Особенности применения методов выявления различных инцидентов информационной безопасности

Событие информационной безопасности - идентифицированное появление состояния сервиса или сети, указывающего на отказ защитных мер. Захват пакетов - технология, помогающая командам реагирования на инциденты подтвердить наличие подозрительных событий.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 18.12.2020
Размер файла 49,2 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Особенности применения методов выявления различных инцидентов информационной безопасности

Касимов Р.Ф.

Введение

При обеспечении информационной безопасности организации одним из самых важных видов деятельности является выявление инцидентов информационной безопасности. Необходимо понимать то, что невозможно избежать всех инцидентов информационной безопасности, так как всегда могут происходить события, влекущие за собой потенциальную угрозу.

Событие информационной безопасности - идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.

Инцидент информационной безопасности - одно или серия нежелательных или неожиданных событий в системе информационной безопасности, которые имеют большой шанс скомпрометировать деловые операции и поставить под угрозу защиту информации.

У крупных организаций каждые сутки фиксируется большое количество событий, не являющихся инцидентами, но один пропущенный инцидент может стоить это организации очень больших убытков, вплоть до прекращения деятельности.

Существует множество способов борьбы с инцидентами, как на уровне организационных процедур, так и на уровне программных решений. Одним из наиболее эффективных методов является внедрение системы защиты от утечек конфиденциальных данных Data Leak Prevention (DLP) - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) такого предотвращения утечек.

1. Обнаружение и идентификация событий

Реагирование на инциденты начинается с обнаружения и идентификации событий. Обнаружение, функция, найденная в структуре кибербезопасности NIST, должна быть развернута на основе выявленных рисков и потенциальных моделей атак известных угроз. Многие из возможностей, рассмотренных в этой главе, играют роль в других элементах реагирования на инциденты. Некоторые из них обеспечивают автоматическое обнаружение и идентификацию. Автоматизация желательна, когда она снижает затраты, повышает эффективность и является более надежной, чем ручные процессы. Значительный пример использования автоматизации существует, когда технология коррелирует и обнаруживает модели поведения и активности, которые не всегда легко увидеть человеческим глазом. Учитывая огромные объемы данных, производимых организациями в наши дни, обнаружение требует автоматизированных средств поддержки групп информационной безопасности и реагирования на инциденты. Как бы ни была хороша автоматизация, автоматизировать все невозможно, и какая-то форма ручного управления также должна существовать.

Возможности, общие для функций обнаружения и реагирования многих сущностей, включают в себя:

· Предотвращение потери данных

· Сбор данных, включая NetFlow и полные пакеты

· Обнаружение и реагирование на конечные точки

· Системы обнаружения вторжений

· Брандмауэры

· Маршрутизаторы и коммутаторы

· Система доменных имен

· Мониторинг приложений и инфраструктуры

· Управление инцидентами и событиями безопасности

Внедрение этих технологий требует осторожности. Отсутствие определения вариантов использования-конкретных сценариев, в которых существуют риски и пробелы в безопасности, для обнаружения которых предназначено решение, приводит к пробелам в реализации и неправильному управлению. Эти возможности, возможно, предупреждают организацию о событии или инциденте или используются для подтверждения того, имело ли место событие илиинцидент и должно ли оно быть расследовано.

2. Создание детективных возможностей

Чтобы обнаружить события, базовые возможности и технологии, нужны люди, которые их понимают. Эти технологии требуют ресурсов для настройки и поддержания реализации, так что правильные события обнаруживаются, а не события не тратят ресурсы наненужные исследования. Выбор того, следует ли реализовывать каждый из них, сводится к финансовым и риск-ориентированным решениям. Реализация этих типов возможностей отнимает время от других приоритетов. Хитрость заключается в том, чтобы сбалансировать выбор, основанный на факторах затрат и выгодах от снижения риска. Не всякое обнаружение требует технологии. Конечные пользователи являются примером того, как человеческий фактор может быть очень эффективным, например, замечать фишинговые электронные письма первыми, когда другие сотрудники не соблюдают хорошую гигиену электронной почты.

3. Защита от потери данных

Защита от потери данных это необходимое решение, предназначенное для обнаружения конфиденциальных данных в движении, при использовании и в состоянии покоя. Например, если DLP внедряется в организации здравоохранения, ожидается, что он будет решать ситуации, в которых данные передаются, хранятся и используются небезопасными способами. Это может включать отправку данных пациентов по электронной почте в виде открытого текста, хранение их в SharePoint или OneDrive, печать или сохранение на флэш-накопитель. Многие решения DLP содержат медицинскую страховку. Закон об ответственности и переносимости (HIPAA) устанавливает правила из коробки. Другие распространенные стандартные правила включают в себя правила обнаружения финансовой, личной информации (PII) и данных кредитных карт.

4. Реализация защиты от потери данных

Внедрение DLP сопряжено с определенными трудностями. Настройка правил для уменьшения или предотвращения ложных срабатываний требует времени и усилий. Для того чтобы реализация была эффективной, необходимо создать оперативный и воспроизводимый процесс обработки предупреждений об обнаружении. DLP можно настроить так, чтобы оповещать только команду кибербезопасности, предупреждать конечного пользователя и просить его предпринять какие-то действия перед передачей данных и исправлять ситуации путем блокировки и шифрования. Этот процесс управляется пониманием того, какие данные находятся в окружающей среде и чувствительность каждого типа. Один из способов установить это - с помощью матрицы, устанавливающей, как данные должны обрабатываться в определенных состояниях. На рис. 1 показаны примеры использования данных.

Рис. 1. Матрица, показывающая примеры состояний данных

Что делает реализацию и функционирование этой возможности успешной, так это применение вариантов использования на рис. 1 к действиям, необходимым при рассмотрении конкретных типов данных с точки зрения безопасности. В таблице1 показаны варианты использования и действия, необходимые для типовых типов данных.

Таблица 1. Матрица, описывающая, как конкретные типы данных должны обрабатываться для данного сценарии при обнаружении DLP-решением

Тип данных

Отправленные по почте

Передается посторонним

Хранится внутри

Уничтоженные

Лично Идентифицируемый

Зашифрован

Требует Утверждение / Шифрование

Зашифрованный / Защищенный

ДОД Стандарты

Интеллектуальная собственность

Зашифрован

Требует Утверждение / Шифрование

Зашифрованный / Защищенный

ДОД Стандарты

Нечувствительный

Никто Указанный

Не Указано

Не Указано

Не Указано

Один выбор доступен при рассмотрении времени и усилий, необходимых для точной настройки DLP и изучение предупреждения-- это аутсорсинг управления решением. Организации всех размеров пользуются услугами, предлагаемыми поставщиками DLP и другими третьими сторонами, чтобы разгрузить эти операции. Это снимает повседневную нагрузку с локальной команды, потенциально с меньшими затратами, чем штатный сотрудник. Важно установить правила взаимодействия с поставщиком услуг, чтобы обеспечить соответствие мониторинга данных установленным уровням чувствительности. Поскольку воздействие на производительность бизнес-процессов и аппаратного обеспечения возможно, связь с базой пользователей и медленное, преднамеренное развертывание решения имеет смысл. Последнее, что нужно команде информационной безопасности, -- это внедрение, приводящее к замедлению бизнеса.

5. Обработка типов данных

Данные пересекают сеть и передаются клиентам и деловым партнерам. DLP обнаруживает экземпляры, в которых рассматриваемые типы данных находятся в движении. Конфиденциальные данные, передаваемые из организации открытым текстом, обычно запрещены и должны быть предотвращены. Некоторые данные в состоянии покоя требуют хранения в безопасных местах. Разрешение конфиденциальным данным находиться на сайтах SharePoint, OneDrive или, в некоторых случаях, на ноутбуках, как правило, является нарушением политики. DLP используется для идентификации случаев, в которых данные хранятся в нарушение политики. Опять же, решение может просто предупредить, зашифровать данные там, где они находятся, или переместить данные и оставить записку с новым местоположением, где данные находятся в состоянии покоя. Действия шифрования или перемещения обычно происходят после того, как решение было на месте в течение некоторого времени, и вероятность ложного срабатывания ниже.

6. Обнаружение и реагирование конечной точки

Обнаружение и реагирование конечных точек -- это способность, используемая для обнаружения изменений, внесенных в конечные точки в соответствии с известными показателями атаки или поведения и несогласованными базовыми показателями нормального поведения. Это делается путем записи того, что происходит в конечной точке--конфигурации, файле и учетных записях пользователей--и сохранения его для просмотра и анализа, когда это необходимо. Сущности могут хранить эти данные в базе данных или агрегировать их с другими данными и журналами в корреляционном решении, таком как SIEM. Эти решения действуют на передовой линии обнаружения и являются ценными во время локализации. Некоторые реализации используют поведение аналитика и машинный интеллект для оповещения о возможных событиях безопасности. Эти решения позволяют команде быстро реагировать на происходящее и принимать соответствующие меры. Некоторые распространенные игроки в этом пространстве включают:

· FireEye Endpoint Security.

· Carbon Black's Cb Response.

· Cybereason Total Enterprise Protection.

· Symantec Endpoint Protection.

· CrowdStrike Falcon Insight.

Это короткий список игроков в этом пространстве, и дифференциация каждого требует времени и исследований. Полный список можно найти в обзоре Gartner Peer Insights review.

7. Анализ трафика

информационный безопасность пакет сеть

Захват пакетов помогает командам реагирования на инциденты подтвердить наличие подозрительных событий. Организации внедряют эти решения на основе стратегии реагирования на инциденты и мониторинга. Сущности могут выбирать захват полных пакетов, заголовков и заголовков потока (заголовок и часть содержимого пакета) в зависимости от потребностей программы и предлагаемых решений. NetFlow -- это еще один вариант. Разработанный Cisco, NetFlow позволяет сущностям собирать данные о происхождении, назначении и количестве трафика. По словам Майкла Паттерсона, в своем блоге Plixer, обсуждая разницу между

NetFlow и захват пакетов, информация, предоставляемая NetFlow, улучшается. Сетевые устройства с поддержкой NetFlow собирают эти данные для проверки. Иногда информация NetFlow необходима для определения того, откуда в сети берется трафик, для обнаружения аномального поведения. Если активность DNS-сервера резко возрастает, информация NetFlow, поступающая на DNS-сервер, информирует аналитиков о том, откуда исходит трафик внутри объекта, чтобы можно было дополнительно исследовать конечную точку. Захват полных пакетов - идеальный метод анализа трафика, но очень дорогостоящий. То объем хранения данных является непомерно высоким как при хранении, так и при обслуживании. Захват полного пакета требует стратегического развертывания и конкретных вариантов использования. Поэтому NetFlow является эффективной альтернативой при анализе трафика. Эти данные можно использовать не только для реагирования на инциденты, но и для устранения проблем с производительностью. Большинство брандмауэров и маршрутизаторов на рынке способны захватывать трафик NetFlow. При реализации этой возможности есть много решений на выбор. Крупные производители сетевого оборудования предлагают эту возможность, и нишевые игроки существуют, добавление аналитики угроз поверх анализа трафика пакетов и NetFlow.

Размещено на Allbest.ru


Подобные документы

  • Анализ инцидентов информационной безопасности. Структура и классификация систем обнаружения вторжений. Разработка и описание сетей Петри, моделирующих СОВ. Расчет времени реакции на атакующее воздействие. Верификация динамической модели обнаружения атак.

    дипломная работа [885,3 K], добавлен 17.07.2016

  • Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.

    курсовая работа [28,2 K], добавлен 17.05.2016

  • Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.

    контрольная работа [27,8 K], добавлен 26.02.2016

  • Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.

    статья [15,9 K], добавлен 24.09.2010

  • Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

    реферат [30,0 K], добавлен 15.11.2011

  • Анализ проблемы обеспечения информационной безопасности при работе в сетях; обоснование необходимости разработки алгоритмов безопасной маршрутизации пакетов сообщений в глобальной информационной сети. Алгоритмизация задач безопасной маршрутизации пакетов.

    дипломная работа [1,0 M], добавлен 21.12.2012

  • Процесс создания комплексной системы информационной безопасности, предназначенной для обеспечения безопасности всех важных данных сети аптек "Таблэтка". Исследования практики функционирования систем обработки данных и вычислительных систем. Оценка риска.

    курсовая работа [38,8 K], добавлен 17.06.2013

  • Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.

    курсовая работа [351,0 K], добавлен 14.06.2015

  • Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.

    курсовая работа [2,2 M], добавлен 17.09.2010

  • Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.

    дипломная работа [4,5 M], добавлен 19.12.2012

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.