Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ

«ВЫСШАЯ ШКОЛА ЭКОНОМИКИ»

Факультет Бизнеса и Менеджмента

Автоматизация обработки информации, связанной с поиском инцидентов ИБ

Выпускная квалификационная работа - МАГИСТЕРСКАЯ ДИССЕРТАЦИЯ

по направлению подготовки «Бизнес-информатика» (38.04.05),

образовательная программа «Управление информационной безопасностью»

Измайлов Рамиль Тауфикович

группа МУИБ-161, ФБиМ

Рецензент к.ю.н., доцент Жарова Анна Константиновна

Научный руководитель к.ф.-м.н., профессор

Левашов Михаил Васильевич

Москва 2018



Содержание

• ВВОДНАЯ ЧАСТЬ
• Термины и сокращения
• Аннотация
• Annotation
• Введение в диссертацию
• Предпосылки выполнения работы
• ОСНОВНАЯ ЧАСТЬ
• ГЛАВА 1. ВОСТРЕБОВАННОСТЬ СРЕДСТВ АВТОМАТИЗАЦИИ
• 1.1 О теоретическом разделе
• 1.2 Задачи по оценке востребованности
• 1.3 Текущие методы защиты ИБ
• 1.4 Средства защиты и мониторинга
• 1.5 Полученные данные и выводы
• 1.6 Добавление политик для новых систем
• 1.7 Выводы по востребованности
• ГЛАВА 2. РЕАЛИЗАЦИЯ СППР ПО ИНЦИДЕНТАМ ИБ
• 2.1 Подход к выполнению практической части
• 2.2 Задачи и описание математической модели
• 2.3 Написание и тестирование средства моделирования
• 2.4 Полученные практические результаты
• ГЛАВА 3. ПРИМЕНИМОСТЬ НА ПРАКТИКЕ
• 3.1 О выполнении аналитической части
• 3.2 Перечень задач
• 3.3 Правовые вопросы
• 3.4 Анализ применимости автоматизации
• 3.5 Выводы по применимости автоматизации
• ЗАКЛЮЧЕНИЕ
• СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
• ПРИЛОЖЕНИЯ


ВВОДНАЯ ЧАСТЬ

Термины и сокращения

AD - Active Directory.

COBIT (Control Objectives for Information and Related Technologies) - набор рекомендаций и практик в области управления ИТ.

DB (Data Base) - база данных.

DLP (Data Loss Prevention) - система защиты от утечек информации, предназначенная для мониторинга передачи данных через периметр корпоративной сети. Обычно включает модули для анализа почтовой переписки, загружаемых в Интернет файлов, использование мессенджеров, мониторинг подключений внешних носителей информации.

DW - Data Warehouse.

ERP - Enterprise Resource Planning.

FTP (File Transfer Protocol) - протокол передачи файлов в сети Интернет, базируется на стеке TCP/IP. Зачастую используется как инструмент для передачи критических данных и обновления ПО, при этом имеет низкий уровень защищённости.

FTPS - FTP с поддержкой SSL.

HelpDesk - служба в составе организации, занимающаяся поддержкой работы пользователей в части ИТ, выполняя при этом как функции технической поддержки по компьютерной технике и комплектующим, так и первых линий поддержки по проблемам с программным обеспечением.

HTTP - HyperText Transfer Protocol.

HTTPS - HyperText Transfer Protocol Secure.

IAM - Identity and Access Management.

ID - Identifier.

IDS, IPS (Intrusion Detection System, Intrusion Prevention System) - система обнаружения вторжений и система предотвращения вторжений - программное обеспечение (и соответствующее сетевое оборудование), предназначенное для обнаружения проникновения во внутреннюю сеть организации.

IP - Internet Protocol.

IS - Information System.

ISO - International Organization for Standardization.

ITIL - (IT Infrastructure Library) - библиотека инфраструктуры информационных технологий, описывает рекомендации по практическому применению способов организации работы ИТ-подразделений фирм.

PCI DSS - Payment Card Industry Data Security Standard.

RDP - Remote Desktop Protocol.

SCADA (Supervisory Control and Data Acquisition) - архитектура работы в реальном времени систем по сбору, обработке, отображению и архивированию информации об объектах мониторинга или управления.

SFTP - SSH File Transfer Protocol.

SIEM (Security Information and Event Management) - инфраструктура управления информационной безопасностью и событиями безопасности, подразделяются на связанные компоненты: SIM (Security Information Management) и SEM (Security Event Management).

SOC (Security Operations Center) - инфраструктура мониторинга и обработки событий информационной безопасности, реализованная в едином комплексе ПО для планирования и защиты ИТ-инфраструктуры, ПО для мониторинга и реагирования на инциденты ИБ.

SSH - Secure Shell.

SSL (Secure Sockets Layer) - протокол защищённой передачи данных в сети Интернет.

SSO (Single Sign-On) - единая аутентификация пользователя в рамках группы сервисов.

TCP - Transmission Control Protocol.

БД - база данных.

БС РФ - банковская система Российской Федерации.

ДБО - дистанционное банковское обслуживание.

ИБ - информационная безопасность.

ИС - информационная система.

НСД - несанкционированный доступ.

ОС - операционная система.

ПО - программное обеспечение.

ПП - привилегированный пользователь.

СМИИБ - система менеджмента инцидентов информационной безопасности.

СППР - система поддержки принятия решений.

СТО БР ИББС - Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации.

СУИБ - система управления информационной безопасность.

ФЗ - федеральный закон.

ХД - хранилище данных.



Аннотация

Тема выпускной квалификационной работы - «Автоматизация обработки информации, связанной с поиском инцидентов ИБ».

Ключевые слова: защита информации, информационная безопасность, информационная система, сетевые экраны, настройка уровня ИБ, SIEM, SOC, автоматизация.

Объект работы: методы обеспечения ИБ критических информационных систем организаций, подлежащих защите от НСД, на основе поиска и обработки информации по инцидентам. Предмет работы: средства поиска и обработки информации об инцидентах ИБ и соответствующие средства принятия решений.

Цель работы: автоматизация процесса анализа настроек ИС с целью оптимизации настроек ИБ.

Основные задачи, решаемые в процессе выполнения работы: анализ текущих средств и способов обработки инцидентов информационной безопасности, предложение средства автоматизации для оценки вероятности появления инцидентов ИБ и оценка применимости предлагаемого средства автоматизации в анализе инцидентов ИБ.



Annotation

The theme of the final qualifying work is “Automation of Processing of the Information Related to Searching of IS Incidents”.

Key words: information security, information security, information system, firewalls, IS level adjustment, SIEM, SOC, automation.

The object of the work: methods of providing IS of critical information systems of organizations that are subject to protection against unauthorized access, based on the search and processing of information on incidents. The subject of the work: supporting tools for searching and processing of the information on IS incidents and related decision making systems.

Objective: automation of the process of analyzing the settings of the IS in order to optimize the configuration of the IS.

Tasks solved in the work: analysis of the current tools and methods of handling information security incidents, offering an automation tool to assess the probability of occurrence of IS incidents and assessing the applicability of proposed automation facility in the analysis of IS incidents.



Введение в диссертацию

Целью данной магистерской диссертации является предложение улучшений в области использования средств автоматизации для оптимизации настроек информационной безопасности при инцидентах и анализ эффективности автоматизации средств поиска и обработки информации, связанной с предсказанием инцидентов ИБ. Областью применения результатов являются, в первую очередь, коммерческие организации. Однако в целом отсутствуют препятствия и для масштабирования результатов на государственные учреждения, на небольшие фирмы и использования результатов работы для исследований на глобальном уровне.

Задачи, решаемые в данной работе: анализ существующих в организациях средств и способов обработки инцидентов информационной безопасности, предложение практического способа автоматизации и оценка применимости средств автоматизации на практике в анализе инцидентов с точки зрения экономической целесообразности и эффективности.

Для реализации поставленных целей и задач использовались исследования мировых производителей средств управления инцидентами и знания опытных специалистов по информационной безопасности. Теоретическая оценка проводилась в рамках практических работ в организации, смежной по профилю деятельности. В качестве инструмента для реализации практических задач были использованы специализированные программные пакеты для разработки (Python, модуль анализа данных SciPy и библиотека визуализации Matplotlib). Для аналитической главы были использованы положения законодательства по соответствующей тематике.

В основном, поставленная задача была разрешена. Основные цели работы достигнуты, поставленные в рамках подразделов задачи решены. На основе открытой информации проведено теоретическое исследование ситуации в крупных организациях, практическое исследование реализуемости, анализ применимости на практике, подготовлено общее заключение о необходимости использования средств автоматизации в процессе сбора и обработки информации, связанной с обработкой инцидентов информационной безопасности.

В работе содержатся следующие части: вводная, основная и заключительная. Основная часть включает три главы:

· теоретическое обоснование задач магистерской диссертации и текущие пути их возможного решения,

· практическую реализацию средства моделирования и его тестирование на основе предлагаемого примера,

· аналитическое обоснование - изучение применимости средств автоматизации и выводы по практической применимости этих средств с учётом особенностей российского законодательства и международного права, экономического окружения.

Подробнее про задачи в следующих абзацах.

Задачей теоретической главы магистерской диссертации является оценка возможности создания системы поддержки принятия решений для автоматической подстройки уровня защищенности сети (например, количества попыток входа или таймаута блокировки соединения при ошибке) под уровень безопасности окружения, основанной на анализе текущих инцидентов ИБ (последних нарушений и теоретических брешей в безопасности) на примере организаций финансового сектора. Актуальность направления выполняемого исследования подкреплена многочисленными ИТ-рисками, окружающими корпоративные системы в условиях современного цифрового пространства. В рамках подготовительной главы диссертации были осуществлены: сбор и подготовка теоретических материалов для оценки эффективности использования средств обеспечения информационной безопасности. Далее в рамках теоретической главы магистерской диссертации будет дано обоснование необходимости автоматизации обработки информации, связанной с поиском инцидентов ИБ, в режиме реального времени.

Вторая (практическая) глава исследования направлена на реализацию возможного механизма обработки информации об инцидентах в рамках смоделированной ситуации. Поскольку текущие средства анализа инцидентов информационной безопасности не предполагают оценку вероятности наступления инцидентов в будущем и не содержат соответствующих средств, предполагается, что следует попытаться построить пример модели на базе некой платформы для моделирования или программирования.

Задачей аналитической главы исследования является изучение реализуемости внедрения инструментов автоматической настройки безопасности в современные СУИБ и вынесение предложений по усовершенствованию СППР в области управления информационной безопасностью. Поскольку отсутствует понимание, как именно средства автоматизации могут быть оформлены документально в составе средств обеспечения информационной безопасности, необходимо провести анализ законодательства Российской Федерации в области регулирования, лицензирования и сертифицирования средств защиты по соответствующей рассматриваемым системам категории.

Объектом исследования являются методы обеспечения информационной безопасности критических информационных систем организаций, подлежащих защите от несанкционированного использования, на основе обработки информации по инцидентам. Предметом исследования являются практические средства обработки информации об инцидентах ИБ и соответствующие средства принятия решений.

Основная часть состоит из трёх глав, основное содержание которых приведено ниже.

· Теоретическая глава, включает: сбор информации об объекте и предмете исследования, анализ собранных данных. В результате выполнения теоретической части были получены подтверждения необходимости автоматизации обработки информации, связанной с обработкой информации об уровнях защищённости, соответствующих настройках защиты и поиском инцидентов ИБ. Были оценены условия создания системы поддержки принятия решений для автоматической подстройки уровня защищенности системы под окружение.

· Практическая глава, включает: подготовку модели для системы обработки информации об инцидентах, разработку входных данных для тестирования модели (состояние систем и изменения, происходящие на основе данных извне), реализацию подготовленной модели в виде скрипта с возможностью оптимизации параметров на основе изменений в конфигурации, подготовку данных и импортирование в модель, проведение тестов по анализу изменений условий системы и вынесению рекомендаций по регулированию параметров систем.

· Аналитическая глава, включает: оценку экономической целесообразности применения алгоритмов нахождения оптимальных значений настроек систем, проверку легитимности анализа инцидентов в рамках СППР, анализ востребованности методики и применимости на практике.

· 

Предпосылки выполнения работы

В мире информационных технологий всё большее значение имеет обеспечение защищённости всех задействованных цифровых активов. При этом в соответствии с базовыми экономическими принципами важно не только уметь обеспечивать хорошую защиту, но и соблюдать баланс между затрачиваемыми на защиту средствами, и получением требуемого уровня безопасности [15]. Проблематика данной работы появилась из-за отсутствия сбалансированных средств обеспечения мониторинга инцидентов информационной безопасности и принятия решений по инцидентам в режиме реального времени.

Обеспечение защищённости касается как безопасности информации, имеющей явную ценность для компании - объекты интеллектуальной собственности, права на использование цифровых активов и инструментов; так и информации, которую сложно измерить в денежном эквиваленте, хотя она связана с деятельностью организации напрямую - сведения о движении денежных средств, коммерческая тайна и внутренние регламентирующие документы, персональные данных граждан. Все эти данные могут храниться как в виде документов на бумажных и, что более актуально, электронных носителях, что требует особого внимания к ним. Ценные сведения могут представлять из себя обычные документы, изображения, видеофайлы, аудиозаписи, и, конечно же, структурированные данные в виде текстовых и бинарных файлов, таблиц, баз данных. И защита всех этих данных не сводится только к настройке антивирусов и файерволов, соблюдению регламентов по информационной безопасности, выполнению должностных инструкций, законодательных актов.

Организации, в зависимости от масштаба, должны обеспечивать полную физическую защиту объектов ИТ-инфраструктуры (охрану не только объектов, но и зданий, и периметра территории), организацию внутренней информационной безопасности (наблюдение за критическими объектами, контроль пропускного режима, контроль доступа к информационным системам и активам, разграничение уровня доступа к ИС), организацию внешней информационной безопасности (контроль внешних подключений к сети, мониторинг и фильтрацию траффика, анализ передаваемых вложений, безопасность удалённого доступа, анализ контрагентов), контроль изменений ИТ-инфраструктуры (контроль изменения информационных систем, службу HelpDesk, своевременное обновление документов, настроек и политик).

Перечисленные мероприятия по информационной безопасности содержат критический элемент - безопасность доступа через сеть. Сетевая безопасность является ключевым фактором защиты, эдаким «узким горлышком», которое нужно сделать максимально безопасным, потому что оно достаточно широко, чтобы при недостаточном контроле стать причиной огромных проблем.

На текущий день практическая реализация программных способов защиты сводится к инструментам по следующим областям ИТ-инфраструктуры: контроль доступа к ИС и изменений в них, непосредственная сетевая безопасность, мониторинг инцидентов и соответствующий анализ защищённости.

Контроль доступа к информационным системам может осуществляться как с помощью собственных средств аутентификации для систем, так и общих средств. К последним относятся службы каталогов (Active Directory), системы для единого входа в сервисы организации (на основе SSO - single-sign on). Кроме того, существует разделение ролей. Оно может регулироваться списками доступа, приказами или матрицами конфликтных ролей, при этом реализовываться как с помощью ролевой модели, так и мандатным предоставлением доступа, либо на уровне систем, к которым доступ непосредственно предоставляется.

Сетевая безопасность обеспечивается сетевыми экранами (файерволами) разного уровня, антивирусами, регулярными обновлениями ПО серверов и пользовательских АРМ, соблюдением политик ИБ встроенными средствами (использование подписей и шифрования).

Мониторинг инцидентов и анализ защищённости представляется SIEM-системами (управление событиями и инцидентами информационной безопасности). При этом этапы зачастую разделены: сначала происходит мониторинг и сбор информации, затем получение и анализ специалистом, и после этого выносится решение о мерах реагирования.

Выделенные три группы инструментов взаимосвязаны. Контроль доступа является фундаментом информационной безопасности, обеспечивая конфиденциальность, и вместе с контролем изменений лежит в основе выполнения свойства целостности. Сетевая безопасность призвана обеспечивать конфиденциальность в рамках требуемого уровня доступности, поскольку информация должна не просто лежать на сервере, но постоянно быть в работе, принося пользу конечным бенефициарам. Для соблюдения баланса между непосредственной конфиденциальностью и целостностью, с одной стороны, и доступностью, с другой стороны, существуют механизмы взаимодействия инструментов безопасности. И выстроенные механизмы взаимодействия сейчас базируются на мониторинге и анализе данных по угрозам и защищённости - как в режиме реального времени, так и постфактум, после изучения исторических данных за прошедший период. Говоря кратко, цементом фундамента информационной безопасности, состоящего из инструментов контроля доступа и сетевых фильтров, является мониторинг событий и инцидентов безопасности.

Возвращаясь к вопросу об экономической эффективности, становится понятно, почему мониторинг событий столь важен. Именно контроль и анализ обстановки ИБ позволяет сделать выводы об эффективности использования определённых инструментов, эффективности применяемых регламентирующих документов, правильности настроек конечных устройств и промежуточных фильтров. И тончайшая подстройка параметров защиты в идеальном мире позволила бы каждой организации существовать на уровне оптимального уровня защиты. К сожалению, в реальности это не так для крупных организаций, которые могут работать во всех сферах. Каждый месяц меняются законы по безопасности, еженедельно выходят обновления стандартов защиты и могут меняться конфигурации серверов, каждый день вносятся изменения в системы компаний, каждый час эти системы дают сбои, и каждую минуту клиенты пользуются конечными услугами. При этом условные клиенты рискуют в итоге стать менее заинтересованными в услугах организации, если в ней происходят периодические сбои вследствие отсутствия обеспечения должного уровня защиты; в иной ситуации - компания может пострадать из-за слишком высоких трат на конечные меры ИБ и их выполнение (хотя последнее, конечно, происходит гораздо реже). Счёт идет на секунды, и мы убеждаемся, что настройка оптимального уровня защищённости должна выполняться в режиме реального времени. На помощь приходят инструменты по автоматизации.

Также необходимо упомянуть о методах анализа данных, применяемых в инструментах автоматизации на сегодняшний день. Следует отметить, что помимо классических оптимизирующих алгоритмов и средств моделирования существует машинное обучение и методы симуляции искусственного интеллекта, позволяющие принимать решения на основе кластеризованных заранее обработанных массивов данных после соответствующего «обучения» на тестовых данных.



ОСНОВНАЯ ЧАСТЬ

ГЛАВА 1. ВОСТРЕБОВАННОСТЬ СРЕДСТВ АВТОМАТИЗАЦИИ

1.1 О теоретическом разделе

Для оценки востребованности средств автоматизации анализа инцидентов ИБ в комплексе иных средств защиты необходимо изучить текущие используемые в организациях методы и средства защиты, просмотреть механизмы настройки средств защиты в различных ключевых КИС (чтобы опираться на опыт защиты реальных систем), изучить возможности автоматизации конкретных компонентов и возможности улучшения средств защиты с помощью подстройки параметров защиты в режиме реального времени.

Местом выполнения теоретической части исследования является АО «КПМГ». Теоретические исследования были проведены в рамках практики в указанной организации. КПМГ в составе международной группы компаний KPMG является одной из крупнейших в России и в мире среди оказывающих профессиональные аудиторские и консалтинговые услуги.

КПМГ входит Большую четверку аудиторских компаний (наряду с Deloitte, Ernst & Young и PwC). Штаб-квартира расположена в Нидерландах. В подразделениях организации по всему миру работает порядка 189 000 человек (на 2017 год). Компания предоставляет аудиторские, налоговые и консультационные услуги.

Компания была основана в 1870 году, когда Уильям Баркли Пит открыл в Лондоне бухгалтерскую фирму, параллельно позднее были открыты подобные же фирмы в разных странах. Позже, в 1979 г. Klynveld Kraayenhof & Co. (Нидерланды), McLintock Main Lafrentz (США) и Deutsche Treuhandgesellschaft (Германия) объединились в группу независимых фирм KMG (Klynveld Main Goerdeler), а в 1987 г. KMG и Peat Marwick объединились в KPMG. В октябре 2007 г. фирмы - члены KPMG в Великобритании, Германии, Швейцарии и Лихтенштейне объединились в товарищество на вере KPMG Europe. Позднее к этому товариществу присоединились фирмы-члены из других европейских стран, СНГ (включая Россию), Турции и Саудовской Аравии. В приблизительно таком виде организация функционирует по сей день.

Компания занимается в том числе оценкой рисков ИТ и ИБ в рамках проверки финансовой отчётности, применяя современные подходы к ИТ-аудиту в рамках поставленных задач.

1.2 Задачи по оценке востребованности

В рамках теоретической части были поставлены следующие задачи:

o Изучить текущие используемые в организациях методы и средства защиты информационной безопасности, включающие в себя как непосредственно средства защиты, так и настройки систем, позволяющие обеспечивать заданный уровень защищенности, вспомогательные системы управления доступом, системы защиты сети и вспомогательные процессы по обеспечению работы информационных систем и организационные меры.

o Проинспектировать механизмы настройки средств защиты в различных ключевых корпоративных информационных системах, напрямую или косвенно задействованных внутри организации в процессе подготовки отчетности. Под ключевыми элементами подразумеваются системы ведения бухгалтерского учета, АБС, системы межбанковского и биржевого обмена информацией и связующие компоненты (КХД, шины и каналы передачи данных).

o Изучить возможности автоматизации конкретных компонентов, в частности, добавление политик для новых систем, встраиваемых в инфраструктуру существующей ИТ-среды, изменения настроек текущих систем, перенастройку систем в случае отказа части из них.

o Сделать выводы о возможностях улучшения средств защиты с помощью подстройки параметров защиты в режиме реального времени.

Теоретическая база основана на следующих материалах: нормативные документы, принятые государственными структурами (ФСТЭК, ФСБ, Роскомнадзор, ЦБ), методологические материалы и стандарты.

Для решения перечисленных задач использовался общий сравнительный анализ различных организаций, что обусловлено рядом причин. Сравнивать системы защиты внутри одной организации нерепрезентативно, поскольку не отражает ситуацию со средствами защиты по всему рынку и является лишь частным наблюдением. В то же время оценка одного и того же средства или способа защиты в разных организациях не позволяет сделать однозначное сравнение из-за различающихся объемов компаний и их внутренней специфики работы. Таким образом, анализ защищенности основных систем имеет смысл проводить путем сравнения различных систем с учетом их распространения по всей отрасли.

1.3 Текущие методы защиты ИБ

Были проанализированы текущие используемые в организациях методы и средства обеспечения ИБ в рамках деятельности по месту прохождения практики. В результате обобщений, можно сказать, что основные средства защиты в организациях включают в себя:

Организационные средства защиты (регламенты, подтверждающие документы для предоставления доступа, отчётность, внутренний мониторинг);

Настройки систем (как средств безопасности, так и ERP в целом), позволяющие обеспечивать заданный уровень защищенности;

Вспомогательные инструменты пассивной защиты (например, антивирусы);

Инструменты мониторинга и анализа защищённости систем.

Далее будут отмечены механизмы обеспечения целостности ИС и вводимых данных в критических для бизнеса информационных системах ряда компаний на основе открытых данных.

При анализе текущих методов защиты необходимо опираться на текущие актуальные угрозы и риски информационной безопасности [6, 7]. Также стоит учитывать текущие тенденции в области развития технологий, например, тренды в области облачных хранилищ (DW) и продуктов [1]. Дополнительная информация содержится в рекомендациях национальных и признаваемых специалистами международных стандартов по обработке инцидентов [3].

Стоит отметить, что защита ИБ должна являться комплексной. Несмотря на то, что в данной работе делается упор на средства мониторинга и средства принятия решений на основе собранных данных по ИБ, необходимо обеспечить функционирование остальных базовых средств защиты для всестороннего обеспечения целостности, конфиденциальности и доступности защищаемой информации.

1.4 Средства защиты и мониторинга

В первую очередь, необходимо отметить, что большинством крупных организаций соблюдаются необходимые требования в области обеспечения безопасности данных, критических для компании. В последнее время информационной безопасности выделяется всё больше средств, что вполне логично, учитывая растущие масштабы утечек и иных проблем.

Во всех компаниях, которые проходят процедуры проверки отчётности, существуют как средства обеспечения аутентификации и авторизации, так и пассивные средства защиты (антивирусы, сканеры) наряду со множеством регулирующих регламентов, охватывающих все типы критической информации от персональных данных до коммерческой тайны.

Однако вспомогательные средства, вроде мониторинга событий и инцидентов информационной безопасности, настроены далеко не в каждой организации. Далеко не всегда компании соблюдают все требования стандартов и поэтому могут даже не закладывать в бюджет мероприятия по мониторингу и анализу инцидентов, сканирования приложений, сетей и портов в них, внешние проверки независимыми специалистами.

Для анализа использования систем мониторинга обратимся к данным от производителей и от независимых оценивающих организаций.

Общая ситуация с распространением SIEM приложений на рынке приведена ниже (Рисунок 1), данные приведены на базе исследований Gartner [4].

Лидером SIEM-кластера является IBM Security QRadar, также выделяются системы Splunk, McAfee Enterprise Security Manager, LogRhythm.

Поскольку полный анализ средств защиты разных систем представляет достаточно трудоёмкую задачу, нам необходимо остановиться на ограниченной группе защищаемых систем. Для этого в следующем разделе будут рассмотрены распространённые корпоративные информационные системы финансового сектора.

Рисунок 1 Магический квадрант Гартнера для SIEM, 2017

В рамках выполнения основных задач по оценке востребованности были получены сравнительные результаты внедрения различных корпоративных информационных систем, аналитических систем, систем бухгалтерского учета и подготовки отчетности. В рассматриваемых системах были оценены применяемые подходы к обеспечению ИБ, методы и средства защиты. Данные были дополнены информацией из открытых источников.

Подобные способы анализа применяются для изучения систем защиты на разных уровнях [17]. Было оценено соответствие подходов к ИБ принятым стандартам, лучшим практикам в отрасли. Были рассмотрены практическая реализация процессов предоставления и блокирования доступа, настроек подключения, мониторинга, внесения изменений, технической поддержки и процедур реагирования на инциденты с информационными системами.

Данные результаты позволили сравнить подходы и сделать общие выводы о распространенности различных систем в крупных российских финансовых организациях.

Часть результатов содержит данные, защищенные режимом коммерческой тайны, и не публикуется, поскольку может содержать инсайдерскую информацию соответствующих компаний.

Общий вывод заключается в том, что средства защиты в крупных непрофильных (не специализированных на безопасности) организациях настроены только на базовом уровне, аутентификация стандартными средствами, при этом настройки нечасто соответствуют политикам. Зачастую серьёзные средства (SOC - центры безопасности) или даже составные наборы инструментов для мониторинга и управления безопасностью на предприятиях отсутствуют.

Также следует отметить, что предположение о необходимости автоматизации обычно не учитывается в решениях по обеспечению ИБ в фирмах. Существенно, что полезность от задействования средств автоматизации сложно оценить обычными способами учёта рисков.

Когда закладываются риски, прописывается, сколько может быть потрачено и с какой вероятностью, при этом параллельно рассчитывается, сколько стоит разрешение того или иного риска (в виде принятия риска, отказа от риска, снижения риска или перемещения в зону другого субъекта), но не учитывается, что риски будут изменяться, как и вероятности наступления событий (в нашем случае инцидентов информационной безопасности).

При изменении факторов, влияющих на вероятности, необходимо быстро пересчитывать вероятности инцидентов для новых условий, на что накладывается риск человеческих ошибок и невысокая скорость принятия решений в системах, где человеком принимается окончательное решение.

1.5 Полученные данные и выводы

В рамках практики были собраны данные по информационным системам крупных ряда российских компаний на основе открытых источников. Для изучения в основном рассматривались компании финансового сектора: банковские организации, микрофинансовые организации, страховые компании.

В организациях обычно использовалась минимум одна из крупнейших учетных систем для ведения бухгалтерского учета. Например, это системы от 1С, SAP, Microsoft и системы собственной разработки. В банковском секторе пользуются популярностью (Таблица 1) ИС от следующих компаний: Цент Финансовых Технологий, Диасофт, Новая Афина, Compass Plus, RS-Bank, Инверсия, Банковские технологии, Кворум, Oracle.

Таблица 1 АБС по количеству проектов внедрений в России (tadviser.ru)

Название продукта	Разработчик	Число зарегистрированных проектов
RS-Bank	R-Style Softlab (Эр-Стайл Софтлаб)	55
ЦФТ-Банк	Центр Финансовых Технологий (ЦФТ)	54
Flextera	Диасофт (Diasoft)	28
ПрограмБанк.АБС	ПрограмБанк	27
Correqts	Банк Софт Системс (БСС, BSS)	25
SmartVista	БПЦ Банковские технологии	22
ЦАБС Банк 21 век	Инверсия	21
QBIS	Банковские информационные системы (БИС)	17
Diasoft FА	Диасофт (Diasoft)	15
TranzWare Online	Compass Plus	14



Для обеспечения работы основных информационных систем использовались различные системы предоставления доступа (IAM), в основном базирующиеся на стандартной модели предоставления пользователям полномочий в Windows - службе каталогов Active Directory. Однако наиболее критичные ИС - системы бухгалтерского учета и АБС - используют более сложные механизмы предоставления доступа и последующего контроля выполняемых действий.

Предоставление доступа осуществляется с подтверждением непосредственных руководителей сотрудников, ответственных по бизнес-направлениям и служб информационной безопасности. В критичных местах, например, при распределении ролей фронт-офиса и бэк-офиса внутри АБС, применяются заранее прописанные матрицы совместимых ролей. В сложных корпоративных системах используется единая учётная запись для доступа к разным корпоративным ресурсам (SSO). Блокирование доступа осуществляется строго перед увольнением сотрудника, либо уходом его с занимаемой должности, если доступ в соответствующие системы сотруднику более не требуется. Помимо этого, осуществляются регулярные проверки блокировки неактивных или уволенных пользователей.

Вдобавок к средствам предоставления и блокирования доступа важную роль играют системы мониторинга событий. Это могут быть как статусы активности пользовательских терминалов и конкретных серверов, так и подробные журналы действий по изменениям настроек или внесению операций со стороны пользователей или внутри конкретных систем. Современные средства защиты позволяют разворачивать глубокое наблюдение за действиями пользователей в организации с целью преждевременного обнаружения злонамеренных действий, либо последствий проникновения вредоносного кода в результате халатных действий пользователей или недостаточного уровня защищенности.

В качестве вспомогательных средств использовались внутренние настройки информационных систем и баз данных, предотвращающие несанкционированные подключения. Помимо стандартных настроек наподобие ограничения количества попыток соединения при вводе неверных авторизационных данных, ограничений по времени ответа на отправляемые пакеты, пассивной фильтрации пакетов на границе зон, применяются более сложные механизмы защиты, основанные на анализе паттернов неправомерного или подозрительного поведения подключающегося абонента. Такие системы позволяют собирать статистику для последующего анализа безопасности окружения.

1.6 Добавление политик для новых систем

Отметим, что подобный указанному в прошлом разделе мониторинг позволяет собрать данные, по которым впоследствии теоретически возможно предсказывать вероятность инцидентов (т.е. фактов нарушения нормальной работы вплоть до проникновения в систему злоумышленником) в режиме реального времени на основе обнаруживаемых «здесь и сейчас» локальных проблем с безопасностью.

Поскольку ИТ-инфраструктура непрерывно меняется, фирмам необходимо быть готовыми к быстрому разворачиванию средств защиты в них. Это означает, что хорошая с нашей точки зрения система защиты, работая в автоматизированном режиме, должна настраивать новые системы по имеющимся правилам. В более частном случае этот процесс сводится к предварительной подготовке политик безопасности для новых внедряемых систем и комплексов, и последующей активации их в нужный момент.

Например, в зависимости от текущего уровня безопасности могут быть автоматически добавлены парольные политики или шаблоны прав доступа для новых систем. Либо, к примеру, может быть осуществлён перенос матриц конфликтных ролей доступа из формата одной системы в формат новой системы при замене системы.

Другим примером может являться настройка сетевых экранов глубокого сканирования (к примеру, DLP-систем), в которых в зависимости от профиля организации могут быть добавлены дополнительные источники для мониторинга передаваемой информации. Это могут быть просто маркеры профиля организации, связанные с областью деятельности, либо дополнительные, не связанные с основной деятельностью, стоп-слова или синтаксические конструкции, которые позволят вычислить передаваемые несанкционированным образом данные.

1.7 Выводы по востребованности

Были изучены используемые в организациях методы и средства защиты информационной безопасности. Текущие методы и средства защиты не обеспечивают необходимый уровень безопасности, поэтому необходимо применять специализированные средства мониторинга и управления инцидентами.

Были проинспектированы механизмы настройки средств защиты в различных ключевых корпоративных информационных системах. Отмечено, что в большинстве систем используется внутренняя аутентификация с разделением ролей сотрудников в зависимости от должности или подразделения.

Автоматизация конкретных компонентов невозможна без внедрения в инфраструктуру предприятия. Однако, было отмечено, что вопросы автоматизации средств безопасности обычно не затрагиваются вовсе при планировании ИБ предприятия. В части возможности быстрого изменения политик (в случае изменения ИТ-инфраструктуры) было отмечено, что в связи с низкой частотой ввода новых компонентов в крупных организациях (обычно не более 3-5 в год) потребность в автоматизации добавления шаблонных политик невысокая. Более востребована генерация новых параметров для систем в случае «сбоя», то есть, попросту говоря, произошедшего инцидента информационной безопасности.

В результате выполнения теоретической части был сделан вывод о полезности автоматизации обработки информации, связанной с поиском инцидентов информационной безопасности, и принятия решений по настройкам безопасности систем (возможно, в режиме реального времени). Впоследствии это позволит создавать комплексные и в большей степени автоматизированные системы реагирования на инциденты информационной безопасности. В целом поставленные в главе вопросы разрешены частично, поскольку анализ систем проводился неглубоко и требуется расширить сферы деятельности и масштабы изучаемых организаций.



ГЛАВА 2. РЕАЛИЗАЦИЯ СППР ПО ИНЦИДЕНТАМ ИБ

2.1 Подход к выполнению практической части

В рамках практической части исследования было проведено исследование практической реализуемости автоматизации вынесения решений об изменениях настроек безопасности в рамках систем поддержки принятия решений для компенсации негативного эффекта возникших инцидентов информационной безопасности.

Общая идея звучит следующим образом. Предположим, что у нас есть кластер информационных узлов предприятия, детализированный на нектором фиксированном уровне. Примеры: уровень физических серверов, уровень приложений внутри АРМ, уровень контейнеров в облаке, уровень удалённых компьютеров в сети Интернет (вместе с каналами связи).

Будем рассматривать узлы (и при необходимости каналы связи) как наборы декомпозируемых элементов безопасности. Будем считать, что каждый узел имеет конечное число вложенных компонентов, имеющих каждый свои настройки безопасности, а также, что мы можем узнать все возможные комбинации настроек для каждого компонента, и каждой комбинации настроек сопоставить некоторый уровень безопасности, который мы будем далее называть просто «эффективностью» (неважно, будем ли мы знать алгебраическую функцию эффективности от настроек или данные поступят на основе статистических данных). Каждая настройка пусть будет выбором из конечного множества элементов. Проще всего это смоделировать отрезком на прямой целых чисел (например, настройкой может являться допустимая длина пароля, при этом длина является обязательно целым числом и может меняться в интервале от 8 до 20).

Предположим также, что нам известна зависимость общей эффективности узла от его компонентов (то есть по сути от всех настроек входящих в узел компонентов; при этом также неважно, насколько сложная эта функция и представима ли она алгебраически, либо рассчитывается только численно). Поскольку компьютеры представляют из себя по сути конечные автоматы, указанные функции существуют в алгебраическом виде, но скорее всего сложны для исчисления, поэтому мы будем по возможности пользоваться приближениями, основанными на статистических данных.

Пусть для каждой уровня настроек нам известен уровень «затрат», которые необходимы для поддержания данного уровня настройки. Ниже будет показано для чего необходим учёт затрат. При этом затраты измеряются в условных единицах и могут быть при необходимости рассчитаны в удобных единицах измерения (от Джоулей до человеко-часов и экономических эквивалентов).

Например, можно условно измерить разницу между вводом пароля длиной в 8 и 20 символов с учётом возрастающего процента ошибочных вводов при большей длине пароля.

Также предположим, что есть некие издержки на поддержание заданного уровня безопасности узла, которые складываются из затрат на поддержание каждой настройки внутри узла.

Предположим, что на основе долгих наблюдений рассчитан средний предполагаемый ущерб от возникновения инцидентов в системе в зависимости от настроек безопасности по каждому компоненту. Тогда для заданных настроек однозначно определяется уровень затрат и эффективность узла. Аналогично функции затрат и эффективности обобщим на всю систему узлов.

Далее, предположим, что узлы имеют некоторые настройки в текущий момент времени. Будем считать (хотя в общем случае это не обязательно), что эти настройки оптимальные, то есть они были выставлены некоторое время назад специалистами на основе наблюдений за поведением системы, и в настоящий момент система «сбалансирована» (оптимальна) по настройкам.

Последнее условие раскроем отдельно. Балансировка по настройкам обладает важным свойством - а именно при подобных настройках уровень эффективности является максимумом среди всех иных возможных комбинаций настроек с суммой затрат, не превосходящей суммы затрат при имеющемся текущем «сбалансированном» наборе настроек (который по сути является оптимумом).

Однако заметим, что функция эффективности пока не определена. Чтобы реализовать модель для расчёта вероятности, мы используем искусственную функцию эффективности (вероятно, она не самая удобная, но вполне подойдёт для тестирования модели), на основе которой можно рассчитать функцию зависимости вероятности отсутствия инцидентов от настроек узлов.

Стоит отметить, что это функцию эффективности можно сразу строить как можно удобнее для подстановки в функцию вероятности (вместо всех значений настроек каждого узла).

В описанных вкратце условиях будет построена модель, позволяющая по данному «сбалансированному» набору настроек для данного набора узлов и информации о произошедших инцидентах вывести информацию о новой «сбалансированной» точке и соответствующие рекомендации по изменению настроек для компенсации негативного эффекта в условиях ограниченного текущего уровня затрат. По сути, нахождение этой точки будет равносильно задаче нахождения оптимума функции эффективности при ограничениях на каждый параметр и общем ограничении по затратам.

Соответственно, каждому набору настроек будет строиться функция вероятности, которая покажет изменение показателей со временем (для старой точки с настройками и для предлагаемой).

Исследование частично базируется на методе построения моделей информационных атак [31]. Моделирование атакуемой или защищаемой системы является распространённым способом изучения поведения объектов и построения выводов по реализации защиты [32].

При этом взаимосвязи функций эффективности и ограничений по затратам, как мы увидим впоследствии, схожи по свойствам со стандартной степенной функцией полезности и линейной функцией бюджетных ограничений из области экономической теории.

Далее будут продемонстрированы процедуры практической реализации средства функционального моделирования информационных систем с точки зрения оценивания вероятностей возникновения инцидентов информационной безопасности на основе показателей систем и предсказания вероятностей возникновения инцидентов с течением времени, и соответствующие результаты тестирования разработанного средства. В рамках систем поддержки принятия решений по инцидентам ИБ подобные модели играют ключевую роль, обеспечивая анализ всех данных об инцидентах.

2.2 Задачи и описание математической модели

Для реализации практической части были поставлены следующие задачи:

· Подготовить математическую модель для системы обработки информации об инцидентах;

· Разработать входные данные для тестирования модели - состояние систем и изменения, происходящие извне;

· Реализовать подготовленную модель в виде скрипта с возможностью улучшения параметров модели при изменениях в компоновке действующих систем;

· Подготовить данные и импортировать в модель;

· Провести тесты по анализу изменений условий системы и вынесению рекомендаций по регулированию параметров систем;

Опишем для начала нашу систему узлов формально.

Будем предполагать в простом случае, что события безопасности наступают с одинаковой частотой. В таком случае поток инцидентов информационной безопасности представляет собой простейший поток событий.

Пусть t - время (в установленных единицах), I - количество инцидентов безопасности за время t. Будем обозначать интенсивность наступления событий безопасности через L. В простом случае интенсивность будет являться средним числом инцидентов в заданную единицу времени.

Рассмотрим изменяющиеся условия. Величина интенсивности будет являться производной количества инцидентов I по времени t, то есть верно:

(1)

Для начала рассмотрим неизменяющиеся условия окружающей среды информационных систем: в них, очевидно, для I₀ инцидентов за единичное время t₀ справедливо равенство л=L₀=I₀/t₀. Для заданного времени t будем иметь величину интенсивности L=L₀*t=лt.

Тогда вероятность того, что произойдёт k инцидентов за время t, задаётся функцией вероятности (распределение Пуассона):

(2)

Вероятность отсутствия инцидентов безопасности вычисляется по формуле:

(3)

За время t, прошедшее с начала отсчёта, вероятность отсутствия инцидентов составит:



(4)

В случае с изменяющейся интенсивностью, соответственно, имеем: . Последнее равенство сложно в применении, но оно может пригодиться, когда есть возможность следить за количеством инцидентов в единицу времени. Анализ на основе подобной информации позволяет сделать прогноз и в теории составить некий план по изменению параметров безопасности для достижения требуемого уровня защиты.

В дальнейшем мы будем опираться на равенство (4), которое описывает вероятность отсутствия инцидентов за промежуток времени, основываясь только на известном показателе интенсивности возникновения инцидентов информационной безопасности из всего потока событий ИБ.

Возникает вопрос об исчислении показателя интенсивности на основе текущих параметров защищённости системы. Будем считать, что для каждого узла инфраструктуры (то есть, конечной информационной системы, вспомогательной системы, операционной системы, модуля виртуализации или физической ЭВМ в зависимости от уровня абстракции) или элементов связи (то есть каналов связи, шин передачи данных, протоколов различных уровней) существует показатель интенсивности л, который можно приближенно вычислить с помощью известной для данного узла функции, зависящей от установленных компонентов и их настроек. Построение л возможно, очевидно, как минимум с помощью статистических методов на основе известных данных по каждому модулю. Это означает, что для конкретного узла, например, сетевой карты компьютера, л определена. Мы также предполагаем, что построение л возможно для многокомпонентной системы, для которой известны показатели интенсивности проникновения для каждого из входящих в неё компонентов. В простом случае это достигается через подсчёт количества инцидентов и общего числа событий за единицу времени для каждого из компонентов и соотнесение этих значений в зависимости от взаимосвязи между компонентами (например, если два компонента связаны шиной, то их объединение будет иметь дополнительные риски того, что для каждого элемента может возникнуть инцидент безопасности из-за атаки на другой компонент).

Наиболее простым для анализа является применение следующей аналитической модели. Построим взаимное соответствие наборов параметров

наборам вкладов параметров

.

Для работы нам подойдёт обычное линейное отображение, то есть каждому элементу настроек будет соответствовать элемент .(при этом не забываем, что у каждого есть также фиксированные ограничения снизу и сверху). Предположим, что в качестве начальной точки у нас имеется оптимальный набор x₀ настроек систем в данный момент времени.

Будем исчислять л на основе вкладов параметров каждой системы л_i с учётом общего ограничения по затратам, тогда:

(5)

Данный набор настроек задаёт целевую функцию эффективности узла.

Для примера для i-го узла в (5) будем использовать функцию вида:

(6)

Здесь x_ij - значение j-го вклада параметра, p_ij - его вес. Таким образом, будет учитываться вклад каждого показателя с учётом его важности.

Эффективность будем считать упрощённой степенной функцией вида:

(7)

Функция эффективности (7) отличается тем, что она непрерывная и гладкая (хотя для используемого далее алгоритма последнее условие не обязательно).

И, соответственно, общее ограничение по затратам будет задаваться неравенством:

(8)

По сути (8) - это уравнение гиперплоскости по всем вкладам параметров. Для целевой функции ограничивающая плоскость в будет близка к касательной, поэтому почти всегда изначальный экстремум будет в .

Далее, нам остаётся сымитировать инцидент для одной или нескольких систем, попытаться найти новый максимум функции эффективности при заданных ограничениях и вывести результат.

С помощью выражения (4), подставив все необходимые значения, можно получить функции изменения вероятностей наступления инцидентов (для них далее будет показан вывод графики):

2.3 Написание и тестирование средства моделирования

Ниже будут описаны процедуры создания средства моделирования в соответствии с поставленными задачами. Реализация задач проводится в соответствии с установленными методологиями по анализу защищённости информации, хранимой в информационных системах, при несанкционированном доступе [13, 14].

Для решения поставленных задач были выполнены следующие шаги. Во-первых, был подготовлен формат входных данных для алгоритма, описывающий системы и их настройки безопасности. Полное описание формата входных данных дано в приложении 2.

...