«Сети Петри часто упоминают как формальный метод, но их реальная сила — моделировать именно процессы, где есть конкуренция, конфликт, ожидание. Киберинцидент как раз такой: он редко линейный, чаще это сеть событий, которые могут развиваться по нескольким сценариям. Формализация этого помогает не просто задокументировать атаку, а предсказать её развитие и расставить приоритеты в защите.»
Что такое сети Петри и зачем они нужны в информационной безопасности
Сети Петри — математический аппарат для моделирования дискретных распределённых систем. Они описывают состояния системы и переходы между ними. Ключевые элементы: позиции (состояния ресурсов), фишки (токены, обозначающие наличие ресурса), переходы (события) и дуги, связывающие позиции и переходы.
В контексте безопасности это означает переход от описательных сценариев («злоумышленник проводит фишинг, затем устанавливает бэкдор») к формальной модели. Модель показывает, какие условия (позиции с фишками) должны быть выполнены, чтобы произошло событие (переход). Это превращает словесную историю в вычислимый граф, где можно анализировать достижимость опасных состояний.
Структура сети Петри и её аналогии с этапами атаки
Каждый компонент сети Петри имеет прямую параллель в жизненном цикле кибератаки.
- Позиция, это условие или состояние системы: «Учётные данные скомпрометированы», «Уязвимость в веб-приложении существует», «Защищённый канал C2 установлен». Фишка в позиции означает, что это условие истинно.
- Переход, это действие или событие: «Эксплуатация уязвимости», «Кража хэшей паролей», «Установка постоянства». Переход срабатывает, если все его входные позиции содержат хотя бы по одной фишке.
- Дуги задают логику: входные дуги ведут от позиций к переходу (условия для события), выходные — от перехода к позициям (результаты события).
Например, для перехода «Получить оболочку на сервере» входными позициями могут быть «Доступ к уязвимому интерфейсу» и «Рабочий эксплойт». После срабатывания перехода фишки из входных позиций потребляются, а появляются в выходных — например, «Оболочка на целевом хосте» и «Риск обнаружения повышен».
Преимущества формального моделирования атак
Использование сетей Петри даёт несколько преимуществ перед текстовыми playbook или неформальными диаграммами.
- Анализ достижимости. Можно формально доказать, может ли система (атакующий) достичь целевого опасного состояния (например, «Данные эксфильтрированы») из заданного начального. Это помогает оценить реальную угрозу.
- Выявление тупиков и конфликтов. Сеть может показать тупиковые состояния, где атака не может развиваться дальше при текущих условиях. Конфликты (когда несколько переходов конкурируют за одни фишки) моделируют альтернативные пути развития атаки.
- Моделирование параллелизма. Сети Петри изначально разработаны для параллельных процессов. Это отражает реальность, где атакующий может вести несколько линий атаки одновременно (например, горизонтальное перемещение и сбор данных).
- Основа для симуляций и метрик
. На модель можно наложить временные задержки или вероятности срабатывания переходов, проводя количественную оценку рисков — среднее время до компрометации, наиболее вероятные пути атаки.
От теории к практике: построение модели для типового сценария
Рассмотрим упрощённый, но реалистичный сценарий: атака на веб-приложение с последующей компрометацией внутренней сети.
- Определяем начальные позиции (исходные условия атаки). Например: «Приложение доступно из интернета», «Известна уязвимость SQLi в форме авторизации». В эти позиции помещаем фишки.
- Определяем целевые позиции (цели атаки). Например: «Контроль над доменным контроллером», «Эксфильтрация базы данных». Это состояния, достижимость которых мы хотим проверить.
- Проектируем переходы и промежуточные позиции. Создаём цепочку: переход «Эксплуатация SQLi» ведёт к позиции «Доступ к базе данных». От неё может быть переход «Кража хэшей пользователей» к позиции «Учётные данные извлечены». Новый переход «Перебор/переиспользование паролей» может вести к позиции «Доступ к внутренней системе» и так далее.
- Моделируем ветвления. Добавляем альтернативы: если переход «Перебор паролей» не сработал (нет фишки в позиции «Слабые пароли»), может существовать переход «Использование уязвимости в службе» при условии позиции «Незакрытый порт RDP/SMB».
Полученная модель, это не просто схема, а инструмент. Специализированные инструменты для сетей Петри (например, CPN Tools) позволяют загрузить такую сеть и автоматически проверить, достижима ли целевая позиция из начальных, и найти все возможные последовательности переходов (путёвки срабатывания), ведущие к ней.
Ограничения и сложности применения в российском контексте
Несмотря на мощь, у подхода есть ограничения, особенно заметные при работе с требованиями регуляторов.
- Сложность моделирования сложных систем. Детальная модель реальной корпоративной ИТ-инфраструктуры может стать чрезвычайно громоздкой, что затрудняет её анализ и поддержку.
- Требуется глубокая экспертиза. Корректное построение сети требует понимания как аппарата сетей Петри, так и тактик, техник и процедур злоумышленников. Неверно заданные условия сделают модель бесполезной.
- Интеграция с существующими процессами. В методологиях, построенных вокруг ФСТЭК России и 152-ФЗ, акцент часто делается на защищённость контуров и соответствие. Формальные модели атак пока не являются обязательным элементом, их внедрение — инициатива конкретной организации.
- Динамичность угроз. Модель статична, а тактики атакующих меняются. Поддерживать модель в актуальном состоянии — отдельная задача.
сети Петри, это скорее инструмент для углублённого анализа и проектирования систем защиты в ситуациях, где требуются строгие доказательства, а не для повседневной оперативной работы СоИБ.
Альтернативы и гибридные подходы
Полностью формальный подход применяется редко. Чаще используются гибридные методы.
- Обогащённые сети Петри. К базовой модели добавляются цвета (типы данных фишек), временные задержки, приоритеты переходов. Это позволяет создавать более выразительные и компактные модели, приближенные к реальности.
- Использование как промежуточного представления. Сценарии атак сначала описывают в более привычных нотациях (например, в виде цепочек событий MITRE ATT&CK), а затем формализуют в сеть Петри для решения конкретных аналитических задач — проверки полноты детекций или расчёта метрик риска.
- Интеграция с имитационным моделированием. Сеть Петри становится ядром агентного или дискретно-событийного моделирования для оценки эффективности различных конфигураций средств защиты в условиях имитируемой атаки.
В этом ключе сети Петри выступают не как замена существующим практикам, а как их расширение, добавляющее строгость и аналитические возможности туда, где это наиболее критично — в анализ защищённости ответственных информационных систем.