Методические рекомендации по выявлению инцидентов информационной безопасности с использованием систем мониторинга действий пользователей в сети Интернет

Размещено на http://www.allbest.ru/

КУРСОВАЯ РАБОТА

На тему: Методические рекомендации по выявлению инцидентов информационной безопасности с использованием систем мониторинга действий пользователей в сети Интернет



Содержание

Введение

1. Термины и понятия

1.1 Инциденты и события

1.2 Утечка информации

1.3 Система контроля действий пользователя

2. Технологии мониторинга

2.1 Система обнаружения вторжения

2.2 Управление событиями безопасности

2.3 Системы предотвращения утечек

3. Методология

3.1 Перехват и анализ

3.2 Рекомендации по выявлению инцидентов

Заключение

Список использованной литературы



Введение

утечка информационный безопасность инцидент

В первой половине текущего года 64,5% случаев утечек данных произошло по вине внутренних нарушителей -- сотрудников самих пострадавших организаций. Об этом говорится в отчете «Глобальное исследование утечек конфиденциальной информации в первом полугодии 2020 года» аналитического центра компании InfoWatch. Внешние атаки становились причиной утечек вдвое реже -- только в 35,5% случаев.

Всего из общего числа утечек данных в первой половине 2020 года 53,5% случаев составляют те, когда виновником стал рядовой, «непривилегированный» сотрудник, в 3,5% случаев - подрядчик, в 2,3% - руководитель, в 1,9% - бывший сотрудник и в 1,2% - системный администратор. Внутренние утечки имеют для компании «несоизмеримо больший риск», так как негативные последствия от таких утечек больше, чем от внешних. Это связано с тем, что внешние атаки нацелены на «однородные данные»: сведения о пользователях сервиса или информацию о тех, кто воспользовался той или иной услугой. В результате утечки, произошедшей по вине персонала, могут быть скомпрометированы любые данные, включая те, которые являются для компании наиболее чувствительными.

В основном - 69% случаев - утекают персональные данные сотрудников и клиентов. Следующий большой сегмент - это платежная информация, на ее долю пришлось 21,3% случаев. Еще 5,3 и 4,4% приходятся на государственную тайну и коммерческую тайну соответственно.

По каналу утечек лидирует категория «Сеть» с долей 69,8%. Сюда входят утечки через браузер или облачное хранилище. Почти 11% приходится на бумажные документы, а 9,4% - на утечки через электронную почту. В остальных случаях утечки происходили через мессенджеры, съемные носители (флеш-карты), мобильные устройства, а также при потере или краже оборудования. Причем в случае умышленной атаки кража информации через Сеть происходила в 87,5% случаев, а если по ошибке, то эта категория сокращалась до 51,8%, оставляя 18,2 и 15,5% электронной почте и бумажным документам соответственно.

«В 40% киберинцидентов злоумышленники были нацелены на получение информации, а в 39% - на финансовую выгоду. По нашим данным, 59% всех предложений о продаже данных - учетные записи пользователей для доступа к различным ресурсам, в том числе к банковским приложениям. Поэтому вслед за атакой, в которой была получена информация, довольно скоро может последовать новая - на владельцев этих данных или на компанию, учетные данные сотрудников которой были скомпрометированы. Чтобы минимизировать количество утечек и мошенничество, в первую очередь необходимо повышать осведомленность пользователей в вопросах сохранения учетных записей». Об этом говориться в инследовании «Актуальные киберугрозы. I квартал 2020 года» компании Positive Technologies



1. Термины и понятия

1.1 Инциденты и события

Инцидентом информационной безопасности (information security incident) считается появление одного или нескольких нежелательных или неожиданных событий ИБ, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы ИБ.

Событием информационной безопасности (information security event) является идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Общая классификация представляет два типа инцидентов:

· действительный инцидент - когда инцидент происходит в настоящий момент или произошел;

· предполагаемый инцидент - когда имеются сообщения о возможности инцидента в скором будущем.

Типы угроз

Угрозы можно разделить на 4 основных типа: намеренные, случайные, ошибки и другие угрозы:

Среди намеренных угроз выделяют:

· хищение;

· мошенничество;

· саботаж;

· воздействие вредоносных программ;

· логическое проникновение;

· использование ресурсов в обход установленных правил.

Среди случайных угроз выделяют:

· отказ аппаратных средств;

· отказ программных средств;

· отказ систем связи.

Среди ошибок выделяют:

· операционные ошибки;

· ошибки в эксплуатации;

· ошибки пользователя;

· ошибки проектирования.

Источники сведений об инцидентах и событиях:

· Пользователь, Администратор, Контрагент;

· Системы обнаружения вторжений (IDS);

· Системы управления информационной безопасностью и событиями (SIEM);

· Системы предотвращения утечек (DLP);

· Системы контроля действий пользователя;

· Системы контроля целостности и управления изменениями;

· Антивирусные системы;

· Журнал аудита событий;

· Аудит ИБ;

· Системы мониторинга финансовых операций и оценки подозрений (Анти-фрод системы);

· Признаки инцидента.

Предположение о том, что в организации произошел инцидент информационной безопасности, должно базироваться на трех основных факторах:

1. Сообщение об инциденте информационной безопасности поступают одновременно из нескольких источников (пользователи, IDS, журнальные файлы)

2. IDS сигнализируют о множественном повторяющемся событии

3. Анализ журнальных файлов автоматизированной системы дает основание для вывода системным администраторам о возможности наступления события инцидента

В общем случае, признаки инцидента делятся на две основные категории, сообщения о том инцидент происходит в настоящий момент и сообщения о том, что инцидент, возможно, произойдет в скором будущем.

Некоторые признаки совершающегося события:

· IDS фиксирует переполнение буфера;

· уведомление антивирусной программы;

· крах WEB - интерфейса;

· пользователи сообщают о крайне низкой скорости при попытке выхода в Internet;

· системный администратор фиксирует наличие файлов с нечитабельными названиями;

· пользователи сообщают о наличие в своих почтовых ящиках множества повторяющихся сообщений;

· хост производит запись в журнал аудита об изменении конфигурации;

· приложение фиксирует в журнальном файле множественные неудачные попытки авторизации;

· администратор сети фиксирует резкое увеличение сетевого трафика, и т.д.

Примерами событий, которые могут послужить источниками информационной безопасности могут служить:

· журнальные файлы сервера фиксируют сканирование портов;

· объявление в СМИ о появлении нового вида эксплойта;

· открытое заявление компьютерных преступников в отношение вашей организации и т.д.



Рисунок 1 Распределение инцидентов по характеру: январь-сентябрь 2020 г.

1.2 Утечка информации

Утечка информации - неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации.

Доступ (в автоматизированной информационной системе) - получение возможности ознакомления с информацией, ее обработки и (или) воздействия на информацию и (или) ресурсы автоматизированной информационной системы с использованием программных и (или) технических средств.

Неконтролируемое распространение информации за пределы организации, помещения, здания, какой-либо территории, а также определенного круга лиц, которые имеют доступ к этой информации, называется утечкой информации.

Причиной утечек информации может стать: использование ошибочных норм защиты информации, их нарушение или же полное несоблюдение. Малейшие отступления от правил работы с критически важными документами, техникой, продукцией и прочими конфиденциальными материалами чреваты возникновением канала утечки информации ограниченного доступа.

Рисунок 2 Распределение утечек по виновнику, январь-сентябрь 2020 г.

Канал утечки информации (или технический канал утечки) - это путь информации, который она может пройти от источника информации до приемника/получателя в процессе случайной утечки или целенаправленного несанкционированного получения закрытой информации.

В мире доля умышленных нарушений, совершенных персоналом и руководителями компаний, составляет немногим более половины от всех случаев внутренних утечек. Такое соотношение, предположительно, связано с высоким уровнем выявления фактов внутренних утечек и попыток кражи конфиденциальных данных, прежде всего в банках и в госорганах, в том числе за счёт наличия средств контроля. В то же время во многих странах, DLP-системы имеют ряд ограничений по контролю каналов передачи информации, корпоративные политики ИБ «заточены» на противодействие внешним угрозам, а регуляторы строго наказывают компании за сокрытие фактов утечек в результате хакерских атак. Но даже при таком положении в некоторых случаях утечки по вине внутренних нарушителей компаниям проще списать на вторжение извне. Это может быть выгоднее с точки зрения имиджа и позволяет избежать пристального внимания правоохранительных органов.

Рисунок 3 Распределение утечек внутреннего характера по умыслу: январь-сентябрь 2020 г.

За первые 9 месяцев 2020 года в базу Экспертно-аналитического центра InfoWatch внесено 1773 случая утечки информации ограниченного доступа из коммерческих компаний, государственных организаций и органов власти во всем мире. В результате зарегистрированных случаев «утекло» 9,93 млрд записей персональных и платежных данных. По сравнению с аналогичным периодом 2019 г. в целом в мире число утечек снизилось на 7,4%, а число скомпрометированных записей - на 1,4%.

Рисунок 4 Число зарегистрированных утечек

1.3 Система контроля действий пользователя

Система контроля действий пользователя - программный или программно-аппаратный комплекс, позволяющий отслеживать действия пользователя. Данная система осуществляет мониторинг рабочих операций пользователя на предмет их соответствия корпоративным политикам.

Функции системы контроля

Мониторинг рабочего стола, методами отправки видеопотока в реальном времени, просмотр сохранённых снимком экрана или видеозапись действий пользователя. Они могут быть использованы как вещественные доказательства нарушения трудового договора.

Мониторинг процессов - отслеживание запущенные приложения с сохранением различных параметров: время запуска, время работы, время активности на экране и т.д. Это позволяет оценить эффективность использования рабочего времени работником, отследить вирусную атаку, которая может повредить корпоративную информацию. Большинство систем позволяет блокировать запуск определённых процессов. Может существовать функция завершения уже запущенных процессов удаленно.

Мониторинг портов - отслеживание подключенных устройств с возможностью блокировки доступа ко всем устройствам, фильтрации устройств и журналирование использования, сохранение копируемого контента для дальнейшего анализа.

Мониторинг интернет активности

Мониторинг посещенных веб-сайтов позволяет выявить нецелевое использование рабочего времени, отслеживать поисковые запросы сотрудника, с сохранением адресов, заголовков, времени посещенных страниц.

Мониторинг активности в социальных сетях с определением просматриваемых профилей, копированием переписки, сохранением отправленных файлов.

Мониторинг клиентов мгновенных сообщений, программными средствами или анализ трафика.

Мониторинг электронной почты. Полное журналирование всех сообщений электронной почты с локального клиента, перехватом содержания web-форм, перехватом трафика.

Мониторинг локальных действий

Мониторинг клавиатуры. Система записывает все нажимаемые клавиши, включая системные (CTRL, SHIFT, ALT, CAPS LOCK), кроме этого, могут быть записаны название окна, в которое производился ввод, язык раскладки.

Буфер обмена. Система сохраняет всё, что было скопировано в буфер обмена, и почти всегда сопутствующую информацию.

Запоминаются все действия с файлами: копирование, удаление, редактирование и программа, через которую действие совершено.

Печать файлов с сохранением названия печатаемых файлов, времени и даты печати. Также печатаемые файлы могут сохраняться как в виде исходного файла, так и в виде графического файла.



2. Технологии мониторинга

2.1 Система обнаружения вторжения

Система обнаружения вторжения (Intrusion Detection System) - Программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения.

Система предотвращения вторжений (Intrusion Prevention system) - Программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет, а также введение ответных действий на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

Состав СОВ

· сенсорная подсистема - сбор событий, связанных с безопасностью защищаемой системы;

· подсистема анализа - выявление атак и подозрительных действий на основе данных сенсоров;

· хранилище - накопление первичных событий и результатов анализа;

· консоль управления - изменение конфигурации СОВ, наблюдение за состоянием защищаемой системы и СОВ, просмотр выявленных подсистемой анализа инцидентов.

Виды СОВ

Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или свитчу, настроенному на зеркалирование портов, либо сетевое TAP устройство.

TAP - виртуальный сетевой драйвер, эмулирующий Ethernet устройство, работающее на уровне модели OSI, оперируя кадрами Ethernet, для создания сетевого моста.

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов.

Основанная на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты ещё до их шифрования и отправки в сеть.

Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) -- это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.

Протокольные СОВ используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL).

Узловая СОВ (Host-based IDS, HIDS) -- система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных вызовов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников.

В узловых СОВ сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен.

В 1 квартале 2020 года было зафиксировано на 22,5% больше атак, чем в последнем квартале 2019 года. Начало года стало тяжелым периодом для всего мира. Эпидемия коронавирусной инфекции COVID-19 внесла коррективы в мировую экономику и в жизнь обычных людей. Ситуация отразилась и на информационной безопасности.

Рисунок 5 Количество атак в 2019 и 2020 годах по месяцам

2.2 Управление событиями безопасности

SIEM (Security information and event management) - объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) - управление информационной безопасностью, и SEM (Security event management) - управление событиями безопасности. Технология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений.

Понятие управление событиями информационной безопасности (SIEM) - описывает функциональность сбора, анализа и представления информации от сетевых устройств и устройств безопасности, приложений идентификации (управления учетными данными) и управления доступом, инструментов поддержания политики безопасности и отслеживания уязвимостей, операционных систем, баз данных и журналов приложений, а также сведений о внешних угрозах. Основное внимание уделяется управлению привилегиями пользователей и служб, сервисам директорий и другим изменениям конфигурации, а также обеспечению аудита и обзора журналов, реакциям на инциденты.

Функции SIEM

Агрегация данных: управление журналами данных которые собираются из: сетевых устройств и сервисов, датчиков систем безопасности, серверов, баз данных, приложений с обеспечением консолидации с целью поиска критических событий.

Корреляция: поиск общих атрибутов, связывание событий в значимые кластеры, интеграция данных из различных источников для превращения исходных данных в значащую информацию.

Оповещение: автоматизированный анализ коррелирующих событий и генерация оповещений (тревог) о текущих проблемах. Оповещение может выводиться на «приборную» панель самого приложения, так и быть направлено в прочие сторонние каналы.

Средства отображения (информационные панели): отображение диаграмм помогающих идентифицировать паттерны отличные от стандартного поведения.

Совместимость (трансформируемость): применение приложений для автоматизации сбора данных, формированию отчетности для адаптации агрегируемых данных к существующим процессам управления информационной безопасностью и аудита.

Хранение данных: применение долговременного хранилища данных в историческом порядке для корреляции данных по времени и для обеспечения трансформируемости.

Экспертный анализ: возможность поиска по множеству журналов на различных узлах; может выполняться в рамках программно-технической экспертизы.

2.3 Системы предотвращения утечек

Системы предотвращение утечек (Data Leak Prevention) - программно-аппаратный комплекс предотвращения утечек конфиденциальной информации из информационной системы вовне. DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Распознавание конфиденциальной информации в DLP-системах производится двумя способами:

Анализ формальных признаков (например, грифа документа, специально введенных меток, сравнением хэш-функции). Способ позволяет избежать ложных срабатываний (ошибок первого рода), но зато требует предварительной классификации документов, внедрения меток, сбора сигнатур и т.д. Пропуски конфиденциальной информации (ошибки второго рода) при этом методе вполне вероятны, если конфиденциальный документ не подвергся предварительной классификации.

Анализ контента. Лингвистический (морфологический, семантический) анализ и статистические методы (Цифровые отпечатки, антиплагиат)

В состав DLP-систем входят компоненты (модули) сетевого уровня и компоненты уровня хоста. Сетевые компоненты контролируют трафик, пересекающий границы информационной системы. Обычно они стоят на прокси-серверах, серверах электронной почты, а также в виде отдельных серверов. Компоненты уровня хоста стоят обычно на персональных компьютерах работников и контролируют такие каналы, как запись информации на компакт-диски, флэш-накопители и т.п. Хостовые компоненты также стараются отслеживать изменение сетевых настроек, инсталляцию программ для туннелирования, стеганографии и другие возможные методы для обхода контроля.

Кроме основной перед DLP-системой могут стоять и вторичные задачи:

· архивирование пересылаемых сообщений на случай возможных в будущем расследований инцидентов;

· предотвращение передачи нежелательной информации не только изнутри наружу, но и снаружи внутрь информационной системы;

· предотвращение использования работниками казенных информационных ресурсов в личных целях;

· оптимизация загрузки каналов, экономия трафика;

· контроль присутствия работников на рабочем месте;

· отслеживание благонадежности сотрудников, их политических взглядов, убеждений, сбор компромата.

Контроль каналов утечки информации

Технология DLP поддерживает контроль следующих технических каналов утечки конфиденциальной информации:

· корпоративная электронная почта;

· веб-почта;

· социальные сети и блоги;

· файлообменные сети;

· форумы и другие интернет-ресурсы;

· средства мгновенного обмена сообщениями;

· p2p-клиенты;

· периферийные устройства;

· локальные и сетевые принтеры.

Система DLP в основном берет под свой контроль следующие протоколы обмена данными:

· FTP

· FTP-over-HTTP

· FTPS

· HTTP

· HTTPS (SSL)

· NNTP

· POP3

· SMTP

Технологии детектирования конфиденциальной информации

Сигнатуры (Стоп-выражения) - Технология детектирования на основе поиска в потоке определенного набора символов.

Хеш-функции - Технология детектирования на основе совпадения хеш-сумм копируемого документа с документом-шаблоном.

Метки - Технология детектирования на основе обнаружения наличия специальных меток в теле документа.

Маски - Технология на основе регулярных выражений. Регулярные выражения позволяют находить совпадения по форме данных, в нем нельзя точно указать точное значение данных, в отличие от «сигнатур».

Лингвистические методы (контентная фильтрация) - Технология использования лингвистических дисциплин (морфология, семантика) в качестве шаблонизаторов “стоп-слов”.



3. Методология

3.1 Перехват и анализ

Перехват трафика позволяет максимально полно контролировать работника, так как помимо анализа косвенных признаков (посещаемые ресурсы, действия с файлами и т.д.) появляется и прямая информация о действиях человека. В настоящее время чаще всего используются следующие способы перехвата информации:

· перехват в разрыв

· сетевой перехват

· перехват путем интеграции со сторонними продуктами

· агентский перехват

Перехват в разрыв - пропуск всего трафика через специальное физическое устройство (сниффер).

Сетевой перехват - дублирование трафика определенных портов на выделенный порт коммутатора с функцией зеркалирования (mirroring) портов.

Перехват путем интеграции со сторонними продуктами - перехват через почтовые или прокси сервера.

Агентский перехват - программы или сервисы выполняющие перехват непосредственно на компьютере пользователя с последующей отправкой на сервер.

Перехваченный трафик подлежит анализу на наличие конфиденциальной информации, существует множество видов анализа, которые можно разделить на 2 основных вида реализации:

1. Программная реализация - на основе алгоритмов детектирования в системах DLP и IPC

2. Ручное детектирование (Карантин)

Карантин - ручная проверка конфиденциальной информации. Любая информация, которая попадает под правила ручной проверки, например, в ней встречается слово «ключ», попадает в консоль специалиста информационной безопасности. Последний по очереди вручную просматривает такую информацию и принимает решение о пропуске, блокировке или задержке данных. Несомненным достоинством такого метода можно считать наибольшую эффективность. Однако, такой метод применим лишь для ограниченного объема данных. Реальное применение для такого метода -- анализ данных выбранных сотрудников, где требуется более тонкая работа, чем автоматический поиск по шаблонам, «цифровых отпечатков» или совпадений со словами из базы.

Архивирование

Анализ также подразумевает архивирование. Архивирование информации, проходящей через технические каналы утечки в единый архив, который ведется для выбранных потоков информации (пакетов, сообщений). Вся информация о действиях сотрудников хранится в одной и нескольких связанных базах данных, в которых хранятся копии закачанных в интернет документов и текста, электронных писем, распечатанных документов и файлов, записанных на периферийные устройства.

В любой момент администратор ИБ может получить доступ к любому документу или тексту в архиве, используя лингвистический поиск информации по единому архиву (или всем распределенным архивам единовременно). Любое письмо при необходимости можно посмотреть или переслать, а любой закачанный в Интернет, записанный на внешнее устройство или распечатанный файл или документ просмотреть или скопировать. Это позволяет проводить ретроспективный анализ возможных утечек и, в ряде случаев, соответствовать регулирующим деятельность документам.



3.2 Рекомендации по выявлению инцидентов

Информация об инциденте ИБ может поступать из самых различных источников: средств обеспечения ИБ (межсетевых экранов, систем обнаружения атак, антивирусных систем, операционных систем и приложений, средств контроля физического доступа), от самих пользователей и администраторов, из внешних источников, в том числе средств массовой информации (например, из Интернета). Важно, чтобы были налажены такие процедуры, как мониторинг событий, контроль и мониторинг действий пользователей, системных администраторов и пр.

Процедуры сбора информации, используемые для выявления и расследования инцидентов, могут обеспечиваться как техническими, так и организационными мерами.

Основными задачами, решаемыми с помощью технических средств и систем выявления инцидентов ИБ, являются:

· осуществление централизованного сбора, обработки и анализа событий из множества распределенных гетерогенных источников событий;

· обнаружение в режиме реального времени атак, вторжений, нарушений политик безопасности;

· контроль за портами и устройствами ввода/вывода информации;

· мониторинг действий пользователей;

· предоставление инструментария для проведения расследований инцидентов ИБ, формирования доказательной базы по инциденту ИБ.

Анализ собранных данных включает исследование, в результате чего подтверждается или опровергается факт возникновения инцидента ИБ.

В процессе анализа осуществляется структуризация и приоритизация инцидентов ИБ на основе определения степени критичности рассматриваемого ресурса и степени критичности воздействия на него, - так называемый эффект инцидента. Для этого применяются 2 основных метода корреляции: сигнатурный (т.е. на основе правил) и бессигнатурный, определяющий аномальное поведение информационной системы.

Для эффективного выполнения задачи в конкретной организации, требуется правильная конфигурация корреляционных механизмов и постоянная их модификация. Самая долгая конфигурация приходится на бессигнатурный метод, так как он требует накопления статистических данных.

В рамках деятельности по сбору и фиксации информации об инцидентах ИБ рекомендуется для каждого инцидента ИБ обеспечить, помимо сбора технических данных, сбор и документирование обзорной информации об инциденте ИБ - профиля инцидента ИБ, описывающего:

· способ выявления инцидента ИБ;

· источник информации об инциденте ИБ;

· содержание информации об инциденте ИБ, полученной от источника;

· сценарий реализации инцидента ИБ;

· дату и время выявления инцидента ИБ;

· состав информационной инфраструктуры, задействованной в реализации инцидента ИБ, в том числе пострадавшей от инцидента ИБ, уровень ее критичности;

· способы подключения информационной инфраструктуры, задействованной в реализации инцидента ИБ, к сети Интернет или сетям общего пользования;

· контактная информация работников организации, в зону ответственности которых входит обеспечение эксплуатации информационной инфраструктуры, задействованной в реализации инцидента ИБ;

· информация об операторе связи и провайдере сети Интернет.

В составе инцидентов ИБ, связанных с несанкционированным доступом, рекомендуется рассматривать:

· инциденты ИБ, связанные с несанкционированным доступом к объектам информационной инфраструктуры клиентов;

· спам-рассылки, осуществляемые в отношении клиентов, реализуемые в рамках реализации методов “социального инжиниринга”;

· атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, предпринимаемые с целью блокирования нормального функционирования информационной инфраструктуры после успешной реализации несанкционированного доступа;

· воздействие компьютерных вирусов на информационную инфраструктуру клиентов, потенциально функционально предназначенного для совершения несанкционированного доступа.

В составе инцидентов ИБ, связанных с деструктивным воздействием, рекомендуется рассматривать:

· атаки типа “отказ в обслуживании” (DDOS-атаки);

· деструктивное воздействие компьютерных вирусов на информационную инфраструктуру.

Организацию сбора технических данных рекомендуется проводить в следующем порядке:

· предварительное планирование и создание условий для сбора технических данных;

· разработка и утверждение плана (регламента) сбора технических данных, реализуемого в случае выявления инцидентов ИБ;

· включение ответственных за выполнение ролей в рамках процессов обработки технических данных в группу реагирования на инциденты ИБ;

· обеспечение необходимых технических средств и инструментов для сбора и обработки технических данных.

Сбор технических данных при выявлении инцидента ИБ:

· оперативное определение перечня компонентов информационной инфраструктуры, задействованной в реализации инцидента ИБ;

· оперативное ограничение доступа к компонентам информационной инфраструктуры, задействованной в реализации инцидента ИБ, а также техническим данным для цели обеспечения их сохранности до выполнения сбора;

· сбор и документирование сведений об официально назначенном эксплуатационном персонале (администраторах) информационной инфраструктуры, задействованной в реализации инцидента ИБ, получение документально оформленных подтверждений лиц из состава эксплуатационного персонала о предоставлении/непредоставлении их аутентификационных данных третьим лицам и о внесении/невнесении изменений в протоколы (журналы) регистрации, формируемые компонентами информационной инфраструктуры;

· непосредственный сбор технических данных, в том числе проверка и обеспечение целостности (неизменности) собранных данных, маркирование носителей собранных данных.



Заключение

В заключение хотелось бы обозначить те основные проблемы, которые сможет решить внедрение и автоматизация процесса управления инцидентами ИБ. Во-первых, грамотно спроектированная и настроенная под нужды компании система управления инцидентами позволит не только адекватно и оперативно выявлять инциденты безопасности, но и своевременно на них реагировать, тем самым, сокращая возможный ущерб, который мог быть нанесен. Также следует отметить, что собранная статистика и результаты анализа инцидентов позволят в будущем принимать обоснованные решения по обеспечению безопасности в организации.

Аппаратно-программные средства защиты в контексте системы управления инцидентами ИБ - средства, которые обеспечивают локализацию инцидентов или снижение ущерба. Эти средства имеют механизмы, позволяющие проводить быстрое и дистанционное изменение своей конфигурации или иметь в своем составе заранее разработанные автоматизированные сценарии действий по минимизации возможного ущерба от компьютерных инцидентов.

Современные тенденции развития средств защиты демонстрируют переход от узкоспециализированных программных продуктов к интегрированным и автоматизированным программно-аппаратным комплексам, решающим комплекс задач по защите информации, и это отлично сочетается с концепцией системы управления информационной безопасностью. Именно такие решения проще объединить с этой системой и получить положительный результат.



Список использованной литературы

1. Автоматизация мониторинга и расследования инцидентов в DLP-системе // Solar Security URL: https://www.securitylab.ru/analytics/475554.php

2. Актуальные киберугрозы. // Positive Technologies URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2020-q1/

3. Выявление инцидентов информационной безопасности // ВТБ URL: http://www.itsec.ru/articles2/control/vyyavlenie-incidentov-informacionnoy-bezopasnosti

4. Глобальное исследование утечек конфиденциальной информации // InfoWatch URL: https://www.infowatch.ru/analytics/reports

5. Корпоративные лаборатории: выявление инцидентов информационной безопасности // Pentestit URL: https://habr.com/company/pentestit/blog/337912

6. Обработка инцидентов информационной безопасности // АМТ GROUP URL: http://www.itsec.ru/articles2/control/obrabotka-incidentov-informacionnoi-bezopasnosti

Размещено на Allbest.ru

...