Профиль компетенций злоумышленника в имитации социоинженерных атак
|
Введение 4
1. Описание предметной области 10
1.1. Актуальность 10
1.2. Цели и задачи 11
2. Используемые подходы и решения 13
2.1. Исследования, взятые за основу работы 13
2.2. Обзор существующих моделей вероятностной оценки социоинженерной атаки с целью получения доступа к критичному документу 13
2.3. Описание используемых программных средств 14
3. Оценка защищенности критичных документов 15
3.1. Подходы к оценке критичности документа 15
3.2. Учет ресурсов в оценках защищенности в задаче социоинженерных атак 16
3.3. Профиль компетенций злоумышленника как средство к оценке защищенности критичных документов 21
4. Реализация прототипов программных модулей для оценки защищенности категорий критических документов 27
4.1. Программный модуль для оценки защищенности категорий критичных документов 27
4.2. Программный модуль для построения профилей компетенций злоумышленника 28
Заключение 30
Список литературы 32
Приложение А: отисок терминов 36
1. Описание предметной области 10
1.1. Актуальность 10
1.2. Цели и задачи 11
2. Используемые подходы и решения 13
2.1. Исследования, взятые за основу работы 13
2.2. Обзор существующих моделей вероятностной оценки социоинженерной атаки с целью получения доступа к критичному документу 13
2.3. Описание используемых программных средств 14
3. Оценка защищенности критичных документов 15
3.1. Подходы к оценке критичности документа 15
3.2. Учет ресурсов в оценках защищенности в задаче социоинженерных атак 16
3.3. Профиль компетенций злоумышленника как средство к оценке защищенности критичных документов 21
4. Реализация прототипов программных модулей для оценки защищенности категорий критических документов 27
4.1. Программный модуль для оценки защищенности категорий критичных документов 27
4.2. Программный модуль для построения профилей компетенций злоумышленника 28
Заключение 30
Список литературы 32
Приложение А: отисок терминов 36
Актуальность.
На сегодняшний день информационные технологии являются неотъемлемой частью повседневной жизни человека. Системы, что хранят, передают и обрабатывают информацию, используются повсеместно. Стремительный темп развития информационных технологий заставляет все больше внимания уделять вопросам информационной безопасности [4]. Причинами этого служит то, что за последние годы, в значительной мере увеличилось число атак на информационные системы [7]. Всё больше требуется средств и временных затрат для расследования и устранения их последствий [26].
Сегодня вопрос по обеспечению безопасности и конфиденциальности информации стоит наиболее остро. Большая часть исследований направлена на исследование программно-технических аспектов данной проблемы [20]. Надо отметить, что имеются очень серьезные наработки по этому вопросу, получены значимые результаты, но исследования продолжаются с не меньшей интенсивностью [6].
К сожалению, не смотря на все вышеупомянутые достижения, СМИ в изобилии рассказывают о самых разных и необычных инцидентах, связанных с нарушениями информационной безопасности [5, 19, 21, 23, 25]. Заметим, когда говорят о защищенности информационной системы, кибербезопасности или информационной защите, чаще всего имеют ввиду программно-техническую сторону вопроса, забывая, что пользователь также является одной из наиболее важных и уязвимых частей информационной системы и имеет непосредственное влияние на уровень ее защищенности. Таким образом, становится актуальной проблема по защите пользователей, и как результат - информации, от соци- оинженерных атак, т.е. атак, основной целью которых является персонал информационных систем. Недавняя статистика, представленая в [2], подтвержадет актуальность проблематики социоинженерных атак. За прошедший год было зафиксировано более 53 000 инцидентов, связанных с информационной безопасностью, и 2216 нарушений. Для сравнения, за 2017 год [1] было зафиксировано 42 068 инцидентов, из них 1935 нарушений. Важно отметить, что 43% всех нарушений связаны с социальной инженерией, где большая часть (70%) — фишинг; 20% — непосредственное воздействие на жертву; и 10% — прочее. Наиболее подверженными отраслями являются: государственные и общественные организации, здравоохранение и образование. Другими словами, в первую попадают под удар учреждения, которые имеют дело с колло- сальным количеством конфиденциальной информации. К сожалению, злоумышленники успешно получают эти данные [15, 23, 24, 25].Тем самым поднимается еще один важный вопрос — защищенность критичной информации в информационных системах.
Степень разработанности темы. Исследователями лаборатории теоретических и междисциплинарных проблем информатики Санкт- Петербургского института информатики и автоматизации РАН (ТиМПИ СПИИРАН) была предложена модель социоинженерной атаки и разработан прототип программного комплекса, моделирующий социоинженерные атакующие воздействия на пользователей информационной системы [13, 14]. В основе лежит набор моделей: «критичные документы - информационная система - персонал - злоумышленник». Одной из наиболее проработанных является модель «персонал», чего нельзя сказать о моделях «критичные документы» и «злоумышленник». Но, даже не имея непосредственного контакта с предметом исследования, результаты уже вполне ощутимы, существуют значимые наработки, разработаны модели [11, 10] профиля компетенций злоумышленника и предложен подход к его построению для оценки защищенности информационной системы от социоинженерных атак [16].
Целью данной работы является автоматизация построения оценки степени защищенности категорий критичных документов в информационной системе. Иными словами, необходимо автоматизированно получить вероятностную оценку того, что злоумышленник с некоторым профилем компетенций получит доступ к критичным данным конкретного уровня конфиденциальности.
Для достижения цели были поставлены и решены следующие задачи:
• Изучить предметную область, источники по тематике исследования, описывающие подходы к автоматизированному анализу защищённости пользователей информационных систем от социоинженерных атак.
• Предложить подход к оценке защищённости критичных документов в информационной системе в рамках социоинженерных атак.
• Разработать вероятностную модель оценки степени защищённости критичных документов информационной системы от социоинже- нерных атак.
• Построить алгоритм оценки защищенности критичных документов, распределённых по степени критичности.
• Реализовать построенный алгоритмы в прототипе модуля комплекса программ.
Объектом исследования являются модель злоумышленника, в частности профиль компетенций и его ресурсная база, и критичные документы, находящихся в информационной системе.
Предметом исследования являются методы автоматизированной оценки защищенности категорий критичных документов от социоинже- нерных атак.
Научная новизна выпускной квалификационной работы заключается в том, что предложен новый подход к оценке защищённости критичных документов в информационной системе. Впервые предложена модель оценки степени защищённости критичных документов. Впервые реализован алгоритм оценки защищенности критичных документов, распределённых по степени критичности в прототипе модуля комплекса програм.
Теоретическая и практическая значимость. Представленная модель позволит оценивать уровень защищенности категорий критичной информации, имеющейся в информационной системе, на основе данных о пользователях, данных об информационной системе и представлениях о злоумшленнике. Разработанный подход к построению профилей злоумыленников позволяет судить не только о защищенности критичных документов, но и открывает большие возможности для дальнейших разработок. Результаты представленной работы могут быть очень полезны работодателям, специалистам по безопасности, логистике и по работе с персоналом. Все предложенные подходы, модели, алгоритмы и программные решения поспособствуют дальнейшим исследованиям посвященным прогнозированию угроз и оценке защищенности от социоинженерных атак.
Методология бакалаврской работы заключается в постановке и формализации задач, связанных с автоматизированными оценками защищенности категорий критичных документов информационной системы; описанием моделей и сущностей, используемых для оценки; разработке алгоритмов и методов, применяемых для вычисления этих оценок, и релизации предложенных теоретических выкладок в качестве прототипов программных модулей.
Методы. Для проведения исследования в рамках бакалаврской выпускной квалификационной работы были использованы подходы и методы таких областей знаний как теория вероятностей, теори графов и нейронных сетей в качестве теоретических выкладок. Так же использовались методы сравнения и анализа для набора пороговых функций. Для реалиации же практической части работы использовались методы объектно-ориентированного программирования. Программная реализация осуществлялась в среде разработки Intellij IDEA 2017 на языке программирования Java. Для построения графических интерфейсов использовалась библиотека Java Swing.
Положения, выносимые на защиту:
• Подход к оценке защищённости критичных документов в информационной системе в рамках социоинженерных атак.
• Вероятностную модель оценки степени защищённости критичных документов информационной системы от социоинженерных атак.
• Реализация алгоритма оценки защищенности критичных документов, распределённых по степени критичности в прототипе модуля комплекса программ.
Высокая степень достоверности результатов данной выпускной квалификационной работы подтверждается глубоким и всесторонним анализом тематик, связанных с исследованиями по информационной безопасности и социоинженерным атакам, корректным применениеми математических методов и практик, подтверждается согласованностью полученных результатов, а также их успешной апробацией на международных и российских научных конференциях и публикациями в российский и международных изданиях.
Апробация результатов исследования. Результаты данной работы были представлены на следующих научных конференциях:
• Юбилейная X Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР-2017)»
• VII-я Всероссийская научно-практическая конференция «Нечеткие системы, мягкие вычисления и интеллектуальные технологии»
Результаты данной выпускной квалификационной работы используются в рамках научно-исследовательского проекта, поддержанного грантами РФФИ № 18-37-00323 «Социоинженерные атаки в корпоративных информационных системах: подходы, методы и алгоритмы выявления наиболее вероятных траекторий» и № 18-37-00323 — «Методы анализа устойчивости структуры социальных связей пользователей информационной системы к социоинженерным атакующим воздействиям злоумышленника на основе применения генетических алгоритмов».
Публикации. По теме данной бакалаврской работы было сделано 4 публикации: 2 из которых индексируются РИНЦ [17, 16], 1 работа принята к публикации, индексируемая изданиями Scopus / WoS.
Благодарности. Данная выпускная квалификационная работа бакалавра содержит материалы исследований, выполняемых в рамках государственного задания СПИИРАН № 0073-2018-0001, а также поддержанных грантами РФФИ: № 18-37-00323 — «Социоинженерные атаки в корпоративных информационных системах: подходы, методы и алгоритмы выявления наиболее вероятных траекторий» и № 18-37-00323 — «Методы анализа устойчивости структуры социальных связей пользователей информационной системы к социоинженерным атакующим воздействиям злоумышленника на основе применения генетических алгоритмов»
Структура работы. Текст данной работы состоит из введения, 4 глав, заключения, списка используемой литературы приложения со списком терминов. Общий объем — 37 страниц.
В 1 главе строится представление о предметной области, обосновывается выбор и постановка цели и задач.
Во 2 главе описывается научная база и различные средства, послужившие основой для проведения данной работы. Приведен обзор используемых технических средств.
В 3 главе описываются разработанные подходы, модели и алгортмы к оценке защищенности категорий критичных документов информационной системы от социоинженерных атак. Представлены основные теоретические результаты выпускной квалификационной работы.
В 4 главе предоставляется описание разработанных прототипов программных средств.
На сегодняшний день информационные технологии являются неотъемлемой частью повседневной жизни человека. Системы, что хранят, передают и обрабатывают информацию, используются повсеместно. Стремительный темп развития информационных технологий заставляет все больше внимания уделять вопросам информационной безопасности [4]. Причинами этого служит то, что за последние годы, в значительной мере увеличилось число атак на информационные системы [7]. Всё больше требуется средств и временных затрат для расследования и устранения их последствий [26].
Сегодня вопрос по обеспечению безопасности и конфиденциальности информации стоит наиболее остро. Большая часть исследований направлена на исследование программно-технических аспектов данной проблемы [20]. Надо отметить, что имеются очень серьезные наработки по этому вопросу, получены значимые результаты, но исследования продолжаются с не меньшей интенсивностью [6].
К сожалению, не смотря на все вышеупомянутые достижения, СМИ в изобилии рассказывают о самых разных и необычных инцидентах, связанных с нарушениями информационной безопасности [5, 19, 21, 23, 25]. Заметим, когда говорят о защищенности информационной системы, кибербезопасности или информационной защите, чаще всего имеют ввиду программно-техническую сторону вопроса, забывая, что пользователь также является одной из наиболее важных и уязвимых частей информационной системы и имеет непосредственное влияние на уровень ее защищенности. Таким образом, становится актуальной проблема по защите пользователей, и как результат - информации, от соци- оинженерных атак, т.е. атак, основной целью которых является персонал информационных систем. Недавняя статистика, представленая в [2], подтвержадет актуальность проблематики социоинженерных атак. За прошедший год было зафиксировано более 53 000 инцидентов, связанных с информационной безопасностью, и 2216 нарушений. Для сравнения, за 2017 год [1] было зафиксировано 42 068 инцидентов, из них 1935 нарушений. Важно отметить, что 43% всех нарушений связаны с социальной инженерией, где большая часть (70%) — фишинг; 20% — непосредственное воздействие на жертву; и 10% — прочее. Наиболее подверженными отраслями являются: государственные и общественные организации, здравоохранение и образование. Другими словами, в первую попадают под удар учреждения, которые имеют дело с колло- сальным количеством конфиденциальной информации. К сожалению, злоумышленники успешно получают эти данные [15, 23, 24, 25].Тем самым поднимается еще один важный вопрос — защищенность критичной информации в информационных системах.
Степень разработанности темы. Исследователями лаборатории теоретических и междисциплинарных проблем информатики Санкт- Петербургского института информатики и автоматизации РАН (ТиМПИ СПИИРАН) была предложена модель социоинженерной атаки и разработан прототип программного комплекса, моделирующий социоинженерные атакующие воздействия на пользователей информационной системы [13, 14]. В основе лежит набор моделей: «критичные документы - информационная система - персонал - злоумышленник». Одной из наиболее проработанных является модель «персонал», чего нельзя сказать о моделях «критичные документы» и «злоумышленник». Но, даже не имея непосредственного контакта с предметом исследования, результаты уже вполне ощутимы, существуют значимые наработки, разработаны модели [11, 10] профиля компетенций злоумышленника и предложен подход к его построению для оценки защищенности информационной системы от социоинженерных атак [16].
Целью данной работы является автоматизация построения оценки степени защищенности категорий критичных документов в информационной системе. Иными словами, необходимо автоматизированно получить вероятностную оценку того, что злоумышленник с некоторым профилем компетенций получит доступ к критичным данным конкретного уровня конфиденциальности.
Для достижения цели были поставлены и решены следующие задачи:
• Изучить предметную область, источники по тематике исследования, описывающие подходы к автоматизированному анализу защищённости пользователей информационных систем от социоинженерных атак.
• Предложить подход к оценке защищённости критичных документов в информационной системе в рамках социоинженерных атак.
• Разработать вероятностную модель оценки степени защищённости критичных документов информационной системы от социоинже- нерных атак.
• Построить алгоритм оценки защищенности критичных документов, распределённых по степени критичности.
• Реализовать построенный алгоритмы в прототипе модуля комплекса программ.
Объектом исследования являются модель злоумышленника, в частности профиль компетенций и его ресурсная база, и критичные документы, находящихся в информационной системе.
Предметом исследования являются методы автоматизированной оценки защищенности категорий критичных документов от социоинже- нерных атак.
Научная новизна выпускной квалификационной работы заключается в том, что предложен новый подход к оценке защищённости критичных документов в информационной системе. Впервые предложена модель оценки степени защищённости критичных документов. Впервые реализован алгоритм оценки защищенности критичных документов, распределённых по степени критичности в прототипе модуля комплекса програм.
Теоретическая и практическая значимость. Представленная модель позволит оценивать уровень защищенности категорий критичной информации, имеющейся в информационной системе, на основе данных о пользователях, данных об информационной системе и представлениях о злоумшленнике. Разработанный подход к построению профилей злоумыленников позволяет судить не только о защищенности критичных документов, но и открывает большие возможности для дальнейших разработок. Результаты представленной работы могут быть очень полезны работодателям, специалистам по безопасности, логистике и по работе с персоналом. Все предложенные подходы, модели, алгоритмы и программные решения поспособствуют дальнейшим исследованиям посвященным прогнозированию угроз и оценке защищенности от социоинженерных атак.
Методология бакалаврской работы заключается в постановке и формализации задач, связанных с автоматизированными оценками защищенности категорий критичных документов информационной системы; описанием моделей и сущностей, используемых для оценки; разработке алгоритмов и методов, применяемых для вычисления этих оценок, и релизации предложенных теоретических выкладок в качестве прототипов программных модулей.
Методы. Для проведения исследования в рамках бакалаврской выпускной квалификационной работы были использованы подходы и методы таких областей знаний как теория вероятностей, теори графов и нейронных сетей в качестве теоретических выкладок. Так же использовались методы сравнения и анализа для набора пороговых функций. Для реалиации же практической части работы использовались методы объектно-ориентированного программирования. Программная реализация осуществлялась в среде разработки Intellij IDEA 2017 на языке программирования Java. Для построения графических интерфейсов использовалась библиотека Java Swing.
Положения, выносимые на защиту:
• Подход к оценке защищённости критичных документов в информационной системе в рамках социоинженерных атак.
• Вероятностную модель оценки степени защищённости критичных документов информационной системы от социоинженерных атак.
• Реализация алгоритма оценки защищенности критичных документов, распределённых по степени критичности в прототипе модуля комплекса программ.
Высокая степень достоверности результатов данной выпускной квалификационной работы подтверждается глубоким и всесторонним анализом тематик, связанных с исследованиями по информационной безопасности и социоинженерным атакам, корректным применениеми математических методов и практик, подтверждается согласованностью полученных результатов, а также их успешной апробацией на международных и российских научных конференциях и публикациями в российский и международных изданиях.
Апробация результатов исследования. Результаты данной работы были представлены на следующих научных конференциях:
• Юбилейная X Санкт-Петербургская межрегиональная конференция «Информационная безопасность регионов России (ИБРР-2017)»
• VII-я Всероссийская научно-практическая конференция «Нечеткие системы, мягкие вычисления и интеллектуальные технологии»
Результаты данной выпускной квалификационной работы используются в рамках научно-исследовательского проекта, поддержанного грантами РФФИ № 18-37-00323 «Социоинженерные атаки в корпоративных информационных системах: подходы, методы и алгоритмы выявления наиболее вероятных траекторий» и № 18-37-00323 — «Методы анализа устойчивости структуры социальных связей пользователей информационной системы к социоинженерным атакующим воздействиям злоумышленника на основе применения генетических алгоритмов».
Публикации. По теме данной бакалаврской работы было сделано 4 публикации: 2 из которых индексируются РИНЦ [17, 16], 1 работа принята к публикации, индексируемая изданиями Scopus / WoS.
Благодарности. Данная выпускная квалификационная работа бакалавра содержит материалы исследований, выполняемых в рамках государственного задания СПИИРАН № 0073-2018-0001, а также поддержанных грантами РФФИ: № 18-37-00323 — «Социоинженерные атаки в корпоративных информационных системах: подходы, методы и алгоритмы выявления наиболее вероятных траекторий» и № 18-37-00323 — «Методы анализа устойчивости структуры социальных связей пользователей информационной системы к социоинженерным атакующим воздействиям злоумышленника на основе применения генетических алгоритмов»
Структура работы. Текст данной работы состоит из введения, 4 глав, заключения, списка используемой литературы приложения со списком терминов. Общий объем — 37 страниц.
В 1 главе строится представление о предметной области, обосновывается выбор и постановка цели и задач.
Во 2 главе описывается научная база и различные средства, послужившие основой для проведения данной работы. Приведен обзор используемых технических средств.
В 3 главе описываются разработанные подходы, модели и алгортмы к оценке защищенности категорий критичных документов информационной системы от социоинженерных атак. Представлены основные теоретические результаты выпускной квалификационной работы.
В 4 главе предоставляется описание разработанных прототипов программных средств.
Данная выпускная квалификационная работа бакалавра была посвящена автоматизации построения оценки степени защищенности категорий критичных документов в информационной системе. Что имеет большое значение для оценок защищенности информации, пользователей и всей информационной системы. Полученные результат формирует задел для дальнейшего развития решения вопросов безопасности связанных с социоинженерными атаками. Для достижения этой цели было выполнены следущие частные задачи:
• Проведен анализ предметной области, изучены источники по тематике исследования, описывающие подходы к автоматизированному анализу защищённости пользователей информационных систем от социоинженерных атак.
• Предложен подход к оценке защищённости критичных документов в информационной системе в рамках социоинженерных атак.
• Разработан вероятностная модель оценки степени защищённости критичных документов информационной системы от социоинже- нерных атак.
• Построен алгоритм оценки защищенности критичных документов, распределённых по степени критичности.
• Реализован построенный алгоритм в прототипе модуля комплекса программ.
По итогу, можно заключить, что все поставленные задачи выполнены и цель работы по автоматизации оценки защищенности категории критических документов была успешно достигнута. Результаты работы могут быть применены менеджерами компаний и специалистами по безопасности для наиболее эффективной и продуктивной работы коллектива функционирования организации. Результаты данной работы имеют широкие перспективы как по уточнению предложенных оценок, так и по созданию новых исследований с результатами данной работы в качестве основы. Например, получаемые профиль компетенций зло- умышленика и ресурсная база могут стать значимым подспорьем для прогнозирования и предотвращение социоинженерных атак.
• Проведен анализ предметной области, изучены источники по тематике исследования, описывающие подходы к автоматизированному анализу защищённости пользователей информационных систем от социоинженерных атак.
• Предложен подход к оценке защищённости критичных документов в информационной системе в рамках социоинженерных атак.
• Разработан вероятностная модель оценки степени защищённости критичных документов информационной системы от социоинже- нерных атак.
• Построен алгоритм оценки защищенности критичных документов, распределённых по степени критичности.
• Реализован построенный алгоритм в прототипе модуля комплекса программ.
По итогу, можно заключить, что все поставленные задачи выполнены и цель работы по автоматизации оценки защищенности категории критических документов была успешно достигнута. Результаты работы могут быть применены менеджерами компаний и специалистами по безопасности для наиболее эффективной и продуктивной работы коллектива функционирования организации. Результаты данной работы имеют широкие перспективы как по уточнению предложенных оценок, так и по созданию новых исследований с результатами данной работы в качестве основы. Например, получаемые профиль компетенций зло- умышленика и ресурсная база могут стать значимым подспорьем для прогнозирования и предотвращение социоинженерных атак.
