Ogólny cykl życia ataku cybernetycznego i jego markowowski model

ISSN:1896Ǧ382X|www.wnus.edu.pl/epu DOI:10.18276/epu.2018.131/1Ǧ12|strony:121–130

RomualdHoffmann

OgólnycyklĂyciaatakucybernetycznego

ijegomarkowowskimodel

Sáowa kluczowe: atak cybernetyczny, cyberatak, cykl Īycia ataku cybernetycznego, proces

Mar-kowa dyskretny w stanach, áaĔcuch MarMar-kowa z ciągáym parametrem

Streszczenie. W pracy zaproponowano ogólny cykl Īycia ataku cybernetycznego, który wyróĪnia

siĊ od publikowanych w literaturze zasadniczo dwiema dodatkowymi fazami: identyfikacji po-trzeb atakującego oraz zakoĔczenia ataku cybernetycznego. Na bazie zdefiniowanego cyklu Īycia ataku przedstawiono stochastyczny model opisujący jego funkcjonowanie. Model bazuje na jednorodnym áaĔcuchu Markowa z ciągáym czasem.

Wprowadzenie

W historii przestĊpczoĞci komputerowej byáo juĪ wiele spektakularnych cybe-rataków, które opisywano zarówno w prasie, jak i szeroko omawiano w wielu pe-riodykach naukowych. Ogóá spoáeczeĔstwa dowiedziaá siĊ tylko o tych najbardziej spektakularnych i/lub wyrafinowanych, i jednoczeĞnie interesujących. Ale statysty-ki prowadzone przez dostawców systemów antywirusowych pokazują, Īe suma-ryczna liczba ataków w skali sieci globalnej to rząd tysiĊcy dziennie. To pokazuje, Īe w dzisiejszych czasach cyberataki to wáaĞciwie juĪ codziennoĞü, a najgorsze jest to, Īe wciąĪ bĊdzie ich przybywaü. MoĪna powiedzieü, Īe cyberprzestĊpcy to gang-sterzy XXI wieku, przed którymi, na obecnym etapie rozwoju technologicznego, powszechnoĞci urządzeĔ komputerowych, ale i niefrasobliwoĞci uĪytkowników, bardzo trudno siĊ obroniü. Do tej pory wiele paĔstw, firm, organizacji, jak i zwy-káych ludzi, boleĞnie tego doĞwiadczyáo.

W tym Ğwiecie atakujący to nie tylko pojedynczy przestĊpcy czy grupy cyber-przestĊpców, dla których rzemiosáo to staáo Ĩródáem dochodów1, ale równieĪ nie-które paĔstwa, dla których ataki w cyberprzestrzeni staáy siĊ elementem polityki. Dla wielu paĔstw równieĪ Internet2 staá siĊ areną walki cybernetycznej. Przykáady funkcjonowania programów takich, jak np. Stuxnet, Flame czy Duqu pokazują, Īe prawdopodobna rywalizacja paĔstw w cyberprzestrzeni staáa siĊ faktem. Nie popeá-nimy báĊdu, ryzykując stwierdzenie, Īe problem ten narasta, co moĪe, zdaniem autora, prowadziü w konsekwencji do miĊdzypaĔstwowego swoistego „wyĞcigu zbrojeĔ cybernetycznych”. Dzisiaj cybernetyczny atak to juĪ nie kwestia odpowie-dzi na pytanie „czy”, ale odpowieodpowie-dzi na pytanie: kiedy i z jakim prawdopodobieĔ-stwem. Zatem musimy uĞwiadomiü sobie, Īe atak cybernetyczny na naszą infra-strukturĊ, w tym usáugi elektroniczne, jest tylko kwestią czasu.

Pomimo tego, jak czĊsto mówi siĊ i pisze o cyberatakach, nawet jeszcze dzi-siaj wiele organizacji i ludzi odbiera atak cybernetyczny jako zdarzenie, któremu praktycznie nie da siĊ przeciwstawiü. Jednak w rzeczywistoĞci atak cybernetyczny nie trwa krótką chwilĊ, ale jest procesem3, czyli zbiorem czynnoĞci, które naleĪy wykonaü w odpowiedniej kolejnoĞci i które mają swój czas trwania i miejsce. CzynnoĞci te áączy siĊ w logiczne grupy i realizuje siĊ etapowo, tworząc w ten spo-sób proces ataku cybernetycznego, który ma skoĔczony czas trwania i moĪna nazy-waü go cyklem Īycia ataku cybernetycznego (cyber attack life cycle4). ZnajomoĞü cyklu ataku moĪe umoĪliwiü np. szacowanie: prawdopodobieĔstwa ataku, Ğredniego czasu trwania ataku lub Ğredniego czasu do kompromitacji systemu (time-to-

-compromise). Znając te wymienione i inne charakterystyki procesu, moĪemy

pró-bowaü odpowiedzieü na postawione przed chwilą pytanie, kiedy i z jakim prawdo-podobieĔstwem. W tym celu musimy najpierw przebadaü stochastyczną naturĊ pro-cesu ataku. Aby to zrobiü, w artykule nakreĞlono ogólny proces ataku cybernetycz-nego, który nazwano „ogólnym cyklem Īycia ataku cybernetycznego”, skáadającym siĊ z nastĊpujących siedmiu faz: identyfikacja i definicja (potrzeb), rozpoznanie, uzbrojenie, dostarczenie, uruchomienie i kontrola kodu záoĞliwego, realizacja ce-lów, zakoĔczenie ataku i zatarcie Ğladów. NastĊpnie na tej bazie zbudowano stocha-styczny model cyklu.



1

Np. ataki typu ransomware.

2

NajwiĊksza skáadowa ogólnie pojĊtej cyberprzestrzeni.

3

Tym samym organizacje mogą wykryü i powstrzymaü atak.

4

1.CyklĂyciaatakucybernetycznegowliteraturze

W literaturze etapy (fazy) procesu cyberataku, ich liczba oraz rola są róĪnie defi-niowane i opisywane. Wedáug (US) Air Force Institute of Technology proces ten skáada siĊ z piĊciu etapów:5 rozpoznanie (rekonesans), skanowanie, dostĊp do systemu, instala-cja kodu záoĞliwego, eksploatainstala-cja kodu záoĞliwego (Coleman, 2012, s. 106–107). Lock-heed Martin (Hutchins, Cloppert, Amin, 2011), po przeanalizowaniu ataków APT6, proces ataku cybernetycznego definiuje jako ciąg siedmiu etapów7: rozpoznanie, uzbro-jenie, dostarczenie, eksploracja8, instalacja, kierowanie i dowodzenie, akcja, tzn. atak celu. Proces ten równieĪ opisują Spring, Hatleback (2017) oraz Khan, Siddiqui i Ferens (2018). Natomiast Hahn, Thomas, Lozano, Cardenas (2015) wskazują na szeĞü faz w tzw. ujĊciu tradycyjnym9: rozpoznanie, uzbrojenie, dostarczenie, eksploracja, kiero-wanie i dowodzenie, osiągniĊcie celu. JednoczeĞnie Hahn i inni (2015) wskazują, Īe atak na infrastrukturĊ krytyczną naleĪy rozpatrywaü jako ciąg czterech faz10 nastĊpują-cych bezpoĞrednio po sobie: 1) rozpoznanie trzech warstw systemowych: systemów informatycznych, systemów sterowania automatyką, ukáadów urządzeĔ fizycznych; 2) uzbrojenie; 3) dostarczenie kodu záoĞliwego; 4) realizacja (obejmująca trzy fazy trady-cyjne: eksploracji, kierowania i dowodzenia, osiągniĊcia celu) oraz dwóch faz11 zazĊ-biających siĊ wzajemnie: 5) zakáócenie sterowania automatyką zazĊbiająca siĊ z czwarta fazą (realizacji) oraz 6) atak na fizyczne urządzenia.

Warto zauwaĪyü, Īe w zaleĪnoĞci od typu ataku, niektóre etapy omawianego pro-cesu mogą zostaü pominiĊte przez agresora (Khan i in., 2018).

W wyĪej wymienionych i omówionych podejĞciach opisujących proces ataku cybernetycznego nie uwzglĊdnia siĊ zarówno fazy inicjującej proces, jaką jest uĞwia-domienie, identyfikacja i okreĞlenie potrzeb jak i etapu12 zaprzestania ataku poáączone-go z zatarciem Ğladów. Zatarcie Ğladów oczywiĞcie jest moĪliwe jeĪeli atak nie jest atakiem destrukcyjnym, w którym np. nastĊpuje skasowanie danych, znaczne uszko-dzenie sprzĊtu, destrukcja systemu operacyjnego lub systemu informatycznego.



5

Reconnaissance, scanning, system access, malicious activity, exploitation.

6

Advanced Persistent Threats.

7

Reconnaissance, weaponization, delivery, exploitation, installation, C2, action; Lock-heed Martin proces ten nazywa cyber kill chain.

8

Np. wykorzystanie podatnoĞci oprogramowania.

9

Reconnaissance, weaponization, delivery, exploitation, C2, achieve objective.

10

Reconnaissance, weaponization, delivery, cyber execution.

11

Control perturbation, physical objective realization.

12

2.ProponowanyogólnycyklĂyciaatakucybernetycznego

Na potrzeby dalszych rozwaĪaĔ przyjmiemy proces ataku skáadający siĊ z nastĊ-pujących faz13: (ܵଵ) identyfikacja i definicja (potrzeb), (ܵଶ) rozpoznanie

(reconnaissan-ce), (ܵଷ) uzbrojenie (weaponization), (ܵସ) dostarczenie (delivery), (ܵହ) uruchomienie

i kontrola kodu záoĞliwego (cyber execution and command & control), (ܵ଺) realizacja celów (achieve objectives), (ܵ଻) zakoĔczenie ataku i zatarcie Ğladów. Tak zdefiniowany proces nazywaü bĊdziemy ogólnym cyklem Īycia ataku cybernetycznego. Uszczegóáo-wiony opis faz proponowanego cyklu Īycia cyberataku zawarto w tabeli 1. Przedsta-wiony cykl Īycia ataku stanowi uogólnienie wczeĞniej prezentowanych podejĞü (w czĊĞci 1 artykuáu).

Tabela 1. Fazy ogólnego cyklu Īycia ataku cybernetycznego

Nazwa fazy

(

)

Identyfikacja i defini-cja

(ܵଵ)

Identyfikacja i okreĞlenie potrzeb agresora/atakującego np.: „bizne-sowych”, politycznych itp. Faza ta powinna wystąpiü nawet, gdyby byá to tylko pomysá przestĊpcy na przejĊcie np. konta ofiary na twit-terze.

Na pewno wystĊpuje wówczas, gdy np. grupa przestĊpcza lub jakaĞ organizacja planuje swoje dziaáania, wynika z przyjĊtej szerszej strategii paĔstwa dziaáaĔ w cyberprzestrzeni itp.

Rozpoznanie (reconnaissance)

(ܵଶ)

Identyfikacja i dobór celów ataków (technicznych) poprzez rozpo-znanie docelowego Ğrodowiska, np. skanowanie portów TCP, indek-sowanie witryn internetowych, materiaáów konferencyjnych, list adresów e-maili, sieci spoáecznoĞciowych, informacji na temat sto-sowanych (specyficznych) technologii, socjotechniczne wyáudzenie informacji i danych itp.

Uzbrojenie (weaponization)

(ܵଷ)

Przygotowanie cyberbroni, tzn. specjalnego oprogramowania, np. zintegrowanie koni trojaĔskich z innym záoĞliwym kodem (exploit) w celu stworzenia moĪliwego do dostarczenia áadunku za pomocą automatycznego narzĊdzia (weaponizer). W przypadku, gdy nie zachodzi potrzeba budowy lub skonfigurowania pakietu oprogramo-wania, etap moĪe zostaü pominiĊty

Dostarczenie (delivery)

(ܵ_ସ)

Skopiowanie cyberbroni do docelowego Ğrodowiska, np. wykorzy-stanie najbardziej rozpowszechnionych sposobów dostawy (np. w ramach ataków APT), którymi przykáadowo są: zainfekowane zaáączniki do e-maili, spreparowane lub záoĞliwie zmodyfikowane oprogramowanie strony internetowej (np. aplety, linki), wstrzykniĊ-cie kodu SQL, zainfekowane noĞniki danych podáączane do portów USB

13

Nazwa fazy

(

)

Uruchomienie i kon-trola kodu záoĞliwego

(cyber execution) (ܵହ)

Uruchomienie kodu záoĞliwego (po dostarczeniu cyberbroni do Ğro-dowiska docelowego), np. w wyniku wykorzystania podatnoĞci/luki programowej w aplikacji lub systemie operacyjnym lub zmanipulo-wania uĪytkownika systemu docelowego.

Instalacja dodatkowego kodu záoĞliwego, np. koni trojaĔskich

(Re-mote Access Trojan – RAT), umieszczenie tylnych furtek (backdoor)

w systemie docelowym w celu zestawienia staáego kanaáu komunika-cji zainfekowanego Ğrodowiska wewnĊtrznego ofiary z centrum (zewnĊtrznym Ğrodowiskiem) dowodzenia i sterowania oprogramo-waniem záoĞliwym.

Kontrola i sterowanie zainfekowanego Ğrodowiska, np. eskalacja lub uzyskanie dodatkowych uprawnieĔ, systemowych, doinstalowanie pozostaáego lub dodatkowego kodu záoĞliwego (np.

backdo-or/trojan/rootkit), modyfikacja system plików, przeglądanie lub

modyfikacja systemowych baz danych

Realizacja celów (Achieve Objectives)

(ܵ଺)

PodjĊcie dziaáaĔ nakierowanych na osiągniĊcie pierwotnych celów, np. skopiowanie danych, naruszanie integralnoĞci i/lub dostĊpnoĞci danych, uzyskanie dostĊpu do poczty elektronicznej ofiary w celu wykorzystania jej do gáĊbszej penetracji zakatowanej infrastruktury lub wykorzystanie poczty elektronicznej do dalszego rozprzestrze-nienia prowadzonego ataku. W tej fazie nie wyklucza siĊ fizycznej destrukcji infrastruktury organizacji

ZakoĔczenie ataku i zatarcie Ğladów

(ܵ_଻)

ZakoĔczenie ataku, moĪe byü poáączone z usuniĊciem lub zamasko-waniem Ğladów ataku i aktywnoĞci kodu záoĞliwego. Etap opcjonal-ny, zaleĪny od celów i stopnia zaawansowania technologicznego agresora

ħródáo: opracowanie wáasne.

3.Model

ZaÏoĂenia

U podstaw modelu stochastycznego leĪy zaproponowany ogólny cykl Īycia ataku cybernetycznego (opis – tab. 1). Przyjmujemy, Īe nie ma moĪliwoĞci powrotu (cofniĊ-cia siĊ) do fazy poprzedniej. Natomiast w modelu uwzglĊdnimy dynamikĊ procesu ataku zakáadając, Īe atak moĪe zostaü przeprowadzony z pominiĊciem fazy uzbrojenia oraz Īe atak moĪe zostaü przerwany w dowolnej chwili.

W pracy przyjmiemy, Īe wszystkie rozkáady opisujące zachowanie siĊ rozwaĪa-nego cyklu są rozkáadami wykáadniczymi o staáych parametrach i wszystkie zmienne losowe opisujące zachowanie siĊ faz cyklu są stochastycznie niezaleĪne. Wobec tego zachowanie siĊ procesu ataku opiszemy za pomocą jednorodnego áaĔcucha Markowa z czasem ciągáym14. Przez kolejne stany procesu rozumiemy odpowiednie fazy cyklu

14

Īycia ataku (tab. 1). Dodatkowo wprowadzamy stan procesu odpowiadający sytuacji przerwania ataku15 z róĪnych powodów, np. z powodu zmiany zamiaru przez agresora, wykrycia i zablokowania jego dziaáaĔ przez mechanizmy obronne atakowanego syste-mu itp.

Przyj¸teoznaczenia

Na potrzeby dalszych rozwaĪaĔ przyjmujemy nastĊpującą konwencjĊ oznaczeĔ. Niech ܺሺݐሻ bĊdzie procesem stochastycznym (procesem Markowa) zaleĪnym od cią-gáego parametru ݐ (Ͳ ൑ ݐ ൏ λ) i skoĔczoną liczbą stanów i opisującym zachowanie siĊ cyklu proponowanego cyklu Īycia ataku. Przez stanܵ௜ przyjmujemy oznaczaü stan procesu ܺሺݐሻ, gdzie ݅ oraz ݆ oznaczają numery stanów (݅ǡ ݆ ൌ ͳǡ ʹǡǤǤǤǡ ͺ). Stany ܵଵǡ ܵଶǡǤǤǤǡ ܵ଻ odpowiadają poszczególnym fazom cyklu (tab. 1). Stan଼ܵ natomiast odpo-wiada sytuacji przerwania ataku. Wobec tego zbiór ሼܵଵǡ ܵଶǡǤǤǤǡ ଼ܵሽ ൌ ሼܵ௜ሽ௜ୀଵǡ଼ jest zbio-rem stanów procesu ܺሺݐሻ. Przez ݌‹Œሺݐሻ oraz ߣ‹Œ oznaczaü bĊdziemy odpowiednio: praw-dopodobieĔstwo przejĞcia w chwili ݐ ൒ Ͳ oraz intensywnoĞü przejĞcia16 _{procesu ܺሺݐሻ} ze stanu ܵ௜ do stanuܵ௝. Zakáadamy, Īe znane są intensywnoĞci przejĞcia. Macierz inten-sywnoĞci przejĞcia procesu oznaczamy przez ߉ (߉ ൌ ሾߣ‹Œሿ଼௫଼). Natomiast symbolem ܲ௜ሺݐሻ przyjmujemy oznaczyü prawdopodobieĔstwo przebywania procesu ܺሺݐሻ w stanie ܵ௜ w chwili ݐ ൒ Ͳ.

Macierzprzejä©,ukÏadrównaÑKoÏmogorowa,grafMarkowa

Wobec przyjĊtych zaáoĪeĔ modelem zachowania siĊ proponowanego w artykule ogólnego cyklu Īycia ataku cybernetycznego jest jednorodny proces Markowa ܺሺݐሻ z czasem ciągáym Ͳ ൑ ݐ ൏ λ i skoĔczoną liczbą stanów ሼܵ௜ሽ_{௜ୀଵǡ଼}.

Macierz ߉ intensywnoĞci przejĞcia miĊdzy stanami tego procesu ma postaü:

߉ ൌ ۏ ێ ێ ێ ێ ێ ێ ۍെߣ11_{Ͳ െߣ22}ߣ12 _ߣ23Ͳ _ߣ24Ͳ Ͳ_Ͳ Ͳ_{Ͳ Ͳ}Ͳ ߣ18_ߣ28 Ͳ Ͳ െߣ3͵ ߣ34 Ͳ Ͳ Ͳ ߣ38 Ͳ Ͳ Ͳ െߣ44 ߣ45 Ͳ Ͳ ߣ48 Ͳ Ͳ Ͳ Ͳ െߣ55 ߣ56 Ͳ ߣ58 Ͳ Ͳ Ͳ Ͳ Ͳ െߣ66 ߣ67 ߣ68 Ͳ Ͳ Ͳ Ͳ Ͳ Ͳ Ͳ Ͳ Ͳ Ͳ Ͳ Ͳ Ͳ Ͳ Ͳ Ͳ ے ۑ ۑ ۑ ۑ ۑ ۑ ې (1) gdzie ߣi‹ൌ ෍ ߣ‹Œ ଼ ೕಯ೔

ೕసభ oraz ߣij൒ Ͳ dla kaĪdego݅ǡ ݆ ൌ ͳǡ ʹǡ...ǡ ͺ

15 _{Oznaczymy symbolemܵ} ଼. 16

Ukáad równaĔ Koámogorowa pozwalający na wyznaczenie wektora rozkáadu prawdopodobieĔstw procesu Markowa z macierzą intensywnoĞci ߉ jest postaci:

ቂ_†–ௗܲ଴ሺݐሻ ǥ _†–ௗ଼ܲሺݐሻቃ ൌ ሾܲ଴ሺݐሻ ǥ ଼ܲሺݐሻሿ ڄ ߉, ݐ ൒ Ͳ (2) z warunkiem początkowym ܲଵሺͲሻ ൌ ͳ oraz ܲ௜ሺͲሻ ൌ Ͳ dla ݅ ൌ ʹǡ ͵ǡǤǤǤǡ ͺ.

Na rysunku 1 przedstawiono graf Markowa obrazujący stany procesu stochastycznego ܺሺݐሻ i intensywnoĞci przejĞcia pomiĊdzy poszczególnymi stanami.

Rysunek 1. Graf Markowa – graf stanów procesu ܺሺݐሻ ħródáo: opracowanie wáasne.

Rozwi¦zanienumeryczne

Ukáad równaĔ Koámogorowa (2) zostaá rozwiązany numerycznie za pomocą pa-kietu symulacyjnego dynamiki systemowej Vensim® ver. 5 firmy Ventana Systems, Inc. Przykáadowe wyniki przeprowadzonych obliczeĔ zawarto w tabeli 2.

Tabela 2. Przykáadowe wyniki numerycznego rozwiązania ukáadu równaĔ Koámogorowa

Dotyczy faz ܵଶǡ ܵଷǡ ܵସ Dotyczy faz ܵହǡ ܵ଺ǡ ܵ଻

ħródáo: opracowanie wáasne.

UĪycie pakietu Vensim® wymagaáo wczeĞniejszego zdefiniowania ukáadu rów-naĔ w jĊzyku dynamiki systemowej.

Podsumowanie

Zdefiniowany w pracy ogólny cykl ataku wyróĪnia siĊ od publikowanych w litera-turze17 opisów cyklu Īycia ataku cybernetycznego dodanymi dwoma fazami: identyfi-kacji potrzeb atakującego oraz zakoĔczenia ataku. Ponadto, w odróĪnieniu od dotych-czasowego ujĊcia przez innych badaczy, w przyjĊtym w pracy cyklu Īycia ataku

17

Coleman, 2012; Hutchinsi in., 2011; Hahn i in., 2015; Spring, Hatleback, 2017; Khan i in., 2018. P2 0.6 0.45 0.3 0.15 0 3 3 3 3 3 3 3 3 3 3 3 3 3 3 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 30 60 90 120 150 180 210 240 270 300 Time (Hour) P2 : Ȝij=Ȝ=0,02 1 1 1 1 1 1 1 1 1 1 1 1 P2 : Ȝ12=0,1;Ȝij=Ȝ=0,02 2 2 2 2 2 2 2 2 2 2 2 P2 : Ȝij=Ȝ=0,02; Ȝi8=0 3 3 3 3 3 3 3 3 3 3 3 P5 0.4 0.3 0.2 0.1 0 ₃ 3 3 3 3 3 3 3 3 3 3 3 3 3 2 2 2 2 ₂ 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 30 60 90 120 150 180 210 240 270 300 Time (Hour) P5 : Ȝij=Ȝ=0,02 1 1 1 1 1 1 1 1 1 1 1 1 P5 : Ȝ12=0,1;Ȝij=Ȝ=0,02 2 2 2 2 2 2 2 2 2 2 2 P5 : Ȝij=Ȝ=0,02; Ȝi8=0 3 3 3 3 3 3 3 3 3 3 3 P3 0.2 0.15 0.1 0.05 0 3 3 3 3 3 3 3 3 3 3 3 3 3 3 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 30 60 90 120 150 180 210 240 270 300 Time (Hour) P3 : Ȝij=Ȝ=0,02 1 1 1 1 1 1 1 1 1 1 1 1 P3 : Ȝ12=0,1;Ȝij=Ȝ=0,02 2 2 2 2 2 2 2 2 2 2 2 P3 : Ȝij=Ȝ=0,02; Ȝi8=0 3 3 3 3 3 3 3 3 3 3 3 P6 0.2 0.15 0.1 0.05 0 3 3 3 3 3 3 3 3 3 3 3 3 3 3 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 90 180 270 360 450 540 630 720 810 900 Time (Hour) P6 : Ȝ12=0,1;Ȝij=Ȝ=0,02 1 1 1 1 1 1 1 1 1 1 1 P6 : Ȝij=Ȝ=0,02 2 2 2 2 2 2 2 2 2 2 2 2 2 P6 : Ȝij=Ȝ=0,02; Ȝi8=0 3 3 3 3 3 3 3 3 3 3 3 P4 0.4 0.3 0.2 0.1 0 3 3 3 3 3 3 3 3 3 3 3 3 3 3 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 30 60 90 120 150 180 210 240 270 300 Time (Hour) P4 : Ȝij=Ȝ=0,02 1 1 1 1 1 1 1 1 1 1 1 1 P4 : Ȝ12=0,1;Ȝij=Ȝ=0,02 2 2 2 2 2 2 2 2 2 2 2 P4 : Ȝij=Ȝ=0,02; Ȝi8=0 3 3 3 3 3 3 3 3 3 3 3 P7 1 0.75 0.5 0.25 0 3 3 3 3 3 3 3 3 3 3 3 3 3 3 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 90 180 270 360 450 540 630 720 810 900 Time (Hour) P7 : Ȝ12=0,1;Ȝij=Ȝ=0,02 1 1 1 1 1 1 1 1 1 1 1 P7 : Ȝij=Ȝ=0,02 2 2 2 2 2 2 2 2 2 2 2 2 2 P7 : Ȝij=Ȝ=0,02; Ȝi8=0 3 3 3 3 3 3 3 3 3 3 3

noĞci: a) uruchomienie, b) ewentualna instalacja kodu záoĞliwego oraz c) dowodzenie, kierowanie i sterowanie wystĊpują jako jedna faza. Takie ujĊcie umoĪliwia rozwaĪanie tej wáaĞnie fazy jako wyodrĊbnionego cyklu Īycia, nie tracąc jednoczeĞnie caáego pro-cesu ataku z pola widzenia.

Z uwagi na to, Īe do tej pory w dostĊpnych Ĩródáach nie publikowano stocha-stycznego modelu cyklu Īycia cyklu ataku, w tym miejscu wypeániamy tĊ lukĊ proponu-jąc model na bazie áaĔcucha Markowa z ciągáym parametrem czasu.

Na bazie tak sformuáowanego modelu, wyliczone charakterystyki probabilistycz-ne, takie jak: prawdopodobieĔstwa przebywania w poszczególnych fazach, czasy trwa-nia poszczególnych faz czy teĪ czas do pierwszej kompromitacji systemu, moĪna wyko-rzystaü na potrzeby szacowania ryzyka i zarządzania bezpieczeĔstwem organizacji i Ğwiadczonych e-usáug (Stanik, Hoffmann, 2017).

Literatura

Coleman, K.G.J. (2012). Aggresssion in Cyberspace. W: Jasper S. (red.), Conflict and

Cooperation in the Global Commons: A Comprehensive Approach for International Security (s. 105–119). Washington, DC: Georgetown University Press.

Hahn, A., Thomas, R.K., Lozano, I., Cardenas, A. (2015). A multi-layered and kill-chain based security analysis framework for cyber-physical systems. International Journal of Critical

Infrastructure Protection, 11, 39–50.

Hutchins, E.M, Cloppert, M.J, Amin, R.M. (2011). Intelligence-driven computer network defense

informed by analysis of adversary campaigns and intrusion kill chains. Pobrano z:

http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf: Lockheed Martin.

Khan, M.S., Siddiqui, S., Ferens, K. (2018). A Cognitive and Concurrent Cyber Kill Chain Model. W: Daimi K. (red.), Computer and Network Security Essentials. Cham, Switzerland: Springer.

Lawler, G.F. (2006). Introduction to Stochastic processes. London–New York: Chapman and Hall/CRC Taylor and Francis Group.

Stanik, J., Hoffmann, R.(2017), Model ryzyka procesów biznesowych, W: Ekonomiczne Problemy Usáug, 1/2017 (126), (s. 325-338), Szczecin: Uniwersytet SzczeciĔski.

Spring, J.M., Hatleback, E. (2017). Thinking about intrusion kill chains as mechanisms. Journal

THE GENERAL CYBER-ATTACK LIFE CYCLE AND ITS CONTINUOUS-TIME MARKOV CHAIN MODEL

Keywords: cyber-attack process, cyber-attack life cycle, Continuous-Time Markov Chain,

Mar-kov process with countable state spaces

Summary. The article proposes a general cyber-attack life cycle which is distinguished from

those published in the literature in principle by two additional phases: identifying attackers’ needs and ending a cyber-attack. On the basis of the defined attack life cycle, a stochastic model de-scribing its functioning was presented. The model is based on stationary Continuous-Time Mar-kov Chains.

Translated by Romuald Hoffmann

Cytowanie

Hoffmann, R. (2018). Ogólny cykl Īycia ataku cybernetycznego i jego markowowski model,