Оценка уровня защищенности (безопасности функционирования) автоматизированных систем на основе их уязвимостей, формализованная при помощи теории систем массового обслуживания

Цель. Целью работы является разработка методологического аппарата, а также математической модели на основе теории систем массового обслуживания, предназначенных для оценки уровня защищенности автоматизированных систем.
Метод. В качестве математического аппарата рассматривается теория систем массового обслуживания. В частности, проблема устранения уязвимостей рассматривалась как многоканальная СМО с неограниченной очередью. В качестве входящего потока заявок рассматривался поток обнаруженных уязвимостей автоматизированной системы. Система за счет возможности обнаружения множества уязвимостей за короткий срок обладает очередью из уязвимостей. В качестве каналов обслуживания рассматриваются специалисты информационной безопасности, ответственные за устранение уязвимостей в данной системе. Несмотря на возможность взаимопомощи между специалистами, в данной работе рассматривается ситуация, когда каждому сотруднику ставится задача по устранению конкретной уязвимости. Выходящим потоком заявок является поток устраненных уязвимостей автоматизированной системы.
Результат. Разработан методологический и математический аппарат оценки уровня защищенности автоматизированных систем на основе их уязвимостей и процесса устранения уязвимостей. В качестве основы применялась теория систем массового обслуживания. Дана оценка уровней защищенности в зависимости от вероятности возникновения очереди из не устраненных уязвимостей.
Вывод. Разработанная методика может применяться в целях оценки уровня защищенности автоматизированных систем. А также позволяет производить оценку достаточности ресурсов, затрачиваемых на устранение уязвимостей конкретной автоматизированной системы.

1. Щеглов, К. А. Защита от атак на уязвимости приложений. Модели контроля доступа / К. А. Щеглов, А. Ю. Щеглов // Вопросы защиты информации. – 2013. – № 2(101). – С. 36-43. – EDN QAVHRX.

2. Плескунов, М. А. Теория массового обслуживания: Учебное пособие для студентов вуза, обучающихся по УГН 01.00.00 «Математика и механика» / М. А. Плескунов; Министерство науки и высшего образования Российской Федерации, Уральский федеральный университет имени первого Президента России Б.Н. Ельцина. – Екатеринбург: Издательство Уральского университета, 2022. – 264 с. – ISBN 978-5-7996-3539-8. – EDN RSQUKA.

3. Вентцель, Е.С. Исследование операций / Е.С. Вентцель. – Москва: Советское радио, 1972. – 552 с.

4. Вентцель, Е.С. Исследование операций: Задачи, принципы, методология: учеб. пособие / Е.С. Вентцель. – 5-е изд., стер. – Москва: КноРус, 2010. – 192 с.

5. Саати, Т.Л. Элементы теории массового обслуживания и ее приложение / Т.Л. Саати. – Москва: Советское радио, 1965. – 510 с.

6. Common Vulnerability Scoring System v3.0: Specification Document. FIRST Org. Inc, 2015. -21 p. (https://www.first.org/cvss/specification-document).

7. Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств: утв. ФСТЭК России 28 октября 2022 г.: Методический документ ФСТЭК России от 28.02.2022 г.

8. Коноваленко С.А., Королев И.Д. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей. Альманах современной науки и образования. 2016, № 11(113), c. 60–66. – EDN XEEDXH.

9. Сердечный А.Л., Тарелкин М.А., Ломов А.А., Симонов К.В. Карты источников, содержащих сведения об уязвимостях программного обеспечения. Информация и безопасность. 2019, т. 22, № 3, с. 411–422. – EDN ZOUMGN.

10. Федорченк А.В., Чечулин А.А., Котенко И.В. Исследование открытых баз уязвимостей и оценка возможности их применения в системах анализа защищенности компьютерных сетей. Информационно-управляющие системы. 2014, № 5(72), с. 72–79. – EDN SXXXKH.

11. Сердечный А.Л.,. Герасимов И.В,. Макаров О.Ю и др. Технология выявления сведений об уязвимостях сторонних компонентов программного обеспечения с открытым исходным кодом. Информация и безопасность. 2020, т. 23, № 3, с. 347–364. DOI: http://dx.doi.org/10.36622/VSTU.2020.23.3.003. – EDN PYXOUT.

12. Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения. Вопросы кибербезопасности. 2014, № 3(4), с. 20–28. – EDN SSYPXV.

13. Russell R. et al. Automated Vulnerability Detection in Source Code Using Deep Representation Learning. 17th IEEE International Conference on Machine Learning and Applications (ICMLA), Orlando, FL, USA. 2018, p. 757–762. DOI: http://dx.doi.org/10.1109/ICMLA.2018.00120.

14. Wang T., Wei T., Gu G. and Zou W. TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection. IEEE Symposium on Security and Privacy, Oakland, CA, USA. 2010, p. 497–512. DOI: http://dx.doi.org/10.1109/SP.2010.37.

15. Lin G., Wen S., Han Q. -L., Zhang J. and Xiang Y. Software Vulnerability Detection Using Deep Neural Networks: A Survey in Proceedings of the IEEE. Oct. 2020, vol. 108, no. 10, p. 1825–1848. DOI: http://dx.doi.org/10.1109/JPROC.2020.2993293.