Проектирование системы обнаружения, предупреждения и ликвидации последствий компьютерных атак в ЗАО "Восход"

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Введение

В последнее время роль безопасности информационных ресурсов Российской Федерации значительно возросла. Укрепление информационной безопасности страны названо в концепции, подписанной президентом, одним из приоритетных и долгосрочных направлений. В условиях развития информационного общества в нашей стране, в процессе информатизации глобальных масштабов становится все более очевидным, что обеспечить информационную безопасность путем деятельности органов государственной власти, правоохранительных структур и развития законодательной и нормативно правовой базы достаточно затруднительно. Для облегчения обеспечения информационной безопасности была разработана концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ст.7, 11, 13), утвержденной Президентом Российской Федерации от 12 декабря 2014 № К 1274; система, разработанная по данной концепции, облегчит обмен информацией об проведенных атаках между предприятиями и правоохранительными органами, позволит быстрее принимать меры по обнаруженным компьютерным атакам и предотвращать вторжения, за счет информации полученных от других членов системы, а так же поможет своевременно устранять последствия и делать их менее критичными для информационных ресурсов предприятий.

Все вышесказанное определило актуальность темы работы - «Проектирование системы обнаружения, предупреждения и ликвидации последствий компьютерных атак».

Целью дипломной работы является разработка системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на примере сети предприятия ЗАО «Восход».

Для достижения поставленной цели необходимо решить следующие основные задачи:

1. Проанализировать подконтрольную предприятию сеть на предмет уязвимостей;

2. Описать модель нарушителя и наиболее вероятные угрозы для автоматизированной системы предприятия;

3. Разработать алгоритм работы системы обнаружения, предупреждения и ликвидации последствий компьютерных атак;

4. На основе полученного алгоритма подобрать программно-аппаратные комплексы, которые помогут решить поставленную задачу.

Объектом исследования является сеть предприятия ЗАО «Восход».

Предметом исследования является система обнаружения, предупреждения и ликвидации последствий компьютерных атак.

1. Аналитическая часть

1.1 Постановка задачи

В ЗАО ”Восход”, которая выполняет некоторые государственные функции, обеспечены безопасное хранение и обработка имеющихся персональных данных.

Задачей дипломной работы является создание системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (СОПКА), для оперативного реагирования и взаимодействия с исполнительной на существующие угроз, в соответствии с :

- Положением о Стратегии национальной безопасности (ст. 52, 113), утвержденной Указом Президента Российской Федерации от 31 декабря 2015 года № 683;

- положением о Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ст.7, 11, 13), утвержденной Президентом Российской Федерации от 12 декабря 2014 № К 1274;

- положением Указа Президента РФ от 15.01.2013 № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;

- Федеральным закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

- Федеральным закон от 27.07.2006 № 149 ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями и дополнениями от 28.12.2013 № 398-ФЗ;

- Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Приказом ФСТЭК'а России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

- Приказом ФСТЭК'а России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных»;

- Концепцией безопасности информации автоматизированной информационной системы ЗАО «ВОСХОД».

В работе представлены: современные программно-аппаратные комплексы для обработки пакетов трафика и мониторинга сети, их анализа и выявления вредоносной активности.

1.2 Описание ЗАО “Восход”

Закрытое акционерное общество «Восход» создано 5 сентября 2000 года. 13 февраля 2001 года проведена государственная регистрация предприятия, принят Устав.

Сегодня ЗАО “Восход” включает в себя 83 филиалов, почти 2 500 территориальных управлений во всех регионах страны. В системе ЗАО “Восход” трудится более 100 000 специалистов. Ежегодно работники ЗАО “Восход” обслуживают 16,7 миллиона клиентов, обслуживают более миллиона плательщиков взносов и производят более 4,5 миллиона выплат. ЗАО «Восход» обладает более 5 информационными ресурсами и более 500 базами данных информационным объемом около 30 ТБ, прирост информации: около 12 ГБ/сутки или 0,2 ТБ/год, обрабатывает около 10 млн документов в год, из которых около 90% в электронной форме. Около 36 000 пользователей автоматизированы в системе ЗАО «Восход», парк серверного оборудования составляет около 3000 серверов, ежедневно на портале ЗАО «Восход» обрабатывается до 360 000 запросов.

Целями деятельности ЗАО «Восход» является:

· прием и регистрации заявлений граждан об установлении им пенсий в соответствии с федеральными законами "О трудовых пенсиях в России" и "О государственном пенсионном обеспечении";

· прием от страхователей реестров застрахованных лиц о перечислении дополнительных страховых взносов на накопительную часть трудовой пенсии в соответствии с Федеральным законом "О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений»;

· прием от страхователей отчетности по персонифицированному учету застрахованных лиц;

· информирование граждан о предоставлении государственной социальной помощи в виде набора социальных услуг;

· бесплатное информирование плательщиков страховых взносов о законодательстве России о страховых взносах и принятых в соответствии с ним нормативных правовых актах, порядке исчисления и уплаты страховых взносов, правах и обязанностях плательщиков страховых взносов, полномочиях Пенсионного фонда страны, территориальных органов ПФР и их должностных лиц, а также предоставлению форм расчетов по начисленным и уплаченным страховым взносам и разъяснению порядка их заполнения;

· прием от застрахованных лиц заявлений о выборе инвестиционного портфеля (управляющей компании;

· прием от застрахованных лиц через страхователей и организации, с которыми у ЗАО «Восход» заключены соглашения о взаимном удостоверении подписей, анкет с целью регистрации в системе обязательного пенсионного страхования и заявлений о добровольном вступлении в правоотношения по обязательному пенсионному страхованию в целях уплаты дополнительных страховых взносов на накопительную часть трудовой пенсии;

· информирование застрахованных лиц о состоянии их индивидуальных лицевых счетов в системе обязательного пенсионного страхования с использованием технологии электронного документооборота.

1.3 Анализ обрабатываемой информации и классификация ИСПДн

В ИСПДн ЗАО «Восход» циркулирует информация (идентификационный признак), на основе которой формируются отчеты о пенсионных накоплениях клиентов компании, происходит формирование и выплата пенсий, справки об обязательных уплатах налогов от компаний. На основе федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных» данная информация относится к персональным данным. Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Определим, какая информация циркулирует в ИСПДн ЦОД. Проведем классификацию данной системы.

В соответствии с приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» персональные данные подразделяются на четыре основные категории:

· категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

· категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

· категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;

· категория 4 - обезличенные и (или) общедоступные персональные данные.

В ИСПДн ЗАО «Восход» обрабатываются ПДн 2 категории:

· фамилия, имя, отчество;

· паспортные данные;

· страховой номер;

· адрес;

· доходы.

Для классификации ИСПДн ЗАО «Восход», в соответствие с ФЗ №152, кроме категории ПДн необходимо проанализировать следующие исходные данные:

· объём обрабатываемых ПД (количество субъектов, персональные данные которых обрабатываются в ИС);

· заданные владельцем информационной системы характеристики безопасности персональных данных, обрабатываемых в ИС;

· структура информационной системы;

· наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена;

· режим обработки ПДн;

· режим разграничения прав доступа пользователей информационной системы;

· местонахождение технических средств ИС.

В ИСПДн ЗАО «Восход» одновременно обрабатываются персональные данные около 200000 субъектов персональных данных, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. ИСПДн представляет собой комплекс автоматизированных рабочих мест, серверов баз данных и локальных сетей, связанных между собой при помощи технологий удаленного доступа, объединенных в единую информационную систему средствами связи, имеющую подключения к сетям международного информационного обмена, а так же сеть внешних интерфейсов, с помощью которых клиенты компании имеют доступ к информации об их накоплениях и ежемесячных уплатах компании, в которых они работают. В ИСПДн используется многопользовательский режим обработки персональных данных с разграничением прав доступа. Следовательно, ИСПДн ЗАО «Восход» можно присвоить класс К1.

В соответствии с РД ГТК РФ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» необходимо выполнение требований 3 класса для межсетевых экранов.

1.4 Основные угрозы информационной безопасности АС

Модель нарушителя.

Чтобы организовать надежную систему защиты, необходимо сначала построить модель злоумышленника. Именно правильно разработанная модель нарушителя является гарантией построения адекватной системы защиты.

Нарушитель информационной безопасности -- это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов или ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.

Злоумышленником тот, кто замыслил преступление или совершил ранее задуманное преступление.

Модель нарушителя представляет собой некое описание типов злоумышленников, которые намеренно или случайно, действием или бездействием способны нанести ущерб информационной системе.

В соответствии с РД Гостехкомиссии (ФСТЭК) «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ, подразделяются на четыре уровня:

Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием АС, то есть воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

При этом в своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.

Так же, модель нарушителя можно представить так:

1) разработчик;

2) обслуживающий персонал (системный администратор, сотрудники обеспечения ИБ);

3) пользователи;

4) сторонние лица.

Однако в данной организации для защиты информации используется СКЗИ, поэтому нарушителя выбираем согласно методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.

Различают шесть основных типов нарушителей: Н1, Н2,…, Н6.

Н1: одиночный нарушитель, располагает только доступной в свободной продаже документацией и компонентами СКЗИ, может использовать штатные средства только в том случае, если они расположены за пределами контролируемой зоны;

Н2: Н1 + обладает возможностями по созданию способов подготовки атак, возможности по использованию штатных средств зависят от реализованных в информационной системе организационных мер;

Н3: Н2 + известны все сети связи, работающие на едином ключе, могут иметь дополнительные возможности по получению компонент СКЗИ;

Н4: то же что и Н3 но могут вступать в сговор;

Н5: Н4 имеющий доступ к исходным текстам прикладного ПО;

Н6: Н5 + располагают всей документацией на СКЗИ и любыми компонентами СКЗИ.

Предполагается, что нарушители типа Н5 и Н6 могут ставить работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК.

Уровень криптозащиты выбирается в соответствии с моделью нарушителя:

Н1 - КС1; Н2 - КС2; Н3 - КС3; Н4 - КВ1; Н5 - КВ2; Н6 - КА1.

Неформальная модель нарушителя представлена в Табл. 1.1.

Таблица 1.1. Неформальная модель нарушителя

№	Категория нарушителей	Возможности нарушителя	Категории лиц
Внутренний нарушитель
1.	Лица, имеющие доступ в помещения, в которых обрабатывается информация, содержащие сведения о ПДн, но не имеющие доступа к ресурсам	Может иметь доступ к любым фрагментам информации, распространяющимся по внутренним каналам связи; может располагать любыми фрагментами информации о топологии сети (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах; может располагать именами зарегистрированных пользователей и вести подбор паролей зарегистрированных пользователей.	Технический персонал, обслуживающий здания (уборщицы, электрики, сантехники и др. сотрудники, имеющие доступ в здания)
2.	Зарегистрированный пользователь ресурсов АС.	Знает, по меньшей мере, одно легальное имя доступа; обладает всеми необходимыми атрибутами, обеспечивающими доступ к некоторому подмножеству ресурсов (например, паролем); располагает информацией о топологии ЛВС, через которую он осуществляет доступ, и технических средствах обработки информации. имеет возможность прямого (физического) доступа к фрагментам технических средств.	Штатные работники ИВЦ, непосредственно работающие с персональными данными
Внутренний нарушитель
3.	Зарегистрированный пользователь с полномочиями системного администратора	Обладает полной информацией о системном и прикладном программном обеспечении; обладает полной информацией о технических средствах и конфигурации сети; имеет доступ ко всем техническим средствам обработки информации и данным, обладает правами конфигурирования и административной настройки технических средств обработки информации.	Системный администратор
Внешний нарушитель
4.	Лица, не имеющие санкционированного доступа в помещения организации и не зарегистрированные как удаленные пользователи	Ведет перехват, анализ и модификацию информации, передаваемой по каналам связи, проходящим вне контролируемой территории; имеет подключение к сети Интернет, либо сетям организаций предоставляющих доступ в Интернет; может осуществлять удаленные несанкционированные воздействия (атаки) на ресурсы АС	Наблюдатели за пределами охраняемой территории, нарушители пропускного режима
5.	Лица, не являющиеся сотрудниками, имеющие санкционированный доступ в помещения организации	Может иметь доступ к любым фрагментам информации, распространяющейся по внутренним каналам связи; может располагать любыми фрагментами информации о топологии сети (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах; может располагать именами зарегистрированных пользователей АС и вести подбор паролей зарегистрированных пользователей; может иметь возможность прямого (физического) доступа к фрагментам технических средств	Посетители, представители фирм, поставляющих технику, ПО, услуги и т.п.
6.	Лица, не являющиеся сотрудниками, имеющие санкционированный доступ к каналам связи	Имеет полный доступ к информации, передаваемой по каналам связи	Представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности

Исходя из данных Табл. 1.1 имеем, что в заданной организации нарушитель имеет класс Н3 - КС3.

Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Существует методика по определению угроз информационной безопасности и построения частной модели угроз. Она описана в документе ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденная 14 февраля 2008 г. Актуальной считается только та угроза, которая может быть реализована в информационной системе и представляет опасность для защищаемых сведений. Поэтому в модели угроз опишем только те, которые относятся к нашей информационной системе и являются актуальными.

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.

Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.2.

Таблица 1.2. Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	Высокий	Средний	Низкий
1. По территориальному размещению:
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации	-	+	-
2. По наличию соединения с сетями общего пользования:
ИСПДн, имеющая многоточечный выход в сеть общего пользования	-	-	+
3. По встроенным (легальным) операциям с записями баз персональных данных:
модификация, передача	-	-	+
4. По разграничению доступа к персональным данным:
ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн	-	+	-
5. По наличию соединений с другими базами ПДн иных ИСПДн:
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн	-	+	-
6. По уровню обобщения (обезличивания) ПДн:
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными	-	-	+
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, предоставляющая часть ПДн	-	+	-

Следовательно, ИСПДн имеет среднею степень исходной защищенности.

На Рис. 1.1 представлена условная схема сети компании ЗАО «Восход».

Рис. 1.1 - Схема сети компании ЗАО «Восход»

Как показано на схеме, представленной выше, мониторингом, как локального трафика сети, так и трафика, приходящего из сети интернет, занимается одна система обнаружения вторжения, что не эффективно, т.к. обнаруженные инциденты будут перемешаны между собой, что увеличит время принятие решения и реакции обслуживающего персонала на данный инцидент. При обнаружении инцидентов приходится принимать решения исходя из неполных данных, т.к. нельзя сразу посмотреть и проанализировать данные с журналов событий задействованных устройств. После устранения инцидента для его анализа приходится в отдельности анализировать данные с журналов событий каждого устройства в отдельности, т.к. нет объединенной базы, что еще больше увеличит время борьбы с последствиями после инцидента. В соответствии с журналом обновления правил Snort IDS, правила обновляются очень редко, примерно раз в полгода, либо после наступления очередного инцидента, что делает сеть компании наиболее уязвимой для компьютерных атак, сигнатуры которых неизвестны IDS, а последствия после них наиболее критичны для информационных ресурсов компании. Карточки (правила) инцидентов в системе мониторинга создаются только в ручном режиме. В главный центр мониторинга, информация об глобальных атаках совершенных на информационные ресурсы Российской Федерации поступает не своевременно, что влияет на время принятия решения для организации мероприятий для предотвращения данных угроз для информационных ресурсов компании. Система IDS центрального хранилища данных и филиалов компании не обмениваются данными об инцидентах между собой, что может привести к проведению компьютерных атак с использованием дыр, обнаруженных в успешных атаках на отдельный филиал предприятия.

Выделим основные преднамеренные внешние и внутренние угрозы для данного объекта информатизации:

1. Перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их имитации для проникновения в систему;

2. Чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя недостатки мультизадачных операционных систем и систем программирования;

3. Вскрытие шифров криптозащиты информации;

4. Внедрение аппаратных спецвложений, программных «закладок» и вирусов («троянских коней» и «жучков»), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы. (Атака на информационные ресурсы компании с использованием программ шифровальщиков, т.е. таких программ, которые преднамеренно шифруют информацию и делают невозможным ее использование до нахождения ключа для расшифрования);

5. Незаконное подключение к линиям связи с целью работы «между строк», с использованием пауз в действиях законного пользователя от его имени с последующим вводом ложных сообщений или модификацией передаваемых сообщений;

6. Аномалии в аутентификации и использование учетных записей т.е. незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем его физического отключения после входа в систему и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений;

7. Нелегитимные действия пользователей, с целью получения доступа к ПДн не принадлежащих конкретному лицу.

Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не один, а некоторую совокупность из перечисленных выше путей.

На этапе анализа угроз при предварительном обследовании объекта формируется модель вероятных исполнителей угроз (нарушителей), т.е. их количественные и качественные характеристики (оснащенность, тактика действий).

2. Конструкторская часть

В аналитической части дипломной работы был произведен анализ возможной модели злоумышленника и степень исходной защищенности ПДн в ИСПДн. На основе проведенного анализа нужно построить систему обнаружения, предупреждения и ликвидации последствий компьютерных атак, которая будет заниматься мониторингом исходной ИСПДн и выявлять инциденты, осуществлять контроль и немедленное реагирование на них, а так же вносить новые инциденты в БД для улучшения скорости реакции СОИБ на них и уменьшении вероятности ложных срабатываний.

2.1 Система обнаружения, предотвращения и ликвидация последствий компьютерных атак

Система обнаружения, предотвращения и ликвидация последствий компьютерных атак представляет собой единый централизованный территориально-распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак, федеральный орган власти, уполномоченный в области обеспечения безопасности критической инфраструктуры РФ и орган власти, уполномоченный в области создания и обеспечения функционирования системы. В частности, на ФСБ ложится задача доводить до субъектов Системы информации об угрозах информационным ресурсам РФ и о необходимых мерах по нейтрализации данных угроз, а также обеспечивать реализацию мероприятий по совершенствованию оперативно-тактического взаимодействия ее участников. Обобщенная структурная схема системы обнаружения, предотвращения и ликвидации последствий представлена на Рис. 2.1.



Рис. 2.1 - Обобщенная структурная схема системы обнаружения, предотвращения и ликвидации последствий

Также рамках системы планируется организовать взаимодействие с правоохранительными и другими госорганами, владельцами информационных ресурсов РФ, операторами связи и интернет-провайдерами на национальном и международном уровнях. Оно будет включать обмен информацией о выявленных компьютерных атаках и обмен опытом в сфере в сфере выявления и устранения уязвимостей ПО и оборудования и реагирования на компьютерных инциденты. Основным назначением системы является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.

2.2 Задачи, решаемые проектируемой системой обнаружения, предупреждения и ликвидации последствий компьютерных атак

Проектируемая система должна решать следующие задачи:

· обнаружение, предупреждение и ликвидация последствий компьютерных атак, которые направлены на контролируемые организацией информационные ресурсы;

· проведение мероприятий по оценке степени защищенности ресурсов организации;

· проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками;

· сбор и анализ данных о состоянии информационной безопасности в контролируемых организацией ресурсов;

· информирование заинтересованных лиц и субъектов общей системы по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и пр.

2.3 Разработка алгоритма анализа и обработки инцидентов компьютерной безопасности

Ежедневно через информационные ресурсы компании проходит большое количество информации, электронной документации и авторизуется несколько сотен тысяч клиентов организации, вызывающие более пятисот тысяч всевозможных событий, замечаемых системой обнаружения вторжения, антивирусами, межсетевыми экранами и т.п., из которых нужно выделить инциденты, совершенные злоумышленниками и влекущие за собой вред для информационных ресурсов организации. Фильтрация таких событий будет происходить путем сравнения событий с уже имеющей базой инцидентов и сигнатур. Под базой инцидентов и сигнатур будем понимать - базу, содержащую совокупность сигнатур заранее внесенных или полученных от главного центра мониторинга киберугроз РФ. Путем сравнения, аппаратура сможет выделить из нескольких тысяч событий, пару сотен инцидентов, которые в последствии будут детально проанализированы людьми и выбраны те из них, которые могут нанести вред информационным ресурсам организации. После предотвращения угрозы ресурсам, инциденты группируются и создаются карточки инцидентов, которые вносятся в базу инцидентов и сигнатур, для обучения системы. Воронка инцидентов представлена ниже на Рис. 2.2.

Рис. 2.2 - Воронка инцидентов

При обнаружении инцидентов влекущих за собой информационный вред для организации, немедленно информируются группа реагирования, служба информационной безопасности, служба ИТ специалистов. При подтверждении данного инцидента происходит немедленное реагирования данных служб, которые в свою очередь предпринимают меры для прерывания инцидента, ликвидацией последствий, обезвреживания и поимки злоумышленника.

Получаем алгоритм работы системы при обработке событий:

1. Мониторинг сети, контролируемой организацией;

2. Обнаружение событий;

3. Аппаратная фильтрация событий;

4. При обнаружении инцидентов информирование служб реагирования;

5. Повторный детальный анализ инцидента обслуживающим персоналом;

6. При подтверждении инцидента немедленное реагирование и контроль инцидента;

7. Внесение инцидента в базу инцидентов и сигнатур, устранение последствий.

Данный алгоритм проиллюстрирован на Рис. 2.3.

Рис. 2.3 - Алгоритм анализа и обработки инцидентов

2.4 Программно-аппаратные средства для системы обнаружения, предупреждения и ликвидации последствий компьютерных атак

Исходя из темы дипломной работы нам требуется, построить системы обнаружения, предупреждения и ликвидации последствий компьютерных атак для ЗАО «Восход», которая будет заниматься мониторингом сети для поиска событий, заниматься фильтрацией, по заданным сигнатурам, событий и обнаруживать среди них инциденты, влекущие за собой вред для информации и информационных ресурсов организации, оповещать заинтересованный персонал при обнаружении угрозы.

В соответствии с «Положением о Стратегии национальной безопасности (ст. 52, 113), утвержденной Указом Президента Российской Федерации от 31 декабря 2015 года № 683» при выборе программно-аппаратных комплексов и поставщика сигнатур для них предпочтение будет отдаваться программно-аппаратным комплексам разработанным и произведенным на территории Российской Федерации.

Для работоспособности приведенного выше алгоритма нам необходимо:

1. Программно-аппаратный комплекс для мониторинга сети и поиска событий с дублированного через SPAN порт, от маршрутизатора, трафика сети;

2. Программно-аппаратный комплекс для фильтрации событий;

3. Программно-аппаратный комплекс для администрирования.

4. Поставщика сигнатур для программно-аппаратного комплекса фильтрующего события.

Все программно-аппаратные комплексы быть сертифицировано в соответствии с Указом Президента Российской Федерации от 17 марта 2008 г. №351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно - телекоммуникационных сетей международного информационного обмена». для обработки ПДн второй категории и иметь класс защищенности К1.

2.5 Поставщики программно-аппаратных комплексов и сигнатур

Проанализировав рынок поставщиков программно-аппаратных комплексов на российском рынке можно выделить два наиболее крупных поставщика, имеющих соответствующие сертификаты ФСБ или ФСТЭК:

1. ОАО «ИнфоТеКС»

2. ООО «Код Безопасности»

В таблице 2.1 представлены имеющиеся у поставщика программно-аппаратные комплексы и услуги:

Таблица 2.1. Поставщики программно-аппаратных комплексов

	ОАО «ИнфоТеКС»	ООО «Код Безопасности»
Программно-аппаратный комплекс для мониторинга	+	+
Программно-аппаратный комплекс для фильтрации событий	+	+
Программно-аппаратный комплекс для администрирования.	+	+
Разработка правил Snort IDS	+	-

Компании ОАО «ИнфоТеКС» и ООО «Код Безопасности» могут предложить большой спектр всевозможных аппаратных решений для поставленной задачи, таких как VIPNet ( ИнфоТеКС) и Континент ( Код безопасности), но одним из существенных недостатков компании ООО «Код Безопасности» является, то что они не являются поставщиком и разработчиком правил Snort IDS.

2.6 Системы обнаружения и предупреждения вторжений

Система обнаружения вторжений (СОВ, Intrusion Detection System (IDS)) - программное или аппаратное средство используемое в сетях для повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования и выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет.

Обнаружение сетевых компьютерных атак (вторжений) основывается на анализа сетевого трафика стека протоколов TCP/IP. Обработка данных с целью обнаружения вторжений осуществляется методом сигнатурного и эвристического анализа.

Метод сигнатурного анализа основан на применении набора правил обнаружения атак (вторжений), предварительно загруженных в ViPNet IDS и обновляемых с требуемой периодичностью. Эвристический анализ выявления аномалий сетевого трафика может осуществляться в дополнение к сигнатурному анализу. При этом могут использоваться настройки эвристического анализатора как заданные по умолчанию, так и собственные настройки для обучения эвристического анализатора на «разрешенном» или «запрещенном» трафике.

При обнаружении компьютерной атаки (вторжения) ViPNet IDS регистрирует факт обнаружения атаки (вторжения), идентифицирует событие и оповещает администратора о данном событии с помощью веб-интерфейса ViPNet IDS, что позволяет быстро скорректировать настройки безопасности сети в целом или выявить узкие места в системе безопасности. Также при необходимости администратор может настроить уведомление об обнаруженных атаках (вторжениях) по электронной почте

В пассивной IDS при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и / или администратору системы по определенному каналу связи. В активной системе, также известной как система Предотвращения Вторжений (IPS - Intrusion Prevention system), IDS ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

Компания ОАО «ИнфоТеКС» располагает широкой линейкой систем обнаружения вторжения, рассмотрим решение ViPNet IDS 2000 Версии 2.

В качестве аппаратной платформы для варианта исполнения 3: IDS 2000 Q2 ((далее ? IDS 2000 Q2) используется сервер AquaServer T50 D14 производства ГК «Аквариус».

На Рис. 2.4 представлена передняя панель IDS 2000 Q2.



Рис. 2.4 - Передняя панель IDS 2000 Q2

IDS 2000 Q2 имеет следующие технические характеристики, представленные в Табл. 2.2:

Таблица 2.2. Характеристики IDS 2000 Q2

Характеристика	Описание
Форм-фактор	Сервер AquaServer T50 D14 19” Rack 1U
Размеры (ШхВхГ)	444x43x685 мм
Масса	15 кг
Питание	Встроенный блок питания мощностью 600 Вт, 110-220 В
Потребляемая мощность	470 Вт
Процессор	2xIntel Xeon E5-2620v2
Оперативная память	От 16 ГБ
Характеристика	Описание
Сетевые порты	4 порта Ethernet RJ45 10/100/1000 Мбит/с 2 порта Ethernet SFP+ 10 Гбит/с
Порты ввода-вывода	VGA PS/2 Клавиатура, PS/2 Мышь 1 COM-порт RS-232 4 порта USB 2.0

компьютерный программный атака алгоритм

На передней панели IDS 2000 Q2 расположены 2 разъема USB, остальные коммуникационные разъемы находятся на задней панели (Рис 2.5).

Рис. 2.5 - Задняя панель IDS 2000 Q2

В этом разделе представлен краткий обзор изменений и новых возможностей ViPNet IDS версии 2.0 по сравнению с версией 1.0:

· Эвристический метод выявления аномалий сетевого трафика.

Для более комплексного решения по выявлению атак (вторжений) в ViPNet IDS кроме сигнатурного метода обнаружения атак (вторжений) добавлен также эвристический метод, позволяющий собирать статистическую информацию о параметрах сетевого трафика за определенный период и на основе собранных данных строить эталон сетевого трафика. В данном эталоне вычислены максимальные и минимальные значения параметров трафика за определенный период и в случае отклонения текущего трафика от данных эталонных значений администратору отправляется оповещение, в связи с которым он может принять меры по блокировке атак на основе определенных параметров трафика;

· Эвристический метод выявления аномалий в поведении пользователей ViPNet IDS

Для повышения безопасности доступа к ViPNet IDS в версию 2.0 включен эвристический метод выявления аномалий в поведении пользователей ViPNet IDS. С помощью данного метода можно выявить нетипичное время входа/выхода в ViPNet IDS или превышение обычной частоты входа/выхода в ViPNet IDS;

· Обнаружение атак на канальном уровне

Ранее отслеживались атаки только начиная с сетевого уровня, теперь ViPNet IDS позволяет обнаруживать атаки более низкого, канального уровня, например, ARP-spoofing;

· Ролевая модель

Ранее в ViPNet IDS существовала только одна учетная запись, с помощью которой производилось управление ViPNet IDS. Теперь в ViPNet IDS реализована ролевая модель, позволяющая разграничить полномочия пользователей по управлению ViPNet IDS;

· Восстановление свойств ViPNet IDS в случае сбоев

Для восстановления свойств ViPNet IDS после сбоев реализован механизм резервирования основных компонентов ViPNet IDS. Теперь вы можете регулярно сохранять резервные копии настроек ViPNet IDS, правил обнаружения атак (вторжений), журналов аудита, диагностических журналов и журналов атак (вторжений);

· Аудит безопасности ViPNet IDS

Добавлена возможность производить аудит (отслеживание и регистрацию событий в журналах) выполнения функций ViPNet IDS. Например, аудиту подлежат изменения настроек ViPNet IDS, авторизация пользователей в ViPNet IDS и так далее. При обнаружении изменений в функциях, поставленных на аудит, в журналах аудита будут зарегистрированы соответствующие события, что позволит администратору контролировать важные изменения в настройках ViPNet IDS;

· Самотестирование ViPNet IDS

Добавлена функция самотестирования, позволяющая контролировать целостность и неизменность основных компонентов ViPNet IDS, а именно позволяет производить проверку неизменности исполняемых файлов, синтаксиса основных конфигурационных файлов и правил обнаружения атак. Также данная функция производит проверку на:

1. совпадение контрольных сумм основных конфигурационных файлов;

2. соответствие аппаратной платформы ViPNet IDS бинарному коду ПО ViPNet IDS;

3. наличие загруженной лицензии и ее подписи;

4. подлинность загруженных правил обнаружения атак.

В случае возникновения ошибок целостности администраторы ViPNet IDS уведомляются о неисправностях системы;

· Пароли учетных записей пользователей ViPNet IDS

Добавлена автоматическая проверка паролей пользователей на соответствие требованиям по безопасности паролей в ViPNet IDS.

· Усовершенствован веб-интерфейс управления ViPNet IDS

В связи с добавлением новых функций веб-интерфейс ViPNet IDS был существенно переработан.

Программно-аппаратный комплекс ViPNet IDS позволяет:

· Производить автоматический анализ и обнаружение компьютерных атак (вторжений) на основе динамического анализа сетевого трафика стека протоколов TCP/IP для протоколов всех уровней модели взаимодействия открытых систем, начиная с канального и заканчивая прикладным уровнем;

· Производить эвристический анализ по выявлению аномалий в сетевом трафике и в действиях пользователей ViPNet IDS;

· Анализировать сетевой трафик в режиме, близком к реальному масштабу времени;

· Анализировать сетевой трафик, поступающий одновременно с нескольких сетевых интерфейсов;

· Обнаруживать вторжения на основе анализа служебной информации протоколов сетевого уровня;

· Журналировать обнаруженные события и атаки (вторжения) для последующего анализа;

· Отображать обнаруженные атаки (вторжения) в веб-интерфейсе ViPNet IDS и уведомлять администратора об обнаруженных атаках по электронной почте;

· Отображать обобщенную статистическую информацию об атаках;

· Производить выборочный поиск событий и атак (вторжений) в соответствии с заданными фильтрами;

· Экспортировать журналы атак (вторжений) в файл формата CSV для последующего анализа в сторонних приложениях;

· Регистрировать, отображать и экспортировать в файл формата PCAP IP-пакеты, соответствующие зарегистрированным атакам (вторжениям);

· Обновлять базы решающих правил в автоматизированном режиме при предоставлении новой версии указанной базы производителем;

· Добавлять собственные правила для анализа сетевого трафика;

· Выборочно использовать отдельные правила обнаружения или группы правил.

Данный программно-аппаратный комплекс в полной мере соответствует заданным требованиям, за счет возможности гибкой настройки, двум видам анализа и возможностью обновления баз правил.

Подробнее об Анализе трафика сигнатурным методом.

Для обнаружения атак в сетевом трафике используется метод сигнатурного анализа, который основан на применении правил обнаружения атак, предварительно загруженных на ViPNet IDS. На основе данных правил ViPNet IDS принимает решение о содержании атак в трафике.

Схема взаимодействия компонентов ViPNet IDS при анализе сетевого трафика сигнатурным методом (на основе правил обнаружения атак) представлена ниже на Рис 2.6.

Рис. 2.6 - Схема взаимодействия компонентов ПО ViPNet IDS

Обработка трафика посредством ViPNet IDS производится в следующей последовательности:

1. Трафик, зеркалируемый SPAN-портом на ViPNet IDS, обрабатывается Сенсором. Сенсор перехватывает и распределяет сетевой трафик между модулями обнаружения атак. Далее сетевой трафик анализируется модулями обнаружения на основе правил обнаружения атак.

Далее Сенсор сохраняет результаты анализа сетевого трафика и передает их на Сервер. Также результаты анализа кэшируются на жестком диске, что обеспечивает их сохранность при перезагрузке ViPNet IDS.

2. Сервер декодирует результаты анализа сетевого трафика в специальный текстовый формат, поддерживаемый модулем загрузки, и сохраняет их на жесткий диск. Также при необходимости Сервер может передавать полученные данные внешнему стороннему ПО.

3. Модуль загрузки данных в БД PostgreSQL загружает данные из кэша Сервера и передает их в базу данных PostgreSQL.

4. Для отображения полученной информации о сетевых атаках (вторжениях) используется веб-интерфейс ViPNet IDS.

5. При использовании системы мониторинга ViPNet StateWatcher модуль взаимодействия с ViPNet StateWatcher подключается к БД PostgreSQL и передает данные о наличии обнаруженных сетевых атаках (вторжениях) системе мониторинга.

Подробнее об Эвристическом методе анализа

В ViPNet IDS реализовано два эвристических метода:

· Эвристический метод выявления аномалий сетевого трафика.

· Эвристический метод выявления аномалий поведения пользователей ViPNet IDS.

Оба этих метода могут использоваться в дополнение к сигнатурному анализу. В зависимости от ваших потребностей вы можете не использовать эвристические методы или настроить их по своему усмотрению.

Принцип работы эвристического метода выявления аномалий сетевого трафика

Основным методом обнаружения атак в ViPNet IDS является сигнатурный метод. Однако в дополнении к данному методу рекомендуется использовать и эвристический метод выявления аномалий в сетевом трафике, который позволяет отслеживать трафик за определенный период и на основе математических алгоритмов строить эталон сетевого трафика. Суть использования эвристического метода состоит в постоянном мониторинге сетевого трафика в режиме реального времени и проверке того, что отдельные параметры трафика выходят за диапазон прогнозируемых значений. Все случаи отклонения от прогноза фиксируются и сообщаются администратору, и на основе полученных данных администратор может принять решение об изменении настроек межсетевого экрана для блокировки каких-либо типов атак.

Комбинация двух методов (сигнатурного и эвристического) обеспечивает более комплексную защиту от всех типов угроз.

Для выявления аномалий сетевого трафика эвристическим методом в ViPNet IDS используются соответствующие эвристические модули. Каждому модулю обнаружения атак соответствует свой эвристический модуль. Это сделано с целью распараллеливания обработки сетевого трафика, чтобы каждый модуль обнаружения атак и соответствующий ему эвристический модуль обрабатывали отдельные части сетевого трафика.

В процессе работы эвристические модули с определенной периодичностью (по умолчанию, раз в 10 минут) сохраняют информацию о параметрах сетевого трафика за данный интервал времени в соответствующих журналах статистики. В данных журналах постоянно накапливается статистика о сетевом трафике, на основании которой по факту накопления достаточного объема статистики в течение заданного времени (по умолчанию, за три недели) автоматически строится сетевой профиль (эталон трафика). Данные журналы статистики принудительно очищаются в случае изменения одной из двух настроек: периодичность сохранения статистики или число одновременно работающих модулей обнаружения атак.

Сформированный эталон содержит прогнозируемые диапазоны вычисленных суммарных значений для модулей обнаружения каждого параметра трафика за период в одну неделю. Фиксированный период эталона в одну неделю связан с необходимостью прогнозировать сетевую активность различным образом для каждого дня недели. Далее текущий сетевой трафик сравнивается с эталонным (только в случае если активирована соответствующая настройка формирования эвристических событий). Для каждого параметра его значение, вычисленное от всех модулей обнаружения вторжений за последние прошедшие 10 минут или иной период в случае изменения данной настройки, сравнивается с эталонным и, если один из параметров выходит за пределы заданного диапазона значений, указанного в эталоне, то в журналах атак появляется соответствующая запись об обнаруженной аномалии. Принцип работы эвристического метода выявления аномалий в поведении пользователей ViPNet IDS. В ViPNet IDS также производится выявление и журналирование следующих аномалий в действиях пользователей: попытки входа в ViPNet IDS в нетипичное время (например, пользователь ранее входил в веб-интерфейс или в консоль Linux в утреннее время, а последний вход был произведен в ночное время); превышение количества входов/ выходов в ViPNet IDS (выявляется превышение количества входов/выходов как в консоль Linux, так и в веб-интерфейс ViPNet IDS).

Данные аномалии фиксируются в журналах аудита: при входе в ViPNet IDS в нетипичное время формируются события с типом -- AUDIT_ANOM_LOGIN_USER;при превышении количества входов/ выходов в ViPNet IDS за день формируются события с типом -- AUDIT_ANOM_LOGIN_SESSIONS. Фиксация данных аномалий позволяет пользователям с полномочиями главного администратора и администратора выявлять нетипичные действия пользователей ViPNet IDS, по которым возможно определить попытку взлома ViPNet IDS.

2.7 Threat intelligence

Threat Intelligence - информация, включающая процесс его получения, об угрозах и нарушителях, обеспечивающая понимание методов, используемых злоумышленниками для причинения ущерба, и способов противодействия им. Система Threat Intelligence позволяет быстрее и наиболее эффективно анализировать вредоносный код и искать дополнительные идеи по устранению его. Она оперирует не только и не столько статической информацией об отдельных уязвимостях и угрозах, сколько более динамичной и имеющей практическое значение информацией об источниках угроз, признаках компрометации (объединяющих разрозненные сведения в единое целое), вредоносных доменах и IP-адресах, взаимосвязях и т.п.

Threat Intelligence - делится на две категории оперативный поиск вредоносного кода, противоправных действий и т.п. и стратегический поиск, который производится человеческими аналитиками.

Оперативная разведка производится исключительно компьютерами, из идентификации и сбора данных путем к обогащению и анализа. Типичным примером оперативного анализа угроз является автоматическое обнаружение распределенного отказа в обслуживании (DDoS) атак, в результате чего сравнение между показателями компромисса (МНК) и сетевой телеметрии используется для идентификации атаки гораздо быстрее, чем человеческий аналитик мог.

Стратегическая разведка фокусируется на гораздо более сложной и громоздкой процесс выявления и анализа угроз основных активов организации, в том числе сотрудников, клиентов, инфраструктуры, приложений и поставщиков. Для достижения этой цели, высококвалифицированные человеческие аналитики должны развивать внешние связи и собственные источники информации; выявления тенденций; обучать сотрудников и клиентов; Изучение взломщик тактики, методов и процедур (ТПД); и в конечном счете, сделать оборонительные рекомендации архитектуры, необходимых для борьбы с идентифицированными угрозами.

Программно-аппаратный комплекс ViPNet Threat Intelligence Analytics System служит для автоматического обнаружения компьютерных атак и выявления инцидентов на основании поступающих от различных источников событий информационной безопасности. Главным источником событий информационной безопасности для ViPNet TIAS является ViPNet IDS, которая анализирует входящий и исходящий сетевой трафик при помощи баз решающих правил Snort IDS, разработанные компанией ОАО «ИнфоТеКС» Некоторые сигнатуры написаны на детектирование эксплуатации уязвимостей.После обнаружения инцидентов ИБ программно-аппаратный комплекс ViPNet TIAS, в котором была про эксплуатирована уязвимость, создается или изменяется карточка инцидента. В данной карточке автоматически указывается вся связанная с уязвимостью информация: класс инцидента, признаки инцидента, вовлеченные активы, критичность и методы ликвидации негативного влияния. Пример карточки инцидента представлен на Рис. 2.7.

Рис. 2.7 - Пример карточки инцидента

Система управления инцидентами помогает и в расследованиях инцидентов ИБ, предоставляя экспертам-аналитикам информацию об индикаторах компрометации и потенциальных затронутых инцидентом узлах информационной инфраструктуры, а так же предоставляет заранее разработанные стандартные рекомендации по реагированию на инцидент.