammen unterstützen, die auch häufig als
Netzwerk-Gefährdungsbewertungs-
oder Risikoanalyseprogramme innerhalb dieser Beschreibung bezeichnet
werden. Diese Netzwerk-Gefährdungsanalyseprogramme
sind typischerweise die üblichen
COTS/GOTS Programme, die Sicherheitsingenieuren bekannt sind und
HP Open View einschließen,
das automatische Netzwerkerkennung oder manuelle Netzwerkmodellierung
erlaubt, ANSSR (Analysis of Network System Security Risks) wie von
der Mitre Corporation hergestellt, ein GOTS Netzwerksystemanalyseserviceprogramm,
welches passive Datenerfassung und einfaches Auftreten von Verlust
erlaubt. Ebenso kann die Risikobewertungsmethodik der NSA verwendet
werden, welche als RAM (risk assessment model) bekannt und in der
DPL-f Entscheidungsunterstützungsprogrammiersprache
implementiert ist. RAM erlaubt auch passive Datenerfassung für die Ereignis-Baum-Logik,
priorisiert die Aufgabe-Liste,
und erlaubt ein mathematisches Modell mit mehreren Risken/Diensten.
Es ist ereignisbasiert über
der Zeit.
-
DPL
(decision programming language) ist ein Entscheidungsunterstützungssoftware-Paket,
welches das Modellieren von komplizierten Entscheidungen erleichtert.
Es ermöglicht
es einem Benutzer, Unklarheit und Flexibilität in einen Entscheidungsprozess
einzubauen. DPL stellt eine Grafikschnittstelle zur Verfügung, um
ein Modell zu erstellen, und führt
Analysen auf dem Modell durch. DPL-f enthält die Funktionalität, welche in
DPL eingebaut ist und stellt eine grafische Schnittstelle für die Fehlerbaumerstellung
zur Verfügung.
Diese Eigenschaft erlaubt dem Modellierer, Fehlerbäume zu erstellen
und sie in DPL-Modelle einzubauen. DPL-f enthält ferner besondere analytische
Serviceprogramme. Diese Serviceprogramme schließen die Fähigkeit ein, die Wahrscheinlichkeit
jedes Ereignisses im Baum explizit zu berechnen und Fehlerbaum-spezifische
Arten von Empfindlichkeitsanalysen durchzuführen. DPL-f stellt eine Schnittstelle
zur Verfügung,
um Zeitreihen in ein Modell einzubauen. Das ermöglicht es einem Modellierer,
Abwertung, Kapitalwachstum oder andere zeitabhängige Größen zu berücksichtigen, ohne die Struktur
des Modells zu ändern.
DPL-f stellt für
RAM zusätzliche Fähigkeiten
zur schnellen Fehlerbaumerstellung, Bibliotheken von eingebetteten
Fehlerbäumen,
ein Sachverständigengutachten-Erstellungssystem,
Aufzählung
und Anordnung von Schnittmengen und eine grafische Darstellung des
Risikos über
der Zeit zur Verfügung.
-
Der
ISS Internet Scanner, wie von der Internet Security Systems Corporation
(ISS) entwickelt, erlaubt aktive Datenerfassung und durchsucht ein
Netzwerk nach Hosts, Servern, Firewalls und Routern und bewertet Sicherheits- und Richtlinienkonformität von Netzwerken,
Betriebssystemen und Software-Anwendungen.
Es ermöglicht
eine zeitliche Momentaufnahme und einen Computernetzwerk-Konformitätsbericht.
Diese Programme sind unterschiedliche Netzwerk-Gefährdungsanalyseprogramme,
deren Integration das NVT der vorliegenden Erfindung ermöglicht.
-
Das
NVT der vorliegenden Erfindung beruht auf einem Kenntnis-Erhebungssystem,
das eine grafische Beschreibung einer Netzarchitektur beinhaltet.
Diese Topologie wird verwendet, um Netzwerk-Attribute zu erfassen,
und wird anschließend
auf Sicherheitsschwachstellen analysiert. Die grafische Benutzeroberfläche wird
auch verwendet, um die Genauigkeit des Netzwerk-Modells zu verbessern.
-
Gemäß der vorliegenden
Erfindung bilden das System und das Verfahren des NVT automatisch
ein existierendes Netzwerk ab und können das existierende Netz
als ein Modell auf einer grafischen Benutzeroberfläche, wie
in 7 gezeigt, darstellen. Zum Beispiel könnte HP
Open View eine Netzwerktopologie grafisch darstellen. Sobald die
Software die IP-Adresse eines Standard-Routers für das Netzwerk erhalten hat, kann
das NVT der vorliegenden Erfindung Open View verwenden und nach
Computern und anderen an das Netzwerk angeschlossenen Geräten suchen.
Das NVT führt
eine aktive Suche durch, wobei es mögliche IP-Adressen auf dem Netz anpingt und jedwede
Information zu seiner Netzwerk-Karte hinzufügt, die es empfängt. Das
NVT stellt auch ein manuelles Verfahren zur Verfügung, ein geplantes Netzwerk
mit der grafischen Benutzeroberfläche, wie illustriert, unterstützt durch „Drag und
Drop" zu zeichnen.
Eine Systemarchitektur kann einschließlich sicherheitskritischer
Informationen für
alternative Entwürfe
oder das Knotenbearbeiten festgelegt werden, um zusätzlich geforderte
Details zur Verfügung
zu stellen, um eine vollständige,
logische Netzwerkplanung bereitzustellen. Ein Benutzer kann auch
ein ganzes Netzwerk auf einer Karte darstellen, indem er ein Teilnetzwerk-Ikon
benutzt.
-
Wenn
eine Netzwerksystem-Beschreibung fertig gestellt worden ist, repräsentiert
und speichert das NVT der vorliegenden Erfindung die Beschreibung
in einer Objekt/Klassenhierarchie, wie als Beispiel in 16 und 17 gezeigt
und nachstehend erklärt
werden wird. Ein einzelnes topologisches System-Objektmodell unterstützt die Informationsdatenerfordernisse
der unterschiedlichen Netzwerk-Gefährdungsanalyseprogramme (Serviceprogramme).
Die Fuzzy-Logik-Verarbeitung
der Ergebnisse ermöglicht
eine Korrelation der Ergebnisse aus den Programmen zu einer zusammenhängenden
Bewertung der Schwachstellen/des Risikos, um einen Gefährdungszustand
des Netzwerks zu erhalten, wie in der grafischen Benutzeroberfläche in 10 gezeigt.
Die einheitliche Darstellung des Systems vereinfacht die Verwendung
mehrerer Serviceprogramme und beseitigt eine überflüssige Dateneingabe. Sie stellt
auch eine Basis dafür
zur Verfügung,
sich mit dem Problem unvollständiger
Daten für
ein gegebenes Gefährdungsbewertungsserviceprogramm
und Verhandlungsfähigkeiten über zukünftige Kenntnisse
zu befassen.
-
3 illustriert
anhand von 130 ein Beispiel des gesamten Netzwerkvisualisierungsserviceprogramms (engl.
network visualization tool, NVT), des Datenverarbeitungssystems
der vorliegenden Erfindung, wobei drei Netzwerk-Gefährdungsanalyseprogramme
(Serviceprogramme) dargestellt sind, wie ANSSR 132, ISS
Internet Scanner 134, und RAM 136. Das System
und Verfahren der vorliegenden Erfindung schaffen eine System-Objektmodelldatenbank
(Netzwerkmodell DB) 138, welche ein Netzwerk darstellt
und welche die Informationsdatenerfordernisse der Netzwerk-Gefährdungsanalyseprogramme
unterstützt.
Die System-Objektmodelldatenbank 138 repräsentiert
eine einheitliche Darstellung des bewerteten Systems oder Entwurfs,
und befasst sich mit dem Erfordernis einer einheitlichen internen
Darstellung eines Netzwerks, um den Netzwerk-Gefährdungsanalyseprogrammen Daten
zur Verfügung
zu stellen.
-
Dieses
Modell 138 verwendet eine objektorientierte (OO-) Methodik,
um einen erweiterbaren Satz von Komponenten in einer Klassenhierarchie
zur Verfügung
zu stellen, die kombiniert werden kann, um ein Netzwerk darzustellen.
Die Klassenhierarchie stellt ein Mittel zur Verfügung, Komponenten mit gemeinsamen
allgemeinen Eigenschaften zu definieren, während die Details beibehalten
werden, die sie von anderen Komponenten unterscheiden. Zusätzlich zu
einer impliziten hierarchischen Beziehung stellen objektorientierte
Techniken einen Behältnismechanismus
bereit, in welchem ein Objekt eine Verweisung auf jedes Objekt,
einschließlich
sich selbst enthalten kann. Das stellt einen flexiblen Mechanismus
zur Verfügung,
um jede physische oder logische Einheit darzustellen. Außerdem eignet
sich eine objektorientierte Darstellung zur schnellen Modifizierung
und Erweiterung und ist für
den Bereich der Informationssicherung ideal, in der täglich Änderungen
und neue Technologien entstehen.
-
Wein 3 gezeigt,
werden Filter 140 mit jedem der Netzwerk-Gefährdungsanalyseprogramme 132, 134, 136 verknüpft und
ermöglichen,
dass nur für
ein jeweiliges Netzwerk-Gefährdungsprogramm
erforderliche Daten in das Serviceprogramm (Programm) exportiert
werden. Die Filter bestehen aus einer C++ Basis-Klasse, die eine
Reihe virtueller Verfahren zur Verfügung stellt, um einen Datenfluss
zwischen dem NVT-System und einem Programm zu ermöglichen.
Das Filter stellt auch ein Mittel für das NVT zur Verfügung, um
die Ausführung
des Serviceprogramms zu steuern und die für ein Serviceprogramm erforderlichen Daten
zu vervollständigen.
Das NVT sieht jedes Serviceprogramm als ein Filter an und ruft passende
Prozeduren innerhalb des Filters auf, um die gewünschte Aufgabe, einschließlich des
Initialisierens, des Ablaufs, des Importierens von Daten und des
Exportierens von Daten durchzuführen.
Jedes Serviceprogramm kann eine konkrete Filterunterklasse haben
und Mittel zur Verfügung
stellen, um jede Prozedur spezifisch für das Serviceprogramm zu definieren,
während
es nach wie vor die allgemeine und bestimmte Programmierschnittstelle
(API) zum NVT zur Verfügung
stellt. Das ermöglicht
es, dass alle Serviceprogramme innerhalb des NVT gleich behandelt
werden, was die Hinzufügung
und Eliminierung von Serviceprogrammen erlaubt, ohne irgendwelchen
existierenden NVT-Code zu ändern.
-
Das
Herstellen der Kommunikation zwischen DPL-f und dem NVT unter Verwendung
der Filtertechnologie ist einfach. Ein DPL-f Filter wird für Details
zur Erstellung und zum Ausfüllen
von Fehlerbäumen
in Anspruch genommen. Als ein Analyseserviceprogramm kann ein Standardbaum
einen Knoten in einem entwickelten Netzwerk darstellen und einen
Wahrscheinlichkeitswert für
Ereignisse wie Denial-of-Service, Verlust von Daten und Datenkompromiss
zur Verfügung
stellen. Tatsächlich
kann DPL-f als ein Endresultat-Serviceprogramm verwendet werden.
-
Das
Netzwerk wird dann mit jedem Netzwerk-Gefährdungsanalyseprogramm
analysiert, um Ergebnisdaten aus jedem Programm zu erzeugen. Die
Ergebnisdaten werden korreliert, um einen Sicherheitszustand des
Netzwerks zu bestimmen. Die Netzwerkbewertung kann durch die Fuzzy-Logik-Verarbeitung
der Erfindung erfolgen, wie nachfolgend erklärt, und das System-GUI (graphical
user interface) kann Eingaben in eine Benutzer-Anzeige aufweisen.
-
Eine Übersicht
des Netzwerks wird als Modell 142 durch eine automatische
Netzwerkerkennung oder manuelle Eingabe 144, wie z. B.
durch HP Open View erstellt, und ein geeignetes Filter 146 ermöglicht es
dem System-GUI 148, das Netzwerkmodell, wie in 7 gezeigt, über eine
geeignete Dateneingabe 150 auf einer Benutzer-Anzeige 152 darzustellen.
Es ist auch möglich,
ein Risiko-GUI 154 vorzusehen,
um die Risikogefährdung
visuell zu bewerten, ein Protokoll 156 des Risiko-/Gefährdungsberichts,
eine Risikobewertung 158 als ein Teil des GUI 148,
alles über
die Netzwerkbewertung 160, wobei ein plug-in oder Fuzzy- Regelsatz verwendet wird,
wie näher
im Detail weiter unten beschrieben. Ferner kann jede unvollständige Datenauflösung 161 gehandhabt
werden.
-
4 illustriert
ein High-Level-Blockdiagramm ähnlich
der 3, welches die System-Objektmodelldatenbank 138 zeigt,
die erstellt werden, und in Verbindung mit einer integrierten Anwendungsprogrammierschnittstelle 162 arbeiten
kann, um es zu ermöglichen,
Daten in die verschiedenen Serviceprogramme 164 zu importieren,
wie dargestellt als Modellierungsserviceprogramm, Erkennungsserviceprogramm
und Informationsanalyse-Serviceprogramme, die in der gesamten System-Ergebnisdatenbank 166 resultieren.
Eine Anwendungsprogrammierschnittstelle 168 und eine grafische
Benutzeroberfläche 170 arbeiten
in Verbindung mit der Objektmodelldatenbank 138. Ein Auswertungs-/Bewertungsmanager 172 (Manager)
arbeitet in Verbindung mit einer Anwendungsprogrammierschnittstelle
(API) 174 und einer grafischen Benutzeroberfläche (GUI) 176,
um Ergebnisdaten mit der Fuzzy-Logik-Verarbeitung, wie angedeutet
durch punktierte Linien 178, einschließlich Experten-Korrelation 180 und
Fuzzy-Rückschlüsse sowie
Offenkundigkeitsschlussfolgern 182 zu korrelieren, um Gefährdungsergebnisse 184 zu
erzeugen, und eine grafische Benutzeroberfläche (GUI) 186 für die korrelierten
Ergebnisse. Obwohl 4 ein High-Level-Modell darstellt,
welches ein Beispiel von verschiedenen Komponenten zeigt, ist es
nur ein Beispiel eines Typs von High-Level-Komponenten, die mit
dem NVT System und Verfahren der vorliegenden Erfindung verwendet
werden können.
-
5 und 6 illustrieren
andere Beispiele von High-Level-Modellen, welche elementare Komponenten
und Verarbeitungsschritte der Datenquellen 200 (5)
zeigen, zusammen mit dem System-Bild 202, einer serviceprogrammbezogenen
Analyse 204, einer Multi-Serviceprogrammanalyse 206,
der Serviceprogrammanalyse 208 für den Experten, und Berichtsmedien 210.
Die Serviceprogrammanalyse 208 für den Experten könnte den
DPL-f 208a als einen Teil der Fuzzy-Logik-Verarbeitung
in einer Tatsachen-Datenbasis einschließen, sowie CERT-Notizen 208b und
ein Expertensystem 208c für die Experten-Korrelation verwenden. Berichte
können
erzeugt werden, einschließlich
der Ausgabe in Form von Ikons auf einer grafischen Benutzeroberfläche, von
Text, eines EXCELTM Arbeitsblatts, ACCESSTM und Configuration, wie dem einschlägigen Fachmann
bekannt. 6 illustriert auch ein anderes
High-Level-Modell ähnlich der 5,
wobei die Serviceprogramme für
die Bildung eines vollständigen
System-Objektmodells
und das Fuzzy-Logik-Verfahren die individuelle Serviceprogramm-Verarbeitung und
die Multi-Serviceprogramm-Korrelation einschließen kann.
-
7–10 illustrieren
eine grafische Benutzeroberfläche 220 detaillierter,
die Inhalt eines Computerbildschirms sein und verwendet werden kann,
um mit dem NVT zu interagieren und den Gefährdungszustand eines Netzwerks
zu bestimmen. Wie dargestellt, ist die grafische Benutzeroberfläche 220 ein
Standardtyp einer WindowsTM-Oberfläche. Ein
Systementwurfsfenster 222 ermöglicht die Anzeige von Netzwerk-Ikons 224,
die eine Netzwerkkarte ausbilden, welche die Verbindung zwischen
verschiedenen Netzwerk-Elementen und den innerhalb eines Netzwerks
enthaltenen Knoten darstellt. Die jeweiligen Netzwerk-Ikons 224 sind
in einer Anordnung miteinander verbunden, die der entspricht, wie
die Netzwerk-Element-Knoten innerhalb des Netzwerks miteinander
verbunden sind. Wie in 7 gezeigt, können die Netzwerk-Elemente über Verbindungslinien 226 miteinander
verbunden werden, welche die Verbindung zeigen, die zwischen den
tatsächlichen
Netzwerk-Elementen und Knoten besteht. Das Systementwurfsfenster 222 zeigt
auf der linken Seite eine Zwischen-Netzwerk-Ansicht 230 mit zwei Knoten
und eine Netzwerk-Ansicht 232 auf der rechten Seite des Fensters,
um eine Karte des Netzwerkmodells darzustellen. Ein Verwaltungsfenster 234 ist
offen und zeigt Eigenschaften von Netzwerk-Elementen.
-
Ein
Pop-up-Fenster (Box) 240 zur Auswahl der Datenempfindlichkeit
ist für
den Benutzer durch die Menüoptionen
für ausgewählte Netzwerk-Elemente
(8A) wählbar,
und weist vom Benutzer ausgewählte Elemente
auf, um die Empfindlichkeit von Netzwerk-Elementen auszuwählen. Die
Empfindlichkeit hinsichtlich der Daten bei jedem Knoten (Knoten
1 im in 8A gezeigten Beispiel) kann
als nicht klassifiziert, empfindlich, vertraulich, geheim, beschränkt geheim
oder streng geheim mit geeigneten OK-, Zufällig- und Standard-Schaltflächen ausgewählt werden.
-
Ein
Pop-up-Fenster (Box) 250 zur Auswahl der Knotenkonfiguration
ist in 8B gezeigt und kann vom Benutzer
wählbare
Gefährdungsprofile
aufweisen, um ein Gefährdungsprofil
eines Netzwerk-Elements oder Knotens auszuwählen. 9 zeigt
auch das Netzwerkmodelldiagramm mit dem Hauptnetzwerkknoten und
den miteinander verbundenen Knoten. Es ist möglich, dass ein Benutzer die Einträge des Verwaltungsfensters 234 editieren
kann, was es ferner ermöglicht,
dass die Netzwerk-Erkennung durch die geeignete Auswahl von Knöpfen erfolgt.
Natürlich
können
Netzwerk-Ikons, wie zum Editieren und für Entwurfsalternativen erforderlich,
ausgewählt
und bewegt werden.
-
Nachdem
der Sicherheitszustand durch das System ermittelt worden ist, können Ikon-Platzhalter
von Hochrisiko-Netzwerk-Elementen die Farben von Knoten 252 umwandeln,
wie in rot. Andere ausgewählte
Ikons könnten
gelb werden, was auf einen weniger ernsten Risikoknoten hinweist,
so z. B. der HP4 Knoten 254, wie in 7 und 9 gezeigt.
Es ist möglich,
dass schattierte Bereiche um den Knoten oder Teile des Netzwerks rot
oder gelb als Hinweis auf die höhere
Risikogefährdung
gefärbt
sein können.
Es ist auch möglich,
dass die Verbindungslinie rot oder gelb werden kann, um eine schlechte
Verbindung zwischen Elementen anzuzeigen.
-
10 illustriert
ein Gefährdungszustandsfenster 270,
um für
den Benutzer lesbare Ikons als Hinweis auf gefährdete Netzwerk-Elemente und
Ikons darzustellen. Das gesamte Systemmodell wird als ein Teil eines offenen
Systementwurfsfensters gezeigt. Indes wird ein Arbeitsblatt 272 illustriert
und ein NVT-Risikobewertungsdiagramm 274 für die Risikobewertung,
welches Ziehbalken aufweist. Ferner ist ein Risikoanalyse-Fenster 276 dargestellt,
welches die fünf
ersten Risikoanalyse-Elemente zeigt.
-
16 zeigt
eine Klassenhierarchie detaillierter mit den Klassenamen 280 als öffentliche
Attribute und private Attribute, die Ansammlung 282 und
Verbindung 284 der Quelle 286 und des Ziels 288 mit
den Verallgemeinerungen 290. 17 illustriert
ein Beispiel eines System-Klassendiagramms mit verschiedenen in
den Blöcken
identifizierten Komponenten. Natürlich
ist 17 nur ein System-Klassendiagramm, wie dem Fachmann bekannt,
und ein Beispiel dessen, was für
das System und Verfahren der vorliegenden Erfindung verwendet werden
kann.
-
Nun
unter detaillierterer Bezugnahme auf die 11–15 wird
die zielorientierte Fuzzy-Logik Entscheidungsfindung illustriert.
Wie in 11 gezeigt, werden die System-Objektmodelldatenbank 138 und
die Ergebnisse 300 aus den jeweiligen Netzwerk-Gefährdungsanalyseprogrammen
zusammengefasst, wobei eine Anwendungsprogrammierschnittstelle und
Experten-Korrelation verwendet wird, um eine Tatsachen-Basis 302 durch
Fuzzy-Verarbeitung der Daten zu bilden. Zielorientierte Fuzzy-Logik-Entscheidungsregeln
arbeiten mit Fuzzy-Rückschluss- Netzwerkregeln 304 und
Fuzzy-Offenkundigkeitsschlussfolgerungsregeln 306, um den
Sicherheitszustand eines Netzwerk basierend auf vorher bestimmten
Zielen 308 zu bestimmen.
-
Die
Fuzzy-Logik-Verarbeitung der vorliegenden Erfindung verwendet Datenverschmelzung,
Offenkundigkeitsschlussfolgern und Rückschluss-Netzwerk-Techniken. Wie dem
Fachmann bekannt, ist das Offenkundigkeitsschlussfolgern eine Technik,
in der Tatsachen gesammelt werden, die eine gegebene Hypothese unterstützen und
widerlegen. Das Ergebnis ist der Beweis oder die Verwertung der
Hypothese mit einem bestimmten Vertrauensgrad. Die Fuzzy-Logik-Verarbeitung
der vorliegenden Erfindung verwendet Offenkundigkeitsschlussfolgern,
um Offenkundiges über
das System und Serviceprogramm-Ergebnisse für jedes Kriterium anzusammeln,
wodurch die System-Bewertungsdaten in einen einzelnen Richtwert
verschmolzen werden, die Anpassung des Systems an ein bestimmtes
Kriterium. Durch Bereitstellen einer Reihe von Kriterien für die Verschmelzung
beschränkt
das System das Verschmelzungsproblem und verringert die Ausgangsbasis
der Suche. Offenkundigkeitsschlussfolgern ist zuvor verwendet worden,
um eine Multisensor-Datenverschmelzung der ersten Stufe auszuführen, und
ist eine übliche,
umfassende Schlussfolgerungstechnik in Fuzzy-Experten-Systemen, wieder
Typ des Systems, der dem Fachmann als das von der NASA einwickelte
fuzzyCLIPS bekannt ist. Das Ergebnis ist eine Reihe Fuzzy-Offenkundigkeits-Regeln,
deren Zweck es ist, Nachweise für einen
gegebenen Satz von Voraussetzungen anzusammeln. Das löst potenziell
widersprüchliche,
zweideutige und überflüssige Daten
aus der Experten-Korrelation und zieht mit verfügbaren Daten Schlussfolgerungen, selbst
wenn diese unvollständig
sind.
-
Die
Genauigkeit des Ergebnisses hängt
von der Quantität
und Qualität
der verfügbaren
Daten ab, und es kann notwendig sein, eine zusätzliche Filterung der verfügbaren Daten
vor der Anwendung der Fuzzy-Logik-Verarbeitung vorzunehmen, wobei
auch die wahrscheinlichkeitstheoretische Natur der Daten aufrechterhalten
wird. Diese Filterung verwendet Rückschluss-Netzwerke und stellt
ein Verfahren zur Verfügung,
um über
die Wahrscheinlichkeit unter Verwendung von Heuristiken schlusszufolgern,
wodurch die Notwendigkeit für
umfassende a-priori-Kenntnisse entfällt. Der Zusammenhang zwischen
Zielen und potenziellen Sicherheitsmetriken regt „Kreuzungen" an. Wie dem Fachmann
bekannt, verwendet das fuzzyCLIPS Fuzzy-Tatsachen, die jeden Wert
zwischen 0 und 1 annehmen können.
Das Ergebnis kann als eine zweidimensionale grafische Darstellung
einer stetigen Funktion, vertikal begrenzt durch 0 und 1, angesehen
werden.
-
Die
Datenverschmelzung wird mit der System-Objektdatenbank, Ergebnisdaten
Tatsachen-Datenbasis verwendet. Aufklärungsdatenverschmelzung ist
ein mehrstufiger, multi-disziplinär basierter Informationsprozess,
um die Integration der Informationen von mehreren Aufklärungsquellen
(und möglicherweise
mehreren Aufklärungsdisziplinen)
zu erzielen, um spezifische und umfassende, vereinheitlichte Daten über eine
Einheit zu erzeugen (ihr Zustand, Fähigkeiten, und die Bedrohung,
die sie darstellt). Die Datenverschmelzung stellt Informationen
zur Verfügung,
die auf den vorhandenen Eingaben basieren. Das Aufklärungsdatenverschmelzungsverfahren
wird typischerweise in vier Stufen eingeteilt, die unten in der
Tabelle 1 beschrieben werden.
-
TABELLE
1. DIE STUFEN UND ZWECKE DES AUFKLÄRUNGSDATENVERSCHMELZUNGSVERFAHRENS
-
-
Wie
zuvor bemerkt, verbindet das NVT mehrere Typen von Daten von mehreren
Quellen mit anderen Kontextinformationen, um eine ganzheitliche
Sicht des Sicherheitszustands eines vernetzten Systems zu bilden.
Das NVT stellt einem Benutzer einen einfachen Ausdruck des Gefährdungszustands
eines gegebenen Systems oder Systementwurfs zur Verfügung und
ermöglicht
diesen eine „was
wenn"-Analyse im
Bezug auf Funktionalität,
Leistung, und Gegenmaßnahmehandlungen
für den
Zweck, das System oder den Systementwurf zu verfeinern und zu verbessern.
-
In
der Computersicherheitstechnik bilden Sensoren die verschiedenen
Gefährdungsbewertungs-
und Risikoanalysewerkzeuge zusammen mit dem GUI, um erforderliche
Informationen vom Benutzer einzuholen. Die resultierenden Ausgaben
dieser Serviceprogramme nehmen die Form sowohl qualitativer als
auch quantitativer Daten in einer Vielfalt von Formaten verschiedener
Anbieter an. Die für
die Computersicherheitstechnik interessanten Gegenstände sind
die Knoten in einem Netzwerk (Computersystem), d. h. die Gegenstände, einschließlich der
Hardware, Software und der Daten. Gegenstand des Interesses ist
eine Bewertung der Schwächen
im Sicherheitssystem eines Computernetzwerk-Segmentes, die ausgenutzt
werden könnten,
um einen Schaden oder Verlust der Geheimhaltung, Integrität oder Verfügbarkeit
zu verursachen.
-
Das
Bewerten des einem Computersystem gegenüberstehenden Risikos schließt eine
Bewertung der gegenüberstehenden
Bedrohungen, ihre Auftretenswahrscheinlichkeit (Ausnutzung), und
die erwarteten Kosten des Verlustes (oder Schadens) ein. Schließlich kann
das Netzwerk (Computersystem), basierend auf den Ergebnissen der
Kosten-Nutzen-Analyse verbessert werden. Das erfordert Informationen über Schutzmaßnahmen
(Kontrollen oder Gegenmaßnahmen),
die sich für
die einzelnen Gefährdungen
und ihre Kosten eignen. Die Kosten-Nutzen-Analyse strebt danach
zu bestimmen, ob es weniger kostet, eine Kontrolle oder Gegenmaßnahme zu
verwenden oder die erwarteten Kosten des Verlustes hinzunehmen.
Dies führt
zur Entwicklung eines Sicherheitsplans, um die Sicherheit eines
Computernetzwerksystems zu verbessern.
-
Tabelle
2 enthält
ein Beispiel einer ersten Einteilung dieses Datenverschmelzungsverfahrens
für die Computersicherheit
mit vier Verfahrensstufen entsprechend den vier in Tabelle 1 zu
findenden Stufen, die für die
vorliegende Erfindung verwendet werden kann. Wie in 12 illustriert,
würden
die Eingaben in dieses Verfahren aus der Objektmodelldatenbank 138,
den Ergebnissen der einzelnen Serviceprogramme 132, 134, 136,
und aus anderen Kontextinformationen bestehen. Die verschiedenen
Datenverschmelzungsstufen 1–4 sind
allgemein bei 320, 322, 324 und 326 dargestellt.
-
TABELLE
2. ANFÄNGLICHE
VERARBEITUNGSSTUFEN DER DATENVERSCHMELZUNG FÜR DIE COMPUTERSICHERHEITSRISIKO-ANALYSE
-
-
-
Während die
in der vorliegenden Erfindung verwendete Datenverschmelzung ein
konzeptionelles Rahmenwerk zur Verfügung stellt, um das Problem
des Zusammenfassens der Ergebnisse aus mehreren Gefährdungsbewertungs-
und Risikoanalyseserviceprogrammen anzugehen, werden Experten-Systeme,
Rückschluss-Netzwerke
und Offenkundigkeitsschlussfolgern verwendet, um die Verschmelzungskonzepte
umzusetzen und die Serviceprogrammergebnisse zu verschmelzen. Die
Flexibilität
der Fuzzy-Entscheidungstechnologie, insbesondere von Fuzzy-Experten-Systemen,
bietet die Mittel an, diese Probleme anzugehen. Ein primärer Vorteil
eines Fuzzy-Experten-Systems ist seine Fähigkeit, Kenntnisse von mehreren
Quellen zu verwenden und aufzunehmen.
-
Fuzzy-Logik
stellt die Technik für
die Darstellung von und das Rückschließen aus
Kenntnissen zur Verfügung,
die unpräzise,
ungewiss oder unzuverlässig
sind. Ähnlich
zu traditionellen Experten-Systemen kann ein Fuzzy-Experten-System Kenntnisse
in der Form eines Systems von WENN/DANN-Regeln darstellen, in denen
die Voraussetzungen, Folge oder beide unscharf sind anstatt scharf.
Fuzzy-Logik wird verwendet, um zu bestimmen, wie gut Fuzzy-Tatsachen
mit den Regeln übereinstimmen,
und in welchem Maße
diese Übereinstimmung
die Schlussfolgerung der Regel beeinflusst. Gemäß der vorliegenden Erfindung
ist ein Rückschluss-Netzwerk
eine Hierarchie von heuristischen Regeln, die Wahrscheinlichkeiten
weitergeben können, ohne
umfassende Kenntnisse von a-priori-Wahrscheinlichkeiten
zu erfordern (z. B. Bayesische Netzwerke). Die heuristischen Regeln
können
dadurch entwickelt werden, dass Experten-Kenntnisse darüber verwendet werden, wie die
Wahrscheinlichkeiten weitergegeben werden, was es ermöglicht,
Schlussfolgerungen mit beschränkten Kenntnissen
von a-priori-Wahrscheinlichkeiten zu ziehen. Dies resultiert darin,
dass sich niederstufige diskrete Wahrscheinlichkeiten in höherstufigen
Schlussfolgerungen akkurat widerspiegeln. Wahrscheinlichkeiten von
niederstufigen Ereignissen (wie die Wahrscheinlichkeit einer Kennwort-Offenlegung über der
Lebensdauer) müssen
ein Teil irgendwelcher Schlussfolgerungen hinsichtlich höherstufiger
Ereignisse (Schwächen
des Kennwortes) sein.
-
Anfängliche
Studien von NVT verwenden die Ansammlung von Nachweisen, um eine
Fuzzy-Tatsache zu modifizieren und die Zustandsänderung darzustellen, die im
vorliegenden System erforderlich ist. Diese Zustandsänderung
der Fuzzy-Tatsache wird dann verwendet, um das System zu modifizieren,
und der neue Zustand wird in einem endlosen Zyklus zurück in die
Zustandsänderungsregeln
gekoppelt, wobei umfassende Beiträge verwendet werden. FuzzyCLIPS
ermöglicht
die Definition von Fuzzy-Tatsachen-Typen, jedoch bleibt nur eine
Tatsache jedes Typs bestehen. Deshalb modifiziert jede Regel, die
diesen Tatsachen-Typ manipuliert, tatsächlich eine einzelne Tatsache,
was zur Ansammlung von Nachweisen führt.
-
Der
umfassende Beitrag und die Ansammlung von Nachweisen haben zu einer
FuzzyCLIPS-Methodik geführt,
die Fuzzy-Tatsachen definiert, welche verschiedene Gefährdungszustände darstellen.
Diese Tatsachen verwenden den umfassenden Beitrag und die Ansammlung
von Nachweisen, d. h. Offenkundigkeitsschlussfolgern, um Endwerte
zu ermitteln, welche die Gefährdung
des geprüften
Systems widerspiegeln. Dieses Verfahren spiegelt die wohldefinierte
Verwendung von Fuzzy-Logik-Kontrollsystemen wider, welche die Durchführung (des
Verfahrens) auf eine begrenzte Anzahl von Zyklen beschränkt, anstatt
ihm zu erlauben, kontinuierlich zu laufen. FuzzyFusionTM ist
durch die Harris Corporation in Melbourne, Florida entwickelt worden,
und verwendet diese Methodik, um Nachweise aus Regeln basierend
auf Kenntnissen von Netzwerk-Sicherheitsexperten
anzusammeln. Vornehmlich verwendet FuzzyFusionTM das
Offenkundigkeitsschlussfolgern als eine Technik, in welcher Tatsachen
gesammelt werden, die eine gegebene Hypothese stützen und widerlegen. Das Ergebnis
ist der Beweis oder die Verwerfung der Hypothese mit einem bestimmten
Vertrauensgrad.
-
Die
anfängliche
Kenntnisgewinnung resultiert in der Verwendung von Sicherheitsvoraussetzungen, um
Nachweise anzusammeln, d. h. wie gut entspricht ein System den Anforderungen.
Die demonstriert eine starke Korrelation zwischen den Verfahren
der Überprüfung einer
Datenbank (z. B. AFCERTS) und der Überprüfung von Sicherheitsvoraussetzungen,
was zur Verwendung der Datenbank und der Voraussetzungen als umfassendem
Tatsachen-Beitrag führt,
um Nachweise, die in 13 illustriert sind, anzusammeln.
Dies zeigt auch, wie das Verändern
der Detailtiefe der Ziele direkt die Detailtiefe der Bewertung beeinflusst,
d. h. die Bewertung wird nur so detailliert wird wie die Ziele.
Die Ansammlung von Nachweisen wird als eine zielorientierte Herangehensweise
an das Erreichen von Ergebnissen angesehen, wobei die Verwendung
einer Vorwärtsschlussfolgerungstechnik
aufrechterhalten und fürs
Erste als „zielbasierte
Verschmelzung" bezeichnet
wird.
-
Ein
Beispiel dafür,
wie Fuzzy-Logik mit der Verschmelzung von Serviceprogrammergebnissen
in der Computersicherheit angewandt werden kann, verwendet die Kombination
von Ergebnissen von ANSSR und ISS Internet Scanner, zwei der Serviceprogramme,
die in einer Hinsicht von NVT zur Zeit verwendet werden. Die Ausgaben
der Serviceprogramme sind sowohl quantitativ (ANSSR) als auch qualitativ
(Internet Scanner). Fuzzy-Logik erlaubt es dem System, beide Datentypen
innerhalb desselben Systems zu darzustellen. Dann wird eine anfängliche
Hypothese formuliert, und Fuzzy-Logik wird verwendet, um Nachweise
zu sammeln, um der Hypothese zu widersprechen oder sie zu unterstützen.
-
Für dieses
Beispiel könnte
eine anfängliche
Hypothese sein, dass die Prüfung
in einem existierenden Netzwerk-System ungültig ist. Der System-Benutzer führt dann
die ANSSR und ISS Internet Scanner-Serviceprogramme aus. Wenn ANSSR
eine Nummer 90 (von 100) liefert, ist diese Prüfung ausreichend. Fuzzy-Logik ermöglicht es
dem NVT, dies als starke Widerlegungsnachweise für die anfängliche Hypothese, dass die
Prüfung
ungültig
sei, zu berücksichtigen.
Wenn Internet Scanner die Daten der Eigenschaft liefert, dass Benutzer-Zugriff
ungeprüft
erfolgt, berücksichtigt
dies die Fuzzy-Logik als stützenden
Nachweis, der mit den Nachweisen von ANSSR kombiniert wird. Wenn
die Serviceprogramme beendet werden, werden die Nachweisbeiträge für die Prüfung als
eine einzelne Fuzzy-Tatsache
dargestellt, die ein Maß dafür zur Verfügung stellt,
wie gut die Prüfung
durchgeführt
wird.
-
FuzzyFusionTM, wie von der Harris Corporation in Melbourne,
Florida entwickelt, ist ein Mittel, um die Ergebnisse der Gefährdungsbewertungs-
und Risikoanalyseserviceprogramme, die innerhalb des NVT verwendet
werden, zu konsolidieren und in einen vereinheitlichten Bericht
zu verschmelzen. Insbesondere ist FuzzyFusionTM dazu
entworfen, die Verschmelzung der Stufen 1 und 2 durchzuführen. FuzzyFusionTM wird durch die Verwendung eines Fuzzy-Experten-Systems
(zielorientierte Fuzzy-Logikentscheidungsregeln) erreicht, wobei
FuzzyCLIPS benutzt wird, das die Ausgaben der verschiedenen Serviceprogramme,
Benutzer-Belange hinsichtlich System-Risiken und Gefährdungen,
und das Experten-Verständnis
der Ergebnisse jedes Serviceprogramms, und wie sich diese in ein
größeres Informationssystemsicherheitsbild
einpassen, kombiniert. Folglich erhalten NVT-Benutzer einen einfachen Ausdruck des
Sicherheitszustands eines gegebenen Computersystems oder Systementwurfs,
und können
eine „was
wenn"-Analyse für die Funktionalität, Leistung, und
Gegenmaßnahmen
durchführen.
-
14 illustriert
die NVT-FuzzyFusionTM-Teilarchitektur zur
Umsetzung der ersten zwei Stufen der Datenverschmelzung für die Computersicherheitstechnik.
Wie die Figur illustriert, wird die Aufgabe der Nachbildung eines
Sicherheitsgutachtens in getrennte Aufgaben eingeteilt. Die Trennung
der Experten-Korrelation (Datenrahmenwerkverschmelzungsregeln),
Fuzzy-Rückschluss-Netzwerk-Regeln,
und Fuzzy-Offenkundigkeitsschlussfolgerungsregeln befasst sich mit
den Problemen von labilen Experten-Systemen und Rechenaufwandsexplosion.
Sie trennt auch die niederstufige Datenkorrelation und -verschmelzung
von der Auflösung von
zweideutigen/widersprüchlichen
Daten und der Einfügung
der Ergebnisse in ein Bild. Dies sollte zu Fuzzy-Experten-Systemen
führen,
die leichter aufrechtzuerhalten sind als ein großes umfassendes System. Elemente
dieser Architektur werden unten beschrieben.
-
Fuzzy-Verarbeitung 310 der
Daten konvertiert die Ergebnisse der einzelnen Gefährdungsbewertungs- und
Risikoanalyseserviceprogramme 132, 134, 136 in
Fuzzy-Tatsachen und speichert diese zusammen mit dem allgemeinen
Systemmodell (engl. Common System Model CSM), d. h. der System-Objektmodelldatenbank 138,
in die (FuzzyCLIPS-) Tatsachen-Basis 302. Einzelne Serviceprogrammergebnisse
(nach der Fuzzy-Verarbeitung) und das CSM 138 werden für die Experten-Korrelationsverarbeitung 330 (Datenrahmenwerkverschmelzungsregeln)
exportiert, um Systeminformationen aufzulösen und auf dem Sicherheitsgutachten
basierende Serviceprogrammausgaben zu integrieren. Ein Sachverständigengutachten
kann verwendet werden, um die spezifischen Fuzzy-Werte zu bestimmen,
die den niederstufigen Ereignissen zugeschrieben sind.
-
Die
Experten-Korrelation (Datenrahmenwerkverschmelzungsregeln) 330 ist
eine Sammlung von Fuzzy-Experten-Regeln, um Knotenebenen-Datenfilterung
(Stufe 1) oder Filterung des Netzwerk-Segmentes (Stufe 2) durchzuführen. Diese
Regeln korrelieren und konsolidieren die (Fuzzy-verarbeiteten) Ausgaben
der Gefährdungsbewertungs-
und Risikoanalyseserviceprogramme, unter Verwendung der Expertise
von Sicherheitsingenieuren. Diese Regeln setzen die umfassende Erfahrung
in der Sicherheitsbewertung wirksam ein, um niederstufige System-Daten
und Serviceprogrammergebnisse aufzulösen. Diese Regeln lösen System-Informationen auf
und integrieren Serviceprogrammausgaben. Die Verarbeitung 330 gemäß Experten-Korrelationsregeln
kann ferner niederstufige Daten des CSM und Serviceprogrammergebnisse
in hochstufige Schlussfolgerungen transformieren. Zum Beispiel:
WENN
die Prüfung
mit diesen Flags eingeschaltet ist
UND die Prüfungsdaten
nicht gesichert werden,
DANN ist die Prüfung unzuverlässig.
-
Ausgehend
von Fuzzy-Tatsachen in der Tatsachen-Basis 302, kann eine
Reihe von Verschmelzungsregeln der Stufe 1 die Gefährdungen
für jeden
Knoten konsolidieren, was zu einer Gefährdungseinstufung für jeden
Knoten im Netzwerk führt.
Diese Einstufung kann zur Anzeige zurück in das NVT importiert werden. Ähnlich kann
eine Reihe von Verschmelzungsregeln der Stufe 2 die Gefährdungen
für jedes
Netzwerk-Segment konsolidieren, was zu einer Gefährdungseinstufung für jedes
Netzwerk-Segment führt.
Das kann wieder zur Anzeige zurück
importiert werden.
-
Die
Daten sind dann einer Verarbeitung 304 durch Fuzzy-Rückschluss-Netzwerk-Regeln unterworfen. Es
kann notwendig sein, eine zusätzliche
Filterung der verfügbaren
Daten vor der Anwendung der Fuzzy-Offenkundigkeitsschlussfolgerungsregeln 304 durchzuführen, wobei
die wahrscheinlichkeitstheoretische Natur der Daten aufrechterhalten
wird. Diese Filterung verwendet, wie dem Fachmann bekannt, Rückschluss-Netzwerke, welche
ein Verfahren zur Verfügung
stellen, um die Wahrscheinlichkeit unter Verwendung von Heuristiken
zu beurteilen, wodurch die Notwendigkeit für umfassende a-priori-Kenntnisse
entfällt.
-
Die
Fuzzy-Offenkundigkeitsschlussfolgerungsregeln 306 sind
eine Sammlung von Fuzzy-Experten-Regeln für die Zusammenfassung einzelner
Serviceprogrammergebnisse zu einer höherstufigen Bewertung des Sicherheitszustandes
eines Netzwerkes aus der Perspektive der Systemebene. Diese Regeln
stellen einen Mechanismus zur Verfügung, um das CSM, die Serviceprogrammergebnisse
und die Ergebnisse aus der Experten-Korrelation (Datenrahmenwerkverschmelzungsregeln) 330 in
einen vereinheitlichten Bericht zusammenzufassen. Dies behebt auch
die Notwendigkeit, sich mit unvollständigen und widersprüchlichen
Daten aus dem Vorwärtskettungs-Experten-System,
das in der Experten-Korrelation verwendet wird, zu befassen.
-
Offenkundigkeitsschlussfolgern
verwendet eine Technik, in der Tatsachen gesammelt werden, um eine gegebene
Hypothese zu unterstützen
und zu widerlegen. Das Ergebnis ist der Beweis oder Verwerfung der Hypothese
mit einem bestimmten Vertrauensgrad. FuzzyFusionTM verwendet
das Offenkundigkeitsschlussfolgern, um Nachweise aus dem allgemeinen
Systemmodell und Serviceprogrammergebnissen für jedes Kriterium anzusammeln,
wodurch die Computernetzwerksystem-Bewertungsdaten in einen einzelnen
Richtwert verschmolzen werden, die Anpassung des Systems an ein
bestimmtes Kriterium erfolgt. Durch Bereitstellen einer Reihe von
Kriterien für
die Verschmelzung, beschränkt
das System das Verschmelzungsproblem und verringert die Ausgangsbasis
der Suche, was oben als zielbasierte Verschmelzung bezeichnet wurde.
Das Ergebnis ist eine Reihe Fuzzy-Offenkundigkeits-Regeln, deren
alleiniger Zweck es ist, Nachweise für einen gegebenen Satz von
Voraussetzungen anzusammeln. Dies löst potenziell widersprüchliche,
zweideutige und überflüssige Daten
aus der Experten-Korrelation (Datenrahmenwerkverschmelzungsregeln) 330 und
zieht Schlussfolgerungen mit den verfügbaren Daten, selbst wenn diese
unvollständig
sind. Offensichtlich hängt
die Genauigkeit des Ergebnisses von der Quantität und Qualität der verfügbaren Daten
ab.
-
Wie
vorher angemerkt, ist die Fuzzy-Logik-Verarbeitung zielorientiert.
Ziele für
die Nachweisansammlungsverarbeitung 350, können aus
einer Sicherheitserfordernisdatenbank 352, einer Computersicherheitsmetrik-Datenbank 354 oder
einer Gefährdungsdatenbank 356,
wie einer aus AFCERTs zusammengesetzten Datenbank abgeleitet werden.
Die Bindung der Verschmelzung an vorher bestimmte Ziele beschränkt die
Berechnungszeiten. FuzzyFusionTM-Ziele stellen
einen Mechanismus bereit, IA Metriken zu erhalten.
-
Das
FuzzyFusionTM-Verfahren hat eine Anzahl
von Vorteilen gegenüber
traditionellen Herangehensweisen. Scharf-Experten-Systeme erforderten äußerst große Wissensbasen,
um die notwendigen Daten noch zu umfassen, und hätten dennoch ein Problem mit
unvollständigen
Daten und widersprüchlichen
Ergebnissen. Bayesische und Wahrscheinlichkeitsnetzwerke erfordern
umfassende und häufig
nicht verfügbare
a-priori-Kenntnisse von Wahrscheinlichkeiten. Algorithmische Lösungen sind
für die
wahrscheinlichkeitstheoretische und heuristische Natur des Sicherheitsproblems
nicht tauglich.
-
Rete-basierte
Experten-Systeme wie FuzzyCLIPS leiden unter einer geometrischen
Zunahme der Laufzeit basierend auf der Anzahl von im System vorhandenen
Regeln und Tatsachen. Das führt
zum Aufbrechen der Analyse in Teilnetzwerke. FuzzyFusionTM fügt
Teilnetzwerk- und Skalierungsfähigkeiten
hinzu. Die Knoten für
jedes Teilnetzwerk werden als eine Gruppe bewertet, und dann werden
Gruppen von Teilnetzwerken bewertet. Die Gruppierung der Regeln
für jeden
Typ der Analyse in verschiedene Module reduziert die Größe des Rete-Netzwerks. Zusätzlich zur
abnehmenden Laufzeit, führt
dies auch ein skalierbares Verfahren ein, um Netzwerke zu analysieren,
welches auf das durch NVT verwendete Netzwerk-Modell abgebildet
wird.
-
Wie
in 15 gezeigt, könnten
die anderen möglichen
Datenräume
einschließen:
eine Bedrohungskenntnisdatenbank 360, eine Kostendatenbank 362 als
ein Teil der Verschmelzung der Stufe 3 sowie eine Gegenmaßnahmenkenntnisdatenbank,
Komponentendatenbank und Kostendatenbank als Teil der Verschmelzung
der Stufe 4.
-
Diese
Anmeldung steht in Beziehung zu den ebenfalls anhängigen Patentanmeldungen
betitelt mit "SYSTEM
AND METHOD FOR ASSESSING THE SECURITY POSTURE OF A NETWORK" und "SYSTEM AND METHOD
FOR ASSESSING THE SECURITY POSTURE OF A NETWORK USING GOAL ORIENTED FUZZY
LOGIC DECISION RULES",
die an demselben Tag und von denselben Anmeldern und Erfindern eingereicht
wurden.