Розробка моделі динамічної оцінки вразливості в програмному забезпеченні на основі загальнодоступних джерел

Автор(и)

  • Юлія Євгенівна Татарінова Інститут досліджень та розробок Самсунг в Україні, Україна https://orcid.org/0000-0003-2262-6090
  • Ольга Ігорівна Синельникова Київський національний університет імені Тараса Шевченка; Інститут досліджень та розробок Самсунг в Україні, Україна https://orcid.org/0000-0003-1317-0634

DOI:

https://doi.org/10.15587/1729-4061.2021.248673

Ключові слова:

управління ризиками, інформаційна безпека, машинне навчання, оцінка вразливостей, метрики ризику

Анотація

Одним з ключових процесів у галузі розробки програмного забезпечення та управління інформаційною безпекою є оцінка ризиків вразливостей. Було проаналізовано основні можливості та недоліки існуючих систем оцінки ризиків вразливості в програмному забезпеченні, до яких можна віднести відсутність врахування впливу трендів та ступеню популярності вразливості на кінцеву оцінку.

В процесі дослідження була проаналізована наступна інформація у структурованому вигляді: вектор загальної системи оцінки вразливості, тип загрози, вектор атаки, наявність вихідного коду з виправленнями, програми експлуатації, тренд. Отриманий результат дозволив виділити основні незалежні характеристики, наявність кореляції між параметрами, порядок і схеми взаємозв'язків між основними величинами, які впливають на підсумкове значення оцінки впливу уразливості на систему.

Було сформовано набір даних з формалізованими характеристиками, а також експертною оцінкою для подальшої побудови математичної моделі. Був проведений аналіз різних підходів і методів машинного навчання для побудови цільової моделі динамічної оцінки ризику: нейро-нечітка логіка, алгоритми регресійного аналізу, нейро-мережеве моделювання.

Розроблено математичну модель динамічної оцінки ризику уразливості в програмному забезпеченні, заснована на динаміці поширення інформації про вразливість у відкритих джерелах та багатовимірній моделі з точністю оцінки 88,9 %. Використання отриманої моделі дозволяє скоротити час аналізу від декількох годин до декількох хвилин та прийняти більш ефективне рішення щодо встановлення порядку пріоритетності виправлень, уніфікувати дії експертів, знизити витрати на управління ризиками інформаційної безпеки

Біографії авторів

Юлія Євгенівна Татарінова, Інститут досліджень та розробок Самсунг в Україні

Провідний інженер

Ольга Ігорівна Синельникова, Київський національний університет імені Тараса Шевченка; Інститут досліджень та розробок Самсунг в Україні

Кандидат технічних наук, доцент

Кафедра алгебри та комп’ютерної математики

Старший інженер, керівник лабораторії

Лабораторія «DTV Security»

Посилання

  1. Microsoft Security Development Lifecycle. Microsoft Inc. Available at: https://www.microsoft.com/en-us/securityengineering/sdl
  2. Common Vulnerability Scoring System SIG. First.org, Inc. Available at: https://www.first.org/cvss/
  3. Common Vulnerabilities and Exposures (CVE). Mitre.org, Inc. Available at: https://cve.mitre.org/
  4. Wu, C., Wen, T., Zhang, Y. (2019). A revised CVSS-based system to improve the dispersion of vulnerability risk scores. Science China Information Sciences, 62 (3). doi: https://doi.org/10.1007/s11432-017-9445-4
  5. Shlens, J. (2014). A tutorial on principal component analysis. arXiv.org. Available at: https://arxiv.org/pdf/1404.1100.pdf
  6. Keramati, M. (2016). New Vulnerability Scoring System for dynamic security evaluation. 2016 8th International Symposium on Telecommunications (IST). doi: https://doi.org/10.1109/istel.2016.7881922
  7. Zhang, F., Huff, P., McClanahan, K., Li, Q. (2020). A Machine Learning-based Approach for Automated Vulnerability Remediation Analysis. 2020 IEEE Conference on Communications and Network Security (CNS). doi: https://doi.org/10.1109/cns48642.2020.9162309
  8. Jacobs, J., Romanosky, S., Edwards, B., Adjerid, I., Roytman, M. (2021). Exploit Prediction Scoring System (EPSS). Digital Threats: Research and Practice, 2 (3), 1–17. doi: https://doi.org/10.1145/3436242
  9. Official Common Platform Enumeration (CPE) Dictionary. NIST. Available at: https://nvd.nist.gov/products/cpe
  10. National Vulnerability Database. NIST. Available at: https://nvd.nist.gov/
  11. Edkrantz, M., Said, A. (2015). Predicting Cyber Vulnerability Exploits with Machine Learning. Thirteenth Scandinavian Conference on Artificial Intelligence, 48–57. doi: https://doi.org/10.3233/978-1-61499-589-0-48
  12. Aksu, M. U., Bicakci, K., Dilek, M. H., Ozbayoglu, A. M., Tatli, E. ıslam. (2018). Automated Generation of Attack Graphs Using NVD. Proceedings of the Eighth ACM Conference on Data and Application Security and Privacy. doi: https://doi.org/10.1145/3176258.3176339
  13. He, W., Li, H., Li, J. (2019). Unknown Vulnerability Risk Assessment Based on Directed Graph Models: A Survey. IEEE Access, 7, 168201–168225. doi: https://doi.org/10.1109/access.2019.2954092
  14. Petraityte, M., Dehghantanha, A., Epiphaniou, G. (2018). A Model for Android and iOS Applications Risk Calculation: CVSS Analysis and Enhancement Using Case-Control Studies. Cyber Threat Intelligence, 219–237. doi: https://doi.org/10.1007/978-3-319-73951-9_11
  15. Exploit database. Available at: https://www.exploitdb.com/
  16. Vulnerability Lab. Vulnerability Research, Bug Bounties & Vulnerability Assessments. Vulnerability Lab. Available at: https://www.vulnerability-lab.com/
  17. Tatarinova, Y., Sinelnikova, O. (2019). Extended Vulnerability Feature Extraction Based on Public Resources. Theoretical and Applied Cybersecurity, 1 (1). doi: https://doi.org/10.20535/tacs.2664-29132019.1.169085
  18. Google Trends. Available at: https://trends.google.com/trends
  19. Yuan, X. (2017). An improved Apriori algorithm for mining association rules. AIP Conference Proceedings. doi: https://doi.org/10.1063/1.4977361
  20. Tatarinova, Y., Sinelnikova, O. (2019). Automatic construction of a neuro-fuzzy vulnerability risk analysis model. 2019 IEEE 14th International Conference on Computer Sciences and Information Technologies (CSIT). doi: https://doi.org/10.1109/stc-csit.2019.8929770
  21. Rapid7. InsightVM. Nexpose. Available at: https://www.rapid7.com/products/insightvm/
  22. Tripwire IP360. Available at: https://www.tripwire.com/products/tripwire-ip360
  23. Tenable Lumin. Available at: https://www.tenable.com/products/tenable-lumin
  24. Qualys Vulnerability Management. Available at: https://www.qualys.com/apps/vulnerability-management/

##submission.downloads##

Опубліковано

2021-12-29

Як цитувати

Татарінова, Ю. Є., & Синельникова, О. І. (2021). Розробка моделі динамічної оцінки вразливості в програмному забезпеченні на основі загальнодоступних джерел. Eastern-European Journal of Enterprise Technologies, 6(2 (114), 19–29. https://doi.org/10.15587/1729-4061.2021.248673

Номер

Том 6 № 2 (114) (2021): Інформаційні технології. Системи управління в промисловості

Розділ

Інформаційні технології

Ліцензія

Авторське право (c) 2021 Yuliia Tatarinova, Olga Sinelnikova

Creative Commons License

Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.

Закріплення та умови передачі авторських прав (ідентифікація авторства) здійснюється у Ліцензійному договорі. Зокрема, автори залишають за собою право на авторство свого рукопису та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons CC BY. При цьому вони мають право укладати самостійно додаткові угоди, що стосуються неексклюзивного поширення роботи у тому вигляді, в якому вона була опублікована цим журналом, але за умови збереження посилання на першу публікацію статті в цьому журналі.

Ліцензійний договір – це документ, в якому автор гарантує, що володіє усіма авторськими правами на твір (рукопис, статтю, тощо).
Автори, підписуючи Ліцензійний договір з ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР», мають усі права на подальше використання свого твору за умови посилання на наше видання, в якому твір опублікований. Відповідно до умов Ліцензійного договору, Видавець ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР» не забирає ваші авторські права та отримує від авторів дозвіл на використання та розповсюдження публікації через світові наукові ресурси (власні електронні ресурси, наукометричні бази даних, репозитарії, бібліотеки тощо).
За відсутності підписаного Ліцензійного договору або за відсутністю вказаних в цьому договорі ідентифікаторів, що дають змогу ідентифікувати особу автора, редакція не має права працювати з рукописом.
Важливо пам’ятати, що існує і інший тип угоди між авторами та видавцями – коли авторські права передаються від авторів до видавця. В такому разі автори втрачають права власності на свій твір та не можуть його використовувати в будь-який спосіб.