Управління ризиками кібербезпеки на основі теоретико-ігрового підходу

DOI: 10.31673/2409-7292.2019.020616

  • Савченко В. А. (Savchenko V. A.) Державний університет телекомунікацій, м. Київ
  • Мацько О. Й. (Matsko O. I.) Національний університет оборони України імені Івана Черняховського, м. Київ

Анотація

У статті розглядається концепція побудови Ігрової Моделі Кібербезпеки, як засобу, який кількісно ідентифікує ризики кібербезпеки та використовує цю метрику для визначення оптимального пакету засобів захисту відповідно до вкладених інвестицій. Така модель забезпечує максимальну спроможність системи працювати в складному кіберсередовищі, мінімізуючи ризик атаки. Оцінка ризику розраховується на основі сполучення моделі атаки з моделлю топології системи та моделі захисника на основі реалізації припущення щодо успішності нападів.

Ключові слова: управління ризиками кібербезпеки, теорія ігор, ігрова модель, інвестиційний портфель, топологія системи.

Список використаної літератури
1. Musman, S. and Turner, А. A game theoretic approach to cyber security risk management. Journal of Defense Modeling and Simulation: Applications, Methodology, Technology 2018, Vol. 15(2) 127–146.
2. MITRE. Making security measurable, https://makingsecuritymeasurable.mitre.org/
3. Lagner, R. To kill a centrifuge. The Langner Group, http://www.langner.com/en/wp-content/uploads/2013/11/To-kill-a-centrifuge.pdf
4. Buckshaw, DL, Parnell, GS, Unkenholz, WL. Mission Oriented Risk and Design Analysis of Critical Information Systems. Mil Op Res 2005; 2: 19–38.
5. Тецкий А. Г. Применение деревьев атак для оценивания вероятности успешной атаки web-приложения // Радіоелектронні і комп‘ютерні системи, 2018, № 3(87) ‒ С. 74-78.
6. Anderson, R. Why information security is hard-an economic perspective. In: Proceedings of the 17th Annual Computer Security Applications Conference (ACSAC ‘01), Sheraton New Orleans Louisiana, USA, 10–14 December 2001, pp. 358–365.
7. Лукацкий А. Определение источника кибератак // Индекс безопасности. 2018. ‒ № 2 (113), Том 21. С. 73-86.
8. Jajodia, S, Noel, S. Topological vulnerability analysis. In: Cyber situational awareness. Boston, MA: Springer, 2010, pp.139–154.
9. de Barros Barreto, A, Costa, PCG, Yano, ET. A semantic approach to evaluate the impact of. In: Proceedings of the 7th international conference on semantic technologies for intelligence, defense, and security (STIDS 2012), Fairfax, VA, USA, 23–26 October 2012.
10. Sommestad, T, Nordström, L. Modeling security of power communication systems using defense graphs and influence diagrams. 2009; 24.
11. Garvey, PR, Patel, SH. Analytical frameworks to assess the effectiveness and economic-returns of cybersecurity investments. In: Military communications conference (MILCOM), 2014.
12. Noel, S, Ludwig, J, Jain, P., Analyzing Mission Impacts of Cyber Actions (AMICA). In: Kott, Alexander (ed.) Workshop proceedings, Istanbul, Turkey, June 2015, pp.80–86.
13. Зегжда Д.П., Васильев Ю.С., Полтавцева М.А., Кефели И.Ф., Боровков А.И. Кибербезопасность прогрессивных производственных технологий в эпоху цифровой трансформации. Вопросы кибербезопасности. ‒№ 2 (26). – 2018. ‒ С. 2‒15.
14. Bier, VM. Choosing what to protect. Risk Analysis 2007; 27: 607–620.
15. Cox, A. Some limitations of risk = threat × vulnerability × consequence for risk analysis of terrorist attacks. Risk Analysis 2008; 28(6): 1749–1761.
16. Cox, A. What‘s wrong with hazard-ranking systems? An expository note. Risk Analysis 2009; 29(7): 940–948.
17. Киричок Р. В. Проблеми забезпечення контролю захищеності корпоративних мереж та шляхи їх вирішення / Р. В. Киричок, П. М. Складанний, В. Л. Бурячок, Г. М. Гулак, В. А. Козачок // Наукові записки Українського науково-дослідного інституту зв'язку. - 2016. - № 3. - С. 48-61.
18. Carin, L, Cybenko, G, Hughes, J. Cybersecurity strategies: The QuERIES methodology. Computer 2008; 41: 20–26.
19. Lingyu, W, Jajodia, S, Singhal, A. k-zero day safety: Measuring the security risk of networks against unknown attacks. In: IEEE transactions on dependable and secure computing, 11 June 2013, pp.30–44.
20. Roy, S, Ellis, C, Shiva, S. A survey of game theory as applied to network security. In: 43rd Hawaii international conference on system sciences (HICSS), Koloa, 5–8 January 2010, Piscataway, NJ: IEEE Conference Publication.
21. Губанов Д. А., Калашников А. О., Новиков Д. А. Теоретико-игровые модели информационного противоборства в социальных сетях // Управление большими системами. 2017. Выпуск 31. 192-204.
22. Cavusoglu, H, Raghunathan, S, Yue, WT. Decision-theoretic and game-theoretic approaches to IT security investment: Impact of information systems on market structure and function: Developing and testing theories. Journal of Management Information Systems Fall, 2008; 25(2): 281–304.
23. Kunreuther, H, Heal, G. Interdependent security. Journal of Risk and Uncertainty 2003; 26: 231–249. DOI: 10.1023/A:1024119208153.
24. Gordon, L, Loeb, M. The economics of investment in information security. Journal ACM Transactions on Information and System Security (TISSEC) November 2002; 5(4): 438–457.
25. Roy, S, Ellis, C, Shiva, S. A survey of game theory as applied to network security. In: 43rd Hawaii international conference on system sciences (HICSS), Koloa, 5–8 January 2010, Piscataway, NJ.
26. Hulthen, R . Communicating the economic value of security investments; value at security Risl. In: WEIS 2008 – Seventh workshop on economics of information security, Hanover, N.H., 2008.

Номер
Розділ
Статті