Skip to main navigation menu Skip to main content Skip to site footer
##common.pageHeaderLogo.altText##

Information technologies and systems

November 15, 2024; Bologna, Italy: VI International Scientific and Practical Conference «RICERCHE SCIENTIFICHE E METODI DELLA LORO REALIZZAZIONE: ESPERIENZA MONDIALE E REALTÀ DOMESTICHE»


ПРОГРАМНА ДИВЕРСНІСТЬ ЯК ІНСТРУМЕНТ ЗАБЕЗПЕЧЕННЯ ФУНКЦІОНАЛЬНОЇ БЕЗПЕКИ СУЧАСНИХ ІНФОРМАЦІЙНИХ СИСТЕМ


DOI
https://doi.org/10.36074/logos-15.11.2024.039
Published
02.12.2024

Abstract

Вступ. Ключовою характеристикою надійної інформаційної системи (ІС) є її здатність підтримувати коректне виконання основних функцій, незалежно від збоїв, що виникають внаслідок старіння, зношування або пошкодження її апаратних компонентів, помилок у проектуванні, недоліків програмного забезпечення (ПЗ) чи наслідків кібератак [1]. В багатьох випадках сучасні ІС мають схожі вразливості [2, 3], що надає потенційним зловмисникам значну свободу дій у виборі засобів та стратегії атаки: - їм достатньо знайти одну вразливість, наприклад, у компонентах операційних систем, драйверах, загальних бібліотеках або прикладних програмах, щоб створити універсальний вектор атаки, здатний «працювати» одразу проти багатьох цільових ІС. Це спрощує масову «експлуатацію» наявних вразливостей, роблячи її привабливим засобом для зловмисників [4]. Програмна «монокультура» заснована на принципах однорідності та стандартизації, що сприяють економії часу й коштів на масштабах впровадження, стабільності роботи та полегшенню порядку розповсюдження та підтримки відповідного ПЗ [5]. Однак, ця стратегія формує передумови для атак на такі ІС, оскільки зловмисники можуть завантажити точну копію відповідного ПЗ для тестування, виявлення в ньому вразливостей й подальшого створення таргетованих експлойтів [3, 5], здатних загрожувати всім ІС, що використовують відповідне ПЗ. Таким чином, «монокультура» ПЗ забезпечує економію на масштабах та в часі, не лише для користувачів, але й для зловмисників. Вочевидь, що прагнення до стійкості ІС до відмов та/чи атак, вимагає впровадження концепції різноманітності ПЗ. Традиційно відмовостійкість сучасних ІС досягається завдяки певної надмірності у реалізованих програмно-апаратних рішеннях, що посилює захист від фізичних збоїв та спроб проведення атак, проте цей підхід теж має свої обмеження [1]. Як зазначено у звіті «Перспективи глобальної кібербезпеки до 2024 року», кібербезпека залишається одним з головних пріоритетів на найближчі 10 років, при цьому прогнозується посилення атак на фінансові системи, енергетику і комунікаційну інфраструктуру [6, 7].

References

  1. Coffman, J., & Gearhart, A.S. (2019). Diversity as an Enabler for Cyber Resilience.
  2. Яремчук, К., Воскобойников, Д., & Мелкозьорова, О. (2022). Сучасні загрози та способи забезпечення безпеки веб-застосунків. Комп’ютерні науки та кібербезпека, (2), 28-34. https://doi.org/10.26565/2519-2310-2022-2-03
  3. Богданова, Е., & Малахов, С. (2022). Узагальнення специфіки застосування експлойтів. Збірник наукових праць SCIENTIA, (Vol.2), 28-32. https://previous.scientia.report/index.php/archive/issue/view/24.06.2022
  4. Jackson, T., Salamat, B., Homescu, A., Manivannan, K., Wagner, G., Gal, A., Brunthaler, S., Wimmer, C., & Franz, M. (2011). Compiler-Generated Software Diversity. Moving Target Defense. https://doi.org/10.1007/978-1-4614-0977-9_4
  5. Larsen, P., Homescu, A., Brunthaler, S., & Franz, M. (2014, May). SoK: Automated software diversity. In 2014 IEEE Symposium on Security and Privacy (pp. 276-291). IEEE. https://doi.org/10.1109/SP.2014.25
  6. World Economic Forum. (2023). Global risks report 2023 (18th ed.). Вилучено із https://www3.weforum.org/docs/WEF_Global_Risks_Report_2023.pdf
  7. Global cybersecurity outlook 2024. Вилучено із https://www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2024.pdf
  8. Zhang, M., Wang, L., Jajodia, S., Singhal, A., & Albanese, M. (2016). Network diversity: a security metric for evaluating the resilience of networks against zero-day attacks. IEEE Transactions on Information Forensics and Security, 11(5), 1071-1086. https://doi.org/10.1109/TIFS.2016.2516916
  9. Mayo, J. R., Torgerson, M. D., Walker, A. M., Armstrong, R. C., Allan, B. A., & Pierson, L. G. (2010). The theory of diversity and redundancy in information system security: LDRD final report (No. SAND2010-7055). Sandia National Laboratories (SNL), Albuquerque, NM, and Livermore, CA (United States). https://doi.org/10.2172/992781
  10. Gashi, I., Povyakalo, A., & Strigini, L. (2016). Diversity, Safety and Security in Embedded Systems: Modelling Adversary Effort and Supply Chain Risks. 2016 12th European Dependable Computing Conference (EDCC), 13-24. https://doi.org/10.1109/EDCC.2016.27
  11. Ashraf, R. A., Mouri, O., Jadaa, R., & DeMara, R. F. (2011, November). Design-for-diversity for improved fault-tolerance of TMR systems on FPGAs. In 2011 International Conference on Reconfigurable Computing and FPGAs (pp. 99-104). IEEE. https://doi.org/10.1109/ReConFig.2011.26
  12. Yanovsky, M. E. (2009, May 2). Оценка диверсности программного обеспечения с использованием косвенных метрик [Assessment of Software Diversity Using Indirect Metrics]. National Aerospace University "KhAI". Retrieved from http://surl.li/pxspid
  13. Knight, J.C., Davidson, J.W., Nguyen-Tuong, A., Hiser, J., & Co, M. (2016). Diversity in Cybersecurity. Computer, 49, 94-98. https://doi.org/10.1109/MC.2016.102

Most read articles by the same author(s)