| Abstract | U počecima korištenja informacijske infrastrukture sigurnost je bila zanemarivana budući da se tada radilo o relativno malim mrežama s malim brojem pouzdanih korisnika. Porastom broja korisnika sigurnost je dobivala na značenju te se danas smatra izuzetno bitnom komponentom informacijske infrastrukture. Unatoč tome i dalje se javljaju različiti sigurnosni problemi koji negativno utječu na povjerenje u informacijsku infrastrukturu. Dva su temeljna razloga za takvo stanje stvari. Prvi je razlog činjenica da sigurnost ne ovisi samo o tehničkim faktorima nego i o ljudskim, budući da ljudi koriste i održavaju informacijsku infrastrukturu ; ljudi su nesavršeni pa potpuno ne prihvaćaju ograničenja koja im nameću sigurnosni zahtjevi. Drugi je razlog činjenica da je trenutno sigurnost u informacijskoj infrastrukturi više kvalitativnog nego kvantitativnog karaktera ; naime, sigurnost pojedinih podsustava temelji se na analizi zahtjeva i provođenju odabranih mjera bez kvantitativnih i objektivnih mjerenja. Cilj je doktorske disertacije razrada modela koji će omogućiti kvantitativno određivanje razine prijetnje, odnosno indirektno i sigurnosti, u informacijskoj infrastrukturi. Temeljni zahtjev je da tako razrađeni model omogući usporedbu različitih sustava. U doktorskoj disertaciji prvo se razmatra pojam povjerenja. U tom razmatranju poseban naglasak stavlja se na vezu između povjerenja i sigurnosti. Također se detaljno razrađuje niz temeljnih pojmova, ne nužno vezanih uz sigurnost, ali koji se koriste u disertaciji. Potom se detaljno razrađuju četiri temeljna pojma: sigurnost, ranjivost, prijetnja i napad. Na Internetu postoji mnoštvo alata koji prvenstveno služe kako bi administratori mogli lakše uočiti ranjivosti u svojim mrežama te ih ispraviti prije nego što ih provalnici iskoriste kako bi narušili sigurnost. Međutim, istovremeno te alate koriste i provalnici za prikupljanje informacija o potencijalnim žrtvama. Zbog očite važnosti tih alata detaljno su analizirani najčešće korišteni alati, a spomenuti su i manje poznati, odnosno, korišteni alati. Temelji dio disertacije čini opis mjerenja napada, ranjivosti i napadača. Prvo je opisana metoda mjerenja količine resursa koju napadi uzimaju. Metoda se temelji na praćenju mrežnog prometa te određivanju potrošnje resursa na napadaču i žrtvi. Na temelju količine resursa i trajanja napada definirana je mjera intenziteta napada. Potom se, kao temeljni doprinos disertacije, definira podatkovna struktura pod nazivom stablo ranjivosti. Stablo ranjivosti omogućava formalni opis različitih pogleda na sustav. Jedan pogled ima vlasnik koji posjeduje potpunu informaciju o sustavu, a niz drugih imaju napadač koji nemaju potpunu informaciju potrebnu za izgradnju stvarnog stabla ranjivosti. Na temelju tako definiranog stabla ranjivosti predlaže se mjerenje ranjivosti temeljeno na sustavu mjerenja ranjivosti CVSS pri čemu sustav predložen u disertaciji bolje uzima u obzir specifičnosti pojedinih okolina u kojima se ranjivost promatra te također specifičnosti mrežnih konfiguracija u kojima se ranjivosti mogu pojaviti. Kao zamjena za sustav CVSS predlaže se uvođenje referene konfiguracije na kojoj bi se vršilo mjerenje. Konačno, na temelju stabla ranjivosti definira se metoda mjerenja napadača koja se temelji na pretpostavci kako postoji optimalno ponašanje specifično za svaku pojedinu okolinu i kako je to optimalno ponašanje moguće opisati korištenjem stabla ranjivosti. Usporedbom optimalnog i stvarnog ponašanja napadača obavlja se njegovo vrednovanje. |
| Abstract (english) | For a long time, since the introduction of computer networking, security was being treated as an afterthought because the network was relatively small with a small number of reliable users. With the increase of the number of users security was more and more important and today it is regarded as one of the very important component of the information infrastructure. Despite this change there are still different security problems that negatively affect trust in information infrastructure. There are two reasons for such state of affairs. First, security doesn't depend only on technical factors but also on humans because humans use and maintain information infrastructure and humans are imperfect. This is the main reason they don't completely accept restrictions put forth by security requirements. The second reason is the fact that security is more qualitative than quantitative in nature. Namely, security of subsystems is based on requirements analysis and implementation of gathered requirements without any measurements. The goal of the dissertation is to develop model that will enable quantitative determination of threat levels, and indirectly security, in the information infrastructure. The basic requirement is that the developed model enable comparison of different systems. In the dissertation the notion of trust is first discussed. In the discussion special emphasis is placed on the relation between trust and security. A set of basic terms used throughout the dissertation is also discussed and defined. Notions of security, vulnerability, threat and attack are thoroughly discussed as they form the basis of the dissertation. On the Internet, there is wealth of different tools which are primarily aimed to help administrators defend their networks and systems. But, those tools are also used by the attacker. Because of their importance, and influence in the main part of the dissertation, we thoroughly analyze them. Main part of the dissertation is a description of measurement of attacks, vulnerabilities and attackers. First, we describe a method to measure a resource consumption of an attack. The method is based on monitoring network traffic and determining the quantity of resources used on both, attacker and victim. Based on the resources used and the time the attack lasted we define attack intensity. Then, as the main contribution of this thesis, we define data structure called vulnerability tree. Vulnerability tree allows formal view on vulnerabilities on a given system. One view is that of the owner which possesses complete information about system, while the other are the views of an attacker that has incomplete information and thus cannot build vulnerability tree as seen by the owner. Using the vulnerability tree we propose measurement of vulnerability based on CVSS measurement system but with certain modifications in order to better account for specifics of environments and network topologies. As a substitution for a CVSS system we propose introduction of reference configuration for measurements. Finally, using the vulnerability tree we define a method to measure attacker which is based on the assumption that there is an optimal behavior for an attacker which can be deduced from the vulnerability tree. By monitoring differences between the optimal and real attacker's behavior we can measure attacker. Keywords: Internet, security, measurement, attackers, vulnerability tree, attack intensity, attack strength |
