Подход к разработке системы выявления инцидентов информационной безопасности информационных ресурсов банковских систем при реализации этапов противодействия противоправным действиям

Размещено на http://www.allbest.ru/

Подход к разработке системы выявления инцидентов информационной безопасности информационных ресурсов банковских систем при реализации этапов противодействия противоправным действиям

Александров В.В., Малий Ю.В., Александрова Ю.В., Семенякин А.И.; Белгородский университет кооперации, экономики и права

Аннотация

Целью данной статьи является рассмотрение подхода к определению вероятности выявления инцидентов информационной безопасности информационных ресурсов банковских систем, при реализации этапов противодействия противоправным действиям (НСД, копирование, изменение, уничтожение информации). Авторами рассмотрена актуальность применения системы Security Information and Event Management (SIEM). Описаны источники данных для систем выявления инцидентов, атрибуты, которые могут быть проанализированы SIEM системой.

При рассмотрении подхода к определению вероятности выявления инцидентов информационной безопасности введены параметры Vn, V(min) обозначающие объем и минимальный объем базы правил корреляции системы выявления инцидентов информационной безопасности соответственно. Как результат определена вероятность, позволяющая полно характеризовать систему выявления инцидентов информационной безопасности информационных ресурсов банковских систем, при реализации этапов противодействия противоправным действиями (НСД, копирование, изменение, уничтожение информации).

Ключевые слова: информационная безопасность, банковские информационные ресурсы, выявление инцидентов информационной безопасности, правила корреляции, система выявления инцидентов информационной безопасности.

Abstract

Approach to development of a system for detecting incidents of information security of information resources of banking systems, when implementing stages of counteraction of illegal actions

Vitaliy V. Aleksandrov, Yuliya V. Maliy, Yuliya V. Aleksandrovа, Aleksandr I. Semenyakin; Belgorod University of Cooperation, Economics and Law

The purpose of this article is to consider an approach to determining the probability of detecting information security incidents of information resources of banking systems, when implementing the stages of countering illegal actions (unauthorized actions, copying, changing, destroying information). The authors considered the relevance of using the Security Information and Event Management (SIEM) system. The data sources for incident detection systems, attributes that can be analyzed by the SIEM system are described. When considering an approach to determining the probability of detecting information security incidents, the parameters vn, v (min) were introduced, denoting the volume and minimum volume of the correlation rule base of the information security incident detection system, respectively. As a result, the probability was determined, which makes it possible to fully characterize the system for identifying incidents of information security of information resources of banking systems when implementing the stages of countering illegal actions (unauthorized actions, copying, changing, destroying information).

Keywords: information security, banking information resources, identification of information security incidents, correlation rules, information security incident detection system.

Введение

При построении системы защиты информации число источников, отражающих актуальную защищенность, непрерывно растет, возрастает нагрузка на администраторов безопасности, что ведет к несвоевременному выявлению угроз безопасности и делает уязвимой систему защиты [Заряев, 2003; Малюк, 2004; Хорев, 2008; Пономаренко и др., 2018]. Проблема защиты банков от хакерских атак обсуждалась на конференции «SIEM в банковской сфере: автоматизация хаоса», организованной журналом «Банковское обозрение». За последние 5 лет произошел резкий рост крупномасштабных, скоординированных и хорошо организованных хакерских атак на банки, ставящих под угрозу экономическую стабильность, сохранность финансовых активов, безопасность персональных данных и корпоративной конфиденциальной информации, поэтому в предотвращении таких неприятных инцидентов заинтересованы как банки, так и их клиенты.

Участники конференции сошлись на том, что на сегодняшний день SIEM - это некий технологический минимум, который обязательно должен быть у каждого банка.

С целью комплексной защиты финансовые учреждения активно внедряют в использование комбинированное программное обеспечение по управлению событиями информационной безопасности, получившее аббревиатуру SIEM: от SIM, security information management - управление информационной безопасностью и от SEM, security event management - управление событиями безопасности. Его суть - собирать информацию о событиях, мониторить сетевой трафик, действия пользователей и неопознанных устройств, анализировать инциденты [Официальный сайт системы NetIQ Sentinel SIEM, дата обращения 15.10.2020].

Основная часть

Работа SIEM системы построена по принципу объединения данных о событиях из разных источников в сетевой инфраструктуре, включая серверы, системы, устройства и приложения, от периметра до конечного пользователя, в конечном счете, решение SIEM анализирует данные на предмет отклонений от правил поведения, определенных организацией, для выявления потенциальных угроз (рис. 1).

Рис. 1. Работа SIEM системы

Источниками данных для систем выявления инцидентов являются [Официальный сайт системы MaxPatrol SIEM, дата обращения 15.10.2020]:

1. Сетевые устройства: маршрутизаторы, коммутаторы, мосты, точки беспроводного доступа, модемы, линейные драйверы, концентраторы.

2. Серверы: веб, прокси, почта, FTP.

3. Устройства безопасности: IDP / IPS, брандмауэры, антивирусное программное обеспечение, устройства фильтрации контента, устройства обнаружения вторжений.

4. Приложения: любое программное обеспечение, используемое на любом из перечисленных устройств.

Атрибуты, которые могут быть проанализированы, включают пользователей, типы событий, IP-адреса, память, процессы и многое другое [Авсентьев, 2016]. Эта информация передается на консоль управления, где анализируется для устранения возникающих угроз. Как только необходимая информация попадает в консоль управления, она просматривается администратором безопасности, который может предоставить обратную связь по всему процессу. Обратная связь помогает обучить систему SIEM с точки зрения машинного обучения и повышения ее знакомства с окружающей средой. Как только программная система SIEM идентифицирует угрозу, она связывается с другими системами безопасности на устройстве, чтобы остановить нежелательную деятельность [Miller, 2010].

Каждый пользователь или устройство оставляет за собой виртуальный след в журналах устройств [Пономаренко и др., 2017]. Системы SIEM используют данные этих журналов, чтобы получить информацию о произошедших атаках и событиях. SIEM не только идентифицирует, что атака произошла, но и позволяет увидеть, как и почему она произошла, что позволяет повысить экономическую стабильность, сохранность финансовых активов, безопасность персональных данных и корпоративной конфиденциальной информации [Официальный сайт системы ViPNet TIAS, дата обращения 15.10.2020].

Результаты и их обсуждение

В работе рассматривается подход к определению вероятности выявления инцидентов информационной безопасности информационных ресурсов банковских систем, при реализации этапов противодействия противоправным действиями (НСД, копирование, изменение, уничтожение информации).

Были введены следующие понятия:

Vn - объем базы правил корреляции системы выявления инцидентов информационной безопасности;

V(min) - минимальный объем базы правил корреляции системы выявления инцидентов информационной безопасности.

Vc - объем базы правил корреляции системы выявления инцидентов информационной безопасности в реализующих c-ю функцию.

Тогда при осуществлении n-го этапа противоправных действий в отношении банковских информационных ресурсов можно представить следующее выражение, показывающее, что инцидент информационноой безопасности будет выявлен при условии, когда объем базы правил корреляции системы выявления инцидентов информационной безопасности не менее минимально допустимой величины Z(min) n [Александров, 2010; Авсентьев, Авсентьев, 2015; Авсентьев и др., 2015; Меньших, Авсентьев, 2015; Авсентьев, Жидко, 2016; Авсентьев и др., 2016; Скрыль и др., 2017]:

Указанная вероятность позволяет полно характеризовать систему выявления инцидентов информационной безопасности информационных ресурсов банковских систем, при реализации этапов противодействия противоправным действиями (НСД, копирование, изменение, уничтожение информации).

информационный безопасность банковский инцидент

Заключение

В ходе исследования была определена вероятность, позволяющая полно характеризовать систему выявления инцидентов информационной безопасности информационных ресурсов банковских систем, при реализации этапов противодействия противоправным действиям таким как НСД, копирование, изменение, уничтожение информации.

Список источников и литературы

1. Официальный сайт системы MaxPatrol SIEM.

2. Официальный сайт системы NetIQ Sentinel SIEM.

3. Официальный сайт системы ViPNet TIAS.

4. Авсентьев А.О. 2016. Определение ценности информации, ТУСУР. 19 (1): 21-24.

5. Авсентьев О.С. Авсентьев А.О. 2015. Формирование обобщенного показателя ценности информации в каналах связи. Вестник Воронежского института МВД России. 2: 55-63.

6. Авсентьев О.С. Вальде А.Г., Кругов А.Г. 2016. Математическая модель защиты информации от утечки по электромагнитным каналам. Вестник Воронежского института МВД России. 3: 42-50.

7. Авсентьев О.С. Жидко Е.А. 2016. Обоснование требований к уровню информационной безопасности объекта защиты. Вестник Воронежского института МВД России. 1: 33-43.

8. Авсентьев О.С. Меньших В.В., Авсентьев А.О. 2015. Моделирование и оптимизация процессов передачи и защиты информации в каналах связи. Специальная техника. 5: 47-50.

9. Авсентьев О.С. Меньших В.В., Авсентьев А.О. 2016. Модель оптимизации процесса передачи информации по каналам связи в условиях угроз ее безопасности. Телекоммуникации. 1: 28-32.

10. Александров В.В. 2010. Показатели эффективности реализации информационных процессов в ИТКС в условиях противодействия угрозам информационной безопасности. В кн.: Теория и практика инновационного развития кооперативного образования и науки. Белгород, Изд-во БУКЭП

11. Заряев А.В. 2003. Источники и каналы утечки информации в телекоммуникационных системах. Воронеж, Воронежский институт МВД России, 305.

12. Малюк А.А. 2004. Информационная безопасность: концептуальные и методологические основы защиты информации. М., Горячая линия Телеком, 280.

13. Меньших В.В., Авсентьев А.О. 2015. Модель оптимизации процесса обеспечения требований к свойствам информации при ее передаче по каналам связи. Вестник Воронежского института МВД России. 4: 147-154.

14. Пономаренко С.В., Пономаренко С.А., Александров В.В. 2017. Моделирование несанкционированного доступа к информационным ресурсам ключевых систем информационной инфраструктуры. Белгород, Издательство БУКЭП, 177.

15. Пономаренко С.В., Прокушев Я.Е., Александров В.В., Ломазов В.А. 2018. Актуальные проблемы экономической безопасности персональных данных информационных инфраструктур банковской сферы. Вестник Белгородского университета кооперации, экономики и права. 4: 246-252.

16. Скрыль С.В., Мишин Д.С. 2005. Угрозы информационной безопасности в компьютерных сетях органов внутренних дел. В кн.: Современные проблемы борьбы с преступностью. Воронеж, Воронежский институт МВД России, 5-6.

17. Скрыль С.В., Спивак В.И., Щербаков А.В., Пономаренко С.В. 2017. Проблема оптимизации процедур комплексного технического контроля защищенности информации от утечки по каналам ПЭМИН: концепция решения. Телекоммуникации. М., Наука и технологии ООО, 10: 23-34.

18. Скрыль С.В., Финько В.Н., Пономаренко С.В., Волкова С.Н., Рябинин Г.И. 2010. Показатель эффективности информационной деятельности органов государственного управления в условиях противодействия утечке информации по техническим каналам Информация и безопасность. 13 (1): 141-142.

19. Хорев А.А. 2008. Техническая защита информации: Т. 1. Технические каналы утечки информации. М., НПЦ «Аналитика», 436.

20. Miller D., Harris S., Harper S., VanDyke C. 2010. Security Information and Event Management (SIEM) Implementation. McGraw Hill Professional, 464 p.

Размещено на Allbest.ru