Введение 3
Актуальность 3
Цели и задачи 4
Глава 1. Информационная безопасность 5
1.1. Понятие информационной и сетевой безопасности 5
1.2. Инфраструктура корпоративной сети 7
1.3. Основные угрозы сетевой безопасности 9
1.4. Основные технологии для борьбы с угрозами сетевой безопасности 14
1.5. Анализ функционала шлюза безопасности компании Check Point 17
Глава 2. Организация работы с лог-данными 22
2.1. Понятие лога, принципы организации системы логирования 22
2.2. Основные направления анализа лог-информации 25
2.3. Анализ лог-файла шлюза безопасности компании Check Point 27
2.4. Обзор систем для анализа лог-файлов, их специфика 29
Глава 3. Разработка приложения (панели dashboard) 32
3.1. Понятие информационной панели (dashboard) 32
3.2. Проект информационной панели 34
3.3. Описание разработанного инструментария 36
Заключение 43
Список литературы 44
Приложение 48
Актуальность
Информационные технологии все быстрее и быстрее входят нашу жизнь и охватывают различные области деятельности экономических субъектов, с целью повышения их эффективности. Практически каждое программное решение имеет в себе модуль, отвечающий за ведение журналов, в которых, с разной степенью подробности, регистрируются системные данные.
На сегодняшний день существует достаточно развитый рынок, связанный с оказанием услуг и поставкой товаров, программных средств, в области информационной безопасности. По оценкам аналитического центра TAdviser, объем рынка информационной безопасности в России по итогам 2014 года составил 59 млрд. рублей (TAdviser, 2015).
С другой стороны, согласно статье из аналитического издания в области информационных технологий Computer Weekly, ежегодно по всему миру распространяется пиратское программное обеспечение и вредоносные продукты, позволяющие выполнять сложные атаки на разного вида системы, суммарной стоимостью 2 млрд долларов (Ashford, 2014), что достаточно внушительно.
В независимости от сферы бизнеса и интересов компании, предприятия нуждаются в защите информации, хранящейся в их корпоративных сетях, для достижения которой, требуется выполнение ряда операций, в частности осуществления мониторинга основных событий и инцидентов в системе. В рамках дисциплины информационная безопасность существует отдельное направление - SIEM (Security Information and Event Management), что, в общем виде, представляет собой анализ событийной информации, поступающей из различных подсистем, модулей, в рамках всей системы информационной безопасности и дальнейшего выявления отклонений от норм по каким-либо заранее определённым критериям.
SIEM-системы существуют уже почти 10 лет, но их активное продвижение и развитие началось лишь в последние годы, в большей степени из-за возросшего количества актуальных угроз. (Парфентьев, 2014). Несмотря на внушительный размер рынка SIEM- систем (Дрозд, 2014), по причине широкого разнообразия и высокого уровня спецификации каждой отдельной компании-клиента, разных задач и источников информации для SIEM систем в рамках отдельных предприятий, на данный момент процесс внедрения требует значительных усилий, то есть для каждого отдельного предприятия необходимо разрабатывать отдельный, уникальный модуль, о чем говорят вендоры и компании интеграторы (AltirixSystems, 2015).
Цели и задачи
Основной целью данной работы является разработка модуля информационной системы ИБ, благодаря которому сотрудники компании, занимающиеся анализом и предотвращением угроз в области ИБ, смогут оперативно, в режиме реального времени получать информацию, содержащую статистику о работе системы ИБ, и с помощью которой будут принимать управленческие решения, относительно таких вопросов как: установка новых правил в политике безопасности, обновление ПО, обработка возникших с инцидентов и анализ угроз.
Для достижения цели были поставлены и решены следующие задачи:
• Систематизация походов к организации ИБ на предприятии, с целью выявления основных угроз и возможных вариантов их предотвращения
• Анализ работы системы логирования и структуры формирования лог-файлов шлюза безопасности на базе программного обеспечения компании Check Point, с целью выявления основных полей и структурных особенностей лог- сообщений системы
• Выбор информационной системы для разработки модуля на основе критериев функциональности систем
• Разработка информационной панели (dashboard) для мониторинга работы системы ИБ и принятия управленческих решений, посредством обогащения лог-информации данными из общедоступных БД угроз и сканера уязвимостей в рамках одного модуля.
В результате данного исследования было разработано приложение, представляющее собой набор информационных панелей реагирования, предназначенных для мониторинга работы шлюза безопасности Check Point и принятия управленческих решений, реализованное посредством системы анализа лог-данных Splunk. Данное приложение может использоваться аналитиками отдела безопасности среднего предприятия для анализа работы системы, выявления закономерностей и критических ошибок системы с целью предотвращения угроз безопасности. Также разработанный модуль предоставляет возможность осуществлять контроль за действиями сотрудников компании в интернете, в частности позволяет получать информацию о посещенных сайтах, используемых приложениях и объеме трафика.
Для достижения поставленной цели данной выпускной квалификационной работы были выявлены и систематизированы основные типы программных угроз информационной безопасности, методы и технологии борьбы с ними и произведен анализ функциональных возможностей шлюза безопасности Check Point, в результате чего удалось выявить необходимость проведения процедур мониторинга работы системы, с целью выявления основных атак и улучшения превентивных мер.
Исходя из того, что разработанная информационная панель построена на основе лог- данных, генерируемых системой безопасности Check Point, в ходе данной работы был произведен подробный анализ структуры лог-сообщений данной системы и выявлены основные поля, на основе которых были разработаны исследуемые показатели.
Для разработки информационной панели, в соответствии с выделенными критериями, была выбрана система анализа лог-данных Splunk, в рамках которой, с помощью интеграции с общедоступными базами данных угроз (CVE, CVSS, CWE) и сканером уязвимостей Nessus, был произведен процесс обогащения лог-данных и практически решена проблема избыточности информации о нерелевантных атаках на систему.
В качестве перспектив для дальнейшего исследования в данной области можно выделить такие вопросы как доработка разработанного модуля, в частности улучшение алгоритма фильтрации наиболее важных угроз, добавление новых источников данных об уязвимостях системы, создание системы уведомлений для оперативного контроля.